Digitaalinen turvallisuus
Digitaaliseen turvallisuuteen kuuluvat julkisen hallinnon viitekehyksen mukaisesti riskien hallinta ja käsittely, toiminnan jatkuvuuden hallinta ja varautuminen, tietoturvallisuus ja tietosuoja sekä kyberturvallisuus. Kyberturvallisuudella tarkoitetaan digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin (lähde: Julkisen hallinnon digitaalinen turvallisuus).
Kyberturvallisuus on siis kansallisen turvallisuuden osa-alue. Se on pyrkimystä sähköisen ja verkotetun yhteiskunnan turvallisuuden takaamiseen tunnistaen, ehkäisten ja varautuen sähköisten sekä verkotettujen järjestelmien häiriöiden vaikutuksiin yhteiskunnan kriittisissä toiminnoissa. Turvallisuuskomitea ylläpitää kansallista kyberturvallisuusstrategiaa, josta löytyvät keskeisimmät kansalliset tavoitteet kybertoimintaympäristön kehittämiseksi ja siihen liittyvien elintärkeiden toimintojen turvaamiseksi.
(Kuvan lähde: Julkisen hallinnon digitaalinen turvallisuus)
Kybertoimintaympäristön synonyyminä voidaan käyttää termiä digitaalinen toimintaympäristö. Kansallisella tasolla seurataan ja tarkastellaan kybertoimintaympäristön kehittymistä ja tilaa.
Yhteiskunnan turvallisuus syntyy yhteistyöstä. Julkisen hallinnon digitaalisen turvallisuuden kehittymistä seurataan digitaalisen turvallisuuden viitekehyksen tasolla.
Julkisen hallinnon organisaatiot edistävät digiturvallisuutta sen osa-alueitten kautta osana oman toimintansa ja toimintaympäristönsä kehittämistä. Käytännössä kuntien ja kuntatoimijoiden tekeminen, resurssit ja investoinnit kohdentuvat riskien käsittelyyn, toiminnan jatkuvuuteen, toipumiseen ja varautumiseen sekä tietosuojan ja tietoturvan osa-alueille.
Digitaalisen turvallisuuden edistämistä tukee muun muassa laki julkisen hallinnon tiedonhallinnasta ja julkisen hallinnon digitaalisen turvallisuuden periaatepäätös.
9 digiturvaan liittyvää haastetta kuntajohdolta -loppuraportti
(På svenska: Nio utmaningar inom digital säkerhet enligt kommunledningen.)
Kuntaliitto selvitti kuntajohtajien ajatuksia digitaalisen turvallisuuden johtamisesta
Kunnissa tiedetään, että jos katot ikkunasta ulos tai haistat savua kunnantalolla niin soitat pelastuslaitokselle. Mutta kun tulee kyberhyökkäys - kenelle sä soitat? - Kuntajohtajan sitaatti Kuntaliiton raportista ”9 digiturvaan liittyvää haastetta kuntajohdolta".
Digitaalinen turvallisuus nousi yhteiseksi puheenaiheeksi syksyllä 2020, kun psykoterapiakeskus Vastaamon laaja tietomurto tuli yleiseen tietoon ja kymmenientuhansien asiakkaiden tiedot vuotivat rikollisille. Vaikka Vastaamon tapaus kosketti kuntia lähinnä välillisesti, tapaus nosti keskusteluun kuntien digitaalisen turvallisuuden. Kuntaliitossa haluttiin selvittää entistä syvällisemmin, millaisia tarpeita kunnilla on digitaalisen turvallisuuden johtamisessa.
Selvityksessä tunnistettiin, että digiturvaan liittyvä keskustelu on isoilta osin asiaan perehtyneiden asiantuntijoiden hallitsemaa ja vastuuta kantavan kuntajohdon ääntä siinä ei juuri kuule. Kuitenkin kuntajohto on avainasemassa siinä, että organisaation riskit tunnistetaan, toimintamalleja ja työyhteisön digiturvallista toimintakulttuuria kehitetään, osaaminen organisaatiossa on riittävällä tasolla ja tekemisen vaatimat resurssit ovat kunnossa.
