”Kuntien ongelma on usein epätietoisuus oman tietoturvan nykytilanteesta. Haluamme välttää eräissä kunnissa ja kaupungeissa ilmenneet tietoturvaongelmat, kuten kyberhyökkäykset ja tietomurrot. Kun tunnemme heikot kohtamme ja keinot niiden vahvistamiseen, ennakoimme ja minimoimme tulevia tietoturvariskejä”, Muuramen kunnan hallintopäällikkö Sami Niemi pohtii.
Muurain-marjan mukaan nimetty Muurame on Jyväskylän kyljessä sijaitseva kasvukunta, joka kehittää jatkuvasti sähköisiä palveluitaan. Tietoturva-asiat painavatkin koko ajan enemmän kuntalaisten hyvinvoinnissa, sillä teknologian roolin kasvaminen kaikessa toiminnassa opetuksesta terveydenhuollon ja hallinnon palveluihin edellyttää, että esimerkiksi hakkeroinnin ja tietovuotojen kaltaisia uhkakuvia käydään järjestelmällisesti läpi.
”Tietoturva on kuin vakuutus. Muuramelaisten pitää voida luottaa siihen, että heidän tietojaan käsitellään turvallisesti ja luotettavasti, ja että sähköiset järjestelmämme toimivat keskeytyksettä. Meille tietoturva tarkoittaa mielenrauhaa.”
Lisähaastetta kunnille luo muuttuva lainsäädäntö sekä tasapainottelu perinteisen ja sähköisen palveluntarjonnan välillä.
”Lainsäädäntö velvoittaa meitä tekemään sähköisestä asioinnista saavutettavaa. Osa kuntalaisista ei kuitenkaan koskaan edes avaa tietokonetta, kun taas osa edellyttää sähköisten asiointikanavien huippuunsa hiomista. Kuntana meidän on oltava perillä siitä, mitä muuramelaiset tarvitsevat ja millaisia tietoteknisiä taitoja heiltä voi edellyttää”, Sami Niemi toteaa.
”Pienet kunnat saattavat virheellisesti ajatella, että ne eivät kiinnosta hyökkääjiä. Tietoturvahyökkäys ei kuitenkaan katso asukasmäärää – jos löytyy aukko, siitä mennään sisään. Kun kunnan verkko tipahtaa, kaatuvat silloin monet kunnan palvelut. ”, Atean silloinen Account Manager Marko Kuusinen sanoo.
Muuramessa tietoturvariskejä on taklattu yhdessä Atean konsulttien kanssa. Työn tuloksena on syntynyt sekä kattava haavoittuvuuskartoitus että tietoturvan pelikirja. Security Playbook on syväluotaava dokumentaatio, joka kartoittaa tietoturvanäkökulmasta asiakkaan valitsemia osa-alueita, kuten hallinnollista tietoturvaa, ulkoverkkoja ja julkisia palvelimia. Analyysin lopputuloksena piirtyy todellinen kuva tietoturvan tasosta ja heikoista kohdista, joihin annetaan myös ratkaisuehdotukset tärkeysjärjestykseen priorisoituina.
”Tietoturvakartoituksessa tieto lisää tuskaa, sillä armoton prosessi paljastaa monia puutteita ja kehityskohtia. Kokonaisuuden läpikäynti yhden kerran ei riitä, koska teknologioiden kehittyessä myös niihin liittyvät riskitekijät muuttuvat. Kattavan tietoturvan ylläpito onkin jatkuva prosessi”, Muuramen kunnan ICT-käyttöpäällikkö Marko Satosaari kertoo.
Muuramessa kehitysehdotuksiin tartuttiin ripeästi, ja käytössä on jo vahvennettu tunnistautuminen ja sähköpostin mukana tulevien tietojenkalasteluviestien tarkempi suodattaminen Office 365-palveluiden avulla.
