Digiturvakompassi saa tällä kertaa vieraakseen tietoyhteiskuntayksikön johtaja Tommi Karttaavin Kuntaliitosta. Karttaavin kanssa puhutaan tietenkin kuntien digiturvallisuudesta. Kunnat ja niiden resurssit ovat varsin erikokoisia, joten mikä olisi paras tapa huolehtia kuntalaisten digiturvallisuudesta? Puhetta on luvassa myös koronaviruksesta ja siitä, millaisia oppeja koronakevät toi. "Isoin oppi, mitä itse huomasin, on että meillä on aika paljon valmiita palikoita olemassa, jotka vain täytyy ottaa käyttöön", Karttaavi toteaa. (Jakso on nauhoitettu 12. elokuuta etäyhteyksien avulla.)
Hei! Olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Ja minä olen Kimmo Rousku. Toimin Digi- ja väestötietovirastossa eli DVV:ssä Vahti-pääsihteerinä.
Kimmo Rousku:
Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Tuija Kuusisto:
Tässä Digiturvakompassi-sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa? Mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä yhdessä pohdittaviksi.
Kimmo Rousku:
Ai siis, mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalvelujen toimivuudesta ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä.
Tuija Kuusisto:
Tänään vieraanamme on johtaja Tommi Karttaavi Kuntaliitosta. Hyvää iltapäivää Tommi ja tervetuloa podcastiimme.
Tommi Karttaavi:
Kiitoksia ja iltapäivää teillekin.
[Musiikkia]
Tuija Kuusisto:
Tommi, toimit johtajana Kuntaliitossa. Mikä Kuntaliitto on ja mitä se oikein tekee digitaalisen turvallisuuden saralla?
Tommi Karttaavi:
Lyhyesti sanottuna Kuntaliitto on organisaatio, jonka tehtävänä on pitää huolta kuntien toimintaedellytyksistä.
Suomessa toimivat kunnat, jotka palvelee asukkaitaan parhaalla mahdollisella tavalla. Ja tässä tarkoituksessa me tehdään aika paljon edunvalvontatyötä. Tehdään kehittämistyötä erityisesti yhdessä kuntien kanssa.
Erilaisia asiantuntija- ja tietopalveluita. Osa sitä meidän toimintaa on myös sitten sellaista, joka kohdistuu varautumiseen ja jatkuvuuden hallintaan. Ja siinä tietysti tärkeää on digitaalinen turvallisuus.
Digitaalisen turvallisuuden osalta me ei itse olla sinällään sellainen toimija, joka tarjoaisi palveluita kunnille tässä asiassa. Me pyritään toimimaan enemmän [ääni pätkii] kautta.
Meillä on jo jonkin aikaa ollut kuntien tietosuojavastaavien verkostoja. Nyt on sitten viime vuoden lopulla perustettu tietoturvavastaavien verkosto, johon on ihan mukavasti lähtenyt jo kuntia mukaan.
Anteeksi, ei huoltovarmuuskeskuksen, vaan siis kyberturvallisuuskeskuksen kanssa on tehty yhteistyötä siinä, että tarjotaan myös heidän suuntaansa väylä, minkä kautta he tavoittavat oikeat henkilöt kuntaorganisaatiossa.
Kimmo Rousku:
Mitä asioita digitaalinen turvallisuus on mahdollistanut ja miten sitten tämä digitaalinen turvallisuus käytännössä näkyy vaikkapa kuntalaisten elämässä?
Tommi Karttaavi:
Sehän on mahdollistanut paljon sellaisia asioita, mitkä edellyttää sitä, että kansalaiset voi luottaa siihen, että heidän luottamukselliset tietonsa ovat turvassa silloin, kun he asioivat viranomaisten kanssa. [ääni pätkii]
Käytännössä, mitä vähemmän se näkyy siellä kuntalaisten elämässä, niin sen paremmin se toimii. Se on tavallaan sellaista, mikä pitäisi olla sisäänrakennettuna kaikkiin meidän tietojärjestelmiin ja prosesseihin, ettei sen kuntalaiselle pitäisi paljon näkyäkään.
