Tietoturva järjestöissä -kyselyn tulokset

Tietoturva järjestöissä -kysely toteutettiin syksyllä 2020 ja sen tulokset valmistuivat keväällä 2022. Koko opinnäytetyö on mahdollista lukea täältä. Voit myös hypätä tästä suoraan artikkelin alaosaan, josta pääset lukemaan pelkän yhteenvedon. 

Taustamuuttujat

Tietoturva järjestöissä -kyselyyn vastasi 88 hyvin erilaista järjestöä. Vastaajaorganisaatioista kaksi oli piirijärjestöjä, kaksi säätiöitä, neljä kattojärjestöä, 21 valtakunnallista järjestöä, 23 liittoa ja 36 paikallisjärjestöä.

Kyselyyn vastanneet organisaatiot olivat suurimmaksi osaksi melko pieniä. 75 prosentissa vastanneista organisaatioista oli 0–10 palkattua työntekijää. Ilman palkattua henkilöstöä toimivista kolmestatoista organisaatioista 12 oli paikallisjärjestöä ja yksi valtakunnallinen järjestö. Yksikään paikallisyhdistys ei työllistänyt yli 50 henkilöä. Muutoin organisaatioiden tyyppi ei vaikuttanut organisaation palkatun henkilöstön määrään.

72 prosentissa vastaajaorganisaatioista vuoden toimintabudjetti oli yli 101 000 euroa. Viisi kuudesta alle 5 000 euron budjetilla toimivista organisaatioista olivat paikallisyhdistyksiä. Muutoin vastaajaorganisaatioiden tyyppi ei vaikuttanut organisaation vuoden toimintabudjetin suuruuteen.

Sisäinen organisointi

Vastaajaorganisaatiot olivat keskimäärin suhteellisen pieniä, mistä pystyi jo olettamaan, ettei organisaatioissa ole juurikaan omaa IT-henkilöstöä. 55 organisaatiota vastasi, ettei heillä ole ollenkaan omaa IT-henkilöstöä, kahdessa oli 0,5 henkilöä, 24 organisaatiossa yksi henkilö, neljässä kaksi henkilöä, lopuissa 3 organisaatiossa oli 3–10. 

Jakauma sen suhteen, onko organisaatio ulkoistanut IT-palvelunsa kokonaan tai osittain, oli melko tasainen. 42 organisaatiota ei ollut ulkoistanut ja 46 organisaatiota oli ulkoistanut IT-palvelunsa kokonaan tai osittain. Organisaatioissa, jotka olivat ulkoistaneet IT-palvelunsa, vain 12 oli omaa palkattua IT-henkilöstöä (keskimäärin 0,26 henkilöä). Kun taas organisaatioissa, jotka eivät olleet ulkoistaneet IT-palveluitansa, 21:ssä oli omaa palkattua IT-henkilöstöä (keskimäärin 0,83 henkilöä).

 53 vastaajaorganisaatiota ilmoitti, että heillä on nimetty tietoturvasta vastaava henkilö. Kun taas 35 organisaatiossa ei ollut nimetty tietoturvasta vastaavaa henkilöä. 35 organisaatiota, joissa ei oltu nimetty tietoturvasta vastaavaa henkilöä, olivat pieniä organisaatioita. Kuudessa ei ollut ollenkaan palkattua henkilökuntaa, 19 organisaatiossa alle 5, seitsemässä organisaatiossa 5– 10 palkattua henkilöä ja vain kahdessa 10–25 palkattua henkilöä. 

49 organisaatiossa ei oltu tehty riskienarviointia tietoturvaan liittyen. Organisaatiot, joissa riskienarviointi oli tehty, oli keskimäärin enemmän palkattua henkilökuntaa kuin organisaatioilla, joissa riskienarviointia ei oltu tehty. Järjestön koon ja riskienarvioinnin välinen korrelaatiokerroin oli 0,41 eli kohtalainen

Reilu enemmistö eli 67 prosenttia organisaatioista ilmoitti, etteivät he ole laatineet tietoturvaohjeita henkilökunnalleen, hallitukselleen tai vapaaehtoisilleen. Organisaatioissa, joissa ohjeistus oli laadittu, oli enemmän henkilökuntaa kuin organisaatioissa, joissa ohjeistusta ei oltu laadittu.

