Digital säkerhet i kommunen - observationer med tanke på ledningen, informationsförvaltningen och sektorerna samt intressentgrupper

Informationssäkerhet och dataskydd blir allt viktigare då kommunerna digitaliseras i snabb takt och hotbilden i verksamhetsmiljön blir alltmer komplex. Det är ledningens, informationsförvaltningens och de olika sektorernas gemensamma angelägenhet att arbeta för den digitala säkerheten. Ekonomiska satsningar och samarbete över sektor-, kommun- och förvaltningsområdesgränserna krävs i allt högre grad. 

Kommunförbundet stöder kommunerna i utvecklingen av den digitala säkerheten genom intressebevakning och nätverksarbete. Det är bra att försäkra sig om att rätt personer från kommunen deltar i våra nätverk.

Verksamhetsmiljön förändras snabbt, framförhållning och reaktionshastighet allt viktigare

Kommunernas verksamhetsmiljö förändras snabbt och de utvecklingsmöjligheter som tekniken medför ökar kontinuerligt – å andra sidan kräver komplexa informationssystem alltmer resurser och kompetens. Detta gäller också informationssäkerhet och dataskydd. 

Personalen måste ständigt vara medveten om de senaste säkerhetshoten. Cyberbrottslingar skannar datanätet närmast i realtid, letar efter svagheter i systemen och utnyttjar dem snabbt när tillfälle ges. Dataintrång görs främst genom vilseledning av personal och – i ökad utsträckning – genom utnyttjande av systemens tekniska sårbarheter. Lyckligtvis utvecklas också metoderna för att skydda sig mot föränderliga hot. 

Ledningens roll i att skapa förutsättningar för hantering av digitala risker ökar

Att verka i en digital omgivning kräver kontinuerlig övervakning och utveckling. För kommunledningen innebär det att förstå och beakta grunderna i digital säkerhet som en del av utvecklingen av kommunens verksamhet och tjänster. Specialkompetensen att hantera digitala risker finns hos informationsförvaltningen, men till kommunledningen hör strategier med tanke på digitala risker, kommunens riskhanteringsmodell, utvärdering av riskhanteringsåtgärdernas effektivitet, kvarstående risker och övervakning av genomförandet av överenskomna åtgärder. Hanteringen av cyberrisker bör vara en del av den övergripande riskhanteringen i kommunens dagliga verksamhet. 

Ledningen bör ha en strategisk förståelse av den egna kommunens datahantering och kraven på skydd av den. Olika självutvärderingar, internrevisioner samt säkerhetsbedömningar av tredje part ger information som stöd för förståelsen. 

Ledningen ska säkerställa tillräckliga resurser för utveckling och underhåll av den digitala säkerheten i kommunen. Vi har flera goda exempel på framgångsrikt kommunalt samarbete kring den digitala säkerheten – till exempel genom att man anställt gemensamma experter. 

Syftet med samarbetet bör inte bara vara att söka besparingar, utan också att på ett så produktivt och högklassigt sätt som möjligt genomföra de utvecklings- och underhållssatsningar som krävs. Samarbetet bör intensifieras mellan kommuner och även mellan kommuner och tjänsteleverantörer samt mellan kommuner och myndigheter på nationell nivå. 

Den kommunala organisationen måste kunna agera i händelse av en allvarlig informationssäkerhets- eller dataskyddsincident. Detta innebär att det krävs planering och beredskap samt övning och testning. Ett effektivt samarbete inom kommunen och med intressentgrupper är avgörande med tanke på kommunens krishantering och beredskap. 

Kommunens informationsförvaltning är expert på digital säkerhet i kommunen 

Kommunens informationsförvaltning ska anta och implementera ett övergripande riskbaserat tillvägagångssätt, se till att kraven på informationssäkerhet i 4 kap. i informationshanteringslagen uppfylls i den egna verksamheten samt utveckla verksamheten på olika sätt för att möta utmaningarna i verksamhetsmiljön. 

En betydande mängd dataintrång begås både genom att personal luras på användarnamn och lösenord och genom att tekniska sårbarheter i system identifieras och utnyttjas. För att hantera det här måste man se över bland annat programvaruuppdateringar och sårbarhetshantering, säkerhetskopiering, multifaktorautentisering (även i underhåll) och se till att det finns en aktuell egen lägesbild av den datatekniska omgivningen, tillräcklig teknisk övervakning av verksamhetsmiljön samt tillräcklig insamling och hantering av loggar. Dessutom krävs kontinuerlig och aktiv utbildning för personalen och kommunikation om risker och nödvändiga säkerhetsåtgärder. Ledningen bör förses med en aktuell lägesbild.

En stor del av det praktiska arbetet för digital säkerhet sker inom de olika sektorerna

De kommunala sektorerna bör samarbeta med kommunens ledning och informationsförvaltning för att man ska få en uppdaterad helhetsbild av den digitala säkerheten i datahanteringen som en del av den gemensamma bedömningen och hanteringen av digitala risker. Informationssäkerhets- och dataskyddskraven som gäller tjänsteleverantörerna bör säkerställas i upphandlings- och avtalsvillkoren. Tjänsternas överensstämmelse med kraven ska följas upp och övervakas aktivt. Hela tjänsteproduktionens värdekedja bör vara tillräckligt känd och det bör säkerställas att den beaktas i riskhanteringsåtgärderna. 

