12/06/2011

Kyberturvallisuutta ja koulutuksen & tietämyksen kasvattamisen tarve

Monesti kyberturvallisuuskeskusteluissa nousee esille tarve alan koulutukseen sekä tietämyksen kasvattamiseen. Nostaisin tämän seuraavan blogipostaukseni aiheeksi ja toivon, että tämäkin aihe herättää keskustelua ja ideointia! Olen itse aina suhtautunut skeptisesti jonkun aihepiirin teemapäiviin; vaikka ne voi olla kuinka hyvin järjestettyjä tahansa, niin ne tavoittaa käytännössä niitä, jotka jo tietävät asiasta jotain sekä joitakin valittuja kohderyhmiä. Tämä ei välttämättä aina riitä!

Mieleeni tulee muutama mahdollisuus, miten koulutusta ja tietämystä voidaan lisätä:

Turvallisuusvalistusta peruskoulussa: peruskoulussa annetaan opetusta liikenneturvallisuudesta sekä varoitetaan "vaarallisista sedistä" jne. Jos miettii peruskoulutusta nykypäivänä, niin miksei tietokoneen ja Internetin turvallisen käytön perusteet voisi pitää jokaisen kansalaisen perustaitona, jota opetetaan jo peruskoulusta asti? Tällä en tarkoita sitä, että jokaisesta lapsesta tehdään tekninen nörtti, mutta lapsia voitaisiin hyvinkin valistaa verkossa vaanivista vaaroista sekä opettaa tietokoneen turvaamisen perusteet. Se, mitä tällä saavutettaisiin olisi paremmin suojattuja kotikoneita, joita olisi vaikeampi kaapata rikolliseen toimintaan sekä valistuneita netin käyttäjiä, jotka eivät lankea nigerialaiskirjeisiin tai muihin, ammattimaisemmin toteutettuihin huijausyrityksiin. Niinkuin liikennevalistus ei poista liikenneonnettomuuksia ei tämäkään poistaisi varsinaista ongelmaa, mutta tietämys asiasta vaikuttaisi asenteisiin ja monet ongelmat voidaan ennaltaehkäistä.

Alan koulutusta ammattikorkeakouluissa ja yliopistoissa: alan koulutusta tulisi antaa ammattikorkeakouluissa ja yliopistoissa. Teknillinen korkeakoulu (nykyään Aalto-yliopisto) järjesti aikoinaan (ehkä järjestää vieläkin) nk "hakkerikurssin". Perusfilosofia oli se, että jos et tunne yleisimmät hyökkäysperiaatteet etkä osaa niitä suorittaa, niin et osaa myöskään suojautua asianmukaisesti. Mielestäni tämä ajatusperiaate on aivan oikea. Silloinkin oli tahoja, jotka kauhistelivat kurssia ja ihmettelivät, opettaako TKK opiskelijoita rikolliseen toimintaan. Mediaankin noussut keskustelu oli varsin liioiteltu: kurssilla opetetut asiat eivät olleet ydintiedettä eikä ketään kannustettu mihinkään tihutyöhön; päinvastoin. Vastuullisesti koulutettiin opiskelijoita, joista suuri osa sittemmin on sijoutunut töihin erinäisiin tietoturvallisuustehtäviin. Yhdestäkään gangsterista en ole vielä kuullut.

Välijohtoportaan koulutus: monesti välijohtoporras on puun ja kuoren välissä: toisaalta pitää saavuttaa ylimmän johdon antamia tavoitteita, toisaalta pysyä budjetissa ja aikataulussa ja pitää asiakkaat tyytyväisinä. Kun joku turvallisuusihminen sitten tulee puhumaan uhkakuvista ja riskitekijöistä, saattaa tämä alussa kuulostaa ärsyttävältä itikalta, jota haluaisi liiskata seinään. Tämä johtoporras on kuitenkin tärkeässä roolissa turvallisuuden toteuttamisen kannalta ja heitä pitäisi saada näkemään turvallisuuden osana liiketoimintaa, eikä lisävelvoitteena, joka vain maksaa. Tämä voi olla vaikea pähkinä; ideoita?

Ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen: myös ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen aiheesta olisi tärkeätä. Heitä pitäisi saada näkemään kokonaisuuksia sekä sitä, miten kyberuhat voivat olla uhka valtion taloudelle ja turvallisuudelle. Kansallisen kyberturvallisuuden rakentamiseksi tarvitaan ehdottomasti tämän portaan tuki, jonka takia tietämystä aiheesta tulisi lisätä kokonaisvaltaisesti. Ei riitä, että uhka on tunnistettu siellä täällä, hajanaisesti. Tähän ehkä hyvin järjestetty teemapäivä, johon on kerätty edellä mainitusta kohderyhmästä edustajia, voisi olla paikallaan.

Avaan keskustelua siitä, mitä kohderyhmiä tulisi kouluttaa ja miten se voitaisiin tehdä! Olisi kiinnostavaa kuulla tämän blogin lukijoiden ajatuksia ja ideoita - keskustelu on toistaiseksi ollut todella mielenkiintoinen, joten odotan innolla kommenttejanne!