Vastaamo-murto nosti tietoturvan kuntien agendalle  

Tietoturvaan ja tietosuojaan yhdistyneet negatiiviset tapahtumat vuoden 2020 aikana ja sitä seurannut julkisuus ovat korostaneet digiturvan merkitystä.

Julkisen hallinnon digitaalisen turvallisuuden kehittämisestä vastaava Digi- ja väestötietovirasto DVV on kartoittanut kyberturvallisuuden tilaa kunnissa.

Kaikille kunnille lähetettyyn kyselyyn saatiin 98 vastausta eli vajaa kolmasosa kunnista vastasi. Tietoturvan suhteen kenttä on erittäin heterogeeninen.

– Tunnistimme muun muassa edelläkävijäkuntia ja sinnikkäitä kuntia, eli kuntia, joilla ei ole paljokaan resursseja digiturvan hoitamiseen, mutta jotka siitä huolimatta selviytyvät siitä erittäin hyvin, toteaa kartoitushankkeesta vastannut johtava asiantuntija Kirsi Janhunen DVV:ltä.

Pienikin voi olla edelläkävijä

Pisimmälle ehtineet ovat tunnistaneet itselleen tärkeitä toimintoja ja osallistuneet säännöllisesti DVV:n järjestämiin Taisto-harjoituksiin.

– Edelläkävijyyteen kuuluu omien luottamus- ja yhteistyöverkostojen hyödyntäminen sekä säännölliset tapaamiset niiden puitteissa.  Leimaa antavaa on myös halu asiakaslähtöiseen ICT-palveluiden kehittämiseen.

Edelläkävijät ovat jo onnistuneet ratkaisemamaan useita ongelmia, joiden kanssa muut organisaatiot vielä painivat.

Palveluiden ja ulkoistusten hankinnatkin ovat osuneet nappiin.

– Tätä edelläkävijyyttä kannattaa pitää esillä, mitä voimme oppia onnistujilta ja sitkeiltä yrittäjiltä, Kirsi Janhunen sanoo.

Pienetkin kunnat voivat kulkea etujoukoissa hyvien verkostojensa ja aktiivisen yhteistyön ansiosta.

– Resurssit voivat toki olla niukat, mutta ilmaista tukea ja apua löytyy alan ammattilaisten verkostoista, joihin kannattaa mennä kuulemaan ja jakamaan hyviä käytäntöjä, Janhunen sanoo.

Edelläkävijät ilmoittavat harjoittelevansa poikkeustilanteita vähintäänkin kerran vuodessa. Muista vastaajista vain hieman yli puolet kertoi varautuvansa tilanteisiin harjoittelemalla – tällöinkin vain korkeintaan kerran vuodessa.

Tyypillisiä verkostoja ovat tietoturvapäällikön ja tietohallinnon edustajien henkilökohtaiset verkostot muiden organisaatioiden sekä palveluntuottajien edustajien kanssa.

Johto voi harata vastaan

Kuntien – myös edelläkävijöiden – keskuudessa on eroja siinä, miten hyvin ylin johto tukee ja ymmärtää tietoturva-asioita.

Joissakin organisaatioissa digipuolen avainhenkilöt ovat vahvalla henkilökohtaisella panostuksellaan onnistuneet hankkimaan johdon tuen.

– Tietohallinnon edustajat ovat voineet käyttää oveliakin keinoja, jotta digiturva-asiat saadaan ylimmän johdon tietoisuuteen. Hyväksi koettu keino on ollut oma esiintyminen tai ulkopuolisten puhujien hankkiminen tapahtumiin, joissa ylimmän johdon läsnäolo on ollut pakollista.

Kunnissa koetaan, että ylimmän johdon, tietohallintojohdon ja digitaalisesta turvallisuudesta vastaavien väliltä puuttuu yhteinen tapa puhua.

– Jatkuvasti, myös tässä kyselyssä, nousi esiin, että ylin johto katsoo digitaalista turvallisuudesta vastaavien puhuvan aivan outoa kieltä.

– Johdolle asioita on siis viestittävä mahdollisimman selkeällä tavalla ja vaikkapa konkreettisten esimerkkien kautta, Janhunen pohtii.

Yhteisen kielen puuttumisesta kertoo sekin, että tietohallinnon tai tietoturvan edustajia ei juurikaan istu kuntien johtoryhmissä – poikkeuksena on jälleen muutama edelläkävijäkunta.

– Toiminta johtoryhmässä on kasvattanut johdon tietoisuutta ja sitoutumista digiturvallisuuden edistämiseen sekä mahdollistanut uusien digiturvaa tukevien hankkeiden käynnistämiseen ja niiden menestyksellisen läpiviennin.

Tietovarannot suojattava

Keskeisesti tärkeiden toimintojen ja tietovarantojen suojaaminen kuuluu digiturvallisuuden avaintehtäviin. Niiden mahdollisesta murtumisesta aiheutuvat riskit on tunnettava.

– Ymmärryksen ja osaamisen puutteen takia tulee helposti eteen Vastaamo-tyyppisiä ongelmia – herätään vasta kun jotakin tapahtuu.

Kunnissa tarvitaan myös ymmärrystä eri toimintojen kriittisistä keskinäisistä riippuvuuksista ja riskeistä, joita systeemien kaatumiseen liittyy.

