Kuntien ja hyvinvointialueiden kyvyt vastata kyberuhkiin vaihtelevat rajusti – rahapula ei selitä kaikkia eroja

Kyberturvallisuuden kypsyystaso vaihtelee paljon eri kuntien välillä. Kaikissa kunnissa ei esimerkiksi ole nimetty ketään kyberturvallisuuden vastuuhenkilöksi. Kuva: Cottonbro studio

Venäjän sotatoimet Ukrainassa sekä toisaalta myös Suomen Nato-jäsenyysprosessi ovat nostaneet kyberturvallisuuden keskusteluun myös kunnissa.

Kyberturvallisuuskeskuksen erityisasiantuntija, kunta-alan toimialavastaava Jere Finne kertoo, että joissain kunnissa uhkatason muuttuminen on aiheuttanut runsaastikin toimenpiteitä. Kaikkialla kyberturvallisuutta ei silti oteta huomioon aiempaa paremmin.

Kyberturvallisuuden kypsyystaso vaihtelee paljon kuntien välillä. Kaikissa kunnissa ei esimerkiksi ole nimetty ketään kyberturvallisuuden vastuuhenkilöksi.

Nykytilanteeseen vaikuttaa muun muassa se, miten paljon kunnalla on rahaa ja mahdollisuuksia huolehtia kyberturvallisuudesta.

Vaikka resursseilla on suuri merkitys, on myös edelläkävijäkuntia, joilla ei resursseja paljoa ole. Tällöin korostuu kunnan johdon rooli.

”Siellä panostetaan turvallisuuteen, ja se nähdään kiinteänä osana kokonaisuutta”, Finne kuvaa.

Yleensä kyberturvallisuus on suuremmissa kunnissa pienempiä kuntia paremmassa jamassa.

Isossakaan kunnassa tilanne ei aina ole hyvä, jos haasteita on jo peruspalveluiden tuottamisessakin. Kun tekemistä pitää priorisoida, voi olla, ettei kyberturvallisuuteen ole mahdollisuutta panostaa.

”Tietoturvallisuus tuppaa usein jäämään jalkoihin, jos pitää miettiä, pidetäänkö vaikka päiväkoti toiminnassa vai tehdäänkö jotain muuta.”

Vaikka kyberturvallisuuteen ei ole käytettävissä paljon rahaa, voi tilanne silti olla hyvä, jos paikallistason yhteistyö toimii. Kun paikallistason verkoston yhteistyö pelaa, hyötyvät siitä myös pienemmät yksiköt.

Finne muistuttaa, että eri organisaatiot kamppailevat arjessaan usein samojen asioiden kanssa.

”Verkostoituminen on todella tärkeää, että saadaan jaettua resurssia tekemiseen, että kaikkien ei tarvitse tehdä samaa ja toisaalta tulee vertaistukea ja pääsee sparraamaan niitä asioita.”

Vaikka kyberturvallisuuteen ei ole käytettävissä paljon rahaa, voi tilanne silti olla hyvä, jos paikallistason yhteistyö toimii.  Kuva: Kari Salonen

Erityisasiantuntija ei lähde kertomaan, missä kunnissa kyberturvallisuusasiat on hoidettu esimerkillisesti tai vähemmän esimerkillisesti. Tähän on syynä se, että kunnat eivät nimittäin halua joutua kyberrikollisten maalitauluksi.

Kuntaliiton digitaalisen turvallisuuden erityisasiantuntija Jari Ylikoski kertoo, että eräänlainen alkupiste kyberturvallisuutta koskevalle heräämiselle on vuosi 2019. Tuona vuonna kyberhyökkäys kohdistettiin ensimmäistä kertaa laajasti kuntatoimijaan.

Sen jälkeen yhteistyö sekä eri kuntien että kuntien ja valtion välillä on parantunut.

Tilanteen paraneminen on näkynyt hiljattain esiin nousseissa tapauksissa niin, että reagointikyky on parantunut. Ylikoski huomauttaa, että esimerkiksi Säkylään ja Rautavaaraan kohdistuneissa kyberhyökkäyksessä on auttanut viranomaisyhteistyö, jota tehdään yli hallinnonalojen.

Suurin syy siihen, miksi kunnan kybervalmiudet ja resurssit eivät kulje käsi kädessä, on Ylikosken mukaan se, että kunnat eivät hoida digitalisaatioon liittyviä hankkeita täysin itsenäisesti. Mukana on usein erilaisia palveluntarjoajia, ja monet asiat ovat kunnista riippumattomia.

Esimerkiksi Säkylän kunnan tapauksessa kyberhyökkäyksen juurisyyksi paljastui kunnan ulkopuolisen toimijan järjestelmään jättämä haavoittuvuus, josta kunnassa ei oltu tietoisia.

Yhteistyön paraneminen on Jari Ylikosken mukaan näkynyt hiljattain esiin nousseissa tapauksissa niin, että reagointikyky on parantunut.  Kuva: Kuntaliitto