Kuntien tietoturva: haasteet ja ratkaisut ohjelmistohankinnoissa
Kuntien vastuulla on varmistaa kuntalaistensa tietoturva, ja siksi hankittavien ohjelmistojen on täytettävä tiukat tietoturva- ja tietosuojavaatimukset. Haastattelututkimukseen osallistui seitsemän eri kunnan edustajia. Tutkimuksessa ilmeni, että ohjelmistotoimittajat eivät aina hallitse edes tietoturvan ja tietosuojan peruskäsitteitä.
Kuntien tietoturvavaatimukset pähkinänkuoressa
Nykymaailmassa, jossa kyberhyökkäykset ovat yleistyneet, ohjelmistokehittäjien on otettava huomioon tietoturva ja siihen liittyvät vaatimukset sekä lait. Kuntien hankintayksiköiden on varmistettava, että hankittavat ohjelmistot täyttävät kaikki tietoturvavaatimukset. Näihin kuuluvat GDPR (Euroopan unionin yleinen tietosuoja-asetus), tiedonhallintalaki ja lokakuussa voimaan astuva NIS2-kyberturvallisuusdirektiivi. Nämä säädökset varmistavat, että kuntien vaatimukset ovat yhteneväisiä, vaikka niissä voi olla pieniä eroja.
Hankintaprosessi avainasemassa
Kuntien hankintaprosessi on keskeinen ohjelmistojen vaatimuksenmukaisuuden varmistamisessa. Tällöin kilpailutuksen jälkeen on epätodennäköistä, ettei valittu ohjelmisto täyttäisi asetettuja vaatimuksia. Pääsääntöisesti tietoturvaan ja tietosuojaan liittyviä ongelmia ei ilmene, mutta mikäli puutteita havaitaan, ne ovat yleensä pieniä ja suhteellisen helposti korjattavissa.
Sujuva ICT-hankintaprosessi seuraa usein Hankinta-Suomen laatiman ICT-hankintojen pelikirjaa, jossa neuvotaan esimerkiksi kuvaamaan hankinnan tavoite ja tekemään vaatimusmäärittely hyvissä ajoin ennen tarjouspyynnön julkaisemista. Myös markkinavuoropuhelun tärkeyttä korostetaan kyseisessä pelikirjassa.
Kokemukset ohjelmistotoimittajien tietoturvaosaamisesta
Tutkimuksessa kävi ilmi, että useimmat ohjelmistotoimittajat ovat perillä tietoturvasta ja tietosuojasta. Kuitenkin joitakin tapauksia, joissa tietoturvaosaaminen oli heikkoa, tuli esiin. Yksi kunta kertoi sovelluksesta, jossa käyttöoikeudet olivat vuotaneet pahasti. Toisessa tapauksessa ohjelmistotoimittaja ei ymmärtänyt, että henkilötietojen säilyttäminenkin on niiden käsittelyä.
Vaikka nämä tapaukset ovat vanhoja ja harvinaisia, ne osoittavat, että parannettavaa on edelleen. Hyvin toteutetut hankintaprosessit ja kilpailutukset karsivat yleensä pois toimittajat, joilla ei ole riittävää tietoturvaosaamista. Tutkimuksen pienen otannan vuoksi on vaikea tehdä yleispäteviä johtopäätöksiä, mutta vaikuttaa siltä, että hankintaan päätyvien ohjelmistojen tietoturva on lakien, säädösten sekä hyvin toteutettujen hankintaprosessien ansiosta paremmalla tolalla kuin aiemmin. Voi olla olemassa yrityksiä ja ohjelmistokehittäjiä, joilla nämä asiat eivät ole hallinnassa, mutta nämä toimittajat karsiutuvat usein ohjelmistojen kilpailutusvaiheessa.
Ohjelmiston arkkitehtuurikuvaus tärkeä
Monet kunnat pitivät tärkeänä, että ohjelmistotoimittajat tarjoavat tarkan kuvauksen ohjelmiston arkkitehtuurista. Vaikka tämä ei ole lakisääteinen vaatimus, se on tärkeä osa ohjelmiston vaatimuksenmukaisuuden varmistamista. Myynti- ja markkinointihenkilöt keskittyvät usein ohjelmiston käyttöön ja ominaisuuksiin, mutta syvempi kuvaus siitä, mitä ohjelmisto tekee ”pinnan alla”, on kuntien kannalta oleellinen.
Yhteenveto
Ohjelmistotoimittajat, jotka pääsevät kuntien hankintavaiheeseen asti, ovat yleensä hyvin perillä tietoturvavaatimuksista. Kunnat toivoisivat kuitenkin enemmän tarkkuutta ohjelmistojen arkkitehtuurikuvauksissa. Tämä on asia, jonka ohjelmistokehittäjät voivat helposti korjata, mikä parantaa entisestään kuntien tietoturvaa.
Tietoturva on kriittinen osa kuntien toimintaa, ja sen merkitys kasvaa entisestään kyberuhkien lisääntyessä. Hyvin toteutetut hankintaprosessit ja selkeät vaatimukset varmistavat, että kunnat voivat luottaa käyttämiensä ohjelmistojen tietoturvaan- ja tietosuojaan.
Lähteet
Haldin, V. 2024. Kuntien tietoturvakäytäntöjen erot ohjelmistohankinnoissa – Theseus, Turun ammattikorkeakoulu. Opinnäytetyö. Viitattu 3.6.2024.
Artikkelikuvan tekijä Mohammad Rahmani sivustolla Unsplash