Kunnan tietoturva: miten valvonta kannattaa aloittaa?

Tietoturva ei parane vain lisäämällä suojaustyökaluja. Se paranee, kun tiedetään, mitä omassa IT-ympäristössä tapahtuu, mitkä poikkeamat ovat olennaisia ja kuka niihin reagoi.

Tietoturva on jatkuvuutta ja luottamusta

Kuntien tietoturva ei ole vain IT-osaston tekninen tehtävä. Se liittyy kuntalaisten palveluiden jatkuvuuteen, luottamuksellisten tietojen suojaamiseen ja arjen hallinnon toimintakykyyn. Kunnan järjestelmissä käsitellään tietoja esimerkiksi varhaiskasvatuksesta, opetuksesta, henkilöstöstä, teknisestä toimesta, taloudesta, päätöksenteosta ja sähköisistä asiointipalveluista.

Samalla monessa kunnassa tietoturvaa tehdään rajallisilla resursseilla. Kuntaliiton Digitalisaatiokartoitus osoittaa kuntakoon vaikutuksen: kyselyyn vastanneissa yli 20 000 asukkaan kunnissa oli kaikissa päätoimisesti tietohallinnosta vastaava henkilö, kun alle 2 000 asukkaan vastaajakunnista vastaava henkilö oli 8 prosentissa.

Tietoturvan valvontaa ei kannata aloittaa kysymällä, miten kaikki mahdollinen data saadaan heti valvontaan. On parempi miettiä, mitkä tapahtumat kunnan ympäristössä pitää huomata ajoissa?

Näkyvyys on usein puuttuva palanen

Monessa kunnassa on jo palomuureja, päätelaitesuojausta, varmistuksia, Microsoft 365 -palveluita, käyttöoikeusprosesseja ja ulkoistettuja ICT-palveluita. Ongelma ei siis välttämättä ole suojauksen täydellinen puute. Haaste on usein näkyvyys.

Kunta ei välttämättä huomaa ajoissa, jos käyttäjätunnus kirjautuu poikkeavasta maasta, järjestelmänvalvojan oikeuksia muutetaan, Microsoft 365 -tilille luodaan epäilyttävä sääntö, palomuuri havaitsee poikkeavaa liikennettä tai päätelaitesuojaus tekee hälytyksen, jota kukaan ei ehdi tulkita.

Tietoturva ei ole pelkkää estämistä. Se on myös havainnointia, reagointia ja kyky selvittää jälkikäteen, mitä tapahtui.

Aloita rajatusti – ei kaikesta lokidatasta

Tietoturvavalvontaa ei yleensä kannata aloittaa keräämällä kaikkea mahdollista lokidataa heti ensimmäisessä vaiheessa. Se kasvattaa kustannuksia, lisää turhia hälytyksiä ja voi tehdä valvonnasta vaikeasti perusteltavan johdolle.

Parempi malli on riskiperusteinen aloitus: valitaan ensin lokilähteet ja järjestelmät, joiden poikkeamat vaikuttaisivat eniten kunnan palveluihin, tietosuojaan tai jatkuvuuteen.

Viisi ensimmäistä valvontakohdetta

Usein aloitus kannattaa tehdä Microsoft 365:stä, Entra ID:stä, palomuurista, VPN:stä, AD-lokeista ja kriittisistä sovelluksista. Tarkka rajaus kannattaa tehdä riskien ja järjestelmien kriittisyyden perusteella.

1. Microsoft 365 ja Entra ID

Sähköposti, Teams, SharePoint, OneDrive ja käyttäjätunnukset ovat arjen työn ytimessä. Samalla ne ovat hyökkääjälle houkutteleva kohde. Traficomin Kyberturvallisuuskeskus kertoi vuonna 2025 vastaanottaneensa 330 ilmoitusta M365-tilimurtoihin tai -kalasteluun liittyvistä tapauksista. Rikolliset ovat käyttäneet varastettuja tunnuksia esimerkiksi kalasteluviesteihin ja laskutuspetoksiin.

2. Palomuurit, VPN ja etäyhteydet

Palomuuri ja etäyhteydet kertovat, miten kunnan verkkoon yritetään päästä ja mistä yhteyksiä muodostetaan. Ne auttavat tunnistamaan poikkeavia yhteyksiä, skannauksia ja etäkäytön väärinkäyttöä.

3. Active Directory ja palvelimet

Käyttöoikeudet, kirjautumiset, järjestelmänvalvojatunnukset ja palvelinympäristö ovat monen hyökkäyksen kannalta keskeisiä. Jos näissä tapahtuu poikkeavaa, tieto on saatava nopeasti oikeille ihmisille.

