Hajauta osaaminen ja hallitse kyberturvallisuus

Translation: the post is about a cybersecurity lecture held at Aalto University on January 13th. The lecture was in Finnish and thus the post is also in Finnish language.

Puolustusministeriön kansliapäällikkö ja Turvallisuuskomitean puheenjohtaja Arto Räty veti tiistaina 13. tammikuuta Otaniemessä luentosalillisen opiskelijoita ja muita aiheesta kiinnostuneita kuuntelemaan luentoa aiheesta ”Kyberturvallisuus osana kokonaisturvallisuutta ja Suomen kyberturvallisuusstrategia”.

Elämme keskinäisen riippuvuuden maailmassa. Globaali kybermaailma ei käytännössä tunnusta valtioiden rajoja. Teknologiakehitys muuttaa uhkia ja siinä on pysyttävä mukana. Analogisessa maailmassa, jossa kaikki on periaatteessa mahdollista nähdä ja kuulla, yksittäinen sotilas ei käytännössä voinut aiheuttaa merkittävää uhkaa. Kyberturvallisuutta tarvitaan nykytilanteessa, jossa analoginen maailma on piiloutunut digitaaliseen maailmaan.

Tietoturvayhtiö Mc Afee on avioinut kyberrikollisuuden tuottavaan 400 miljardin dollarin tappiot vuositasolla. Kybervakoilu kasvaa ja hallinto on tunnistettu tärkeimmäksi kohteeksi. Hyökkäysten motivaationa voi olla esimerkiksi rahoituspäätöksiin vaikuttaminen.

Suomen mallissa kokonaisturvallisuus pyritään varmistamaan yhdessä tekemisen mallilla, jossa esimerkiksi poliisi ei osta lennokkeja ilmavalvontaan vaan pyytää tarvittaessa puolustusministeriöltä virka-apua. Kyberturvallisuuden visiona on elintärkeiden toimintojen turvaaminen kaikissa tilanteissa. Sosiaali- ja terveysministeriön rooli on keskeinen toimivan terveydenhuoltoverkon takaamiseksi.

Suomen malli, jossa innovaatiot syntyvät ja elävät eri yksiköissä on nähty toimivaksi myös muissa maissa. Haasteitakin tietenkin on: raha, organisaatio, vastuunjako ja koordinaatio. Räty korosti luonnollaan lyhyen ja ytimekkään strategian tärkeyttä ja strategian toimeenpano-ohjelman oleellisuutta. Strategia on ymmärrettävä jatkuvana prosessina.

Kyberturvallisuuden ratkaisujen kehityksessä on huomioitava lainsäädäntö, perusoikeudet ja viestinnän luottamuksellisuus. Suomessa ei ole tiedustelulainsäädäntöä mutta viranomaiset tuntevat vastuunsa. Kohdennettua tietoliikennetiedustelua ja tietojärjestelmätiedustelua voidaan tarpeen vaatiessa suorittaa mutta massatallennusta ja -valvontaa ei ole käytössä. Jatkossa tullaan käymään keskustelua siitä, miten halukkaita yritykset ovat valmiita luovuttamaan tietoja yhteiseen käyttöön. Estääkö pelko heikkouksien tai mahdollisten uusien liiketoimintamahdollisuuksien paljastumisesta tiedon avoimen jakamisen yhteisen turvallisuuden parantamiseksi?

Olinko ainoa, joka oli olettanut luennolle tullessaan kuulevansa salausalgoritmeistä, palvelunestohyökkäyksistä ja tietoliikenneprotokolista? Tekniikan sijaan Räty tarjosi kuulijoilleen kompaktin oppitunnin strategian rakentamisesta ja yhteistoiminnasta. Strategia on hyvä kun se on lyhyt, kuten hän itse sanoi. Suomen mallissa poikkeuksellista on vapaaehtoisuus ja halu tehdä asioita yhteistyössä. Tilaisuudessa eniten yllätti se, että odotukseni luennon sisällöstä eivät toteutuneet lainkaan mutta tajusin silti olevani huomattavan vakuuttunut siitä, että kansliapäälliköllä on kyberturva-asiat tukevassa otteessa.

Yhdessä

Aalto Yliopiston Tietoliikenne- ja tietoverkkotekniikan laitoksen järjestämä Kyberturvallisuus – mistä on kysymys? -luentosarja jatkuu vielä neljällä luennolla. Luentoja on mahdollisuus seurata myös etänä.