Kimmo Rousku:
Mites sitten käytännön tasolla? Meillähän taitaa olla 310 kuntaa, niin tämä digitaalinen turvallisuus on todella laaja kokonaisuus. Sitten meillä on eritasoisia kuntia. Miten näet, millainen haaste tämä on erityyppisille ja erikokoisille kunnille huolehtia näistä vastuista ja tähän liittyvistä tehtävistä?
Tommi Karttaavi:
Tämähän on kuntakentän erityispiirre julkisessa hallinnossa. Se, että kuntia todellakin on hyvin erikokoisia lähtien Helsingistä ja päättyen aina pienimpiin kuntiin.
Puhutaan sadoista / tuhansista asukkaista, eikä sadoistatuhansista. Voi kuvitella, että tällaisen hyvin pienen kunnan resurssit tehdä näitä asioita on aika huonot ja silloin Kuntaliitossa nähdään juuri tärkeäksi se, että näissä asioissa tehtäisiin paljon yhteistyötä ja katsottaisiin julkista hallintoa yhtenä kokonaisuutena, eikä niin, että jokaisen kunnan tulee olla asiantuntija kaikissa asioissa.
Erityisesti digitaalinen turvallisuus on semmoinen, missä tarvittaisiin nykyistä enemmän yhteistyötä.
Tuija Kuusisto:
Mitäs nyt, kun eletään tätä elokuun puoltaväliä ja kansainvälisesti katsottunahan nyt tämä covid-19 koronatilanne on kyllä sangen vaikea ja vaikuttaa siltä, että Suomessakin valitettavasti tilanne ei ole kehittymässä positiivisesti, vaan on ilmeisesti huonompaan suuntaan.
Kuitenkin, jos ajattelee tätä kulunutta kevättä, niin siitähän me kuitenkin selvittiin ja saatiin viettää iloinen ja mukava kesä Suomessa kaikki.
Ollaan ehkä toivottavasti saatu myös pitää lomaa ja rentouduttu. Mutta nyt kun jälleen palataan sitten töihin, niin mitäs, kun mietitään tätä kevättä, miten näitä kevään oppeja voitaisiin erityisesti voitaisiin hyödyntää digimaailmassa? Vaikkapa terveyspalveluiden etäkäytöstä?
Tommi Karttaavi:
Keväthän meni jossain määrin hämmästyttävänkin hyvin.
Miten nopeasti tilanne tuli päälle ja miten siihen pystyttiin reagoimaan. Siihen voidaan ihan syystäkin olla tyytyväinen, mutta ei liian tyytyväinen, että kyllähän se…
Paljon puhutaan digiloikasta, mikä monissa asioissa otettiin, niin kyllä se aika paljon on ollut digiloikka, joka on otettu eteenpäin kaatumalla kompastumisen jälkeen.
Nyt ne opetukset, mitä keväällä siitä kerättiin, niin ne pitäisi nyt sitten saada jo, syksyn tilannetta ja ihan normaalielämääkin varten, käyttöön.
Ehkä isoin oppi, mitä itse huomasin siinä tilanteessa, oli se, että meillä on paljon valmiita palikoita olemassa, jotka tarvii vaan ottaa käyttöön. Eihän me muuten oltais niin ketterästi siitä kaatumalla tehdystä digiloikasta selvitty.
Ja ehkä voisin kärjistäen sanoa, että me ollaan täällä Suomessa aika hyviä kehittämään näitä [ääni pätkii] palveluita ja niitä tukevia tietojärjestelmiä. Mutta vähän huonompia ottaa niitä käyttöön. Ja nyt tulee tällainen tilanne, jossa niitä vaan on yksinkertaisesti pakko ottaa käyttöön. Se on ehkä se digiloikka, mikä siinä on tapahtunut niin [pätkii] palveluissa(?) kuin opetuksessa tai melkein missä tahansa.
Kimmo Rousku:
Tässä voisi tietysti ehkä kärjistäen kanssa todeta sen, että tarvitaankohan me jatkossa enemmän tämän tyyppisiä pakkoja, jotta me pystyttäis sujuvammin, nopeammin kehittämään toimintaamme? Mutta tosiaan tähän kevään onnistumiseen, niin täytyy tässä kohtaa mainostaa meidän, vähän ennen kesälomia julkaistua, koronaviruspandemiaraporttia, jossa vertailtiin eri toimialojen kykyä tästä keväästä selvitä ja kuinka hyvin se on mennyt.
Tosiaan tämä raporttihan kanssa osoitti sen, että tämä siirtyminen etätöihin ja palveluiden käytön laajentaminen on sujunut tosiaan paljon, paljon paremmin, kuin kukaan olisi voinut kuvitella. Tässäkään ei ollut valtavan isoja eroja näitten eri toimialojen välillä, elikkä yllättävän hyvin tämä oli sujunut kaikkialla. Ja nyt itse asiassa me saadaan julkaistua tässä elokuun lopussa tästä raportista päivitetty versio, jossa meillä on sitten yksityiskohtaisempaa toimialojen sisällä olevaa tietoa. Muutenkin saadaan ehkä vielä paremmin tätä hahmotettua.
Mutta mites sitten, jos mietitään vaikkapa tätä koronaviruspandemiatilannetta ja siihen liittyen yleensäkin teknologian tehokkaampaa hyödyntämistä - miten sellaisia tietoja kännyköiden ja sitä kautta ihmisten sijainnista on olemassa, joita voitais ehkä hyödyntää koronan leviämisen hidastamisessa?
Tai onko niin, että näetkö, että tämä digitaalinen turvallisuus tai jotkut sen osa-alueet vois jollain lailla rajoittaa näitten tietojen käyttöä ja hyödyntämistä? Eli perinteinen uhka versus mahdollisuus.
Tommi Karttaavi:
Joo. Keskusteluitahan käytiin aika paljon siitä keväällä, minkälainen kännykkäsovellus meillä otettais näitten tartuntaketjujen seuraamiseen ja rajoittamisen käyttöön. Siinä vaihtoehtoja oli toki muitakin, joista ehkä tehokkain olis ollut, että käytettäisiin operaattoridataa.
Jos kaikkien operaattoreiden kautta saatais ne tiedot ihmisten liikkumisesta, niin sehän olisikin todella kattavaa. Eikä perustuis siihen, onko ihmisillä apit käytössä ja miten ne toimii. Mutta siinä tulee sitten vaakakupissa toiselle puolelle yksityisyyden suoja ja muut tämmöiset asiat.
Nämä on sitten vaikeita valintoja, kuinka paljon sitten niille pistetään painoa ja kyllä mun mielestä tässä kohtaa - ihan oikein - on pistetty ihmisten yksityisyys sitten kuitenkin siinä vielä kaiken edelle. [ääni pätkii]
Tuija Kuusisto:
Tässähän joudutaan aina punnitsemaan tätä yhteiskunnan tarvitsemien tietojen ja niiden käytön hyödyllisyyttä ja miten sitten voi yhteiskunta kansalaisiaan suojata. Ja toisaalta sitten tätä jokaisen yksityisyyden suojaa.
Miten enemmän, tässä kun on kyse tästä digitaalisesta turvallisuudesta toisaalta mahdollistajana ja toisaalta rajoittajana niin, miten näet, mikä tilanne Suomessa nyt tällä hetkellä vallitsee? Onko meillä liian tiukkaa tämä yksityisyyden suoja ja ylipäätänsä digitaalisen turvallisuuden toteuttaminen vai onko meillä liian löperöä? Pitäiskö mennä vielä tiukempaan suuntaan?
