Tietosuojavaltuutettu Reijo Aarnion mielestä valtion tietojärjestelmiä kohtaan esitetty kritiikki on ollut tarpeellista.

Valtio hankki keväällä kaikkien ministeriöiden käyttöön yhteisen tietojärjestelmän. Kaikkia valtioneuvoston kanslian tekemä hankinta ei miellytä. Yle kertoi viikonloppuna kipakasta arvostelusta, jota puolustusministeriön tietohallintojohtaja Teemu Anttila on esittänyt Vahva-nimistä tietojärjestelmää kohtaan.

Anttilan mukaan järjestelmä ei täytä tietoturvan minimivaatimuksia, mutta siitä huolimatta järjestelmässä säilytetään tietoturvaluokitettua tietoa.

Tietojärjestelmän hankinnasta vastaavan valtioneuvoston kanslian toimialajohtaja Max Hamberg myöntää että järjestelmän tietoturvassa on puutteita, mutta vain vähäisiä ja korjattavissa olevia.

Kenen vastuu

Tietosuojavaltuutettu Aarnio muistuttaa ministeriön asemasta.

– Puolustusministeriö on vastuussa oman toimialansa asioista. Kun heidän on pakko käyttää muualla sovittua palveluntarjoajaa, johon eivät itsekään usko, syntyy systeemi joka lyö itseään korvalle, Aarnio sanoo.

– On erittäin hyvä, että tällainen kissa nostetaan julkiseen keskusteluun.

Ministeriö on tavallaan asiakas, jolle valtioneuvoston kanslia järjestää tietojärjestelmäpalvelut.

– Hyvä olisi, että asiakas saisi äänensä kuuluviin, Aarnio tokaisee.

Tietosuojavaltuutettu ei ole ollut tekemässä järjestelmän ennakkoarviointia.

Tietoturvakulttuurit kohtaavat

Tietoturva-asiantuntijat seuraavat keskustelua kiinnostuneina.

He muistuttavat, että juuri puolustusministeriö edustaa Suomessa tiukempaa tietoturvakulttuuria kuin monet muut tahot.

Mutta asiantuntijat myös muistuttavat, että täydellisen luotettavaa järjestelmää ei ole olemassakaan – kyberrikollisten kehitystyö on vikkelää.

Valtion korkein tietoturvan vartija on valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä eli Vahti.

Sen pääsihteeri Kimmo Rousku ei näe hankkeessa suuria epäkohtia, mutta yhteisen tietojärjestelmän hankinta ei ole yksinkertaista.

Joihinkin tarpeisiin se voi olla liiankin hyvä ja kallis, toisiin taas riittämätön.

Inhimillinen tekijä

Rouskun mukaan on normaalia, että tietoturvasta löydetään puutteita. Hänen mielestään ei ollut virhe ottaa järjestelmä käyttöön, vaikka riskinarvioinnista ei saatukaan täysin puhtaita papereita.

Rousku ja Vahti eivät olleet käytännössä mukana hankkimassa tietojärjestelmä Vahvaa. Rousku ei siis osaa sanoa, kuinka hyvin asiakasta eli eri ministeriöitä kuultiin hankintaprosessissa.

Mutta vaatiiko puolustusministeriö kohtuuttomia, jos se haluaa käyttöönsä aukottoman tietojärjestelmän?

– Järjestelmä voidaan saada läpäisemään jokin tietty tietoturva-auditointi ainakin auditointihetkellä, mutta se ei takaa järjestelmän sataprosenttista turvallisuutta kovinkaan pitkäksi aikaa, Rousku sanoo.

Rousku muistuttaa tietoturvariskien jatkuvasta vahtimisesta. Mutta myös siitä, että riskit voivat olla joskus yllättävän lähellä.

– Järjestelmään liittyy myös inhimillisiä tekijöitä, kuten käyttäjiä.