Yhtäläisyyksiä strategioissa on paljon, joskin myös eroavaisuuksia. Pähkinäkuoreessa voisi todeta, että strategiat tunnistavat samoja uhkatekijöitä ja päätyvät hyvin samankaltaisiin ratkaisuihin, mutta terminologiasta ja laajuudesta ei päästä yksimielisyyteen.
Uhkatekijät jaetaan pääosin kahteen kategoriaan: valtiollisiin ja ei-valtiollisiin. Ensiksi mainittuun lukeutuu asevoimat sekä tiedusteluorganisaatiot, kun taas toiseen rikolliset, terroristit ja haktivistit. Terrorismista todettakoon sen verran, että sillä voidaan tarkoittaa joko toimintaa, jossa terroristit hyödyntävät kyberavaruutta propagandaan, kouluttamiseen, tiedonvälitykseen ja rekrytointiin, tai toimintaa, jossa fyysisessä maailmassa tapahtuvan terrori-iskun vaikutuksia yritetään saada aikaan kyberavaruuden kautta. Jälkimmäinen saattaa jäädä hypoteettiseksi ajatukseksi, sillä terrorismiin liittyy vahvasti ihmisissä muodostunut pelko - vaikea sanoa, onko mahdollista saada aikaan samanlaista psykologista vaikutusta ilman mieleen painuvia, telkkarista nähtyjä kuvia räjähdyksistä, tuhoista ja massakuolemista. Haktivismista voi todeta, että tekijöinä voi olla jonkun idealistisen näkemyksen taakse muodostunut, globaalisti ja ad hoc -maisesti toimiva ryhmittymä tai valtion tukema ja suojelema ryhmä.
Ratkaisuissa päädytään hyvin samankaltaisiin ajatuksiin ja rakenteisiin:
- Poikkihallinnollisen yhteistyön merkitystä korostetaan, ottaen huomioon niin julkisen kuin yksityisen sektorin. Todetaan, että valtion kyberturvallisuudesta huolehtiminen ei voi olla yhden yksittäisen hallinnonalan vastuulla, vaan eri viranomaisten toimivaltuudet on tarkennettava. Lisäksi tulee ottaa huomioon, että infrastruktuurin omistajat pääsääntöisesti ovat yksityisen sektorin toimijat, eikä niinkään valtio.
- Kansainväliseen yhteistyöhön tulee panostaa, sillä kybertoiminta ei tunne rajoja ja toiminta on globaalia. Lisäksi ystävälliset valtiot voivat avustaa hyökkäyksen kohteena olevaa valtiota.
- Lainsäädäntöä tulee tarkastella. Lainsäädäntö ei tunne käsitettä "kyberhyökkäys" eikä aina ole selvää, miten hyökkäystä tulee tulkita: milloin se on rikollisuutta, milloin hyökkäys valtiota kohtaan, milloin jotain muuta. Lainsäädännön tarkasteluun liittyy vahvasti tarve kansainväliseen yhteistyöhön.
- Poliittisella tasolla toimivan neuvoa antavan elimen sekä operatiivisen tason kyberturvallisuuskeskuksen perustaminen nousee lähes jokaisessa strategiassa esille.
- Tutkimus- ja kehittämistyöhön (R&D) tulee panostaa.
- Koulutukseen ja tietämykseen (education and awareness) tulee panostaa kaikilla tasoilla.
Eroavaisuudet puolestaan ovat pitkälti terminologiassa ja laajuudessa. Jotkut strategiat rajaavat kyberavaruuden lähestulkoon puhtaasti Internettiin, kun taas toiset laajentavat sitä koskettamaan myös kriittisen infrastruktuurin kokonaisuudessaan, mukaan lukien teollisuusohjausjärjestelmät, sensorit jne. Norjan kyberstrategian lähestymistapa oli mielestäni sekä hyvä että hauska: he viittasivat suoraan Wikipediaan. Pragmaattista, mutta miksipä ei?
Muita, ehkä substanssiin meneviä eroja olivat miten kyberturvallisuuteen ja -hyökkäyksiin tulisi suhtautua. Kun Viron strategia korostaa sitä, että verkkohyökkäyksiä tulisi moraalisesti paheksua, toteaa Norjan strategia, että valtion tulee kehittää offensiivisia kykyjä. Suurin osa strategioista ilmaisevat asian ympäripyöreästi todeten, että valtion tulee varmistaa toimintavapautensa kyberavaruudessa: rivien välistä voi valtiosta riippuen arvailla, mitä sillä tarkoitetaan. Eikä sovi unohtaa ne valtiot, jotka toteavat, että voivat vastata sotilaallisin keinoin, mikäli heihin kohdistetaan verkkohyökkäys.
Mainittakoon lopuksi, että Suomen kyberturvallisuusstrategiatyö on lähtenyt käyntiin. Sen on määrä valmistua vuoden 2012 loppuun mennessä.
