Siirry sisältöön
Huoltovarmuuskeskus

Kuntien hyvä kyberturva suojaa arjen peruspalveluja

Digitalisaatio on edennyt myös kuntalaisten arjen peruspalveluihin, mikä edellyttää, että niiden suojausta kehitetään. Suomen Nato-jäsenyys ja Venäjän hyökkäyssota ovat entisestään nostaneet erilaisten kyberhyökkäysten ja -häiriöiden uhkaa.

11.12.2023
alueellinen-varautuminendigitaalinen-turvallisuus-2030energiahuoltojatehuoltokyberturvallisuustietoyhteiskuntavesihuolto

Jos vettä ei tule hanasta, jäteastiat jäävät tyhjentämättä tai asunnot eivät talvipakkasilla lämpene, seuraukset näkyvät nopeasti kuntalaisten arjessa. Ongelmat voivat johtua vaikkapa laiterikoista tai inhimillisestä erehdyksestä, mutta syynä voi olla myös kyberhyökkäys tai -häiriö.

“Suomen Nato-jäsenyyden ja Venäjän hyökkäyssodan myötä kuntien kriittisen infrastruktuurin, vesi- ja jätehuollon sekä energiasektorin kyberhäiriöt ovat lisääntyneet. Siten uhkataso on noussut selvästi”, sanoo kunta-alan toimialavastaava Jere Finne Traficomin Kyberturvallisuuskeskuksesta (KTK).

Jotta kuntalaisille tärkeät palvelut voidaan turvata kaikissa tilanteissa, Huoltovarmuuskeskus on yhteistyössä Kyberturvallisuuskeskuksen ja Kuntaliiton kanssa käynnistänyt useita projekteja selvittämään ja kehittämään kuntien kyberturvallisuutta. Osana Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa KTK tuotti selvityksen kuntaomisteisen kriittisen infrastruktuurin kyberturvallisuuden tasosta. Palomuuri 1.0 -selvityksessä korostui ennaltaehkäisyn merkitys kuntalaisten arkeen vaikuttavien kyberuhkien torjumisessa ja -häiriöiden estämisessä.

“Olemme nähneet, että esimerkiksi Ukrainassa kyberhyökkäykset myös siviilikohteisiin ovat olleet yleisiä. Sen vuoksi on tärkeää päivittää riskiarviot ja parantaa resilienssiä myös meillä. Toimintaa olisi pystyttävä jatkamaan häiriötilanteesta huolimatta ja palautumaan vikatilanteista nopeasti”, Finne tähdentää.

Jere Finne

Kriittisten palvelujen toimitusvarmuutta on syytä parantaa jo pelkästään siksi, että ne yhä useammin tuotetaan sähköisin järjestelmin eli digitaalisesti, mutta lisääntyvät kyberuhat ovat vahva lisäkannustin.

“Usein tuotantoautomaatiojärjestelmien elinkaaret ovat pitkiä, ja niiden kyberturvallisuus perustuu siihen, että pääsy niihin on estetty julkisesta internetistä. Automaatiojärjestelmät eivät kuitenkaan ole täysin immuuneja kyberhyökkäyksille, koska niihin on esimerkiksi voitu liittää teknologioita, joiden kautta hyökkääjä voi päästä organisaatioon. Toimintaa on siis tarkasteltava yhtä järjestelmää laajemmasta näkökulmasta”, Finne sanoo.

Energiasektorilla varautuminen hyvällä tasolla

Finnen mukaan erityisesti energiasektorin riskienhallinta on ollut jo aiemminkin hyvällä tasolla. Sähkönjakelun keskeytyksiin on varauduttu monilla tavoin ja erilaisin toimintastrategioin. Selvitys kertoo kuitenkin myös kehityskohteista.

“Kuntapuolen resurssit ovat usein rajallisia, ja asiantuntijoiden työkuorma on suuri. Erityisesti pienissä kunnissa ja kuntaomisteisissa organisaatioissa palvelujen tai niiden osien toimivuus voi olla hyvinkin henkilöriippuvaista. Olisi tärkeää huolehtia siitä, etteivät asiat ole vain yhden työntekijän varassa. Myös paperisen dokumentaation fyysisestä suojaamisesta tulee huolehtia, jotta dokumentit eivät päädy vääriin käsiin. Sama toki koskee myös vesi- ja jätehuoltoa.”

Kriittisiä palveluita on tärkeää tarkastella järjestelmien eri osa-alueiden muodostamana yhtenä kokonaisuutena, arkkitehtuurina.

Suojaamisessa on otettava huomioon koko toimitusketju, ulkopuolisia alihankkijoita myöten. Myös alihankkijoiden käytäntöjen tulee olla kyberturvallisia ja esimerkiksi tarvittavat henkilöstön taustantarkastukset tehtynä.

“Huomiota kannattaa kiinnittää myös järjestelmien luvitukseen niin että käyttöluvat ovat työtehtäviin nähden riittävät mutta eivät sen laajemmat. Tästä on energiasektorilla yleensä huolehdittu hyvin, mutta uuden uhkaympäristön myötä nämäkin asiat on syytä tarkistaa tehostetusti”, Finne sanoo.

