Tietoturvastrategian ja -politiikan merkitys kyberhyökkäyksen torjunnassa kunnissa

Abstract

Eri julkisia organisaatioita kohtaan on tapahtunut viime vuosi useita onnistuneita ja julkisuuteen nousseita kyberhyökkäyksiä. Vuonna 2019 muun muassa Lahden ja Kokemäen kaupunkien tietojärjestelmiin toteutettiin onnistuneet hyökkäykset. Hyökkäysten tekninen tutkinta ja siitä tehtävät analyysit kuuluvat poliisille, mutta kuntien tietoturvallisuuden ohjausta voidaan tutkia hyökkäysten viitekehyksessä. Tässä tutkimuksessa tutkittiin näitä kahta onnistunutta kyberhyökkäystä ja selvitettiin, miten kaupunkien tietoturvapolitiikka vaikutti hyökkäysten torjuntaan, rajaamiseen sekä niistä palautumiseen. Teoreettinen pohja rakennettiin asiakirjatutkimuksella tietoturvastrategiasta ja politiikasta, lainsäädännöstä sekä tietoturvan hallintajärjestelmistä. Tapaustutkimus toteutettiin asiantuntijoiden haastattelulla. Tutkimusten tulosten perusteella voidaan päätellä, että tietoturvastrategian ja -politiikan sisältöä on määritelty riittävästi käytettäväksi kunnissa, lainsäädäntöä on Suomessa paljon ja se on hajanaista sekä tietoturvan hallintajärjestelmää voidaan käyttää julkisessa organisaatiossa. Varsinaisten tapausten tutkimuksessa selvisi, että tutkimuskohteiden tietoturvapolitiikat olivat rakenteellisesti varsin erilaisia, niiden muodostamiseksi ei ollut kunnollista ohjausta ja Kokemäen tietoturvapolitiikalla oli suurempi merkitystä kyberhyökkäyksen torjunnassa kuin Lahdessa. Tutkimuksen tulosten perusteella löytyi useita eri osa-alueita, joi-hin tutkimusta voidaan laajentaa ja konkreettisia toimenpiteitä, joilla kuntien tietoturvapolitiikkaa voidaan parantaa.

There have been a number of successful and publicized cyber-attacks against various public organizations over the past year. In 2019, successful attacks were carried out on the information systems of the cities of Lahti and Kokemäki, among others. The technical investigation and analysis of attacks is the responsibility of the police, but municipal information security guidance can be examined in the context of these attacks. This thesis examined these two successful cyber-attacks and examined how urban security policies affected the prevention, containment, and recovery from these attacks. The theoretical basis was built through document research on information security strategy and policy, legislation, and information security management systems. The case study was conducted through an interview with experts. Based on the results of the research, it can be concluded that the content of the in-formation security strategy and policy has been sufficiently defined for use in municipalities, there is a lot of legislation in Finland and it is fragmented, and the information security management system can be used in a public organization. The study of the actual cases revealed that the information security policies of the research subjects were structurally quite different, there was no proper guidance for their formation, and Kokemäki's information security policy in particular had a important role in combating cyber-attacks. Based on the results of the study, several different areas were found to which the study can be extended and concrete measures to improve the information security policy of municipalities.