Smolnan valkoiset ovet aukesivat. Juha Sipilä astui sisään. Alexander Stubb ja Timo Soini tulivat perässä.

Aikalailla samalla hetkellä pimeni. Oli 27. toukokuuta. Sipilä, Stubb ja Soini olivat saaneet muutaman viikon työnsä valmiiksi. Heidän piti esitellä strateginen hallitusohjelmansa.

Niin he tekivätkin. Kamerat räpsyivät, kun Sipilä laittoi PowerPointilla Suomea kuntoon. Smolnan valkokangas oli kuitenkin ainut paikka, josta ohjelmasta saattoi saada ensikäden tietoa, sillä kävijäruuhka oli kaatanut valtioneuvoston uudet kotisivut.

Pian ohjelma oli tarjolla keskustan kotisivuilta. Puolitoista tuntia myöhemmin valtioneuvoston sivujen toiminta palaili pätkittäin.

Kerta ei ollut ensimmäinen. Sivut olivat pätkineet ja kaatuilleet useita kertoja pitkin kevättä. Nyt hetki vain oli tavallista kriittisempi: koko Suomi tuijotti Juha Sipilän ensimmäistä suurta hetkeä. Mutta silloin sivusto, joka on valtioneuvoston pääasiallinen väline viestiä internetissä kansalaisille myös äkillisten tapahtumien ja kriisitilanteiden tullen, sanoi seis.

Valtioneuvoston uudet sivut olivat osa pilottihanketta, jossa valtioneuvostolle, valtiovarainministeriölle, maa- ja metsätalousministeriölle ja sosiaali- ja terveysministeriölle rakennettiin uudet kotisivut, virastokielella YJA eli yhteinen verkkojulkaisuratkaisu. Valtioneuvoston sivut aukesivat projektista ensimmäisenä, torstain ja perjantain välisenä yönä 16. tammikuuta 2015. Puolitoista vuorokautta myöhemmin lauantaina kello 13.18 pimeys iski ensimmäisen kerran.

Imagen näkemän vikaraportin mukaan kello 16.30 tuona lauantaina valtioneuvoston kansliasta oli ilmoitettu ongelmista it-yhtiö Tiedolle, joka ylläpiti konesaleja, joista käsin sivut pyörivät.

Järjestelmän ongelmista raportoineet vikailmoitustiketit olivat menneet perille, mutta niihin ei reagoitu. Mutta miten olisikaan, sillä kävi ilmi, että Tiedon päivystäjällä ei ollut palveluun tarvittavia salasanoja tai oikeuksia. Sähköpostit sinkoilivat pitkin valtiovarainministeriötä ja valtioneuvoston kansliaa. Niissä manattiin ensin Tiedon ylimpään johtoon asti ylettynyttä radiohiljaisuutta ja passiivisuutta, sitten sitä, ettei konesaleihin päästetty tietoturvan vuoksi ketään Tiedon ulkopuolista korjaamaan ongelmaa.

Sunnuntaiaamuna mediakin havahtui tilanteeseen – tosin ongelmien uutisoitiin alkaneen aamulla, vaikka tilanne oli ollut raportin mukaan päällä jo liki vuorokauden. Sunnuntaina 18. tammikuuta kello 12.42 sivut saatiin pystyyn, mutta kaikensorttinen pätkiminen jatkui pitkälle seuraavaan viikkoon.

”Voin kuitenkin sanoa, että emme ole kaikilta osin täysin tyytyväisiä siihen, mitä Tieto on tehnyt”, VNK:n viestintäjohtaja Markku Mantila kommentoi Tietoviikolle virkamiehen diplomatialla.

Tiedon tekemän vikaraportin mukaan ongelmien ratkaisu viivästyi esimerkiksi siitä syystä, että valtioneuvoston kanslian sähköpostipalvelimessa olisi ollut vikaa, eivätkä ongelman kiireellisyyttä korostaneet sähköpostit olisi tulleet perille.

Oikeastaan sivujen olisi pitänyt aueta jo vuotta aiemmin, mutta koko projekti oli lukuisien epäonnistumisten ja huonon tuurin summa. Tismalleen julkisen sektorin it-projektien maineen väärti.

Ministeriöiden ja valtioneuvoston yhteisen julkaisujärjestelmän piti olla aika yksinkertainen projekti, vaikka valtionhallinnossa yksinkertaisuus onkin omanlaisellaan tavalla joustava käsite.

Hanke oli pantu idulle jo syksyllä 2008, ja esiselvitykset valmistuivat keväällä 2012. Varsinainen hanke asetettiin tammikuussa 2013, ja alkuperäisen hankesuunnitelman mukaan kaiken olisi pitänyt olla loppuraportteja myöten valmiina maaliskuun loppuun 2014 mennessä. Kuten muitakin valtionhallinnon hankkeita, projektia ohjattiin valtionvarainministeriöstä.

”Hankkeen lopputuloksena syntyvän palvelukokonaisuuden merkittävin kohderyhmä on kansalaiset. Yhteisen ratkaisun tavoitteena on parantaa kansalaisten tiedonsaantia valtioneuvoston ja valtionhallinnon toiminnasta sekä edistää demokratian toteutumista”, asettamispäätöksessä maalailtiin.

