Digipalveluiden haavoittuvuuksien tunteminen on tärkeämpää kuin koskaan – kuntien tietoverkoista etsittiin ja korjattiin haavoittuvuuksia
Kuntien sekä sosiaali- ja terveysalan toimijoiden digitaalisista palveluista etsittiin haavoittuvuuksia kartoituksella, jonka toteuttivat Digi- ja väestötietovirasto sekä Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus. Kunnat ja sote-toimijat saivat ajantasaista tietoa palveluidensa haavoittuvuuksista ja pystyivät sen perusteella tekemään tarvittavat korjaukset ja siten parantamaan palveluiden turvallisuutta.
Haavoittuvuudet kartoitettiin lähes 50 kunnan ja sote-toimijan digipalveluista
Digitaalisten palveluiden turvallisuudesta on huolehdittava entistäkin tarkemmin, kun yhä useammat palvelut siirtyvät verkkoon. Yksi keino parantaa turvallisuutta on kartoittaa säännöllisesti, onko palveluiden käyttämissä ohjelmistoissa tai komponenteissa tunnettuja haavoittuvuuksia, joihin jokin ulkopuolinen taho voisi kohdistaa luvattomia toimenpiteitä.
Digi- ja väestötietoviraston sekä Kyberturvallisuuskeskuksen yhteisessä pilottiprojektissa kartoitettiin haavoittuvuuksia yhteensä 49 kunnan ja sote-toimijan julkisessa verkossa sijaitsevista järjestelmistä ja digitaalisista palveluista. Havainnot toimitettiin kunnille ja sote-toimijoille, jotka pystyivät tietojen perusteella tekemään korjaavia toimenpiteitä.
Korjausten jälkeen toistetussa kartoituksessa haavoittuvuuksia löytyi selvästi vähemmän kuin ensimmäisellä kerralla. Voitiin siis todeta, että korjaukset toimivat ja paransivat palveluiden turvallisuutta.
Haavoittuvuuskartoituksella voidaan löytää heikkouksia ohjelmistoissa
- Haavoittuvuuskartoituksella etsitään ja pyritään tunnistamaan verkon aktiivisia laitteita sekä niiden haavoittuvuuksia.
- Haavoittuvuudella tarkoitetaan ohjelmistossa olevaa heikkoutta, jota hyödyntämällä jokin ulkopuolinen taho voi tehdä luvattomia ja odottamattomia toimenpiteitä, kuten esimerkiksi tietomurtoja.
”Näiden kartoitusten perusteella voimme sanoa, että löydökset olivat tavanomaisia. Yleisimpiä haavoittuvuuksia oli havaittavissa, mutta ei kuitenkaan poikkeavissa määrin”, sanoo erityisasiantuntija Karoliina Kemppainen Kyberturvallisuuskeskuksesta.
”Pilottiprojektissa tehdyt kartoitukset auttoivat useita organisaatiota kiinnittämään huomiota omien ympäristöjensä tietoturvallisuuteen. Töitä on toki vielä tehtävä, ja esimerkiksi versiopäivityksiä tarvitaan, mutta suunta on parempaan päin”, Kemppainen toteaa.
Haavoittuvuudet pitää havaita ja korjata ennen kuin joku muu löytää ne
Kunnat antoivat erittäin myönteistä palautetta haavoittuvuuskartoituksista. Kartoituksia pidettiin tarpeellisina ja hyödyllisinä, ja useat pilottiin osallistuneet kunnat toivoivat niille jatkoa tulevaisuudessa.
”Tietoverkkojen turvallisuuden tarkastelemiselle julkisesta verkosta käsin on kasvava tarve, kun palvelut digitalisoituvat”, sanoo johtava asiantuntija Tuomas Pelttari Digi- ja väestötietovirastosta. Kartoituksilla on myös laajempia, välillisiä hyötyjä. ”Yksittäisten havaintojen lisäksi voidaan löytää korjaustarpeita esimerkiksi toimitusketjuissa tai päivitysprosesseissa”, Pelttari kertoo.
Kyberturvallisuuskeskus kehittää haavoittuvuuksien kartoittamisen toimintamallia kerättyjen kokemusten perusteella tämän vuoden aikana. Tavoitteena on tarjota kunnille parempi tilannekuva heidän omien tietoverkkojensa turvallisuudesta. Lisäksi kartoituksissa kerättyä dataa käyttämällä voidaan ylläpitää entistä ajantasaisempaa kyberturvallisuuden tilannekuvaa kansallisella tasolla.
