Ladataan
Pääaiheet 100 tuoreinta Satakunta Urheilu Näköislehti Lukemisto Kulttuuri Porilaine Testit ja visat

Kokemäen kyberhyökkäys muistuttaa laajasta valuviasta – tuore väitöstutkimus paljastaa, että monet julkishallinon it-järjestelmistä ovat jo käyttöönotettaessa vanhentuneita

Kokemäen kaupungin tietojärjestelmiin kohdistettu kyberhyökkäys on karvas muistutus julkishallinnon yksiköille siitä, että urkinta, tietomurrot, kiristysyritykset ja muu moderni verkkorikollisuus ei kohdistu enää vain valtiotason organisaatioihin tai suuryrityksiin. Vaikka yksittäiseen kuntaan kohdistunut verkkorikos on vielä Suomessa harvinaisuus, voivat vastaavat tapaukset lisääntyä voimakkaasti. Yksi syy tälle löytyy siitä, että kunta tai muu julkishallinnon yksikkö on usein paljon suuryritystä haavoittuvampi. Tästä kertoo selvää kieltä esimerkiksi tuore, 7. elokuuta aiheesta väittelevän tekniikan lisensiaatti Aapo Kosken väitöstutkimus. Kosken mukaan moni julkisen hankinnan kautta hankittu it-järjestelmä on jo käyttöönottohetkellään vanhentunut. Kosken mukaan järjestelmän tilaaja ja sen rakentanut yritys puhuvat usein eri kieltä ja järjestelmien hankinta-ajat venyvät. Isona ongelmana Koski näkee myös ohjelmistoalan toimintatavat: vanha järjestelmä ajetaan usein alas kerralla ja uutta järjestelmää aletaan rakentaa tyhjästä. Prosessi on usein pitkä ja järjestelmän valmistuttua sille asetetut vaatimukset ovat voineet jo muuttua. Väitöstutkimuksessa kuvaillaan, miten modernit vaatimukset tavoitettaisiin paremmin, jos järjestelmät rakennettaisiin osissa ja niitä kehitettäisiin jatkuvasti käyttäjien ja valmistajien saamien kokemusten perusteella. Kunnat, virastot, ministeriöt ja sote-toimijat toki testasivat valmiuttaan hallita tietoturvauhka yhteisessä TAISTO18-harjoituksessa viime vuoden loppupuolella. Uhat on siis tiedostettu, mutta se ei riitä. Hankintalain kankeus ja totutut toimintatavat jättävät kunnat ja muut pienemmät julkishallinnon organisaatiot turvattomaan asemaan. Tilanteeseen on tultu osittain siksi, että kunnat eivät tiettävästi ole juuri joutuneet kyberhyökkäysten uhreiksi. Kokemäen tapauksen tutkinta on vielä kesken, eikä vahinkojen laajuutta tai tietoturvahyökkäyksen mahdollistaneita heikkouksia voi vielä kuin arvailla. Vaikka loppuyhteenveto on tekemättä, olisi Kokemäen tapaukseen herättävä jo nyt. Uusiin uhkiin vastaaminen vaatisi eduskunnan reagointia, mutta paljon voidaan tehdä kunnissakin. Ongelman ydin on kuntienkin tiedostettava. Järjestelmien kehittämisen on oltava jatkossa jatkuvaa ja parhaassa tapauksessa tulevaisuuden uhat ennakoivaa.