Julkisen ja yksityisen sektorin yhteistyö vahvasti esillä Suomen ETYJ-puheenjohtajuuden kyberturvallisuusseminaarissa
Vuosittainen ETYJ:n puheenjohtajuuskonferenssi kyber- ja ICT-turvallisuudesta järjestettiin 1.10.2025 Helsingissä teemalla ”Resilient cyberspace: principles, partnership and path ahead”. Tapahtumassa keskityttiin erityisesti koko yhteiskunnan lähestymistapaan ja yksityisen sektorin rooliin kyberturvallisuusuhkiin vastaamisessa. Kyberalan toimitusjohtaja Peter Sund osallistui paneeliin, joka käsitteli kokonaisturvallisuuden lähestymistapaa ja yksityisen sektorin roolia kyberuhkien hallinnassa.
Pääpuheenvuoro ja Ukrainan kokemukset
Konferenssissa kuultiin mm. Ukrainan kokemuksia sodan ja siihen liittyvien kyberuhkien keskellä. Kuluneen viikon aikana Venäjä on suorittanut 126 drooni-iskua ja viisi ohjusiskua, joiden rinnalla niin aiempien kuin uusien kyberuhkien ulottuvuudet vaikuttavat yhteiskunnan toimintaan. Tämän vuoksi eritasoisen uhkiin liittyvien tietojen jakamisen ja monialaisen yhteistyön merkitys korostuu entisestään. Ukraina hyötyi merkittävästi siitä, että sillä oli kyberturvallisuusstrategia ja toimivat prosessit jo ennen vuoden 2022 hyökkäystä. Julkisen ja yksityisen sektorin yhteistyö sekä luottamuksen rakentaminen yritysten ja viranomaisten välillä olivat keskeinen tekijä tilanteen hallinnassa. Pilvipalveluihin siirtyminen toi ylimääräisen resilienssikerroksen, ja suurten teknologiayritysten (kuten Amazon, Google ja Microsoft) tuki oli erityisesti sodan alkuvaiheessa ratkaisevaa.
Esille nostettiin myös haaste, kuinka jatkossa rahoitetaan palvelut, joita Ukraina tällä hetkellä saa kansainvälisen avun turvin. Ukraina painottaa, että tahalliset kyberhyökkäykset siviili-infrastruktuuria vastaan tulisi nähdä sotatoimina. Starlink ja sitä tukevat yritykset ovat olleet elintärkeitä, mutta samalla pohdittiin, mitä vaihtoehtoja Starlinkille voisi olla. Kyberturvallisuuden kustannusten budjetointi on osoittautunut vaikeaksi.
Toimintamallit ja kansainvälinen yhteistyö
Paneelikeskusteluissa käsiteltiin muun muassa toimitusketjujen turvallisuutta. Esimerkkinä mainittiin tilanne, jossa kaupunki joutui tietoturvaloukkauksen kohteeksi voimalaitoksen sähkömittareiden kautta, mikä johti sähköjakelun katkeamiseen. Todettiin, että parhaiden tietoturvakriteerien määrittely vaatii tiivistä yhteistyötä yritysten kanssa.
Tallinnan mekanismi nähtiin yhtenä yhteistyön välineenä, mutta pohdittiin myös, pitäisikö esimerkiksi yhdistysten kanssa tehdä laajempaa yhteistyötä, kun yrityksiä on paljon. Tällöin tulisi tasapainoilla turvallisuuden, vaatimustenmukaisuuden, avoimien markkinoiden ja liiketoimintaetiikan välillä. Globaalissa taloudessa infrastruktuuria tulee rakentaa juridisesti, teknisesti ja osaamisen kannalta kestävällä tavalla.
Yhteiskunnan tasolla myös ns. kyberhygienian edistäminen nousi keskusteluun – kyberhygienia rinnastettiin lasten opettamiseen käsihygieniaan: tiedostava opastus auttaa ehkäisemään uhkia.
Julkisen ja yksityisen sektorin kumppanuuden merkitys
ETYJ:n kyberturvallisuuskumppanuusjulkaisun (2023) mukaan viranomaiset eivät kykene torjumaan turvallisuusuhkia yksin, sillä yritykset tuottavat ja ylläpitävät tarvittavaa teknologiaa ja järjestelmiä. Esimerkiksi Romanian kansallisen kyberturvallisuusviraston edustaja toi esille, että Romania on ottanut PPP-yhteistyön vakavasti jo vuodesta 2012 ja ottanut yritykset heti mukaan suojaamaan kriittistä infrastruktuuria. Yksityinen sektori on näin pystynyt tunnistamaan oikeat julkiset kumppanit, kun toimivaltuudet ja vastuut on määritelty selkeästi.
Virossa PPP-malli on ollut aina keskeinen osa toimintaa, ja valtioiden kyvykkyydet uhkatiedon hankinnassa ovat rajallisia verrattuna esimerkiksi kansainvälisiin teknologiayrityksiin. Valtio tuottaa kyberturvallisuutta julkishyödykkeenä, kun taas yritykset kehittävät siihen liittyviä tuotteita ja palveluita. Kyberturvallisuus tulisi nähdä osana laajempaa valtiotasoista agendaa, joka kattaa myös ohjelmistot ja infrastruktuurin. Valtionhallinnoille on hyvin haastavaa estää tietoturvaloukkauksia, mutta ne voivat tukea markkinoiden syntyä ja luoda kannustimia kyberturvallisuuden riskienhallinnalle ja tehokkaiden keinojen käyttöönottamiselle kaikkialla yhteiskunnassa.
Paneelikeskustelussa korostettiin, että kyberturvallisuus on kyberturvallisuusteollisuudelle ennen kaikkea yhteiskunnallinen hyvinvointi- ja turvallisuuskysymys, ei pelkästään liiketoimintamahdollisuus. Data ja digitaaliset järjestelmät ovat kyberturvallisuuden ytimessä, ja tulevaisuudessa kriittisten teknologioiden rooli korostuu entisestään.
Haasteet ja kehityskohteet
PPP-yhteistyön todettiin olevan ainoa varteenotettava tie eteenpäin optimaalisten rakenteiden ja viranomaistehtävien kehittämisessä. Kokemusten jakaminen ja avoin keskustelu erilaisista digitaalisen ympäristön haavoittuvuuksista nähtiin erityisen tärkeänä. Paneelissa keskusteltiin myös siitä, miten julkinen tietoisuus ja kyberhygienia ovat keskeisiä turvallisuustyössä, ja että pelon lietsominen hyödyttää vain hyökkääjiä. Tietoturvaloukkauksista tulee viestiä, mutta samalla tulisi viestiä myös täsmällisemmin, miten asiaa ratkaistaan.
Eräs esiin nostettu haaste oli, että pelkkä viranomaisresurssien ja laajojen toimivaltuuksien asettaminen ei riitä, vaan pikemminkin päinvastoin, koska tietojärjestelmien hallinta ja riskinhallintatoimenpiteet ovat pääosin yritysten ja yhteisöjen vastuulla ja käsissä. Lisäksi mm. Incident response -palveluiden olemassaolon ja kehittymisen varmistaminen edellyttää, että yhteiskunnassa säilyy palveluille toimiva markkina.
Viro painotti kansainvälisen oikeuden soveltamisen tärkeyttä kyberturvallisuudessa ja kyberuhkatiedon jakamisen merkitystä. Kansainvälisesti alle 30 maata oli kehittänyt kyberturvallisuuden oikeudellista ymmärrystä, mutta YK:n työn ansiosta luku on noussut yli sataan.
Romania on paraikaa NIS2-direktiivin implementointivaiheessa ja käy aktiivista vuoropuhelua yksityisen sektorin kanssa. Haasteena on osin toimenpiteiden monimutkaisuus, mutta riskienhallintatoimia kehitetään yhdessä.
Teknologian nopea kehitys tuo jatkuvasti uusia riskejä, joita ei aina ymmärretä täysin. EU:n tekoälyasetus mainittiin esimerkkinä siitä, miten systeemisiä riskejä pyritään hallitsemaan lainsäädännön keinoin.