15/11/2011

Kyberturvallisuutta ja kryptologiaa

Useimmat meistä ovat varmasti kuulleet, kuinka jo muinaiset roomalaiset käyttivät salakirjoitusta tai kuinka brittiläiset toisen maailmansodan aikana oppivat purkamaan saksalaisten Enigman tuottaman salauksen. Kryptologialla on kieltämättä ollut vaikutusta asioiden kulkuun kautta aikojen. Sen merkittävyys ei ole poistunut, päinvastoin, se on monessa maassa noussut keskeiseksi kansallisen turvallisuuden osa-alueeksi. Myös käytettäviä salausratkaisuja ja salausratkaisujen hallintaa pidetään monesti suurvalloissa yhtä vahvasti turvattavana asiana kuin ydinaseita. Suomella ei ole ydinaseita, joiden turvallisuudesta huolehtia; sen sijaan salausratkaisuihin ja kansalliseen krypto-osaamiseen tulee kiinnittää huomiota.  Se on tietoyhteiskunnan ja siten myös kyberturvallisuuden kannalta aivan keskeistä.

Tietoyhteiskunta on riippuvainen verkoistaan ja järjestelmistään sekä näiden avulla tarjotuista palveluista. Verkostojen avulla mahdollistetaan tietoyhteiskunnan toiminta globaalisella tasolla, liikutellaan rahavirtoja, siirretään kansallisen kilpailukyvyn kannalta merkittäviä tietoja (mm. yrityssalaisuuksia) sekä valtion toiminnan kannalta merkittäviä tietoja (mm. valtionhallinnon salassa pidettäviä asiakirjoja) sekä mahdollistetaan asevoimien operatiivinen toiminta. Tällaisen verkostoavusteisen toiminnan perusedellytys on kuitenkin, että verkostoon voidaan luottaa. Vaikka turvallisuutta edistäviä ratkaisuja onkin monenlaisia, ovat salausratkaisut ja niiden hallinta kuitenkin aivan perustavaa laatua olevassa asemassa, mitä luottamukseen tulee. Jos niihin ei voi luottaa, ei voi luottaa mihinkään muuhunkaan.

Sen takia luottamuksessa ei saa olla säröä tai epävarmuutta. Vaikka maailmalla onkin tarjolla evaluoituja ja virallisesti hyväksyttyjä salaustuotteita, on kuitenkin oltava mahdollisuus tuottaa omaa kansallista kryptoa omia tarpeita varten. On pystyttävä
luottamaan siihen, ettei salausratkaisuun ole sittenkin upotettu joku tahallinen heikkous tai takaportti. On oltava mahdollisuus luoda itse omat salausavaimet ja itse tuottaa tarvittavat salauslaitteet ja/tai -ohjelmistot. Myös salausratkaisun hallinta tulee säilyä omissa käsissä.
  
Kansallista kryptokykyä kehittämään

Kansallista ”kryptokykyä” siis tarvitaan monella tasolla. Suomi
tarvitsee ainakin:
  1. Osaamista akateemisella tasolla, mikä edistää kryptologian tutkimusta ja opetusta niin kansallisesti kuin kansainvälisestikin. Tässä Aalto-yliopiston professori Kaisa Nyberg tekee ansiokasta työtä.
  2. Kykyä kehittää ja tuottaa salausratkaisuja niin kansalliseen käyttöön kuin vientitarkoituksiinkin.
  3. Kykyä evaluoida salausratkaisuja, niin kansallisia kuin kansainvälisiäkin. Tämä on perusedellytys voidaksemme varmistua salausratkaisun luotettavuudesta.
  4. Kykyä arvioida salausratkaisujen elinkaaren suorituskyky oman toiminnan vaatimusten kannalta.
  5. Kykyä hallinnoida salausratkaisuja käytännön toiminnassa
  6. Osaamista käyttää salausratkaisuja asianmukaisesti (loppukäyttäjänäkemys)

Suomessa on jonkin verran krypto-osaamista, mutta kansallisen kyberturvallisuuden näkökulmasta osaamista tarvitaan enemmän. Suomesta ei tule tietoturvallisuuden eikä kyberturvallisuuden edelläkävijämaata ilman riittävää ”kryptokykyä”.

Mitä tämä kryptokyvyn kehittäminen sitten edellyttää?

Kryptologia on mitä suurimmassa määrin erikoisala, joka edellyttää matemaattista osaamista. Tämän takia tulisi jo peruskoulussa ja lukiossa panostaa matematiikan opetukseen ja tehdä siitä houkuttelevaa oppilaille. Erityisesti matematiikasta kiinnostuneita sekä matemaattisesti lahjakkaita oppilaita tulisi kannustaa antamalla heille ”massaopetuksesta” poikkeavia, mutta kannustavia matemaattisia haasteita ratkottavaksi. Samalla tavalla kuin tuetaan liikunnallisesti lahjakkaita tulisi myös tukea matemaattisesti lahjakkaita mahdollistamalla heidän osaamisensa kehittyminen.

Ylipistojen tulisi houkutella enemmän opiskelijoita valitsemaan kryptologian opinto-ohjelmaansa. Osaamista tarvitaan monella tasolla: niin vahvaa teoreettista osaamista kuin käytännön läheisempää, soveltavaa osaamistakin. Kryptologiaan paneutuminen varmasti houkuttelisi enemmän, jos alan töitä olisi laajemmin tarjolla. Kysyntä on jatkuvassa kasvussa, minkä pitäisi heijastua koulutuksen houkuttelevuuteen.

Yliopistotason tutkimukseen tulisi panostaa nykyistä enemmän ja pyrkiä houkuttelemaan myös suomalaisia alan uranuurtajiksi. Loistavaa olisi, jos osa uranuurtajista perustaisivat tutkimuksensa pohjalta pieniä spin-off –yrityksiä, jotka osaltaan loisivat peräänkuuluttamaani kansallista kryptokykyä. Ne voisivat erikoistua ratkaisujen kehittämiseen, evaluointiin tai analysointiin tai johonkin muuhun toimintaan, mitä en tässä vaiheessa edes kykene visioimaan.

Yksityiselle sektorille olisi muutenkin hyvä saada enemmän toimijoita. Tämä edellyttää kuitenkin, että tunnistamme omat kansalliset tarpeemme sekä tuemmme yritystemme pyrkimyksiä kansainvälisille markkinoille. On ymmärrettävä, että mikä on hyväksi meidän teollisuudelle, on hyväksi myös Suomelle yhteiskunnallisesti, valtionhallinto mukaan lukien.

Kyberturvallisuuden kehittämisestä ja erikoisalat

Kyberturvallisuuden kehittäminen vaatii laajaa panostusta ja monitieteellistä lähestymistapaa. Aihe on siinä mielessä mielenkiintoinen, että se edellyttää lähes jokaisen tieteenalan soveltamisen toimivan kokonaisuuden aikaansaamiseksi. Jokaisessa näissä korostuu kuitenkin tiettyjä erikoisaloja. Panostamalla niihin voidaan saavuttaa jotain keskivertoa parempaa; jotain ainutlaatuista. Tämä hyödyntää Suomea niin kansallisesti kuin kansainvälisestikin.

Kryptologia on yksi tällainen erikoisala, johon kannattaa panostaa!