Tommi Karttaavi:
Tuosta voi olla hyvin montaa mieltä. Henkilökohtaisesti olen sitä mieltä, että meillä on aika hyvä tasapaino siinä tällä hetkellä. Toki molempien [pätkii] puolesta voi aina esittää argumentteja. Näin tietysti demokratiassa täytyykin, että esittää erilaisia näkemyksiä ja sitten löydetään se keskitie sieltä.
Täytyy myös aina muistaa, kun sitä teknologian mahdollisuuksia katsotaan, mitä kaikkea se mahdollistaa, niin niitä samoja tietoja voidaan käyttää myös monenlaiseen vähemmän hyvään asiaan. Eli jos pandemian nimissä mahdollistetaan tiettyjä asioita, niin täytyy muistaa, että se voi taas johtaa sitten siihen, että sitä yksityisyyttä on seuraavan kerran helpompi loukata sitten taas jossain vähemmän tärkeässä asiassa. Eli tavallaan tämä on tasapainon hakemista.
Kimmo Rousku:
Tuossa alkujuonnossa ja johdannossa keskusteltiin tästä yhteistyöstä ja verkostoista ja niiden hyödyntämisestä. Miten sun mielestä meidän kannattaisi edelleen vielä parantaa tätä eri toimijoiden välistä yhteistyötä? Samoin sitten se että, mikä on sun näkemys siitä että, miten me saataisiin elinkeinoelämä myös ehkä vielä paremmin tähän kokonaisuuteen mukaan?
Tommi Karttaavi:
Tämä on vähän semmoinen ikuisuuskysymys. Jos tämä edistää sitä yhteistyötä sektoreiden välillä, niin tässä on jotain hyvääkin. Mutta pelkästään se, että jokainen kunta on tietyssä mielessä oma toimijansa. Kuntasektorin voi nähdä omanaan, joka taas sitten on erillinen valtionhallinnosta, jossa taas eri ministeriöiden hallinnonalat on omia kokonaisuuksia. Ja sitten näiden pitäis jotenkin kaikkien toimia yhtenä julkisena hallintona, niin onhan se tosi mittava haaste saada se toimimaan näin.
Puhumattakaan sitten, että otetaan vielä yksityinen sektori mukaan, jotka kuitenkin ovat asiakaspalvelun tarjoaja-asetelmassa siinä, joka ei taas sitten välttämättä joka tilanteessa edistä semmoista saumatonta yhteistyötä.
Kyllä se varmaan parempaan suuntaan on mennyt tässä viime aikoina. Mutta onhan siinä työmaata edelleenkin, että siitä ekosysteemi joskus muodostuisi.
Tuija Kuusisto:
Miten tässä yhteistyön yhteydessä ja erityisesti, kun puhutaan turvallisuusalan yhteistyöstä, niin siinähän puhutaan paljon luottamuksesta. Mitä johtaja Tommi Karttaavi sinusta on luottamus?
Tommi Karttaavi:
No se on hirveän monia eri asioita, mutta tässä kontekstissa voisi varmaan todeta, että se on aika [pätkii, ...kka] digitaalisen turvallisuuden näkökulmasta. Meillä täytyy olla luottamusta, että yhteiskunta toimisi. Meillä täytyy olla luottamusta niihin ihmisiin, keiden kanssa me asioidaan. Meillä pitää olla luottamusta niihin organisaatioihin, joiden kanssa me asioidaan. Pitää olla luottamus [pätkii, tieto-] järjestelmiin, minkä kautta kommunikointi tai asiointi tapahtuu.
Sen luottamuksen… Vaikka se voi tuntua sellaiselta hyvin itsestään selvältä asialta. Jos pysähtyy ajattelemaan, niin sen rakentaminen vie todella kauan aikaa. Mutta sen voi menettää hyvin helposti. Jos nyt jos ajattelee, vaikka tällaisia viime aikoina hyvinkin tiheään esiintyneitä kalastelukeinoja, missä hyödynnetään nyt sitten vaikka sitä, että esiinnytään jonkun organisaation, oman tai vieraan organisaation, edustajana ja tarjotaan, vaikka oletetusti luotettavan tietojärjestelmän kautta, jotakin linkkiä johonkin dokumenttiin, johon pitää antaa ne käyttäjätunnukset ja salasanat, että pääsee sen näkemään. Niin tämän tyyppiset hyökkäykset hyödyntää sitä luottamusta ja toinen on kanssa, että ne murentaa sitä. Mikä tietyssä mielessä näitten hyökkäysten torjumisen kannalta on hyvä asia, että ei luoteta sokeasti. Mutta se [pätkii] sitä luottamuspääomaa, jota meillä on yhteiskunnassa, jota myös tarvitaan siihen, että kaikki toimii.
