Kyberturvallisuus: Digiaikana kaikki vaikuttaa kaikkeen
Yhteiskuntamme toimivuus nojaa vahvasti kriittisen infrastruktuuriin varaan. Suomessa näitä kriittisiä sektoreita ovat energia, terveydenhuolto, finanssiala, vesihuolto, digi-infra ja digipalvelut sekä liikenne.
Jos näihin liittyvä tieto- ja kyberturvallisuus pettää, olemme erittäin suurissa vaikeuksissa.
Kyberuhkien toteutuminen voi aiheuttaa merkittäviä häiriöitä koko yhteiskunnassamme, koska kriittiset sektorit ovat riippuvaisia toisistaan. Yhden sektorin häiriöt vaikuttavat muiden sektoreiden toimintaan. Pahimmillaan dominoefekti kaataa kaikki.
Keskinäisriippuvuudet muodostavat monimutkaisen verkoston, ja keskinäisriippuvuuksien kautta suorat vaikutukset kertautuvat.
Esimerkiksi liikenteen ongelmat tarkoittavat, että ruoantoimituksessa ja avunsaannissa voi olla ongelmia. Toisaalta tieto- ja viestiliikenteen ongelmat voivat vaikuttaa niin pelastustoimeen, ruokahuoltoon kuin vesihuoltoonkin. Lisäksi vesihuollon ongelmat, varsinkin pitemmällä aikavälillä, vaikuttavat ruokahuoltoon.
Erityisen paljon keskinäisriippuvuuksia on sähköllä, sillä se toimii virtana kaikilla sektoreilla ja monissa yhteiskunnan tärkeissä toiminnoissa. Ilman sähköä tai energiaa ei teollisuus pysty toimimaan, muu elinkeinoelämä ja työnteko ovat vähintäänkin vaikeuksissa, eikä ihmisten tavallinen arkikaan suju normaaliin tapaan.
Energian tuotanto ja sen häiriötön jakelu tarvitsevat toimiakseen tietoliikenneyhteyksiä ja erilaisia ICT-järjestelmiä sekä ohjelmistoja.
Sama tilanne on laajasti myös muualla. Yhteiskuntamme on edennyt digitalisaatiossa niin pitkälle, että kriittisten yritysten sähköiset palvelut ja yhteydet ovat yritysten ydinliiketoimintaa. Tai ainakin niiden pitäisi olla.
Esimerkiksi finanssiala on erittäin digiriippuvaista. Osa meistä on saattanut kokea tilanteen, jossa ostokset ovat jääneet kaupan kassalle maksuliikenteen häiriöiden takia tai käteinen raha saamatta pankkiautomaatilla järjestelmähäiriöiden takia. Samanlaiset häiriöt ovat vaikuttaneet myös sähköisen reseptin toimivuuteen ja sitä kautta lääkkeiden saatavuuteen.
On hyvä ymmärtää, että yrityksillä on keskeinen rooli kriittisten sektoreiden tieto- ja kyberturvallisuuden kehittämisestä ja ylläpidosta.
Kriittisillä sektoreilla on myös suoraa kansantaloudellista vaikutusta. Toimialoilla työskentelee yhteensä yli 350 000 henkilöä ja ne muodostavat neljänneksen Suomen kansantaloudesta.
Yhteiskunnan kannalta kriittisillä toimialoilla tulee kyberuhkiin varautua entistä paremmin.
EU:n verkko- ja tietoturvadirektiivissä (ns. NIS-direktiivi) säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien ja toimijoiden tietoturvavelvollisuuksista sekä tietoturvahäiriöistä ilmoittamisesta. Suomessa velvoitteet säädetään kyseisten sektoreiden omassa lainsäädännössä ja niitä valvovat sektoreiden omat valvontaviranomaiset, jotka toimivat kiinteässä yhteistyössä keskenään.
Osa varautumista onkin riittävä regulaatio ja riittävät resurssit, joilla voidaan parantaa yhteiskuntamme kykyä sietää häiriöitä.
Realisoituessaan kyberuhka on kallista ja hankalaa. Kaikkien muiden tappioiden ohella se saattaa maksaa yritykselle koko sen maineen.
Rauli Paananen
Kirjoittaja on kyberturvallisuusjohtaja liikenne- ja viestintäministeriössä.