Hallitusohjelma tunnusti kyberturvallisuuden merkityksen

Uusi hallitusohjelma on vihdoin valmis. Kyberturvallisuuskin nousi osaksi turvallisuus- ja puolustuspolitiikkaa, jossa todetaan seuraavaa:

Keskinäisriippuvaisessa maailmassa uudet turvallisuushaasteet, kuten ilmastonmuutos, hallitsemattomat muuttoliikkeet, köyhyys ja eriarvoisuus, epidemiat, kansainvälinen rikollisuus, joukkotuhoaseiden leviäminen, terrorismi ja tietoverkkoihin kohdistuvat hyökkäykset, vaativat laajan turvallisuuskäsityksen mukaista johdonmukaista varautumista.

Tietoverkkojen toimintavarmuus on välttämätöntä modernin tietoyhteiskunnan toiminnalle. Hallitus laatii kansallista tietoverkkoturvallisuutta koskevan kyberstrategian ja osallistuu aktiivisesti alan kansainväliseen yhteistyöhön. Tavoitteena on, että Suomi on yksi johtavista maista kyberturvallisuuden kehittämisessä.

On erittäin myönteistä, että "kyberuhka" on tunnistettu yhtenä merkittävänä turvallisuushaasteena ja että kansallinen kyberturvallisuusstrategia on nostettu esille! Myös kansainvälisen yhteistyön korostaminen on myönteistä, sillä kansainvälinen yhteistyö on kyberturvallisuuden perusedellytys; verkko toimintaympäristönä ei tunnista valtion rajoja. Yhteistoiminnasta ja tiedon vaihdosta on sovittava ennalta riittävän toimintakyvyn saavuttamiseksi. Toimintakyvyllä tarkoitan tässä muun muassa CERT-yhteistyötä sekä valvonta- ja reagointikykyä jne. Lisäksi on tarpeen saavuttaa yhteismitallisuutta politiikka- (policy) ja lainsäädäntötasolla. Töitä saralla kyllä riittää, sillä sellaisistakin perusasioista, kuten kyberkäsitteen määrittelystä ja laajuudesta, ei ole toistaiseksi yhteistä näkemystä.

Kyberturvallisuuden kehittäminen vaatii kuitenkin resursseja. Nähtäväksi jää, miten se kiristyvässä säästöohjelmassa tulee toteutumaan. Viestintäviraston "Verkot- ja turvallisuus"-tulosalueen johtaja Timo Lehtimäki on usein osuvasti todennut, että hän osaa kertoa, mitä nollalla eurolla saa. Se pätee tässäkin asiassa. Toivottavasti tavoitteeseen siis halutaan panostaa, sillä kustannukset tietoverkkohyökkäykseltä toipumisesta saattavat nousta korkeiksi, ellei varautumisesta ole asianmukaisesti huolehdittu.

Todettakoon kuitenkin, että maininta hallitusohjelmassa on kyberturvallisuuden kehittämisen kannalta valo tunnelin päässä, eikä se tällä kertaa taida olla se vastaan tuleva pikajuna...

Kyberturvallisuutta ja koulutuksen & tietämyksen kasvattamisen tarve

Monesti kyberturvallisuuskeskusteluissa nousee esille tarve alan koulutukseen sekä tietämyksen kasvattamiseen. Nostaisin tämän seuraavan blogipostaukseni aiheeksi ja toivon, että tämäkin aihe herättää keskustelua ja ideointia! Olen itse aina suhtautunut skeptisesti jonkun aihepiirin teemapäiviin; vaikka ne voi olla kuinka hyvin järjestettyjä tahansa, niin ne tavoittaa käytännössä niitä, jotka jo tietävät asiasta jotain sekä joitakin valittuja kohderyhmiä. Tämä ei välttämättä aina riitä!

Mieleeni tulee muutama mahdollisuus, miten koulutusta ja tietämystä voidaan lisätä:

Turvallisuusvalistusta peruskoulussa: peruskoulussa annetaan opetusta liikenneturvallisuudesta sekä varoitetaan "vaarallisista sedistä" jne. Jos miettii peruskoulutusta nykypäivänä, niin miksei tietokoneen ja Internetin turvallisen käytön perusteet voisi pitää jokaisen kansalaisen perustaitona, jota opetetaan jo peruskoulusta asti? Tällä en tarkoita sitä, että jokaisesta lapsesta tehdään tekninen nörtti, mutta lapsia voitaisiin hyvinkin valistaa verkossa vaanivista vaaroista sekä opettaa tietokoneen turvaamisen perusteet. Se, mitä tällä saavutettaisiin olisi paremmin suojattuja kotikoneita, joita olisi vaikeampi kaapata rikolliseen toimintaan sekä valistuneita netin käyttäjiä, jotka eivät lankea nigerialaiskirjeisiin tai muihin, ammattimaisemmin toteutettuihin huijausyrityksiin. Niinkuin liikennevalistus ei poista liikenneonnettomuuksia ei tämäkään poistaisi varsinaista ongelmaa, mutta tietämys asiasta vaikuttaisi asenteisiin ja monet ongelmat voidaan ennaltaehkäistä.

