Uutiset
Kyberturvallisuusjohtaja varoittaa hallituksen ajaman uudistuksen vaikutuksista
Hallitus antoi eduskunnalle esityksen hankintalain uudistuksesta torstaina ja se voi romahduttaa ICT-turvallisuusrakenteet, painottaa valtion kyberturvallisuusjohtaja Rauli Paananen.
Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus on vakavasti heikentämässä Suomen kyberturvallisuutta.
Erityisesti sidosyksiköitä koskeva 10 prosentin vähimmäisomistusvaatimus uhkaa turvallisuusrakenteita joihin erityisesti kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat, Kustos ry tiedottaa.
Palvelujen yksityistäminen pois inhouse-palveluista myös moninkertaistaisi kyberturvan kustannukset, kyberturvallisuusjohtaja varoittaa hankintalakiesityksessä.
Vapaa käyttöoikeus
Valtion kyberturvallisuusjohtaja Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan.
Tämä selviää eduskunnalle edenneestä hallituksen hankintalakiesityksestä.
Nykyisissä yhteistyörakenteissa kriittinen osaaminen on ollut yhteisesti käytettävissä ja turvannut palveluiden jatkuvuuden.
Lakiluonnoksessa todetaan, että erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on keskeinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset ratkaisut eivät kaikilla alueilla kykene korvaamaan.
Kallis uudistus
Hankintalakiehdotuksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa kolmesta neljään kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille.
Valtion kyberturvallisuusjohtaja Paananen kertoo lakiesityksessä markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi- tai nelinkertaistaisi kustannukset.
Lakiluonnoksessa korostetaan, että kyberturvallisuutta ei voida erottaa ICT-järjestelmistä tai ”liimata” olemassa olevien rakenteiden päälle. Turvallisuuden on oltava sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan, tiedotteessa kerrotaan
Palveluiden sirpaloituminen ja pakollinen jakaminen osiin lisää riskiä uusista haavoittuvuuksista, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää. Erityisen alttiita kyberhyökkäyksille ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan.
Huoli koskee erityisesti pieniä ja harvaan asuttuja kuntia, joilla ei ole taloudellisia tai osaamisresursseja järjestää vaativia kyberturvallisuuspalveluja itsenäisesti.
Sidosyksiköt ovat tarjonneet näille kunnille mittakaavaetuja, jatkuvuutta sekä osaamista tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu kyberturvaosaajista kovaa.
Lakiehdotuksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason kyberturvallisuusvaatimuksia.
Hankintalakiehdotus tunnistaa myös EU:n uuden kyberturvallisuuslainsäädännön, kuten NIS2-direktiivin ja Cyber Resilience Actin, asettamat tiukentuvat vaatimukset, mutta samalla toteaa, ettei voimassa oleva hankintalaki tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa.
Vaikuttaa kuntien asukkaisiin
Lisäksi julkisomisteisia inhouse-yhtiöitä edustava Kustos ry tiedottaa, että turvaluokittelu tai CE-merkintä ei yksin riitä takaamaan turvallisuutta, kun suuria tietomassoja käsitellään kriittisissä julkisissa järjestelmissä.
Lakiluonnoksessa todetaan toistuvasti, että mikäli kyberturvallisuudessa, tietoturvassa tai varautumisessa syntyy vakavia puutteita, seuraukset eivät rajoitu yksittäisiin hankintayksiköihin.
Vaikutukset heijastuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu puutteiden korjaamisesta ja niiden kustannuksista olisi valtiolla.
Lisäksi tiedotteessa muistutetaan, että lainsäädännön arviointineuvosto on omassa lausunnossaan vaatinut hankintalakiesityksen kustannusvaikutusten perusteellisempaa arviointia.
Neuvoston mukaan esityksessä ei ole esitetty tutkimustietoa tai dataa sidosyksiköitä koskevan 10 prosentin minimiomistusvaatimuksen tueksi, eikä siinä ole arviota hallinnollisen taakan tai mahdollisesti moninkertaistuvien kyberturvakustannusten suuruudesta.
Lue myös:
