CGI Suomen blogi
Jens Säynäjärvi

Huojuva kuntatalous on kyberriski

Kun lehdistö huutaa kyberhyökkäystä Ulkoasiainministeriöön, tuntuu kuntatoimija äkkivilkaisulla mitättömältä toimijalta kyberriskien maailmassa.

Tarkempi tarkastelu paljastaa, että kuntien hallussa on kuitenkin huomattava määrä tietoa: kuntalaisista, yrityksistä, kaavoituksesta, infrastruktuurista, varautumisesta ja niin edelleen. Listaa voisi helposti jatkaa pitkälle.

Tieto sinällään ei välttämättä ole sensitiivistä, mutta yhdistettynä muihin tietoihin, siitä saattaa tulla kiinnostavaa esimerkiksi vakoilun tai yritysvakoilun välineenä.

Myös huoltovarmuuden kannalta tärkeimpiä palveluita, kuten vesi- tai sähköhuoltoa hoidetaan kuntien tietoverkoissa.

On perusteltua kysyä ja varmistaa, ovatko kyberturvallisuuden vaatimukset ja siihen liittyvät velvollisuudet sisäistetty kunnissa ja löytyykö osaamista? Kun budjettiraamit paukkuvat, turvallisuusinvestoinneista nipistäminen on turhankin helppoa.

Nokian vesikriisin jälkimainingeissa kunnissa herättiin hetkeksi ainakin fyysisen turvallisuuden varmistamiseen: se, mikä voi käydä vahingossa, voi aivan yhtä hyvin tapahtua tahallisesti. Kunnissa toivon mukaan pohdittiin armottomasti, onko oma vesihuolto suojattu, ettei Suomen vatsaa pistetä sekaisin ainakaan omalla takapihalla.

”Kuntien järjestämisvastuulla olevia palveluita tuotetaan nykyisin yhä enemmän peruskunnan ulkopuolella”, todetaan Yhteiskunnan Turvallisuusstrategiassa. Vesihuoltoa saattaa kunnassa hoitaa kuntayhtymä tai jopa sen alihankkija.

Uskallan väittää, että useammassakin kunnassa vastuunjako hämärtyy hankintaketjujen pidentyessä.

Kuntaliitto aloitti Huoltovarmuuskeskuksen tuella 22.9.2014 kaksivuotisen KuntaHUOVI-projektin kuntien ja jatkuvuudenhallinnan sekä varautumisen kehittämiseksi. KuntaHUOVIn pääpaino on kehittää konkreettisia työkaluja normaaliolojen häiriötilanteisiin varautumiseen. Nyky-yhteiskunnassa esimerkiksi tietoverkkojen halvaantuminen verkkohyökkäyksen seurauksena on häiriö normaalioloissa, ja toivon projektin ottavan myös kyberasiat huomioon.

Säästökurimuksessa taistelevissa kunnissa olisi pystyttävä muodostamaan kunnollinen kokonaiskuva niistä riskeistä, joiden hallinta kuuluu kunnalle. Niukat resurssit on sen jälkeen helpompi sijoittaa strategisesti tärkeisiin kohtiin ja vastuuttaa myös liikelaitoksia hoitamaan oma osuutensa. Yhteiskunnan Turvallisuusstrategiassa suorastaan käsketään määrittelemään organisaatioiden ja palveluntuottajien roolit ja vastuut.

Vastuiden määrittely ja riskien tunnistaminen on turvallisuuden alku. Sen jälkeen tarvitaan riittävästi resursseja, jotta verkkohyökkäyksiin voidaan toden teolla varautua ja turvallisuutta parantaa. Kyberturvallisuudessa keskeistä on verkoston yhteistoiminta. Siksi myös kuntasektorilla yritysten, kunnan toimielinten ja viranomaisten yhteispelin on oltava saumatonta.

Kirjoitus on julkaistu Talouselämässä 7.11.2014

Blog moderation guidelines and term of use