”Kuntien ongelma on usein epätietoisuus oman tietoturvan nykytilanteesta. Haluamme välttää eräissä kunnissa ja kaupungeissa ilmenneet tietoturvaongelmat, kuten kyberhyökkäykset ja tietomurrot. Kun tunnemme heikot kohtamme ja keinot niiden vahvistamiseen, ennakoimme ja minimoimme tulevia tietoturvariskejä”, Muuramen kunnan hallintopäällikkö Sami Niemi pohtii.
Muurain-marjan mukaan nimetty Muurame on Jyväskylän kyljessä sijaitseva kasvukunta, joka kehittää jatkuvasti sähköisiä palveluitaan. Tietoturva-asiat painavatkin koko ajan enemmän kuntalaisten hyvinvoinnissa, sillä teknologian roolin kasvaminen kaikessa toiminnassa opetuksesta terveydenhuollon ja hallinnon palveluihin edellyttää, että esimerkiksi hakkeroinnin ja tietovuotojen kaltaisia uhkakuvia käydään järjestelmällisesti läpi.
”Tietoturva on kuin vakuutus. Muuramelaisten pitää voida luottaa siihen, että heidän tietojaan käsitellään turvallisesti ja luotettavasti, ja että sähköiset järjestelmämme toimivat keskeytyksettä. Meille tietoturva tarkoittaa mielenrauhaa.”
Lisähaastetta kunnille luo muuttuva lainsäädäntö sekä tasapainottelu perinteisen ja sähköisen palveluntarjonnan välillä.
”Lainsäädäntö velvoittaa meitä tekemään sähköisestä asioinnista saavutettavaa. Osa kuntalaisista ei kuitenkaan koskaan edes avaa tietokonetta, kun taas osa edellyttää sähköisten asiointikanavien huippuunsa hiomista. Kuntana meidän on oltava perillä siitä, mitä muuramelaiset tarvitsevat ja millaisia tietoteknisiä taitoja heiltä voi edellyttää”, Sami Niemi toteaa.
Armoton, mutta elintärkeä tietoturvaprojekti
”Pienet kunnat saattavat virheellisesti ajatella, että ne eivät kiinnosta hyökkääjiä. Tietoturvahyökkäys ei kuitenkaan katso asukasmäärää – jos löytyy aukko, siitä mennään sisään. Kun kunnan verkko tipahtaa, kaatuvat silloin monet kunnan palvelut. ”, Atean silloinen Account Manager Marko Kuusinen sanoo.
Muuramessa tietoturvariskejä on taklattu yhdessä Atean konsulttien kanssa. Työn tuloksena on syntynyt sekä kattava haavoittuvuuskartoitus että tietoturvan pelikirja. Security Playbook on syväluotaava dokumentaatio, joka kartoittaa tietoturvanäkökulmasta asiakkaan valitsemia osa-alueita, kuten hallinnollista tietoturvaa, ulkoverkkoja ja julkisia palvelimia. Analyysin lopputuloksena piirtyy todellinen kuva tietoturvan tasosta ja heikoista kohdista, joihin annetaan myös ratkaisuehdotukset tärkeysjärjestykseen priorisoituina.
”Tietoturvakartoituksessa tieto lisää tuskaa, sillä armoton prosessi paljastaa monia puutteita ja kehityskohtia. Kokonaisuuden läpikäynti yhden kerran ei riitä, koska teknologioiden kehittyessä myös niihin liittyvät riskitekijät muuttuvat. Kattavan tietoturvan ylläpito onkin jatkuva prosessi”, Muuramen kunnan ICT-käyttöpäällikkö Marko Satosaari kertoo.
Muuramessa kehitysehdotuksiin tartuttiin ripeästi, ja käytössä on jo vahvennettu tunnistautuminen ja sähköpostin mukana tulevien tietojenkalasteluviestien tarkempi suodattaminen Office 365-palveluiden avulla.
Pilvipalvelut pelastivat pandemia-aikana
Yhtä aikaa tietoturvaprojektin kanssa Muuramessa siirrytään Office 365 -pilvipalveluihin. Kun kunnan oma palvelinympäristö synkronoidaan 365-pilveen, syntyy eheä ja kattava hybridiympäristö selkeyttämään hallintoa ja helpottamaan etätöitä.
”Office 365 on seuraavan sukupolven järjestelmä. Pilvi tuo käyttöömme lisäominaisuuksia vanhojen tuttujen ohjelmien rinnalle, mutta se on myös tietoturvan kannalta vankka valinta”, hallintopäällikkö Sami Niemi toteaa.
Muurame aloitti järjestelmän käyttöönoton keskellä koronapandemian aiheuttamaa poikkeustilannetta.
”Koronakevät oli meille huikea haaste. Onneksi poikkeustilan alkaessa 365-palvelut olivat käyttöönottoa vaille valmiina ja ICT-osastomme venyi antaumuksella. Kaikki koneella tehtävä työ pystyttiin siirtämään kotiin ja henkilöstöstämme lähtivät sujuvasti etätöihin kaikki he, joiden toimenkuvan kannalta se oli mahdollista”, Niemi kertoo.
