Kuntien hyvä kyberturva suojaa arjen peruspalveluja
Digitalisaatio on edennyt myös kuntalaisten arjen peruspalveluihin, mikä edellyttää, että niiden suojausta kehitetään. Suomen Nato-jäsenyys ja Venäjän hyökkäyssota ovat entisestään nostaneet erilaisten kyberhyökkäysten ja -häiriöiden uhkaa.
Jos vettä ei tule hanasta, jäteastiat jäävät tyhjentämättä tai asunnot eivät talvipakkasilla lämpene, seuraukset näkyvät nopeasti kuntalaisten arjessa. Ongelmat voivat johtua vaikkapa laiterikoista tai inhimillisestä erehdyksestä, mutta syynä voi olla myös kyberhyökkäys tai -häiriö.
“Suomen Nato-jäsenyyden ja Venäjän hyökkäyssodan myötä kuntien kriittisen infrastruktuurin, vesi- ja jätehuollon sekä energiasektorin kyberhäiriöt ovat lisääntyneet. Siten uhkataso on noussut selvästi”, sanoo kunta-alan toimialavastaava Jere Finne Traficomin Kyberturvallisuuskeskuksesta (KTK).
Jotta kuntalaisille tärkeät palvelut voidaan turvata kaikissa tilanteissa, Huoltovarmuuskeskus on yhteistyössä Kyberturvallisuuskeskuksen ja Kuntaliiton kanssa käynnistänyt useita projekteja selvittämään ja kehittämään kuntien kyberturvallisuutta. Osana Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa KTK tuotti selvityksen kuntaomisteisen kriittisen infrastruktuurin kyberturvallisuuden tasosta. Palomuuri 1.0 -selvityksessä korostui ennaltaehkäisyn merkitys kuntalaisten arkeen vaikuttavien kyberuhkien torjumisessa ja -häiriöiden estämisessä.
“Olemme nähneet, että esimerkiksi Ukrainassa kyberhyökkäykset myös siviilikohteisiin ovat olleet yleisiä. Sen vuoksi on tärkeää päivittää riskiarviot ja parantaa resilienssiä myös meillä. Toimintaa olisi pystyttävä jatkamaan häiriötilanteesta huolimatta ja palautumaan vikatilanteista nopeasti”, Finne tähdentää.
Kriittisten palvelujen toimitusvarmuutta on syytä parantaa jo pelkästään siksi, että ne yhä useammin tuotetaan sähköisin järjestelmin eli digitaalisesti, mutta lisääntyvät kyberuhat ovat vahva lisäkannustin.
“Usein tuotantoautomaatiojärjestelmien elinkaaret ovat pitkiä, ja niiden kyberturvallisuus perustuu siihen, että pääsy niihin on estetty julkisesta internetistä. Automaatiojärjestelmät eivät kuitenkaan ole täysin immuuneja kyberhyökkäyksille, koska niihin on esimerkiksi voitu liittää teknologioita, joiden kautta hyökkääjä voi päästä organisaatioon. Toimintaa on siis tarkasteltava yhtä järjestelmää laajemmasta näkökulmasta”, Finne sanoo.
Energiasektorilla varautuminen hyvällä tasolla
Finnen mukaan erityisesti energiasektorin riskienhallinta on ollut jo aiemminkin hyvällä tasolla. Sähkönjakelun keskeytyksiin on varauduttu monilla tavoin ja erilaisin toimintastrategioin. Selvitys kertoo kuitenkin myös kehityskohteista.
“Kuntapuolen resurssit ovat usein rajallisia, ja asiantuntijoiden työkuorma on suuri. Erityisesti pienissä kunnissa ja kuntaomisteisissa organisaatioissa palvelujen tai niiden osien toimivuus voi olla hyvinkin henkilöriippuvaista. Olisi tärkeää huolehtia siitä, etteivät asiat ole vain yhden työntekijän varassa. Myös paperisen dokumentaation fyysisestä suojaamisesta tulee huolehtia, jotta dokumentit eivät päädy vääriin käsiin. Sama toki koskee myös vesi- ja jätehuoltoa.”
Suojaamisessa on otettava huomioon koko toimitusketju, ulkopuolisia alihankkijoita myöten. Myös alihankkijoiden käytäntöjen tulee olla kyberturvallisia ja esimerkiksi tarvittavat henkilöstön taustantarkastukset tehtynä.
“Huomiota kannattaa kiinnittää myös järjestelmien luvitukseen niin että käyttöluvat ovat työtehtäviin nähden riittävät mutta eivät sen laajemmat. Tästä on energiasektorilla yleensä huolehdittu hyvin, mutta uuden uhkaympäristön myötä nämäkin asiat on syytä tarkistaa tehostetusti”, Finne sanoo.
Muutenkin Finne korostaa, että kuntien kriittisiä palveluita on tärkeää tarkastella järjestelmien eri osa-alueiden muodostamana yhtenä kokonaisuutena, arkkitehtuurina. Arkkitehtuuriajattelun avulla voidaan hahmottaa, mistä osista tekninen kokonaisuus koostuu, mitkä niiden väliset yhteydet ja riippuvuudet ovat, ja siten huolehtia turvallisesta elinkaaresta ja muutoshallinnasta.
Vesihuollon kyberturvallisuuteen panostettava
Vesihuollon kyberkypsyyden kehittämisessä on Finnen mukaan energiasektoria enemmän tekemistä.
“Vesihuollon kyberturvallisuuteen on syytä panostaa systemaattiseti, jotta se vastaisi ajan haasteisiin. Kaiken kaikkiaan on tärkeää toimia arkkitehtuurimallin mukaisesti, koko toimintaketju huomioon ottaen. Laitoksen sisäisen tietoliikenneverkon eli sisäverkon eriyttämisestä pienempiin osa-alueisiin on myös syytä huolehtia. Jos joku taho pääsisikin tunkeutumaan sisäverkon yhteen osa-alueeseen, se ei näin ollen pääsisi etenemään laajemmalle laitoksen tietoverkkoon.”
Finne tarkentaisi myös vastuunjakoa kuntapuolen kriittisten palveluiden osalta. Hyvä tiedonkulku kunnan ja sen alueella kriittisiä palveluita tuottavien organisaatioiden välillä on keskeistä.
“Organisaatioiden välisen viestinnän pitää olla säännöllistä ja tavoitteellista tilannekuvan ylläpitämiseksi ja kehittämiseksi. Esimerkiksi vesilaitosten järjestelmien elinkaaret ovat pitkiä, ja laitokset voivat käyttää samaa teknistä infrastruktuuria kunnan kanssa. Siksi on pystyttävä varmistamaan palvelun ajantasaisuus ja toimivuus erilaisissa skenaarioissa. Muuten käy herkästi niin, että kumpikin ajattelee toisen edistävän asioita, vaikka toimenpiteitä ei tapahdukaan.”
Jätehuolto vaikuttaa kuntalaisten terveyteen
Myös jätehuollon ongelmat näkyvät kuntalaisten arjessa nopeasti. Jätehuolto onkin otettu uutena toimialana mukaan vuoden 2022 joulukuussa voimaan tulleeseen NIS2-direktiiviin. NIS2 eli kyberturvallisuusdirektiivi säätelee muun muassa kriittisen infrastruktuurin tarjoajien ja toimijoiden kyberturvallisuuden riskienhallinnan ja raportoinnin velvoitteita. Sen toimeenpano osaksi suomalaista lainsäädäntöä on parhaillaan käynnissä liikenne- ja viestintäministeriössä.
“Jätehuollon kyberturvallisuuden perushaasteet ovat vastaavia kuin energiasektorilla ja vesihuollossa. Tuotantojärjestelmät on pystyttävä suojaamaan samoin kuin asiakastietojärjestelmät ja niiden sisältämät tiedot. Jätepalvelu voi hidastua merkittävästi, jos tietojärjestelmät eivät toimi ja joudutaan esimerkiksi siirtymään aikataulutuksissa paperiin ja kynään”, Finne sanoo.
Monen tason kehitystyötä
Kuntien kriittisen infrastruktuurin kyberturvallisuutta valvotaan ja kehitetään monella saralla. Finne painottaa palveluiden ja organisaatioiden rakennetun ympäristön sekä ajantasaisten automaatiojärjestelmien suojauksen merkitystä sen rinnalla, että toimintatavat ja käytännöt ovat mietittyjä ja ajantasaisia.