Maaliskuun 2014 lopussa, reilu vuosi ja noin 600 000 euroa hankkeen varsinaisen asettamisen jälkeen, toteutusaikataulua jatkettiin syyskuun 2014 loppuun. Vaikka alkuperäisaikataulun mukaan projektin piti olla loppuraporttia myöten valmis, valmiina ei ollut edes minimum viable productia, yksinkertaisinta toimivaa tuotetta, todettiin 27.3. päivätyssä asettamispäätöksen muutoksessa.

”1.1.2014 mennessä lähes kaikki riskeistä oli toteutunut”, raportissa luki. Se, että tuntilaskutuksen vuoksi hankkeen venyminen maksaisi valtavasti. Se, että valittu ”tekninen ratkaisu” ei soveltuisi siihen, mitä oltiin tekemässä. Ja se, että ”hankintamallit ja päätöksentekoprosessit” ovat ”monitasoisia ja monimutkaisia”.

Se tosin oli asioiden todellista laitaa vähättelevä asiakirja-analyysi jos jokin. Varsinaisessa tuotantoketjussa valtionvarainministeriöstä (virastokielellä asiakas) it-yhtiö Tietoon (virastokielellä käyttöpalveluntarjoaja) kun oli kuusi eri tahoa. Niiden lisäksi Tietoon vei vielä toinenkin hallintopolku.

(Nyt kannattaa vetää henkeä, sillä valtionhallinnon projektimallit näyttävät herkästi satunnaisgeneroidulta labyrintiltä, jossa nimet eri instanssien ovissa vaihtuvat ikiliikkujamaisesti jokaisella ohikulkukerralla. Vain muutos on pysyvää valtionhallinnossa.)

Kun hanke aloitettiin, julkaisujärjestelmän tilasi valtionvarainministeriön Valt-IT-tietotekniikkatoiminto, ja sen tuotannosta vastasi aluehallinnon tietohallintopalvelukeskus AHTi. (Joka liitettiin osaksi vuoden 2015 alussa perustettua valtakunnallista kehitys- ja hallintokeskusta Kehaa.) AHTin tehtävä oli hankkia palvelulle toteuttaja. AHTi ei kuitenkaan voinut hoitaa kilpailutusta itse, sillä muun valtionhallinnon tavoin AHTi oli velvoitettu käyttämään erillistä valtion yhteishankintayksikköä Hanselia.

Hansel on valtion omistama osakeyhtiö, johon virastojen, ministeriöiden ja liikelaitosten yhteishankinnat on keskitetty. Käytännössä aina, kun valtio tekee ostoksia, jotka ylittävät hankintalain minimirajan 30 000 euroa, välikätenä on Hansel, joka tarjoaa saman katon alta aikalailla mitä vain: työkoneita, elintarvikkeita, reittilentoja, sähköä.

Hankkimisen sujuvoittamiseksi Hansel on tehnyt puitesopimukset eli kilpailuttanut eri tuotteiden myyjät etukäteen määräajaksi, yleensä enintään neljäksi vuodeksi. Tällöin erillistä julkista kilpailutusta ei tarvitse tehdä, vaan siihen osallistuvat vain puitesopimukseen päässeet yhtiöt. Tällaisesta puitesopimuksesta julkaisujärjestelmää tekemään valikoitui vantaalaisyhtiö Consultor. Keväällä 2014 sovelluksen toimittaja vaihdettiin ja Consultorin tilalle tuli sen alihankkija, joensuulainen Ambientia.

Konesalipalvelut sivuston pyörittämiseen olisi tilattu sieltä mistä ennenkin, mutta tiedettiin, että ketjuun on tulossa ylimääräinen lenkki: keväällä 2014 perustettu Valtori-niminen valtion tieto- ja viestintäkeskus. Siinä missä Hanselilta ostetaan lennot, sähköt ja toimistokalusteet, kaikki virastot ja ministeriöt ovat velvoitettuja ostamaan sähköpostin ja nettiyhteyksien kaltaiset yleiset tietotekniikkapalvelut Valtorista.

Valtorin edeltäjästä, valtion it-palvelukeskus VIPistä ostettiin ensin projektipäällikkö, ja vuonna 2015 koko julkaisujärjestelmä siirrettiin Valtoriin, jossa oli aiemmin vastattu vain konesaleista. Vastaperustetulla Valtorilla ei kuitenkaan ollut resursseja ottaa koko hankintaketjua näppeihinsä ja yksinkertaistaa sitä, vaan sopimuksia oli joka suuntaan: valtiovarainministeriöllä oli sopimus Valtorin kanssa, jolla oli sopimus AHTin kanssa, jolla oli sopimus Consultorin kanssa, jolla oli sopimus Ambientian kanssa. Sen lisäksi valtiovarainministeriöllä oli sopimus Valtorin kanssa, jolla oli erillinen suora sopimus konesaleista Tiedon kanssa. Ja niin kuin aina: mitä enemmän sopimuksia, sitä enemmän laskuttajia.

”Tällaista hankintaketjua on täysin mahdotonta hallita”, projektiin osallistunut virkamies kuvaa.

Hankintaketjun ja sopimusten alla on käytäntö: itse julkaisujärjestelmän koodaaminen. Se oli alun perin tarkoitus tehdä samalle pohjalle, jolle oli aiemmin tehty yritystoiminnan tietopankki yrityssuomi.fi-sivusto. Vaikka määrittelyvaiheessa näin arvioitiin, se ei sopinut lainkaan julkaisujärjestelmän tarpeisiin, mutta se huomattiin vasta vuoden työnteon jälkeen. Kun Ambientiasta tuli palvelun tuottaja, julkaisujärjestelmälle alettiin kirjoittaa omaa koodia samalla avoimella Liferay-lähdekoodilla, jolla yrityssuomi.fi:kin oli tehty.

Usein julkisissa hankinnoissa ei toimita näin, vaan koodin toimittaja on itse ainut, joka tuntee rajapinnat – tai pahimmassa tapauksessa omistaa koko palvelun. Sen vuoksi vain he voivat tehdä niihin muutoksia. Ja jos muutoksia on pakko tehdä, palvelun tarjoava yhtiö huomioi sen tietenkin hinnassa. Silloin sählääminen kannattaa. Mitä enemmän ongelmia on korjattavaksi, sitä enemmän niistä voi laskuttaa Suomen valtiolta, kunnalta, sairaanhoitopiiriltä tai mikä ikinä kulloisen lypsylehmän nimi on.

Tätä kutsutaan toimittajaloukuksi, englanniksi vendor-lock-iniksi. Se taas on julkisen tietohallinnon keskeisin kirous.

Yhdysvalloissa on sanonta: You can’t get fired if you buy from IBM. Suomeksi se kuuluu, et koskaan voi saada potkuja, jos ostat Tiedolta.

”Tuli isoilta firmoilta mitä vaan, niin se ei oo sun vika, koska tilasit sen luotettavana pidetystä lähteestä. Jos olisit tilannut pikkufirmalta, se olisi ollut sun vika”, tiivistää Helsingin kaupunginvaltuuston IT-jaoston johtaja ja kaupunginvaltuutettu Otso Kivekäs (vihr). Työkseen Kivekäs toimii ohjelmistoarkkitehtina pienessä IT-konsulttiyrityksessä, jonka osakas hän myös on.

”Se on tapa ajatella, ostetaan tuolta jatkossakin, kun on aina ennenkin ostettu.”

Suomessa todellakin on aina ostettu samoista paikoista. Näiden paikkojen luonne vain on muuttunut. 1990-luvun alussa, kun atk oli niin uusi juttu, että sitä vielä kutsuttiin atk:ksi, Suomessa valtiolla ja kunnilla oli omat IT-laitoksensa kuten Valtion tietokonekeskus, Kunnallistieto ja pääkaupunkiseudun PTK-tietokeskus. Viime laman jälkeen Valtion tietokonekeskus fuusioitiin vuonna 1996 espoolaisen Tietotehtaan kanssa. Tästä syntyi Tieto, joka pyörittää nykyisellään puolentoista miljardin liikevaihtoa keskittyen Pohjoismaihin, Puolaan ja Venäjään.

Kuntien yhtiöt taas fuusioituivat ensin keskenään ja listautuivat pörssiin nimellä Novo Group. Novon osti vuonna 2003 ensin ruotsalainen it-konsulttiyritys WM Data. Sen taas osti vuonna 2006 brittiyhtiö Logica, jonka osti vuonna 2012 maailman viidenneksi suurin it-yhtiö, kanadalainen CGI.

Siinä sivussa valtio ja kunnat ulkoistivat käytännössä kaiken tietojärjestelmiin liittyvän osaamisensa.

”Koko kuvion suuri ongelma on, että kun organisaatioissa itsessään ei ole osaamista, täytyy ostaa väliportaan ihmisiä eli hankintakonsultteja, joilla on kuitenkin valta määrittää yllättävän paljon”, sanoo mediatutkimuksen yliopistonlehtori Hanna Kuusela Turun yliopistosta. Vuonna 2013 Kuusela julkaisi yhdessä Matti Ylösen kanssa kirjan Konsulttidemokratia – kuinka valtiosta tuli tyhmä ja tehoton.

Kirjan keskeinen teesi on, että samaan aikaan, kun 1980-luvun lopulta lähtien byrokratiaa on leikattu vähentämällä valtion virkamieskuntaa järjestelmällisesti, heidän työnsä ei ole kadonnut, vaan sitä on ulkoistettu konsulteille.

”Jos valtion tietohallinnon kokonaismenot on 727 miljoonaa, niin ulkoisiin ostoihin menee 557 miljoonaa. Kyllähän se kuvaa, missä osaaminen on ja missä hommaa pyöritetään, kun 2/3 rahasta menee yksityiselle”, Kuusela sanoo.

