Digitaalinen turvallisuus

Digitaaliseen turvallisuuteen kuuluvat julkisen hallinnon viitekehyksen mukaisesti riskien hallinta ja käsittely, toiminnan jatkuvuuden hallinta ja varautuminen, tietoturvallisuus ja tietosuoja sekä kyberturvallisuus. Kyberturvallisuudella tarkoitetaan digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin (lähde: Julkisen hallinnon digitaalinen turvallisuus).

Kyberturvallisuus on siis kansallisen turvallisuuden osa-alue. Se on pyrkimystä sähköisen ja verkotetun yhteiskunnan turvallisuuden takaamiseen tunnistaen, ehkäisten ja varautuen sähköisten sekä verkotettujen järjestelmien häiriöiden vaikutuksiin yhteiskunnan kriittisissä toiminnoissa. Turvallisuuskomitea ylläpitää kansallista kyberturvallisuusstrategiaa, josta löytyvät keskeisimmät kansalliset tavoitteet kybertoimintaympäristön kehittämiseksi ja siihen liittyvien elintärkeiden toimintojen turvaamiseksi.

 

(Kuvan lähde: Julkisen hallinnon digitaalinen turvallisuus)

Kybertoimintaympäristön synonyyminä voidaan käyttää termiä digitaalinen toimintaympäristö. Kansallisella tasolla seurataan ja tarkastellaan kybertoimintaympäristön kehittymistä ja tilaa.

Yhteiskunnan turvallisuus syntyy yhteistyöstä. Julkisen hallinnon digitaalisen turvallisuuden kehittymistä seurataan digitaalisen turvallisuuden viitekehyksen tasolla.

Julkisen hallinnon organisaatiot edistävät digiturvallisuutta sen osa-alueitten kautta osana oman toimintansa ja toimintaympäristönsä kehittämistä. Käytännössä kuntien ja kuntatoimijoiden tekeminen, resurssit ja investoinnit kohdentuvat riskien käsittelyyn, toiminnan jatkuvuuteen, toipumiseen ja varautumiseen sekä tietosuojan ja tietoturvan osa-alueille.

Digitaalisen turvallisuuden edistämistä tukee muun muassa laki julkisen hallinnon tiedonhallinnasta ja julkisen hallinnon digitaalisen turvallisuuden periaatepäätös.

 

Avaa kaikki

9 digiturvaan liittyvää haastetta kuntajohdolta -loppuraportti

(På svenska: Nio utmaningar inom digital säkerhet enligt kommunledningen.)

Kuntaliitto selvitti kuntajohtajien ajatuksia digitaalisen turvallisuuden johtamisesta

Kunnissa tiedetään, että jos katot ikkunasta ulos tai haistat savua kunnantalolla niin soitat pelastuslaitokselle. Mutta kun tulee kyberhyökkäys - kenelle sä soitat? - Kuntajohtajan sitaatti Kuntaliiton raportista ”9 digiturvaan liittyvää haastetta kuntajohdolta".

Digitaalinen turvallisuus nousi yhteiseksi puheenaiheeksi syksyllä 2020, kun psykoterapiakeskus Vastaamon laaja tietomurto tuli yleiseen tietoon ja kymmenientuhansien asiakkaiden tiedot vuotivat rikollisille. Vaikka Vastaamon tapaus kosketti kuntia lähinnä välillisesti, tapaus nosti keskusteluun kuntien digitaalisen turvallisuuden. Kuntaliitossa haluttiin selvittää entistä syvällisemmin, millaisia tarpeita kunnilla on digitaalisen turvallisuuden johtamisessa.

Selvityksessä tunnistettiin, että digiturvaan liittyvä keskustelu on isoilta osin asiaan perehtyneiden asiantuntijoiden hallitsemaa ja vastuuta kantavan kuntajohdon ääntä siinä ei juuri kuule. Kuitenkin kuntajohto on avainasemassa siinä, että organisaation riskit tunnistetaan, toimintamalleja ja työyhteisön digiturvallista toimintakulttuuria kehitetään, osaaminen organisaatiossa on riittävällä tasolla ja tekemisen vaatimat resurssit ovat kunnossa.

Johdon rooli on ratkaiseva - vertaistukea kaivataan

Haastatteluiden pohjalta koostetut havainnot on tiivistetty raporttiin, joka sanoittaa kuntajohdon ajatuksia ja tunteita digitaalisesta turvallisuudesta. Raportissa havainnot on kiteytetty yhdeksäksi haasteeksi, joita erityisesti kuntajohto kohtaa ja tuo esiin kuntien tuen tarpeita digitaalisen turvallisuuden johtamisessa.

Johdon rooli on ratkaiseva! Johdon tuella ja siunauksella asioita tapahtuu. Ilman niitä kaikki toiminta jää puuhasteluksi. - Riskienhallinnan ja varautumisen asiantuntija

Johtajat toivoivat, että digiturvallisuudesta puhuttaisiin heille johdon kielellä, ei tietoturvan asiantuntijajargonilla, joka tuntuu monelle johtajalle vieraalta. Johto koki teeman mielenkiintoiseksi ja tärkeäksi, mutta toivoi siitä keskustelua erityisesti toisten johtajien kanssa, heidän omissa verkostoissaan.

Johtajien työhön kuuluu tasapainoilu resursseista kilpailevien erilaisten tarpeiden kanssa ja näiden asioiden puntarointiin kaivattiin juuri muiden johtajien vertaistukea. Johtajat harvoin ehtivät jalkautua eri alojen asiantuntijoille suunnattuihin tapahtumiin, joissa tietoa on tarjolla. Myös riskienhallinnan ja varautumisen asiantuntijat kaipasivat vertaistukea siitä, miten asioita voi viedä organisaatioissa eteenpäin.

