Väljaminev kiri

Tere!

Siseministeeriumi infotehnoloogia- ja arenduskeskusele (SMIT) on saadetud riigi info- ja kommunikatsioonitehnoloogiliste arendusprojektide määruse eelnõu. Täname, et meid kaasasite.

SMIT määrust sellisel kujul ei kooskõlasta.

Kavandatava määruse eesmärk – tagada riigi IKT-kulude läbipaistvus, vältida dubleerimist ning suurendada efektiivsust, on kahtlemata õige ja vajalik. Samas määruse jõustumine sellisel kujul ei täida seatud eesmärki, vaid tekitab juurde olulise ajalise viite ning kulu kogu planeeritud bürokraatiale, mis läheb vastuollu digiriigi põhimõtetega.

Eelnõu on liialt teoreetiline ning eirab praktilist teenusehalduse loogikat. SMITI põhiülesanne on ministeeriumi valitsemisala ülesannete täitmiseks vajalike IKT teenuste osutamine (haldamine, arendamine ja hankimine) - vastutades sisejulgeoleku eesliini-IT ja elutähtsate teenuste toimepidevuse eest. Eelnõu suurim risk on otsustusõiguse ja vastutuse lahutamine. Kui riiklikul juhtkogul on õigus arendusi suunata või peatada, kuid vastutus teenuse toimepidevuse eest sisejulgeoleku kriisiolukorras jääb SMIT-ile, on tegemist vigase juhtimismudeliga. Vastutus ja otsustusõigus peavad käima käsikäes.

Määrus ei taga terviklikku IKT teenuste haldamist või parimal juhul teeb seda osaliselt. Määrus saavutab küll parema kontrolli rahakasutuse üle, kuid ei taga efektiivsust ega teenuste kvaliteeti sisejulgeoleku vaates. Praegusel kujul on tegemist pigem finantskontrolli ja tsentraliseerimise tööriistaga, mis käsitleb IKT-d kui rida eraldiseisvaid ehitusprojekte, mitte kui sisulist ja terviklikku teenust.

Eelnõu keskendub projektidele ehk tegevuste algusele ja lõpule, kuid unustab teenuse elutsükli (ITIL-vaade). IKT-teenus on pidev protsess, mis hõlmab arendust, haldust, kasutajatuge, küberkaitset jm. Eelnõu ei vasta küsimusele, kuidas tagatakse ressursid halduseks ja kvaliteedi hoidmiseks pärast projekti lõppu. Tsentraliseeritud arenduskontroll ilma vastava haldus- ja eelarvevaateta tekitab „tehnoloogilist võlga“ – uusi lahendusi ehitatakse tsentraalse sunniga, kuid nende ülalpidamiseks puudub hiljem ressurss ja selgus.

Määrus tekitab kunstliku barjääri arenduse (mida kontrollib riik) ja halduse (mis jääb asutusele) vahele, lõhkudes kaasaegse DevOps-põhimõtte. Selleks, et eesmärgid päriselt täituksid, peaks määrus keskenduma teenusestandarditele ja liidestele, mitte projektide igapäevasele juhtimisele.

Kuna enamik SMIT-i pakutavatest teenustest toetavad otseselt avalikke teenuseid, seab eelnõus kirjeldatud jäik septembrikuu-põhine planeerimistsükkel ohtu sisejulgeoleku operatiivvõimekuse. Avalik teenus ei saa jääda ootama riikliku IKT-juhtkogu kantslerite tasandi otsust. Eelnõu ignoreerib asjaolu, et seadusemuudatused või operatiivvajadused nõuavad sageli kiiret sekkumist äriloogikasse.

Staatiline aastane tsükkel (§ 12 lg 3) ei sobitu sisejulgeoleku dünaamilise reaalsusega. Näiteks võib Riigikogu võtta seaduse vastu keset aastat - rakendustähtajaga kolm kuud. Kui see muudatus eeldab uut funktsionaalsust (§ 13 lg 2), tekib õiguslik ummikseis: asutus peab täitma seadust, kuid määrus keelab arenduse ilma Justiits- ja Digiministeeriumi (JDM) heakskiiduta, milleks puudub kiire menetluskord.

Kui iga selline arendus peab läbima tsentraalse kooskõlastusringi, muutub riiklik juhtimine pudelikaelaks. Sisejulgeolekus, kus tuleb reageerida kiiresti küberohtudele (nt Häirekeskuse või PPA süsteemid), ei ole võimalik oodata haldusaparaadi taga. Kui SMIT tagab aga teenuse kättesaadavuse ja teeb vajaliku arenduse ilma kooskõlastuseta, rikub ta formaalselt määrust. See on vastuvõetamatu valik turvalisuse ja bürokraatia vahel. Samamoodi kui vaadata ka näiteks hädaabi ja pääste teenuste eripära ning operatiivset iseloomu vajab eelnõu erandeid, et vältida olukordasid, kus tsentraalne juhtimine või üldised nõuded võivad piirata teenuste töökindlust ja kiiret reageerimist.