Palautteesta kävi ilmi, että osa kunnista ei pysty kartoittamaan haavoittuvuuksia tällä tavoin välttämättä lainkaan omilla resursseillaan. Ulkopuolinen apu otettiin ilolla vastaan.
“Valitettava tosiasia on, että erityisesti julkisessa verkossa sijaitsevien digipalveluiden haavoittuvuudet ovat myös epäystävällisten tahojen löydettävissä. Erilaisten uhkien yleistyessä on entistä tärkeämpää, että palveluntarjoajat tuntevat omat palvelunsa ja niiden heikkoudet, jotta haavoittuvuudet pystytään korjaamaan ennen kuin joku muu löytää ne”, Pelttari tiivistää.
Lisätiedot
Haavoittuvuuskartoitukset tehtiin Digi- ja väestötietoviraston sekä Kyberturvallisuuskeskuksen yhteistyönä. Digi- ja väestötietovirasto vastasi yhteydenpidosta kuntiin sekä lähtötietojen ja palautteen keräämisestä. Kyberturvallisuuskeskus toteutti teknisen kartoituksen ja koosti raportit kunnille.
Toiminta toteuttaa osaltaan julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelmaa.
Linkit
Tutustu Digi- ja väestötietoviraston digiturvapalveluihin ja tilaa digiturvan tiedotteet
Yhteystiedot
Tuomas Pelttari, johtava asiantuntija, Digi- ja väestötietovirasto, [email protected], p. 0295 535 266
Karoliina Kemppainen, erityisasiantuntija, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus, [email protected], p. 0295 390 659
- Palvelut henkilöasiakkaille
- Muutto
- Tarkasta omat henkilötietosi
- Tilaa todistus väestötietojärjestelmästä
- Nimenmuutos
- Edunvalvontavaltuutus ja varautuminen
- Aikuisen edunvalvonta
- Näin haet itsellesi edunvalvojaa
- Näin ilmoitat edunvalvontaa tarvitsevasta henkilöstä
- Milloin edunvalvoja tarvitsee luvan?
- Edunvalvojan tehtävät
- Milloin edunvalvoja tarvitsee sijaisen?
- Päämiehen toimintakelpoisuuden rajoittaminen
- Milloin edunvalvonta päättyy?
- Tietoa päämiehen läheisille
- Poissa olevan henkilön tai omaisuuden tulevan omistajan etujen valvominen
- Alaikäisen omaisuuden edunvalvonta
- Lapsen syntymä ja adoptio
- Avioliitto ja parisuhde
- Kuolema ja perunkirjoitus
- Ulkomaalaisena Suomessa
- Ulkomaalaisen rekisteröinti väestötietojärjestelmään
- Opiskelijan opas
- Kotikunta
- Perhesuhteet ja siviilisääty
- Ulkomaalaisen muutto Suomeen, Suomessa ja Suomesta
- Ohjeita Ukrainasta saapuville
- Інструкції для українців
- Erityisasiantuntijoiden ja kasvuyrittäjien pikakaista
- Työntekijän opas
- Laillistamisohje
- Ulkomaisten asiakirjojen toimittaminen
- Julkisen notaarin todistamispalvelut
- Kansalaisuus
- Sukupuolen vahvistaminen
- Uskonnollisen yhdyskunnan jäsenyys
- Vaalit, äänioikeus ja kansalaisaloite
- Kaupanvahvistus
- Lahjailmoituksen rekisteröinti
- Kansalaisvarmenne ja sähköinen henkilöllisyys
- Palvelut organisaatioasiakkaille
- Varmenteet ja kortit
- Väestötietopalvelut
- Väestötietojärjestelmän ylläpito
- Maistraattirekisterien hakupalvelut
- Otteet rekistereistä
- Digiturvapalvelut
- Digituki
- Suomi.fi-palvelut
- Digitalisaatiota edistävät palvelut
- Julkisen notaarin palvelut
- Kaupanvahvistus
- Vihkimisoikeus
- Ohjeet hyvinvointialueille
- Finnish Authenticator -tunnistuspalvelu
- Avoin data
- Verkkoasiointi
- Tietoa virastosta
- Digi- ja väestötietovirasto
- Meille töihin
- Asioi sähköisesti
- Yhteystiedot
- Ajankohtaista
- Yleistiedoksiannot ja kuulutukset
- Automaattinen ratkaisumenettely
- Laatupolitiikka
- Asiakkaiden yhdenvertaisuussuunnitelma
- Tietosuoja
- Medialle
- Esitteet ja julkaisut
- Väestötietojärjestelmä
- Hankkeet
- Ennakointi ja tutkimusyhteistyö