Kunnat hallinnoivat valtavaa määrää paikkatietoa – karttoja, osoitteita, verkostoja, rakennuksia ja rakenteita. Tämä tieto on usein julkista ja käytettävissä monissa palveluissa. Mutta samalla kun dataa avataan, pitää myös kysyä: onko kaikki tieto tarkoitettu kaikille?
Paikkatietoturvallisuus onkin noussut kunnissa keskeiseksi teemaksi. Kyse ei ole pelkästään siitä, mitä näkyy kartalla tai rekistereissä – vaan siitä, miten tietoja voi yhdistää ja mitä tiedosta voi päätellä, kun eri lähteistä saatavaa dataa liitetään yhteen. Avoimuuden ja turvallisuuden tasapaino ei aina ole itsestäänselvyys.
Riski syntyy huomaamatta, kun eri lähteistä saatua tietoa yhdistellään
Digitalisaation myötä kunnilla on entistä paremmat valmiudet tarjota tietoa avoimesti – ja samalla entistä suurempi vastuu siitä, mitä jaetaan. Avoin data, 3D-kaupunkimallit ja interaktiiviset karttapalvelut näyttävät helposti myös sen, mitä ei olisi tarkoitus näyttää. Useissa kunnissa verkossa on nähtävissä esimerkiksi kaukolämpöverkkoja, vedenottamoita, muuntamoita, kohteiden yksilöiviä tunnuksia tai jopa sairaalarakennusten sisätiloja.
Yksinään nämä eivät välttämättä muodosta turvallisuusuhkaa, mutta kun päälle lisätään päätöksenteon liitteet, opinnäytetyöt ja vaikkapa mediassa jaetut rakennushankkeiden tiedot, syntyy kokonaisuus, joka voi paljastaa kriittisiä toimintoja ulkopuolisille. Tekoälyn ja kehittyneen analytiikan aikakaudella pirstaleisetkin tiedot muodostavat helposti paljon kertovan kokonaisuuden.
”Tekoälyllä on uskomattoman helppo yhdistellä palasina esillä olevaa aineistoa. Me emme ole ehkä ymmärtäneet, miten paljon siitä voidaan päätellä.”
– Paikkatietosuunnittelija Petri Kapanen, Varkauden kaupunki
Tietoturva alkaa tunnistamisesta
Ensimmäinen askel on tiedostaa, mitä dataa kunnalla ylipäätään on hallussaan. Paikkatietoturvallisuudessa puhutaan usein kriittisestä infrastruktuurista ja kriittisestä tiedosta:
- Kriittinen infra kattaa fyysiset rakenteet ja toiminnot, kuten energiaverkot, vesihuollon, logistiikan, tietoliikenteen ja pelastustoimen kannalta keskeiset kohteet.
- Kriittinen tieto taas voi tarkoittaa esimerkiksi rakennuksen käyttötarkoitusta, pääsyreittejä, teknisiä järjestelmiä tai sijaintitietoa, joka muihin lähteisiin yhdistettynä paljastaa liikaa.
Olennaista on, että kaikkea ei tarvitse julkaista, vaikka se olisi teknisesti mahdollista – eikä edes silloin, kun joku sitä pyytää. Julkisuuslain 24 § antaa kunnille keinot rajata tietoa tilanteissa, joissa turvallisuus on uhattuna.
”Kaikkea, mitä voisi julkaista, ei tarvitse julkaista. Kun tietoa ei ole julkaistu, sitä ei myöskään voi hyödyntää vahingollisesti.”
– Paikkatietosuunnittelija Petri Kapanen, Varkauden kaupunki
Suojaaminen ei vaadi raskasta prosessia
Hyvä uutinen on, että paikkatietoturvallisuus ei edellytä raskasta ohjelmistohanketta tai organisaatiomuutosta. Usein kyse on omista julkaisuvalinnoista, tiedostavasta sisällöntuotannosta sekä kunnassa linjatuista ja jalkautetuista käytännöistä.
Nämä neljä käytännön periaatetta muodostavat hyvän perustan:
1. Maanalaisia tiloja ei julkaista.
2. Kohteet suojataan, vaikka ne näkyisivät maastossa.
3. Ominaisuustietoja jaetaan vain tarpeeseen.
4. Avoin verkkosisältö arvioidaan aina myös tietoturvan näkökulmasta.
Lisäksi kunnissa olisi hyvä ottaa tavaksi tarkastaa, millaista metatietoa esimerkiksi valokuviin tai päätösasiakirjoihin tallentuu. Usein esimerkiksi kuvan sijaintitiedot tai dokumentin liitteet sisältävät enemmän tietoa kuin oli tarkoitus.
Tiedon hallinta on osa riskienhallintaa
On myös erittäin tärkeää ymmärtää, että paikkatietoturvallisuus ei ole vain IT-kysymys – se on osa kunnan riskienhallintaa ja vastuullista tiedonhallintaa. Kyse on siitä, että kunnan sisällä tunnistetaan riskit ennen kuin ne pääsevät konkretisoitmaan. Kun paikkatieto on hallussa, koko kunta on paremmin suojassa – ilman että avoimuudesta tarvitsee luopua.
Erinomainen muistisääntö on: Paikkatieto on yksi kuntien arvokkaimmista resursseista. Sen arvo säilyy kuitenkin vain, jos sitä käytetään vastuullisesti.
Tämä artikkeli perustuu Paikkatietosuunnittelija Petri Kapasen 9.4.2025 Trimblen Kuntapäivillä pitämään esitykseen.
