Sähköisen viestinnän suojaus ja salaus tarvitsevat strategiaa

Sähköisen viestinnän suojaaminen ja viestinnän luottamuksellisuuden säilyttäminen ovat jokaisen kansalaisen ja valtion etu. Yksi keskeisimmistä tavoista suojata viestintää on viestien salaaminen. Digitaalisessa maailmassa tämä tarkoittaa viestittävän datan salaamista tarkoituksenmukaisella ja luotettavalla salausjärjestelmällä.

Digitaalisen viestinnän salaaminen on kokonaisuus, johon kuuluu tekniset laitteet ja sovellukset, tehokkaat salausalgoritmit sekä salausavaimet. Lisäksi tarvitaan toimivat prosessit sisältävä hallintajärjestelmä. Näiden kaikkien osatekijöiden turvallisuus ja haavoittumattomuus on kyettävä varmistamaan.

Kansallinen turvallisuus ja yksilönsuoja edellyttävät, että salausjärjestelmät ovat turvallisia ja luotettavia ilman, että on riski tiedon joutumisesta kolmannen osapuolen haltuun.  Tänä päivänä Suomessa käytettävien salausjärjestelmien kirjo on laaja, toki vaatimuksetkin vaihtelevat. Viranomaisten käyttämät salausratkaisut ovat säädeltyjä, mutta yksityisellä puolella käytettävien järjestelmien vaatimukset vaihtelevat. Kansallisen turvallisuuden näkökulmasta on ollut jo pitkään tarve kehittää kansallista salausratkaisua, mutta kehittäminen on ollut hidasta ja sirpaleista.

Suomelta puuttuu kokonaisvaltainen kansallinen strategia salausratkaisujen kehittämiseen ja ylläpitoon. Strategiaa, jota voimme tuttavallisemmin kutsua ”kryptostrategiaksi”, tarvitaan huolehtimaan siitä, että Suomelle kehittyy riittävän omavarainen kyky viestinnän salaamiseen sekä julkishallinnossa että yksityisellä sektorilla. Kryptostrategia antaisi perusteet salausjärjestelmien kehittämiselle sekä takaisi resurssit pitkällä aikavälillä. Strategian pitäisi määrittää vastuullinen hallinnonala ja toimintamallit sekä priorisoida kehittämisen osa-alueet ja kohteet.

Strategialla luotaisiin parempi pohja suomalaisen salausosaamisen ja -ratkaisujen kotimaiselle kehittämiselle. Ulkomailta tuotuun teknologiaan liittyy aina riskejä riippumatta tuontimaasta. Kuten olemme nähneet, erilaiset supply chain -riskit ovat mahdollisia, ja onpahan välillä ystävällismielinen maakin asentanut takaportteja eri järjestelmiin. Kyky auditoida salausjärjestelmiä sataprosenttisesti piiritasolle asti on haastavaa.

Keväällä 2021 julkaistu kyberturvallisuuden kehittämisohjelman periaatepäätös antaa hyvän pohjan myös kryptostrategian laatimiselle. Kehittämisohjelmassa tunnistetaan hyvin tarve kansallisten salausratkaisujen kehittämiselle sekä eurooppalaisen AQUA-statuksen hankkimiselle, mikä parantaa kotimaassa rakennettujen ratkaisujen vientimahdollisuuksia. Uskon, että tukea kryptostrategian laatimiselle löytyy. Valtionhallinnossa pitäisi vain saada kryptostrategia laadintatyö käyntiin.