Helsinki on varoittava esimerkki - kuntien on investoitava digiturvaan
Kuva: Pixabay
Yli 120 000 ihmisen kotiosoitteet, sosiaaliturvatunnukset ja muut arkaluonteiset tiedot, kuten terveystiedot, ovat ties missä Helsingin kaupunkia toukokuun viikonloppuna kohdanneen massiivisen tietomurron jälkeen.
Helsingin Sanomien ja useiden digiasiantuntijoiden mukaan tietomurto johtui rutiininomaisten tietoturvapäivitysten laiminlyönnistä, minkä vuoksi osa Helsingin kaupungin palvelimista oli haavoittuvaisia kyberhyökkäyksille ja tietomurroille.
– Näyttää siltä, että kunnan sisäiset prosessit tietojen käsittelyssä ovat pettäneet. Tapaus korostaa tarvetta tarkistaa kaikki kuntaorganisaatioiden tietoturvakäytännöt, sanoo Kuntaliiton johtava asiantuntija Martti Setälä.
Lue myös, Helsingin Sanomat 16.5.2024: Helsinki jätti takaoven auki ja ihmettelee nyt, miten murtovaras pääsi sisään
Mainos (juttu jatkuu mainoksen jälkeen)
Setälän mukaan Helsingin tietomurron ajankohta kertoo paljon ketjun heikoimmasta lenkistä ja tekijöiden käyttäytymisestä.
– On tärkeää olla valppaana myös viikonloppuisin, kun kaikki muut ovat vapaalla. Digitaalisen toimintaympäristön nopea kehitys ja erilaiset kyberuhat asettavat kunnille uusia vaatimuksia, Setälä sanoo.
Identiteettivarkauden riski
Vielä ei ole selvää, kuka tai mitkä toimijat ovat Helsingin kaupunkiin kohdistuneen tietomurron takana.
– Suurin uhka on, että tietoihin päässeet myyvät ne rikollisverkostoille, jotka käyttävät tietoja identiteettivarkauksiin. Uuden tietosuojalain ansiosta nimiä ja sosiaaliturvatunnuksia ei voi enää käyttää digitaaliseen tunnistamiseen verkkokaupoissa. Toisaalta internet on rajaton, eikä Suomen laki koske ulkomaista verkkokauppaa, sanoo tietosuoja-asiantuntija Tapani Rinne Digi- ja väestötietovirastosta.
Setälä ja Rinne eivät sulje pois sitäkään mahdollisuutta, että kyseessä ovat ulkomaiset toimijat, jotka haluavat horjuttaa suomalaista paikallishallintoa eivätkä ole rahanahneina.
Olivatpa motiivit mitkä tahansa, Helsingin kaupungin digitaaliset ongelmat tarkoittavat sitä, että yhä useamman kunnan on investoitava uuteen teknologiaan, koulutukseen ja tietotekniikkaan perehtyneen henkilöstön rekrytointiin, jotta vastaavilta riskeiltä voidaan suojautua tulevaisuudessa.
– Kuntien odotetaan digitalisoivan palveluitaan. Tämä edellyttää uusia toimintamalleja ja parempaa tietoisuutta digitaalisen turvallisuuden vahvistamisen tärkeydestä, Setälä sanoo.
Digitaalinen turvallisuus vaatii investointeja
Tapani Rinne peräänkuuluttaa kuntien panostuksia digitaaliseen turvallisuuteen vahinkojen torjumiseksi.
– Tärkeintä on, että kunnat tunnistavat oman digitaalisen arkkitehtuurinsa suurimmat riskit ja investoivat sekä teknologiaan että henkilöstöön turvallisuuden vahvistamiseksi, Rinne sanoo.
Tarvittavien investointien suuruusluokkaa Rinne ei halua mainita. Kaikki riippuu siitä, miten hyvin yksittäinen kunta on varustautunut digitaalisten riskien varalta ja kuinka paljon dataa se käsittelee, hän painottaa.
– Ei ole olemassa mitään hopealuotia, joka ratkaisisi kaikki ongelmat. Ja sitten on vielä inhimillinen tekijä. Vaikka kunnat suojautuisivat maailman parhailla palomuureilla ja tietotekniikkajärjestelmillä, on mahdollista, että rikollinen toimija onnistuu saamaan haltuunsa käyttäjätunnukset ja salasanat, joilla pääsee vapaasti kunnan palvelimelle. Tällaisia riskejä vastaan eivät tekniset ratkaisut pärjää, Rinne sanoo.
Lue Helsingin kaupungin tiedote 21.5.2024, päivitys 28.5.2024: Helsingin kaupunkiin kohdistuneen tietomurron mahdolliset kohderyhmät laajentuneet selvitystyön edetessä
Verkostoituminen kannattaa
Pienten kuntien, joiden resurssit ovat rajalliset, kannattaa tehdä yhteistyötä naapuriensa kanssa, joilla on suuremmat resurssit digiturvan rakentamisessa. Samasta syystä Pirkanmaan pienet kunnat tekevät yhteistyötä Tampereen kaupungin kanssa.
– Ylläpidämme niin sanottua Vahti-verkostoa, joka auttaa julkishallinnon virkamiehiä digitaalisessa turvallisuudessa. Verkoston neuvonta- ja työryhmät toimivat sekä suomen- että ruotsinkielellä, ja osallistuminen on maksutonta, Rinne kertoo.
Yksittäinen kunta voi tehdä kattavan digiturvallisuusselvityksen vastaamalla Digi- ja väestötietoviraston 100:an kysymyksen lomakkeeseen.
– Kun kokonaisanalyysi on tehty, voimme antaa vankkoja suosituksia siitä, miten toimia. Kannattaa ottaa meihin yhteyttä, Rinne sanoo.
Lisäksi Traficom ja Kuntaliitto ylläpitävät digiverkostoja, jotka auttavat kuntia turvallisen ympäristön kehittämisessä.
Teksti: Mikael Sjövall
Artikkeli on alun perin julkaistu Kommuntorgetissa