Yhtä aikaa tietoturvaprojektin kanssa Muuramessa siirrytään Office 365 -pilvipalveluihin. Kun kunnan oma palvelinympäristö synkronoidaan 365-pilveen, syntyy eheä ja kattava hybridiympäristö selkeyttämään hallintoa ja helpottamaan etätöitä.
”Office 365 on seuraavan sukupolven järjestelmä. Pilvi tuo käyttöömme lisäominaisuuksia vanhojen tuttujen ohjelmien rinnalle, mutta se on myös tietoturvan kannalta vankka valinta”, hallintopäällikkö Sami Niemi toteaa.
Muurame aloitti järjestelmän käyttöönoton keskellä koronapandemian aiheuttamaa poikkeustilannetta.
”Koronakevät oli meille huikea haaste. Onneksi poikkeustilan alkaessa 365-palvelut olivat käyttöönottoa vaille valmiina ja ICT-osastomme venyi antaumuksella. Kaikki koneella tehtävä työ pystyttiin siirtämään kotiin ja henkilöstöstämme lähtivät sujuvasti etätöihin kaikki he, joiden toimenkuvan kannalta se oli mahdollista”, Niemi kertoo.
Koronan aikana 365-työkalujen tarpeellisuus yhteydenpidossa ja etätöissä korostui. Siirtymä vie kuitenkin aikaa, sillä kyse on pelkkien sovellusten päivittämisen sijaan työskentelytapojen muutoksesta.
”365-siirtymän tavoitteena on kehittää käytännön työprosesseja, saada paremmat ryhmätyöskentelyvälineet ja yleensäkin siirtyä nykyaikaiseen työskentelyyn muun muassa etäkokousmenettelyiden ja suojattujen sähköpostien osalta. Siksi on tärkeää, että koko organisaation saa innostumaan ja mukaan muutokseen”, ICT-käyttöpäällikkö Marko Satosaari summaa.
Haavoittuvuuskartoituksen, Security Playbookin ja O365-siirtymän lisäksi Atea on auttanut Muuramea muun muassa koulujen oppimisympäristöjen kehittämisessä ja käytön tehostamisessa sekä tukenut kunnan ICT-osastoa asiantuntijaosaamisellaan. Muuramesta on osallistuttu myös Atean Google for EDU-koulutuksiin.
Tietoturva-asioihin tarttuminen oli ollut kauan Muuramen tehtävälistalla, ja Atean avulla se onnistui käytännössä.
”Kun kaikki tietoturvaan liittyvät palaset hankkii samalta kumppanilta, vaivattomuuden ja kustannustehokkuuden lisäksi osa-alueet toimivat yhdessä entistä paremmin. Arvostamme myös Atean avointa ja välitöntä yhteydenpitoa, mikä on välttämätöntä tämänkaltaisten moniosaisten ja pitkäaikaisten projektien onnistumisessa”, Marko Satosaari kertoo.
”Palveluiden hankkimisen helppous on kunnalla avainasemassa, vaikka lähdimmekin hakemaan parempaa tietoturvaa laaja-alaisesti kaikessa mahdollisessa. On valaisevaa saada ulkopuolista näkemystä tilanteestamme ja hienoa voida luottaa Atean asiantuntijaosaamiseen joka käänteessä”, Sami Niemi puolestaan summaa.
Muuramen kunta on Kuntien Tiera Oy:n osakas. Kuntien Tiera Oy on yli 390 kuntatoimijan ja hyvinvointialueen omistama osakeyhtiö ja yhteiskunnallinen yritys, joka kehittää kuntien, kaupunkien ja hyvinvointialueiden ICT-palveluja verkostomaisesti yhteistyössä omistaja-asiakkaiden sekä muiden julkisten- ja kaupallisten toimijoiden kanssa.
Atean ylläpitämä Tiera Verkkokauppa on Suomen kattavin, kuntakentän käyttöön suunniteltu dynaaminen hankintajärjestelmä. Se helpottaa ja tehostaa kuntatoimijoiden ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja.