Valtion tarkastajat lyttäävät Väestörekisterikeskuksen varmennetoiminnat
12.5.2008 10:39 Julkishallinnossa on kehitetty sähköisiä tunnistuspalveluita voimakkaasti, mutta päädytty useisiin päällekkäisiin ja taloudellisesti epäedullisiin ratkaisuihin, ilmenee Valtiontalouden tarkastusviraston VTV:n selvityksestä. Tulilinjalla ovat muun muassa Väestörekisterikeskus ja verohallitus.
Tarkastuksen piiriin kuuluneiden tunnistuspalveluiden kehittämis- ja käyttökustannukset olivat vuosina 1999-2007 yhteensä noin 40 miljoonaa euroa. Huomattavista panostuksista huolimatta suurin osa
tunnistustapahtumista tehdään edelleen verkkopankkitunnuksilla.
VTV:n mukaan osasyinä varojen tehottomaan käyttöön ovat olleet valtion it-toiminnan ohjauksen
riittämättömyys, tavoitteiden lyhytjänteisyys, päällekkäisten hankkeiden tukeminen sekä se, että todellisia tarpeita palveluiden käytölle ei ole selvitetty.
Väestörekisterikeskuksen varmennetoiminta on tarkastajien mukaan ollut tappiollista ja markkinoita vääristävää. Sen tarjoamien varmenteiden käytössä on ongelmia ja niille on julkishallinnossa vain vähän käyttöä. Väestörekisterikeskuksen varmennetoiminta on ollut tehotonta ja havaittuja puutteita on selvitetty useaan otteeseen, mutta niitä ei ole korjattu.
Useissa tunnistuspalveluhankkeissa on havaittu puutteita tai laiminlyöntejä hankintasäännösten noudattamisessa. Ongelmia on ollut erityisesti Terveydenhuollon oikeusturvakeskuksen ja Verohallituksen hankinnoissa. Niiden tunnistuspalveluiden kehittämistä ei ole tehty asianmukaisesti, eikä hankintoja hankintalainsäädännön mukaisesti. Lisäksi hankkeissa oli puutteita eri viranomaisten välisessä yhteistyössä.
Verohallitus on esimerkiksi hankkinut palvelukseensa henkilökonsultteja ilman selkeitä toimeksiantoja ja määräaikaa tai riittävää seurantaa. Verohallituksen Katso-palvelun toteutus on monessa suhteessa lainvastainen sekä ongelmallinen valtion it-strategiassa asetettuihin tavoitteisiin ja linjauksiin nähden.
Terveydenhuollon oikeusturvakeskuksen varmennetoiminnassa on huomattavia taloudellisia ja toiminnallisia riskejä. Pelkästään terveydenhuollon ammattivarmenteen käyttöönottovaiheen kustannukset voivat nousta jopa kymmeneen miljoonaan euroon, josta suurin osa kustannetaan julkisin varoin. Tätä ei ole huomioitu hankkeen käynnistämisvaiheessa.
VTV:n mukaan viranomaisten tietojärjestelmähankinnat tulee valmistella huolellisesti ja valmistelussa on selvitettävä, mitä vastaavia järjestelmiä valtionhallinnossa on jo käytössä tai kehitteillä. Valtion it-toiminnan koordinointia tulee tehostaa lainsäädännön avulla.
Yksittäisten viranomaisten tulisi hankkia vain omaan ydintehtäväänsä liittyviä järjestelmiä. Viranomaisten tulee myös tietoturvatoimenpiteitä suunnitellessaan huomioida suojauksen todellinen tarve. Henkilötunnistus ei yleensä ole sähköisen asioinnin edellytys. Tunnistuspalveluiden
ylikorostaminen on voinut johtaa muiden julkisen hallinnon sähköisten asiointipalveluiden hitaampaan kehittämiseen, VTV arvioi.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 09:12 Kännykät Obaman puolella, lankapuhelimet Romneyn
- 08:19 Facebook ostaa Operan?
- 07:00 Google paljasti kuka pyytää hakutulosten poistamista
- 00:31 Sosiaaliset lahjat tunkevat Suomeen
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 07:00 Google paljasti kuka pyytää hakutulosten poistamista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 00:31 Sosiaaliset lahjat tunkevat Suomeen
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 08:19 Facebook ostaa Operan?
- 07:00 Google paljasti kuka pyytää hakutulosten poistamista
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Kännykät Obaman puolella, lankapuhelimet Romneyn 09:12
- Google paljasti kuka pyytää hakutulosten poistamista 07:00
- Web-hotelli sulki Nestespoil.comin 12:45
- Nykyinen televisiosi simahtaa vuonna 2026 10:32
- Kodakin ”ilmiselvän” patentointi ei kelpaa 09:09
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- Korkein oikeus kylmänä tunnetulle piraatille 13:59
- Apple, Microsoft, Ericsson perustivat patenttitrollin 09:59
- Lisää
Poiminnat
Digiyesterday
Kolme vuotta sitten
Ensimmäiset supernopeat USB 3.0 -ohjaimet julkaistiin
28.05.2009 NEC:in uusi USB 3.0 -ohjainpiiri siirtää tietoa kymmenen kertaa nopeammin kuin USB 2.0.
Taloussanomat
- Miksi Suomessa ei osata soittaa puhelimella? 06:01
- Tässä on 2010-luvun mobiilietiketti 06:03
- Kuluttajat ovat luottavaisempia, mutta työttömyys pelottaa 09:21
- Syriza kuittaa varoitukset euroerosta: "Pelottelua ja valheita" 09:40
- Espanjalaispankkien luokituslaskut jatkuvat 08:31
- Suurpankki pakenee Ateenan pörssistä 08:15
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- » Taloussanomat.fi
Kommentit (17)
Yllättäen verohallinto kertoo raportissa, että kaikki silloiset tarjouspyynnöt ovat "kadonneet virkamiesten sähköpostilaatikoista".
