PUOLUSTUSVALIOKUNNAN LAUSUNTO 10/2013 vp

PuVL 10/2013 vp - HE 54/2013 vp

Tarkistettu versio 2.0

Hallituksen esitys eduskunnalle laeiksi julkisen hallinnon turvallisuusverkkotoiminnasta ja viestintämarkkinalain 2 §:n muuttamisesta

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 29 päivänä toukokuuta 2013 lähettäessään hallituksen esityksen eduskunnalle laeiksi julkisen hallinnon turvallisuusverkkotoiminnasta ja viestintämarkkinalain 2 §:n muuttamisesta (HE 54/2013 vp) valmistelevasti käsiteltäväksi hallintovaliokuntaan samalla määrännyt, että puolustusvaliokunnan on annettava asiasta lausunto hallintovaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Timo Nuutinen ja esittelijä Kosti Honkanen, puolustusministeriö

osastopäällikkö Auni-Marja Vilavaara, valtioneuvoston kanslia

tietohallintojohtaja Ari Uusikartano, ulkoasiainministeriö

ICT-johtaja Timo Valli, valtiovarainministeriö

neuvotteleva virkamies Timo Kievari, liikenne- ja viestintäministeriö

Puolustusvoimien johtamisjärjestelmäpäällikkö, prikaatikenraali Ilkka Korkiamäki, Puolustusvoimien JOJÄ-keskuksen johtaja, kommodori Timo Saastamoinen ja majuri Juha Lehto, Pääesikunta

tietohallintopäällikkö Janne Suuriniemi, Poliisihallitus

johtaja Sauli Savisalo, Huoltovarmuuskeskus

toimitusjohtaja Timo Lehtimäki, Suomen Erillisverkot Oy

toimitusjohtaja Olli Martikainen

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki julkisen hallinnon turvallisuusverkkotoiminnasta sekä muutettavaksi viestintämarkkinalain säännös viranomaisverkon määritelmästä.

Ehdotetulla lailla säädettäisiin julkisen hallinnon turvallisuusverkosta, sen palveluista, niiden käytöstä ja muusta turvallisuusverkkotoiminnasta. Lain tarkoituksena olisi normaalioloissa ja niiden häiriötilanteissa sekä poikkeusoloissa varmistaa valtion ylimmän johdon päätöksenteon ja yhteiskunnan turvallisuuden kannalta tärkeän viestinnän häiriöttömyys sekä turvata tiedon käytettävyys, eheys ja luottamuksellisuus.

Ehdotetun lain mukaan turvallisuusverkko olisi valtion omistuksessa ja hallinnassa oleva viranomaisverkko. Siihen kuuluisi viestintäverkko ja siihen välittömästi liittyvä infrastruktuuri sekä verkon yhteiset palvelut. Laissa olisi säännökset turvallisuusverkon käyttövelvoitteesta ja muusta käytöstä sekä verkon ja sen yhteisten palvelujen palvelutuotannosta. Laissa säädettäisiin myös turvallisuusverkkotoiminnan ohjausmallista.

VALIOKUNNAN KANNANOTOT

Perustelut

Turvallisuusverkkotoiminta muodostuisi esityksen mukaan kahdesta osa-alueesta: turvallisuusverkosta ja sen ohjauksesta. Turvallisuusverkkotoiminnasta päävastuun kantaisivat yhteiskunnan turvallisuudesta vastaavat viranomaiset, kuten mm. puolustusministeriö. Toimintakokonaisuuteen kuuluisi kuitenkin myös viranomaisten toimintaa tukevia teknistä ja toiminnallista erityisasiantuntemusta edellyttäviä tehtäviä, joissa ei olisi kysymys julkisen vallan käytöstä ja joista voisi lakiehdotuksen mukaan vastata myös muu kuin julkisen hallinnon viranomainen. Lakiehdotuksen mukaan tällaisista tehtävistä vastaava palveluntuottaja olisi ainakin valtion kokonaan omistama Suomen Erillisverkot Oy -niminen osakeyhtiö tai sen kokonaan omistama tytäryhtiö.

Vaikutukset puolustusvoimiin

Turvallisuusverkon perustana on puolustusvoimien viestintäverkko, joka luovutettaisiin Suomen Erillisverkko Oy:lle. Puolustusvoimat osallistuisi yrityksen vastuulla olevien palvelujen tuottamiseen edelleen merikaapeliverkon osalta. Valiokunnan näkemyksen mukaan valtion omistus ja hallinta on paras tapa hallita turvallisuusverkon turvallisuutta ja käytettävyyttä kaikissa tilanteissa. Valiokunta muistuttaa, että kaikilla turvallisuusverkon palveluntuottajilla on oltava velvollisuus varautua poikkeusoloihin ja siitä on voitava antaa erikseen velvoittavia määräyksiä valtioneuvoston asetuksella.

Lakiesityksen mukaisella ratkaisumallilla saattaa olla suuria vaikutuksia puolustusvoimien toiminnalle. Valiokunta haluaa painottaa, että turvallisuusverkkotoiminnan siirtäminen pois puolustusvoimilta voi aiheuttaa useita mahdollisesti vakaviakin haasteita, jotka tulee ottaa lain toimeenpanovaiheessa huomioon. Valiokunnan näkemyksen mukaan liikkeenluovutuksella tulisi olemaan merkittävä vaikutus sotilaallisen maanpuolustuksen toimintaedellytyksiin, erityisesti johtamisen, tiedustelun sekä alueellisen koskemattomuuden valvonnan ja turvaamisen sekä kyber-puolustuksen osalta.

Lisäksi puolustusvoimien verkkopalveluihin liittyvät prosessit monimutkaistuvat, niihin liittyvät vaikutusmahdollisuudet kaventuvat sekä verkon valvonta ja hallinta siirtyvät osittain pois puolustusvoimien omasta hallinnasta. Erityistä huomiota tulee valiokunnan näkemyksen mukaan kiinnittää turvallisuusverkon kokonaisturvallisuuteen, poikkeusolojen toimintakykyyn ja yrityksen kyvykkyyteen toiminnan aloittamisessa.

Turvallisuusverkkotoimintaan liittyy merkittävä määrä valtion turvallisuuteen sekä maanpuolustussalaisuuteen liittyvää tietoa, jota on varjeltava kaikin mahdollisin keinoin. Valiokunta pitää tärkeänä, että myös turvallisuusverkon palveluita tuottavat yhtiöt tai yhteisöt ovat velvoitettuja noudattamaan samoja salassapitosäädöksiä kuin viranomaiset ja kaikille turvallisuusverkkotoimintaan liittyviä salassa pidettäviä tietoja käsitteleville henkilöille tehdään taustaselvitys.

Valiokunta painottaa, että liikkeenluovutus tulee toimeenpanna vasta sitten, kun sekä puolustusvoimilla että verkkoyhtiöllä on yhteinen varma käsitys siitä, että turvallisuustoimet ovat riittävät ja operatiivinen toiminta ei vaarannu siirron tapahtuessa.

Valiokunnan näkemyksen mukaan puolustusvoimien kannalta ongelmaksi voi muodostua sotilaallisen valmiuden kohottamisen vaatimien verkkoresurssien käyttöön saaminen nopeassa aikataulussa, silloin kun ei vielä ole puolustustilalaissa (1083/1991) tarkoitettu puolustustila. Lakiesityksen 13 §:ssä säädettäisiin verkon käyttöön liittyvästä päätösvallasta normaali- ja poikkeusoloissa. Valiokunnan saamien asiantuntijalausuntojen mukaan puolustushallinnon vastuiden kannalta keskeistä on varmistaa verkkoresurssin saatavuus erityisesti valmiuslain 3 §:n 1. ja 2. kohdan (so. aseellinen hyökkäys ja sen uhka) mukaisissa poikkeusoloissa sekä puolustustilan aikana. Valiokunta pitää tärkeänä, että oikeus päättää käytön ensisijaisuus-, kiireellisyys- ja muusta tärkeysmäärittelystä puolustustilassa säilytettäisiin säädöksessä, muutoin nämä asiat käsiteltäisiin 13 §:ssä esitetyllä tavalla valmiuslain säädösten mukaisesti.

Valiokunta muistuttaa, että puolustusvoimien tehtävän hoitamisedellytysten kannalta on ensiarvoisen tärkeää, että puolustusvoimat voi luottaa turvallisuusverkon toimivuuteen ja sen turvallisuuteen jatkuvasti ja kaikissa tilanteissa. Puolustusvoimien kannalta lakiehdotuksen mukaiseen ratkaisumalliin, erityisesti sen käynnistämis- ja siirtymävaiheeseen, saattaa liittyä turvallisuusriskejä. Valiokunnan näkemyksen mukaan näiden riskien suuruutta ja mahdollista toteutumista voidaan hallita ehdotettuun lakiin sisältyvillä turvallisuusverkkotoimintaa kokonaisuudessaan koskevilla turvallisuuden, varautumisen, valmiuden ja jatkuvuuden vaatimuksilla sekä näihin liittyvillä arviointi- ja todentamismenettelyillä. Tällaiset vaatimukset voivat liittyä esimerkiksi riskienhallintaan, suojaustasojen ylläpitoon, alihankkijoiden valintaan, toimintaan liittyvien turvallisuussopimusten laadintaan ja henkilöstön rekrytointiin sekä mahdollisten ulkomaisten sidosryhmien osalta yritys- ja henkilöturvallisuusselvityksiin.

Valiokunta pitää tärkeänä, että puolustushallinnolle jää harkittavaksi, mitä sotilaallisen maanpuolustukseen liittyviä tietojärjestelmiä sijoitetaan turvallisuusverkon sisälle ja mitkä olisivat puolustushallinnon omaa tuotantoa. Tieto- ja viestintäteknisten palveluiden käytön velvoittavuuden laajuus jää vielä avoimeksi, koska lakiin liittyviä asetuksia ei ole valmiina. Valiokunta painottaa, että puolustusvoimat tarvitsee jatkossakin poikkeusolojen toiminnan turvaamiseksi myös itse kykyä valvoa, operoida, rakentaa ja ylläpitää verkkoa, jotta sodanajan joukot voidaan liittää turvallisuusverkkoon.

Valiokunta tähdentää, että turvallisuusverkon tiloihin ja rakenteisiin liittyvät tiedot eivät ole saatavissa julkisista rekistereistä, vaan ne ovat vain turvallisuusverkkotoimintaan välittömästi liittyvien toimijoiden ja viranomaisten saatavilla.

Rahoitus, johtaminen ja tuottavuus

Valiokunnan saamien asiantuntijalausuntojen mukaan palvelutuotannon johtamisessa on muistettava, että verkon häiriötilanteet liittyvät usein yhteiskunnan laajempiin häiriötilanteisiin. Sen vuoksi verkon johtaminen tulisi tapahtua samoin periaattein kuin häiriötilan hallinnan johtaminen sekä normaali- että poikkeusoloissa. Valiokunta painottaa, että strategisen ohjauksen tulisi tuottaa selkeät periaatteet ja tavoitteet poikkeusoloissa toimimiselle. Keskeistä on myös päättää palvelutuotannon priorisoinneista ja määritellä, miten ja kenen johtamana poikkeusolojen toimintaa harjoitellaan.

Valiokunta pitää tärkeänä, että turvallisuusverkon ohjausmallia pyritään määrätietoisesti virtaviivaistamaan ja selkeyttämään varsinkin, kun kyse on organisaatiosta, jonka ohjaussuhteiden selkeys ja ohjausketjujen lyhyys korostuvat normaalitilasta poikkeavissa häiriötilanteissa. Johtokeskustasolla on oltava riittävä ohjeistus siitä, miten liikennettä tarvittaessa priorisoidaan.

