Kokonaisturvallisuuden mallia hankkeissa ja projekteissa kehitetään yhdessä asiakkaiden kanssa
06.08.2020
”Turvallisuusriskien arvioinnin keskeisenä tavoitteena on tunnistaa ja arvioida kehitettävään ratkaisuun, palveluun tai järjestelmään liittyviä turvallisuusriskejä,” kertoo Palkeiden johtava tieturva-asiantuntija Sami Nikula. ”Turvallisuusnäkökulman johdonmukainen käsittely heti hankkeen alkuvaiheessa, ennen hankintapäätöstä on sekä kustannustehokas että asiakkaitamme palveleva malli,” Sami jatkaa. Kun kaikki tarpeet ja vaatimukset otetaan huomioon heti hankinnan alkuvaiheessa, näihin ei toivottavasti tarvitse palata enää myöhemmin. Samalla, kun muodostetaan toiminnallisia tarpeita, varaudutaan mahdollisiin riskeihin ja pystytään myös resursoimaan hanke tarkemmin. Palveluratkaisuissa on tärkeää ymmärtää, voidaanko asiakaskunnan turvallisuustarpeet toteuttaa yhdellä ratkaisulla vai tarvitaanko vaihtoehtoinen ratkaisu osalle asiakkaista. Hankinnan jälkeen tehdään tietoturva-arviointi, ja riskienhallinta jatkuu koko hankinnan elinkaaren ajan.
Pilotoitu malli tukee turvallisuusriskien kartoitusta ja arviointia valtiotason kehittämishankkeissa. Mallin tavoitteena on auttaa tunnistamaan ja arvioimaan riskejä systemaattisesti ja kokonaisvaltaisesti läpi hankkeiden.
”Asiakasyhteistyö kokonaisturvallisuuden hallinnassa on meille erityisen tärkeää. Osallistuminen sitoo myös asiakkaiden aikaa, mutta siitä saamme arvokasta tietoa valtiontasoiseen järjestelmähankkeiden kehittämiseen,” kiittelee Sami. Tukena kokonaisturvallisuuden malli rakentamisessa ja pilotoinnissa on ollut Pricewaterhouse Coopers -konsulttitoimisto. Pilotoinnilla rakennetaan myös kyvykkyyttä Palkeisiin. Syksyllä Palkeiden projektipäälliköitä koulutetaan, ja mallista tulee kiinteä osa tulevia järjestelmä- ja palveluratkaisuhankkeita.
Asiakkaiden asiantuntemus arvokasta mallin kehittämiselle
Kokonaisturvallisuuden hallinnan pilotoinnissa rekrytointipalvelun uudistamisen yhteydessä on ollut mukana kattava edustus turvallisuusviranomaisista. Turvallisuusviranomaisilla on toiminnan luonteen vuoksi erityisiä tarpeita esimerkiksi sellaisissa rekrytoinneissa, joissa avoinna olevan tehtävän koko sisältöä ei voida julkaista heti alkuvaiheessa. Myös henkilötietojen suojaus on ensiarvoisen tärkeää.
”Turvallisuusviranomaisten laaja edustus eri hallinnonaloilta takasi sen, että turvallisuusajattelu on kokonaisvaltaista ja kaikkien osapuolten tarpeet on huomioitu,” kiittelee Puolustusvoimien tietosuojajohtaja Kari Laitinen. ”Yksityisen edun lisäksi mallissa on hyvin otettu huomioon yleinen etu, eli turvallisuusviranomaisten toiminnan luonne, ” hän jatkaa.
Myös sisäministeriön hallinnonalalla tämä pilotoitu malli on kautta linjan otettu hyvin vastaan.
”Tämä vaihe turvallisuuden ja riskienhallinnan arviointiin palveluratkaisun hankinnassa on ehdottomasti oikea, ” sanoo sisäministeriön turvallisuuspäällikkö Kari Santalahti. Sisäministeriön hallinnonala on kovin heterogeeninen, kun esimerkiksi Suojelupoliisi työskentelee tiedusteluun liittyvien erityiskysymysten parissa ja toisaalta Poliisiammattikorkeakoulu keskittyy taas koulutukseen. Kaikilla on kuitenkin laajasti tarpeita muun muassa henkilötietojen käsittelyssä, joskin hieman eri painotuksilla. Hallinnonalan sisäinen koordinointi on heillä aina ollut tärkeää, ja pilotoinnissa saatiin hyvin huomioitua erilaiset tarpeet.
Korona-aika toi omat haasteensa pilotointivaiheeseen, kun tapaamisia kasvokkain ei voitu järjestää ja etäyhteydet hieman takkusivat aluksi. ”Kokonaisuus oli kuitenkin onnistunut ja kokonaisturvallisuuden hallinnan mallista on varmasti hyötyä tulevissakin järjestelmähankinnoissa. Riskit ja tarpeet kokonaisturvallisuudelle ovat kuitenkin yleispäteviä turvallisuusviranomaisille,” sanoo Kari Santalahti.
”Keskustelu oli avointa ja myös mukana olleet konsultit toivat arvokasta lisää kokonaisuuteen omilla näkemyksillään. Olemme mielellämme mukana seuraavankin kerran, kun turvallisuusviranomaisten näkemyksiä palveluratkaisujen hankinnoissa tarvitaan,” jatkaa Kari Santalahti.