Kuntien kriittisten tietoturvapuutteiden tunnistaminen ja korjaaminen

Tietoturvan varmistaminen sekä tietomurtojen ennaltaehkäisy edellyttää kunnilta ennakoivia, välittömiä ja jatkuvia toimenpiteitä tietojen käsittelyyn ja tallentamiseen liittyvän riskienhallinnan parantamiseksi.
Tietojen käsittelyyn ja tallentamiseen liittyvien riskien tunnistaminen ja hallinta ovat keskeisiä toimenpiteitä, joilla voidaan varmistaa julkisissa palveluissa tietojen luotettavuus ja tietoturva.
Säännöllinen riskianalyysi auttaa tunnistamaan ja korjaamaan mahdolliset ongelmat ajoissa.

Valtiovarainministeriö yhteistyössä Kuntaliiton kanssa tukee kuntia kriittisten tietoturvapuutteiden tunnistamisessa ja korjaamisessa sekä kehittää tiedonhallinnan ja tietoturvan riskienhallintaa.

Organisaatioiden tulee tunnistaa, mihin heillä on tallentunut henkilötietoja. Välittömästi tarkasteltavia kohteita ovat organisaation käyttämät tallennuspaikat, kuten esimerkiksi verkkolevyt, chat-palvelut, sähköpostit ja pilvipalvelut. Lisäksi tulee tarkistaa etäyhteyksien tietoturvallisuus.
Kehittämistyössä on hyvä ottaa mukaan hyvinvointialueet ja muut sidosryhmät.

Kuntaliitto osallistuu tutkimusselosteen suosituksen toteuttamiseen osana nykyistä perustoimintaansa tukemalla kehittämismandaatin omaavia tahoja sekä hyödyntämällä Kuntaliiton käytettävissä olevia keinoja ja resursseja tarkoituksenmukaisesti. Kuntaliiton keskeinen viesti jäsenilleen on, että selosteeseen kannattaa tutustua ja ottaa siitä kaikki oman organisaation kannalta keskeiset opit hyötykäyttöön. Kuntaliitto on pitänyt ja tulee pitämään aiheesta esityksiä kuntaverkostoissaan. Tutkimusselosteen julkaisun jälkeen Kuntaliitto on keskustellut suositusten vastuutahojen ja muiden sidosryhmien kanssa toimenpiteistä kuntatoimijoiden tietoturvan, tietosuojan ja tiedonhallinnan parantamiseksi. Näitä keskusteluita tullaan myös jatkamaan pitkäjänteisesti. Kuntaliitto jatkaa tutkimusselosteesta ja suosituksesta riippumattomia ja jo käynnissä olleita kuntien digiturvan kehittämistä tukevia toimenpiteitä. Jatkossa Kuntaliitto huomioi niiden toteutuksessa tutkimusselosteessa ja sen suosituksissa esiin nostettuja näkökulmia tarkoituksenmukaisesti. Tutkimusselosteessa havaittujen kehittämisehdotusten toteuttamisessa onnistumiseksi tarvitaan kattavaa, vakaata ja pitkäjänteistä kansallista yhteistyötä sekä riittäviä lisäresursseja suositusten vastuutahoille ja ennen kaikkea digiturvaa arjessaan kehittäville kunnille ja kuntatoimijoille. Olisi toivottavaa, että selosteen suositusten toimeenpanemiseksi muodostettaisiin uusi, erikseen rahoitettu kansallinen kehittämishanke, joka käytännön toteutuksen osalta sulautettaisiin osaksi Kyberturvallisuusstrategiaa ja sen toimeenpanoa. Lisäksi kansallisena yhteistyönä tulisi selvittää EU-rahoituksen hyödyntämisen mahdollisuudet kuntatoimijoiden kyberturvan kehittämiseen sekä sen pohjalta resursoida kunnille suunnattu, keskitetty ja pitkäjänteinen verkostoitumis- ja asiantuntijatuki niiden hyödyntämiseksi. Kuntaliitto osallistuu omassa roolissaan pitkäjänteisesti kansalliseen yhteistyöhön, jonka tavoitteena on Suomen ja sen kuntakentän digiturvan tason jatkuva parantaminen ja kehittäminen.
Suomen uusi kyberturvallisuusstrategia vuosille 2024–2035 on hyväksytty valtioneuvoston periaatepäätöksenä 10.10.2024. Kyberturvallisuusstrategian hyväksymisen jälkeen on valmisteltu sen toimeenpanosuunnitelma, jossa määritellään kehittämistoimet strategian tavoitteiden saa-vuttamiseksi. Toimenpide 4.2: Kehitetään kuntien valmiuksia ja kykyä varautua ja reagoida oikea-aikaisesti kyberhäiriöihin kuuluu toimeenpanosuunnitelman priorisoituihin toimenpiteisiin. Sen vastuutaho on valtiovarainministeriö yhteistyössä kuntien, Digi- ja väestötietoviraston ja muiden toimijoiden kanssa. Toimenpiteestä 4.1: Kehitetään hyvinvointialueiden valmiuksia ja kykyä varautua ja reagoida oikea-aikaisesti kyberhäiriöihin vastaavat sosiaali- ja terveysministeriö sekä oikeusministeriö yhdessä valtiovarainministeriön, sisäministeriön, hyvinvointialueiden, Liikenne- ja viestintävirasto Traficomin, Valviran, OTKESin ja elinkeinoelämän kanssa. Valtiovarainministeriössä on suunniteltu suosituksen 2025-S7 tarkastelua osana toimenpidettä 4.2. Toimenpiteen tavoitteina on vahvistaa riskienhallintaa, jatkuvaa parantamista, turvallisuuskulttuuria ja parhaiden käytäntöjen jakamista soveltuvissa kansallisissa, alueellisissa ja paikallisissa kuntien välisissä verkostoissa. Lisäksi ylläpidetään ja kehitetään olennaisia kansallisia tietoturva- ja tietosuojaverkostoja organisaatioiden välisen vertaisverkostoitumisen ja vertaistiedon jakamisen mahdollistamiseksi. Kuntien kriittisten tietoturvapuutteiden tunnistamista ja korjaamista on mahdollista tukea esimerkiksi Digi- ja väestötietoviraston Vahti-verkostossa tai Kuntaliiton ylläpitämissä verkostoissa. Tukimahdollisuuksiin vaikuttavat julkisen talouden suunnitelman ja talousarvion mukaiset nykyresurssit. Mikäli lisäresursseja voidaan myöntää, niin toimenpiteitä voidaan edistää laajemmin.