Ajankohtaista
Miehet katsovat tietokoneen ruutua. Kaikilla on päällään huomiovaatteet, yhdellä miehellä on kädessään kännykkä, jolla hän osoittaa ruutua.
Ympäristö ja vastuullisuus

Jätehuollon tietoturva paranee – Mustankorkealla on valmistauduttu NIS2-direktiiviin ennakoivasti

EU:n kyberturvallisuusdirektiivi asettaa jätehuoltoyhtiöille uusia velvollisuuksia. Mustankorkealla henkilötietojen käsittely ja muu tietoturva ovat valmiiksi niin hyvällä tasolla, että NIS2 muuttaa lähinnä raportointia.

NIS2 on Euroopan unionin uusi kyberturvallisuusdirektiivi, jonka tavoitteena on suojata yhteiskunnalle kriittisen tärkeitä toimintoja, kuten jätehuoltoa, vesilaitoksia ja sähköverkkoa. Direktiivi astui voimaan 8.4.2025, mutta Mustankorkealla se ei aiheuttanut viime hetken kiirettä.

– Olemme kehittäneet riskienhallinta- ja raportointitapojamme tiiviimmin jo parisen vuotta, ihan siitä asti, kun kuulimme direktiivin olevan tulossa, kertoo Mustankorkean ICT-palvelupäällikkö Jani Ranta.

Direktiivi lisää raportointivelvollisuuksia

Kyberturvallisuudella suojataan digitaalista tietoa, tietoverkkoja ja tietokoneiden kaltaisia laitteita. Rannan mukaan kyberturvallisuus on erityisen tärkeää kunnalliselle jätehuoltoyhtiölle.

– Käsittelemme tuhansien asukkaiden henkilötietoja, joten meillä on aina ollut velvollisuus huolehtia niiden tietoturvasta. NIS2 onkin muuttanut meillä lähinnä hallinnollisia prosesseja, kuten dokumentointia ja raportointia.

Rannan mielestä NIS2:n suurimpia hyötyjä on se, että digitaalisia riskejä pyritään tunnistamaan ja hallitsemaan yhteiskunnassa aikaisempaa näkyvämmin. Säännöllinen tietoturvaraportointi koskee jo monia toimijoita, myös koko Mustankorkean toimitusketjua.

– Saamme aikaisempaa enemmän tietoa esimerkiksi käyttämiemme pilvipalvelujen tietoturvasta.

”NIS2 on muuttanut lähinnä hallinnollisia prosesseja, kuten dokumentointia ja raportointia.”

Jani Ranta, ICT-palvelupäällikkö
MIes katsoo kameraan ja siristää silmiään. Päällään hänellä on valkoinen t-paita ja taustalla näkyy vihreää kasvillisuutta.

Digisanasto tutuksi!

Tietosuoja = jokaisen perusoikeus, jolla turvataan henkilötietojen asiallinen käsittely.

Tietoturva = tietosuojan toteuttamista käytännössä.

Kyberturva = tietoturvaa laajempi käsite, joka sisältää keinot, joilla yhteiskuntaa suojataan digitaaliseen toimintaympäristöön kohdistuvilta uhkilta.

IT = tietotekniikka/informaatioteknologia (Information Technology) kattaa erilaiset tietojärjestelmät.

ICT = tieto- ja viestintäteknologia (Information and Communication Technology) on tietotekniikkaa laajempi termi ja sisältää myös ajatuksen tiedon välittämisestä.

OT = operatiivinen teknologia (Operational Technology) kattaa teollisiin prosesseihin ja laitteisiin liittyvät automaatio- ja ohjausjärjestelmät.

Minkälaisia kyberuhkia jäteyhtiöön kohdistuu?

Kyberuhkat ovat mediassa yhä enemmän esillä, ja otsikoissa vilahtelevat tietomurrot, etäkäytön riskit ja sähköposteissa vaanivat kiristyshaittaohjelmat. Rannan mukaan tietoturva ei ole vain suojautumista tietokoneviruksilta, vaan sitä voi verrata tuotantoprosessiin, jossa on monia osa-alueita.

– Siksi olemme käyneet läpi tietoturvaan liittyviä prosessejamme ja toimintatapojamme sekä kartoittaneet niihin liittyviä riskejä.

Jätehuoltoyhtiön toiminta voidaan jakaa tietoturvan näkökulmasta kahteen osaan. Tietoturvalla suojataan ensinnäkin IT- ja ICT-tekniikkaa, jota käsitellään ”toimiston puolella”.

– Kyse on esimerkiksi asiakkaiden ja työntekijöiden käyttäjätunnuksien ja henkilötietojen hallinnasta sekä identiteettien suojaamisesta, Ranta selittää. ICT-tekniikan riskeihin liittyvät esimerkiksi tietojenkalastelusähköpostit ja luvattomat kirjautumiset sähköisiin palveluihin.

Jäteyhtiön tietoturvan pitää ulottua myös tuotannon puolelle toimintatekniikkaan (OT), kuten jätekeskuksen laiteinfraan ja sitä ohjaavaan automaatioon. Se voi vaarantua väärän toiminnan takia.

