Kyberpolitiikan merkitys aivan uudella tasolla

Hallitusneuvotteluissa Säätytalolla kyberturvallisuutta käsitellään perusteellisesti – hyvästä syystä. Moderni yhteiskunta on täysin riippuvainen digitaalisista palveluista, ja digitaalisten palvelujen kehittäminen kulkee aina käsi kädessä kyberturvasta huolehtimisen kanssa.

Kyberpolitiikan tilanne on tyystin erilainen kuin neljä vuotta sitten. Marinin hallitusohjelmassa kyberasiat liitettiin vahvasti ei-sotilaallisiin uhkiin. Hallitus uudisti heti alkutöinään kansallisen kyberturvallisuusstrategian. Strategiassa nostettiin esiin kolme kehitettävää asiaa: kansainvälinen yhteistyö, hallinnon kyberkoordinaation kehittäminen ja kyberosaajien lisääntyneeseen tarpeeseen vastaaminen.

Suomen asema on neljässä vuodessa ratkaisevasti muuttunut. Venäjän hyökkäyssota Ukrainaan ja jäsenyys puolustusliitto Natossa ovat nostaneet kyberriskit aivan uudelle tasolle. Sekä viranomaiset että kriittisen infran toimijat tarvitsevat nykyään ympärivuorokautista, keskitettyä kyberturvallisuuden tilannekuvaa.

Euroopan unionista on jo tullut, ja parhaillaan valmistellaan lisää, merkittäviä lainsäädäntöpaketteja kyberturvallisuuden parantamiseksi. Tarve harmonisoida käytäntöjä ja tietojen vaihtoa on ilmeinen.

Tehtävää riittää edelleen. Seuraavalla hallituskaudella kyberstrategian päivittämisen lisäksi on Suomessa tartuttava lukuisiin muihinkin kysymyksiin.

Hallinnon selkeyttäminen

Tärkeintä on, että asiat hoituvat mutkattomasti ja nopeasti. Tällöin hallintorakenteiden vastuut, myös poliittinen vastuu, tulee olla selkeästi jaotellut. Toimialalla pitää kaikilla olla avoimesti viestitty kokonaiskuva asiasta. On yhteinen etu, että mahdollisen kriisin keskellä kaikki tietävät, miten asiat hoidetaan.

Kyberyhteistyön vakaus

Kyberturvallisuuskeskus tekee arvokasta työtä kiinteässä yhteistyössä yritysten kanssa. Suomessa viranomaisten ja yritysmaailman luottamuksellinen suhde on keskeistä, sillä maamme kyberturvallisuuden takaavat yritykset. KTK:n tehtävistä valtaosa on lakisääteisiä, nimenomaan televiestinnän sääntelyyn liittyvää. Vaikka toimenkuvaa on viime vuosina laajennettu, niin selkeä ydintehtävä on edelleen teletoimialan ja teleoperaattoreiden kanssa tehtävä yhteistyö.

Tietoliikenneverkot ovat digitaalisen yhteiskuntamme perusta, ja viranomaisista niiden asiantuntemus on Liikenne- ja viestintävirastossa. Kyberturvallisuuskeskuksen siirtämisestä valtioneuvoston kanslian alaisuuteen on aika ajoin keskusteltu. Siirto loisi vakavan epävarmuustekijän turvallisuuspoliittisesti herkällä hetkellä. Kansainvälisestikin arvioiden Kyberturvallisuuskeskuksen dynaaminen rooli yritysten tukena ja luotettavana viranomaisena on poikkeuksellinen – siitä kannattaa pitää kiinni.

Kriittisen infran avoimuuden uudelleentarkastelu

Venäjän aloittaman hyökkäyssodan jälkeen maailma muuttui. Kaikkea tietoa ei enää kannata jakaa avoimesti. Traficom sulki merialueiden syvyystietoja julkaisevan palvelunsa,  ja aivan samalla tavalla sen pitäisi toimia myös merikaapeleiden avoimen Oskari-datapankin kanssa. Perusteluna palvelun olemassaololle on käytetty direktiiviä, jolla pyritään estämään laivaliikenteen aiheuttamat vahingot kriittiselle infralle. On kuitenkin hyvä muistaa, että esimerkiksi Virossa ja Tanskassa asia on ratkaistu toisin. Meilläkin lainsäädäntö mahdollistaa kansallisen turvallisuuden nimissä nykyistä suppeamman julkisuuden.

Tietojen keskittämiseen liittyvät uhat

Kaikkea kansallista kriittistä infraa ei pidä kerätä yhteen valtiolliseen tietojärjestelmään. Vaikka järjestelmän tietoturva on varmasti huolellisesti rakennettu, se sisältää aina riskejä. Tiedot ovat jatkossa paitsi valtiollisessa datapankissa, myös edelleen verkon omistajalla itsellään. Hajautetun mallin päälle rakennetaan siis keskitetty tietojärjestelmä. Suomi kulkee jälleen omaa erikoista polkuaan. Vaikka tähänkin vaikuttaa direktiivi, asia voidaan ratkaista kyberturvallisemmin.

Pilvipalvelujen hyödyntäminen

Valtionhallinnon ja virastojen käyttöön on laadittava pilvipalveluiden kyber- ja tietoturvallisesta käytöstä riskiperusteinen ohjeistus, jota myös käytännössä toteutetaan. Skaalautuvien ja kehittyvien pilvipalvelujen käyttö tuo kiistatta etuja sekä palvelun ylläpitäjälle että käyttäjälle.

Hallinnollisen taakan keventäminen

Tietosuoja- kyberturvaloukkauksiin reagoimista pitää nopeuttaa ja ottaa käyttöön yhden luukun periaate, jotta ilmoituksen voi tehdä usealle viranomaiselle yhdellä kertaa. Samalla vähennetään merkittävästi yritysten kasvanutta hallinnollista taakkaa.

Sähköisen tunnistamisen kehittäminen

Vahvaa sähköistä tunnistamista on kehitettävä kuluttajien ehdoilla. Se, että käyttäjä voi itse valita haluamansa tunnistusvälineet, on tärkeää myös tietoturvan kannalta. Lainsäädännöllisten ratkaisujen tulee tukea toimivan sähköisen tunnistamisen markkinan syntymistä. Suomen on viisasta kehittää sähköisen tunnistamisen ratkaisuja EU:n tahdissa. Jos Suomi tekee ennenaikaisesti tunnistusjärjestelmän, joka ei toimikaan yhteen EU:ssa valitun kanssa, on siihen käytetyt miljoonat veroeurot hukkaan heitetty. Edelläkävijyys ja vaikuttavuus EU-kentillä on pystyttävä toteuttamaan kustannustehokkaammin.