Kyber vaatii uutta ajattelua

12.6.2013
Ilkka Kananen

Tammikuun lopulla Suomikin sai vihdoin – monivaiheisen ja osin kivulloisenkin – valmistelun tuloksena oman kansallisen kyberturvallisuusstrategian. Sitä oli valmisteltu laajapohjaisessa työryhmässä keväästä 2011 lähtien. Sen jalkautus on alkamassa julkishallinnon ja elinkeinoelämän piirissä.

Monelle, joka seurasi sitä koskevaa uutisointia tai mediassa käytyä keskustelua, asia näyttäytyi uutena ja ainutkertaisena asiana. Kysymys ei kuitenkaan ole aivan uudesta aluevaltauksesta, vaan pitkälle samansisältöistä työtä on eri nimillä tehty maassamme jo vuosia. Sitä on tehty huoltovarmuusorganisaation tietoyhteiskuntasektorin piirissä 2000-luvulla ja sitä ennen PTS:n (puolustustaloudellinen suunnittelukunta) atk-toimikunnassa ja tietojärjestelmäjaostossa 1990-luvulla. Silloin sitä kutsuttiin atk-turvallisuudeksi, tietoturvallisuudeksi, tietojärjestelmäturvallisuudeksi, tietoverkkoturvallisuudeksi, ICT-turvallisuudeksi jne. Muita samaan genreen kuuluneita käsitteitä ja aktiviteetteja ovat olleet ELSO (elektroninen sodankäynti), informaatiosodankäynti ja aivan viimeksi kansainvälisillä foorumeilla on puhuttu kriittisen tietoinfrastruktuurin suojaamisesta (critical information infrastructure protection, CIIP).

Ei nimi miestä pahenna; miksei tätä aluetta myös voida kutsua lainasanalla kyberturvallisuus (cyber security), varsinkin kun käsite kattaa aikaisempaa laajemman kokonaisuuden. Itse olen eri yhteyksissä tuonut esille, että sopivampi ja jotenkin ymmärrettävämpi termi olisi saattanut olla digitaalinen turvallisuus, joka muodostaa vastinparin fyysiselle turvallisuudelle. Yhteiskunnan ja talouden toiminnothan ovat ikään kuin haljenneet kahteen rinnakkaiseen ja lomittaiseen kokonaisuuteen: fyysisiin prosesseihin ja digitaalisiin prosesseihin. Ilman nykyaikaisen yhteiskunnan läpikotaisin tapahtunutta digitalisoitumista ei tätä uutta uhkamaisemaakaan olisi olemassa.

Terminologiaan ei kuitenkaan kannata jumittua. Olennaista on nyt se, että maahan on luotu kokonaisvaltainen, systemaattinen ohjausasiakirja strategisine linjauksineen, joka hyödyntää niitä vahvuuksia joita meillä on entuudestaan olemassa: yhteistyöverkostoja, tietoturvaosaamista ja hyvää turvallisuuskulttuuria. Näiden varaan voidaan rakentaa toimintaympäristö, joka ei vain kykene suojautumaan kyberuhkilta, vaan joka voi myös tarjota mahdollisuuksia uusille taloudellisille aktiviteeteille. Tavoite olla muutaman vuoden päästä edelläkävijä koko maailmassa on kyllä jossakin määrin kunnianhimoinen. Siihen ei riitä pelkkä tahtotila, vaan se vaatii myös resursseja. Vähempikin olisi riittänyt, ei aina tarvitse olla maailman paras, varsinkin kun tiedetään miten paljon esimerkiksi Yhdysvallat, Kiina ja Venäjäkin kyberturvallisuuteen panostavat.

Jotakin kättä pitempää meilläkin tarvitaan. Kyberturvallisuuskeskus on määrä perustaa Viestintävirastoon vahvistamalla ja kasvattamalla CERT-toiminnan kautta syntynyttä osaamiskeskittymää.  Itse CERT-palveluja elinkeinoelämälle, jota Huoltovarmuuskeskus on vuodesta 2007 lähtien rahoittanut, ei uuden keskuksen perustaminen saa kuitenkaan vaarantaa. Keskus kerää tietoa ja välittää tilannekuvaa eri toimijoille. Sen lisäksi tarvitaan myös analyysivoimaa, syvällistä haavoittuvuustutkimusta ja testaustoimintaa. On noussut esille ajatus erityisestä kansallisesta kyberlaboratoriosta.  Edellytyksiä tälle on syntynyt silläkin tavalla, että suomalaiset tietoturva-alan yritykset ovat vastikään perustaneet oman tietoturvallisuusklusterin (Finnish Information Security Cluster, FISC). Tämä osaamisklusteri voi merkittävällä tavalla tukea ja edistää mahdollisen laboratorion toimintaa.

Pöhinä kyberstrategian ympärillä on ollut hyväksi asialle myös sikäli, että tietoisuus ja ymmärrys virtuaalimaailman uusista uhkista ja haasteista on levinnyt laajalle yhteiskuntaan. On tajuttu, että kysymys ei ole vain tietoturvaihmisten teknisiin temppuihin (virustorjuntaan, palomuureihin yms.) liittyvistä asioista, vaan liiketoimintaprosesseihin ja koko yhteiskunnan elintärkeisiin toimintoihin vaikuttavasta turvallisuudesta. Kyberuhkista puhuminen on tavoittanut yritysten ja organisaatioiden johdon ja nostanut kyberturvallisuuden strategisen johtamisen agendalle.

Huoltovarmuuskeskus haluaa olla mukana rakentamassa kyberturvallisuutta. Strategiassa onkin linjattu, että huoltovarmuusorganisaatio tukee selvityksin, ohjeistuksin ja koulutuksella keskeisten yritysten ja organisaatioiden suojautumista kyberuhkia ja niiden aiheuttamia häiriöitä vastaan. Uusi ICT-pooli on saanut tehtäväkseen levittää kyberin ilosanomaa läpi koko pooliorganisaation eri alojen huoltovarmuuskriittisille toimijoille. Se on vaativa tehtävä. Jokainen huoltovarmuusorganisaation toimielin on tietenkin vastuussa oman alansa varautumisesta myös kyberuhkia vastaan. Omalta osaltaan tätä työtä tukee ja linjaa myös uusittu valtioneuvoston päätös huoltovarmuuden tavoitteista, jonka on määrä tulla ulos ensi syksynä.

 
 

Jaa artikkeli