Alan koulutusta ammattikorkeakouluissa ja yliopistoissa: alan koulutusta tulisi antaa ammattikorkeakouluissa ja yliopistoissa. Teknillinen korkeakoulu (nykyään Aalto-yliopisto) järjesti aikoinaan (ehkä järjestää vieläkin) nk "hakkerikurssin". Perusfilosofia oli se, että jos et tunne yleisimmät hyökkäysperiaatteet etkä osaa niitä suorittaa, niin et osaa myöskään suojautua asianmukaisesti. Mielestäni tämä ajatusperiaate on aivan oikea. Silloinkin oli tahoja, jotka kauhistelivat kurssia ja ihmettelivät, opettaako TKK opiskelijoita rikolliseen toimintaan. Mediaankin noussut keskustelu oli varsin liioiteltu: kurssilla opetetut asiat eivät olleet ydintiedettä eikä ketään kannustettu mihinkään tihutyöhön; päinvastoin. Vastuullisesti koulutettiin opiskelijoita, joista suuri osa sittemmin on sijoutunut töihin erinäisiin tietoturvallisuustehtäviin. Yhdestäkään gangsterista en ole vielä kuullut.

Välijohtoportaan koulutus: monesti välijohtoporras on puun ja kuoren välissä: toisaalta pitää saavuttaa ylimmän johdon antamia tavoitteita, toisaalta pysyä budjetissa ja aikataulussa ja pitää asiakkaat tyytyväisinä. Kun joku turvallisuusihminen sitten tulee puhumaan uhkakuvista ja riskitekijöistä, saattaa tämä alussa kuulostaa ärsyttävältä itikalta, jota haluaisi liiskata seinään. Tämä johtoporras on kuitenkin tärkeässä roolissa turvallisuuden toteuttamisen kannalta ja heitä pitäisi saada näkemään turvallisuuden osana liiketoimintaa, eikä lisävelvoitteena, joka vain maksaa. Tämä voi olla vaikea pähkinä; ideoita?

Ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen: myös ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen aiheesta olisi tärkeätä. Heitä pitäisi saada näkemään kokonaisuuksia sekä sitä, miten kyberuhat voivat olla uhka valtion taloudelle ja turvallisuudelle. Kansallisen kyberturvallisuuden rakentamiseksi tarvitaan ehdottomasti tämän portaan tuki, jonka takia tietämystä aiheesta tulisi lisätä kokonaisvaltaisesti. Ei riitä, että uhka on tunnistettu siellä täällä, hajanaisesti. Tähän ehkä hyvin järjestetty teemapäivä, johon on kerätty edellä mainitusta kohderyhmästä edustajia, voisi olla paikallaan.

Avaan keskustelua siitä, mitä kohderyhmiä tulisi kouluttaa ja miten se voitaisiin tehdä! Olisi kiinnostavaa kuulla tämän blogin lukijoiden ajatuksia ja ideoita - keskustelu on toistaiseksi ollut todella mielenkiintoinen, joten odotan innolla kommenttejanne!

Kyberterrorismi - onko sitä?

Seuraavaksi nostaisin keskustelupöydälle kyberterrorismin (cyber terrorism) ja kyseenalaistaisin, onko sellaista?

Perinteisesti kun puhutaan kyberterrorismista voidaan tarkoittaa kahta asiaa: miten terroristijärjestöt käyttävät Internettiä oman toiminnan kehittämiseen sekä miten terrori-iskuja voitaisiin toteuttaa kyberavaruuden (= Internetin lisäksi kriittiset infrastruktuurit jne jne) kautta. Käytännössä tästäkään termistä ei ole yksiselitteistä määritelmää.

Terroristijärjestöt ovat jo vuosia sitten keksineet, miten Internettiä voidaan hyödyntää siten, että se tukee järjestön toimintaa. Nettiä on hyödynnetty tehokkaasti propagandaan, rekrytointiin, koulutukseen, peitetoimintaan, rahansiirtoon sekä viestintään ja iskujen suunnitteluun. Erilaisten verkkosivustojen kautta on levitetty voimakkaitakin viestejä, esim. videokuvia iskuista ja niiden aikaan saamista tuhoista, samalla painottaen järjestön omaa aatetta ja teon oikeutusta. Verkkokeskusteluiden ja tsättien kautta on tavoiteltu "tavallisia" ihmisiä ja saatu heidät liittymään järjestöön ja sen toimintaan. Koulutusta on annettu ja myös maaleja kyetty osoittamaan. Verkottunut toiminta on ollut hyvin tehokasta monessakin mielessä.

Mutta onko tämä "kyberterrorismia", vai pelkstään vihamielisten järjestöjen tapa käyttää Internettiä "kutakuinkin" samalla tavalla, kuin kaikki muutkin? Laillisetkin organisaatiot suunnittelevat, miten hyödyntävät netin tiedottamiseen, rekrytointiin, johtamiseen, tiedonvaihtoon jne. eikä silloin puhuta "kyberviestinnästä" tai "kyber-rekrytoinnista". Onko laiton toimintaperiaate yhtäkkiä peruste sille, että toiminnasta tulee "kybertoimintaa", jopa "kyberterrorismia"? Minun mielestäni ei. Aihepiiristä voi lukea lisää esim. Dr. Maura Conwayn tai Dr. Itamara Lochardin kirjoituksista.

Toinen määritelmä puolestaan liittyy ajatukseen, miten terroristijärjestöt voisivat toteuttaa terrori-iskun hyödyntämällä kyberavaruuden perinteisten fyysisten iskujen tilalla tai rinnalla. Tämä on varmaan ajatuksellisesti lähempänä sellaista toimintaa, mitä voitaisiin kuvata termillä kyberterrorismi. Tällaista ei olla (onneksi) toistaiseksi vielä koettu. Sinänsä on hyvinkin mahdollista, että esimerkiksi kriittiseen infrastruktuuriin kohdistuva verkkohyökkäys voisi saada aikaan sellaista tuhoa, jossa kuolee ihmisiä samalla laajuudella, kuin perinteisenkin iskun jäljiltä. Mitä eroa on sitten siinä, kuolevatko ihmiset räjähdykseen vai verkkohyökkäyksen aiheuttamaan tapahtumaan, jonka seurannaisvaikutus on samankaltainen?

Ero tulee EHKÄ siinä - ja nyt korostan sanaa EHKÄ, koska minulla ei ole psykologista taustaa enkä sinänsä ole terrorismin tutkija (toivottavasti joku lukijoistani on ja voi ottaa asiaan kantaa) - että terrori-iskuun liittyy vahva viestinnällinen komponentti; jotain, mikä herättää kansan riveissä pelkoa ja epävarmuutta, jotain mikä näyttää telkkarista tai nettivideosta katsottuna kamalalta ja herättää tunteita, jotain, mikä koskettaa. Näyttävä räjähdys fyysisessä maailmassa, jota me kaikki jollain tasolla ymmärrämme ja käsitämme, voi saada aikaan tällaisen tunnereaktion. Mutta voiko virtuaalisen maailman kautta tullut verkkohyökkäys, joka ei tavalliselle ihmiselle näy, kuulu, haise tai tunnu, aiheuttaa samanlaisen pelon tunteen? Tästä en ole niinkään varma!

Ja jos tämä pelon komponentti jää yhtälöstä pois, niin onko kyberympäristö terroristijärjestöille se  "tarkoituksenmukaisin" toimintaympäristö? Jääkö termi kyberterrorismi vain hypoteettiseksi ajatukseksi?

En osaa vastata. Toistaiseksi kuitenkin kyseenalaistan "kyberterrorismi" -käsityksen, joskaan en todellakaan vähättele ongelmaa, joka muodostuu terroristijärjestöjen tavasta hyödyntää Internettiä omiin tarkoituksiin. Mutta tulisiko sitä toimintaa kuitenkin käsitellä kyberrikollisuuden tavoin?

Kansallisia kyberturvallisuusstrategioita

Olen kevään mittaan kuluttanut aikaa lukemalla eri maiden kyberturvallisuusstrategioita ajatuksena vertailla niitä. Tarkastelun alla on ollut ainakin Viron, Norjan, Saksan, Hollannin, Ranskan, Iso-Britannian, Kanadan, Yhdysvaltojen sekä Australian kyberstrategiat. Havainnot ovat olleet mielenkiintoisia.

Yhtäläisyyksiä strategioissa on paljon, joskin myös eroavaisuuksia. Pähkinäkuoreessa voisi todeta, että strategiat tunnistavat samoja uhkatekijöitä ja päätyvät hyvin samankaltaisiin ratkaisuihin, mutta terminologiasta ja laajuudesta ei päästä yksimielisyyteen.

Uhkatekijät jaetaan pääosin kahteen kategoriaan: valtiollisiin ja ei-valtiollisiin. Ensiksi mainittuun lukeutuu asevoimat sekä tiedusteluorganisaatiot, kun taas toiseen rikolliset, terroristit ja haktivistit. Terrorismista todettakoon sen verran, että sillä voidaan tarkoittaa joko toimintaa, jossa terroristit hyödyntävät kyberavaruutta propagandaan, kouluttamiseen, tiedonvälitykseen ja rekrytointiin, tai toimintaa, jossa fyysisessä maailmassa tapahtuvan terrori-iskun vaikutuksia yritetään saada aikaan kyberavaruuden kautta. Jälkimmäinen saattaa jäädä hypoteettiseksi ajatukseksi, sillä terrorismiin liittyy vahvasti ihmisissä muodostunut pelko - vaikea sanoa, onko mahdollista saada aikaan samanlaista psykologista vaikutusta ilman mieleen painuvia, telkkarista nähtyjä kuvia räjähdyksistä, tuhoista ja massakuolemista. Haktivismista voi todeta, että tekijöinä voi olla jonkun idealistisen näkemyksen taakse muodostunut, globaalisti ja ad hoc -maisesti toimiva ryhmittymä tai valtion tukema ja suojelema ryhmä.

Ratkaisuissa päädytään hyvin samankaltaisiin ajatuksiin ja rakenteisiin:

1. Poikkihallinnollisen yhteistyön merkitystä korostetaan, ottaen huomioon niin julkisen kuin yksityisen sektorin. Todetaan, että valtion kyberturvallisuudesta huolehtiminen ei voi olla yhden yksittäisen hallinnonalan vastuulla, vaan eri viranomaisten toimivaltuudet on tarkennettava. Lisäksi tulee ottaa huomioon, että infrastruktuurin omistajat pääsääntöisesti ovat yksityisen sektorin toimijat, eikä niinkään valtio.
2. Kansainväliseen yhteistyöhön tulee panostaa, sillä kybertoiminta ei tunne rajoja ja toiminta on globaalia. Lisäksi ystävälliset valtiot voivat avustaa hyökkäyksen kohteena olevaa valtiota.
3. Lainsäädäntöä tulee tarkastella. Lainsäädäntö ei tunne käsitettä "kyberhyökkäys" eikä aina ole selvää, miten hyökkäystä tulee tulkita: milloin se on rikollisuutta, milloin hyökkäys valtiota kohtaan, milloin jotain muuta. Lainsäädännön tarkasteluun liittyy vahvasti tarve kansainväliseen yhteistyöhön.
4. Poliittisella tasolla toimivan neuvoa antavan elimen sekä operatiivisen tason kyberturvallisuuskeskuksen perustaminen nousee lähes jokaisessa strategiassa esille.
5. Tutkimus- ja kehittämistyöhön (R&D) tulee panostaa.
6. Koulutukseen ja tietämykseen (education and awareness) tulee panostaa kaikilla tasoilla.

Eroavaisuudet puolestaan ovat pitkälti terminologiassa ja laajuudessa. Jotkut strategiat rajaavat kyberavaruuden lähestulkoon puhtaasti Internettiin, kun taas toiset laajentavat sitä koskettamaan myös kriittisen infrastruktuurin kokonaisuudessaan, mukaan lukien teollisuusohjausjärjestelmät, sensorit jne. Norjan kyberstrategian lähestymistapa oli mielestäni sekä hyvä että hauska: he viittasivat suoraan Wikipediaan. Pragmaattista, mutta miksipä ei? 

Muita, ehkä substanssiin meneviä eroja olivat miten kyberturvallisuuteen ja -hyökkäyksiin tulisi suhtautua. Kun Viron strategia korostaa sitä, että verkkohyökkäyksiä tulisi moraalisesti paheksua, toteaa Norjan strategia, että valtion tulee kehittää offensiivisia kykyjä. Suurin osa strategioista ilmaisevat asian ympäripyöreästi todeten, että valtion tulee varmistaa toimintavapautensa kyberavaruudessa: rivien välistä voi valtiosta riippuen arvailla, mitä sillä tarkoitetaan. Eikä sovi unohtaa ne valtiot, jotka toteavat, että voivat vastata sotilaallisin keinoin, mikäli heihin kohdistetaan verkkohyökkäys.

Mainittakoon lopuksi, että Suomen kyberturvallisuusstrategiatyö on lähtenyt käyntiin. Sen on määrä valmistua vuoden 2012 loppuun mennessä.