Tietoturvallisuus on kuntajohdon asia
Tietosuoja on asia, johon on kunnissa panostettava entistä enemmän. Omat suuntaviivansa kehitystyölle antaa EU:n tietosuoja-asetus.
Tietoturvallisuus kunnissa ei ole asia, josta ATK-pojat huolehtivat ruokatunniltaan tullessaan ennen kahville lähtöä. Riskit kuntien tietoturvallisuudessa ovat todellisia ja myös kuntajohtajien on syytä asiaan perehtyä. Jos kaupungintalon paloturvallisuudesta huolehditaan, niin samalla tavalla on huolehdittava tietojen pysymisestä oikeissa käsissä.
– Kuntajohdon on tunnistettava tietoturvallisuuden riskit. Tietoturva on osa sitä riskien hallintaa, jota kuntajohtajien on osattava hallita, Kuntaliiton erityisasiantuntija Simo Tanner muistuttaa.
Vuoden 2016 lopulla julkaistun Tietoturvabarometrin mukaan koulutus ja ohjeistus sekä turvallisuudentunne olivat valtiolla kuntia paremmalla tasolla. Syykin tähän on perin selkeä, sillä kyselyn mukaan valtio on selvästi kuntasektoria aktiivisempi kouluttaja tietoturvaan liittyen.
– Kuntien määrä on suuri ja kuntien koko vaihtelee. Samalla tavalla vaihtelee myös suhtautuminen tietoturvaan, Tanner huomauttaa.
Ei kunnat kuitenkaan mikään musta aukko ole tietoturvallisuuden suhteen. Barometrin tulosten mukaan kunnissa hoidettiin paremmin tietyt osa-alueet, kuten tietojen luokittelu sekä henkilötietojen käsittelyn liittyvä ohjeistus ja koulutus.
Riskipaikkoja on paljon
Tietoturvallisuudessa kyse on suuresta koko organisaatiosta käsittävästä asiasta. Väärät tiedot voivat lähteä karkutielle yhtä hyvin kaupunginjohtajan tabletista, kuin laitoshuoltajan päivystyskännykästä.
– Johdon pitää osata vaatia tietoturvaan panostamista ja on tunnistettava ne riskit, joita toimintaympäristössä on. On mietittävä, mikä on se hintalappu, jolla riskejä voidaan vähentää ja poistaa? Tänään puhutaan paljon digitalisaatiosta ja esineiden internetistä. Tietoturvaongelmia esiintyy monissa paikoissa. Pelikenttä on laajentunut ja henkilökunnan koulutustarpeet lisääntynyt, Tanner painottaa.
EU:n uusi tietosuoja-asetus astui voimaan viime vuonna ja kahden vuoden siirtymäajan jälkeen sitä on sovellettava 25.5.2018 alkaen. Se tuo mukanaan myös uusia velvoitteita kuntasektoreihin. Asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittely Euroopan Unionin sisällä.
– Organisaatioihin on nimettävä tietosuojavastaava ja organisaatioiden on osoitettava panostavansa asiaan riittävän hyvin. Tietosuojaviranomaisella on mahdollisuus langettaa huomattava sanktio, ellei asioita hoideta riittävän hyvin, erityisasiantuntija Simo Tanner kertoo.
Kuntaliitossa on yhteistyössä valtiohallinnon valmisteltu koulutusmateriaalia uuden asetuksen tiimoilta. Koulutukseen kannattaa suhtautua vakavasti, sillä riskit eivät tulevaisuudessa ainakaan vähene.
– Tietoturvaan liittyvät rikokset ovat koko ajan lisääntyvä uhka. Suurin ongelma meillä on suhtautuminen organisaation sisällä tietoturvaan. Ongelmat ovat kohtuullisen hyvin tunnistettu, jonka ansiosta paljon riskejä on poistettu. Tietoturvajärjestelmiin liittyy kuitenkin aina omat riskinsä, Tanner muistuttaa.
Linkki henkilöstön ja johdon tietoturvabarometriin
Tietoa EU-tietosuoja-asetuksesta
Juttua muokattu 12.5. klo 8.00: Täsmennetty EU:n tietosuoja-asetusta koskevaa kohtaa. Asetus koskee tietosuojaa, ei tietoturvaa.