– Tietoturvassa onkin aina muistettava, että ihmiset ovat ihmisiä. Tietoturvan heikoin lenkki on käyttäjätunnuksiin liittyvä häirintä, koska ihmiset voivat tehdä virheitä tahtomattaankin. Koneita ja laitteita on siinä mielessä helpompi suojata, Ranta toteaa.

”Tietoturvan heikoin lenkki on käyttäjätunnuksiin liittyvä häirintä. Ihmiset voivat tehdä virheitä tahtomattaankin.”

Jani Ranta, ICT-päällikkö
Nainen on tietokoneen äärellä ja katsoo jotain ruudulta. Nuori mies seisoo takana ja katsoo myös tietokoneen ruutua.
Mustankorkean asiakaspalvelussa käsitellään henkilötietoja. Niiden käsittelyssä kiinnitetään erityistä huomiota tietoturvaan, jotta asukkaiden henkilötiedot pysyvät suojattuina.

Asiakkaiden tiedot on vahvasti suojattu

Henkilötietojen suojausta on kehitetty Mustankorkealla erityisellä huolella jo GDPR-tietosuoja-asetuksen voimaantulosta asti.

– Kaksivaiheinen tunnistautuminen on vaadittu henkilökuntamme käyttämissä järjestelmissä jo niin kauan, että ihmiset ovat ehtineet tottua siihen, Ranta toteaa. Kaksivaiheista tunnistautumista kannattaa kaikkien suosia yleisesti kaikissa sähköisissä palveluissa, joissa se vain on mahdollista.

Henkilökuntaa koulutetaan tietoturva-asioissa säännöllisesti, ja tietoturvaan liittyviä laitepäivityksiä on mahdollisuuksien mukaan automatisoitu. Myös erilaisiin häiriö- ja poikkeustilanteisiin pyritään varautumaan ennalta selkeillä suunnitelmilla ja toimintaohjeilla.

Käytännön tekoja kyberturvan parantamiseksi

  • Microsoft Intune-laitehallinta, esim. automaattiset päivitykset
  • Mustankorkean resursseihin pääsee vain hallituilla laitteilla
  • Henkilöstön koulutus
  • Kaksivaiheinen tunnistautuminen
  • Toimintaohjeet erilaisten häiriötilanteiden varalle
  • Toimivat riskienhallinta- ja raportointikäytännöt.

NIS2 vaatii kyberturvan jatkuvaa parantamista

NIS2 vaatii jäteyhtiöiltä jatkuvaa parantamista kyberturvaan liittyvissä käytännöissä. Rannan mukaan ala muuttuukin niin nopeasti, että tilannetta on tarkkailtava heltymättä.

– Ei riitä, että tarkistamme tuoreimman tilanteen kerran viikossa. Seurannan pitää olla päivittäistä.

Digitaalistuvaa maailmaa seurataan yhdessä muiden jäteyhtiöiden kanssa. Mustankorkean ICT-asiantuntijat ovat mukana jätelaitosten tietohallintoryhmässä, joka kokoontuu säännöllisesti keskustelemaan ajankohtaisista asioista. Uusista tuulista otetaan koppia nopeasti.

– Kehitys on jokapäiväistä ja jatkuvaa, ja on lähes mahdoton kuvitella, mitä vuosien päässä mahtaa olla ICT-päällikön työpöydällä, Ranta pohtii.

Jatkuvan kehittymisen hengessä asukkaiden sähköisten palvelujen saatavuus paranee vauhdilla. Vuoden aikana on otettu käyttöön useita uusia tietoturvallisia verkkopalveluja.

– Palvelujen runsastuessa asukkaista saattaa tuntua, että katkoja ja häiriöitä on aikaisempaa enemmän. Häiriöitä on kuitenkin kutakin palvelua kohti koko ajan vähemmän, Ranta korostaa.

Monia asioita voi hoitaa turvallisesti verkossa – tutustu Mustankorkean uuteen OmaJätehuolto-palveluun!

Vuosikertomus Ympäristö ja vastuullisuus

Lue lisää aiheesta

Kuvassa Verdis Oy:n toimitusjohtaja Jukka Koivisto ja Mustankorkea Oy:n toimitusjohtaja Esko Martikainen kättelevät.

Verdis Oy on ostanut MKO Ympäristöpalvelut Oy:n osakekannan

Verdis Oy on ostanut 28.5.2025 päivätyllä sopimuksella MKO Ympäristöpalvelut Oy:n koko osakekannan. Myyjänä on Mustankorkea Oy, jonka täysin…

Kolme miestä ja kolme naista on palaverissa neuvotteluhuoneessa. Taustalla näkyy erilaisia pylpyröitä ja kuvaajia.

Esihenkilöiden valmennuksella kehitetään päivittäisjohtamista

Hyvä tiedonkulku, selkeät työnteon prosessit ja työn näkyväksi tekeminen ovat asioita, joita työntekijät arvostavat. Kun töissä tiedetään mitä…