areena.yle.fi/toista?id=1254101
Todella omituinen johtopäätös kun katsoo mihin internet-maailmassa ollaan menossa. Tunnistustahan tarvitaan koko ajan vain enemmän ja yhä kovenevin vaatimuksin. Ei se tarkoita että kun jossain ei ole kyetty ratkaisemaan tunnistukseen liittyviä haasteita, niin tunnistusta ei enää tarvita .
Jos tunnistuspalveluja olisi suunniteltu avoimet standardit mielessä ja pitäen silmällä edes jonkin sortin kehityskaariajattelua, olisimme takuulla ihan eri asteella "sähköisen asioinnin" kehitystä.
Turhauttavaa katsella tällaista rahan ja mahdollisuuksien haaskaamista.
Kyllä se vähän ylikorostamiselta vaikuttaa, jos esimerkiksi valvontailmoituksen tai veroilmoituksen lähettämiseen tarvitaan Katso-pääkäyttäjän tunniste, Katso-organisaatiotunnus ja sen lisäksi vaihtuva OTP-salasana jokaisella sisäänkirjautumiskerralla.
Siksi oli aivan turhaa ympätä HST juuri poliisin antaman henkilökortin ominaisuudeksi, kun sen olisi voinut sijoittaa mille tahansa sirulle, kännykkään tai maksukortille. Sirukortteihin on saatavissa järjestelmäratkaisuja joilla samalla sirulla olevat sovellukset pidetään loogisesti erillään.
Samoin tunnistaminen ja henkilön suorittamaan toimenpiteeseen tai virka-asemaan perustuvien oikeuksien hallinnointi olisi pitänyt erottaa kokonaan omaksi osajärjestelmäkseen. Sama ihminenhän voi minuuttien sisällä olla asioimassa vaikkapa edustamana itseään tavallisena kansalaisena, toisen henkilön valtuuttamana tai huoltajana tai virkamiehenä.
P.S. Viljanen noudatti urasuunnittelun perussääntöä - poistu nousujohteisesti seuraavaan hommaan ennen kuin töppäykset tulevat päivänvaloon.
Siinä onkin esimerkki asioiden tekemisestä HUONOSTI. Esim. VRK-varmenteiden ideahan onkin, että tuollaisissa paikoissa ei tarvitsisi enää mitään muuta kun työntää kortti lukijaan, näppäillä pin-koodi ja homma olisi sillä selvä ja turvallisesti.
Olen täysin eri mieltä, etteikö kyseisiä tunnistautumisjärjestelmiä tarvittaisi ja niitä eräässä ministeriössä hoitaneena, asennelleena ja kouluttaneena olen myös erittäin vahvasti eri mieltä niiden tarpeesta julkihallinnossa.
Lähiaikoina astuu voimaan säädös, että toisin kuin ennen, kaikki luottamukselliset (joita siis on valtavasti, toisin kuin salaisia tai erittäin salaisia, joilla on ihan omat järjestelmänsä) dokumentit, jotka ovat tähän mennessä kulkeneetr nätisti suojaamattomana sähköpostilla vaikka sidosryhmille, pitää kryptata tehokkaasti ja niin, että vain vastaanottaja saa ne auki. Mahdollisimman monen viraston ja järjestön siirtyminen samaan järjestelmään, jossa voi osoittaa ne vain vastaanottajan kortin sirulle, on käytännössä ainoa tapa toteuttaa tämä.
Samoin henkilökohtaisesti ajatus kirjautumisesta kaikkeen tärkeimpään netissä kortilla ja pin-koodilla on sekä tietoturvan (jos kortti katoaa, yhden kortin kuolettamalla saa kaikki huolet pois, ei tarvi vaihtaa salasanoja jokaiseen palveluun) että käytännöllisyyden (ei tarvi muistaa 100 salasanaa ja vaihtaa pin-koodia joka kerta) kannalta miellyttävä.
Sen sijaan, en epäile hetkeäkään, ettei homma kusisi, kilpailutus olisi vähäistä, jne... Esim. Tunator laskuttaa 60¬ per asennus, joka hoituu ihan miltä tahansa kesätyöläiseltä helposti kymmenessä minuutissa. Kun näitä tulee tuhansia, kyllä se tuntuu. Tosin, oikeistohallituksemme linjaamilla periaatteilla, näihin tehtäviin ei saa ottaa kesätyöläisiä, sillä valtion kuuluu vähentää väkeä ja kaikki mahdollinen ostettava ulkoa.