Digitaalinen turvallisuus kunnassa - havaintoja johdolle, tietohallinnolle ja toimialoille sekä sidosryhmille

Tietoturvan ja tietosuojan merkitys korostuu kuntien digitalisoituessa vauhdilla ja toimintaympäristön uhkaympäristön muuttuessa haastavammaksi. Digitaalisen turvallisuuden varmistaminen on johdon, tietohallinnon ja toimialojen yhteinen asia. Vaaditaan aiempaa enemmän sekä taloudellista panostusta että yhteistyötä yli toimiala-, kunta- ja hallinnonalarajojen. 

Kuntaliitto tukee kuntia digiturvan kehittämisessä, yhteisen edunvalvonnan ja verkostoitumisen mahdollistajana. Varmista, että oikeat henkilöt kunnastasi ovat mukana kuntaverkostoissamme.

Toimintaympäristö muuttuu nopeasti, ennakointi ja reaktionopeus korostuvat

Kuntien toimintaympäristö muuttuu nopeasti ja teknologian tuomat kehitysmahdollisuudet lisääntyvät jatkuvasti – toisaalta monimutkaiset tietojärjestelmäkokonaisuudet vaativat yhä enemmän resursseja ja osaamista. Tämä koskee myös tietoturvaa ja tietosuojaa. 

Henkilöstön tulee olla jatkuvasti hereillä uusimmista turvallisuutta uhkaavista tekijöistä. Verkkorikolliset kartoittavat lähes reaaliaikaisesti tietoverkkoa etsien järjestelmistä heikkoja kohtia ja tilaisuuden tullen hyödyntävät niitä nopeasti. Tietomurrot tehdään pääsääntöisesti henkilöstöä huijaamalla ja – enenevässä määrin – järjestelmien teknisiä haavoittuvuuksia hyödyntämällä. Onneksi myös keinot suojautua muuttuvia uhkia vastaan kehittyvät. 

Johdon rooli digiriskien hallinnan edellytysten rakentajana korostuu

Digitalisaation toimintaympäristössä toimiminen edellyttää jatkuvaa seurantaa ja kehittymistä. Kunnan johdolle tämä tarkoittaa digitaalisen turvallisuuden perusteiden ymmärtämistä ja huomioimista osana kunnan palveluiden ja toiminnan kehittämistä. Digiriskien erityisosaaminen on tietohallinnossa, mutta kunnan johdon pöydälle kuuluvat strategiset digiriskit, kunnan riskienhallintamalli, riskien hallintatoimenpiteiden vaikuttavuuden arviointi, jäännösriskien käsittely sekä sovittujen toimenpiteiden toteutumisen valvonta. Kyberriskien hallinnan tulisi olla kunnan arjessa osa riskienhallinnan kokonaisuutta. 

Johdolla on oltava strategisen tason ymmärrys oman kunnan tietojenkäsittely-ympäristöistä ja niiden suojaamisen vaatimuksista. Erilaiset itsearvioinnit, sisäisen tarkastuksen toteuttamat tarkastukset ja kolmansien osapuolten tekemät tietoturva-arvioinnit tarjoavat tietoa ymmärryksen tueksi. 

Johdon tulee varmistaa riittävät resurssit kunnan digitaalisen turvallisuuden kehittämiselle ja ylläpitämiselle. Meillä on useita hyviä esimerkkejä menestyksekkäästä kuntayhteistyöstä digiturvan edistämisessä - esimerkiksi yhteisiä asiantuntijaresursseja palkkaamalla. 

Yhteistyön tavoitteena ei tulisi olla vain säästöjen hakeminen vaan tarpeellisten, kasvavien kehittämis- ja ylläpitopanostusten toteuttaminen mahdollisimman tuottavasti ja laadukkaasti. Yhteistyötä tulisikin tiivistää kuntien välillä, ja myös kuntien ja palveluntuottajien välillä sekä kuntien ja kansallisen tason viranomaisten välillä. 

