Peter Sund ja Antti Poikola

6 ehdotusta: Suomen digitaalista turvallisuutta on parannettava

|
Peter Sund ja Antti Poikola

Venäjän hyökkäys Ukrainaan on nostanut keskustelun kyberturvallisuudesta kaikkien huulille. Tiedämme, että Suomessakin on liikkeellä vaarallisia haittaohjelmia. Lisäksi on havaittavissa, että kybervakoilu on aktiivista ja kyberhyökkäykset esimerkiksi yritysten tuotanto- ja automaatiojärjestelmiin ovat lisääntyneet. Virinnyt tietoisuus kyberuhista on muuttumassa myös toimenpiteiksi esimerkiksi valtion kyberturvallisuuteen kohdentaman rahoituksen muodossa.

Kriisiin reagoitaessa on kuitenkin riskinä, että digitaalinen turvallisuus ymmärretään suppeasti kriisiaikojen kyberpuolustukseksi eikä resursseja kohdenneta parhaalla mahdollisella tavalla. Kyberpuolustuksen tärkeimmät elementit syntyvät rauhanajan pitkäjänteisestä riskien ennaltaehkäisytyöstä.

Kyberpuolustus on parhaimmillaan ennaltaehkäisyä, rauhanajan riskienhallintaa ja rikostentorjuntaa.
 

Valtiollistenkin kyberhyökkäysten torjunnan etulinjassa ovat kaikkien organisaatioiden tietoturvainsinöörit. Rauhanajan kyberrikolliset hyödyntävät samoja keinoja ja haavoittuvuuksia kuin valtioiden kriisiaikoina hyödyntämät toimijat. Vastaavasti kyberturvallisuuden parantamisesta on hyötyä niin kriisien aikana kuin niiden välilläkin.

Hieman yksinkertaistaen lähes kaikki todennäköiset uhat voidaan torjua modernilla kyberhygienialla eli laadukkaalla virustutkalla, asiallisella pääsyn ja identiteetin hallinnalla, ohjelmistojen päivittämiskäytännöillä sekä datan suojaamismenetelmillä. Tällöin häiriöitilanteita ilmenee vähemmän ja ne ovat vähemmän vahingollisia.

Yhteiskunnan digitaalisen turvallisuuden parantamiseen tarvitaan verkostomaista yhteistekemistä yritysten ja julkisen hallinnon välillä. Kaikki yritykset ja organisaatiot vastaavat omasta digitaalisesta turvallisuudestaan, mutta valtiolla on keskeinen rooli lainsäätäjänä, rikostentorjunnassa ja myös esimerkin näyttäjänä.

Kyberturvallisuus on myös poliittinen aihe, joka on nousemassa puolueiden agendalle.
 

Esimerkiksi Vihreiden hiljattain julkaistussa poliittisessa ohjelmassa vuosille 2023-2027 on seuraavat kirjaukset:

  • Lisätään rahoitusta kyberrikosten tutkintaan ja syyttäjälaitokselle kybersyyttäjien palkkaamiseen.
  • Luodaan valtionhallinnon yhteinen jatkuva haavoittuvuuspalkinto-ohjelma tietoturva-aukkojen löytämiseksi ennen kuin niistä aiheutuu haittaa.

Nämä ovat hyviä ehdotuksia, joille toivottavasti löytyy tukea muistakin puolueista. On myös muita ehdotuksia, joilla julkinen hallinto voi parantaa koko yhteiskunnan digitaalista turvallisuutta ja samalla tukea suomalaisten tietoturva-alan toimijoiden kansainvälistä markkinapotentiaalia.

  • Kyberrikosten tehokas torjunta ei voi perustua yksinomaan yritysten omaan toiminnan ja datan suojaukseen. On kehitettävä toimia, jotka vähentävät rikoksentekomahdollisuuksia sekä nostavat kiinnijäämisriskiä. Huomattava osa kyberrikollisista oleskelee maissa, joista tekijöitä ei helposti saada tuomioistuimeen Suomessa, mutta rajat ylittävän yhteistyön avulla vastuu voi toteutua muussakin maassa. Tämän lisäksi tekijöiden rikoksentekovälineistöön ja varallisuuteen voidaan vaikuttaa tehokkaasti. Esitutkintaviranomaiset, syyttäjälaitos ja tuomioistuimet tarvitsevat siis kukin riittävän panostuksen niin henkilöstöön kuin osaamiseen.
  • Haavoittuvuuspalkinto-ohjelmat (bug bounty) muodostavat yhteisöllisen tietoturvatestauksen menetelmän, jossa itsenäiset ja vapaasti ohjautuvat tietoturvatutkijat kutsutaan etsimään tietoturvahaavoittuvuuksia. Nämä toimintaan osallistuvat "hakkerit" raportoivat löytämänsä haavoittuvuudet ja saavat rahapalkkion. Bug bounty -ohjelmat ovat tehokas tapa täydentää perinteisiä sisäisiä tietoturva-auditointeja ja testauksia. Avoimiin ohjelmiin osallistuu parhaita osaajia jopa maailmanlaajuisesti, usein osallistujilla on erityisosaamista ja menetelmiä vaikeasti havaittavien monimutkaisten haavoittuvuuksien löytämiseen. Menetelmän käyttö sallii siis “hakkeroinnin” laillisesti hyväksyttävällä tavalla ja ohjaa tulokset tietoturvallisuuden parantamiseen.
  • Yhden luukun palvelu ilmoituksiin: Yhdistetään tietoturva- ja tietosuojaloukkauksia, tietojärjestelmä- tai verkkohäiriöitä sekä verkkorikoksia koskevat ilmoitusalustat yhdeksi palveluksi, jonka kautta uhri tai ilmoittaja voi laatia ilmoituksen usealle viranomaiselle kerrallaan. Mahdollistetaan samalla, että Traficomin Kyberturvallisuuskeskus voi tehdä rikosilmoituksen saamastaan tiedosta, mikäli ilmoituksen perusteella on syytä epäillä rikosta. Käytetään kertyvää dataa kyberturvallisuuden tilannekuvan koostamiseen.
  • Otetaan käyttöön määräaikainen tietoturvaseteli pk-yrityksille ja muille organisaatioille heille kriittisten tietojärjestelmien turvallisuuden tarkastamiseen ja parantamiseen. Tämä parantaisi laaja-alaisesti suomalaisen yhteiskunnan kyberturvallisuutta. Tietoturvaseteli olisi siis tuki, jolla helpotettaisiin hakijaorganisaatioiden mahdollisuutta panostaa esimerkiksi tietoturvan tarkastustoimintaan, parannusinvestointeihin, osaamisen kehittämiseen tai vaikkapa yllä mainittuihin haavoittuvuuspalkinto-ohjelmiin. Investoinnilla tietoturvaseteliin olisi välittömiä positiivisia vaikutuksia myös kyberturvallisuusalan tuotteiden ja palveluiden sekä osaamisen kehittymiseen Suomessa.
  • Lisätään täydennys- ja tutkintoon johtavaa koulutusta toiselle ja korkea-asteelle. Emme kouluta likimainkaan riittävästi osaajia kyberturvallisuuden alalle. Arvioiden mukaan tarvitsemme jopa 10 000 ammattilaista kyberturvallisuuden eri tehtäviin, kuten turvallisen tuotannon, suojaamisen, valvonnan ja analyysin sekä johtamisen työtehtäviin Suomessa seuraavien vuosien aikana.  Digivihreä siirtymä kiihdyttää osaajien tarvetta.
  • Perustetaan yhteiskunnan avaintoimijoille digitaalisen kyvykkyyden kurssi, jonka vertailumallina voidaan käyttää maailmalla ainutlaatuista, mutta Suomessa pitkät perinteet omaavaa maanpuolustuskurssia. Digitaalisen kyvykkyyden kurssissa ei kuitenkaan tule olla kyse maanpuolustuksesta, vaan digitaalisen Suomen kriittisten toimintojen ymmärtämisestä sekä toimintaedellytysten kehittämisestä laajasti ja yhteiskunnan läpäisevästi.

Lisätiedot:

Peter Sund, Kyberala ry:n toimitusjohtaja, peter.sund@teknologiateollisuus.fi, @PeteSund
Antti "Jogi" Poikola, johtava datatalouden asiantuntija, antti.poikola@teknologiateollisuus.fi, @apoikola

Lue lisää:

Yritysturvallisuus: Digitaalinen turvallisuus on yhä tärkeämpää 
Teknoblogi: Huoltovarmuus digitaalisessa ympäristössä: pilveen vai ei?