Törmäsin kyberiin ensimmäisen kerran pian milleneumin jälkeen, saatuani tehtäväksi suunnitella miten kyvykkyys tulisi rakentaa sotilaallisen maanpuolustuksen tueksi ja turvaksi. Tämän tehtävän innoittamana olen seuraillut vuosikymmenten aikana miten kehitys on kehittynyt. Jotain samanlaisuutta olen havainnut vuosituhannen vaihtumisen yhteyteen liittyneisiin ennustuksiin; ei ne kaikki prosessorit sittenkään lakanneet toimimasta kellon lyömänä. Taisi käydä päinvastoin. 

Monien mahdollisuuksien toimintaympäristö 

Mihin tässä sitten on tultu kybermaailmassa? Varmaankin näkyvimmässä roolissa ovat rosvot, jotka ovat menneet sinne, missä raha on, eli kybermaailmaan. Joulun tienoilla ihmisille tuli pakettien saapumisilmoituksia harva se päivä ja pelkkää linkkiä klikkaamalla näki mistä paketti on noudettavissa. Puhumattakaan alati vaivaavista kalastajista, jotka pyrkivät pääsemään käsiksi kansalaisten kryptolompakoihin tai pankkitileille. Suhteellisen helppoa ammattilaiselle, halpa ylläpitää ja virkavalta on harvoin kintereillä. 

Rosvojen lisäksi, aiheuttaako kybermaailma haittaa muille kuin yksittäisille kansalaisille?

Näitä kysymyksiä voi lähestyä kansallisvaltion ja yhteiskunnan näkövinkkelistä. Keinovalikoima on aika lailla laajentunut sitten buurisotien, eikä vähiten kybermaailmassa. Tankkeja ajetaan rajoille edelleenkin nopeuttamaan uhattavan maan päätöksentekoa haluttuun suuntaan. Mutta miten kyberhyökkäysjoukot ajetaan rajalle uhkaamaan? No ei mitenkään, kun se ei ole kannattavaa. Valtakunnan rajan ylittämisessä ei ole rajamuodollisuuksia, kun biteiltä ei kysellä passia. Voisi olettaa, että parempi keino on olla passiivisesti kuulolla ja hankkia tarvittavat tiedot kohdemaan tietojärjestelmien kautta omaan käyttöön.  Passiivinen kriittisen tiedon hankinta kybermaailmassa tarjoaa todennäköisesti kustannustehokkaan keinon, jos halutaan toimia koko yhteiskuntaa vastaan.

Yhteiskunnan turvallisuuden horjuttamiseen voidaan valmistautua hankkimalla tietoja elintärkeiden toimintojen heikoista lenkeistä. Vaikkapa energian jakelun loppuminen voi harmittaa kansalaisia – varsinkin täällä Pohjolassa talvisaikaan. Toisena esimerkkinä voisi mainita rajavalvonnan, jonka toimivuuden merkityksen voimme päätellä esimerkiksi viime aikojen tapahtumista Itä-Euroopassa ja takavuosien tapahtumista Pohjois-Suomessa.  

Koko yhteiskunnan kunto ratkaisee 

Kybermaailma mahdollistaa tiedon keräämisen, vaikuttamisen perusteiksi, esimerkiksi edellä mainittuihin kohteisiin. Onneksi Suomessa on pitkään tehty työtä kokonaisturvallisuuden eteen ottamalla mukaan myös kyberturvallisuuden varautumiseen liittyvät toimijat. Kokonaisturvallisuuteen liittyvässä käytännön työssä keskiössä on huoltovarmuus. Toiminto, jonka tunnettuus lisääntyi pandemian alkuvaiheessa hengityssuojainten hankintakohun ansiosta. Ei niin pahaa, ettei jotain hyvääkin – ymmärsimme konkreettisesti, mistä huoltovarmuudessa voi olla kysymys.

Millainen on vastaava tilanne kybermaailman osalta? Miten yhteiskunta varautuu kybermaailman haasteisiin? Ujostelematta voidaan todeta, että tietoa meillä on. Esimerkiksi Kyberturvallisuuskeskus tekee kansainvälisessäkin mittapuussa poikkeuksellisen hyvää työtä esimerkiksi julkaisemalla ja päivittämällä kybersäätä kansalaisille ja kybermittaria yritysten ja organisaatioiden käyttöön. Mutta riittääkö se, epäilen.

Suomen yrityksistä yli 90% on pieniä- ja keskisuuria yrityksiä, joilla suurimmalla osalla ei ole osaamista, resursseja eikä aikaa miettiä kybermaailmaa ennen kuin on pakko.

Mikä näitä yrityksiä sitten uhkaa? Voi olla, että hallussa on esimerkiksi tuotekehitykseen liittyvää, kalliilla hankittua tietoa, joka voi olla arvokasta kauppatavaraa. Tämän operaation onnistuessa tuotekehitykseen ei vastapuolen tarvinnut investoida juuri mitään. Ketju on niin vahva kuin sen heikoin lenkki, kuuluu vanha sanonta. Mitä tuo koko yhteiskunnan mittakaavassa sitten tarkoittaa? Julkisen sektorin rajallisilla voimavaroilla kyetään nyt keskittymään pääosin huoltovarmuuskriittisten yritysten tukemiseen. Valtaosaa yrityksistä ei rajallisilla yhteisillä resursseilla kuitenkaan pystytä tukemaan. Yhtäältä on kyse yhteiskunnan kriisinkestävyydestä, mutta toisaalta myös yritysten kannalta arvokkaan tiedon turvaamisesta. Näiden molempien aspektien kannalta olisi hyödyllistä laajentaa tiedon ja osaamisen jakamista koko yhteiskunnan tarpeet huomioiden.  

Perustietämys kuntoon – johto on avainasemassa 

Kuinka tarjolla oleva tieto ja osaaminen saadaan hyötykäyttöön koko yhteiskunnan leveydellä? Siinäpä se, tarvitaan ymmärrystä mistä puhutaan ja millainen kybertoimintaympäristö on. Keskiössä on kyky vastata yritys- ja organisaation johdon tietotarpeisiin. Tietoa, teknisiä osaajia ja työkaluja sekä valmiita prosesseja meillä kyllä on, mutta onko johdolla riittävästi perustietoa yrityksen tai organisaation johtamisesta kyberturvallisuuden maailmassa? Johdon tulee kyetä vastaamaan omasta osuudestaan eli johtamisesta myös kyberin osalta. Vastuuta ei voi ulkoistaa. Miksi emme siis kokoaisi valtakunnalliset osaajat ja tiedon tarvitsijat yhteisen asian äärelle? 

Blogiartikkelin kirjoittaja:

Harri Roivainen

Senior Headhunter, InHunt Group