Kuntaorganisaation tulee kyetä toimimaan tilanteessa, jossa organisaatiota kohtaa vakava tietoturva- tai tietosuojahäiriö. Tämä tarkoittaa ennakkosuunnittelua ja varautumista sekä harjoittelua ja testausta. Kriisinhallinnassa ja varautumisessa toimiva yhteistyö kunnan sisällä ja sidosryhmien kanssa on olennaista. 

Kunnan tietohallinto on kunnan digiturvan asiantuntija 

Kunnan tietohallinnolta vaaditaan kattavaa riskilähtöisen toimintamallin haltuunottoa ja toteuttamista, tiedonhallintalain 4. luvun tietoturvavaatimusten mukaisuuden varmistamista omassa toiminnassa sekä monipuolista toiminnan kehittämistä vastaamaan toimintaympäristön haasteita. 

Tietoturvaloukkauksia tehdään merkittävässä määrin sekä huijaamalla henkilöstöltä käyttäjätunnuksia ja salasanoja että tunnistamalla ja hyödyntämällä järjestelmien teknisiä haavoittuvuuksia. Näiden hallitsemiseksi tulee olla kunnossa muun muassa ohjelmistopäivitysten ja haavoittuvuuksien hallinta, varmuuskopiointi, monivaiheinen tunnistautuminen (myös ylläpidossa), oma ajantasainen tilannekuva tietoteknisestä toimintaympäristöstä, riittävä tekninen valvonta omaan toimintaympäristöön sekä riittävä lokien kerääminen ja hallinta – unohtamatta henkilöstölle suunnattua jatkuvaa ja aktiivista koulutusta ja viestintää uhkista ja vaadittavista tietoturvatoimenpiteistä. Johdolle tulee tarjota ajantasaista tilannekuvaa.

Suuri osa digiturvan varmistamisen käytännön työstä tapahtuu toimialoilla

Kuntien toimialojen tulee tehdä yhteistyötä kuntien johdon ja tietohallinnon kanssa, jotta kunnassa saadaan muodostettua ajantasainen kokonaiskuva tietojenkäsittely-ympäristön digiturvan tilasta osana yhteistä digiriskien arviointia ja hallintaa. Tietoturva- ja tietosuojavaatimusten välittyminen palveluntoimittajille tulee varmistaa hankinta- ja sopimusehdoissa. Palveluiden vaatimustenmukaisuutta tulee seurata ja valvoa aktiivisesti. Koko palveluntuotannon arvoketju tulisi tuntea riittävällä tavalla ja varmistaa sen huomioiminen riskienhallintatoimenpiteissä. 

Kuntaliitto tukee kuntien digitaalisen turvallisuuden yhteistyötä, verkostoitumista ja edunvalvontaa

Kuntaliitto tarjoaa vertaisverkostot kuntien tietoturva- ja tietosuojavastaaville. Verkostoilla on yhteistyöalustat, jotka mahdollistavat vertaiskeskustelun ja tiedonvaihdon. Lisäksi verkostoissa voidaan järjestää tilaisuuksia ajankohtaisista aiheista. Verkostotyö tukee myös kuntien edunvalvontaa. Tulemme tiivistämään digiturva yhteistyötä kuntien varautumisen, toimialojen ja johdon verkostojen kanssa. 

Mikäli kuntasi ei ole vielä verkostojemme jäsen, nyt on hyvä aika tulla mukaan. Verkostoihin voi liittyä helposti: 

• tietoturvavastaavat, lähetä viesti osoitteeseen tietoturva@kuntaliitto.fi ja 
• tietosuojavastaavat, ilmoittaudu lomakkeella tältä verkkosivulta. 

Kehitämme lähikuukausien aikana tietoturva- ja tietosuojavastaavien verkostojamme ja niiden verkkosivuja. 

Viranomaisilla, palveluntuottajilla ja tutkimuslaitoksilla on tärkeä rooli kuntien digiturvan kehittämisessä

Kuntien tietoturvan ja tietosuojan kehittämisen kannalta tärkeitä toimijoita ovat muun muassa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus, Digi- ja väestötietoviraston digiturvatiimi sekä Huoltovarmuusorganisaatio ja sen poolit. Kuntaliitto tekee näiden toimijoiden kanssa tiivistä yhteistyötä, jotta niiden toiminta tukisi kuntia mahdollisimman hyödyllisesti. 

