Kyberturvallisuuden tarkastaminen Suomen kuntien sisäisessä tarkastuksessa
Vornanen, Emmi (2021)
2021
Tilintarkastuksen ja arvioinnin maisteriohjelma - Master's Programme in Auditing and Evaluation
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2021-09-13
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202108256791
https://urn.fi/URN:NBN:fi:tuni-202108256791
Tiivistelmä
Kyberturvallisuus on ajankohtainen aihe, joka liittyy nykypäivänä organisaatioiden kaikkeen toimintaan. Kyberturvallisuus onkin kasvanut nopeasti globaaliksi hallinto-, riski- ja valvontakysymykseksi. Kuntien kyberturvallisuus on noussut viime vuosina otsikoihin kuntiin kohdistuvien kyberhyökkäysten vuoksi. Kuntien vastatessa monista yhteiskunnan elintärkeistä palveluista kyberturvallisuuden merkitys korostuu nykyisenlaisessa digiyhteiskunnassa. Kyberuhkia eli kyberriskejä voidaan ehkäistä samalla tavalla, kun muitakin riskejä eli toimivan riskienhallinnan ja sisäisen valvonnan avulla. Sisäisen valvonnan ja riskienhallinnan asianmukaisuudesta ja riittävyydestä voidaan varmistua sisäisen tarkastuksen avulla.
Kuntien sisäisen tarkastuksen yksiköiden toteuttamista kyberturvallisuuteen liittyvistä tarkastuksista ei löydy aikaisempaa tutkimustietoa ja näin ollen olisi tärkeää tietää, miten kuntien sisäisen tarkastuksen yksiköissä suhtaudutaan kyberturvallisuuteen ja kuinka paljon teema on esillä niiden toiminnassa. Tämän tutkimuksen tarkoituksena on selvittä, miten kyberturvallisuutta tarkastetaan kuntien sisäisessä tarkastuksessa ja millaisia näkökulmia sisäisillä tarkastajilla on aiheeseen liittyen. Tutkimuksen kohteeksi valittiin Suomen kunnat ja tutkimuskohde rajattiin kuuteen yli 50 000 asukkaan kuntaan. Tutkimuksen teoriapohja on muodostettu tutkimusten pääkäsitteiden eli kyberturvallisuuden ja sisäisen tarkastuksen käsitteiden kautta. Lisäksi teoriapohja muodostuu aikaisemmasta tutkimuskirjallisuudesta.
Tutkimus toteutettiin laadullisena tutkimuksena. Aineisto kerättiin haastattelemalla kuuden kunnan sisäisiä tarkastajia puolistrukturoidun teemahaastattelun keinoin. Teemahaastatteluissa käytettiin kartoittavan asiantuntijahaastattelun muotoa, sillä se sopii vähän tutkitun ilmiön tutkimiseen. Kerätty aineisto analysoitiin aineistolähtöisen sisällönanalyysin keinoin. Aineiston analyysissä muodostettuja teemoja yhdisteltiin tulosten ja johtopäätösten saamiseksi tutkielman teoriapohjan käsitteisiin.
Tutkimuksen tuloksena voidaan todeta, että kuntien sisäisen tarkastuksen yksiköt ovat tunnistaneet kyberturvallisuuden tärkeyden, mutta suurimmassa osassa tutkimukseen osallistuneista kunnista ei kyberturvallisuutta ollut tarkastettu. Sisäisen tarkastus painottuu enemmän tietoturvallisuuteen. Tuloksena voidaan todeta myös, että kyberturvallisuuden merkitys kasvaa tulevaisuudessa ja sisäiset tarkastajat näkevät, että heidän toiminnallaan voi olla jonkinlainen rooli kuntien kyberturvallisuuden varmistamisessa. Tämä vaatii kuitenkin koulutusta ja lisää tietoa kyberturvallisuudesta, jotta sisäiset tarkastajat ovat kykeneviä hahmottamaan oman kunnan kybertoimintaympäristön ja tunnistamaan sitä uhkaavia kyberriskejä. Lisäksi tarkastamista edesauttaisi yhteistyön tekeminen eri tahojen kanssa. Näin kuntien sisäisen tarkastuksen yksiköt pystyisivät tuottamaan kunnan johdolle lisäarvoa. Tulokset ovat yhteneviä aikaisemman tutkimuskirjallisuuden kanssa ja tuovat esille ajankohtaista tietoa Suomen kuntien sisäisen tarkastuksen yksiköiden toiminnasta.
Kuntien sisäisen tarkastuksen yksiköiden toteuttamista kyberturvallisuuteen liittyvistä tarkastuksista ei löydy aikaisempaa tutkimustietoa ja näin ollen olisi tärkeää tietää, miten kuntien sisäisen tarkastuksen yksiköissä suhtaudutaan kyberturvallisuuteen ja kuinka paljon teema on esillä niiden toiminnassa. Tämän tutkimuksen tarkoituksena on selvittä, miten kyberturvallisuutta tarkastetaan kuntien sisäisessä tarkastuksessa ja millaisia näkökulmia sisäisillä tarkastajilla on aiheeseen liittyen. Tutkimuksen kohteeksi valittiin Suomen kunnat ja tutkimuskohde rajattiin kuuteen yli 50 000 asukkaan kuntaan. Tutkimuksen teoriapohja on muodostettu tutkimusten pääkäsitteiden eli kyberturvallisuuden ja sisäisen tarkastuksen käsitteiden kautta. Lisäksi teoriapohja muodostuu aikaisemmasta tutkimuskirjallisuudesta.
Tutkimus toteutettiin laadullisena tutkimuksena. Aineisto kerättiin haastattelemalla kuuden kunnan sisäisiä tarkastajia puolistrukturoidun teemahaastattelun keinoin. Teemahaastatteluissa käytettiin kartoittavan asiantuntijahaastattelun muotoa, sillä se sopii vähän tutkitun ilmiön tutkimiseen. Kerätty aineisto analysoitiin aineistolähtöisen sisällönanalyysin keinoin. Aineiston analyysissä muodostettuja teemoja yhdisteltiin tulosten ja johtopäätösten saamiseksi tutkielman teoriapohjan käsitteisiin.
Tutkimuksen tuloksena voidaan todeta, että kuntien sisäisen tarkastuksen yksiköt ovat tunnistaneet kyberturvallisuuden tärkeyden, mutta suurimmassa osassa tutkimukseen osallistuneista kunnista ei kyberturvallisuutta ollut tarkastettu. Sisäisen tarkastus painottuu enemmän tietoturvallisuuteen. Tuloksena voidaan todeta myös, että kyberturvallisuuden merkitys kasvaa tulevaisuudessa ja sisäiset tarkastajat näkevät, että heidän toiminnallaan voi olla jonkinlainen rooli kuntien kyberturvallisuuden varmistamisessa. Tämä vaatii kuitenkin koulutusta ja lisää tietoa kyberturvallisuudesta, jotta sisäiset tarkastajat ovat kykeneviä hahmottamaan oman kunnan kybertoimintaympäristön ja tunnistamaan sitä uhkaavia kyberriskejä. Lisäksi tarkastamista edesauttaisi yhteistyön tekeminen eri tahojen kanssa. Näin kuntien sisäisen tarkastuksen yksiköt pystyisivät tuottamaan kunnan johdolle lisäarvoa. Tulokset ovat yhteneviä aikaisemman tutkimuskirjallisuuden kanssa ja tuovat esille ajankohtaista tietoa Suomen kuntien sisäisen tarkastuksen yksiköiden toiminnasta.