Noin puolet vastaajaorganisaatioista, eli 43 organisaatiota, koulutti henkilökuntaansa tietoturvaan liittyen esimerkiksi osana perehdytysprosessia tai muita sisäisiä koulutuksia. 45 organisaatiota ilmoitti, etteivät he kouluttaneet henkilöstöään tietoturvaan liittyen. Järjestön sekä toimintabudjetti että koko korreloivat henkilöstön kouluttamiseen liittyen.

Laitteiden suojaaminen

Lähes kaikilla vastaajaorganisaatioilla, eli 82 organisaatiossa, oli tietokoneissaan käytössä virustorjunta. Ainoastaan kuusi organisaatiota ilmoitti, ettei heillä ole virustorjuntaa käytössään. 

81 vastaajaorganisaatiota 88 organisaatiosta vastasi, että heidän laitteensa ja järjestelmänsä päivittyvät säännöllisesti. Vain seitsemän organisaatiota vastasi, etteivät heidän laitteensa ja järjestelmänsä päivity säännöllisesti. Päivittymiseen ja virustorjuntaan liittyvissä kysymyksissä organisaation koko tai vuosibudjetti ei selittänyt vastauksia.

63 eli selkeä enemmistö vastaajaorganisaatioista ei ole salannut tietokoneidensa kiintolevyjä.  25 organisaatiota ilmoitti, että kiintolevyt on salattu. Organisaation koolla ja kiintolevyjen salaamisella oli kohtalainen yhteys.

Tietojen saatavuus

92 prosentilla vastaajaorganisaatioista oli pilvipalveluja käytössä, eli vain 8 prosenttia vastaajista eivät olleet siirtyneet käyttämään pilvipalveluja. Nämä ei-vastanneet olivat kaikki pieniä organisaatioita, joissa oli alle viisi työntekijää. 

Lähes kaikki kyselyyn vastanneet organisaatiot olivat siirtyneet käyttämään pilvipalveluja ja vain 17 vastasi, että heillä on käytössä omia paikallisia palvelimia. Näillä kaikilla oli kuitenkin myös pilvipalvelut käytössä omien palvelinten rinnalla, vuosibudjetti oli 95 prosentilla yli 100 000 euroa ja keskimäärin enemmän omaa IT-henkilökuntaa (1,4 henkilöä) kuin organisaatioissa, joissa ei ollut paikallisia palvelimia käytössä (0,3 henkilöä). 

Vastaajista 23 ilmoitti, ettei heillä ole VPN-yhteydelle tarvetta. 44 ilmoitti, ettei heillä ole VPN-yhteyttä ja 21 kertoi, että heillä on VPN-yhteys käytössä. Mielenkiintoista on, että kaikilla 17 organisaatiolla, joilla on omia palvelimia käytössä, ei ole käytössä VPN-yhteyttä. Ja esimerkiksi kolme organisaatiota, jotka kertovat heillä olevan omia paikallisia palvelimia, ilmoitti ettei heillä ole tarvetta VPN-yhteydelle. 

Tiedon luottamuksellisuus

76 organisaatiota vastasi, että he ovat määritelleet erilaisia käyttöoikeustasoja järjestelmiinsä ja vain 12 ilmoitti, etteivät näitä ole määritelty. Nämä kaikki 12 organisaatiota olivat pieniä organisaatioita, kahdeksassa oli vain alle viisi työntekijää, kolmessa 5–10 työntekijää ja yhdessä ei ollut lainkaan palkattua työntekijää. 

Kysymykseen siitä, onko organisaatiossa luotu selkeä ennalta määritelty elinkaari käyttäjätilien luomiseen, ylläpitoon ja poistamiseen, vastaukset jakautuivat lähes tasan. 47 organisaatiota kertoi, ettei heillä ole luotu elinkaarta ja 41 organisaatiota oli luonut elinkaaren käyttäjätileihin liittyen. 

Yllättävää oli, että vain 36 organisaatiolla oli käytössä kaksivaiheinen tunnistautuminen järjestelmiin kirjauduttaessa. Eli vain noin 40 prosentilla organisaatiosta oli käytössä kaksivaiheinen tunnistautuminen. Lähes kaikilla organisaatioilla oli kuitenkin esimerkiksi pilvipalvelut käytössä ja kaksivaiheinen tunnistautuminen löytyy nykyään kaikista tarjolla olevista palveluista.