Kommunförbundet stöder samarbete, nätverkande och intressebevakning inom den digitala säkerheten i kommunerna

Kommunförbundet erbjuder kollegiala nätverk för kommunernas informationssäkerhets- och dataskyddsansvariga. Nätverken har samarbetsplattformar som möjliggör diskussion med kollegor och informationsutbyte. Nätverken kan också ordna evenemang kring aktuella teman och stöder också kommunernas intressebevakning. Vi kommer att intensifiera samarbetet kring digital säkerhet med kommunernas beredskaps-, sektors- och ledningsnätverk. 

Nu är det dags att ansluta sig om din kommun ännu inte är medlem i våra nätverk. Du kan enkelt gå med i nätverken.

• informationssäkerhetsansvariga: skicka ett meddelande till adressen tietoturva@kuntaliitto.fi
• dataskyddsombud: anmäl dig på blanketten på webbsidan. 

Under de närmaste månaderna kommer vi att utveckla våra nätverk för informationssäkerhetsansvariga och dataskyddsombud och webbsidorna för dem. 

Myndigheter, tjänsteproducenter och forskningsinstitut har en viktig roll i utvecklingen av kommunernas digitala säkerhet

Viktiga aktörer med tanke på utvecklingen av kommunernas informationssäkerhet och dataskydd är bland annat Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom, teamet för digital säkerhet vid Myndigheten för digitalisering och befolkningsdata (MDB) samt försörjningsberedskapsorganisationen och dess pooler. Kommunförbundet har ett nära samarbete med dessa aktörer för att deras verksamhet ska stödja kommunerna på ett så ändamålsenligt sätt som möjligt. 

På nationell nivå bör resurser för utveckling av cybersäkerheten prioriteras och destabiliserande förändringar bör undvikas. Under de senaste åren har digital säkerhet inom offentlig förvaltning utvecklats i ett antal olika projekt. Projekten har genererat gemensamma lösningar och tjänster inom digital säkerhet och man bör nu se till att de förankras väl och underhålls på lång sikt. 

Den fortsatta utvecklingen av den digitala säkerheten i kommunerna bör möjliggöras med ny gemensam utvecklingsfinansiering. Det vore också viktigt att identifiera metoder för att förbättra produktiviteten inom den digitala säkerheten, till exempel genom att utveckla verksamhetsmodeller och samarbetet mellan olika förvaltningsområden och förvaltningsnivåer. Externa finansieringsmöjligheter (till exempel internationella) bör också identifieras och utnyttjas gemensamt. 

Många kommuner stöder sig till stor del på in house-bolag för sin egen digitala säkerhet. I utvecklingen av in house-regleringen bör man noggrant bedöma vilka konsekvenser de föreslagna ändringarna har för kommunsektorns förutsättningar att upprätthålla och utveckla informationssäkerheten och dataskyddet. Reformer som undergräver dessa förutsättningar bör inte införas. 

Tjänsteleverantörer samt utbildningsinstitutioner och forskningsinstitut har en viktig roll i utvecklingen av informationssäkerheten i kommunerna. Kommunförbundet har åtagit sig att i nära samarbete med dessa intressentgrupper utveckla förutsättningarna för informationssäkerheten inom den kommunala sektorn. 

Tillsammans för en säker digitalisering - i kommunen, i samarbete mellan kommuner och mellan kommuner och intressentgrupper. Nu är det ett bra tillfälle att precisera den egna lägesförståelsen och prioriteringarna i utvecklingen av den digitala säkerheten samt att stärka samarbetsstrukturerna och samarbetsnätverken. 

Material och lösningar som stöd för kommunernas arbete med digital säkerhet

Det gäller för sakkunniga inom informationssäkerhet och dataskydd i kommunerna att bekanta sig med verksamheten i MDB:s team för digital säkerhet och VAHTI-nätverken samt med Cybersäkerhetscentrets tjänster som riktar sig till kommunerna. Ytterligare information tillhandahålls också via Kommunförbundets nätverk som nämndes ovan. 

Kommunförbundet rekommenderar att kommunerna bekantar sig med Cybersäkerhetscentrets tjänst för kartläggning av angreppsytor HYÖKY och observationstjänsten HAVARO som varnar för allvarliga informationssäkerhetshot samt att man i mån av möjlighet ansluter sig till dessa eller sköter övervakningen på andra motsvarande sätt. Cybersäkerhetscentret publicerar också andra nyttiga handböcker och material, till exempel anvisningar till stöd för förebyggande av dataintrång och åtgärder vid dataintrång.

För en kartläggning av läget i fråga om den egna administrativa informationssäkerhetssituationen lönar det sig att utnyttja till exempel MDB:s enkät om digital säkerhet (på finska), Cybersäkerhetscentrets Cybermätare och informationshanteringsnämndens rekommendationer (minimikrav på informationssäkerhet, behandling av sekretessbelagda uppgifter, kriterier för bedömning av informationssäkerheten inom den offentliga förvaltningen, Julkri, på finska). Även annan god praxis finns som stöd, såsom ISO 27000 standarder (på finska) och rekommendationer för riskhanteringsåtgärder för cybersäkerhet i anslutning till NIS2-lagstiftningen (grundläggande praxis för cyberhygien). Vid fastställandet av kraven på digital säkerhet vid upphandling kan man utnyttja informationshanteringsnämndens rekommendation om informationssäkerhet vid upphandling.