– Yksi parhaita tietoturvatekoja on pitää työelämä erillään muusta elämästä. Älä kanna omia työvälineitä privaattiroolista työelämään. Älä myöskään puhu työkaverin kanssa työasioista puhelimessa julkisella paikalla, sanoo vanhempi asiantuntija Anna-Liisa Ojala Jyväskylän ammattikorkeakoulusta.
Työturvallisuus | 2.12.2025Oppilaitosten kyberturvan heikoin ja vahvin lenkki on ihminen
Teksti: Camilla Ukkonen
Kuva: Petri Blomqvist
Suomalaiset oppilaitokset ovat varautuneet kyberkriiseihin vaihtelevasti. Ongelmissa työntekijät kaipaavat apua kollegoiltaan tai omasta organisaatiostaan.
Kun puhutaan kyberturvallisuuden uhkasta, ensimmäisenä mieleen tulee organisaation ulkopuolinen taho, digihuijari tai vihamielinen valtio. Mutta ensisijainen uhka tietoturvalle ovat omat virheemme ja toimintamme. Esimerkiksi käytämme samoja – ja usein liian helposti selvitettäviä – salasanoja sekä omissa että työpaikan koneissa. Kissa123, admin ja 123456 ovat yleisimpien suomalaisten salasanojen kärkeä.
– Jos joku pääsee käsiksi salasanaan työntekijän arjessa, voi tämä samalla päästä varsin laajasti myös työpaikan järjestelmiin, sanoo kyberturvaa tutkinut vanhempi asiantuntija Anna-Liisa Ojala Jyväskylän ammattikorkeakoulusta.
Vaihtelua valmiuksissa
Kyberuhat tarkoittavat tilanteita, jotka voivat vaarantaa digitaalisten järjestelmien, tietojen tai niitä käyttävien ihmisten turvallisuuden. Todeksi tullessaan uhka voi paitsi häiritä järjestelmien toimintaa mutta myös vaarantaa tiedon luottamuksellisuutta, oikeellisuutta tai saatavuutta.
Jyväskylän ammattikorkeakoulun tutkimuksessa selvitettiin, miten ammatillisten oppilaitosten henkilöstö ymmärtää ja toteuttaa kyberturvallisuutta työssään. Suomalaisten oppilaitosten valmius kohdata kyberkriisejä -hankkeessa etsittiin myös vastauksia siihen, miten valmiuksia voidaan vahvistaa. Työsuojelurahaston tukeman tutkimuksen aineisto kerättiin kolmesta ammatillisesta oppilaitoksesta keväällä 2024.
– Pääsääntöisesti oppilaitokset olivat hyvin valmistuneita. Oli paljon ymmärrystä ja osaamista aiheesta. Mutta keskusteluissa huomasimme digitaalisissa taidoissa paljon vaihtelua, Ojala kertoo.
Apua heti toiselta ihmiseltä
Digitaalisten järjestelmien kehitys on nopeaa, joten myös riskit muuttuvat nopeasti. Siksi myös oppilaitoksissa pitäisi jatkuvasti päivittää ja kasvattaa kyberturvallisuuden osaamista.
Ojalan vetämässä tutkimuksessa nousi esiin epävirallisen oppimisen arvo. Toisin sanoen oppilaitosten työntekijät kaipaavat kollegoidensa apua oman osaamisensa kasvattamiseen. Toista ihmistä kaivataan myös arjen jatkuvaan poikkeamien tulkintaan, lähitukeen.
– Kun kysyimme, millä tavalla ihmiset mieluiten ilmoittaisivat turvallisuuteen liittyvistä epäilyistään tai poikkeamista, niin yleisin vastaus oli: soittamalla puhelimella.
Digitaalisten järjestelmien kehitys on nopeaa, joten myös riskit muuttuvat nopeasti.
Lähitukea oli kuitenkin tutkimuksen mukaan monessa oppilaitoksessa rajatusti tarjolla. Esimerkiksi tekninen tuki oli usein paikalla vain virallisen työajan aikana, vaikka ihmiset työskentelevät paljon sen ulkopuolella.
