Vuosi 2016 lähestyy, jolloin Suomen pitäisi
kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden
edelläkävijämaa. Mutta missä mennään? Tässä blogipostauksessa tuon esille joitakin
omia huomioita.
Edelläkävijyyttä on vaikeata yksiselitteisesti
määritellä, mutta tässä oma subjektiivinen näkemys. Edelläkävijyys tarkoittaisi
sitä, että 1) Suomi olisi kokonaisuutena muita edellä. Tämä ei kuitenkaan tarkoita
sitä, että Suomen pitäisi olla kaikilla osa-alueilla paras. 2) Muut maat
tunnustavat Suomen olevan kyberturvallisuuden edelläkävijä. Tämä kohta on
tärkeä, koska edelläkävijäksi ei voi vaan julistautua.
Erilaisia vertailuja eri näkökulmista kyllä löytyy.
Olen syksyn aikana tehnyt oman suuntaa antavan vertailun noin 70 hyvin
erilaisesta maasta ja arvioinut niiden kypsyyttä. Vertailussa olen huomioinut
muun muassa seuraavia seikkoja:
- Onko valtiolla kansallinen kyberturvallisuusstrategia? Strategia ei sinänsä automaattisesti tarkoita kypsyyttä, mutta se on osoitus siitä, että kyberturvallisuutta on kansallisella tasolla vähintäänkin pohdittu sekä laadittu suunnitelmia kyberturvallisuuden kehittämiseksi.
- Onko valtiolla kansallinen kyberturvallisuuskeskus tai vähintään kansallinen CERT/CSIRT?
- Onko valtiolla kyberrikollisuuteen liittyvää lainsäädäntöä? Tämän muuten kuvittelisi olevan tässä vaiheessa jo itsestäänselvyys, mutta eipä olekaan. On edelleen maita, joissa lainsäädäntöä ei ole.
- Onko valtiolla kyberpuolustuskykyjä (eli kehittääkö asevoimat kyberpuolustuksen suorituskykyjä osana maanpuolustusta)?
- Onko valtion toimesta käynnistetty ”awareness”-ohjelmia (vast)?
- Millaista kansainvälistä yhteistyötä valtio tekee? Onko profiili näkyvä?
- Miltä maan yksityinen sektori näyttää kyberalalla; onko maassa merkittäviä alan yrityksiä ja toimivatko ne kansainvälisesti?
- Millaista alan koulutusta on maassa saatavilla?
Oman vertailuni perusteella toteaisin, että
Suomi on monessa asiassa erittäin hyvä ja keskivertoa selvästi parempi. Mutta,
me emme valitettavasti ole edelläkävijöitä edes omassa kategoriassamme, eli pienet
ja keskisuuret maat.
Suomen vahvuudet ovat:
- Suomen yksityinen sektori. Suomella on hyviä yrityksiä, jotka ovat kansainvälisesti tunnettuja. Niitä voisi kuitenkin olla enemmän.
- Viranomaispuoli: Suomen kyberturvallisuuskeskus tekee hyvää työtä ja heillä on loistavia asiantuntijoita. CERT-FI:llä on pitkät perinteet kansainvälisestä yhteistoiminnasta ja heidän mainensa maailmalla on hyvä. Puolustusvoimat on tehnyt paljon kyberpuolustuksen kehittämiseksi ja viimeisimpänä positiivisena kehityksenä on varusmieskoulutus kyberpuolustuksen osalta. Poliisi on perustanut yksikön torjumaan kyberrikoksia. Lisäksi, viranomaisyhteistyö on tälläkin alalla sujuvaa.
- Koulutuspuoli: Suomessa on ollut alan opetusta pitkään, vaikka etuliite ”kyber” tuli mukaan vasta joitakin vuosia sitten. Teknillinen korkeakoulu (nyk Aalto-yliopisto) aloitti legendaarisen hakkerikurssin jo 90-luvulla. Nykyään on tarjolla jo kokonaisia kyberalan koulutusohjelmia, johon kuuluu aihekokonaisuuksia eri tieteenaloilta.
- Innokkaat harrastajat. Tulevaisuuden toivot.