Raportilla haluamme myös haastaa kuntapäättäjiä pohtimaan, kuinka omassa kunnassa voisi vahvistaa digiturvallisuutta osana kunnan kokonaisturvallisuutta. Raportin tuloksia tullaan käymään läpi Kuntaliiton eri verkostoissa ja sen toivotaan synnyttävän keskustelua digitaalisesta turvallisuudesta osana kuntien riskienhallintaa ja kokonaisturvallisuutta. Erilaisia toimenpiteitä kuntien digitaalisen turvallisuuden vahvistamiseksi pohditaan yhdessä kuntien ja sidosryhmien kanssa.

Kuinka selvitys toteutettiin?

Kuntaliitto toteutti keväällä 2021 aikana kolme kuntajohdolle suunnattua ryhmähaastattelua (focus group), joiden avulla tavoiteltiin syvällisempää ymmärrystä kuntien haasteista digitaalisten turvallisuuden alueella. Haastatteluista kahteen osallistui kuntien ylintä johtoa ja yksi haastattelu kohdistui kuntien digitaalisen turvallisuuden ja riskienhallinnan johtajille. Haastattelut toteutettiin yhteistyössä syvälliseen asiakasymmärrykseen erikoistuneen kumppanin, Kenno Anthropological Consultingin kanssa.

Selvityksen luonne ei ollut tutkia määrällisesti suurta kuntajoukkoa, vaan pureutua syvällisemmin kuntajohtajien ajatuksiin ja kokemuksiin. Haastateltaviksi valittiin kuntajohtoa erilaisista kunnista. Haastateltavia oli eri puolita Suomea, osalla kunnista oli kokemuksia digiturvaloukkauksista, toisilla ei. Myös kuntien koko vaihteli. Haastattelut toteutettiin luottamuksellisesti ja tästä syystä haastatteluihin osallistuneita kuntia ja kuntajohtajien nimiä ei kerrota.

Raportissa esiin nostettavat löydökset eivät ole yksittäisiä mielipiteitä vaan laadullisen analyysin tulosta. Keskustelut on analysoitu aineistolähtöisesti, eli tutkimuksen pääpaino on aineistossa, ei ennalta määritellyssä teoriassa.

Riskien käsittely ja hallinta

Riskienhallinta tarkoittaa järjestelmällistä toimintaa, joka sisältää riskianalyysin sekä tarvittavien toimenpiteiden suunnittelun, toteutuksen, seurannan ja korjaavat toimenpiteet (lähde: Julkisen hallinnon digitaalinen turvallisuus).

Lue lisää tarkastuksen ja valvonnan sivulta.

Toiminnan jatkuvuuden hallinta ja varautuminen

Jatkuvuudenhallinnalla tarkoitetaan sellaista organisaation prosessia, jolla tunnistetaan toiminnan uhkat ja arvioidaan niiden vaikutukset organisaatiossa ja sen toimijaverkostossa sekä luodaan toimintatapa häiriötilanteita varten (lähde: Julkisen hallinnon digitaalinen turvallisuus).

Varautuminen on sellaista toimintaa, jolla varmistetaan tehtävien mahdollisimman häiriötön hoitaminen ja mahdollisesti tarvittavat, tavanomaisesta poikkeavat toimenpiteet häiriötilanteissa ja poikkeusolossa (lähde: Julkisen hallinnon digitaalinen turvallisuus).

Sosiaali- ja terveydenhuollon varautuminen

Sosiaali- ja terveydenhuollon varautuminen ja jatkuvuudenhallinta -vuoden 2019 koulutusmateriaali

Valmius ja jatkuvuudenhallinta SoTe-rakenteissa / SoTe-Kuja-hanke

Tiedonhallinta 

AKUSTI-foorumi

Nimikkeistöt ja luokitukset

Tietoturvallisuus

Tietoturvallisuus tarkoittaa sellaisia menetelmiä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus (lähde: Julkisen hallinnon digitaalinen turvallisuus). Kuntaliiton toimesta perustettu Kuntien tietoturvavastaavien verkosto tukee kuntien tietoturvan kehittämistyössä. Myös Digi-ja väestötietovirastosta saa tukea tietoturvatyöhön kunnissa.

Tietosuoja

TIetosuoja tarkoittaa ihmisten yksityisyyden suojelemista ja yksilöä koskevian tietojen suojaamista oikeudettomalta käytöltä henkilötietoja käsiteltäessä (lähde: Julkisen hallinnon digitaalinen turvallisuus).

Tietosuojalaki

Tietosuoja-asetus

Tietosuojavaltuutetun TSTO (ohjeistukset, suositukset)

Henkilötietojen käsittely kunnassa

Kunnan viranomaisten toiminnan julkisuus

Kunnille saapuvat tietopyynnöt

Työntekijän tietoaineistot

Verkkoviestinnän erityiskysymyksiä

Julkisuus- ja tietosuojalainsäädännöstä kunnassa voi lukea lisää myös Kuntaliiton lakiasioiden sivulta.

Yhteistyö, työryhmät ja verkostot

Kuntaliitto on vaikuttava kumppani kuntien digitaalisen turvallisuuden kehittämistyössä. Teemme viranomaisyhteistyötä erityisesti Digi- ja väestötietoviraston, Traficomin ja HVK:n kanssa. 

(Kuntakentän) tietosuojavastaavien verkosto

Kuntakentän tietoturvavastaavien verkosto (Kun-TVV)

Turvallinen ja kriisinkestävä kunta -verkosto