13/01/2016

Tulisiko kansallista kyberturvallisuusstrategiaa päivittää?


Aalto-yliopiston Kyberturvallisuuden professori Jarno Limnell kirjoittaa Turun Sanomien vieraskynässä 12.1. samasta aiheesta kuin minä edellisessä blogipostauksessani, eli Suomesta kyberturvallisuuden edelläkävijänä. Limnellin näkemyksen mukaan kansallisen kyberturvallisuusstrategian päivittämisen tarvetta ei ole, mutta kyberturvallisuusstrategian toimeenpano-ohjelman 74 toimenpidekohdetta sen sijaan vaativat hänen mukaansa uudelleentarkastelua ja kovaa työtä niiden toteuttamiseksi. Limnell nostaa erityisesti viisi seikkaa tarkasteltavaksi, mikäli Suomi haluaa nousta nykyistä korkeammalle tasolle ja tavoitella edelläkävijyyttä. Ne ovat:
  1. Johtaminen: suomalaisen kyberturvallisuuden suurin heikkous on sen johtamattomuus. On ymmärrettävää, että vastuuta on haluttu hajauttaa eri tahoille, mutta samalla olemme tilanteessa, jossa tätä kaikkia koskettavaa asiaa ei riittävästi johda kukaan. Perinteisen hierarkisen johtamismallin luomisen sijasta kyberturvallisuus tarvitsee vahvaa verkoston johtajuutta riittävin toimivaltuuksin.
  2. Tahtotila: on päätettävä mikä on jatkossa kyberturvallisuuden kansallinen tahtotila ja suhteutettava toimenpiteet sekä resurssit sen mukaisesti. Edellytyksiä edelläkävijyyteen Suomella on, mutta nyt tarvitaan puheiden sijasta tekoja. Kyberturvallisuudessa Suomella on todelliset mahdollisuudet olla edelläkävijä niin yhteiskunnallisesti kuin myös liiketoiminnallisesti.
  3. Osaaminen: osaamisen tasoa on pystyttävä nostamaan ja laajentamaan. Alan koulutus ja tutkimus on viime vuosina lisääntynyt, mutta alan osaajista on jo nyt Suomessa puute. Osaajien kouluttaminen edellyttää hajanaisen koulutuksen nykyistä parempaa koordinaatiota oppilaitosten välillä sekä tutkimustoiminnan monipuolistamista. 
  4. Kansalliset yritykset ja niiden omistajuus: useiden menestyvien suomalaisten yritysten siirtyminen ulkomaalaisomistukseen vaarantaa kyberomavaraisuuttamme. Huippuosaamista tulee tarvittaessa valtiollisin toimin pystyä pitämään Suomessa, ja suomalaisten tuotteiden tukeminen vientimarkkinoilla on ymmärrettävä yhtenä kärkihankkeena.
  5. Yleinen kiinnostus: yleisen kiinnostuksen lisääntymisestä huolimatta on tietoisuutta kyberturvallisuudesta järjestelmällisesti lisättävä niin poliittisten päättäjien, yrityselämän kuin kansalaisten keskuudessa.
Näistä viidestä kohdasta on helppo olla samaa mieltä, mutta juuri sen takia olen Limnellin kanssa eri mieltä kansallisen kyberturvallisuusstrategian päivittämisen tarpeesta. Jotta edellä mainituille kohdille olisi mahdollista tehdä jotain perustavaa laatua, on strategiatyöhön palattava.

Kansallinen strategia toimenpideohjelmineen on parhaimmillaan ilmaisu sen laatijoiden yhteisymmärryksestä tavoitteesta sekä tavoitteen saavuttamiseksi tarvittavista toimenpiteistä. Se tietyllä tavalla sitouttaa tahot (ainakin moraalisesti) toimimaan yhdessä sovitun agendan edistämiseksi. 

Limnellin mainitsemat viisi kohtaa eivät toteudu pelkästään tehostamalla nykyisen kyberturvallisuusstrategian toimenpideohjelman eteenpäinviemistä, vaan vaativat hyvin todennäköisesti merkittäviä rakennemuutoksia. Tämän mittakaavan rakennemuutoksia eivät synny itsestään «keskenään sopimalla» eivätkä ne synny kitkatta. Tämän takia tarvitaan strategiatyö, joka palaa kaiken muun perustana olevaan kysymykseen (Limnellin kohta 2): mikä on Suomen tavoite?

Limnellin viidestä kohdasta erityisesti johtamiseen liittyvä kohta on sellainen, joka saattaa edellyttää tuntuvia muutoksia nykyiseen. Yhtenä esimerkkinä voisi nostaa kielletty kysymys Kyberturvallisuuskeskuksen roolista ja sijainnista: onko kansallisen kyberturvallisuuskeskuksen oikea sijainti Viestintäviraston alaisuudessa ja onko sen rooli ja toimivaltuudet riittävän kattavat? Korostan tässä, että mielestäni sekä Viestintävirasto että Kyberturvallisuuskeskus tekevät hyvää työtä, ja Viestintävirasto oli ehdottomasti paras ratkaisu kyberturvallisuuskeskuksen kodiksi perustamisvaiheessa. Kyberuhkat kehittyvät kuitenkin kovaa vauhtia. YLE:n kirjoitus venäläisten hyökkäyksestä Ulkoasiainministeriöön on vain yksi esimerkki. Ukrainaan sähköverkkoihin kohdistuneet hyökkäykset varmasti nostivat kulmakarvoja niissä, jotka ovat äskettäin lukeneet Ilkka Remeksen « Jäätyvän Helvetin » ja pohtineet, voisiko tällaista oikeasti tapahtua. Kysymys onkin: onko Kyberturvallisuuskeskuksen oikea paikka Liikenne- ja viestintäministeriön alaisuudessa olevan viraston alaisuudessa, vai voisiko se olla jokin muu? Pitäisikö sen olla lähempänä Pääministerin oikeata kättä? Pitäisikö se yhdistää muihin toimijoihin, joilla on merkittävä vastuu esim. valtionhallinnon ICT:n toimivuudesta ja samalla laajentaa tämän tahon toimintakenttää kattamaan sekä yhteiskunnan että valtionhallinnon kyberturvallisuutta? Pitäisikö tarkastella Tanskan mallia, jossa kansallinen kyberturvallisuuskeskus toimii osana puolustusministeriön alaisuudessa olevaa tiedustelulaitosta, joka myös vastaa kyberpuolustuksesta? En tietenkään esitä tässä blogipostauksessa vastausta tähän kysymykseen, koska tämä vastaus on nimenomaan sellainen, jota pitäisi etsiä kansallisen strategiatyön kautta, koska päätös on mitä suurimmassa määrin strateginen! Mikä on Suomen tavoite…

Jos strategiaa sitten päivitetään, niin miten voidaan varmistaa, että uudesta strategiasta tulee kansallisesti merkittävä? Ideaalimaailmassa tämä kysymys nostettaisiin jopa pois hallinnonalojen ulottuvilta, näin korostaen hallinnonalojen roolia politiikkaa toteuttavina portaina. Reaalimaailmassa tämä tuskin kuitenkaan tapahtuu. Tiettyjä reunaehtoja tulisi kuitenkin asettaa:
  1. Strategiatyössä ei saa olla ennalta päätettyjä asioita eikä kiellettyjä kysymyksiä. Edelläkävijyyttä ei saavuteta puolustamalla vanhoja linnakkeita, vaan rohkeudella purkaa vanhoja hiekkalaatikoita sekä rakentamalla uutta tilalle. Riskejä on tarvittaessa uskallettava ottaa, jos menestymisen mahdollisuus sitä vaatii.
  2. Strategiatyö ei saa olla pelkästään hallinnonalojen välistä. Edellisessä strategiatyössä oli toki mukana muutama yritysedustaja, mutta nämä, vaikka hyviä olivatkin, edustivat pääsääntöisesti kyberalan yrityksiä. Seuraavassa strategiatyössä tulisi korostuneemmin kuunnella yksityisen sektorin ääntä – erityisesti ns « bisnestä tekevän portaan » näkemyksiä. Kenties pitää rohjeta todeta, että osa toimijoista pärjää nykyisellä strategialla ja sen toimenpideohjelmalla, jolloin seuraavassa versiossa voisi keskittyä niihin, joilla on suurin yhteiskunnallinen merkitys tässä viitekehyksessä.
  3. Kun asetetaan tavoite, sen pitää olla siltä osin realistinen, että tahto ja kyky saavuttaa se, on olemassa. Se edellyttää sekä resursseja että muutosta.
Mikäli lähtokohtana on, että resursseja ei tule eikä muutoksia suostuta tekemään, niin silloin uutta strategiaa ei kannata tehdä. Silloin kannattaa myös unohtaa nykyisen strategian visiota edelläkävijyydestä. Tällöin Suomella on kyberturvallisuuden osalta takana loistava tulevaisuus. Haluan silti edelleen uskoa Suomen mahdollisuuksiin kyberturvallisuusalalla. Kuten Limnell kirjoittaa, nyt tarvitaan tekoja, ei sanoja.