– Edellä sanottu koskee ennen kaikkea kunnan ulkopuolelta hankittavia palveluita – myös muita kuin tietotekniikkaan liittyviä palveluista.

– Hallintamenettelyt ja varajärjestelmät kannattaa miettiä erityyppisten häiriöiden varalle. Etukäteen on pohdittava mitä tehdään, jos jotakin tapahtuu eikä vasta jälkikäteen.

Tiedonhallintalaki antaa puitteet

Julkisessa hallinnossa korostuu toimintaa määrittelevän lainsäädännän ymmärtäminen. Vuoden 2020 alussa voimaanastunut tiedonhallintalaki aiheuttaa paljon pohdintaa.

Lain tavoitteena on edistää paitsi viranomaistoiminnan tietoturvaa myös sen yhdenmukaistamista ja digitalisointia.

–Lain vaatimuksiin ja etenkin sen neljänteen tietoturvaa koskevaan lukuun kannattaa perehtyä – keskeiset asiat on siinä hyvin kiteytetty, Janhunen neuvoo.

– Tukea nelosluvun pykälien ja turvallisuusluokiteltujen asiakirjojen käsittelyä koskevan valtioneuvoston asetuksen soveltamiseen voi hakea VM:n asettaman tiedonhallintalautakunnan ohjeista.

Harjoittele, verkostoidu

Kunnat ovat kokeneet DVV:n järjestämät vuosittaiset Taisto-harjoitukset erittäin tärkeinä.

– Kyseessä on hyvin konkreettinen tapa niin kunnille kuin muillekin julkisen hallinnon organisaatiolle harjoitella eri tilanteita tyyliin ”miten sinä toimisit tässä tilanteessa, Janhunen sanoo.

– Neuvoni on, että jos tietoturvan eteen ei ole varaa mitään muuta tehdä, niin harjoitelkaa ainakin toimimista häiriötilanteissa. Verkostakin löytyy kaikenlaista hyvää koulutusmateriaalia.

Hankintaosaaminen korostuu

Kunnat hankkivat yhä enemmän palveluita ulkopuolelta. Hankintaosaaminen ja siihen liittyvä sopiminen ja toimittajahallinta korostuu.

– Pienessä kunnassa tietoturva voi olla yhden henkilön varassa, mihin sisältyy henkilöriski. Vastapainona on taasen se, että tämä yksi henkilö pystyy helposti muodostamaan kokonaiskuvan olemassa olevista riippuvuuksista.

– Resurssipulan vallitessa on strategisesti tärkeätä katsoa, millaisia ihmisiä ja millaisella osaamispohjalla digiturvapuolelle rekrytoidaan. Monimutkaisia isoja kokonaisuuksia hallitsevat kovan luokan osaajat ovat kovin kilpailtuja.

Kunnissa uudet rekrytoinnit nähdään mahdollisuutena tuoda organisaatioon uusia ketteriä toimintatapoja.

– Kaikki kyselyn yhteydessä haastatellut kunnat kuitenkin kokevat, että lupaa rekrytointiin on ollut vaikea saada – ei edes eläköityneiden tilalle haluta palkata uutta henkilöä.

Etäpalvelua tarjolla

Kirsi Janhunen korostaa, että palveluntarjoajaksi voidaan aivan hyvin palkata etätyötä tekevä ulkopuolinen ammattilainen tai yritys.

– Homma onnistuu etäpalveluna, koska tiedot pyörivät joka tapauksessa pilvipalvelussa ja serverit on sijoitettu palvelukeskukseen.

Ulkopuolista palvelua tukee sekin, että digiturvaosaamisen taso yksityisellä puolella on erittäin hyvää ja luotettavaa sekä menossa parempaan suuntaan koko ajan.

– Erityisosaamista koskevat asiat etenkin kannattaisi ostaa ulkoa. Kunnissa kuitenkin nähdään, että ulkoistuksista huolimatta myös omaa sisäistä osaamista tarvitaan, jotta organisaatio osaa toimia oikein.

Verkkoja skannaamaan

DVV:ssä pohditaan tällä hetkellä, että kannattaisiko ulkopuolista tietoverkkojen skannausta toteuttaa säännöllisesti kuntiin palveluna yhdessä Traficomin kanssa.

– Hanketta pilotoidaan parhaillaan useammassa kunnissa, jotta nähdään, onko siitä vastaavaa hyötyä.

Tietoturvassa valtion hallinnon organisaatiot ovat keskimäärin paremmalla tasolla kuin kunnat. DVV:ssä on analysoitu syitä tähän.

– Johtopäätös on, että ratkaisu löytyy vuonna 2010 voimaan astuneesta ja pelkästään valtionhallintoa koskeneesta tietoturvallisuusasetuksesta. Sen vaatimuksiin vastaaminen edellytti paljon kehittämistyötä, jonka vauhdittamana alettiin parantaa muutakin tietoturvaa.

– Arvelisin että kunnat ovat nyt samanlaisen kehitysvaiheen edessä tiedonhallintalain takia, Janhunen pohtii.

Teksti: Matti Valli

Artikkeli on julkaistu kokonaisuudessaan Kuntatekniikan numerossa 2/2021.