Ohjausmallin ja ohjeistuksen on oltava niin selkeitä, että eri tilanteissa ei enää pohdita ohjaus- ja johtosuhteita.

Valiokunta tähdentää, että ohjaus- ja valvontatoiminnassa tulee huomioida yksittäisten viranomaisten ja toimijoiden erityispiirteet. Valiokunta painottaa kriisitilanteen johtamisjärjestelmän määrittelyn tärkeyttä ja ohjausmallin määrätietoista toiminnallista käynnistämistä.

Valiokunta haluaa lisäksi kiinnittää huomiota julkisen hallinnon tieto- ja viestintäteknologiahankkeiden (ICT) kustannusten hallintaan ja tuottavuushyötyjen saamiseen, mistä saadut kokemukset eivät aina ole olleet rohkaisevia. Koska lakiesityksessä sallitaan turvallisuusverkon osien palvelutuotanto eri organisaatioissa, tästä seuraa valiokunnan saamien selvitysten mukaan lisävaatimuksia erityisesti hallintajärjestelmien yhteentoimivuudelle, palveluiden suoriteperusteiselle kustannuslaskennalle sekä palveluiden turvallisuuden, laadun, tuottavuuden ja vaikuttavuuden arvioinnille. Näihin kaikkiin tulee kiinnittää erityistä huomiota. Valiokunta tähdentää lisäksi, että kustannuskehitys pidetään jatkossa hallinnnassa ja että toiminnassa pyritään mahdollisimman etupainotteiseen taloussuunnitteluun erityisesti suunniteltaessa uusia investointeja ja kehitettäessä verkon palveluita.

Samaan aikaan nyt käsittelyssä olevan lain kanssa on valmistelussa valtion yhteisten, toimialariippumattomien tieto- ja viestintäteknisten palveluiden (TORI) tuottamiseen liittyvä lakiesitys (HE 150/2013 vp). Hankkeen tavoitteena on sekä valtion ICT-palvelukeskusten että valtion virastojen toimialariippumattomien tieto- ja viestintäteknisten tehtävien kokoaminen yhteen mm. siten, että yhteenliittämisestä voidaan selvästi osoittaa koituvan kokonaistaloudellista säästöä valtionhallinnossa ja että palveluiden toimintavarmuus turvataan myös siirtymävaiheessa. Valtioneuvostossa on lisäksi käynnissä kansallisen palveluväylän arkkitehtuurin suunnitteluhanke, jonka on tarkoitus vastata tiedonvaihdon osalta julkisen hallinnon toiminnalle asetettuja luotettavuus- ja tietoturvavaatimuksia. Valiokunta korostaa näiden kaikkien lakiesitysten ja hankkeiden yhteensovittamista erityisesti palvelutuotannon näkökulmasta.

Valiokunnan näkemyksen mukaan valtiovarainministeriön laatimaa valtion yhteiseen tietojärjestelmähankkeiden arviointikehikkoon tulee harkita lisättäväksi palveluiden turvallisuusvaatimukset. Samalla tulee arvioida turvallisuus-, laatu-, tuottavuus- ja vaikuttavuustavoitteiden toteutumista. Erityisenä haasteena voidaan pitää vaadittavan luottamuksellisuuden ja toisaalta tarpeellisen avoimuuden yhdistämistä. Valiokunta tähdentää, että hankkeen tulee myös määritellä ne kriteerit, joiden perusteella turvallisuusverkkotoiminnan varautumista arvioidaan ja mitataan.

Lausunto

Lausuntonaan puolustusvaliokunta esittää,

että hallintovaliokunta ottaa edellä olevan huomioon.