Kriittisten alojen kyberturvaa kehitetään myös yhteiskunnan tasolla esimerkiksi Kyberturvallisuuskeskuksen koordinoimissa ISAC-tiedonvaihtoryhmissä (Information Sharing and Analysis Centre). Ryhmät ovat eri toimialojen huoltovarmuuskriittisten yritysten kyberturvallisuuden yhteistyöelimiä, joissa jaetaan tietoja uhista, ilmiöistä ja hyvistä käytännöistä luottamuksellisesti alan toimijoiden kesken.
“Ryhmien merkitys on kunta-alalle tärkeä. Niissä tunnistetaan kehitystarpeita ja käynnistetään kehitysprojekteja. Kunta-alan kyberturvallisuutta kehitetään myös Kyberturvallisuuskeskuksen toteuttaman Kybermittarin avulla. Kybermittari on erityisesti organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu käytännönläheinen kyberturvallisuuden arviointi- ja kehittämispalvelu, joka auttaa arvioimaan yrityksen tietohallinnon eri osa-alueiden kyberkypsyyden tasoa. Julkaisimme myös tämän vuoden Kuntamarkkinoilla kunnille ilmaisen hyökkäyspinnan kartoituspalvelun (Hyöky), jonka käyttöä on tarkoitus ensi vuoden aikana laajentaa muihinkin organisaatioihin”, Finne sanoo.
Voivatko kuntalaiset siis luottaa, että kriittiset palvelut toimivat kaikissa tilanteissa?
“Häiriöitä ei voi täysin estää, mutta monella rintamalla tehdään työtä, että häiriöt haittaisivat arkea ja yhteiskunnan toimivuutta mahdollisimman vähän”, Finne sanoo.
Lisätietoa Kyberturvallisuuskeskuksen kunnille tarjoamista palveluista: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/traficomin-kyberturvallisuuskeskus-tukee-kuntien-kyberturvallisuuden-parantamista
Teksti: Leena Filpus / Kuva: Colourbox
Kuntapalveluiden kyberturva on huoltovarmuutta
Suomessa monet arjen peruspalvelut tuotetaan paikallisesti lähellä niiden käyttöpaikkaa. Puhtaan veden, lämmön ja sähkön tuotannon jatkuvuuden pitää olla turvattu, jotta ihmiset voivat elää arkeaan normaalisti. Samoin jätteet pitää kerätä.
Keskeinen tekijä palveluiden turvaamisessa on kyberturvallisuudesta huolehtiminen, sillä nämäkin palvelut toimivat erilaisten digitaalisten tietokantojen ja sovellusten varassa. Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmassa onkin selvitetty kuntaomisteisen kriittisen infrastruktuurin kyberturvallisuuden tasoa. Yhdessä Traficomin Kyberturvallisuuskeskuksen (KTK) kanssa toteutetun Palomuuri 1.0 -selvityksen lisäksi vastikään on valmistunut Suomen vesihuoltolaitosten kyberturvallisuutta kartoittanut selvitys, jonka toteutti Etelä-Savon ELY-keskus.
Keskeisiksi haasteiksi kyberturvallisuuden kehittämisessä ovat osoittautuneet johtamisen, henkilöstön ja kyberturvaosaamisen puute pienissä yrityksissä. Kyberturvallisuusasiat pitäisi nostaa korkeammalle näiden yritysten omistajien eli kuntapäättäjien tärkeysjärjestyksessä.
Tilannetta parantaa se, että Digitaalinen turvallisuus 2030 -ohjelman rahoituksella Kyberturvallisuuskeskukseen on saatu kunta-alan toimialavastaava, joka keskittyy nimenomaan kuntien kyberturva-asioiden kehittämiseen. KTK myös tarjoaa täysin maksutta monia kuntien kyberturvallisuutta edistäviä palveluita ja neuvontaa.
Lisätietoa Digitaalinen turvallisuus 2030 -ohjelmasta Huoltovarmuuskeskuksen verkkosivuilla
Tutustu Etelä-Savon ELY-keskuksen Kyberturvallisuus vesihuollossa: Suomen vesihuoltolaitosten kyberturvallisuustilanne ja sen kartoittamisen keinot -selvitykseen: https://www.doria.fi/handle/10024/187980