Yhteishankintayksikkö Hanselilta valtio teki vuonna 2014 ostoksia yhteensä 714 miljoonalla eurolla. Rahojen ulkopuolinen valvonta on kuitenkin vaikeaa, sillä Hansel on osakeyhtiö, eivätkä sen sopimukset tai muut asiakirjat ole julkisia.

”Koko konsulttien käyttökuviossa jää liian vähälle huomiolle se, että kun ollaan tekemisissä yhtiöiden kanssa, julkisuuslaki alkaa kaventua. Se ei yletä yhtiöihin. Saati, että valtio on itse luonut yhtiön, jonka kautta kulkee rahaa, mutta kukaan ei tiedä, mitä siellä tehdään”, Kuusela sanoo.

”Se on yksi skandaali.”

Kivekäs sanoo, että julkisessa hallinnossa toimitaan edelleen kuten 30 vuotta sitten, jolloin riitti soitto omaan IT-yhtiöön: tätä ja tätä tarvittaisiin. Riippumatta siitä, onko toive liian epämääräinen vai liian tarkka, se yleensä toteutetaan. Lisäksi valtion projektit ovat usein niin valtavia, että potentiaalisia tekijöitä on vähän. Suomessa on käytännössä kaksi yhtiötä, jotka voisivat edes kuvitella osallistuvansa suuren luokan ohjelmistohankkeeseen, joka vaatii 200 ihmisen työpanoksen: Tieto ja Accenture.

Tiedon ja Accenturen tekemä, 15 miljoonaa euroa maksanut VR:n surullisenkuuluisa tietojärjestelmä oli Tiedon johtajan Ari Järvelän mukaan ”hyvin monimutkainen järjestelmäkokonaisuus”, vaikka siitä olisi kannattanut ainakin yrittää tehdä mahdollisimman yksinkertainen.

Esimerkkejä on muitakin. Vuonna 2011 Helsingin kaupungin 400 luottamushenkilölle jouduttiin hankkimaan ylimääräiset läppärit, sillä koneille tunnistautuminen oli turvallisuussyistä määrätty tehtäväksi HST-sirukorteilla, eikä vanhoissa koneissa ollut tarvittavia kortinlukijoita, Kivekäs kertoo. Kahden koneen tarve loppui vasta kolmen vuoden jälkeen, kun mobiilivarmennus saatiin jotenkuten toimimaan. Kaikilla se ei tosin toiminut silloinkaan.

Lopputulosta voi verrata fantasiapitsaan: siihen saa kyllä mitkä täytteet haluaa, mutta kokki ei velvoita itseään sanomaan, että ne ovat järjettömät.

”On isojen firmojen bisnesmallin ytimessä, että tehdään, mitä asiakas pyytää, vaikka se olisi mahdotonta. Kun asiakas ymmärtää sen, niin tehdään sitten lisää ja laskutetaan siitä”, Kivekäs sanoo.

”On normaali setup, että vaatimusmäärittely ja kriteeristö tilataan konsultilta. Sitten tilatun mukaan konsultin oman yhtiön edellytykset tarjota sitä voivat olla suunnattomasti paremmat. Kun asiakkailla ei ole käsitystä siitä, millaisia työmäärät voisi olla, niin se antaa hirvittävät vedätysmahdollisuudet.”

Tällä hetkellä valtionvarainministeriöllä, jonka vastuulla on tietohallinnon yleinen ohjaus ja valtion strategisen hankintatoimen ohjaus, ei ole palveluksessaan yhtään hankintalakimiestä.

Tie suomalaiseen julkiseen hallintoon on päällystetty hyvillä aikomuksilla. Kun valtionvarainministeriö käynnisti projektin ministeriöiden yhteisestä julkaisujärjestelmästä, valtionhallintoon oltiin tekemässä Jyrki Kataisen hallitusohjelman mukaisesti suurta tietohallintouudistusta. Sen ajatuksena oli säätää laki, joka velvoittaa valtion virastoja ja liikelaitoksia hankkimaan puhelinliittymien ja Office-pakettien kaltaiset tietotekniikan peruspalvelut saman katon alta. Näin pitäisi päästä eroon hallinnon päällekkäisyyksistä ja säästää vuodesta 2018 lähtien 47 miljoonaa euroa vuodessa.

Säästötavoitteet ovat suuret siihen nähden, että viime vuonna valtion koko ICT-budjetti oli 727 miljoonaa euroa. Lain myötä perustettuun Valtoriin siirrettiin 24 toimialariippumatonta yksikköä, joiden budjetit olivat vuonna 2013 262 miljoonaa euroa eli noin kolmannes kaikista valtion tietohallintomenoista. Myös julkaisujärjestelmä siirrettiin Valtoriin, koska kolmen ministeriön ja valtioneuvoston yhteishanke on toimialasta riippumaton jos jokin.

Alun perin Valtorista piti tulla osakeyhtiö keskelle valtionhallintoa, jolloin se olisi saanut hukutettua päätöksentekonsa julkisuuslain suojiin. Lopulta siitä tuli erityisvirasto, mikä tarkoittaa käytännössä sitä, että se on virasto, jolla on toimitusjohtaja ja hallitus.

Ministeriöille ja virastoille Valtori on käytännössä yksi lisämutka hankintabyrokratiassa, mikä lisää aina kustannuksia, vaikka kuinka aikomus oli keskittää ja karsia. Minkä aiemmin olisi voinut hankkia itse Hanselilta, pitää nykyään tilata Valtorin kautta, joka sitten tilaa sen Hanselilta.

Valtorin hyötyjä on kyseenalaistettu koko projektin ajan (joulukuussa 2013 julkaistun, riippumattoman väliraportin mukaan yli puolet kyselyyn vastanneista ei pitänyt Valtorin tavoitteita ”ollenkaan realistisina”) ja sen johtopaikoilla on pyörinyt aikamoinen tuolileikki. Valtorin perustamisen valmistelua johti valtiovarainministeriön JulkICT-toiminnon silloinen johtaja eli valtion korkea-arvoisin tietotekniikkapomo Timo Valli. Vallin johtama työryhmä rekrytoi lopulta Valtorin johtoon kaksi lain valmisteluun osallistunutta projektijohtajaa, Kari Pessin toimitusjohtajaksi ja Sari-Anne Hannulan kehitysjohtajaksi. Heillä molemmilla on Vallin tavoin työhistoria Tampereen julkisen puolen korkeissa tietohallintotehtävissä. Pessi työskenteli vuosina 2004–2010 Tampereen tietotekniikkakeskuksen toimitusjohtajana, ja Pirkanmaan sairaanhoitopiirin silloinen tietohallintojohtaja Valli tilasi häneltä palveluita. Hannula taas on ollut Tampereen kaupungin tietohallinnossa projektipäällikkönä ulkoistamassa vuonna 2010 Pessin johtaman tietotekniikkakeskuksen palveluita Fujitsulle. (Joka myi ne kuluvan vuoden syyskuussa Tiedolle.)

Heti Valtorin startattua maaliskuussa 2014 Valli itse siirtyi ICT-johtajan paikalta ”erityistehtäviin” Valtorin hallituksen puheenjohtajaksi ja sai 1 100 euron palkankorotuksen.

”Jokainen tekee sellaisia töitä, joissa hän on parhaimmillaan kaikessa toiminnassa”, kommentoi Vallin siirtoa valtiovarainministeriön hallinto- ja kehitysjohtaja Helena Tarkka Tietoviikolle.

Ensimmäisenä toimintavuonnaan 2014 Valtoriin oli siirretty vasta osa kaikista tulevista yksiköistä, ja viraston 82 miljoonan euron liikevaihto oli vasta kolmannes lopullisesta budjetista. Silti virasto teki säästöjen sijaan yli seitsemän miljoonan euron tappiot. Ne tulivat Valtorin hallitukselle yllätyksenä, eikä tilinpäätökseen kirjattu selkeästi, mistä ne johtuivat. Valtionvarainministeriön valtiosihteeri Martti Hetemäen johdolla tehdyssä kannanotossa todettiin, ettei virasto ollut saavuttanut sille asetettuja vaikuttavuustavoitteita, tehokkuutta, tuloksia eikä laadunhallintaa.

Jokaisesta kohdasta annettiin 0–3-asteikolla arvosana yksi. Nolla olisi tarkoittanut tavoitteesta luopumista.

Koska julkaisujärjestelmän oli määrä olla valtioneuvoston kriisiviestintäkanava, sen pitäisi kestää käyttäjäpiikit ja erikoistilanteet. Valtion tietoturvallisuussuosituksissa eli Vahti-ohjeessa kriteerit jaetaan kahteen osaan: tietoturvaan ja varautumiseen. Niissä molemmissa on neljä eri tasoa: perustaso, korotettu taso, korkea taso ja erityistaso. Tasot auditoi Viestintävirasto.

Esimerkiksi korkea taso on ”erityisturvallisuutta vaativia toimintoja”, kuten poliisin, puolustusvoimien ja tasavallan presidentin poikkeusoloviestintää varten. Valtion erilliseen turvallisuusverkkoon sijoitetun palvelun on oltava sellainen, ettei se saa pätkäistä sekunniksikaan.

Korotettua varautumista käytetään ”yhteiskunnan elintärkeissä toiminnoissa” ja ”kansalaiselle häiriötilanteessa keskeisissä palveluissa ja järjestelmissä”. Sen Vahti-suositukset ovat hieman löysemmät, mutta niissäkin on oltava ympärivuorokautinen valvonta ja kyky aloittaa viankorjaus välittömästi.

Korotetun tietoturvan ympäristö taas on sellainen, jossa luottamuksellisia materiaaleja voidaan käsitellä selkokielisessä muodossa.

Valtioneuvoston ja kolmen ministeriön julkaisujärjestelmä korvaisi valtioneuvoston kanslian kriisiviestintäportaalin, ja se sijoitettiin korotetun tietoturvan ja varautumisen ympäristöön. Sitten kävi ilmi, että projektin alkuhankaluudet olivatkin vasta alkua.

