Kunnissa arjen pyörittäminen niin päiväkodeissa, kouluissa ja kunnantalossa edellyttää toimivia tietojärjestelmiä, joissa pitää pystyä käsittelemään myös arkaluontoista dataa.
Kyberrikollisuus kehittyy nopeasti, ja hyökkääjät hyödyntävät yhä enemmän tekoälyä ja automaatiota. Kunnissa tämä edellyttää aikaisempaa parempaa varautumista ja jatkuvaa tietoturvan kehittämistä.
Tietoturva kunnissa turvaa kuntalaisten palvelut
Tietoturva on kunnan näkökulmasta ennen kaikkea kunnan toimintakyvyn ja jatkuvuuden turvaamista. Kuntalaisten palveluiden kouluista jäte- ja vesihuoltoon on aina toimittava luotettavasti.
Jos tietoturvasta tingitään, mahdollisen poikkeaman kustannukset nousevat lähes poikkeuksetta moninkertaisiksi verrattuna ennaltaehkäiseviin toimiin. Kunnat ovat kyberrikollisille houkuttelevia kohteita: henkilötiedot ovat arvokasta dataa, ja vanhentuneet järjestelmät ja vähäiset resurssit houkuttelevat kyberrikollisia etsimään haavoittuvuuksia.
Samalla kuntien lähtökohdat torjua tietoturvauhkia vaihtelevat. Pienessä kunnassa tietoturva voi olla yhden henkilön sivutoimi, kun taas isoissa kaupungeissa on kokonaisia tietoturvaan erikoistuneita yksiköitä. Maturiteettitaso vaihtelee paljon – ja juuri siksi on tärkeää, että ratkaisut ja kumppanit skaalautuvat kunnan koon ja erityistarpeet huomioiden.
Sama teknologia toimii sekä pienessä että suuressa kunnassa – ero on siinä, miten laajasti palvelua otetaan käyttöön ja millä tasolla valvontaa, raportointia ja prosesseja rakennetaan. Käytössämme on pääasiassa Microsoftin teknologiaratkaisuja, kuten
- Microsoft Defender – suojaa palvelimia ja työasemia.
- Microsoft Sentinel – lokitietojen ja tapahtumien keskitetty kerääminen ja analysointi (osana SOC-palvelua).
Katso webinaarimme Microsoftin tietoturvaratkaisuista
Tunnemme myös Googlen tietoturvaratkaisut ja hyödynnämme niitä asiakkaan ympäristön turvaamisessa.
Mikä on “minimitaso” tietoturvassa kunnalle?
Täydellistä suojaa uhilta ei ole, mutta tietyistä perusasioista ei pitäisi tinkiä minkään kokoisessa kunnassa. Jokaisella kunnalla tulisi olla vähintään:
- Selkeä tietoturvapolitiikka – miten tietoturvaa kunnassa johdetaan.
- Riskienhallintamalli – miten tietoturvariskejä tunnistetaan, arvioidaan ja käsitellään.
- Jatkuvuudenhallinnan suunnitelmat – mitä tehdään, jos järjestelmä kaatuu tai tietomurto tapahtuu.
- Säännöllinen tietoturvan arviointi ja kehittäminen – ei kertaluonteista projektia, vaan jatkuvaa tekemistä.
- Henkilöstön tietoturvatietoisuuden kehittäminen – käyttäjän kautta koko ympäristö voi haavoittua.
Monessa kunnassa osa näistä osa-alueista on jo hyvällä mallilla, mutta kokonaisuutta ei ole koskaan katsottu systemaattisesti läpi. Tämä on tyypillinen tilanne, josta on hyvä lähteä liikkeelle.
Lähtötilanteen kartoitus on usein mahdollista hankkia kunnalle pienenä konsultointipakettina ilman raskasta kilpailutusprosessia – hyvä tapa saada nopea asiantuntijan tilannekuva tilanteesta.