Ministri määrus on õigusakt. Kui me ei defineeri selgelt, mis jääb reguleerimisalast välja ja kuidas arvestatakse olemasolevaid kvaliteedisüsteeme, loome süsteemi, mis on paberil puhas, kuid praktikas aeglane ja ohtlik.

SMIT on rahvusvaheliselt sertifitseeritud ja allutatud rangele ISO 27001 standardile. Meie protsessid ja turvameetmed on juba pideva auditeerimise all. Eelnõu nõue täiendavaks riiklikuks auditeerimiseks on SMIT-i puhul ressursi raiskamine ja topelt töö. Tekib ka sisuline risk: kui riik kohustab meid dubleerimise vältimise sildi all kasutama mõnda keskset komponenti, mis ei vasta ISO-standardi rangetele toimepidevuse nõuetele, satub ohtu kogu sisejulgeoleku taristu usaldusväärsus. Kvaliteet peab olema teenuse elutsükli osa, mitte väline kontrollikiht.

Seoses audititega toome veel välja järgneva. EN § 13 lg 13 kohaselt auditeerib riiklik IT-arendusprojekti riiklik IKT-juhtkogu, vastavalt EN § 7 lg-le 1 IKT-juhtkogu juhib IT-arendusprojektide auditeerimist ja EN § 8 lg 1 kohaselt koosneb riiklik IKT-juhtkogu ministeeriumite kantsleritest. Arvestades ebakõla §-de 13 ja 7 vahel ning võttes arvesse, et riiklik IKT-juhtkogu koosneb kantslerite tasemest, jääb auditite vaatest ebaselgeks, kes täpselt on õigustatud arendusprojekte auditeerima. Lisaks veel vastu milliseid kriteeriume auditeerimine peaks toimuma? Samuti tekib küsimus, kas pärast arendusprojekti auditeerimist toimub lisaks veel ka töös oleva teenuse auditeerimine, mis mõnel juhul ka valdkonnapõhiselt on ette nähtud (nt eIDAS audit) ja millise vastutuse võtab siis arendusprojekti auditeerija kui hiljem selgub, et järgmine audit leiab siiski vigu?

Eelnõu üks suurimaid puudusi on selge piiri puudumine jooksva arendustöö ja „arendusprojekti“ vahel. Praegune definitsioon on nii lai, et selle alla võib liigitada peaaegu iga eesmärgipärase koodimuudatuse. Ilma selgete lävepakkudeta upuvad nii asutused kui ka riiklik juhtkogu pisitaotlustesse. See infomüra kaotab tegeliku kontrolli süsteemi üle. Samamoodi vajab defineerimist, piiride seadmist ka „funktsiooni“ mõiste.

Ehk siis veelkord - SMIT ei tegele pelgalt projektidega, vaid tagame elutähtsate teenuste toimimise. Selle eelnõu suurim kitsaskoht ongi tervikliku IKT-teenuse osutamise ignoreerimine. Kui määrus ei sätesta dünaamilist ja kiiret muutmise korda (nn ad-hoc muudatused), muutub riigi IT-arendus staatiliseks ning kaotab võimekuse reageerida operatiivvajadustele või ootamatutele seadusmuudatustele. Selleks, et tagada riigi infosüsteemi tegelik jätkusuutlikkus ja turvalisus, peab projektikeskne lähenemine asenduma teenusekeskse vaatega.

Kuigi määruse deklareeritud eesmärk on luua läbipaistvus ja tervikvaade, on sisse kirjutatud süsteemsed lüngad. On tõsine risk, et oodatud tervikpilti tegelikult ei teki, kuna „arendusprojekti“ definitsioon jätab suure osa tegevusest nimekirjast välja. Jooksev arendus ja hooldus, mida tehakse baasrahastuse toel, ei pruugi kvalifitseeruda projektiks ning seega ei jõua need ka riiklikusse planeerimisse. See tekitab hajuspiiri, kus dubleerimist on võimatu tuvastada – kui üks asutus teeb arendust projektina, aga teine jooksva parendusena, ei püüa riiklik filter seda kattuvust kinni.

Samuti jääb seos avalike teenustega puhtalt deklaratiivseks. Määrus nõuab küll ärimuudatuste põhistamist, kuid see on projektipõhine vaade. Ilma teenusearhitektuuri vaateta jääb riigil endiselt puudu „põhikaart“ sellest, milline IKT-komponent täpselt millist avalikku teenust ülal hoiab.

Ka lubatud läbipaistvus kulude üle jääb ebatäielikuks. Kuluvaade on piiratud konkreetse projektiga, kuid see ei peegelda riigi IKT-lahenduste kogukulu (TCO). Välja jäävad litsentsitasud, riistvara vahetus, kasutajatugi ja muud tegevuskulud (OPEX), mis on aga vältimatud teenuse osutamiseks. Seega ei teki finantsvaadet, mida eesmärgina lubatakse.

Lõpuks puudub ka dubleerimise tuvastamise sisuline metoodika. Kui SMIT arendab oma sisevajaduseks lahendust väikeste sammudena, mis ei jõua „projektina“ lauale, siis riiklik järelevalve seda ei näe, isegi kui kuskil teises asutuses tegeletakse analoogse asjaga.