4. Kriittiset sovellukset ja tietojärjestelmät

Kaikkia sovelluksia ei tarvitse ottaa valvontaan kerralla. Ensin kannattaa tunnistaa järjestelmät, joiden häiriö, väärinkäyttö tai tietovuoto vaikuttaisi eniten kuntalaisten palveluihin tai kunnan lakisääteisiin velvollisuuksiin.

5. Varmistus- ja palautumisympäristö

Varmistukset ovat viimeinen turvaverkko esimerkiksi kiristyshaittaohjelman, virheellisen muutoksen tai tunnuskaappauksen jälkeen. Siksi myös varmistusten onnistumista ja poikkeamia kannattaa seurata.

Toimintamalli kannattaa sopia ennen ensimmäistä hälytystä

Valvonta ei auta, jos hälytyksen jälkeen ei tiedetä, kuka tekee mitä. Kannattaa sopia ainakin kuka vastaanottaa hälytykset, kuka arvioi vakavuuden, milloin ICT-palveluntuottaja otetaan mukaan, milloin kunnan johto informoidaan ja milloin tietosuojavastaava osallistuu käsittelyyn.

Tämä on erityisen tärkeää, koska kuntien ICT-palvelut voivat olla monella eri tavalla järjestettyjä. Kuntaliiton kartoituksessa perus-ICT- ja infrapalveluiden järjestämismalleina mainitaan esimerkiksi oma tuotanto, alueellinen tai kansallinen in house -yhtiö, kuntayhteistyö ja markkinoilta hankittu palvelu.

Kevyt etenemismalli: kolme käytännön vaihetta

1. Tunnista kriittiset kohteet: mitkä järjestelmät, tunnukset ja tiedot ovat toiminnan kannalta olennaisia.

2. Aloita valvonta rajatusti: ota ensin mukaan esimerkiksi Microsoft 365, Entra ID, palomuuri, VPN, AD-lokit ja yksi tai kaksi kriittistä sovellusta.

3. Muuta havainnot raportoinniksi: kerro johdolle, mitä havaittiin, miten reagoitiin ja mitä kannattaa kehittää seuraavaksi.

Miten Light SOC tukee kunnan tietoturvaa?

Light SOC sopii tilanteeseen, jossa kunta haluaa aloittaa tietoturvan valvonnan ilman omaa 24/7 SOC-tiimiä tai raskasta alkuinvestointia. Palvelu kokoaa sovitut lokit yhteen, tunnistaa analytiikan avulla olennaiset poikkeamat ja tuottaa asiantuntijan tulkitsemat hälytykset sekä selkeät toimenpidesuositukset.

Kunnan näkökulmasta olennaista on, että aloitus voidaan rajata kriittisiin kohteisiin ja tarvittaessa laajentaa myöhemmin. Kun laajuus, lokilähteet ja toimintamalli sovitaan etukäteen, tietoturvavalvonnasta tulee helpommin budjetoitava ja johdolle perusteltava kokonaisuus.

Kaita Light SOC auttaa aloittamaan kunnan tietoturvan valvonnan hallitusti: valitaan tärkeimmät lokilähteet, tunnistetaan olennaiset poikkeamat ja toimitetaan selkeät toimenpidesuositukset.

Sovitaanko 30 minuutin demo?

Käydään läpi, millaisia hälytyksiä ja raportteja Light SOC tuottaa, ja miten ne tukevat tietoturvatapahtumien valvontaa. Saat samalla suosituksen sopivasta laajuudesta sekä selkeät seuraavat askeleet omassa ympäristössäsi.

Saattaisit olla kiinnostunut myös näistä artikkeleista:

Miksi tarvitsen SOC-palvelun?

Tietoturvavalvomo kunnalle: milloin kevyt SOC riittää?

Tiedonhallintalaki ja kunnan tietoturva: mitä pitää pystyä seuraamaan?

Hallinnollisen tietoturvan riskit: 8 yleistä puutetta

Microsoft 365 -valvonta käytännössä: mitä kannattaa seurata ja miten aloittaa kevyesti

Pilviratkaisut

Power Cloud

Konesali ja hosting

Valvontapalvelut

Tukipalvelut

Jatkuvuuspalvelut

Varmistuspalvelut

Light SOC

Verkko- ja pilviturva

IBM i -ympäristön kyberturva

Forcepoint NGFW palomuuri

Palomuuripalvelu

IBM Power

IBM FlashSystem Tallennusratkaisut

Intel palvelinratkaisut

Ohjelmistot