Suomen kyberturvallisuus suuressa määrin kuntien vastuulla

Suomen kyberturvallisuus suuressa määrin kuntien vastuulla

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin. KPMG:n kokemuksen perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Uhkakuvana henkilötietojen tietovuoto

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Julkisuuteen nousi Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Voisiko sama tapahtua Suomessa?

Tarvitaanko kunnille tietoturvavelvoite?

Nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista eikä taustalla aina tarvitse olla velvoittavia normeja. KPMG:llä on asiakkaina kuntia ja kaupunkeja, jotka ovat omaehtoisesti lähteneet kehittämään tietoturvallisuuden hallintaansa valtionhallinnon tietoturvatasojen mukaisesti. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuoravelvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palvelujen digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika Laaksonen, partner, KPMG:n tietoturvapalvelut