Muutenkin Finne korostaa, että kuntien kriittisiä palveluita on tärkeää tarkastella järjestelmien eri osa-alueiden muodostamana yhtenä kokonaisuutena, arkkitehtuurina. Arkkitehtuuriajattelun avulla voidaan hahmottaa, mistä osista tekninen kokonaisuus koostuu, mitkä niiden väliset yhteydet ja riippuvuudet ovat, ja siten huolehtia turvallisesta elinkaaresta ja muutoshallinnasta.

Vesihuollon kyberturvallisuuteen panostettava

Vesihuollon kyberkypsyyden kehittämisessä on Finnen mukaan energiasektoria enemmän tekemistä.

“Vesihuollon kyberturvallisuuteen on syytä panostaa systemaattiseti, jotta se vastaisi ajan haasteisiin. Kaiken kaikkiaan on tärkeää toimia arkkitehtuurimallin mukaisesti, koko toimintaketju huomioon ottaen. Laitoksen sisäisen tietoliikenneverkon eli sisäverkon eriyttämisestä pienempiin osa-alueisiin on myös syytä huolehtia. Jos joku taho pääsisikin tunkeutumaan sisäverkon yhteen osa-alueeseen, se ei  näin ollen pääsisi etenemään laajemmalle laitoksen tietoverkkoon.”

Finne tarkentaisi myös vastuunjakoa kuntapuolen kriittisten palveluiden osalta. Hyvä tiedonkulku kunnan ja sen alueella kriittisiä palveluita tuottavien organisaatioiden välillä on keskeistä.

“Organisaatioiden välisen viestinnän pitää olla säännöllistä ja tavoitteellista tilannekuvan ylläpitämiseksi ja kehittämiseksi. Esimerkiksi vesilaitosten järjestelmien elinkaaret ovat pitkiä, ja laitokset voivat käyttää samaa teknistä infrastruktuuria kunnan kanssa. Siksi on pystyttävä varmistamaan palvelun ajantasaisuus ja toimivuus erilaisissa skenaarioissa. Muuten käy herkästi niin, että kumpikin ajattelee toisen edistävän asioita, vaikka toimenpiteitä ei tapahdukaan.”

Jätehuolto vaikuttaa kuntalaisten terveyteen

Myös jätehuollon ongelmat näkyvät kuntalaisten arjessa nopeasti. Jätehuolto onkin otettu uutena toimialana mukaan vuoden 2022 joulukuussa voimaan tulleeseen NIS2-direktiiviin. NIS2 eli kyberturvallisuusdirektiivi säätelee muun muassa kriittisen infrastruktuurin tarjoajien ja toimijoiden kyberturvallisuuden riskienhallinnan ja raportoinnin velvoitteita. Sen toimeenpano osaksi suomalaista lainsäädäntöä on parhaillaan käynnissä liikenne- ja viestintäministeriössä.

Hyvä tiedonkulku kunnan ja sen alueella kriittisiä palveluita tuottavien organisaatioiden välillä on keskeistä.

“Jätehuollon kyberturvallisuuden perushaasteet ovat vastaavia kuin energiasektorilla ja vesihuollossa. Tuotantojärjestelmät on pystyttävä suojaamaan samoin kuin asiakastietojärjestelmät ja niiden sisältämät tiedot. Jätepalvelu voi hidastua merkittävästi, jos tietojärjestelmät eivät toimi ja joudutaan esimerkiksi siirtymään aikataulutuksissa paperiin ja kynään”, Finne sanoo.

Monen tason kehitystyötä

Kuntien kriittisen infrastruktuurin kyberturvallisuutta valvotaan ja kehitetään monella saralla. Finne painottaa palveluiden ja organisaatioiden rakennetun ympäristön sekä ajantasaisten automaatiojärjestelmien suojauksen merkitystä sen rinnalla, että toimintatavat ja käytännöt ovat mietittyjä ja ajantasaisia.

Kriittisten alojen kyberturvaa kehitetään myös yhteiskunnan tasolla esimerkiksi Kyberturvallisuuskeskuksen koordinoimissa ISAC-tiedonvaihtoryhmissä (Information Sharing and Analysis Centre). Ryhmät ovat eri toimialojen huoltovarmuuskriittisten yritysten kyberturvallisuuden yhteistyöelimiä, joissa jaetaan tietoja uhista, ilmiöistä ja hyvistä käytännöistä luottamuksellisesti alan toimijoiden kesken.

“Ryhmien merkitys on kunta-alalle tärkeä. Niissä tunnistetaan kehitystarpeita ja käynnistetään kehitysprojekteja. Kunta-alan kyberturvallisuutta kehitetään myös Kyberturvallisuuskeskuksen toteuttaman Kybermittarin avulla. Kybermittari on erityisesti organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu käytännönläheinen kyberturvallisuuden arviointi- ja kehittämispalvelu, joka auttaa arvioimaan yrityksen tietohallinnon eri osa-alueiden kyberkypsyyden tasoa. Julkaisimme myös tämän vuoden Kuntamarkkinoilla kunnille ilmaisen hyökkäyspinnan kartoituspalvelun (Hyöky), jonka käyttöä on tarkoitus ensi vuoden aikana laajentaa muihinkin organisaatioihin”, Finne sanoo.

