Siirry sisältöön
Kalajoki ja 18 muuta organisaatiota laittoivat tietoturvaansa yhdessä kuntoon kaksivuotisessa DigiTyy-hankkeessa. Yhteistä tekemistä tuki Atean asiantuntijoiden tekemä Microsoft AD -hakemistopalveluiden kartoitus. Asiantuntijapalvelut hankittiin Tiera Verkkokauppa -puitesopimuksen kautta.
Kalajoen kaupunki

Kalajoella lyötiin hynttyyt yhteen vuonna 2021, kun Kalajoen kaupunki ja 18 muuta organisaatiota aloittivat yhteisen hankkeen digitaalisen turvallisuutensa kehittämiseksi. DigiTyy-hankkeessa on kahden vuoden aikana kehitetty digitaaliseen turvallisuuteen liittyviä prosesseja, parannettu digiturvallista työkulttuuria ja käynnistetty alueellinen digiturvaryhmä.

Kalajoen kaupungin tietohallintojohtaja Juha Matilainen vannoo alueellisen kehittämisen nimiin.

”Halusimme työhön mukaan myös ulkopuolisen tahon tutkimaan, millä tolalla olemme tietoturvan suhteen. Saimme hankkeen aikana kehitettyä paljon digitaalista turvallisuuttamme ja jaettua kokemuksia. Yhteistyössä kannattaa pyrkiä mahdollisimman yhtenäisiin toimintamalleihin, jotta siitä saadaan kaikki hyöty irti.”

Tiera Verkkokaupasta hankittiin Microsoft Active Directory- eli AD-hakemistopalvelujen nykytilan kartoitus.

Tietoturvan vaatimuksetkin muuttuvat

Active Directory (AD) on Microsoftin Windows-toimialueen käyttäjätietokanta ja hakemistopalvelu, joka sisältää tietoa käyttäjistä, tietokoneista ja verkon resursseista. Se on tärkeä erityisesti kaikille organisaatioille, joiden toiminnot ovat konesaleissa, eivätkä pilvessä.

AD-ympäristön tarkastelussa kiinnitettiin huomiota esimerkiksi siihen, miten erilaiset palvelut ja roolit on määritelty ja miten ne on konfiguroitu. Samalla tutkittiin, onko ympäristöön rakennettu vikasietoisuuksia ja onko vikatilanteista toipumista varten olemassa suunnitelmat.

Kartoitetuilla organisaatioilla ei ollut suurempia ongelmia AD-hakemistoissaan, mutta korjattavaakin toki löytyi.

”Suurin ongelma oli – kuten yleensäkin vastaavissa kartoituksissa – infran vanhentuminen vähitellen. IT-ympäristöissä tehdään usein paljon asioita johonkin tiettyyn tarpeeseen tietyllä hetkellä, mutta ajan myötä ei muistetakaan kehittää palveluja eikä reagoida siihen, että myös tekniikka ja tietoturvan vaatimukset muuttuvat. AD-tietoturvavaatimukset ovat hyvin erilaiset tänä päivänä kuin esimerkiksi kymmenen vuotta sitten”, Atean konsultti Hannu Leskinen kuvailee.

Mielenrauhaa tietohallintoon

Kaikki kartoituksen tilanneet organisaatiot olivat tyytyväisiä saatuaan ulkopuolisen arvion toiminnastaan.

”Säännöllinen auditointityyppinen tarkastelu on suositeltavaa kaikille Microsoftin AD:n käyttäjille. Erityisesti suosittelemme kartoitusta organisaatioille, joilla on ulkopuolinen toimija hoitamassa ICT-ympäristöä. DigiTyyn tapauksessa se on alueellinen ICT-palveluyritys Joki ICT Oy. He kiittelivät, kuinka hyvä on, että joku katsoo omaa työtä auditointinäkökulmasta – oman työnsä jälkeen kun saattaa jossain vaiheessa sokaistua”, Atean Account Manager Jukka Martimo sanoo.