Johdon rooli on ratkaiseva - vertaistukea kaivataan
Haastatteluiden pohjalta koostetut havainnot on tiivistetty raporttiin, joka sanoittaa kuntajohdon ajatuksia ja tunteita digitaalisesta turvallisuudesta. Raportissa havainnot on kiteytetty yhdeksäksi haasteeksi, joita erityisesti kuntajohto kohtaa ja tuo esiin kuntien tuen tarpeita digitaalisen turvallisuuden johtamisessa.
Johdon rooli on ratkaiseva! Johdon tuella ja siunauksella asioita tapahtuu. Ilman niitä kaikki toiminta jää puuhasteluksi. - Riskienhallinnan ja varautumisen asiantuntija
Johtajat toivoivat, että digiturvallisuudesta puhuttaisiin heille johdon kielellä, ei tietoturvan asiantuntijajargonilla, joka tuntuu monelle johtajalle vieraalta. Johto koki teeman mielenkiintoiseksi ja tärkeäksi, mutta toivoi siitä keskustelua erityisesti toisten johtajien kanssa, heidän omissa verkostoissaan.
Johtajien työhön kuuluu tasapainoilu resursseista kilpailevien erilaisten tarpeiden kanssa ja näiden asioiden puntarointiin kaivattiin juuri muiden johtajien vertaistukea. Johtajat harvoin ehtivät jalkautua eri alojen asiantuntijoille suunnattuihin tapahtumiin, joissa tietoa on tarjolla. Myös riskienhallinnan ja varautumisen asiantuntijat kaipasivat vertaistukea siitä, miten asioita voi viedä organisaatioissa eteenpäin.
Raportilla haluamme myös haastaa kuntapäättäjiä pohtimaan, kuinka omassa kunnassa voisi vahvistaa digiturvallisuutta osana kunnan kokonaisturvallisuutta. Raportin tuloksia tullaan käymään läpi Kuntaliiton eri verkostoissa ja sen toivotaan synnyttävän keskustelua digitaalisesta turvallisuudesta osana kuntien riskienhallintaa ja kokonaisturvallisuutta. Erilaisia toimenpiteitä kuntien digitaalisen turvallisuuden vahvistamiseksi pohditaan yhdessä kuntien ja sidosryhmien kanssa.
Kuinka selvitys toteutettiin?
Kuntaliitto toteutti keväällä 2021 aikana kolme kuntajohdolle suunnattua ryhmähaastattelua (focus group), joiden avulla tavoiteltiin syvällisempää ymmärrystä kuntien haasteista digitaalisten turvallisuuden alueella. Haastatteluista kahteen osallistui kuntien ylintä johtoa ja yksi haastattelu kohdistui kuntien digitaalisen turvallisuuden ja riskienhallinnan johtajille. Haastattelut toteutettiin yhteistyössä syvälliseen asiakasymmärrykseen erikoistuneen kumppanin, Kenno Anthropological Consultingin kanssa.
Selvityksen luonne ei ollut tutkia määrällisesti suurta kuntajoukkoa, vaan pureutua syvällisemmin kuntajohtajien ajatuksiin ja kokemuksiin. Haastateltaviksi valittiin kuntajohtoa erilaisista kunnista. Haastateltavia oli eri puolita Suomea, osalla kunnista oli kokemuksia digiturvaloukkauksista, toisilla ei. Myös kuntien koko vaihteli. Haastattelut toteutettiin luottamuksellisesti ja tästä syystä haastatteluihin osallistuneita kuntia ja kuntajohtajien nimiä ei kerrota.
Raportissa esiin nostettavat löydökset eivät ole yksittäisiä mielipiteitä vaan laadullisen analyysin tulosta. Keskustelut on analysoitu aineistolähtöisesti, eli tutkimuksen pääpaino on aineistossa, ei ennalta määritellyssä teoriassa.
Julkisen hallinnon digitaalinen turvallisuus
Hallinta ja ohjaus
Tiedonhallintalautakunta ja sen alaiset jaostot
Julkisen hallinnon digitaalisen turvallisuuden strateginen johtoryhmä
Julkisen hallinnon digitaalisen turvallisuuden säädösvalmistelun koordinaatioryhmä
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI)
Julkisen hallinnon digitaalisen turvallisuudenkehittämisohjelman ohjausryhmä (Judo)
Kuntakentän tietosuoja- ja tietoturvavastaavien ohjausryhmä (KunTTO) (perusteilla)
Riskien käsittely ja hallinta
Riskienhallinta tarkoittaa järjestelmällistä toimintaa, joka sisältää riskianalyysin sekä tarvittavien toimenpiteiden suunnittelun, toteutuksen, seurannan ja korjaavat toimenpiteet (lähde: Julkisen hallinnon digitaalinen turvallisuus).