Tutustu IT-infran ja tietoturvan auditointipalveluun
Yksi hyvä työkalu erityisesti suuremmille kunnille on Kybermittari, Traficomin julkaisema kansallinen kyberturvallisuuden arviointimalli. Enfon toteuttamassa Kybermittarikartoituksessa saat yksilöllisen analyysin organisaatiosi tietoturvatilanteesta sekä ehdotuksen tiekartasta mahdollisten tietoturvapuutteiden korjaamiseksi.
Tietoturvapäällikkö palveluna – apua, vaikka omaa resurssia ei olisi
Monella pienellä ja keskisuurella kunnalla ei ole tarvetta tai mahdollisuutta palkata täysipäiväistä tietoturvapäällikköä. Se ei kuitenkaan poista tarvetta johtaa tietoturvaa systemaattisesti.
Ratkaisuna voi olla esimerkiksi tietoturvapäällikön ostaminen palveluna Enfolta, jossa kumppani tarjoaa kokeneen tietoturva-asiantuntijan kunnan käyttöön esimerkiksi muutamaksi päiväksi kuukaudessa.
Rooli voi sisältää mm. tietoturvapolitiikan ja -prosessien kehittämistä, riskienhallintaa, jatkuvuussuunnittelua sekä koulutusten ja harjoitusten koordinointia.
Kunta saa käyttöönsä osaamisen, jota se ei yksin pystyisi palkkaamaan – kustannustehokkaasti ja joustavasti.
Henkilöstö ratkaisee: tietoturvakoulutus ja hyökkäyssimulaatiot
Teknologia ei yksin riitä, jos käyttäjät eivät tunnista riskejä. Tämän tietävät myös hyökkääjät: suuri osa hyökkäyksistä alkaa edelleen huijausviestillä. Pienissä ja keskisuurissa kunnissa tietoturvakoulutusta järjestetään vielä usein varsin vähän.
Kunnissa olisi syytä panostaa järjestelmällisesti:
- Säännöllisen koulutuksen tarjontaan, selkokielisiin ohjeisiin sekä sisäiseen viestintään
- Uhkasimulaatioihin, joissa henkilöstö saa “testihuijauksia” (tarjoamme näitä myös palveluna)
- Teknologiavalintoihin: skaalautuva pilvi toimii kunnankin arjessa
- Sertifioitu kumppani tuo varmuutta hankintoihin
Kunnissa hankintoja ohjaa hankintalaki, ja yhteistyökumppanin valinnassa korostuvat läpinäkyvyys, vastuullisuus ja luotettavuus. Sertifioinnit tarjoavat konkreettista näyttöä siitä, että tietoturva otetaan tosissaan.
Aurilon (Enfo + Tietokeskus) tietoturvaa tukevat mm.:
- ISO 27001 – kansainvälinen tietoturvan hallintajärjestelmän standardi (Tietokeskus ja Enfo)
- Katakri 2020 – kansallinen turvallisuusauditointikriteeristö (Enfo)
Nämä sertifikaatit kertovat, että kumppanin oma toiminta kestää tarkastelun – ja että myös kunnille tarjottavat ratkaisut rakennetaan vaatimusten mukaisesti.
Haluatko keskustella aiheesta lisää?
Erkki Kondelin
Liiketoimintajohtaja, Laitekauppa & Julkishallinto
Lue myös
Julkishallinnon IT on jatkuvassa muutos- ja kehitystilassa. Tämä toteamus pätee hyvin kuntien ja kaupunkien IT-ympäristöön. […]
Siirtyminen Windows 11:een on paitsi suositeltavaa, myös välttämätöntä. Windows 10:n tuki päättyy 14.10.2025 – pian et siis enää saa tietoturvapäivityksiä ilman lisäkuluja.
Kunnissa IT:n arki kuormittaa: perustietotekniikasta ja tietoturvasta huolehtimisen lisäksi pitäisi toimia strategisena kumppanina ja kehittää kunnan palveluja. Siksi yhä useampi kunta valitsee IT:n ulkoistukseen kumppanin, joka pystyy tukemaan sekä päivittäistä toimintaa että tarvittaessa myös kehityshankkeita.