Helsingissä 24 päivänä lokakuuta 2013

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Jussi Niinistö /ps
  • vpj. Seppo Kääriäinen /kesk
  • jäs. Tuija Brax /vihr
  • Lars Erik Gästgivars /r
  • Timo Heinonen /kok
  • Mika Kari /sd (osittain)
  • Esko Kurvinen /kok
  • Pentti Oinonen /ps
  • Eero Reijonen /kesk
  • Mikko Savola /kesk (osittain)
  • Ismo Soukola /ps
  • Pauliina Viitamies /sd
  • Sofia Vikman /kok (osittain)
  • Tuula Väätäinen /sd
  • Jyrki Yrttiaho /vr

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Juha  Martelius

ERIÄVÄ MIELIPIDE

Perustelut

Esityksen mukaan kaikkien turvallisuusviranomaisten verkko- ja infrastruktuuripalveluja tuottaisi jatkossa valtion kokonaan omistaman osakeyhtiön Suomen Erillisverkot Oy:n tytäryhtiö. Esityksen perusteluista ei käy ilmi, miksi palvelujen tuottamisessa on päädytty juuri osakeyhtiömalliin, vaikka kyseessä on julkinen hallintotehtävä, josta ei kokonaisuutena voi vastata muu kuin julkisen hallinnon viranomainen. Miten voidaan käytännössä varmistua siitä, että laajat oikeudet verkkoinfrastruktuurin laitteiden ja laitetilojen hallintaan ja käyttöön vastaanottava yritys pysyy kokonaan valtion omistuksessa, ja miten varmistetaan markkinaehtoisesti toimivien alihankkijayritysten turvallisuustaso ja luotettavuus? Palveluja tuottava yritys tekisi käytännössä viranomaisohjauksesta riippumattomana päätöksiä mittavista julkisrahoitteisista hankinnoista ja kytkeytyisi riippuvuuteen monikansallisista telealan yrityksistä. Samaan aikaan TUVE-hankkeen kanssa eduskunta käsittelee lakiesitystä valtion yhteisten, toimialariippumattomien tieto- ja viestintäteknisten palvelujen (TORI) tuottamisesta. Siinä palvelut tuottaa ja niistä vastaa valtion virasto, ei osakeyhtiö. Todellisuudessa julkinen keskustelu toteutettavien mallien käyttökelpoisuudesta on käymättä. Toimintamalli on valittu jo vuosia sitten. Hanke on edennyt. Siihen on kohdennettu kymmeniä miljoonia euroja. Lakiesitysten muodossa eduskunta on nyt asetettu vain todistamaan tapahtuneet tosiasiat.

Hallinnon turvallisuusverkkohankkeessa kerrotaan pyrittävän myös merkittäviin kustannus-säästöihin. Korkean turvallisuustason verkkototeutusten kustannukset ovat moninkertaiset verrattuna korotetun turvallisuustason toteutuksiin, ja nämä vastaavasti moninkertaiset verrattuna perustason toteutuksiin. Suurella osalla verkkoon liitettäviä toimijoita ei ole lainkaan tarvetta korkean tietoturvatason toteutuksiin. Nykymuodossaan laki tarkoittaa kuitenkin sitä, että kaikkien turvallisuusviranomaisten tulee ottaa ko. tason ratkaisut käyttöön. Tämä aiheuttaa esim. pelastuslaitoksille, ensihoidolle ja monille muille verkkoon liittyville viranomaisille merkittävät ja merkittäviltä osin turhat lisäkustannukset. Lisäksi keskitetyn turvallisuusverkon haavoittuvuusriski kyberhyökkäyksen tai mittavan muun häiriötilan oloissa on suuri ja myös kustannukset varajärjestelmien luomiseen ja ylläpitämiseen kasvavat.

Lakiesityksellä säännellään merkittävästi perustuslaissa julkisen vallan käyttöä sisältäviä tehtäviä, joita ei voi antaa muille kuin viranomaisille. Siksi lakiesitys olisi pitänyt käsitellä myös perustuslakivaliokunnassa ja punnita kaikilta osin esityksen perustuslainmukaisuus ja säätämisjärjestys.

Ehdotus

Edellä olevan perusteella esitän,

että hallintovaliokunta ottaa edellä olevan huomioon.

Helsingissä 24 päivänä lokakuuta 2013

  • Jyrki Yrttiaho /vr