Kolumni: Johtaja, mikä on kuntasi hyökkäyspinta?
Kyber sitä, digi tätä, informaatio tuota… Rakkaalla lapsella on monta nimeä. Ja oi kuinka me tietoturva-ammattilaiset olemmekaan rakastaneet tätä lempilasta. Liian usein löydämmekin itsemme termikeskustelusta sen sijaan, että ratkoisimme oikeasti asioita.
Yhteiskunta digitalisoituu ja niin digitalisoituvat myös kuntien palvelut. Lähes jokaisessa kunnan sadoista palveluista on tänä päivänä jokin digitaalinen osa. Organisaation arvokkain omaisuuserä ei enää ole sen fyysiset tuotteet ja laitteet, vaan aineeton pääoma – tieto. Tietoa tulee suojata. Loppujen lopuksi kyse onkin turvallisuuden varmistamisesta digitaalisessa toimintaympäristössä. Ja digitaalinen toimintaympäristö on kiinteä osa kuntien toimintaympäristöä. Siksi voimme puhua yksinkertaisesti vain kokonaisturvallisuudesta – tai turvallisuudesta.
Kunnissa on tärkeää tiedostaa, että hyökkäykset ja häiriöt digitaalista toimintaympäristöä kohtaan muodostavat viime kädessä liiketoimintariskin. Kyberhyökkäyksen seurauksena kunnan arkaluontoisetkin tiedot voivat vuotaa ja jonkin oleellisen palvelun toiminta keskeytyä. Tästä on valitettavia esimerkkejä kuntasektoriltakin aivan viime ajoilta. Hyökkäykset nakertavat luottamusta kunnan palveluihin ja aiheuttavat vakavia riskejä toiminnan jatkuvuudelle. Siksi viimeistään nyt kunnissa on syytä huomioida kyberturvallisuus osana kokonaisvaltaista riskienhallintaa.
* * *
Kyberrikollisuuskasvaa noin 15 prosentin vuosivauhtia, ja se aiheuttaa jo tänä päivänä yli kahdeksan biljoonan dollarin vuosittaiset kustannukset yhteiskunnalle. Hyökkäysten motiivina on lähes poikkeuksetta raha, ja hyökkääjät tavoittelevat mahdollisimman hyvää kustannus-hyötysuhdetta. Tästä johtuu, että hyökkääjät eivät välitä kohteena olevasta organisaatiosta, vaan pyrkivät hyödyntämään mitä tahansa saatavilla olevia menetelmiä ja heikkouksia päästääkseen organisaatiosi ympäristöön ja tietoihin. Jokainen kunta voi joutua kyberhyökkäyksen kohteeksi.
Osana riskienhallintaa kuntien tulee tunnistaa sen keskeinen suojattava omaisuus eli kruununjalokivet, selvittää nykyinen tietoturvallisuuden taso ja viedä läpi tarvittavat kehitystoimet. Kuntien tulee olla valmiita tekemään ankaraakin priorisointia, koska kenelläkään ei ole aikaa ja resursseja päästä eroon kaikista riskeistä. Ja kannattaa muistaa, ettei asioiden tarvitse olla liian monimutkaisia. Perusasioista huolehtimalla voidaan ehkäistä valtaosa hyökkäyksistä.
* * *
Kunnilla ei ole helppoa talouskurimuksessaan, mutta kyberelämän ei tarvitse olla pelkkää tuskien taivalta kunnissakaan. Valtionhallinnossa on tunnistettu kuntien erityisasema ja sen mukanaan tuomat haasteet, ja tämän vuoksi kunnat ovatkin olleet erityinen panostuksen kohde viime aikoina.
Ja vaikka jalokivistä innolla puhummekin, ei meihin täällä Kyberturvallisuuskeskuksessa tule suhtautua kuin Nottinghamin katalaan seriffiin, jonka kanssa asioimista on syytä välttää kaikin keinoin rangaistuksen pelossa, vaan enemmänkin Robin Hoodina, joka haluaa jakaa hyvää kansalle. Me olemme täällä teitä kuntia varten, ja meihin saa olla yhteydessä matalalla kynnyksellä.
Suuri osa palveluistamme on kunnille täysin ilmaisia, kuten Kybermittari ja Hyöky. Kybermittari tukee kunnan riskienhallintaa ja päätöksentekoa sekä auttaa seuraamaan ja todentamaan tietoturvatavoitteiden toteutumista. Eli sitä, että kunnan toimenpiteet ovat vaikuttavia ja ne kehittyvät. Hyöky eli hyökkäyspinnan kartoituspalvelu puolestaan auttaa kartoittamaan kunnan hyökkäyspintaa julkisissa tietoverkoissa. Se on muuten sitä samaa hyökkäyspintaa, jota potentiaalinen hyökkääjäkin kartoittaa heti ensitöikseen.
Haluankin haastaa kuntien johtoa ottamaan Hyökyn laajasti käyttöön, sillä kuten Robin Hoodkin tietää, on tämä palvelu osumana napakymppi!
Jere Finne
Kirjoittaja on erityisasiantuntija, kunta-alan toimialavastaava Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa.
Kuva: Mari Salo
Kolumni on julkaistu Kuntalehdessä 11/2023.