MUODno-2024-412
Hallintosääntö § 34.1 ja 37
Kunnan käyttämään CaseM -asianhallinta ja kokouspalvelukokonaisuuteen kirjaudutaan erillisellä käyttäjätunnuksella ja käyttäjän itse asettamalla salasanalla. Tunnistuspalvelun tuottaa Fujitsu ja siellä on tehty keväällä auditointia palvelun tietoturvallisuuden osalta. Auditoinnissa nousi esille, että tietoturvaa tulee parantaa käyttäjien tunnistautumissa.
Kuntien Tiera Oy on 27.8.2024 toimittanut tarjouksen Tiera Tiedonhallinta -tunnistusratkaisuista kahdesta vaihtoehdosta, tunnistautuminen organisaation oman (LapIT Oy:n) AzureAD:n tai Fujitsun palveluna. Palvelu toimitetaan loppuvuoden 2024 aikana. Muutos koskee henkilöstöä ja luottamushenkilöitä. Tarjous on luottamuksellinen.
Ensimmäisessä vaihtoehdossa tunnistautuminen tapahtuu kunnan käytössä olevan LapIT:n palvelun perusteella, kirjautumisessa käytetään samaa tunnusta kuin esim. sähköpostiin tunnistautumisessa. Käyttäjien ja käyttäjähallinnan ylläpidon kannalta tämä on kunnan kannalta yksinkertaisempi kuin toinen vaihtoehto. Kustannukset muodostuvat käyttöönotosta, mutta jatkuvia kustannuksia Kuntien Tiera Oy:lle ei ole.
Toisessa vaihtoehdossa on SMS-pohjainen MFA (Multi-Factor Authentication), jossa käyttäjätunnuksen lisäksi tunnistautumisen osana on tekstiviestivarmennus. Käyttäjien kannalta tämä ratkaisu ei ole yhtä helppo, kuin vaihtoehto 1 ja käyttäjähallinnan ylläpito on kunnan kannalta raskaampi kuin ensimmäisessä vaihtoehdossa. Kustannukset muodostuvat korotuksesta käyttäjäkohtaiseen palvelumaksuun, joka sisältää MFA-tekstiviestin. Mikäli kunta haluaa siirtyä jossain vaiheessa vaihtoehto 1:een, se tehdään Fujitsulla erikseen muutostyönä.
Vertailun perusteella vaihtoehto 1 on kokonaistaloudellisesti edullisempi, kun huomioidaan hinnan lisäksi riskienhallinta ja jatkuvuus. Ohjelmistojen hankintaan on varattu määrärahaa kuluvan vuoden talousarviossa.
Hankitaan Kuntien Tiera Oy:n 27.8.2024 tarjouksen mukaan Tiera Tiedonhallinta -tunnistukseen vaihtoehto 1:n mukainen ratkaisu.