Siksi Ojala vinkkaa kansallisesta kyberturvallisuuskeskuksesta, jonka monipuolista toimintaa tunnettiin oppilaitoksissa vajavaisesti. Keskuksesta nimittäin löytyy apua opettajille ja tukihenkilöstölle ympäri vuorokauden, jos joku tilanne oikeasti huolestuttaa tai vaikuttaa vakavalta.
Kriisit tulevat kalliiksi
Kyberkriiseihin varautuminen on oppilaitoksen toiminnan ja sen luotettavuuden, mutta myös työturvallisuuden kannalta kriittinen asia. Oppilaitokselle keskeisiin tietoihin, prosesseihin tai välineistöihin kohdistuvien turvallisuuspoikkeaminen nopea selvittäminen ja haittojen minimoiminen on tärkeää rahallisestikin.
– Poikkeamatilanteiden aiheuttamat kustannukset nousevat helposti suuriksi, varsinkin jos tietojärjestelmiä pitää palauttaa tai ulkoista asiantuntija-apua tarvitaan.
Kyberkriiseihin varautuminen on oppilaitoksen toiminnan ja sen luotettavuuden, mutta myös työturvallisuuden kannalta kriittinen asia.
Lisäksi suojaamisessa on huomattava oppilaitoksen lakisääteiset velvoitteet. Esimerkiksi oppilaiden ja henkilökunnan henkilötietojen suojaaminen ei ole valinnainen riskiarvioon perustuva toimenpide, vaan pakollinen lakivelvoite.
Lailliset velvoitteet voivat olla välillisiäkin. Ojala nostaa esille EU:n NIS2- säännöksen, joka koskee monia kriittisiä toimialueita, kuten julkishallintoa, energialaitoksia tai postipalveluita.
– Ammatilliset oppilaitokset eivät sinällään kuulu säännöksen piiriin, mutta ne kouluttavat ihmisiä kriittisille aloille. Siksi aloille opiskelevien ja heidän opettajansa pitäisi osata toimia säännöksen mukaisesti.
Pakko motivoi
Miten oppilaitoksissa sitten pitäisi varautua tietoturvan uhkiin?
– Ensinnäkin on tunnistettava realistiset uhkat ja niihin liittyvät riskit. Niin että jokainen tunnistaa omiin työtehtäviinsä liittyvät uhkat. Sen jälkeen pitää miettiä toimintamallit, joilla riskejä hallitaan ja uhkiin vastataan.
Ojala painottaa aihepiirin yleisen ymmärryksen kasvattamista. Tarvitaan jatkuvaa ohjaamista, tuen tarjoamista sekä erityisesti koulutuksia.
Koulutuksien aiheiksi voi ottaa vaikkapa Ojalan esiin nostamia käytännön kyber- ja tietoturvallisuuden teemoja:
Miten tunnistetaan huijausviestit?
Mitä pitää tehdä, jos oppilastietojärjestelmä ei toimi normaalisti?
Mitä pitää tehdä, jos salasana tai opiskelijoiden tai henkilöstön henkilötietoja on päätynyt vääriin käsiin?
Mitä pitää tehdä, jos opiskelijan vanhempi kyselee opiskelijan tietoja, joiden saamiseen hänellä ei ole oikeutta?
Miten pitää huolehtia sidosryhmien tieto- ja kyberturvallisuudesta?
Miten toimitaan tiedonjaon kanssa, kun toimitaan rajapinnoilla esimerkiksi hyvinvointialueiden kanssa?
– Tutkimuksessa kiinnostava huomio oli, että jonkinlainen pakko toimii usein työntekijälle parhaana motivaattorina osallistua koulutuksiin. Samaan aikaan on tärkeää, että turvallisuuden kulttuuria ylläpidetään arjessa jatkuvasti eri tavoin, Ojala sanoo.
Mitä mieltä olit artikkelista?
Vastauksia 4 kpl
