Henkilö hakkeroi kannettavaa tietokonetta. Lavastettu kuva. LEHTIKUVA / ANNI REENPÄÄ

”Ei tarvita kybertsaaria” – turvaa ei voi erottaa muusta toiminnasta

Asiantuntijoiden mukaan kyberturvallisuutta ei pidä tarkastella erillisenä ilmiönä millään toimialalla.

Kyberturvallisuuden tulisi olla sisäänrakennettuna kaikilla yhteiskunnan kriittisillä toimialoilla, kirjoittavat liikenne- ja viestintäministeriön tieto-osaston osastopäällikkö Laura Vilkkonen ja kyberturvallisuusjohtaja Rauli Paananen Impulssi-blogissa.

Heidän mukaansa se on jo erottamaton asia esimerkiksi finanssimarkkinoita, energiamarkkinoita ja muita yhteiskunnan kriittisiä toimialoja. Kyberturvallisuutta ei voi käytännössä tarkastella erillisenä ilmiönä millään toimialalla.

– Nyky-yhteiskunta on edennyt liian pitkälle siinä kehityskulussa, että kyberturvallisuus olisi erotettavissa yhteiskunnan muusta toiminnasta erilliseksi kokonaisuudeksi, jota johtaa jokin ulkopuolinen kybertsaari.

– Oikeusvaltiossa tällaisella yhdellä taholla tulisi olla esimerkiksi poliisin, finanssivalvonnan, energiaviraston ja Traficomin toimivaltuudet sekä osaaminen. Jokainen asian äärelle pysähtyvä ymmärtää tilanteen haastavuuden.

Suomi on oikeusvaltio, jossa viranomaistoiminta perustuu aina lakiin. Jokaisella viranomaisella on omat toimivaltuutensa, ja kriisitilanteissa ne sovitetaan yhteen siten kuin laissa todetaan.

Kriisitilanteissa lainsäädännöstä löytyy aina vastaus siihen, kuka viranomainen on tilanteessa johtovastuussa.

Viranomaisten yhteistoiminta

Vastaamon tietomurto on horjuttanut luottamusta kyberturvallisuuteen.

– Kyberturvallisuuden vaarantuessa vastuullisen viranomaisen pitää ymmärtää paitsi tietoverkkojen toimintaa, myös loukkauksen kohteena olevan toimialan toimintaperiaatteita, markkinatilannetta, toimialan riippuvuussuhteita sekä kaikkia sen ominaispiirteitä, Vilkkonen ja Paananen toteavat.

Heidän mukaansa viranomaisella tulee olla hyvä tilannekuva siitä, mitä seuraamuksia kyberturvallisuuden vaarantumisella on loukkauksen kohteena olevaan toimialaan.

– Kuten mitä tapahtuu, jos sairaalassa laitteet lakkaavat toimimasta kyberhyökkäyksen takia? Ketkä potilaat ovat eniten vaarassa ja mitä toimenpiteitä tämän vaaran vähentämiseksi on tehtävä ja missä järjestyksessä?

Vilkkosen ja Paanasen mielestä tällainen osaaminen saavutetaan parhaiten viranomaisten yhteistoiminnalla, jossa kaikki tuovat oman osaamisensa saman työpöydän ympärille. Ja viranomaisten yhteistyö on se asia, jossa me suomalaiset olemme perinteisesti olleet verrattomasti muita maita parempia.

– Kyberturvallisuutta vaarantavat tilanteet ovat poikkeuksellisen monimutkaisia, eikä kukaan yksittäinen henkilö tai viranomainen voi olla sellaisessa tilanteessa kaikkivoipa. Toivomus yhdestä, kaiken pelastavasta ulkopuolisesta tahosta on ymmärrettävä, mutta liian yksinkertainen ratkaisu siihen monimutkaiseen, keskinäisriippuvaan maailmaamme, jossa elämme.

Kyberosaamiseen panostettava

Yksinkertaisten ratkaisujen sijaan Vastaamon tapaus on Vilkkosen ja Paanasen mukaan osoittanut, että koko yhteiskunnassa tarvitaan valtavasti lisää panostuksia kyberosaamiseen.

– Tätä työtä tehdään kyberjohtajan johdolla valmistuvassa kehittämisohjelmassa laajassa yhteistyössä elinkeinoelämän ja viranomaisten välillä. Kehittämisohjelma tulee osaltaan antamaan vastauksia siihen, mihin osa-alueisiin yhteiskunnassamme tulisi panostaa lyhyellä ja pitkällä aikavälillä.

Yhteistyön ja jaetun osaamisen varaan on nyt koottu myös liikenne- ja viestintäministeriön vetämä työryhmä, joka selvittää keinoja kriittisten toimialojen tietosuojan ja tietoturvan parantamiseksi.

Tällä viikolla aloittaneen työryhmän tehtävänä on selvittää, onko kaikilla kriittisillä toimialoilla toimivilla viranomaisilla laissa riittävät toimivaltuudet edellyttää tietoturvalta tiettyä tasoa ja myös tarvittavat toimivaltuudet ja resurssit valvoa sitä, että tämä taso varmuudella täyttyy. Pohdittavana on myös se, tulisiko valvonnan olla jollain tavalla keskitettyä.

Kommentit

Miksi kommentit eivät näy? »Kommentoinnin säännöt