Nato-jäsenyys vahvistaa Suomen kyberpuolustusta
Digialan näkökulmasta Suomen Nato-jäsenyys on jatkumoa Euroopan unionin yhteiselle, tiivistyvälle kyberpolitiikalle. EU:lla on jatkossakin selkeä rooli kyberturvallisuuden kehittämisessä. Kyberpuolustuksessa, kuten muillakin kansallisen turvallisuuden osa-alueilla, EU:n rooli on sen sijaan hyvin vähäinen.
Nato-jäsenyys mahdollistaisi nykyistä laajemman tuen ja yhteistoiminnan myös kyberpuolustukseen liittyvissä kysymyksissä. Kyberturvallisuuteen liittyviä lainsäädännöllisiä muutoksia ei Nato-jäsenyydellä ennakoida olevan.
Huomio kriisitilanteiden johtamiseen ja käytännön prosesseihin
Kotimaisen sääntelyn lisäksi on EU:sta viime vuosina tullut runsaasti kyberturvallisuutta ohjaavaa lainsäädäntöä. Merkittäviä kokonaisuuksia on vielä myös tulossa: EU:n verkko- ja tietoturvaan sekä yhteiskunnan kriittisten palveluiden häiriönsietokykyyn liittyvät NIS2- ja CER-direktiivit.
Sääntelyn aukot on jo paikattu, mutta yhteistyö- ja johtamismallit on vielä rakennettava selkeiksi. Esimerkiksi EU-pakotteiden osalta toimivaltaisen viranomaisen löytyminen osoittautui vaikeaksi. Kun vastuu jakautuu eri hallinnonaloille, lisääntyy myös koordinaatiotarve. Muun muassa edellä mainitun CER-direktiivin toimeenpanosta vastaa sisäministeriö, kun taas NIS2-direktiivi kuuluu liikenne- ja viestintäministeriölle. On selvää, että näiden toimeenpano on tehtävä yhteistyössä, jottei yrityskentälle tarjota epämääräisiä ja ristiriitaisia ohjeita.
Lisäksi nyt uudistettavan valmiuslain kohdat on tarpeen käydä läpi niin, että yrityksissä on laaja tieto vaadituista toimenpiteistä ja viranomaisella käsitys siitä, mitä niiden käytännön toteuttaminen tarkoittaa. Huomiota pitäisi kiinnittää esimerkiksi kansalliseen roaming-velvoitteeseen ja verkkoliikenteen priorisointiin.
Kybervarautumisen ytimenä tulee jatkossakin olla yksityisen ja julkisen sektorin yhteistyön vahvistaminen. Kriittisen infran ylläpitäjinä teleyrityksillä on mahdollisuus ja halukkuus tuoda oma osaamisensa ja lisäpanoksensa yhteiskunnan ylläpidon turvaamiseen. Julkishallinnon ja yritysten välinen yhteistyö on pienen kansakunnan resurssien järkevää hyödyntämistä, ja onneksi se on meillä Suomessa muutakin kuin pelkkää puhetta. Pidetään private/public-yhteistyö keskiössä jatkossakin.
Kyberturvallisuuden kehittäminen ja kansalliset varautumisohjeet eivät saa muodostua tulpaksi
Venäjän hyökkäyssodan analyyseissa käydään toivottavasti vielä moneen kertaan läpi Microsoftin ja Ukrainan valtion välinen onnistunut yhteistyö. Juuri ennen Venäjän aloittamaa hyökkäystä Microsoft tunnisti lukuisia uusia Ukrainan digitaaliseen infrastruktuurin kohdistuvia hyökkäyksiä, ja hyperskaalatulla pilvipalvelulla on ollut keskeinen rooli kyberiskujen onnistuneessa torjunnassa.
Sääntelyn yksinkertaistaminen on yleisesti kannatettu mantra. Pilvipalvelujen käytössä julkinen puoli on onnistunut tekemään juuri päinvastoin. Suomessa datan luokittelutyökaluja ovat Katakri, Pitukri ja tuoreimpana Julkisen hallinnon digitaalisen turvallisuuden arviointikriteeristö Julkri. Kaikissa näissä on tieto luokiteltu kahteen eri turvaluokkaan. Soveltajille ja palvelua hankkiville tahoille on aikamoinen savotta selvittää, mikä ohjeistus koskee mitäkin. Pahimmillaan varman päälle pelaaminen muodostuu esteeksi uuden, kyberturvallisen teknologian tehokkaalle hyödyntämiselle.
Huoli kyberiskuista jatkuu
Alkuvuotta leimannut pelko kyberuhkien lisääntymisestä ei vielä ole realisoitunut. Ennusteet ovat kuitenkin huolta täynnä. Toistaiseksi haavoittuvuuksia ja hyökkäyksiä havaitaan normaaliin tapaan jatkuvan valvonnan, yhteistyön ja osaamisen ansiosta.
Teleoperaattorit varautuvat jatkuvasti kyberuhkiin osana normaalia liiketoimintaansa. Niiden jokapäiväistä työtä on suunnitella ja toteuttaa proaktiivisesti tietoturvan hallintaan liittyviä prosesseja. Suomalaisen kybervarautumisen tämänhetkinen hyvä tilanne rakentuu aiempien vuosien järjestelmälliselle työlle. Turvallisuutta ei rakenneta hetkessä, eikä huolettomaan hymistelyyn ole koskaan varaa.