Voivatko kuntalaiset siis luottaa, että kriittiset palvelut toimivat kaikissa tilanteissa?

“Häiriöitä ei voi täysin estää, mutta monella rintamalla tehdään työtä, että häiriöt haittaisivat arkea ja yhteiskunnan toimivuutta mahdollisimman vähän”, Finne sanoo.

Lisätietoa Kyberturvallisuuskeskuksen kunnille tarjoamista palveluista: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/traficomin-kyberturvallisuuskeskus-tukee-kuntien-kyberturvallisuuden-parantamista

Teksti: Leena Filpus / Kuva: Colourbox

Water is floating from a tap in the kitchen

Kuntapalveluiden kyberturva on huoltovarmuutta

Suomessa monet arjen peruspalvelut tuotetaan paikallisesti lähellä niiden käyttöpaikkaa. Puhtaan veden, lämmön ja sähkön tuotannon jatkuvuuden pitää olla turvattu, jotta ihmiset voivat elää arkeaan normaalisti. Samoin jätteet pitää kerätä.

Keskeinen tekijä palveluiden turvaamisessa on kyberturvallisuudesta huolehtiminen, sillä nämäkin palvelut toimivat erilaisten digitaalisten tietokantojen ja sovellusten varassa. Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmassa onkin selvitetty kuntaomisteisen kriittisen infrastruktuurin kyberturvallisuuden tasoa. Yhdessä Traficomin Kyberturvallisuuskeskuksen (KTK) kanssa toteutetun Palomuuri 1.0 -selvityksen lisäksi vastikään on valmistunut Suomen vesihuoltolaitosten kyberturvallisuutta kartoittanut selvitys, jonka toteutti Etelä-Savon ELY-keskus.

Keskeisiksi haasteiksi kyberturvallisuuden kehittämisessä ovat osoittautuneet johtamisen, henkilöstön ja kyberturvaosaamisen puute pienissä yrityksissä. Kyberturvallisuusasiat pitäisi nostaa korkeammalle näiden yritysten omistajien eli kuntapäättäjien tärkeysjärjestyksessä.

Tilannetta parantaa se, että Digitaalinen turvallisuus 2030 -ohjelman rahoituksella Kyberturvallisuuskeskukseen on saatu kunta-alan toimialavastaava, joka keskittyy nimenomaan kuntien kyberturva-asioiden kehittämiseen. KTK myös tarjoaa täysin maksutta monia kuntien kyberturvallisuutta edistäviä palveluita ja neuvontaa.

Lisätietoa Digitaalinen turvallisuus 2030 -ohjelmasta Huoltovarmuuskeskuksen verkkosivuilla

Tutustu Etelä-Savon ELY-keskuksen Kyberturvallisuus vesihuollossa: Suomen vesihuoltolaitosten kyberturvallisuustilanne ja sen kartoittamisen keinot -selvitykseen: https://www.doria.fi/handle/10024/187980

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Hyvä yhteistyö on parasta huoltovarmuutta

Suomalainen teollisuus ja rakentaminen pysähtyisivät ilman teknistä kauppaa. Siksi sitä tarvitaan entistä tiiviimmin mukaan varmistamaan Suomen huoltovarmuutta. Huoltovarmuutta ei kuitenkaan ratkaise yksittäisten tuotteiden tai komponenttien huolellinen varastointi, vaan toimittajaketjun avoin yhteistyö ja osapuolten vahva luottamus toisiinsa.
Piirilevy ja prosessori

Kvanttilaskenta laittaa yritysten salausalgoritmit uusiksi

Hyvin pian kvanttilaskenta on niin kehittynyttä, että yritykset pystyvät hyödyntämään sen mahdollisuuksia liiketoiminnassaan.  Samalla myös uhat kasvavat: käytännössä nykyiset salausalgoritmit ovat helposti murrettavissa kvanttilaskennalla. Yritysten kannattaa ottaa kvanttiuhat vakavasti ja aloittaa valmistautuminen niihin heti.
Kasvinverso kasvaa kuivuneen ja halkeilleen maan raosta.

Ympäristön ja ilmaston muutokset yhdistettävä yhteiskunnallisiin, poliittisiin ja taloudellisiin muutoksiin

Ilmastonmuutos ja toimenpiteet sen hillitsemiseksi aiheuttavat geopoliittisia muutoksia. Vaikutukset voivat olla hyvin kompleksisia ja ketjuuntuneita, ja niihin on syytä varautua myös huoltovarmuuden näkökulmasta.  Näin sanovat Ilmastonmuutos ja Suomen huoltovarmuus -tutkimusprojektin tutkijat Emma Hakala ja Helmi Räisänen, jotka työskentelevät Ulkopoliittisessa instituutissa.