Kyberpuolustuslinjoilla

Suomi on saanut ensimmäisen kyberturvallisuustrategiansa – tai ainakin strategiapaperin. Asiaa on valmisteltu perinpohjaisesti, laajapohjaisesti ja muutenkin kuten tärkeää asiaa sopii. Olisihan tuo voinut tulla aiemmin, mutta hyvä näinkin.

Asian tärkeyttä tuskin kukaan kiistää. Punainen lokakuu ja palvelunestohyökkäykset tulivat kuin tilauksesta: parempaa ennakkomarkkinointia ei edes rahalla saa. Yhteiskunta, jossa elämme, on tietoyhteiskunta. Tietoyhteiskunnan turvallisuus on tiedon turvaamista.

Kyberturvallisuusstrategian laatiminen oli hallitusohjelman linjauksissa ja nyt itse dokumentti on luettavissa.

Kyse on tietyllä tavalla varsin tavanomaisesta strategiapaperista. Sieltä löytyvät visio, periaatteet ja joukko toimenpide-ehdotuksia. Strategiaa on määrä toimenpanna ja ylläpitää prosessilla, joka on jokseenkin samanlainen kuin missä tahansa muussa strategiassa.

Visio on tavoitteellinen: vuonna 2016 maamme on maailman johtavia kyberturvallisuudessa. Kerran olimme rauhanturvaamisen suurvalta, pian ehkä kyberturvallisuuden vastaava. Kyberturvallisuusperiaatteet on helppo allekirjoittaa, toimenpide-ehdotuksista (joita on kymmenen kappaletta) voidaan keskustella enemmän.

Toimenpideohjelmasta riippuu paljon

Strategia ulottuu vuoteen 2016, johon mennessä toimenpiteet on tarkoitus implementoida. Strategiaa oli tarkoitus täydentää taustamuistiolla, jota ei sitten julkaistukaan samaan aikaan vaan hiukan myöhemmin, ohessa linkki muistioon www.yhteiskunnanturvallisuus.fi [PDF]. Selitykset olivat sekavia; todellinen syy lienee, että mahdollisuus kybervastaiskuun ja -tiedusteluun oli vielä liian vaikea pala purtavaksi. Asiasta virinnyt keskustelu kertoo, että ihan turhanpäiväisestä jutusta ei voi olla kyse.

Seuraavaksi odotamme toimenpideohjelmaa. Sen olisi syytä valmistua pikapuoliin, jos valmista on määrä olla jo 2016.

Julkishallinnon strategiapapereita arvostellaan yleensä vaikeaselkoisuudesta ja konkreettisten toimien vähyydestä. Kyberturvallisuusstrategia pärjää paremmin kuin moni muu. Toimenpiteissä on mukana muutama vain kevyesti sisältöä omaava kohta. Yhteistyön ja tietoisuuden lisääminen ovat toki tärkeitä, mutta niitä voisi edistää enemmän konkreettisten toimenpiteiden kuin sanojen voimalla.

Kyberkeskusta ja alan professuuri

Kyberturvallisuusstrategiasta löytyy paljon hyvää, kuten myös sen taustamuistiosta. Uutta ”kilpailevaa” kyberturvallisuusvirastoa ei perusteta ainakaan puolustusministeriöön. CERT-FI on ansioitunut, ja se saa lisää rahaa ja henkilöitä Kybertuvallisuuskeskuksen perustamiseen. Miljoonaluokan satsaus, lupaili asunto- ja viestintäministeri Krista Kiuru strategian julkistustilaisuudessa. Yliopistot saavat ainakin yhden kyberturvallisuusprofessuurin ja satakunta koulutettavaa on toinen hyvä tavoite.

Poliisille luvataan riittävästi osaavia ihmisiä ja lisää toimivaltaa. Molemmille on käyttöä. Puolustusvoimat varautuu nyt myös kyberpuolustamaan maatamme, ja saa valtuuden tiedusteluun, mutta kyky aktiivisiin vastatoimiin on verhottu epämääräisiin ilmauksiin.

Kyberturvallisuus on täysin erilainen kuin perinteisen turvallisuuden maailma, jossa on paljon selkeämpää, kenen tontille mikäkin asia kuuluu. Puolustusvoimat selvittää toimivaltuutensa ja lupaa harjoitella kyberpuolustusta. Hyvä niin, kyberreserviä siis muodostetaan.

Selkeä kansallinen vahvuus

Kyberturvallisuudesta saadaan myös kansallinen vahvuus kilpailtaessa maailmanmarkkinoilla. Turvallisessa toimintaympäristössä on yritysten helppo toimia, ja tietoturvaosaamisessa olemme kansainvälisestikin katsoen hyviä. Mieltä lämmittää, että asia on noteerattu tässä yhteydessä.

Kansainvälisen yhteistyön merkitystä on vaikea korostaa liikaa. Uhat ja vastatoimet ovat kansainvälisiä. Tässä kohtaa Nato- ja EU-puolustusyhteistyön voi nostaa esille ilman, että liittoumattomuusperinteen vaalijat lyövät Natolla päähän. EU valmistelee omaa kyberpuolustuslinjaustaan, jonka valmistelussa Suomen on syytä olla aktiivinen.

Lainsäädäntötyön osalta strategia on hiukan hapuileva. Toisaalta painotetaan viranomaisten vastuuta hoitaa asiat omalla toimialalla, toisaalta kartoitetaan uusien säädösten tarve. Tietoturvasta on muotoutunut oikeushyvä, miksei kyberturvallisuudesta myös?

Tilannekuvan luominen on kyberhyökkäyksen sattuessa tärkeää, mutta myös paljon vaikeampaa kuin tavanomaisissa turvallisuusuhissa. Tätä tullaan kehittämään. Hyvä niin, mutta oleellista on rakentaa joustavuutta: hyökkäys voi olla toteutettu tavoilla, joista emme tiedä vielä mitään.

Nixu on ollut aktiivisesti mukana kyberpuolustuksen ensimmäisen strategiapaperin laadinnassa. Osallistuimme puolustusministeriön paneelikeskusteluun ja kommentoimme, millainen strategian tulisi olla. Osana tätä prosessia asiasta käytiin ensin keskustelu Nixun intrassa: kaikki halukkaat saattoivat sanoa sanottavansa. Tämän pohjalta laadittiin esityksemme siitä, mitä tulee ottaa huomioon, kun Suomi kyberpuolustautuu.

Miten kommenttimme menivät läpi? Hyvin. Kahdeksasta suuremmasta asiakokonaisuudesta, joita pidimme tärkeinä, peräti seitsemän löytyy lopullisesta strategiasta helposti. Kahdeksaskin mainittiin julkistustilaisuudessa.

Ei hassummin, mutta onhan aihe meille läheinen. Ja jos yhtään meistä on kiinni, Suomi ei ole vuonna 2016 yksi parhaista kyberturvallisuudessa – se on paras.