Kuntasektori voi kiinnostaa kyberrikollisia

Tietovuotoja, kalasteluviestejä, kiristyshaittaohjelmia, palvelunestohyokkäyksiä. Muun muassa näillä keinoilla rikolliset pyrkivät horjuttamaan meitä ympäröivän digitaalisen maailman turvallisuutta.

Tietoturva-asiantuntija Jouni Vaahtera tutkii Kyberturvallisuuskeskuksella kyberturvallisuutta ja siihen liittyviä ilmiöitä. Hän jakaa kyberturvallisuuden kolmeen ulottuvuuteen: on voitava luottaa siihen että järjestelmissä olevat tiedot ovat oikein, etteivät ne päädy asiattomiin käsiin, ja ettei pääsy omiin järjestelmiin esty.

– Kun puhutaan kyberturvallisuudesta, tarkoitetaan digitaalisen ja fyysisen maailman turvallisuuden varmistamista. Toki asiat eivät ole pelkästään teknisiä, vaan siellä on myös hallinnollisia asioita ja ihmisten vuorovaikutukseen ja luottamiseen liittyviä asioita.

Vaahteran mukaan kuntasektori on kyberturvallisuuden kannalta erityisen riskialtis, sillä kunnissa ja kuntayhtymissä käsitellään paljon tietosuojan alaista henkilötietoa tai muutoin luottamuksellista tietoa.

– Me puhumme tällä alalla suojattavista kohteista. Suojattava kohde on tietoa tai järjestelmiä tai jokin prosessi, jonka toiminta pitää suojata ja varmistaa. Esimerkiksi sosiaali- ja terveystoimessa on paljon tietosuojan alaista tietoa, jota käsitellään digitaalisesti, Vaahtera sanoo.

Kuntalaisten, yritysten, ja kunnan yhteistyökumppanien pitää voida luottaa siihen, että tietoa käsitellään kunnassa asianmukaisesti ja oikein. Kyberturvariskit uhkaavat paitsi kuntaorganisaation tietojärjestelmiä ja toimintaa, myös sen mainetta.

Myös kuntien päätöksentekoon liittyvä tieto voi joskus olla ulkopuolisten näkökulmasta mielenkiintoista. Vaahtera kuitenkin muistuttaa, että kyberturvallisuusuhkia aiheuttavia rikollisia motivoi pääasiassa raha.

– Näitä rikollisia kiinnostaa se, miten he voivat muuttaa haltuunsa saaman tiedon rahaksi. Silloin voidaan uhata tietojen julkaisemisella tai tiedot salataan käyttäjän ulottumattomiin ja yritetään näin kiristää rahaa. Tietoja voidaan myös yrittää myydä rikollisilla markkinoilla eteenpäin, Vaahtera kertoo.

Kyberturvallisuus kuuluu kaikille

Vaahtera muistuttaa, että turvallisuuden varmistaminen ja jatkuvuuden turvaaminen kuuluvat kuntaorganisaatioissa ihan jokaiselle, ei vain tietoturvasta vastaaville asiantuntijoille.

Rikolliset eivät välttämättä ole kovin ahkeria, vaan valitsevat mieluusti helpoimman löytämänsä kohteen. Siksi jo kohtuullisilla suojautumis- ja varautumiskeinoilla voi välttää joutumasta rikollisten helppojen kohteiden listalle.

Kuntaorganisaation päättäjien ja johdon on huolehdittava siitä, että käytössä on riittävät tekniset keinot ja asiantuntevia osaajia uhkatilanteiden varalle.

Digitaalista turvallisuutta ei voi varmistaa pelkillä teknisillä ratkaisuilla, vaan ihmisillä on siinä keskeinen rooli. Onkin tärkeää, että koko henkilöstön kyberturvallisuuteen liittyvästä osaamisesta ja koulutuksesta huolehditaan.

– Ihmisten pitää osata tunnistaa ja välttää esimerkiksi erilaisia kalasteluviestejä ja huijauslaskuja, haitallisia sivustoja ja informaatiovaikuttamista.

– Erilaisia uhkatilanteita on myös harjoiteltava koko henkilöstön voimin, jotta valmiudet ja ymmärrys uhista paranisivat. Näin opitaan toimimaan päättäväisesti ja oikein, Vaahtera toteaa.

Avoin keskustelu lisää ymmärrystä

Vaahtera korostaa työyhteisön kulttuurin merkitystä kyberturvallisuuden varmistamisessa. Tietoturvaa koskevia erehdyksiä ja virheitä kohtaan tulisi olla armollinen.

– Me kaikki voimme haksahtaa joihinkin tietoturvauhkiin, ihan ammattilaisia myöten. Epäonnistumisesta ei pitäisi syyttää ketään, vaan pitäisi olla sellainen kulttuuri, jossa turvallisuutta arvostetaan ja riskeistä puhutaan.

Suomen turvallisuusympäristössä tapahtuneiden muutosten vuoksi on myös viranomaisten toimintaa häiritsevien kyberiskujen arvioitu lisääntyvän. Samalla kyberturvallisuus on noussut kuumaksi puheenaiheeksi.

Vaahtera pitää keskustelua tervetulleena.

– Kun asia on esillä eri medioissa ja kahvipöytäkeskusteluissa, ymmärrys ja valveutuneisuus kasvaa ja tilanne paranee organisaatioiden näkökulmasta.