Tiedon eheys

Kysymykseen ”Onko teillä käytössä keskitetty lokitietojen tallennus-, hallinta- ja käsittelyjärjestelmä järjestelmissänne?” vastaukset jakautuivat tasan puoliksi. 44 organisaatiota vastasi kyllä ja 44 organisaatiota vastasi ei. Vastausten ja budjetin tai organisaation koon välillä ei ollut korrelaatiota.

Hieman yllättävästi jopa 70 vastaajaorganisaatiota 80:stä ilmoittaa, että heillä tallentuu säännöllisesti varmuuskopiot tärkeistä tiedoista. Vain 18 organisaatiossa tätä ei tapahdu. Organisaatiot, joissa ei varmuuskopioita tallenneta säännöllisesti, ovat keskimäärin henkilöstöltään ja budjetiltaan pienempiä kuin ne, joissa varmuuskopiot tallentuvat.

Kuitenkaan kovin moni organisaatio ei ole testannut varmuuskopioiden palauttamista, mistä olisi hyötyä etenkin kriisitilanteissa. Vain 27 organisaatiota ilmoitti testanneensa palauttamista ja 61 organisaatiota ei ole testannut palauttamista. Organisaation vuosibudjetilla tai henkilöstön määrällä ei ollut yhteyttä varmuuskopioiden palauttamisen testaamiseen.

Yhteenveto

Järjestön koko, eli montako palkattua työntekijää järjestössä on, korreloi useamman kysymyksen kohdalla kuin järjestön toimintabudjetin suuruus. Mitä enemmän järjestöllä on henkilökuntaa, sitä todennäköisemmin tietoturva-asioista on huolehdittu paremmin. 

Järjestöt priorisoivat pienet resurssinsa järjestön toiminnan kannalta keskeisiin toimintoihin, eikä tietoturvaa välttämättä nähdä tällaisena. Pienissä järjestöissä ICT- ja tietoturva-asiat saattavat olla pieni osa esimerkiksi toimistosihteerin tai hallintojohtajan työtehtäviä. Tällöin esimerkiksi riskikartoitukset tietoturvaan liittyen saattavat jäädä tekemättä, koska ne eivät ole niin sanotusti pakollisia. Tietoturvaohjeiden laadintakin vaatii aikaa ja osaamista, jota läheskään kaikissa järjestöissä ei ole. 

Kyselyn tulosten mukaan järjestöissä on huolehdittu hyvin virustorjunnasta sekä laitteiden ja järjestelmien päivittymisestä. Nämä ovat helppoja ja edullisia tietoturvatoimia, jotka eivät juurikaan vaadi aktiivista työtä. Virustorjunta toimii, kun se on asennettu ja monet järjestelmät ja laitteet päivittyvät lähes automaattisesti. Tietokoneiden kiintolevyjen salaaminen on varmastikin tuntemattomampaa järjestöille ja saattaa vaatia osaamista, jota heiltä ei löydy. Tämän vuoksi vähemmistö vastaajaorganisaatioista oli salannut kiintolevyt. 

Lähes kaikki järjestöt olivat siirtyneet käyttämään pilvipalveluja. Microsoft Tech for Social Impact tarjoaa järjestöille ilmaiseksi Microsoft 365 Business Basicin ilmaiseksi 300 käyttäjälle ja Business Premiumin ilmaiseksi 10 käyttäjälle. Google Järjestöille -ohjelma puolestaan mahdollistaa Google Workspacen maksuttoman käytön järjestöille. Moni järjestö on tarttunut jompaankumpaan tarjoukseen. Molemmat pilvipalvelut sisältävät monia tietoturvatoimia, kuten monimenetelmäisen tunnistautumisen, mahdollisuuden määritellä erilaisia käyttöoikeustasoja, varmuuskopioita, sähköpostilinkkien ja liitteiden automaattista tunnistamista ja niin edelleen. 

