Handi-palvelun tietoturvakysymyksiin vastauksia

Turvallisuusvirastojen, Palkeiden, valtiovarainministeriön ja Valtiokonttorin edustajia kokoontui keskiviikkona tutustumaan tietoturva-asioihin Handi-palveluun liittyen. Palvelun toimittaja SoftCo esitteli toimintamalliaan sekä kuinka sovellus vastaa valtion tietoturvavaatimuksiin.

Yhteinen järjestelmä tulee kaikille

Tilaisuuden aluksi Tero Meltti valtiovarainministeriöstä selvitti taustoja sille, miksi virastot ovat velvollisia ottamaan Handi-palvelun käyttöönsä. Ensisijaisena tavoitteena on kuitenkin tehdä yhteisesti tuotetuista palveluista niin hyviä ja luotettavia, että niitä halutaan käyttää.

Hankintatoimen ohjauksen taustalla olevia säädöksiä ovat mm. talousarviolaki ja -asetus sekä ns. TORI-laki (Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä). Valtiovarainministeriön ohjauskeinoina ovat säädösohjaus, konsernitoimijoiden tulosohjaus ja resurssiohjaus. 

Handin käyttöönotto on jatkumoa yhteisinä palveluina käyttöönotetuille ratkaisuille, kuten Kieku ja M2. Käytössä on yhteinen järjestelmä, jonka käyttöön ja siihen liittyvään toimintaprosesseihin Palkeet tuottaa keskitettyjä palveluja.

Valtionhallinnon edustajista Juha Koljonen kertoi vielä Palkeiden riskienhallintamenettelyistä ja Kati Siikonen Palkeiden jatkuvuus- ja valmiussuunnittelusta sekä häiriöhallinnasta. Valtionhallinnon edustajien aineistot ovat nähtävissä valtionhallinnon sisäisessä Handi-tiimerissä.

Luottavaisin mielin EU:n sisällä

SoftColta paikalla olivat toimitusjohtaja Anton Scott ja projektijohtaja Robert Hickey sekä tuotantopäällikkö Harri Salmela. Hickey avasi esittelemällä SoftCon tietoturvaratkaisujen eri ”kerroksia” kuulijoille. Tietoturvaratkaisut on rakennettu mm. asiakirjojen, prosessien, käyttäjien ja ympäristön hallintaan.

Kontrollit ulkopuolelta tulevien verkkohyökkäysten estämiseksi vaikuttivat erittäin tehokkailta ja uusinta teknologiaa hyödyntäviltä kuten kaikki muutkin tietoturvaratkaisut. Palomuuri on koko ympäristön ympärillä, mutta lisäksi jokaisen palvelimen ympärillä.

Esitysten yhteydessä tuli selvyyttä monia viranomaisia askarruttaneisiin kysymyksiin. Kaikki Suomen valtionhallinnon tieto tulee sijaitsemaan EU:n alueella (Dublinissa), Euroopan ulkopuolelle ei viedä tai monisteta mitään. Amazonilla ei ole pääsyä sisälle palvelimiin, vain SoftColla, joka käyttää Amazonin infrastruktuuria vain palveluna. Tuotekehitys tehdään kokonaisuudessaan Suomessa.

Voimme vähitellen siirtyä kesälomille luottavaisin mielin ja jatkaa käyttöönottoja jälleen heinäkuun jälkeen.