Lue lisää tarkastuksen ja valvonnan sivulta.
Toiminnan jatkuvuuden hallinta ja varautuminen
Jatkuvuudenhallinnalla tarkoitetaan sellaista organisaation prosessia, jolla tunnistetaan toiminnan uhkat ja arvioidaan niiden vaikutukset organisaatiossa ja sen toimijaverkostossa sekä luodaan toimintatapa häiriötilanteita varten (lähde: Julkisen hallinnon digitaalinen turvallisuus).
Varautuminen on sellaista toimintaa, jolla varmistetaan tehtävien mahdollisimman häiriötön hoitaminen ja mahdollisesti tarvittavat, tavanomaisesta poikkeavat toimenpiteet häiriötilanteissa ja poikkeusolossa (lähde: Julkisen hallinnon digitaalinen turvallisuus).
Sosiaali- ja terveydenhuollon varautuminen
Sosiaali- ja terveydenhuollon varautuminen ja jatkuvuudenhallinta -vuoden 2019 koulutusmateriaali
Valmius ja jatkuvuudenhallinta SoTe-rakenteissa / SoTe-Kuja-hanke
Tietoturvallisuus
Tietoturvallisuus tarkoittaa sellaisia menetelmiä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus (lähde: Julkisen hallinnon digitaalinen turvallisuus). Kuntaliiton toimesta perustettu Kuntien tietoturvavastaavien verkosto tukee kuntien tietoturvan kehittämistyössä. Myös Digi-ja väestötietovirastosta saa tukea tietoturvatyöhön kunnissa.
Tietosuoja
TIetosuoja tarkoittaa ihmisten yksityisyyden suojelemista ja yksilöä koskevian tietojen suojaamista oikeudettomalta käytöltä henkilötietoja käsiteltäessä (lähde: Julkisen hallinnon digitaalinen turvallisuus).
Tietosuojavaltuutetun TSTO (ohjeistukset, suositukset)
Henkilötietojen käsittely kunnassa
Kunnan viranomaisten toiminnan julkisuus
Kunnille saapuvat tietopyynnöt
Verkkoviestinnän erityiskysymyksiä
Julkisuus- ja tietosuojalainsäädännöstä kunnassa voi lukea lisää myös Kuntaliiton lakiasioiden sivulta.
Kyberturvallisuus
Ohjaava lainsäädäntö ja kehittäminen
Laki julkisen hallinnon tiedonhallinnasta
EU 2016/679 (artiklat 42-43) / Yleinen tietosuoja-asetus
Laki digitaalisten palveluiden tarjoamisesta
Laki sosiaali- ja terveystietojen toissijaisesti käytöstä
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta (tiedonhallintalautakunnan suositukset)
Tiedonantovelvoitteet ja tiedonsaantioikeudet
Yhteistyö, työryhmät ja verkostot
Kuntaliitto on vaikuttava kumppani kuntien digitaalisen turvallisuuden kehittämistyössä. Teemme viranomaisyhteistyötä erityisesti Digi- ja väestötietoviraston, Traficomin ja HVK:n kanssa.
(Kuntakentän) tietosuojavastaavien verkosto
Kuntaliiton asiantuntijat, jotka voivat kertoa lisää
Palvelemme kuntien henkilöstöä ja luottamushenkilöitä heidän tehtäviinsä liittyvissä asioissa. Neuvontapalveluita varten suosittelemme käyttämään ensisijaisesti neuvontapyyntölomaketta.
- digitaalinen turvallisuus
- kyberturvallisuus
- digitalisaatio
Selvitys radikalisoitumisen ja väkivaltaisen ekstremismin ennaltaehkäisevästä työstä on ilmestynyt
Millaisia valmiuksia kuntatason toimijoilla on toteuttaa ennaltaehkäisevää toimintaa, minkä tasoista osaamista radikalisoitumiseen ja väkivaltaiseen ekstremismiin kunnilla on käytössään ja miten johdettu toiminta jalkautuu käytännön työhön.