Valtiotasolla tulisi priorisoida kyberturvallisuuden kehittämisresursseja sekä välttää epävakauttavia muutoksia. Viime vuosien aikana julkisen hallinnon digitaalista turvallisuutta on kehitetty useammassa eri hankkeessa. Niissä on luotu yhteisiä digiturvaratkaisuja ja -palveluita, joiden laadukas jalkautus ja pitkäjänteinen ylläpito tulisi nyt varmistaa. 

Digiturvan jatkokehitystä kunnissa tulisi mahdollistaa uudella yhteisellä kehittämisrahoituksella. Olisi myös tärkeää tunnistaa keinoja digiturvatoiminnan tuottavuuden parantamiseksi, esimerkiksi yhteistyötä ja toimintamalleja kehittämällä eri hallinnonalojen ja -tasojen välillä. Ulkopuolisia rahoitusmahdollisuuksiakin (esim. kansainväliset) tulisi pyrkiä tunnistamaan ja hyödyntämään yhdessä. 

Lukuisat kunnat tukeutuvat merkittävältä osin in house -yhtiöihin oman digiturvansa varmistamisessa. In house sääntelyn kehittämisessä tulisi arvioida tarkasti esitettyjen muutosehdotusten vaikutukset kuntakentän edellytyksiin ylläpitää ja kehittää tietoturvallisuutta ja tietosuojaa. Niiden edellytyksiä heikentäviä uudistuksia ei kannata tehdä. 

Palveluntuottajien sekä koulutus- ja tutkimuslaitosten rooli on merkittävä kuntien tietoturvan kehittämisen kannalta. Kuntaliitto on sitoutunut tiiviiseen yhteistyöhön näiden sidosryhmien kanssa kuntakentän tietoturvan toimintaedellytysten kehittämiseksi. 

Turvallinen digitalisaatio toteutetaan yhdessä - kunnassa, kuntien yhteistyönä sekä kuntien ja sidosryhmien yhteistyönä. Nyt on hyvä hetki tarkentaa oma digiturvan tilanneymmärrys ja kehittämisen painopisteet sekä vahvistaa yhteistyörakenteita ja -verkostoja.

Kunnan digiturvatyötä tukevia aineistoja ja ratkaisuja

Kuntien tietoturvan ja tietosuojan asiantuntijoiden kannattaa tutustua DVV:n digiturvatiimin ja VAHTI-verkostojen toimintaan sekä Kyberturvallisuuskeskuksen kunnille suunnattuihin palveluihin. Niistä saa lisätietoja myös Kuntaliiton edellä mainittujen verkostojen kautta. 

Kuntaliitto suosittelee kunnille tutustumista Kyberturvallisuuskeskuksen hyökkäyspintojen kartoituspalvelu HYÖKY:yn ja vakavien tietoturvauhkien havainnointipalvelu HAVARO:on sekä mahdollisuuksien mukaan liittymistä niihin, tai valvonnan hoitamista muilla vastaavilla keinoilla. Kyberturvallisuuskeskus julkaisee muitakin hyödyllisiä oppaita ja aineistoja, esimerkkinä ohjeistus tietomurtojen ehkäisyn ja tietomurtotilanteessa toimimisen tueksi.

Oman hallinnollisen tietoturvan tilanteen kartoituksessa kannattaa hyödyntää esimerkiksi DVV:n organisaation digiturvakyselyä, Kyberturvallisuuskeskuksen Kybermittaria ja tiedonhallintalautakunnan suosituksia (tietoturvallisuuden vähimmäisvaatimukset, salassa pidettävän tiedon käsittely, julkisen hallinnon tietoturvallisuuden arviointikriteeristö, Julkri). 

Muutkin hyvät käytännöt tukevat tässä kuten ISO27000 standardit ja luonnosvaiheessa oleva NIS2 lainsäädäntöön liittyvät perustason tietoturvasuositukset (perustason kyberhygienia). Hankintojen digiturvavaatimuksien määrittämisessä voi hyödyntää Tiedonhallintalautakunnan suositusta tietoturvallisuudessa hankinnoissa.