Kyberturvallisuus kunnissa

Ovatko kunnat vastuussa Suomen kyberturvallisuudesta?

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä, eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin.

Suomessa on kuluneen vuoden aikana ollut lukuisia IT-järjestelmiin kohdistuneita häiriöitä ja hyökkäyksiä. Julkisuudessa on ollut muun muassa pankki- ja telesektorin ongelmia. Kaiken työssä näkemäni ja kokemani perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Kuntien hallussa paljon arkaluontoista tietoa

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Loppukesästä julkisuudessa oli Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Ihmisten yksityiselämään liittyvien tietojen julkaiseminen on tiettävästi johtanut lukuisiin avioeroihin ja jopa itsemurhiin. Voisiko sama tapahtua potilastietojen osalta?

Alkuvuodesta puolestaan raportoitiin tapaus, jossa hakkerit olivat aiheuttaneet tietojärjestelmien kautta fyysistä tuhoa saksalaiselle terästehtaalle. Jo vuonna 2011 tunkeutujat häiritsivät Illinoisin vedenjakelua tietojärjestelmien kautta. Sähköverkot, sähkön jakelu ja tuotanto ovat olleet hyökkäyksen kohteena jo useita kertoja ja usein hyökkäykset ovat myös olleet onnistuneita. Miksi näin ei voisi tapahtua Suomessa? Kysymys taitaa enemmänkin olla, että milloin näin tapahtuu.

Tarvitaanko kunnille tietoturvavelvoite?

Kehitystä on tapahtunut siinä suhteessa, että nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista, eikä taustalla tarvitse aina olla velvoittavia normeja. Toisaalta monessa paikassa tietoturvatyö nähdään myös kulueränä, jonka takaisinmaksuaikaa on vaikea määritellä ja riskejä helppo vähätellä. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuora velvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. KY-verkkoon liittyville verkoille ja järjestelmille asetetaan tietoturvavaatimuksia, joiden toteuttamisen ja toteen näyttämisen pohjana ovat tietoturvatasot. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palveluiden digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.