Monessa järjestössä työskentelee palkatun henkilökunnan lisäksi vapaaehtoisia, jotka todennäköisesti käyttävät omia laitteitaan vapaaehtoistöissä. Tämä saattaa tuoda haasteita tietoturvaan liittyen. Esimerkiksi virustorjunta voi olla haastavaa saada vapaaehtoisten tietokoneille ja puhelimiin. Lähes kaikissa kyselyyn vastanneissa järjestöissä oli kuitenkin määritelty erilaisia käyttöoikeustasoja, joten vapaaehtoisilla tuskin on pääsyä arkaluontoisiin tai erityisen tärkeisiin tietoihin ja järjestelmiin. 

86 prosenttia vastaajaorganisaatioista oli määritellyt erilaisia käyttöoikeustasoja järjestelmiinsä. Todennäköisesti yleinen tietosuoja-asetus on saanut järjestöt pohtimaan sitä, kenellä on tarvetta millekin tiedolle. Yllättäen noin puolet vastaajista ei ollut kuitenkaan määritellyt elinkaarta käyttäjätileille. Jos organisaatiossa ei ole IT-henkilöstöä ja tunnuksia luo esimerkiksi toimistosihteeri, niin on mahdollista, ettei tunnusten sulkemiseen ole luotu prosessia. Monessa organisaatiossa on prosessi uuden työntekijän aloittamista varten, mutta yhtä tärkeää olisi luoda prosessi siihen, mitä tehdään, kun työntekijä tai vapaaehtoinen lopettaa. 

Vaikka lähes kaikilla järjestöillä oli käytössä pilvipalvelut, ei niiden mahdollistama kaksivaiheinen tai monimenetelmäinen tunnistautuminen ollut käytössä kuin 40 prosentissa vastaajaorganisaatioista. Kysely on toteutettu syksyllä 2020, joten tilanne on saattanut muuttua kuluneen puolentoista vuoden aikana. Järjestöillä on usein myös käytössä esimerkiksi taloushallinnon ohjelmia, työajanseurantaa ja muita hallinnollisiin töihin vaadittavia järjestelmiä. On toivottavaa, että näistä löytyisi kaksivaiheinen tai monimenetelmäinen tunnistautuminen. 

Yllättävää oli, että jopa puolet vastasi heillä olevan käytössä keskitetty lokitietojen tallennus-, hallinta- ja käsittelyjärjestelmä. Toisaalta järjestöjen käyttämistä Googlen että Microsoftin pilvipalveluista löytyy lokitietojen tallennusta ja monet taloushallinnon ohjelmat sekä jäsenrekisterit myös tallentavat lokia, ja esimerkiksi tietosuoja-asetus edellyttää henkilötietojen käsittelyn seuraamista ja valvontaa.

80 prosentilla organisaatioista tallentuu säännöllisesti varmuuskopiot tärkeistä tiedoista, mutta vain 30 prosenttia on testannut varmuuskopioiden palauttamista. Varmuuskopioiden palauttamisen onnistuminen on ensiarvioisen tärkeää, koska toimimattomista varmuuskopioista ei ole hyötyä kenellekään. Mikäli niiden palauttamiseen menee paljon aikaa ja vaivaa, on niiden palauttamisen järkevyyttä myös harkittava. 

Avoimista vastauksista nousi esiin järjestöjen tahtotila ottaa tietoturva paremmin huomioon toiminnassaan, mutta heidän nykyiset resurssinsa eivät tue tätä. Järjestö kaipaavat ulkopuolelta tukea tietoturva-asioihin, mutta toisaalta pelkäävät ostaa sitä tiedon puutteen vuoksi. Pelätään, että ostetaan liian suuria ja tarpeettomia palvelupaketteja, kun ei ymmärretä mikä on tarpeellista. 

Järjestöille olisi hyvä tarjota tietoturvaan keskittyvää koulutusta esimerkiksi Digi- ja väestötietoviraston Digituki-palvelun ja Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen yhteistyönä. Järjestöt voisivat myös kaivata esimerkiksi valmiita malleja riskikartoitusten tai tietoturvaohjeiden laadintaan, joita he voisivat käyttää apuna oman järjestönsä tietoturvapohdinnoissa.

 


 

X
{link_name} hoitaa TechSoup Suomen kelpoisuustarkastukset ja asiakaspalvelun. Vieraile {link_name}arrow