Pentti Olin: Turvallisuuskomitea katsoo kyberturvallisuutta koko yhteiskunnan näkökulmasta
Suomalaista kyberosaamista kannattaa kohentaa kaikilla tasoilla. Kyberturvallisuuden koulutuksen lisääminen eri koulutusasteilla tuo työmarkkinoille osaamista, jota julkishallinto ja yritykset tällä hetkellä kaipaavat. Yhteisellä harjoittelulla ja vahvistuvalla osaamisella pääsemme kohti yhteiskunnan menestystä ja kriisinkestävyyttä, muistuttaa Turvallisuuskomitean erikoistutkija Pentti Olin. Tässä kirjoituksessaan hän kertoo Turvallisuuskomitean roolista.
Turvallisuuskomitea on valtioneuvoston asiantuntijaelin, joka yhteensovittaa yhteiskunnan eri tahojen varautumista. Luonteensa mukaisesti sen tehtävä on koordinoida kokonaisturvallisuuteen ja yhteiskunnan varautumiseen liittyviä asioita.
Komitealla ei ole toimivaltaisen viranomaisen roolia, eli määräysvaltaa toisten organisaatioiden toimintaan. Se ei voi siis käskyttää tai määrätä organisaatioita tekemään mitään. Tämä koskee myös kyberturvallisuutta. Kansallisen kyberturvallisuusstrategian mukaan Turvallisuuskomitea seuraa ja yhteensovittaa strategian toimeenpanoa.
Mandaatti siis koskee ennen kaikkea sitä, miten strategiaa toimeenpannaan ja miten sen toimeenpanoa edistetään. Turvallisuuskomitea ei puutu ministeriöiden, virastojen, eikä yritysten tai muiden organisaatioiden kyberturvallisuuden järjestelyihin, eikä anna ohjeistuksia tai linjauksia siitä, miten niiden pitäisi oma tietoturvallisuutensa hoitaa.
Kyberturvallisuuden toimeenpanossa on useita ulottuvuuksia. Luonnollisesti valtionhallinnon ja laajemmin julkishallinnon on pidettävä huolta omien tietoverkkojensa ja tietovarantojensa turvallisuudesta ja käytettävyydestä niin, että viranomaiset pystyvät hoitamaan lakisääteiset tehtävänsä. Valtaosa hallinnon käyttämistä tietoteknisistä palveluista on kuitenkin erilaisten yritysten tuottamia. Valtio on siten erittäin riippuvainen yritysten tuottamista tieto- ja kyberturvallisuuteen liittyvistä palveluista.
Niin sanotussa fyysisessä maailmassa työturvallisuus on seikka, joka on tunnustettu ja tunnistettu osa työntekoa. Työturvallisuudesta pyritään huolehtimaan kaikin mahdollisin tavoin. Liikenteessä, rakennustyömailla tai toimistotyöskentelyssä koetetaan työn luonne huomioon ottaen parhaalla mahdollisella tavalla huolehtia turvallisista työskentelyolosuhteista. Turvallisuutta edistetään koulutuksella, turvallisuustapahtumia tilastoidaan ja olosuhteita ja työn järjestelyjä sovitetaan niin, että turvallisuus ei vaarantuisi.
Pahimmassa tapauksessa onnettomuuden sattuessa työnantaja saattaa joutua maksumieheksi työturvallisuuden laiminlyönnistä. Yhtä lailla työntekijän heikko turvallisuusosaaminen, vajavainen ammattitaito tai ylimielinen asenne turvallisuuteen on huono yhdistelmä missä tahansa työpaikalla. Heikkoon työturvallisuuteen liittyy yrityksen kannalta myös iso maineriski.
Miten tämä liittyy kyberturvallisuuteen? Koko ajan yhä suurempi osa arkielämän toiminnoista on digitaalisesta maailmasta riippuvaisia. Turvalliset digitaaliset palvelut turvaavat arkielämän tärkeät toiminnot ja koko yhteiskunnan mittakaavassa turvalliset digitaaliset palvelut turvaavat yhteiskunnan elintärkeät toiminnot. Heikko tietoturva, vajavaiset tietotekniset taidot ja ylimielinen asenne ovat huono yhdistelmä digitaalisessa maailmassa.
Kun yritykset tuottavat tieto- ja kyberturvallisuuden palveluja yksittäisille kansalaisille, toisille organisaatioille tai yhteiskunnalle, on kaikkien etu, että tarjotut tuotteet ja palvelut ovat mallikelpoisia ja täyttävät tietoturvallisuuden perusvaatimukset. Meillä on kuitenkin matkaa vielä siihen, että vahva tieto- ja kyberturva olisi myyntivaltti tai että se nousisi sellaiseen arvoon, mitä nykyajan digitaalinen elämä vaatisi. Kyberturvallisuus ansaitsisi saman arvon kuin tämän päivän työturvallisuus.
Yrityksillä on monia etuja julkishallintoon nähden. Ne kykenevät usein viemään toimintatapojen muutoksia julkishallintoa nopeammin läpi. Tiedostaessaan kyberturvallisuuden vaatiman muutoksen tarpeen, työturvallisuuden tapaan, pystyvät yritykset muutokseen hyvinkin ketterästi.
Turvallisuuskomitea pyrkii katsomaan kokonaisuuksia ja tarkastelemaan myös kyberturvallisuutta koko yhteiskunnan näkökulmasta. Erilaiset testit ja kyberturvallisuuteen liittyvät harjoitukset ovat seikkoja, jotka kohentavat paitsi yksittäisten organisaatioiden myös koko yhteiskunnan turvallisuutta.
Viranomaisten ja yritysten on pyrittävä yhdessä harjoittelemaan häiriönhallintatilanteita, jotta niistä toipuminen olisi mahdollisimman nopeaa. On sekä hallinnon että yritysten etu, että niiden yhteinen ja sen myötä koko yhteiskunnan kyvykkyys kasvaa yhteisen treenaamisen ansiosta.
Toinen tapa kyberturvallisuuden parantamiseen on kohentaa suomalaista kyberosaamista kaikilla tasoilla. Kyberturvallisuuden koulutuksen lisääminen eri koulutusasteilla tuo työmarkkinoille osaamista, jota julkishallinto ja yritykset tällä hetkellä kaipaavat. Koulutuksen lisääminen myös synnyttää uusia yrityksiä, mikä taas pitkällä aikavälillä vahvistaa kansallista kyberteollisuutta.
Voimakas kansallinen kyberteollisuus tarkoittaa voimakasta kansallista kyberosaamista, joka koituu sekä julkishallinnon että elinkeinoelämän ja edelleen koko yhteiskunnan parhaaksi.
Pentti Olin
erikoistutkija
Turvallisuuskomitea