Koronan aikana 365-työkalujen tarpeellisuus yhteydenpidossa ja etätöissä korostui. Siirtymä vie kuitenkin aikaa, sillä kyse on pelkkien sovellusten päivittämisen sijaan työskentelytapojen muutoksesta.
”365-siirtymän tavoitteena on kehittää käytännön työprosesseja, saada paremmat ryhmätyöskentelyvälineet ja yleensäkin siirtyä nykyaikaiseen työskentelyyn muun muassa etäkokousmenettelyiden ja suojattujen sähköpostien osalta. Siksi on tärkeää, että koko organisaation saa innostumaan ja mukaan muutokseen”, ICT-käyttöpäällikkö Marko Satosaari summaa.
Keskitetty tietoturva-apu on tehokkainta
Haavoittuvuuskartoituksen, Security Playbookin ja O365-siirtymän lisäksi Atea on auttanut Muuramea muun muassa koulujen oppimisympäristöjen kehittämisessä ja käytön tehostamisessa sekä tukenut kunnan ICT-osastoa asiantuntijaosaamisellaan. Muuramesta on osallistuttu myös Atean Google for EDU-koulutuksiin.
Tietoturva-asioihin tarttuminen oli ollut kauan Muuramen tehtävälistalla, ja Atean avulla se onnistui käytännössä.
”Kun kaikki tietoturvaan liittyvät palaset hankkii samalta kumppanilta, vaivattomuuden ja kustannustehokkuuden lisäksi osa-alueet toimivat yhdessä entistä paremmin. Arvostamme myös Atean avointa ja välitöntä yhteydenpitoa, mikä on välttämätöntä tämänkaltaisten moniosaisten ja pitkäaikaisten projektien onnistumisessa”, Marko Satosaari kertoo.
”Palveluiden hankkimisen helppous on kunnalla avainasemassa, vaikka lähdimmekin hakemaan parempaa tietoturvaa laaja-alaisesti kaikessa mahdollisessa. On valaisevaa saada ulkopuolista näkemystä tilanteestamme ja hienoa voida luottaa Atean asiantuntijaosaamiseen joka käänteessä”, Sami Niemi puolestaan summaa.
Sami Niemen vinkkilista mittavissa tietoturvaprojekteissa onnistumiseen
- Tee aitoon tarpeeseen ”Projekteihin ei ole mieltä lähteä vain siksi, että on kiva tehdä jotakin uutta. On tunnistettava oma tilanteensa ja tiedettävä, mihin haluaa tähdätä tulevaisuudessa. Kun tavoitteet ovat selvillä, osaa tilata niitä parhaiten edistävät ja tukevat palvelut.”
- Hahmota resurssit ”Rahalla saa varmasti kaikkea kivaa, kuten ulkopuolisen tekijän toteuttamaan palveluita. Siitä huolimatta omassa organisaatiossa on oltava osaamista ja ymmärrystä siitä, mitä ollaan tekemässä. Pelkkien ostopalveluiden varassa on aika tyhjän päällä. On myös osattava avata kustannusrakennetta ja laskea, missä vaiheessa projektia kuluille on saatavissa kompensaatiota tai säästöä.”
- Laita tieto hyötykäyttöön ”Tietoturvakartoitus vaatii valtavasti aikaa. Se on kuitenkin vain yksi osa projektia, sillä seuraavana tulee toimeenpanovaihe. Se on resursoitava erikseen ja sen toteuttaminen vaatii omalta organisaatiolta aikaa ja paukkuja. Siksi kartoituksia ei kannata tehdä turhaan, vaan on varauduttava toimimaan niiden pohjalta.”
- Perehdy aiheeseen ”Usein projekteja johtaa henkilö, jonka ydinosaamista tietoturva-asiat eivät ole. Projektin vastuuhenkilöiden on kuitenkin kyettävä johtamaan koko orkesteria niin, että kaikki tietävät mikä on projektista saavutettava hyöty. Silloin projektin tarpeen pystyy perustelemaan myös muulle johdolle.”
- Suunnittele hyvin ”Onnistuminen vaatii ammattitaitoa, osaamista ja joustavuutta. Meillä on tämän kokoisessa organisaatiossa kolme ICT-ihmistä ja nostan kaikille työntekijöillemme hattua. Hakiessaan meille parasta ratkaisua he myös haastoivat Atean ammattilaisia näkemyksillään. Keskustelun ja yhteistyössä toteutetun palveluiden räätälöinnin ansiosta lopputulos onnistuu.”
Tiera Verkkokauppa
Muuramen kunta on Kuntien Tiera Oy:n osakas. Kuntien Tiera Oy on yli 390 kuntatoimijan ja hyvinvointialueen omistama osakeyhtiö ja yhteiskunnallinen yritys, joka kehittää kuntien, kaupunkien ja hyvinvointialueiden ICT-palveluja verkostomaisesti yhteistyössä omistaja-asiakkaiden sekä muiden julkisten- ja kaupallisten toimijoiden kanssa.
Atean ylläpitämä Tiera Verkkokauppa on Suomen kattavin, kuntakentän käyttöön suunniteltu dynaaminen hankintajärjestelmä. Se helpottaa ja tehostaa kuntatoimijoiden ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja.