Turvallisuusluokitellun tiedon suojaaminen palveluhankintojen tarjouslaskentavaiheessa : Case: Puolustushallinnon rakennuslaitos, Etelä-Suomen alueyksikkö

Abstract

Puolustushallinnon rakennuslaitos vastaa puolustushallinnon kiinteistötoimen asiantuntija- ja hanketehtävistä sekä palvelutuotannon järjestämisestä. Laitoksen Etelä-Suomen alueyksikkö on vastuussa puolustushallinnon kiinteistöpalveluista Etelä-Suomen Sotilasläänin alueella ja sen edustalla Suomenlahden Meripuolustusalueen saarissa. Alueyksikkö joutuu luovuttamaan turvallisuusluokiteltua tietoa sidosryhmilleen palveluhankintojen tarjouslaskentavaiheessa. Tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa maanpuolustukselle. Kun turvallisuusluokiteltu asiakirja luovutetaan vastaanottajalle, se siirtyy tietosisältöineen vastaanottajan hallintaan kaikkine siihen liittyvine velvollisuuksineen. Alueyksikön on pyrittävä varmistumaan, että sen sidosryhmät suojaavat niille luovutetun tiedon asianmukaisesti.

Tämän tapaustutkimuksen päätavoitteena on tuottaa informaatiota, jota käytäntöön soveltamalla Puolustushallinnon rakennuslaitoksen Etelä-Suomen alueyksikkö pystyy luomaan tarkoi-tuksenmukaiset ja tehokkaat tiedon suojausvaatimukset palveluhankintojen tarjouslaskenta-vaiheeseen. Samalla tutkimuksessa tarkastellaan Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kriteerien käytettävyyttä palveluhankintojen tarjouslaskentavaiheen turvallisuus-järjestelyissä.

Ei ole yksiselitteisesti määritelty, miten puolustusvoimien turvallisuusluokiteltua tietoa tulisi suojata sidosryhmien kanssa tehtävässä yhteistyössä. Absoluuttista totuutta siitä, milloin tur-vallisuusluokiteltu tieto on riittävästi suojattu, on hankala määritellä ja vielä hankalampi mitata. Kun etsitään riittäviä, mutta mahdollisimman kustannustehokkaita tiedon suojauskeinoja, on tärkeää selvittää tarjousprosessien parissa työskentelevien asiantuntijoiden omia kokemuksia siitä, miten turvallisuusluokitellun tiedon suojausvaatimukset vaikuttavat hankintaprosessiin.

Tutkimusongelmaa lähestytään fenomenologis-hermeneuttisesta näkökulmasta. Fenomenologiassa ollaan kiinnostuneita ihmisten kokemusmaailmoista. Tutkimuksessa selvitetäänkin haas-tatteluaineistoa laadullisesti analysoimalla, palveluhankintojen parissa työskentelevien asian-tuntijoiden omaa suhtautumista tutkittavaan ilmiöön. Lisäksi tutkija pyrkii aktiivisesti tekemään tulkintoja käsiteltävästä haastatteluaineistosta oman esiymmärryksensä pohjalta ja siten kuljettamaan lukijaa hermeneuttisella kehällä kohti ymmärtämiseen sekä merkityksenantoon tähtäävää ulottuvuutta.

Tämän tutkimuksen perusteella voidaan todeta, ettei KATAKRI:n täysmääräinen käyttäminen ole järkevää puolustusvoimien turvallisuusluokiteltua tietoa sisältävien palveluhankintojen tarjouslaskentavaiheessa. KATAKRI:n kriteerien käyttäminen sovelletusti, yhteistyön laatu ja syvyys huomioon ottaen, on kuitenkin perusteltua. KATAKRI:n kriteerit ovat nimittäin helposti ennakoitavissa ja yhtenäistävät viranomaisten vaihtelevia käytäntöjä. Ehdotus turvallisuus-luokitellun tiedon suojausvaatimuksiksi palveluhankintojen tarjouslaskentavaiheeseen on esitetty liitteessä 6.

Turvallisuusluokitellun tiedon suojaaminen palveluhankintojen tarjouslaskentavaiheessa Case: Puolustushallinnon rakennuslaitos, Etelä-Suomen alueyksikkö

The Construction Establishment of Defense Administration is in charge of expert and procurement tasks of the Finnish Defense Forces’ real estate administration, as well as of the organization of service production. The Southern Regional Unit (SRU) is responsible for property maintenance in the area of Southern Military Command including the isles in the Gulf of Finland. SRU is compelled to hand over classified information (CI) to different stakeholders during the Request for Quotation (RFQ) phase of service procurement. Unauthorized disclosure of CI can damage the Defense Forces. If a classified document is handed over to a stakeholder, the responsibility to protect the document lies upon its shoulders. Nevertheless, the SRU must ensure that the stakeholders are able to provide sufficient safeguards to protect the CI.

The main objective of this case study is to provide such knowledge that the SRU can apply into practice when building sufficient and effective safeguards during the RFQ phase of public service procurement. The usability of the National Security Audit criteria as the foundation of security measures during the RFQ phase is examined in the process.

It is not unambiguously determined how the CI should be protected when working with stake-holders. It is hard to define the absolute truth when the protective safeguards are strong enough and it is even harder to measure it. In the search for sufficient yet cost-effective safeguards, it is important to analyze the opinions of the experts in the field of service procurement. It is also important to investigate how the safeguards affect the procurement process as a whole.

In this study, the research problem is examined in the light of phenomenological and hermeneutic traditions. Phenomenology is the study of structures of consciousness as experienced from the first-person point of view. The interview data is analyzed with qualitative methods, in order to shed light on the attitudes of the experts concerning safeguarding CI. The researcher interprets the interview data based on his pre-reflective assumptions. Such an approach is often used in hermeneutic tradition in order to move downwards along the hermeneutic circle towards understanding and relevance.

This study shows that it is not practical to follow National Security Audit criteria letter by letter during the RFQ phase of service procurement. Instead, it is rational to use certain requirements in National Security Audit criteria considering the level and depth of co-operation with the stakeholders. The requirements in National Security Audit criteria are easy to anticipate and they unify the varying practices of different Finnish authorities. In appendix 6 there is a proposal (in Finnish) for what requirements should be put in place in order to set up sufficient safeguards for CI during the RFQ phase of service procurement.