Kyberturvallisuutta kotimaisilla salaustuotteilla

Kyberturvallisuudella pyritään parantamaan digitaalisen ja verkottuneen yhteiskunnan turvallisuutta. Kyberturvallisuusstrategian kehittämisohjelma etenee ja tähän mennessä alustavia keskusteluita kehittämisohjelman sisällöstä on käyty 26 eri organisaation kanssa ja niihin on osallistunut lähes 50 henkilöä. 

Erityisesti elinkeinoelämä on nostanut esiin sen, että Suomen tulisi tavoitella kansainvälisiä tietoturvahyväksyntöjä myöntävän maan asemaa. Käytännössä tämä vaatisi niin sanotun AQUA-statuksen saavuttamista (AQUA = Appropriately Qualified Authority).

Asema edistäisi sitä, että Suomen verkossa voitaisiin käyttää enemmän kotimaisia salauslaitteita, emmekä olisi riippuvaisia jossain toisessa maassa valmistetusta tuotteesta. Kansalaiset ja yritykset voisivat luottaa siihen, että tiedot suojataan kotimaisella tuotteella.

Kaikissa EU-jäsenvaltioissa ei vielä ole kansallista kyvykkyyttä suojata salaiseksi tai luottamukselliseksi luokiteltua EU-tietoa. Käytännössä jonkin jäsenmaan salaustuote voidaan hyväksyä korkealle luokitellun EU-tiedon suojaamiseen vain, jos se saa AQUA-statuksen omaavan maan ns. toisen vaiheen hyväksynnän.

Mitkä nämä AQUA-maat sitten ovat? Toistaiseksi maita on viisi: Ranska, Saksa, Italia, Alankomaat ja viimeisimpänä hyväksynnän saavuttanut Ruotsi. Nämä viisi maata hallitsevat myös EU:n sisäisiä salaustuotemarkkinoita.

Mikäli Suomi haluaisi saavuttaa AQUA-maan aseman, tulisi meillä olla riittävästi salaukseen koulutettuja syväosaajia sekä elinkeinoelämän että viranomaisten tarpeisiin ja testauslaboratoriotoimintaa salaustuotteiden testaukseen.

Osaajat ja testaajat ovat perusedellytys suomalaiselle tuotteelle, joka voitaisiin viedä toisen vaiheen hyväksyntään jollekin AQUA-maalle. Toisen vaiheen hyväksyntä osoittaisi Suomen kyvykkyyden ja sitä kautta aukeisi myös polku AQUA-maaksi hakeutumiselle.

Jo nyt EU:n sisällä käytävät salaustuotemarkkinat ovat satojen miljoonien eurojen arvoiset ja digitalisaation yhä kehittyessä tullee niiden arvo olemaan miljardiluokkaa. AQUA-maaksi hakeutumisella olisi myös työllisyysvaikutuksia. Varovaisesti arvioiden kyseessä olisi tuhannet uudet työpaikat.

Pysyäkseen kilpailussa mukana AQUA-maan tulee kyetä kehittämään ja tuottamaan uusia salaustuotteita jatkuvasti. Näin kyettäisiin myös ylläpitämään ja kehittämään kotimaista osaamista kaupallisten yritysten ja viranomaisten keskuudessa, alalla jatkuvasti tapahtuvan tietojen ja tietotaidon vaihtamisen kautta.

AQUA-statuksen saavuttaminen edesauttaisi oleellisesti korkealaatuisia suomalaisia tietoturvatuotteita kehittävien yritysten pääsyä kansainvälisille markkinoille ja lisäisi Suomen kansainvälistä luottamusta sekä olisi lähtölaukaus osittaiselle kyberomavaraisuudelle.

Kriteerit AQUA-statuksen saavuttamiselle ovat vaativat, ja kyseessä olisi 5-10 vuoden ja todennäköisesti kymmenien miljoonien eurojen hanke. Hyödyt olisivat kuitenkin kiistattomat kilpailukyvyn, työllisyysvaikutusten, osittaisen kyberomavaraisuuden ja varautumisen kannalta. Hanke vaatisi merkittävää resursointia sekä elinkeinoelämältä että Suomen valtiolta.

Toivoisinkin, että Suomi lähtisi tätä tavoittelemaan ja että tämä asetettaisiin yhteiseksi tavoitteeksemme kyberturvallisuusstrategian kehittämisohjelmassa.

Rauli Paananen

Kirjoittaja on kyberturvallisuusjohtaja liikenne- ja viestintäministeriössä