Turvallisuuskriittisten tietojärjestelmien epäonnistumiset ja niiden yhteys ketterään ohjelmistokehitykseen

Abstract

Tietojärjestelmät muodostavat nykyaikaisen yhteiskunnan selkärangan. Organisaatioiden toiminta ei olisi nykyisellä laajuudella ja tehokkuudella mahdollista ilman, että tietojärjestelmien avulla ohjattaisiin niiden toimintaa. Hallinnan ja tehokkuuden kääntöpuolena on riippuvuus tietojärjestelmistä myös sellaisissa ympäristöissä, joissa tietojärjestelmien epäonnistuminen aiheuttaa vakavia seurauksia. Tällaisiin turvallisuuskriittisiin ympäristöihin suunnitellut tietojärjestelmät kehitetään tiukan sääntelyn puitteissa, mutta silti ne eivät ole immuuneja epäonnistumisille.

Järjestelmän tilaaja haluaa järjestelmän olevan paitsi suoristusvarma, myös mahdollisimman nopeasti käyttökelpoinen. Erityisesti nopeuden vaatimukseen vastattiin 2000-luvun taitteessa ketterän ohjelmistokehityksen manifestilla, josta sittemmin on muokattu malleja soveltuvaksi myös suuriin projekteihin ja turvallisuuskriittisille toimialoille.

Tämän tutkimuksen tarkoitus on tutkia, löytyykö turvallisuuskriittisten tietojärjestelmien epäonnistumisten ja ketterän ohjelmistokehityksen suuntauksen välille yhteyttä. Tutkimus jakautuu kahteen osioon, joista ensimmäinen on kirjallisuuskatsaus. Siinä tarkastellaan ohjelmistokehityksen suuntauksia erityisesti verraten ketterää ohjelmistokehitystä ja perinteiseksi miellettyä suunnittelupainotteista suuntausta. Kirjallisuus sidotaan tutkimuksen aihepiiriin tarkastelemalla ketterän ohjelmistokehityksen turvallisuuskriittistä kontekstia.

Tutkimuksen toinen osa on empiirinen tutkimus, jossa esitellään teoriaohjaavan sisällönanalyysin tulokset. Analyysin pohjana toimivat Helsingin Sanomien ja YLE:n uutisartikkelit. Tutkimuksella pyritään luomaan ymmärrystä ilmiöstä ja tarkastelemaan sitä, miten epäonnistuneet tietojärjestelmät ja ketterä ohjelmistokehitys mahdollisesti linkittyvät toisiinsa.

Tutkimuksen perusteella tietojärjestelmiä otetaan käyttöön keskeneräisenä myös turvallisuuskriittisissä tietojärjestelmissä. Tiukoista prosesseista lipsutaan, jotta järjestelmiä saadaan tuotantoon nopeammin ja kustannustehokkaammin. Järjestelmän toimittajan ja hankkijan välillä vaikuttaa usein olevan puutteellinen ymmärrys järjestelmän vaatimuksista, mikä johtaa suunnitteluvirheisiin. Myös testaukseen ei käytetä riittävästi aikaa.