Julkaisujärjestelmä oli ensimmäinen palvelu, joka päätyi Tiedon korotetun turvan konesaliin, joka oli niin uusi, että sen ohjausryhmän pöytäkirjassa ”erittäin haasteellisiksi” kuvaillut pystytykset olivat kesken vielä syksyllä 2014. Järjestelmää ei esimerkiksi saatu testattua lopullisessa ympäristössään, vaan testeissä jouduttiin turvautumaan perustasoon. Viestintäviraston auditoinnin korotetun tietoturva- ja varautumistason III ympäristöksi se sai toukokuussa 2015, ensimmäisenä valtion ulkopuolisena toimijana Suomessa, neljä kuukautta valtioneuvoston sivujen aukeamisen jälkeen.

Korotettu tietoturvataso johti myös siihen, että sovellustoimittaja Ambientia ei päässyt sivujen käyttöönoton jälkeen kuukausiin käsiksi koodaamaansa ympäristöön tai saanut lokeja riittävän nopeasti Tiedon tietoturvavaatimusten vuoksi. Ennen kuin Tiedon ja Ambientian välinen yhteistyö saatiin pelaamaan sähköisesti, koodia pystyttiin korjaamaan vain saapumalla Joensuusta Helsinkiin Tiedon konesaliin.

”Käytiin aika kovaa keskustelua siitä, kun Tieto tulkitsi Vahti-ohjeita sitovina, vaikka ne on vain ohjeita. Tieto oli sitä mieltä, että rakennetaan ympäristö niin tiukaksi, että sinne ei ketään päästetä kunnolla operoimaan. Elämässäni ensimmäistä kertaa törmäsin siihen, että myyjä ei haluaisi keskustella siitä, miten ostajan mielestä asioita pitäisi tehdä”, kertoo Heikki Heikkilä. Heikkilä on julkaisujärjestelmän toteuttajana toimineen AHTin eli nykyisen Kehan tietohallintojohtaja, joka kuului projektin ohjausryhmään.

Ohjausryhmän pöytäkirjoista käy ilmi, että kuormantasaajan ja välimuistin, joka sivun perustyökalujen, joiden tehtävä on tasata kävijäpiikkien kuormitusta, asentaminen vei viime keväänä puoli vuotta. Sivusto tökki ja kaatuili, mutta laskutus juoksi koko ajan: kaikilta mukana olleilta tahoilta.

”Ilkeästi sanottuna tuntui välillä siltä, että Tieto rahoitti tällä sähläyksellä itselleen tuon konesalin rakentamisen”, arvioi yksi virkamieslähde.

Sitä, miten järjestelmä päätyi korotettuun ympäristöön, ei tunnu tietävän juuri kukaan. Heikki Heikkilä arvioi, että todennäköisesti korotettuun turvaan päädyttiin jo siksi, että asettamispäätöksen mukaan uudelle järjestelmälle haluttiin ”nykyistä korkeampi varautumisen taso”.

Suoranaisesti lause ei tarkoita mitään sitovaa, mutta useamman projektissa mukana olleen virkamiehen mukaan päätös olisi tehty hankkeen projektiryhmässä yhdessä Tiedon kanssa juuri tähän asettamispäätöksen kohtaan viitaten. Hallintolain vastaisesti päätöksestä ei kuitenkaan löydy merkintöjä projektiryhmän pöytäkirjoista. Riippumattoman VTT:n keväällä 2014 tekemän hankearvioinnin mukaan kaikkia vaadittavia pöytäkirjoja ei ole edes olemassa. Sen lisäksi päätöstä ei koskaan viety ohjausryhmän käsiteltäväksi, vaikka olisi pitänyt.

Valtionvarainministeriössä ja ohjausryhmässä, joista käsin hanketta johdettiin, ei missään vaiheessa ole tehty päätöstä, että järjestelmät tarvitsisivat tällaisen ympäristön. Päinvastoin: projektin strateginen johtoryhmä linjasi sivuston ensimmäisen kaatumisen jälkeen, että perustaso riittää (mikä tiedetään myös Tiedossa).

”Periaatteessa on niin, että sillä ei olisi ollut suurempaa väliä, onko kyseessä perustaso vai korotettu taso, ellei Tieto olisi alkanut juntturoimaan asian kanssa”, sanoo yksi virkamieslähde.

Projektin ohjausryhmä ja strateginen johtoryhmä velvoittivat maaliskuussa 2015 Tiedon kanssa tehdyistä sopimuksista vastaavan Valtorin tekemään selvityksen, mitkä ovat korotetun ympäristön edut ja haitat, miten järjestelmä saadaan sieltä tarvittaessa pois ja mitä se maksaa. Vastausta he eivät ole saaneet vieläkään.

Valtorilla julkaisujärjestelmästä vastaavan Tuomo Kouhian mukaan asiaa ei ole viime aikoina ollut erityisemmin syytä selvittää, sillä palvelu on toiminut kuten pitää.

”Tällä hetkellä korotetulla tasolla ei ole oleellista vaikutusta järjestelmän käytettävyyteen. Meillä on analyysejä olemassa, eikä meillä ole mitään erityistä syytä siirtyä pois korotetulta tasolta.”

