Viime kevään aikana keskustelu siitä, mitä kuuluu "kybertoimintaympäristöön" ja mitä ei, on ollut vilkasta. Näkemyksiä on laidasta laitaan.
Osa ovat sitä mieltä, että kybertoimintaympäristö on sama kuin Internet. Mielestäni tämä näkemys on kuitenkin liian rajoittunut. On paljon muitakin verkkoja, verkostoja ja järjestelmiä, jotka ovat merkittäviä toiminnan kannalta, mutta jotka eivät olet kytköksessä Internettiin millään tavalla. Tällä määritelmällä myös historian ehkä toistaiseksi merkittävin ja tunnetuin kybertapahtuma, eli Stuxnet, jäisi kybertoimintaympäristöstä pois.
Toinen näkemys on se, että käytännössä kaikki ICT-teknologia ovat osa kybertoimintaympäristöä. Sinänsä verkkoteoria tukisi tätä näkemystä siltä osin, että verkko voi koostua vain yhdestä solmusta, tai verkko voi koostua useammasta solmusta, jotka eivät ole toisiinsa kytkettyinä; verkko on tässä jälkimmäisessä tapauksessa vain epäyhtenäinen. Tästä teoriasta ei mielestäni ole käytännön tason hyötyä; syntyy inflaatio, jonka mukaan kaikki on kyberiä, jonka jälkeen mikään ei ole kyberia. Ehkä kyberavaruus voisi olla tämä kaikkea kattavaa ICT:tä, mutta toimintaympäristö lienee se osa avaruutta, jossa de fakto toimitaan?
Samalla minua häiritsee se, että kyberin määritelmiä yritetään sitoa liian vahvasti teknologiaan, eikä niinkään vaikuttavuuteen toimintaan.
Ehkä mitään kiveen hakattua matemaattisesti tarkkaa määritelmää ei ole, vaan toimintaympäristö on joitakin kriteereitä täyttävä kokonaisuus, jota pitää ymmärtää tapauskohtaisesti? Esim. ei ehkä ole kovinkaan mielekästä miettiä yksittäistä kotitietokonetta merkittävänä toimintaympäristön osana, mutta kun tämä sama kotitietokone yhdessä tuhansien muiden, samankaltaisten tietokoneiden kanssa muodostaa bottiverkon, jolla tehdään vaikutukseltaan tuhoisan palvelunestohyökkäyksen johonkin kohteeseen, joka aiheuttaa useampien miljoonien eurojen menetykset tai jopa ihmishenkien menetyksiä, on tilanne toinen.
Mielestäni toimintaympäristön kriteereihin pitäisi kuulua ainakin seuraavat asiat:
1) Toimintaympäristöön kuuluu ne laitteet/ohjelmistot, joiden kautta on mahdollista saada aikaan vaikutus johonkin "merkittävään" toimintaan. Vaikutus voi olla fyysinen (esim. sabotaasi, niinkuin Stuxnetin tapauksessa), toiminnallinen (rahaliikenne), sosiaalinen (vaikuttaa päätöksentekoon tai maineeseen), tai jotain muuta vastaavaa.
2) Koska vaikutus saadaan aikaan näiden laitteiden/ohjelmistojen kautta, tulee niillä olla rajapintoja (I/O), jonka kautta ne kommunikoivat toisten laitteiden tai käyttäjien kautta. Tämä ei siis tarkoita, että rajapinnat ovat aina auki ja käytössä; pointtina on lähinnä se, että niiden toimintaan voidaan vaikuttaa niiden ulkopuolelta.
3) Pitää olla olemassa taho, jolla on riittävä kyky ja motivaatio vaikuttaa ko ympäristössä. Tai vähintään pitää olla realistisesti mahdollista, että tällainen taho voi ilmestyä jostain.
Nämä kriteerit eivät ehkä vie eteenpäin kybertoimintaympäristön määrittämisessä, mutta ehkä ne auttaa analysoimaan yhteiskunnan ja elinkeinoelämän kannalta ne kohteet, jotka ovat jollain tavalla mielenkiintoisia. Herättäisinkin lukijoitani, mikäli kesälomiltanne ehditte, kirjoittamaan omia näkemyksiänne! Mikä on kybertoimintaympäristöä ja mikä ei, onko se aina yksi ja sama, vai onko tarkasteltava tapauskohtaisesti,... ?