Eelneva osas kokkuvõtvalt, arendusprojektide nimistu ei ole võrdne riigi IKT tervikvaatega. Määrus loob küll parema ülevaate suurematest investeeringutest, kuid ei teki tervikpilti dubleerimisest, seost avalike teenustega ega täielikku vaadet kuludest. Probleemide lahendamiseks peaks juhtimine liikuma projektikeskselt mudelilt teenuse- ja arhitektuurikesksele juhtimisele, mis kataks IKT kogu elutsükli, mitte ainult üksikud arendusetapid. Ühtlasi võiks esmajärjekorras keskenduda tugiteenustele, mitte ministeeriumite ärispetsiifilistele teenustele.

Lisaks toob määrus kaasa arendusprotsessi muutuse ja suurel määral. Samas arendussuundade otsustus- ja suundade määramiste juurde määruse järgi IT-majasid ei pea kaasama. Jääb ebaselgeks, kes hakkavad projekte hindama ja IT-arendussuunasid täpselt määrama, millised eksperdid ja millises ulatuses. Ühtlasi paistab kogu protsess tervikuna siiski kulukas, kuid seda seletuskirjast ei peegeldu. Kulu seisneb nii ettevalmistavas töös kui otsuste tegemises, sh kantslerite tööaeg arendusprojektide valiku üle otsustamisel. Jääb lahtiseks küsimus kuidas eelnõus toodud protsess toetab halduskoormuse vähendamise üldist suunda riigis. Vastupidi, selline iga funktsionaalsuse kohta komisjonist loa küsimine tõstab halduskoormust märgatavalt.

Määruse jõustumisel on see ilmselgelt kaasuv, aga juhime siiski veel üldpildis tähelepanu. Kuna määruse jõustumine toob kaasa ulatusliku mõju SMIT-i arendusprotsessile, ühtlasi SIM arenduskorrale ja SIM-i info- ja kommunikatsioonitehnoloogia teenuse osutamise põhimõtetele, siis tuleb üle vaadata ka haldusalas kehtiv arendusprotsess, sh SMIT-i enda oma ja ka arendusnõuded ning viia need määrusega kooskõlla.

Mõned kommentaarid ka seoses konkreetsete paragrahvidega:

§ 2. Määruse reguleerimisala

Määrus ei erista elutähtsaid ja operatiivseid IKT-süsteeme tavapärastest arendusprojektidest. Juhul kui ka väiksema funktsionaalsuse lisamine kvalifitseerub projektiks, siis on kindlasti vajalik elutähtsate teenuste puhul erandit. On mõeldamatu iga funktsionaalsuse „kooskõlastamine“ eriti meie teenuste kriitilisuse kontekstis.

§ 6. IKT-arendusprojekti puhul järgitavad põhimõtted

§ 6 punkt 1 - dubleerimiskeeld

Dubleerimiskeeld vs toimepidevus. Dubleerimiskeeld ei arvesta olukordi, kus dubleerimine on turva- ja toimepidevuse nõue. Ettepanek lisada dubleerimiskeelu erand. Näiteks hädaabiteenuste puhul on paralleelsed lahendused (nt side, logimine, juhtimissüsteemid) sageli vajalikud.

Ettepanek lisada § 6 punktina 9 uus põhimõte – katkematus ja reageerimiskiirus

Teenuse katkematus ja reageerimiskiirus – elutähtsaid teenuseid toetavad IKT-lahendused kavandatakse ja arendatakse viisil, mis tagab teenuse ööpäevaringse kättesaadavuse, kiire muudatuste rakendamise kriisiolukorras ning minimaalse sõltuvuse välistest kooskõlastusprotsessidest.

§ 8, § 9, § 10, § 11 – IKT-juhtkogu, teenindavad üksused, nõukojad

Siseturvalisuse projektide puhul on oluline arvestada, et sõltuvalt arendusest räägime ka riigisaladusest. Oluline on arvestada sellise teabe töötlemise piirangutega, sh nii töötlemise keskkondade kui ka isikutel vajalike lubade olemasoluga. Seda tuleb arvestada nii otsustajate, ettevalmistajate kui ka kaasatute tasemel. Puudub teadmine kas sellega on arvestatud ja kuidas sellised olukorrad plaanitakse lahendada.

§ 13. Riigi IKT-arenduste plaanis oleva IKT-arendusprojekti elluviimine

§ 13 lg 7 - Kooskõlastustähtajad (§ 13 lg 7) ei ole sobivad kriisi- ja hädaolukordade jaoks. Näiteks COVIDi kriis, kus loodi sisuliselt päevadega rakendus kriisiinfotelefoni toetamiseks. Ettepanek luua erisus, et põhjendatult kiireloomuliseks loetakse muu hulgas elutähtsa teenuse toimimist otseselt mõjutav IKT-arendusprojekt, mille puhul võib kooskõlastamine toimuda osaliselt või täielikult pärast arenduse alustamist.

Lugupidamisega