Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”. Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!
Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)
Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.
Käsitteistä
Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.
Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.
Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.
Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan
Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.
Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.
Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.
Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?
Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!