 

Myös Kalajoen Juha Matilainen on tyytyväinen AD-kartoitukseen.

”Kartoitus oli hyvin yksinkertainen ja selkeä kokonaisuus. Siitä ymmärsi jo alussa, miten projekti etenee ja mitä vaiheita siinä on. Sekin oli hyvä, että Atean asiantuntijat eivät lähteneet ollenkaan sellaiselle pelottelumoodille, että ’näitä kaikkia kauheuksia täältä löytyy…’. Kaikki vaiheet käsiteltiin asiallisesti niin, että meidän oli asiakkaana helppo nähdä, mikä on toimintaympäristömme tilanne ja onko siinä kaikki asemoitu oikein nykyiseen, hieman kiristyneeseenkin turvallisuustilanteeseen.”

Kartoituksen valmistuttua organisaatiot ovat miettineet, mitä esiin nousseille kehityskohteille tehdään ja missä järjestyksessä. Varsinaiset korjaukset tekee Joki ICT Oy.

”Sitä nukkuu paremmin yönsä, kun tietää mikä on oman ICT-ympäristön tilanne.”

AD-kartoitus

  • Microsoftin Active Directory -hakemistopalveluympäristön (AD) suunnitelmallinen kartoitus auttaa selvittämään, onko ICT-ympäristössä mahdollisesti puutteita, virheitä tai riskikohtia.
  • Kartoituksessa luodaan katselmus koko järjestelmään ja tunnistetaan, mitkä ovat hälyttävimmät asiat sekä tietoturvamielessä että toiminnallisessa mielessä. Samalla selvitetään, onko havainnoilla suoraa vaikutusta asiakkaan muihin järjestelmiin. Atea kokoaa havainnoista selkeän raportin asiakkaalle.
  • Asiakas saa kattavan tilannekuvan AD-ympäristöstään ja roadmapin, joka kertoo, missä järjestyksessä puutteita kannattaa korjata.

DigiTyy-hanke

  • DigiTyy – Digiturvallinen työkulttuuri ja ympäristö -hanke oli Kalajoen kaupungin sekä 18 muun organisaation yhteishanke 2021–2023 digitaalisen turvallisuuden kehittämiseksi.
  • Hankkeen tavoitteena oli kehittää osallistujien digitaaliseen turvallisuuteen liittyviä prosesseja, parantaa digiturvallista työkulttuuria ja käynnistää alueellinen digiturvaryhmä.
  • Hankkeessa mukana: Joki ICT Oy, Jokilaaksojen koulutuskuntayhtymä JEDU, Kalajoki, Kannonkoski, Kempele, Kivijärvi, Koulutuskuntayhtymä Brahe, Kärsämäki, Liminka, Muhos, Nivala, Oulainen, Peruspalvelukuntayhtymä Kallio, Perusturvaliikelaitos Saarikka, Pyhäjoki, Pyhäjärvi, Raahe, Siikajoki ja Ylivieska.
  • Hanke on toteutettu valtionvarainministeriön myöntämän digikannustinavustuksen tuella.

Yhteishankintana kilpailutetut Tiera Verkkokauppa -puitesopimukset helpottavat ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja


Kalajoen Kaupunki on Kuntien Tiera Oy:n osakas. Kuntien Tiera Oy on yli 390 kuntatoimijan omistama osakeyhtiö ja yhteiskunnallinen yritys, joka kehittää kuntien, kaupunkien ja hyvinvointialueiden ICT-palveluja verkostomaisesti yhteistyössä omistaja-asiakkaiden sekä muiden julkisten- ja kaupallisten toimijoiden kanssa.

Atean ylläpitämä Tiera Verkkokauppa on Suomen kattavin, kuntakentän käyttöön suunniteltu dynaaminen hankintajärjestelmä. Se helpottaa ja tehostaa kuntatoimijoiden ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja.