Top 1 Reason to write a National Cyber Security Strategy

National cyber security strategies have been emerging like mushroom in the rain. While some countries are working on their very first one, some have already published their second and are commencing work on their third.

During the last few years, I have made several comparisons between national cyber security strategies and the overall approaches taken by nations when it comes to dealing with cyber security and defence. When asked which nations I believe are the most/least advanced (this is a frequently occuring question during my presentations on cyber security and defence), I always use the cyber security strategies (or lack thereof) as a reference. Why? Because having a cyber security strategy (unless it is a really bad one) shows that a nation has at least sat down and thought about the issue. Even more importantly, not having one tells you otherwise.

There are many reasons to write a cyber security strategy, but this blogpost will focus on just one reason, which I believe, in this case, to be the most important one.

The main reason to write a national cyber security strategy is the things you learn from writing it!

We all know by now that cyber security is not something that can be left to one party alone. Since cyber threats, in all their dimensions, affect the whole society, a comprehensive approach to dealing with its security issues is needed. First of all, the various governmental sectors need to forget about their sandboxes and start thinking in the lines of collaboration. Second, the private sector must be included in the work. When it comes to industry, one should not only consider the views of the cyber experts from the cyber industry, but also take into consideration the viewpoints of the business leadership of critical industry, regardless of their field. Third, the academic sector as well as the third sector should be included to incorporate the visions of the future as well as the voice of the citizens.

Needless to say, this is not a trivial task! Interestingly enough, it seems that in this case the smaller nations actually have an advantage over the larger ones. Small comes with flexibility and tight social networks. Small also comes with traditions of intersectoral collaboration, as working together has always been a necessity to survive. And while resources is a common concern among both big and small, it is not as detrimental when it comes to cyber as it is in many traditional and "physical world" fields. But even for a small nation, writing a cyber security strategy taking into consideration all of the above, takes a lot of effort. For a larger nation, even more so!

Since the work has to be done on such a broad level, a nation really has to come together and figure out what it wants when it comes to cyber security (vision and objectives), what are its strengths that can be built on, what are its weaknesses that need to be bridged, who can and should do what, what does the legislation say or what is it lacking, etc. Clearly, this work will include heavy debates, negotiations, compromises, and lots of homework. Also, international collaboration is vital, but should only be considered once the national aspects are figured out - because in the end, each nation is responsible for its own cyber security, no matter how global the phenomenon is. The international community is not going to save a nation that has not bothered to think about its own resilience!

So, what happens during the process of writing a good cyber security strategy? Typically, the eyes of the various sectors are opened and deepened to the needs and natures of the other sectors. Weaknesses found in one sector may suddenly find a surprising solution from the strengths of another. Responsibilities become clear(er). Priorities are set. A foundation for international collaboration is laid. And of course, a whole new set of problems are found and identified, if not yet solved. By going through the whole process, in all its complexity, a nation steps up one level when it comes to cyber security maturity. The things learnt and achieved by going through this process are extremely valuable for anything the nation will approach from there on. Hence, it is the Top One Reason to write the strategy in the first place.

This is, of course, not enough. A cyber security strategy is not complete without an action plan and the will, budget, and know-how to implement it. But that is another topic altogether,...

Tulisiko kansallista kyberturvallisuusstrategiaa päivittää?

Aalto-yliopiston Kyberturvallisuuden professori Jarno Limnell kirjoittaa Turun Sanomien vieraskynässä 12.1. samasta aiheesta kuin minä edellisessä blogipostauksessani, eli Suomesta kyberturvallisuuden edelläkävijänä. Limnellin näkemyksen mukaan kansallisen kyberturvallisuusstrategian päivittämisen tarvetta ei ole, mutta kyberturvallisuusstrategian toimeenpano-ohjelman 74 toimenpidekohdetta sen sijaan vaativat hänen mukaansa uudelleentarkastelua ja kovaa työtä niiden toteuttamiseksi. Limnell nostaa erityisesti viisi seikkaa tarkasteltavaksi, mikäli Suomi haluaa nousta nykyistä korkeammalle tasolle ja tavoitella edelläkävijyyttä. Ne ovat:

1. Johtaminen: suomalaisen kyberturvallisuuden suurin heikkous on sen johtamattomuus. On ymmärrettävää, että vastuuta on haluttu hajauttaa eri tahoille, mutta samalla olemme tilanteessa, jossa tätä kaikkia koskettavaa asiaa ei riittävästi johda kukaan. Perinteisen hierarkisen johtamismallin luomisen sijasta kyberturvallisuus tarvitsee vahvaa verkoston johtajuutta riittävin toimivaltuuksin.
2. Tahtotila: on päätettävä mikä on jatkossa kyberturvallisuuden kansallinen tahtotila ja suhteutettava toimenpiteet sekä resurssit sen mukaisesti. Edellytyksiä edelläkävijyyteen Suomella on, mutta nyt tarvitaan puheiden sijasta tekoja. Kyberturvallisuudessa Suomella on todelliset mahdollisuudet olla edelläkävijä niin yhteiskunnallisesti kuin myös liiketoiminnallisesti.
3. Osaaminen: osaamisen tasoa on pystyttävä nostamaan ja laajentamaan. Alan koulutus ja tutkimus on viime vuosina lisääntynyt, mutta alan osaajista on jo nyt Suomessa puute. Osaajien kouluttaminen edellyttää hajanaisen koulutuksen nykyistä parempaa koordinaatiota oppilaitosten välillä sekä tutkimustoiminnan monipuolistamista. 
4. Kansalliset yritykset ja niiden omistajuus: useiden menestyvien suomalaisten yritysten siirtyminen ulkomaalaisomistukseen vaarantaa kyberomavaraisuuttamme. Huippuosaamista tulee tarvittaessa valtiollisin toimin pystyä pitämään Suomessa, ja suomalaisten tuotteiden tukeminen vientimarkkinoilla on ymmärrettävä yhtenä kärkihankkeena.
5. Yleinen kiinnostus: yleisen kiinnostuksen lisääntymisestä huolimatta on tietoisuutta kyberturvallisuudesta järjestelmällisesti lisättävä niin poliittisten päättäjien, yrityselämän kuin kansalaisten keskuudessa.

Näistä viidestä kohdasta on helppo olla samaa mieltä, mutta juuri sen takia olen Limnellin kanssa eri mieltä kansallisen kyberturvallisuusstrategian päivittämisen tarpeesta. Jotta edellä mainituille kohdille olisi mahdollista tehdä jotain perustavaa laatua, on strategiatyöhön palattava.

Kansallinen strategia toimenpideohjelmineen on parhaimmillaan ilmaisu sen laatijoiden yhteisymmärryksestä tavoitteesta sekä tavoitteen saavuttamiseksi tarvittavista toimenpiteistä. Se tietyllä tavalla sitouttaa tahot (ainakin moraalisesti) toimimaan yhdessä sovitun agendan edistämiseksi. 

Limnellin mainitsemat viisi kohtaa eivät toteudu pelkästään tehostamalla nykyisen kyberturvallisuusstrategian toimenpideohjelman eteenpäinviemistä, vaan vaativat hyvin todennäköisesti merkittäviä rakennemuutoksia. Tämän mittakaavan rakennemuutoksia eivät synny itsestään «keskenään sopimalla» eivätkä ne synny kitkatta. Tämän takia tarvitaan strategiatyö, joka palaa kaiken muun perustana olevaan kysymykseen (Limnellin kohta 2): mikä on Suomen tavoite?

Limnellin viidestä kohdasta erityisesti johtamiseen liittyvä kohta on sellainen, joka saattaa edellyttää tuntuvia muutoksia nykyiseen. Yhtenä esimerkkinä voisi nostaa kielletty kysymys Kyberturvallisuuskeskuksen roolista ja sijainnista: onko kansallisen kyberturvallisuuskeskuksen oikea sijainti Viestintäviraston alaisuudessa ja onko sen rooli ja toimivaltuudet riittävän kattavat? Korostan tässä, että mielestäni sekä Viestintävirasto että Kyberturvallisuuskeskus tekevät hyvää työtä, ja Viestintävirasto oli ehdottomasti paras ratkaisu kyberturvallisuuskeskuksen kodiksi perustamisvaiheessa. Kyberuhkat kehittyvät kuitenkin kovaa vauhtia. YLE:n kirjoitus venäläisten hyökkäyksestä Ulkoasiainministeriöön on vain yksi esimerkki. Ukrainaan sähköverkkoihin kohdistuneet hyökkäykset varmasti nostivat kulmakarvoja niissä, jotka ovat äskettäin lukeneet Ilkka Remeksen « Jäätyvän Helvetin » ja pohtineet, voisiko tällaista oikeasti tapahtua. Kysymys onkin: onko Kyberturvallisuuskeskuksen oikea paikka Liikenne- ja viestintäministeriön alaisuudessa olevan viraston alaisuudessa, vai voisiko se olla jokin muu? Pitäisikö sen olla lähempänä Pääministerin oikeata kättä? Pitäisikö se yhdistää muihin toimijoihin, joilla on merkittävä vastuu esim. valtionhallinnon ICT:n toimivuudesta ja samalla laajentaa tämän tahon toimintakenttää kattamaan sekä yhteiskunnan että valtionhallinnon kyberturvallisuutta? Pitäisikö tarkastella Tanskan mallia, jossa kansallinen kyberturvallisuuskeskus toimii osana puolustusministeriön alaisuudessa olevaa tiedustelulaitosta, joka myös vastaa kyberpuolustuksesta? En tietenkään esitä tässä blogipostauksessa vastausta tähän kysymykseen, koska tämä vastaus on nimenomaan sellainen, jota pitäisi etsiä kansallisen strategiatyön kautta, koska päätös on mitä suurimmassa määrin strateginen! Mikä on Suomen tavoite…

Jos strategiaa sitten päivitetään, niin miten voidaan varmistaa, että uudesta strategiasta tulee kansallisesti merkittävä? Ideaalimaailmassa tämä kysymys nostettaisiin jopa pois hallinnonalojen ulottuvilta, näin korostaen hallinnonalojen roolia politiikkaa toteuttavina portaina. Reaalimaailmassa tämä tuskin kuitenkaan tapahtuu. Tiettyjä reunaehtoja tulisi kuitenkin asettaa:

1. Strategiatyössä ei saa olla ennalta päätettyjä asioita eikä kiellettyjä kysymyksiä. Edelläkävijyyttä ei saavuteta puolustamalla vanhoja linnakkeita, vaan rohkeudella purkaa vanhoja hiekkalaatikoita sekä rakentamalla uutta tilalle. Riskejä on tarvittaessa uskallettava ottaa, jos menestymisen mahdollisuus sitä vaatii.
2. Strategiatyö ei saa olla pelkästään hallinnonalojen välistä. Edellisessä strategiatyössä oli toki mukana muutama yritysedustaja, mutta nämä, vaikka hyviä olivatkin, edustivat pääsääntöisesti kyberalan yrityksiä. Seuraavassa strategiatyössä tulisi korostuneemmin kuunnella yksityisen sektorin ääntä – erityisesti ns « bisnestä tekevän portaan » näkemyksiä. Kenties pitää rohjeta todeta, että osa toimijoista pärjää nykyisellä strategialla ja sen toimenpideohjelmalla, jolloin seuraavassa versiossa voisi keskittyä niihin, joilla on suurin yhteiskunnallinen merkitys tässä viitekehyksessä.
3. Kun asetetaan tavoite, sen pitää olla siltä osin realistinen, että tahto ja kyky saavuttaa se, on olemassa. Se edellyttää sekä resursseja että muutosta.

Mikäli lähtokohtana on, että resursseja ei tule eikä muutoksia suostuta tekemään, niin silloin uutta strategiaa ei kannata tehdä. Silloin kannattaa myös unohtaa nykyisen strategian visiota edelläkävijyydestä. Tällöin Suomella on kyberturvallisuuden osalta takana loistava tulevaisuus. Haluan silti edelleen uskoa Suomen mahdollisuuksiin kyberturvallisuusalalla. Kuten Limnell kirjoittaa, nyt tarvitaan tekoja, ei sanoja.