Tämä ei kuitenkaan riitä nostamaan Suomea
edelläkävijämaaksi. Jos se kuitenkin on strategiatason visio, niin silloin
pitää myös olla vahva aikomus panostaa siihen. Muuten strategia jää vaan sanahelinäksi.
Panostaminen ei tarkoita pelkästään rahallista resurssointia, mutta se tarkoittaa
myös sitä. Taloudellisessa ahdingossa on ymmärrettävää, että resurssit ovat ahtaalla,
mutta toisaalta, tämä on ala, joka voisi osaltaan olla nostamassa Suomen
nykyisestä ahdingostaan. Panostaminen on sijoitus tulevaisuuteen. Lisäksi, Suomella
olisi kaikki edellytykset olla edelläkävijämaa ainakin pienten ja keskisuurten
maitten kategoriassa. Joiltain osin meillä on etulyöntiasema myös suurvaltoihin
nähden, esimerkiksi pienemmässä maassa on monesti tiiviimmät ja ketterämmät
verkostot. Panostamisen lisäksi Suomen pitäisi kuitenkin osata myös myydä ja
markkinoida itseään.
Kansainvälisellä areenalla Suomi ei ole se
maa, jota muut maat hehkuttavat. Se maa on usein ja monessa viitekehyksessä
Viro. Ansiostakin. Viro on pienenä maana nähnyt kyberturvallisuuden
strategisesti merkittävänä kokonaisuutena. Virolaiset ovat panostaneet siihen
ja tehneet hartiavoimin töitä brändätäkseen itsensä e-yhteiskuntana ja
kyberosaajina. Tämä brändäys näkyy kaikilla tasoilla, tekijäportaasta
poliittiselle tasolle. Eikä olekaan ihme, että esimerkiksi Naton
kyberturvallisuuden osaamiskeskus sijaitsee juuri Tallinnassa. Se on tänä
päivänä Naton suurin osaamiskeskus. Miksi Suomeen ei olisi aikanaan voitu
perustaa kansainvälistä kyberosaamiskeskusta, joskaan ei Naton viitekehykseen,
mutta muuten? Onkohan Suomessa muuten minkään alan kansainvälistä
osaamiskeskusta? Jos ei ole, niin miksi ei?
Sekä Suomessa että Virossa on olemassa
kyberympäristö, jossa voi muun muassa toteuttaa kyberharjoituksia. Suomessa
oleva kyberympäristö on rakennettu Jyväskylän ammattikorkeakouluun osana
JYVSECTEC-hanketta. Se on aivan loistava ympäristö, jolla olisi potentiaalia
vaikka mihin. Silti sitä ei ole hyödynnetty laajassa kansainvälisessä
viitekehyksessä, vaan se on jäänyt melko vähäiseen kansalliseen käyttöön. Viro puolestaan tarjosi kyberympäristönsä Naton käyttöön ja sitä hyödynnetäänkin
sekä Naton että Naton osaamiskeskuksen kyberharjoitustoiminnassa. Jokainen voi
varmaan arvata, millaisia mahdollisuuksia tämä puolestaan luo Virolle. Mitä Suomi voisi tehdä hyödyntääkseen
omaa kyberympäristöä edelläkävijyytensä tavoittelussa? On hyvin todennäköistä,
että Suomessa oleva kyberympäristö kuuluu maailman parhaimpiin, joista monet
muut maat voivat vaan haaveilla.
Surkuhupaisana esimerkkinä on myös pakko
mainita tilaisuus, johon aikoinaan osallistuin. Viron edustajat olivat tulleet
paikalle esittämään heidän sähköistä henkilökorttiaan. Siinä he totesivat:
”Actually, we took the idea from Finland. We just made it work!”
Herääkin kysymys, miksi Suomi ei onnistu
samoissa asioissa, missä naapurimaa menestyy – ja kävelee edellä? Kaikki asiat,
mitä Viro on saanut aikaan, olisi ollut mahdollista saada aikaan myös Suomessa.
Suomessa syntyy paljon hyviä ideoita.
