10 askelta oppilaitoksen kyberturvallisuuteen

Millaisilla keinoilla oppilaitoksessa edistetään kyberturvallisuutta? 

Piirrosmaiset ihmishahmot työskentelevät yhdessä ympärillään kyberturvallisuussymboleita.

10 askelta oppilaitosten parempaan kyberturvallisuuteen

Oppilaitosten täytyy varautua ja vaalia kyberturvallisuutta toiminnassaan. Kyberhyökkäysten ja turvallisuusuhkien estämisen lisäksi varautumiseen kuuluvat muiden muassa keskeisten prosessien ja järjestelmien tunnistaminen, poikkeamiin reagoiminen ja niistä palautuminen sekä tietoturvallisuudesta huolehtiminen erityisesti työelämäyhteistyössä ja sidosryhmien tietoja käsiteltäessä. Taitojen ja tietojen ajan tasalla pitäminen ja tilanteiden harjoittelu ovat tärkeä pohja oppilaitoksen kyberturvallisuudelle.  

1. Johda ja toimi suunnitelmallisesti
  • Oppilaitoksen johdon sitouduttava kyberturvallisuuteen ja varmistettava riittävät resurssit, selkeät prosessit ja koulutus henkilöstölle.
  • Turvaa kriittiset tehtävät niin, ettei vain yksi henkilö ole tietoinen tai vastuussa - tämä vähentää riskejä.
  • Huolehdi, että myös ilta-, viikonloppu- ja loma-aikoina on selkeä suunnitelma poikkeamien havaitsemiseen ja hoitamiseen. 
     

2. Suojaa kriittiset tiedot ja järjestelmät 
  • Tunnista oppilaitoksen ja kunkin työroolin tärkeimmät järjestelmät ja käytä niitä vain ohjeiden mukaan.
  • Tunnista oppilaitoksen ja kunkin työroolin tärkeimmät digitaaliset ominaisuudet ja suojaa niitä.
  • Hallinnoi pääkäyttäjyyksiä selkeästi ja turvallisesti. Varmista, että pääkäyttäjät on selkeästi nimetty, heidän käyttöoikeutensa ovat ajantasaiset ja heillä on selkeät ohjeet turvalliseen toimintaan.

3. Tiedosta keskeiset toiminnot ja suojaa niitä 
  • Tunnista oppilaitoksen ydintehtävät ja prosessit (yleensä opetus sekä suoritusten ja tutkintojen myöntäminen) ja suojaa niitä poikkeamilta ja vaikuttamisyrityksiltä.
  • Ammatillisissa oppilaitoksissa voi olla myös aitoa asiakasdataa, esimerkiksi autokorjaamoissa tai kampaamoissa, jolloin myös näitä oppimisratkaisuja tulee suojata erityisellä tarkkuudella.
  • Opiskelijat on ohjeistettava huolellisesti harjoitteluissaan, jotta he osaavat suojata myös harjoitteluyrityksen tai -organisaation toimintoja ja tietoja.
  • Huomioi sidosryhmien kanssa tehtävä työ, kuten hyvinvointialueiden kanssa toimiminen, ja varmista, että tieto- ja kyberturvallisuus toteutuu yhteistyön kaikissa vaiheissa. 
     

4. Käsittele henkilötietoja huolellisesti 
  • Käsittele henkilötietoja ohjeiden ja säädösten mukaisesti kaikkialla (esim. GDPR).
  • Älä luovuta tietoja ulkopuolisille ilman oikeutettua syytä. Varmista ennen kuin toimit. 

5. Käytä vahvoja ja eri salasanoja 
  • Käytä eri salasanaa jokaiseen järjestelmään, vähintään 12 merkkiä - mieluiten 16.
  • Hyödynnä salasananhallintaohjelmaa.
  • Ota käyttöön monivaiheinen tunnistautuminen (MFA) aina, kun mahdollista, mutta muista, että se ei korvaa vahvan salasanan tarvetta. 

6. Käytä omia laitteita ja sovelluksia harkiten 
  • Noudata oppilaitoksen ohjeita, jos käytät omia laitteita tai sovelluksia työasioihin.
  • Varmista, että laite on suojattu ajantasaisilla päivityksillä ja salasanoilla. 

7. Pidä taitosi ajan tasalla 
  • Osallistu tietoturvakoulutuksiin ja seuraa oppilaitoksen ohjeita.
  • Kysy IT-tuesta neuvoa, jos olet epävarma. 

8. Kiinnitä erityishuomiota kriittisiin toimialoihin 

Oppilaitos voi olla NIS2-direktiivin tarkoittama kolmas osapuoli kriittisen toimialan toimitusketjussa esimerkiksi työelämäyhteistyön, harjoittelun tai opinnäytetöiden kautta. Tällöin on pystyttävä osoittamaan turvalliset käytännöt. 

9. Tunnista keskeisimmät uhat, kuten huijausviestit 
  • Älä klikkaa epäilyttäviä linkkejä ai avaa tuntemattomia liitteitä.
  • Älä jaa tunnuksia tai salasanoja muille.
  • Älä käytä työlaitteita ja työsähköpostia työtehtävien ulkopuolella.
  • Vältä kiirettä toimiessasi askareissa, joissa on tieto- tai kyberturvallisuusriski.
  • Jos epäröit, kysy neuvoa IT-tuesta. 
Lisätietoa digihuijauksista - CYBERDI-tietopankki

10. Varaudu poikkeamiin

  • Harjoittele etukäteen, miten toimitaan kyberturvallisuuspoikkeamassa.
  • Nopea reagointi, selkeät ilmoituskanavat ja roolit voivat estää vahinkojen laajenemisen.
  • Tarvittaessa Traficomin Kyberturvallisuuskeskus tukee ja ohjaa eteenpäin poikkeamahavainnoissa ja niiden selvittelyssä. 
Kyberturvallisuuskeskus - Liikenne- ja viestintävirasto Traficom

Oppilaitoksen kyberturvallisuuteen voi vaikuttaa jokainen työntekijä omilla teoillaan ja valinnoillaan

Kyberturvallisuus ei edellytä, että jokainen koulun työntekijä osaa lukea lokitiedostoja tai arvioida tietoliikenteen salausprotokollia. On kuitenkin tärkeää, että kyberturvallisuus ei jää IT-vastaavan tai yksittäisen turvallisuusvastaavan harteille, vaan että se jaetaan kaikkien vastuuksi kullekin roolille sopivalla tavalla. 

Mitkä ovat ne keskeiset asiat, joihin jokaisen oppilaitoksen työntekijän tulisi perehtyä turvatakseen organisaation kyberturvallisuutta? Lue Anna-Liisa Ojalan, Tuomo Sipolan ja Karo Saharisen kirjoittama artikkeli aiheesta Jamk Arenassa: 

Miten jokainen oppilaitoksen työntekijä voi vahvistaa kyberturvallisuutta? 

Suomalaisten oppilaitosten valmius kohdata kyberkriisejä

Tutkimuksessa tarkasteltiin ammatillisten oppilaitosten kyberturvariskien luonnetta ja työyhteisöjen valmiutta toimia kyberkriiseissä ja luodaan alalle harjoittelu- ja toimintasuosituksia.