Kenraali Ohra-Aho kirjoittaa omassa blogissaan kyberistä ja kehottaa meitä heti otsikossaan haistamaan kyberiä. Siihen ei voi sanoa muuta, kuin ”haista IT!!” ;-)
Yhdyn Ohra-ahon näkemykseen siitä, että keskustelu on pääsääntöisesti ollut uhkalähtöistä. Ohra-aho kysyykin, miten voimme elää maailmassa, jossa tietoverkkorikolliset, haktivistit ja valtiolliset toimijat vakoilevat, kiristävät ja kalastelevat “kybervesissä”? Uhka on maailmanlaajuisesti tunnistettu, mutta entäpä sitten mahdollisuus? Millaisia mahdollisuuksia teknologiaosaaminen – erityisesti IT-alalla – tämä antaa Suomelle? Haluan tällä blogipostauksella jatkaa Ohra-ahon erinomaisen hyvin tiivistettyä ja asiallista postausta nostamalla esiin kyberaiheen kaksiteräisyyttä ja fokusoida uhkien sijasta mahdollisuuksiin.
Aloitetaan pohtimalla arabikevättä, joka on arabimaissa noussut mielenosoitusten ja kansannousujen aalto. Se alkoi Tunisian vallankumouksesta vuodenvaihteessa 2010–2011, jossa yli 20 vuotta presidenttinä toiminut Zine el-Abidine Ben Ali pakotettiin lähtemään maasta tammikuussa 2011. Tunisian vallankumouksen innoittamat protestit levisivät lähes kaikkialle arabimaailmaan. Siitä seurasi muun muassa Egyptin kansannousu, Libyan sota, Syyrian ja Jemenin levottomuudet sekä Bahrainin ja Saudi-Arabian protestit. Mikä on näille ollut ominaista? Aivan keskeiseen asemaan nousee kyberavaruudessa toimiva sosiaalinen media, jonka avulla oli mahdollista järjestäytyä, viestittää ja levittää tietoisuutta valtioiden yrittäessä tukahduttaa kansannousut muun muassa sensuroimalla ja estämällä Internetin käytön. Onko kyberulottuvuus tässä ollut uhka vai mahdollisuus? Kyseisten valtioiden johtoportaalle taatusti uhka, mutta kansalle taas aivan uudenlainen mahdollisuus.
Palataan sitten takaisin kyberuhkien maailmaan. Ne eivät tule poistumaan vain sitä toivomalla. Trenditkin osoittavat nousevaa käyrää. Tässä viitekehyksessä Suomella, teknologisesti kehittyneenä maana, on mahdollisuus nousta kyberturvallisuuden ja miksei myös tietoturvallisuuden yhdeksi edelläkävijämaaksi, niinkuin kansalliset olemassa olevat ja työn alla olevat strategiat maailailevatkin. Ilmaiseksi tällaista statusta ei kuitenkaan saavuteta. Näen seuraavat asiat keskeisinä:
- Yhdessä tekemisen meininki yhteisten tavoitteiden saavuttamiseksi. Suomi on liian pieni maa hiekkalaatikkotappeluille. Meidän pitäisi miettiä, miten yhdistämällä voimavarojamme – osaamisemme – voisimme saavuttaa jotain yhteistä hyvää, jolla näpäytämme ketä tahansa sormille, joka yrittää horjuttaa toimintamme valtiona ja yhteiskuntana, yksilöön asti. Tämä on tahtotila- ja asennekysymys - joukkuepeliä, eikä politiikkaa, lainsäädäntöä tai byrokratiaa. Jälkimmäiset ovat tärkeitä, mutta ne seuraavat edellisistä.
- Suomalaisten alan yritysten tukeminen ja kilpailukyvyn edistäminen myös kansainvälisillä markkinoilla. Suomessa on paljon potentiaalia, mitä innovaatioihin tulee, mutta hyvä idea ei yksin riitä. Hyvän idean lisäksi pitää olla ilmapiiri, jossa yrittäjyyttä tuetaan, erityisesti panostaen tuotteistamiseen ja markkinointiin. Markkinointi tulee ulotaa myös kansainvälisille markkinoille. Pieniä yrityksiä ei tule hävetä tai vähätellä, koska asiansa hyvin osaavat tekijät avaavat osaamisellaan ja uskottavuudellaan ovia myös muille samasta maasta tuleville. En aio tässä mainita yrityksiä erikseen, mutta voin kokemuksesta sanoa, kuinka monia meidän pieniä yrityksiä kehutaan maailmalla, ja kuinka se on helpottanut Suomen asioiden käsittelyä vain sen takia, että osaamisemme on tunnistettu. Tämä on mahdollisuus pienelle Suomelle, ja meidän pitäisi edesauttaa tätä!
