Tietohallintoneuvos, yksikön päällikkö Aku Hilve:
Päivän kybersää ennustaa epävakaisia aikoja kunnille

Valtiovarainministeriö 24.9.2019 8.13
Kolumni

Lahti, Kokemäki ja Pori – tai oikeammin näiden kuntien asukkaat – joutuivat kesällä kyberrikollisten hyökkäyksen kohteeksi. Kyse ei ollut siitä, että nämä kunnat olisivat hoitaneet tietoturva-asiansa huonosti. Kesän tapahtumat havahduttivat monet kuitenkin huomaamaan, ettei mikään organisaatio ole tänä päivänä liian vähäpätöinen valikoituakseen kyberhyökkäyksen kohteeksi – eivät myöskään kunnat.

Kunnat ovat merkittävässä asemassa arkemme pyörittämisessä. Kuntapalveluiden vaarantuminen on siksi hyvin kriittistä: kyberhyökkäyksistä aiheutuneet ongelmat ovat vaikuttaneet muun muassa kuntien sosiaalipalveluihin. Hyökkäykset ovat koskettaneet myös muita yhteiskunnan kannalta kriittisiä toimintoja, kuten kuntien vesihuoltoa.

Palveluiden vaarantumisen lisäksi kyseessä on toissijaisesti myös kustannuskysymys: kyberhyökkäysten ennaltaehkäiseminen maksaa, mutta niin maksaa hyökkäysten aiheuttamien ongelmien korjaaminen: korjauskustannukset ovat voineet nousta jopa satoihin tuhansiin euroihin pienissäkin ympäristöissä.

Turvallisuus on digitalisaation onnistumisen edellytys

Suomi on kansainvälisissä vertailuissa kärjessä yhteiskunnan palveluiden digitalisoinnissa ja aivan kärjen tuntumassa kyberturvallisuudessa. Kansallisella tasolla valtiovarainministeriö seuraa ja mittaa julkisen hallinnon digitaalisen turvallisuuden kokonaistilannetta osana ohjaustehtäviään.

Mittareiden perusteella kunnat eivät tällä hetkellä yllä digitaalisessa turvallisuudessa valtionhallinnon tasolle. Sairaanhoitopiirit sekä suuret kaupungit erottuvat edukseen, mutta kaiken kaikkiaan kuntasektorin varautuminen on kuitenkin kirjavaa. Pienten organisaatioiden on vaikea yksin löytää riittävät resurssit niin digitalisaatioon kuin digiturvallisuuden kehittämiseen.

Tarjolla on keppiä ja porkkanaa – enemmän kuitenkin porkkanaa

Valtiovarainministeriö ohjaa digitaalisen turvallisuuden kehittämistä ja yhteistyötä. Kantavana ajatuksena kehittämisessä ovat tietoon perustuva johtaminen, päällekkäisen työn välttäminen ja hyvien käytäntöjen laaja hyödyntäminen. Yhteistyön ja kehittämisen toimielimenä on julkisen hallinnon digitaalisen turvallisuuden johtoryhmä VAHTI, jonka käytännön toiminnasta ja valmistelusta vastaa Väestörekisterikeskus.

Uusi julkisen hallinnon tiedonhallintalaki tulee voimaan vuoden 2020 alusta. Lain puitteissa asetetaan samat turvallisuuden vähimmäisvaatimukset koko julkiselle hallinnolle; myös kuntasektorille. Vastuu toimenpiteistä ja kustannuksista on kuitenkin kullakin organisaatiolla itsellään.

Kunnat mukaan kehittämiseen ja harjoitteluun

Vaikka lain edellyttämistä tietoturvavaateista huolehdittaisiin, ei vielä sekään takaa täyttä turvaa kyberhyökkäyksiltä. Säännöllinen harjoittelu ongelmatilanteita varten on siksi tarpeen.

VAHTI-yhteistyössä on viime vuosina enenevässä määrin ollut kohteena valtionhallinnon sijaan koko julkinen hallinto. Tänäkin vuonna järjestetään TAISTO-harjoitus, jossa organisaatiot kehittävät varautumistaan erilaisten häiriöiden, kuten kyberhyökkäysten varalta. Harjoitukseen osallistumista jokaisen kunnan on syytä harkita. Kansalaisten kannalta on tärkeää, että jokainen julkisen hallinnon organisaatio kehittää hyvän kyvyn selviytyä erilaisista digitaalisen maailman häiriöistä ja hyökkäyksistä.

Harjoittelun lisäksi tositilanteessa kyberhyökkäysten selvittämiseen on tarjolla apua myös Liikenne- ja viestintäviraston kyberturvallisuuskeskuksesta, jonne kannattaa olla häiriötilanteissa nopeasti yhteydessä. Kyberturvallisuuskeskus tarjoaa luottamuksellista apua tietoturvaloukkauksen selvittämiseksi sekä koordinoi tarvittavia toimenpiteitä. Poliisi lisäksi tutkii ja huolehtii rikosprosessin etenemisestä. Rikoksestahan näissä hyökkäyksissä on kyse.

Tulevaisuutta linjataan ja tehdään julkisen hallinnon kokonaisuutena

Pääministeri Rinteen hallitusohjelman mukaisesti valtiovarainministeriö valmistelee julkisen hallinnon digitaalisen turvallisuuden kehittämisen linjaukset. Näiden linjausten toimeenpanossa on tarpeen erityisesti nostaa esille tiekartta kuntasektorin digitaalisen turvallisuuden kehittämisen konkreettisista askelmerkeistä. Tavoitteena on, että kybersää ennustaa jatkossa valoisampia aikoja koko kuntasektorille.

Aku Hilve

Tietohallintoneuvos, yksikön päällikkö
@Hilve