Valtionvarainministeriöstä ja valtioneuvoston kansliasta kuitenkin kerrotaan, etteivät he ole pyynnöistä huolimatta saaneet selvitystä tai tietoa asian etenemisestä.

Kun sivut saatiin auki tammikuussa 2015, Valtori oli yhä välikäsi valtiovarainministeriön ja Tiedon välisessä yhteydenpidossa. Huhtikuussa ohjausryhmä päätti, että Valtori tekee Tiedolle reklamaation. Kun reklamaation tilasta kysyttiin seuraavassa kokouksessa kaksi viikkoa myöhemmin, Valtorin Tuomo Kouhia (joka on aiemmin ollut Tiedolla töissä) piti sitä toimimattomana ja liian hitaana tapana tarttua ongelmiin.

Kouhia sanoo nyt, että yleinen reklamaatio ei olisi vienyt asioita eteenpäin, sillä ongelmia hoidettiin case-by-case ja koska Tieto oli pääsääntöisesti toiminut käyttöpalvelusopimuksensa mukaisesti, jolloin ”reklamointi on luonteeltaan erilaista kuin silloin, kun sopimuksen vaatimukset eivät toteudu”. (Kuitenkin, jos reklamaatiota ei ole tehty, jälkikäteen esimerkiksi korjauksia hakiessa palvelun toimittaja voi vedota siihen, etteivät he tienneet ongelmista.)

Kouhia korostaa moneen kertaan, ”ettei ollut yksittäistä syypäätä tai osapuolta, joka olisi voinut estää tai ennaltaehkäistä virheitä”.

Useampi Imagen haastattelema virkamieslähde kuitenkin sanoo, että ongelmat ovat liittyneet juuri palveluntarjoajaan eli Tietoon, mutta Valtorin asema välikätenä hankaloitti kommunikaatiota.

”Minulla, asiakastahoilla ja Ambientialla on ollut tunne, että mikä tahansa Tiedon ongelma me viestittiin Valtorille, niin ainainen vastaus oli, että ongelma on jossain muualla. Käytännössä tuntui, että Tieto vastasi mitä halusi ja Valtori vain välitti sen meille”, yksi virkamieslähde sanoo.

Helmikuussa, kun valtiovarainministeriön sivujen oli määrä aueta, Tieto ja Valtori torppasivat tämän kysymättä VM:ltä, Ambientialta tai juuri Kehaksi nimensä vaihtaneesta AHTista. Syyksi mainittiin riittävän tietoturvatestauksen puute.

Tuomo Kouhian mukaan päätös tehtiin Tiedon ehdotuksen pohjalta ja pelikirjan sääntöjen mukaisesti konesaliympäristön muutoksenhallintaryhmässä. Hanketta ohjanneen ja rahoittaneen tahon eli valtiovarainministeriön mielipiteen yli sen sijaan käveltiin.

”Asia runtattiin projektin muutoshallintaryhmässä läpi ihan väkivalloin, koska asiallista perustetta tai mitään tiettyä yksityiskohtaa Tieto ei pystynyt esittämään käyttöönoton lykkäämiseksi”, toinen lähde kertoo.

Ensin kilpailutetaan kuukausia ja lopulta Tieto voittaa. It-hankintojen epävirallinen motto oli valtioneuvoston ja ministeriöiden yhteisen julkaisujärjestelmän kohdalla tavallistakin vaihtoehdottomampi. Ainakin sen suhteen, kenen saleissa ovat ne palvelimet, joilla julkaisujärjestelmä pyörii.

Valtorin on toimittava yhteishankintayksikkö Hanselin puitesopimusten mukaisesti. Konesalien osalta puitesopimuksissa on vuoteen 2019 asti jäljellä enää yksi vaihtoehto: Tieto. Valtiolla on toki tarjota konesaleja omista sataprosenttisesti omistamistaan yhtiöistä, mutta niiden ulkopuolella Tiedolla on siis monopoli kaikkiin valtion virastojen, laitosten ja liikelaitosten kone- ja kapasiteettipalveluihin, vaikka puitesopimusten ideana on nimenomaan vähentää korruptiota ja estää monopolien syntymistä.

”Imagollisesti olisi varmaan ollut huono ajatus viedä näin näkyvä ja keskeinen palvelu jonnekin muualle, jos kerran kaikki konesalipalvelut piti ja pitäisi edelleen keskittää Valtorille ja Tiedon hoteisiin, vaikka se on tämän hetkisten kokemusten mukaan selvästi kalliimpaa kuin aiemmissa sopimuksissamme”, sanoo julkaisujärjestelmän tuotannosta AHTissa vastannut tietohallintojohtaja Heikki Heikkilä.

Nykyisessä mallissa pärjää se, joka kehtaa tarjota joko projektin tai puitesopimuksen kilpailutuksessa kaikkein halvimman tarjouksen. Rahat tehdään vasta siinä vaiheessa, kun sopimus on sitova ja palvelua pitää räätälöidä. Jos järjestelmä toimii hyvin, lisätyöt jäävät saamatta. Jos huonosti, tili juoksee. Bisnes kiittää byrokratiaa.

