Digitaalinen turvallisuus ja kyberturvallisuus

Digitaalinen turvallisuus käsittää tietoturvallisuuden, siihen liittyvän riskienhallinnan, varautumisen ja jatkuvuudenhallinnan sekä tietosuojan. Digitaalisen turvallisuuden sisältö on muuten sama kuin kyberturvallisuuden, mutta kyberturvallisuus ei huomioi tietosuojaa.

Kansallista kyberturvallisuuden kehittämistä ohjaa Suomen kyberturvallisuusstrategia 2024-2035, jonka toimeenpano on kuvattu erilliseen toimeenpanosuunnitelmaan. Myös Suomen digitaalisen kompassin toimeenpanosuunnitelma sisältää kyberturvallisuuden kehittämistoimenpiteitä. Tietosuoja-asioista vastaa tietosuojavaltuutetun toimisto.

Kansallisen kyberturvallisuuden kehittämisen taustalla ovat EU:n digitaalinen kompassi ja EU:n kyberturvastrategia sekä EU:n kyberturvallisuusasetus ja NIS2 direktiivi. EU:n digitalisaation ja kyberturvallisuuden sääntelykokonaisuus on laaja ja keskeisten uusien säädösten kansallinen toimeenpano on käynnistymässä kansallisesti.

Kuntien tietoturvallisuuden keskeiset vaatimukset on kirjattu tiedonhallintalain 4. lukuun. Olennaisia kuntien tietoturvaan liittyviä säädöksiä on myös esimerkiksi julkisuuslaissa ja digipalvelulaissa.

Tiedonhallintalautakunta edistää tiedonhallintalain toimeenpanoa antamalla pyynnöstä lausuntoja tiedonhallintalain soveltamiseen liittyen sekä laatimalla suosituksia tiedonhallintalain toimeenpanosta. Lautakunta on laatinut olennaisia tietoturvaan liittyviä suosituksia kuten Suositus tietoturvallisuuden vähimmäisvaatimuksista, Suositus salassapidettävien asiakirjojen käsittelystä, Suositus tietoturvallisuudesta hankinnoissa ja Julkisen hallinnon arviointikriteeristö Julkri. Tietoturvallisuus tulisi huomioida myös tiedonhallintamallissa ja muutosvaikutusten arvioinnissa, joista on omat suosituksensa.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ja Digi- ja väestötietoviraston digiturvatiimi tarjoavat monipuolisia palveluita julkisen hallinnon tietoturvan ja tietosuojan kehittämiseksi. Näistä löytyy lisätietoja organisaatioiden verkkosivuilta sekä DVV:n ylläpitämistä digiturvan tietopankista ja palvelukatalogista.

Kuntien digitaalisen turvallisuuden kehittämistä ja edunvalvontaa tukee kaksi kuntaliiton ylläpitämää verkostoa: kuntien tietoturvavastaavien verkosto ja kuntien tietosuojavastaavien verkosto. Lisäksi huomionarvoinen on kuntien varautumis- ja turvallisuustyötä tukeva turvallinen ja kriisinkestävä kunta -verkosto. Verkostojen toiminnasta saa lisätietoja Kuntaliiton verkkosivuilta.

Kuntaliitto tukee kuntia myös yleisessä turvallisuus- ja varautumistyössä. Tästä työstä voit lukea lisää Kuntaliiton varautumisen verkkosivuilta.

Kuntaliitolle osoitetut digiturvaan liittyvät neuvontapyynnöt tulee lähettää neuvontalomakkeella. Pienimuotoinen neuvonta on kunnille maksutonta kun taas laajemmista neuvontapalveluista peritään erillinen maksu.

Lisätietoja kuntien digitaalisesta turvallisuudesta ja Kuntaliiton työstä digitaalisen turvallisuuden edunvalvontaan ja kuntien digiturvan kehittämiseen liittyen saa alla mainitulta yhteyshenkilöltä tai osoitteesta tietoturva(a)kuntaliitto.fi.

Tutustu Kuntaliiton kyberturva-asiantuntijan blogiin "Digitaalinen turvallisuus kunnassa - havaintoja johdolle, tietohallinnolle ja toimialoille sekä sidosryhmille" (24.5.2024).

Digitaalisen turvallisuuden muistilista kuntajohtajalle _

Kuntajohtajan_muistilista_digiturvallisuus_0.pdf

Avaa kaikki

9 digiturvaan liittyvää haastetta kuntajohdolta -loppuraportti

Kuntaliitto selvitti kuntajohtajien ajatuksia digitaalisen turvallisuuden johtamisesta

Kunnissa tiedetään, että jos katot ikkunasta ulos tai haistat savua kunnantalolla niin soitat pelastuslaitokselle. Mutta kun tulee kyberhyökkäys - kenelle sä soitat? - Kuntajohtajan sitaatti Kuntaliiton raportista ”9 digiturvaan liittyvää haastetta kuntajohdolta".

