Kyberturvallisuus on liiketoiminnan mahdollistaja
Tärkein keino kyberturvallisuuden edistämiseksi on laaja-alainen koulutus, valistus ja yleisen tietoisuuden lisääminen kyberturvariskeistä ja haavoittuvuuksista, sanoo Jyväskylän yliopiston kyberturvallisuuden työelämäprofessori Tapio Frantti.

Kuinka kyberturvallisuutta parhaiten edistetään?
Asiaa voisi lähestyä kuvailemalla, mitä kyberturvalla tarkoitetaan. Se on laitteiden, laiteohjelmistojen, kommunikaatio- ja sovellusohjelmistojen, tiedon käsittelyjärjestelmien, ja muiden teknisten laitteiden, ohjelmistojen, ihmisten ja ympäristön turvaamista kybertoimintaympäristön kautta tulevalta väärinkäytöltä. Kyberturvatoimintojen tavoitteena on mahdollistaa oikeiden kyberturvallisten päätösten teko ajantasaisen tilannekuvan perusteella. Tilannekuvalla puolestaan tarkoitetaan tässä yhteydessä käsitystä toimintaympäristön tilasta.
Kyberturvallisuuden yksilöidympinä tavoitteina on turvata infrastruktuurin toiminta, suojata omaisuutta ja ihmisiä, ohjata strategista kyberturvallisuusajattelua, vahvistaa kriisinsietokykyä, vähentää liiketoimintariskejä ja mahdollistaa liiketoiminnan jatkuminen, vastustaa kehittyviä kyberuhkia ja havaita disinformaatio.
Kyberturvallisuus on siis hyvin laaja käsite. Tätä taustaa vasten tärkein keino kyberturvallisuuden edistämiseksi on laaja-alainen koulutus, valistus ja yleisen tietoisuuden lisääminen kyberturvariskeistä ja haavoittuvuuksista. Kyberturvallisuuskoulutuksessa tulisi kiinnittää erityistä huomioita tietojärjestelmiin, tietoliikennejärjestelmiin, ohjelmointitekniikoihin, vaikuttimiin ja laitteistoratkaisuihin, koska kyberturvariskit ja -haavoittuvuudet tulevat pääosin sieltä. Kyberturvallisuus ei ole irrallinen asia vaan se kuuluu kaikille.
Onko suhtautuminen kyberturvallisuuteen muuttunut viime aikoina?
Lisääntyneet kyberhyökkäykset, kiristyneet tietojen keräys-, käsittely- ja säilytysvaatimukset, auditointivaatimukset ja geopoliittiset jännitteet ovat muuttaneet suhtautumista. Kyberturvallisuutta ei enää pidetä kulueränä vaan toiminnan, kuten liiketoiminnan, jatkuvuuden mahdollistajana.
Kriittisestä infrastruktuurista puhutaan paljon. Miten se pitäisi määritellä?
Euroopan komission vuodelta 2008 olevan määritelmän mukaan kriittisellä infrastruktuurilla tarkoitetaan omaisuutta, järjestelmää tai sen osaa, joka on välttämätön valtion turvallisuuden ja hyvinvoinnin ylläpitämiseksi, ja jonka häiriintymisellä tai tuhoutumisella on merkittäviä vaikutuksia valtion turvallisuuteen. Kokonaisturvallisuuden sanastossa vuodelta 2017 kriittisen infrastruktuurin on määritelty käsittävän perusrakenteet, palvelut ja niihin liittyvät toiminnot, jotka ovat välttämättömiä yhteiskunnan elintärkeiden toimintojen ylläpitämisessä.
Vapaammin sen voisi määritellä olevan yhteiskunnan toimintojen kannalta välttämättömiä palveluita, toimintoja ja järjestelmiä. Yhteiskuntamme eri toiminnot ovat digitalisaation myötä integroituneet liiankin vahvasti toisiinsa ja yhden toiminnon häiriintyminen voi lamauttaa monta muuta toimintoa.
Kyberosaajista on Suomessa pulaa. Millä keinoilla saamme heitä lisää?
Tähän ei ole oikotietä. Kyberturva on laaja, horisontaalinen, ala ja vaatii laajaa koulutusta. Kyberturvan koulutukseen tulee sisällyttää laajasti opintoja eri teknologia-alueilta. Kokemukseni mukaan tarve olisi jopa laajempi kuin mitä opetetaan yksittäisten teknologia-alueiden koulutusohjelmissa. Käytännössä ainoa keino on antaa hyvät valmiudet oppia tarvittavia asioita itsenäisesti ja nopeasti sekä kasvattaa kyberturvan ymmärrystä eri osa-alueiden asiantuntijoille, jotta he voisivat tuottavasti yhdistää osaamistaan.