Kuntien pitäisi pystyä varautumaan tietoturvahyökkäyksiin nykyistä paremmin.
Tänä vuonna kuntien tietojärjestelmiin on tehty useita tietomurtoja ja kyberiskuja. Tietomurtoja on ollut ainakin Porissa, Espoossa ja Siuntiossa. Viime kesänä Kokemäelle sekä Lahteen iskettiin haittaohjelmilla.
Kyberhyökkäys paljasti, ettei Lahden kaupungilla ollut kaikki kunnossa. Ongelmia oli muun muassa palomuurissa ja salasanoissa.
– Ihmisillä oli liian köykäisiä salasanoja, sanoo Lahden kaupungin tietohallintojohtaja Marko Monni.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen mukaan kuntien tietoturvan tasosta ei ole kokonaiskuvaa tällä hetkellä kenelläkään.
Moni kunta ei tunne omia tietojärjestelmiään, vaikka se olisi varautumisen kannalta tärkeää.
– Kun tuntee järjestelmän, tietää myös sen vahvuudet ja heikkoudet. Sitten voi tehdä järkevää riskianalyysiä tunnistaakseen heikoimmat lenkit, joihin kannattaa panostaa eniten, sanoo yksikönpäällikkö Arttu Lehmuskallio Kyberturvallisuuskeskuksesta.
Kuntaliitosta myönnetään, että tietoturva-asiat kunnissa on hoidettu kirjavasti.
– Uhkiin varautumisaste vaihtelee paljon. Varautumiseen vaikuttavat muun muassa kunnan koko, johdon suhtautuminen tietoturvaan ja ICT-palveluiden järjestämistapa, sanoo tietoyhteiskunta-asioiden johtaja Tommi Karttaavi Kuntaliitosta.
Lasku Lahden hyökkäyksestä: noin 900 000 euroa
Tietomurroista ja kyberiskuista kotimaassa ja ulkomailla uutisoidaan nykyisin lähes päivittäin. Kyberturvallisuuskeskuksen mukaan kyberrikollisilla usein teon motiivina on raha.
– Virtuaalivaluutan louhinta on yksi tapa. Siinä otetaan it-ympäristön resurssit käyttöön luodakseen rahaa. Kiristyshaittaohjelma on toinen tapa, jolloin laitetaan tietojärjestelmät lukkoon ja pyydetään rahaa avainta vastaan, kertoo yksikönpäällikkö Arttu Lehmuskallio.
Lahden kaupunki on kokenut parin vuoden aikana kaksi massiivista kyberhyökkäystä. Vuonna 2017 hyökkäyksen tarkoitus oli käyttää kaupungin tietojenkäsittelyresursseja virtuaalivaluutan louhintaan.
Kesäkuun 2019 hyökkäys tuli Suomen ulkopuolelta, mutta motiiveista ei ole tarkkaa tietoa. Keskusrikospoliisin esitutkinta tapauksessa on vielä kesken. Lahdessa haittaohjelma levisi noin tuhanteen kaupungin työasemaan, ja kaupungin palvelinympäristö oli myös hyökkääjän hallussa.
Jälkiä on siivottu ja tietoturvaa kehitetty iskun jälkeen noin 900 000 eurolla. Lahti reagoi asiantuntijoiden mukaan hyökkäyksen torjuntaan nopeasti. Lahden tietohallintojohtaja on käynyt puhumassa Lahden kokemuksista myös muualla Suomessa.
Lahti oli harjoitellut kyberhyökkäystä vastaan toimimista tammikuussa. Kesän hyökkäys opetti, että tilannehuoneen perustaminen operaation johtamiseksi oli tärkeää.
Häiriön alussa tarvitaan myös nopeasti suuri joukko asiantuntijoita niin ohjelmisto- kuin perustietotekniikan toimittajilta.
– Hyökkäys voi silti toistua, sillä aukotonta järjestelmää ei saa koskaan aikaiseksi. Palomuuri poistaa kymmeniä kolkutusyrityksiä päivittäin, sanoo tietohallintojohtaja Monni.
Lahti on hyökkäyksen jälkeen ainakin tiukentanut työntekijöidensä salasanakäytäntöjä, muuttanut palvelimille ja palveluihin kirjautumista sekä muokannut palomuurisäännöstöä. Myös tietoteknisen ympäristön valvontaa on tehostettu.
Monnin mukaan järjestelmien kehittämisen lisäksi työntekijöiden tietoturvatietämystä pitää kasvattaa ja korostaa varovaisuutta tietotyössä.
Kuntien tiukka taloustilanne syö tietoturvan kehittämishaluja
Kokemäen kaupungin sisäiseen verkkoon pääsi kiristyshaittaohjelma heinäkuun lopulla. Tietoturvahyökkäyksen takia muun muassa sähköiset palvelut ja maksuliikenne olivat pois käytöstä.
Kaupunki sai järjestelmänsä palautettua muutamia viikkojen päästä hyökkäyksestä. Järjestelmät ovat sen jälkeen toimineet normaalisti.
– Kaupungin palomuuri ja käyttäjähallinta siivottiin haittaohjelmahyökkäyksen jälkeen. Myös kaupungin salasanakäytäntöä on muutettu, sanoo Kokemäen hallintojohtaja Mikko Löfbacka kertoo.
Löfbacka arvioi, että tietoturvan kehittäminen on monessa kunnassa jäänyt jälkeen kuntien heikon taloustilanteen takia.
– Kokemäki on joutunut tasapainottamaan talouttaan koko 2010-luvun. Tietohallinnon resurssit ovat pysyneet samana liki 20 vuotta, vaikka ylläpidettävien palveluiden määrä ja toimintaympäristö ovat muuttuneet.
Kaupungin ensi vuoden talousarviossa tekninen kehittämistyö on huomioitu. Kokemäki on tilaamassa myös ulkopuolisen selvityksen tietoturvastaan ja riskien parannusehdotuksista.
Puhdistustyö ja järjestelmän palautus normaalitilaan maksoivat muutamia kymmeniä tuhansia euroja. Kyberturvallisuuskeskus auttoi hyökkäyksen ensivaiheen toipumisessa ja tietoturvan parantamisessa.
Kaupunki teki heti hyökkäyksestä rikosilmoituksen. Poliisitutkinta on yhä kesken.
Kuntien tietoturvaverkosto rakenteilla
Kuntaliitto on syksyllä rakentanut tietoturvavastaavien verkostoa. Tarkoitus on parantaa tiedotusta häiriötilanteissa. Noin joka kolmas kunta on tähän mennessä liittynyt verkostoon.
– Autamme kaikkia, jotka joutuvat tietomurron kohteeksi. Jos yhdelle käy jotakin, varoitamme muitakin, jotta ne voivat ennalta estää samaa tapahtumasta itselleen. Siksi tällainen uusi kanava on hyvä askel, sanoo yksikönpäällikkö Arttu Lehmuskallio Kyberturvallisuuskeskuksesta.
Lahden Kaupunginjohtaja Pekka Timonen on samaa mieltä siitä, että viranomaisten tiedonvaihtoa pitää parantaa. Hän pitää kuntien nykyistä tietoturvaa tällä hetkellä yhtenä suomalaisen yhteiskunnan suurimpana haavoittuvuutena.
– Vastassa ei ole yksittäisiä nörttejä, vaan kansainvälisiä järjestäytyneitä tahoja.