08/12/2015

Suomi kyberturvallisuuden edelläkävijämaa vuonna 2016 - miltä näyttää?

Vuosi 2016 lähestyy, jolloin Suomen pitäisi kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden edelläkävijämaa. Mutta missä mennään? Tässä blogipostauksessa tuon esille joitakin omia huomioita.

Edelläkävijyyttä on vaikeata yksiselitteisesti määritellä, mutta tässä oma subjektiivinen näkemys. Edelläkävijyys tarkoittaisi sitä, että 1) Suomi olisi kokonaisuutena muita edellä. Tämä ei kuitenkaan tarkoita sitä, että Suomen pitäisi olla kaikilla osa-alueilla paras. 2) Muut maat tunnustavat Suomen olevan kyberturvallisuuden edelläkävijä. Tämä kohta on tärkeä, koska edelläkävijäksi ei voi vaan julistautua.

Erilaisia vertailuja eri näkökulmista kyllä löytyy. Olen syksyn aikana tehnyt oman suuntaa antavan vertailun noin 70 hyvin erilaisesta maasta ja arvioinut niiden kypsyyttä. Vertailussa olen huomioinut muun muassa seuraavia seikkoja:
  • Onko valtiolla kansallinen kyberturvallisuusstrategia? Strategia ei sinänsä automaattisesti tarkoita kypsyyttä, mutta se on osoitus siitä, että kyberturvallisuutta on kansallisella tasolla vähintäänkin pohdittu sekä laadittu suunnitelmia kyberturvallisuuden kehittämiseksi.
  • Onko valtiolla kansallinen kyberturvallisuuskeskus tai vähintään kansallinen CERT/CSIRT?
  • Onko valtiolla kyberrikollisuuteen liittyvää lainsäädäntöä? Tämän muuten kuvittelisi olevan tässä vaiheessa jo itsestäänselvyys, mutta eipä olekaan. On edelleen maita, joissa lainsäädäntöä ei ole.
  • Onko valtiolla kyberpuolustuskykyjä (eli kehittääkö asevoimat kyberpuolustuksen suorituskykyjä osana maanpuolustusta)?
  • Onko valtion toimesta käynnistetty ”awareness”-ohjelmia (vast)?
  • Millaista kansainvälistä yhteistyötä valtio tekee? Onko profiili näkyvä?
  • Miltä maan yksityinen sektori näyttää kyberalalla; onko maassa merkittäviä alan yrityksiä ja toimivatko ne kansainvälisesti?
  • Millaista alan koulutusta on maassa saatavilla?

Oman vertailuni perusteella toteaisin, että Suomi on monessa asiassa erittäin hyvä ja keskivertoa selvästi parempi. Mutta, me emme valitettavasti ole edelläkävijöitä edes omassa kategoriassamme, eli pienet ja keskisuuret maat.

Suomen vahvuudet ovat:
  • Suomen yksityinen sektori. Suomella on hyviä yrityksiä, jotka ovat kansainvälisesti tunnettuja. Niitä voisi kuitenkin olla enemmän.
  • Viranomaispuoli: Suomen kyberturvallisuuskeskus tekee hyvää työtä ja heillä on loistavia asiantuntijoita. CERT-FI:llä on pitkät perinteet kansainvälisestä yhteistoiminnasta ja heidän mainensa maailmalla on hyvä. Puolustusvoimat on tehnyt paljon kyberpuolustuksen kehittämiseksi ja viimeisimpänä positiivisena kehityksenä on varusmieskoulutus kyberpuolustuksen osalta. Poliisi on perustanut yksikön torjumaan kyberrikoksia. Lisäksi, viranomaisyhteistyö on tälläkin alalla sujuvaa.
  • Koulutuspuoli: Suomessa on ollut alan opetusta pitkään, vaikka etuliite ”kyber” tuli mukaan vasta joitakin vuosia sitten. Teknillinen korkeakoulu (nyk Aalto-yliopisto) aloitti legendaarisen hakkerikurssin jo 90-luvulla. Nykyään on tarjolla jo kokonaisia kyberalan koulutusohjelmia, johon kuuluu aihekokonaisuuksia eri tieteenaloilta.
  • Innokkaat harrastajat. Tulevaisuuden toivot.

Tämä ei kuitenkaan riitä nostamaan Suomea edelläkävijämaaksi. Jos se kuitenkin on strategiatason visio, niin silloin pitää myös olla vahva aikomus panostaa siihen. Muuten strategia jää vaan sanahelinäksi. Panostaminen ei tarkoita pelkästään rahallista resurssointia, mutta se tarkoittaa myös sitä. Taloudellisessa ahdingossa on ymmärrettävää, että resurssit ovat ahtaalla, mutta toisaalta, tämä on ala, joka voisi osaltaan olla nostamassa Suomen nykyisestä ahdingostaan. Panostaminen on sijoitus tulevaisuuteen. Lisäksi, Suomella olisi kaikki edellytykset olla edelläkävijämaa ainakin pienten ja keskisuurten maitten kategoriassa. Joiltain osin meillä on etulyöntiasema myös suurvaltoihin nähden, esimerkiksi pienemmässä maassa on monesti tiiviimmät ja ketterämmät verkostot. Panostamisen lisäksi Suomen pitäisi kuitenkin osata myös myydä ja markkinoida itseään.

Kansainvälisellä areenalla Suomi ei ole se maa, jota muut maat hehkuttavat. Se maa on usein ja monessa viitekehyksessä Viro. Ansiostakin. Viro on pienenä maana nähnyt kyberturvallisuuden strategisesti merkittävänä kokonaisuutena. Virolaiset ovat panostaneet siihen ja tehneet hartiavoimin töitä brändätäkseen itsensä e-yhteiskuntana ja kyberosaajina. Tämä brändäys näkyy kaikilla tasoilla, tekijäportaasta poliittiselle tasolle. Eikä olekaan ihme, että esimerkiksi Naton kyberturvallisuuden osaamiskeskus sijaitsee juuri Tallinnassa. Se on tänä päivänä Naton suurin osaamiskeskus. Miksi Suomeen ei olisi aikanaan voitu perustaa kansainvälistä kyberosaamiskeskusta, joskaan ei Naton viitekehykseen, mutta muuten? Onkohan Suomessa muuten minkään alan kansainvälistä osaamiskeskusta? Jos ei ole, niin miksi ei?

Sekä Suomessa että Virossa on olemassa kyberympäristö, jossa voi muun muassa toteuttaa kyberharjoituksia. Suomessa oleva kyberympäristö on rakennettu Jyväskylän ammattikorkeakouluun osana JYVSECTEC-hanketta. Se on aivan loistava ympäristö, jolla olisi potentiaalia vaikka mihin. Silti sitä ei ole hyödynnetty laajassa kansainvälisessä viitekehyksessä, vaan se on jäänyt melko vähäiseen kansalliseen käyttöön. Viro puolestaan tarjosi kyberympäristönsä Naton käyttöön ja sitä hyödynnetäänkin sekä Naton että Naton osaamiskeskuksen kyberharjoitustoiminnassa. Jokainen voi varmaan arvata, millaisia mahdollisuuksia tämä puolestaan luo Virolle. Mitä Suomi voisi tehdä hyödyntääkseen omaa kyberympäristöä edelläkävijyytensä tavoittelussa? On hyvin todennäköistä, että Suomessa oleva kyberympäristö kuuluu maailman parhaimpiin, joista monet muut maat voivat vaan haaveilla.

Surkuhupaisana esimerkkinä on myös pakko mainita tilaisuus, johon aikoinaan osallistuin. Viron edustajat olivat tulleet paikalle esittämään heidän sähköistä henkilökorttiaan. Siinä he totesivat: ”Actually, we took the idea from Finland. We just made it work!”

Herääkin kysymys, miksi Suomi ei onnistu samoissa asioissa, missä naapurimaa menestyy – ja kävelee edellä? Kaikki asiat, mitä Viro on saanut aikaan, olisi ollut mahdollista saada aikaan myös Suomessa.

Suomessa syntyy paljon hyviä ideoita. Bloombergin vertailussa Suomi on maailman neljänneksi innovatiivisin maa. Eniten parantamista olisi teknologiayritysten määrässä, jossa Suomi on sijalla 25. Miksi Suomessa ei synny enemmän startup-yrityksiä näiden ideoiden ympärille? Israel on verrokkina mielenkiintoinen. Israelissa on piilaakson jälkeen eniten teknologia-alan startup-yrityksiä. Valtio satsaa 5% bruttokansantuotteesta tutkimukseen ja kehitykseen ja pitää puolustusvoimia sekä maahanmuuttoa keskeisinä menestystekijöinä. Israelin puolustusvoimilla onkin startup-yritysten synnyssä merkittävä rooli, jossa jo varusmiesaikana kannustetaan innovointiin. Myös eläkkeelle jääneet kenraalit saattavat tukea nuoria startup-yrityksiä löytämään asiakkaita verkostojensa avulla.  

Suomella on kyberosaamista, mutta se ei yksinään riitä. Meiltä näyttää puuttuvan strategisen tason osaamista tehdä kyberosaamisellamme jotain kansallisesti ja kansainvälisesti merkittävää. Osa ongelmasta istuu todennäköisesti myös korvien välissä. Muutama asia vaatii pohdintaa:
  1. ASENNE: Olisiko aika ruveta näkemään mahdollisuuksia sekä myymään ja markkinoimaan itseämme niiden kautta sen sijaan, että keskitytään keksimään syitä, miksi asioita ei voi tehdä? Esim. jos suomalaiselle ja ruotsalaiselle annetaan omena, niin ruotsalainen hehkuttaa jo tuottavansa maailman parasta siideriä, kun taas suomalainen ei ehdi edes avata suunsa ennen kuin yksi virasto kieltää alkoholimainonnan, toinen virasto huolestuu omenassa mahdollisesti terveyshaittoja aiheuttavasta madosta ja kolmas taho on mustasukkainen siitä, koska omena oikeasti kuuluisi hänelle (koska hän kasvattaa päärynöitä). Miksi Suomi ei esimerkiksi tee kyberympäristöllään mitään elämää suurempaa?
  2. STRATEGISET VALINNAT: Olisiko aika päättää, mihin panostamme ja mihin emme? Jos haluamme menestyä kyberturvallisuusalalla, niin meidän pitää panostaa siihen, vaikka se ikävä kyllä onkin joltain toiselta alalta pois. Suomi ei voi olla joka alan edelläkävijämaa. Onko tämä se ala, joka auttaa nostamaan Suomen? Vai menikö juna jo?
  3. KANNUSTAMINEN: Miten voisimme kannustaa hyvän idean saaneita ihmisiä perustamaan startup-yritys ja lähtemään kansainvälisille markkinoille?
    • Joillekin yrittäminen on kuin valmiiksi koodattu geeneihin, mutta varmaan moni muukin rohkenisi tehdä ideoistaan totta, jos saisi vähän apua pääsemään alkuun. Voisiko olla tarpeen tarjota (teknologia-alan) opiskelijoille innovoinnin ja yrittämisen peruskursseja madaltamaan kynnystä lähteä kokeilemaan? Opetetaanhan sitä esimerkiksi puheviestintää ja kieliä perustaitoina, joiden tarkoitus on auttaa pärjäämään ammatissaan.
    • Voisiko Israelin mallista oppia mitään? Voisiko varusmieskoulutuksen aikana kannustaa keksimään hyviä ideoita ja tuotteistamaan ne varusmieskauden jälkeen? Voisiko tämä houkutella myös (lisää) naisia suorittamaan varusmiespalvelusta kyberpuolustuksen saralla? Voisiko siviilipalveluspuolella olla jotain vastaavaa? Voisiko Suomen tietoturvaklusteri (FISC ry) kalastella tätä kautta syntyneitä ideoita ja auttaa niitä eteenpäin?
    • Pitäisikö samalla miettiä yrittämisen houkuttelevuutta Suomessa laajemmin? Onko veroaste sellainen, että se kannustaa, vai olisiko miellyttävämpää hyödyntää esimerkiksi Viron (!!) e-kansallisuutta mahdollisuutena perustaa yritys sinne? Onko yrittämisessä muita asioita, jotka karkottavat ihmiset rivityöntekijöiksi ja hautaamaan ideansa pöytälaatikkoon?
  4. PÄÄTÖKSENTEKO: vai eikö Suomessa vaan olla päästy yhteisymmärrykseen siitä, kenen pitäisi tehdä jotain edellä mainittujen asioitten eteen?
Suomi on kyberturvallisuuden osalta oikeasti todella hyvä, jos vertaa moneen muuhun maahan. Haluammeko vielä edelläkävijöiksi? Tällöin olisi hyvä aika laatia seuraava versio kansallisesta kyberturvallisuusstrategiasta, kuten monet muut maat ovat jo ehtineet tehdä. Tässä olisi syytä pohtia, mitä se oikeasti vaatisi panostamismielessä ja miten se toteutetaan. Yksityistä sektoria olisi syytä ottaa vahvasti mukaan. Toinen vaihtoehto on tietenkin asettaa vaatimattomampi visio. Itse toivoisin, että pitäisimme visiostamme kiinni, mutta tekisimme myöskin ne strategiset valinnat, mitä vision saavuttaminen edellyttää.