Oman haasteensa tuo jo se, että valtion avoimiin Hilma-kilpailutuksiin osallistuminen on oma projektinsa. Puhumattakaan Hanselin puitekilpailutuksista, jotka voivat kestää jopa kahdeksan kuukautta.

”On vuosien työ päästä julkiselle sektorille sisään. Hansel-puitekilpailutus on tosi mielivaltainen ja tosi työläs. Siinä pärjääminen on oma lajinsa, se toimii ihan eri tavalla kuin yksityisellä sektorilla. Miten tehdään oikea tarjous, agenda, yhteydenpito ja miten koko prosessi toimii”, Otso Kivekäs sanoo.

Eikä sekään välttämättä auta. Kivekkään arvion mukaan ainakin joka kolmas julkisen sektorin kilpailutus on ”rigattu”, säädetty siten, että sen voittaa ostajan haluama taho. Riggaaminen on helppoa. Riittää, kun konsultti vaatii määrittelyjä tehdessään vaikkapa, että pääarkkitehdilla on oltava riittävän pitkä työkokemus.

”Toisinaan tätä tehdään ihan hyvää tarkoittaen. Voi olla niin, että yksi yritys on se, jonka tuote on ylivoimaisesti paras, mutta se pitää hankintalain vuoksi kilpailuttaa.”

Viime vuosina on myös alettu puhua ketterästä kehittämisestä. Se on vastakohta julkisen sektorin suosimalle vesiputousmallille, jossa projektista julkaistaan ensin ”tilaus” valtionhallinnon julkisten hankintojen ilmoituskanavassa Hilmassa, sitten valmiin tilauksen pohjalta ensin kilpailutetaan ja edetään sitten askel askeleelta; kun edellinen vaihe on saatu valmiiksi, siirrytään seuraavaan.

Hankaluus on siinä, että kilpailuttaessa on vaikea nähdä, millainen kokonaisuuden pitäisi olla. Ketterän mallin idea on tehdä kaikki pienistä, avoimien rajapintojen alla toimivista moduuleista ja tarkistaa edistyminen muutaman viikon välein ja hyväksyä laskut sen mukaan. Julkaisujärjestelmäkin tehtiin ensin pilottiministeriöille ja avoimella lähdekoodilla, jotta seuraava ministeriö voisi sitten ottaa pohjan ja lisätä siihen, mitä kokee tarpeelliseksi.

”Siinä annetaan käytännössä tyytyväisyystakuu. Jos ei tehdä tarpeeksi hyvää, meidät voidaan potkia ulos ja kun asiakas omistaa koodit, niin kuka tahansa voi jatkaa siitä, mihin jäätiin”, sanoo 3o0 ihmistä työllistävän Futuricen liiketoimintajohtaja Teemu Moisala.

Entä mikä on Moisalan arvio siitä, kuinka kauan kompleksisen julkaisujärjestelmän tekemiseen kuluisi aikaa?

”Puhutaan muutamista kuukausista, että saataisiin ensimmäinen versio. Hyvin kevyen järjestelmän kohdalla se olisi viikkojen rykäisy.”

Valtiolta siihen meni kolme vuotta. Tammikuussa 2013 alkanut projekti päättynee viimein vuoden 2015 lopussa. Maa- ja metsätalousministeriö otti sivut viimeisenä käyttöön marraskuussa. Loppuraporttia toivotaan jouluksi. Valtorin selvitys korotetun ympäristön tarpeellisuudesta tulee kenties ennen sitä.

Lokakuussa Valtorin hallitus ja toimitusjohtaja Kari Pessi lähettivät koko valtiovarainministeriön JulkICT-toiminnolle sähköpostin, jossa he pahoittelivat ongelmia Valtorin kanssa. Pari päivää myöhemmin Pessi ilmoitti jäävänsä maaliskuussa eläkkeelle.

Timo Vallin jälkeen valtion ICT-johtajaksi eli siihen korkeimpaan virkamiesasemaan noussut Anna-Maija Karjalainen esitteli syyskuun alussa Kuntamarkkinoilla kymmenen vuoden digitalisaatiotavoitteen: ”Suomi on ottanut tuottavuusloikan julkisissa palveluissa ja yksityisellä sektorilla tarttumalla digitalisaation mahdollisuuksiin ja purkamalla turhaa sääntelyä ja byrokratiaa. Suomen ketterää uudistumista tuetaan luottamukseen, vuorovaikutukseen ja kokeilujen hyödyntämiseen perustuvalla johtamiskulttuurilla.” ■

Tieto kieltäytyi kommentoimasta asiakasprojektiensa yksityiskohtia. Artikkelia varten on haastateltu valtiovarainministeriön lainsäädäntöneuvos Sami Kivivasaraa, Itä-Suomen yliopiston sähköisen hallinnon ja informaatio-oikeuden professoria Tomi Voutilaista, valtiovarainministeriön tieto- ja kyberturvallisuuden yksikön päällikköä Aku Hilveä sekä useita virkamiehiä eri ministeriöistä ja virastoista. Valokuvat eivät liity artikkelissa mainittuihin yrityksiin.