Kimmo Rousku:
Otetaan vielä yksi vähän eri näkökulma. Eli nyt mielestäni meillä Suomessa on aika korkea luottamus viranomaisten toimintaan ja yleensäkin nämä asiat aika hyvällä tasolla. Oletko miten tutustunut Suomen ulkopuolella, miten muualla, vaikkapa EU-alueella, näitä vastaavia digitaaliseen turvallisuuteen tai tieto- ja kyberturvallisuuteen liittyviä asioita on toteutettu? Olisko meillä jostain jotain opittavaa? Toki me ollaan monessa asiassa hyviä, mutta yleensä aina jostain muualta löytyisi kenties jotain uutta opittavaa. Onko sulla tähän jotain kommenttia?
Tommi Karttaavi:
Jonkun verran on tietysti tullut seurattua erityisesti EU-maissa. Ja ehkä Hollanti tulisi mieleen ensimmäisenä sellaisena maana, jossa kuntasektorin puolella meillä voisi olla siellä opittavaa.
Siellä on esimerkiksi olemassa tämmöinen oma CERTi kunnille, joka toimii Hollannin Kuntaliiton yhteydessä, joka sitten antaa tilannetietoja. Toimii myöskin kriisitilanteessa auttajana siellä. En nyt sano, että meillä pitäisi olla vastaava täällä Suomessa.
Näkisin, että kyberturvallisuuskeskuksella pitäisi olla nykyistä isompi rooli vielä myös kuntien suuntaan. Heillä pitäis olla myös resursseja sen toteuttamiseen.
Siinä ehkä säästetään sitten väärässä kohtaa, jos lasketaan niitä euroja silloin, kun sitä turvallisuutta pitäisi rakentaa. Sitten kun se pettää, niin se voi tulla paljon kalliimmaksi.
Tuija Kuusisto:
Ihan hyvä näkökulma ja varmaankin tästä olisi opittavaa. Nythän me myös täällä valtiovarainministeriössä parhaillaan mietitään, mitkä voisi olla tällaisia kuntien digiturvallisuutta edistäviä palveluita. Tämä on oikein hyvä ehdotus. Miten sitten, kun mietitään digitaalista turvallisuutta ihan käytännön tasolla. Miten huomioit, Tommi, digitaalisen turvallisuuden omassa elämässäsi?
Tommi Karttaavi:
No en ole sinällään mikään yltiöturvallisuusihminen siinä mielessä, että ihan sellaisella normaalilla maalaisjärjellä. Ja itse kun on digitaalisia palveluita ja laitteita käyttänyt suurimman osaa elämästä kuitenkin, niin on tullut siihen, mitä voi ja ei voi tehdä. Tähän mennessä se on myös toiminut, niin ettei ole mitään isompia ongelmia sen kanssa ollut.
Sanoisin, että maalaisjärjellä ja sillä, että pitää tietokoneen, puhelimen, muiden laitteiden päivitykset ajan tasalla ja näin poispäin, niin pärjää aika pitkälle.
Tuija Kuusisto:
Siinä on kyllä muistettavaa siinäkin meillä kaikilla. Mutta kiitos kovasti, Tommi, että tulit meille vieraaksemme. Ja oikein mukavaa ja reipasta ja toivottavasti myös sitten iloista syksyn alkua sinulle.
Tommi Karttaavi:
Kiitos teille myös.
Kimmo Rousku:
Kiitos.