Kyberturvallisuus ei ole erillinen saareke

Julkaisuajankohta 12.11.2020 11.11
Kolumni
Laura Vilkkonen ja Rauli Paananen (Kuvat: Tomi Parkkonen ja Suvi-Tuuli Kankaanpää)

Kyberturvallisuus on digitaalisen yhteiskunnan kulmakivi, ilman sitä ei synny luottamusta kansalaisille eikä digitaalinen yhteiskunta rakennu ja kehity.

Kyberturvallisuuden perustyö tehdään joka päivä arjessa, oli sitten kyse yrityksen tai organisaation johdon vastuusta, tietojärjestelmäratkaisuista tai meidän jokaisen omasta toiminnasta.

Vastaamon tietomurto on horjuttanut luottamusta kyberturvallisuuteen.

Viranomaistoimintaa ohjaa aina laki

Suomi on oikeusvaltio, ja meillä viranomaistoiminta perustuu siten aina lakiin. Jokaisella viranomaisella on omat toimivaltuutensa ja kriisitilanteissa ne sovitetaan yhteen siten kuin laissa todetaan.

Esimerkiksi tietoturvaloukkaukset ovat valtaosassa tapauksia samalla myös rikoksia. Poliisilla on lain mukaiset toimivaltuudet johtaa rikosten tutkintaa ja muun muassa viestintävastuu rikoksen tutkinnasta on keskitetty tutkinnanjohtajaksi nimetylle henkilölle.

Kriisitilanteissa lainsäädännöstämme löytyy aina vastaus siihen, kuka viranomainen on tilanteessa johtovastuussa. Kyberloukkaukset eivät ole oikeusjärjestelmämme tai viranomaistoimintamme ulkopuolella.

Kyberturvallisuuden tulisi olla sisäänrakennettuna kaikilla yhteiskunnan kriittisillä toimialoilla. Se on jo erottamaton asia esimerkiksi finanssimarkkinoita, energiamarkkinoita ja muita yhteiskunnan kriittisiä toimialoja. Kyberturvallisuutta ei voi käytännössä tarkastella erillisenä ilmiönä millään toimialalla.

Nyky-yhteiskunta on edennyt liian pitkälle siinä kehityskulussa, että kyberturvallisuus olisi erotettavissa yhteiskunnan muusta toiminnasta erilliseksi kokonaisuudeksi, jota johtaa jokin ulkopuolinen kybertsaari.

Oikeusvaltiossa tällaisella yhdellä taholla tulisi olla esimerkiksi poliisin, finanssivalvonnan, energiaviraston ja Traficomin toimivaltuudet sekä osaaminen. Jokainen asian äärelle pysähtyvä ymmärtää tilanteen haastavuuden.

Viranomaisten yhteistoiminta välttämätöntä

Kyberturvallisuuden vaarantuessa vastuullisen viranomaisen pitää ymmärtää paitsi tietoverkkojen toimintaa, myös loukkauksen kohteena olevan toimialan toimintaperiaatteita, markkinatilannetta, toimialan riippuvuussuhteita sekä kaikkia sen ominaispiirteitä.

Viranomaisella tulee olla hyvä tilannekuva siitä, mitä seuraamuksia kyberturvallisuuden vaarantumisella on loukkauksen kohteena olevaan toimialaan, kuten mitä tapahtuu, jos sairaalassa laitteet lakkaavat toimimasta kyberhyökkäyksen takia. Ketkä potilaat ovat eniten vaarassa ja mitä toimenpiteitä tämän vaaran vähentämiseksi on tehtävä ja missä järjestyksessä.

Tällainen osaaminen saavutetaan parhaiten viranomaisten yhteistoiminnalla, jossa kaikki tuovat oman osaamisensa saman työpöydän ympärille. Ja viranomaisten yhteistyö on se asia, jossa me suomalaiset olemme perinteisesti olleet verrattomasti muita maita parempia.

Kyberturvallisuutta vaarantavat tilanteet ovat poikkeuksellisen monimutkaisia, eikä kukaan yksittäinen henkilö tai viranomainen voi olla sellaisessa tilanteessa kaikkivoipa. Toivomus yhdestä, kaiken pelastavasta ulkopuolisesta tahosta on ymmärrettävä, mutta liian yksinkertainen ratkaisu siihen monimutkaiseen, keskinäisriippuvaan maailmaamme, jossa elämme.

Kyberosaamiseen panostettava koko yhteiskunnassa

Yksinkertaisten ratkaisujen sijaan Vastaamon tapaus on osoittanut, että tarvitsemme valtavasti lisää panostuksia kyberosaamiseen koko yhteiskunnassa. Tätä työtä tehdään kyberjohtajan johdolla valmistuvassa kehittämisohjelmassa laajassa yhteistyössä elinkeinoelämän ja viranomaisten välillä. Kehittämisohjelma tulee osaltaan antamaan vastauksia siihen, mihin osa-alueisiin yhteiskunnassamme tulisi panostaa lyhyellä ja pitkällä aikavälillä.

Yhteistyön ja jaetun osaamisen varaan on nyt koottu myös liikenne- ja viestintäministeriön vetämä työryhmä, joka selvittää keinoja kriittisten toimialojen tietosuojan ja tietoturvan parantamiseksi.

Tällä viikolla aloittaneen työryhmän tehtävänä on selvittää, onko kaikilla kriittisillä toimialoilla toimivilla viranomaisilla laissa riittävät toimivaltuudet edellyttää tietoturvalta tiettyä tasoa ja myös tarvittavat toimivaltuudet ja resurssit valvoa sitä, että tämä taso varmuudella täyttyy. Pohdittavana on myös se, tulisiko valvonnan olla jollain tavalla keskitettyä.

Kyberturvallisuus on yhteiskunnalle sama asia kuin suojaverkko trapetsitaiteilijalle.

Laura Vilkkonen ja Rauli Paananen

Laura Vilkkonen on liikenne- ja viestintäministeriön tieto-osaston osastopäällikkö. Rauli Paananen on kyberturvallisuusjohtaja.

LVM:n tiedote 9.11.2020: Työryhmä selvittämään keinoja yhteiskunnan kriittisten toimialojen tietoturvan ja tietosuojan parantamiseksi

2020 Blogit Blogit 2020