- Asiantuntijoiden kuuleminen ja heidän työnsä arvostaminen. Monesti (erityisesti valtionhallinnon) hankkeet joutuvat kamppailemaan korkeasti lentävien tavoitteiden ja kustannussäästöpaineitten ristiaallokossa, kiireellisestä aikataulusta puhumattakaan. Enemmän pitää saada aikaan vähemmällä. Tällöin tietoturvallisuus on yksi ensimmäisistä osa-alueista, joista halutaan oikaista. Sitä nähdään vain kustannuksia aiheuttavana ja toimintaa lamauttavana asiana, mikä on hyvin lyhytnäköistä. Ehkä se edistää kyseistä hanketta, mutta edistääkö tällainen lyhytnäköisyys sitä tulevaa toimintaa jatkossa, hankkeen jo päättyessä? Mitä sitten, kun toiminta kärsii heikon tietoturvallisuuden takia? 10 000 euroa maksavan tietoturvaominaisuuden toteuttamatta jättäminen maksaakin yhtäkkiä organisaatiolle mainetta ja miljoonia. Tietoturvapäälliköt toimivat yleensä tässä viitekehyksessä tietoturvavaatimusten sanansaattajina. Tästä hyvästä he saavat helposti leimat otsaansa huonon onnen tuojina, vaatimuksista ruikuttajina, ja mörköjen näkijöinä, joita ei haluta kuunnella, koska se on epämukavaa. Puhumattakaan siitä, että heille haluttaisiin maksaa moisesta ruikuttamisesta asianmukaista palkkaa!! Tietoturvallisuus on kuitenkin edullinen ”henkivakuutus”. Tietoturvallisuutta on mahdollista toteuttaa kustannustehokkaasti, jos työtä tukee asiansa osaava ihminen. Osaavia ihmisiä tulee kuunnella ja heidän työnsä tulee arvostaa. Vahventamalla tietoturvallisuutemme luomme samalla viestin siitä, että meihin ei kannata hyökätä, koska se vie aikaa ja energiaa eikä välttämättä johda mihinkään. Osaaminen ja arvostaminen kunniaan!
- Koulutusta kaikilla tasoilla. Nettivalistusta jo peruskouluihin, ammattimaista koulutusta yliopistoihin ja ammattikorkeakouluihin ja jatkokursseja alan asiantuntijoille. Entäs sitten varusmiehet? Voisiko ajatella, että jokaiselle varusmiehelle tarjottaisiin aiheeseen liittyvää perusopetusta, mikä varusmiespalveluksen jälkeen toisi vahvaa perusosaamista tietoturvauhkista suojaamisesta niin yksityisen kuin julkisen sektorin organisaatioille? Entäs jos pienemmälle osalle annettaisiin tehostettua koulutusta, vrt. elektronisen sodankäynnin koulutukseen? Koulutus luo joka tapauksessa osaamista, ja siitähän tässä on pähkinäkuoreessa kysymys. Koulutuspuolella on paljon mahdollisuuksia!!
Edellisessä postauksessani kirjoitin kyberpuolustuksesta osana maanpuolustusta. Myös tässä asiassa kaksiteräisyys korostuu. Mahdollisten vihamielisten valtioiden suorittamat kyberhyökkäykset olisivat konkreettinen uhka Suomelle ja Suomen puolustukselle. Toisaalta, oman suorituskyvyn kehittäminen edesauttaisi edellä mainittujen uhkien torjuntaa, ja loisi yhtä keskeistä suorituskykyä lisää perinteisten maa-, meri- ja ilmapuolustuskykyen rinnalle. Tämä on nähtävä mahdollisuutena! Jos tätä mahdollisuutta ei hyödynnetä, jäämme väistämättä kehityksestä jäljelle.