Digitaalinen turvallisuus nousi yhteiseksi puheenaiheeksi syksyllä 2020, kun psykoterapiakeskus Vastaamon laaja tietomurto tuli yleiseen tietoon ja kymmenientuhansien asiakkaiden tiedot vuotivat rikollisille. Vaikka Vastaamon tapaus kosketti kuntia lähinnä välillisesti, tapaus nosti keskusteluun kuntien digitaalisen turvallisuuden. Kuntaliitossa haluttiin selvittää entistä syvällisemmin, millaisia tarpeita kunnilla on digitaalisen turvallisuuden johtamisessa.

Selvityksessä tunnistettiin, että digiturvaan liittyvä keskustelu on isoilta osin asiaan perehtyneiden asiantuntijoiden hallitsemaa ja vastuuta kantavan kuntajohdon ääntä siinä ei juuri kuule. Kuitenkin kuntajohto on avainasemassa siinä, että organisaation riskit tunnistetaan, toimintamalleja ja työyhteisön digiturvallista toimintakulttuuria kehitetään, osaaminen organisaatiossa on riittävällä tasolla ja tekemisen vaatimat resurssit ovat kunnossa.

Johdon rooli on ratkaiseva - vertaistukea kaivataan

Haastatteluiden pohjalta koostetut havainnot on tiivistetty raporttiin, joka sanoittaa kuntajohdon ajatuksia ja tunteita digitaalisesta turvallisuudesta. Raportissa havainnot on kiteytetty yhdeksäksi haasteeksi, joita erityisesti kuntajohto kohtaa ja tuo esiin kuntien tuen tarpeita digitaalisen turvallisuuden johtamisessa.

Johdon rooli on ratkaiseva! Johdon tuella ja siunauksella asioita tapahtuu. Ilman niitä kaikki toiminta jää puuhasteluksi. - Riskienhallinnan ja varautumisen asiantuntija

Johtajat toivoivat, että digiturvallisuudesta puhuttaisiin heille johdon kielellä, ei tietoturvan asiantuntijajargonilla, joka tuntuu monelle johtajalle vieraalta. Johto koki teeman mielenkiintoiseksi ja tärkeäksi, mutta toivoi siitä keskustelua erityisesti toisten johtajien kanssa, heidän omissa verkostoissaan.

Johtajien työhön kuuluu tasapainoilu resursseista kilpailevien erilaisten tarpeiden kanssa ja näiden asioiden puntarointiin kaivattiin juuri muiden johtajien vertaistukea. Johtajat harvoin ehtivät jalkautua eri alojen asiantuntijoille suunnattuihin tapahtumiin, joissa tietoa on tarjolla. Myös riskienhallinnan ja varautumisen asiantuntijat kaipasivat vertaistukea siitä, miten asioita voi viedä organisaatioissa eteenpäin.

Raportilla haluamme myös haastaa kuntapäättäjiä pohtimaan, kuinka omassa kunnassa voisi vahvistaa digiturvallisuutta osana kunnan kokonaisturvallisuutta. Raportin tuloksia tullaan käymään läpi Kuntaliiton eri verkostoissa ja sen toivotaan synnyttävän keskustelua digitaalisesta turvallisuudesta osana kuntien riskienhallintaa ja kokonaisturvallisuutta. Erilaisia toimenpiteitä kuntien digitaalisen turvallisuuden vahvistamiseksi pohditaan yhdessä kuntien ja sidosryhmien kanssa.

Kuinka selvitys toteutettiin?

Kuntaliitto toteutti keväällä 2021 aikana kolme kuntajohdolle suunnattua ryhmähaastattelua (focus group), joiden avulla tavoiteltiin syvällisempää ymmärrystä kuntien haasteista digitaalisten turvallisuuden alueella. Haastatteluista kahteen osallistui kuntien ylintä johtoa ja yksi haastattelu kohdistui kuntien digitaalisen turvallisuuden ja riskienhallinnan johtajille. Haastattelut toteutettiin yhteistyössä syvälliseen asiakasymmärrykseen erikoistuneen kumppanin, Kenno Anthropological Consultingin kanssa.

Selvityksen luonne ei ollut tutkia määrällisesti suurta kuntajoukkoa, vaan pureutua syvällisemmin kuntajohtajien ajatuksiin ja kokemuksiin. Haastateltaviksi valittiin kuntajohtoa erilaisista kunnista. Haastateltavia oli eri puolita Suomea, osalla kunnista oli kokemuksia digiturvaloukkauksista, toisilla ei. Myös kuntien koko vaihteli. Haastattelut toteutettiin luottamuksellisesti ja tästä syystä haastatteluihin osallistuneita kuntia ja kuntajohtajien nimiä ei kerrota.

Raportissa esiin nostettavat löydökset eivät ole yksittäisiä mielipiteitä vaan laadullisen analyysin tulosta. Keskustelut on analysoitu aineistolähtöisesti, eli tutkimuksen pääpaino on aineistossa, ei ennalta määritellyssä teoriassa.

9 digiturvaan liittyvää haastetta kuntajohdolta -loppuraportti

9 digiturvaan liittyvää haastetta kuntajohdolta -loppuraportti.pdf