Bloombergin vertailussa Suomi on maailman neljänneksi innovatiivisin maa. Eniten parantamista olisi teknologiayritysten määrässä, jossa Suomi on sijalla
25. Miksi Suomessa ei synny enemmän startup-yrityksiä näiden ideoiden
ympärille? Israel on verrokkina mielenkiintoinen. Israelissa on piilaakson
jälkeen eniten teknologia-alan startup-yrityksiä. Valtio satsaa 5%
bruttokansantuotteesta tutkimukseen ja kehitykseen ja pitää puolustusvoimia sekä maahanmuuttoa keskeisinä menestystekijöinä. Israelin puolustusvoimilla onkin startup-yritysten synnyssä merkittävä rooli,
jossa jo varusmiesaikana kannustetaan innovointiin. Myös eläkkeelle jääneet
kenraalit saattavat tukea nuoria startup-yrityksiä löytämään asiakkaita
verkostojensa avulla.
Suomella on kyberosaamista, mutta se ei
yksinään riitä. Meiltä näyttää puuttuvan strategisen tason osaamista tehdä kyberosaamisellamme
jotain kansallisesti ja kansainvälisesti merkittävää. Osa ongelmasta istuu
todennäköisesti myös korvien välissä. Muutama asia vaatii pohdintaa:
- ASENNE: Olisiko aika ruveta näkemään mahdollisuuksia sekä myymään ja markkinoimaan itseämme niiden kautta sen sijaan, että keskitytään keksimään syitä, miksi asioita ei voi tehdä? Esim. jos suomalaiselle ja ruotsalaiselle annetaan omena, niin ruotsalainen hehkuttaa jo tuottavansa maailman parasta siideriä, kun taas suomalainen ei ehdi edes avata suunsa ennen kuin yksi virasto kieltää alkoholimainonnan, toinen virasto huolestuu omenassa mahdollisesti terveyshaittoja aiheuttavasta madosta ja kolmas taho on mustasukkainen siitä, koska omena oikeasti kuuluisi hänelle (koska hän kasvattaa päärynöitä). Miksi Suomi ei esimerkiksi tee kyberympäristöllään mitään elämää suurempaa?
- STRATEGISET VALINNAT: Olisiko aika päättää, mihin panostamme ja mihin emme? Jos haluamme menestyä kyberturvallisuusalalla, niin meidän pitää panostaa siihen, vaikka se ikävä kyllä onkin joltain toiselta alalta pois. Suomi ei voi olla joka alan edelläkävijämaa. Onko tämä se ala, joka auttaa nostamaan Suomen? Vai menikö juna jo?
- KANNUSTAMINEN: Miten voisimme kannustaa hyvän idean saaneita ihmisiä perustamaan startup-yritys ja lähtemään kansainvälisille markkinoille?
- Joillekin yrittäminen on kuin valmiiksi koodattu geeneihin, mutta varmaan moni muukin rohkenisi tehdä ideoistaan totta, jos saisi vähän apua pääsemään alkuun. Voisiko olla tarpeen tarjota (teknologia-alan) opiskelijoille innovoinnin ja yrittämisen peruskursseja madaltamaan kynnystä lähteä kokeilemaan? Opetetaanhan sitä esimerkiksi puheviestintää ja kieliä perustaitoina, joiden tarkoitus on auttaa pärjäämään ammatissaan.
- Voisiko Israelin mallista oppia mitään? Voisiko varusmieskoulutuksen aikana kannustaa keksimään hyviä ideoita ja tuotteistamaan ne varusmieskauden jälkeen? Voisiko tämä houkutella myös (lisää) naisia suorittamaan varusmiespalvelusta kyberpuolustuksen saralla? Voisiko siviilipalveluspuolella olla jotain vastaavaa? Voisiko Suomen tietoturvaklusteri (FISC ry) kalastella tätä kautta syntyneitä ideoita ja auttaa niitä eteenpäin?
- Pitäisikö samalla miettiä yrittämisen houkuttelevuutta Suomessa laajemmin? Onko veroaste sellainen, että se kannustaa, vai olisiko miellyttävämpää hyödyntää esimerkiksi Viron (!!) e-kansallisuutta mahdollisuutena perustaa yritys sinne? Onko yrittämisessä muita asioita, jotka karkottavat ihmiset rivityöntekijöiksi ja hautaamaan ideansa pöytälaatikkoon?
- PÄÄTÖKSENTEKO: vai eikö Suomessa vaan olla päästy yhteisymmärrykseen siitä, kenen pitäisi tehdä jotain edellä mainittujen asioitten eteen?
