Kyberturvallisuus kaipaa johtajuutta

Suomessa on kevään aikana keskusteltu kyberturvallisuudesta ja -sodankäynnistä. Keskustelu ja uhkiin varautuminen on tarpeellista. Teknologisesti kehittyneet valtiot kykenevät käymään sotaa tänä päivänä fyysisen maailman rinnalla myös digitaalisessa ympäristössä, johon moderni yhteiskuntarakenne tarjoaa uusia sodankäynnin tapoja – ja haavoittuvuuksia. Kybersodankäynnissä ollaan niin kykyjen luomisessa kuin niiden käyttämisessä siirtymässä kehittyneempään vaiheeseen, ja siksi esimerkiksi Ukrainan tapahtumia on eri maissa seurattu myös kybersodankäynnin näkökulmasta erityisen tarkoin. Kyberoperaatioilla on nykyisin erottamaton sijansa missä tahansa modernissa sodassa ja konfliktissa.

Epämääräiseen hybridisodankäynnin konseptiin kyberoperaatiot sopivat hyvin. Tekijää on yleensä vaikea osoittaa, poliittiset riskit ovat nykyhetkessä varsin pieniä, kansainvälisissä laeissa kyberoperaatiot näyttäytyvät edelleen harmaana alueena ja internet-maailma tarjoaa ”pienille vihreille biteille” uudenlaisia vaikutusmahdollisuuksia.

Kyberturvallisuuden kehittäminen on koko suomalaisen yhteiskunnan asia. Valmiuksia kehitettäessä on välttämätöntä – myös julkisessa keskustelussa – kiinnittää erityinen huomio kolmeen asiaan.

Ensinnäkin digitaalista toimintaympäristöä ei tule liiaksi erottaa omaksi ulottuvuudekseen, irrallisena fyysisestä maailmasta. Merkittävänä turvallisuustrendinä korostuu fyysisen ja digitaalisen maailman yhä tiiviimpi yhteenkietoutuminen eli miten digitaalisen ja fyysisen turvallisuusympäristön tapahtumat ovat erottamattomassa vuorovaikutuksessa toisiinsa. Esimerkiksi useat valtiot kertovat avoimesti pyrkimyksistään luoda kyberkykyjä, joilla tuotetaan fyysistä tuhoa. Digitaalinen maailma on myös riippuvainen fyysisestä infrastruktuurista, kuten tietoliikennekaapeleista, ja joissain tilanteissa tietoliikenneyhteyksiä voidaan helpommin heikentää katkaisemalla fyysinen kaapeli. Näin Venäjä toimi Krimillä. On myös pidettävä mielessä, että osaava ihminen on paras ”kyberase”, ja heidän suojaamisestaan huolehtiminen on yksi osa varautumista. Yhdysvallat on viimeisen puolen vuoden aikana eliminoinut useita ISIS:n hakkereita, jotta he eivät pystyisi toimimaan digitaalisessa toimintaympäristössä.

Toiseksi, Suomen kybervarautuminen ei ole yksinomaan puolustusvoimien vaan koko yhteiskunnan tehtävä. Puolustusvoimat, yhteistyössä osaavien reserviläisten kanssa, luo sotilaallista kyberpuolustuskykyä, mikä muodostuu tiedustelun, vaikuttamisen ja suojautumisen kyvyistä. Näitä kaikkia kolmea kykyä tarvitaan. Kyberpuolustusta kehitetään ja harjoitellaan yhdessä viranomaisten, järjestöjen ja elinkeinoelämän toimijoiden kanssa kansallisesti ja kansainvälisesti. Oleellista on koko yhteiskunnan varautuminen sekä yhteistyö etenkin kriittisen infrastruktuurimme suojaamisessa. Kansainväliset esimerkit myös osoittavat, että yleensä heikoin (ja toisaalta parhaassa tapauksessa vahvin) lenkki on loppukäyttäjä – ihminen. Tämä edellyttää perustaitojen hallitsemista ja riittävää ymmärrystä jokaiselta suomalaiselta. Sama koskee informaatiovaikuttamiselta suojautumista. Kyberturvallisuus on malliesimerkki kokonaisturvallisuuden välttämättömyydestä.

Kolmanneksi, keskitymme usein kybervarautumisessa teknisiin yksityiskohtiin kokonaisuutta tarkastelematta. Digitaalista toimintaympäristöä käytettäneen todennäköisesti jatkossa luomaan suotuisia olosuhteita muulle voimankäytölle ja osana muuta voimankäyttöä, eikä niinkään ratkaisuun pyrkivinä itsenäisinä toimina. Teknisten asiantuntijoiden rinnalle tarvitsemme vahvempaa strategista – ison kuvan ymmärryksen – osaamista. Ukrainan kokemusten valossa kybervarautumisen kokonaisymmärrykseen yhdistyvät muun muassa mahdollisimman varhainen kyberuhkien havaitsemisen merkityksien ymmärtäminen, torjuntatyön jatkuva ajanmukaistaminen, lainsäädännön kehittäminen, osaavien ihmisten koulutustarve, johtamissuhteiden selkeys päätöksenteon ja omien toimien perustana sekä yhteistyömuodot kansainvälisten kumppaneiden kanssa.

Kyse on yhteistyöstä, koko yhteiskunnan voimavarojen ja osaamisen hyödyntämisestä. Tähän Suomella on erinomaiset menestymisen edellytykset. Keskeisimpiä suomalaisen kyberturvallisuuden kehittämisen alueita on johtaminen. Koska kyse on asiasta, mikä koskettaa tänä päivänä kaikkia, on ymmärrettävää, että vastuuta on haluttu hajauttaa laajalti yhteiskuntaan. Ongelmaksi on muodostunut, ettei tällä hetkellä ole riittävän määrätietoista strategista johtajuutta. Perinteisen hierarkisen johtamismallin luomisen sijasta Suomeen tulee harkita nykyistä vahvempaa verkoston johtajuutta. Yhteisen intressin ja siihen yhdistyvien hyötyjen osoittaminen ovat verkostojohtamisen keskeisiä periaatteita. Tätä suomalainen kyberturvallisuus nyt tarvitsee.

Jaa tämä:

FacebookTwitterGoogleLinkedInReddit

Jarno Limnell

Kyberturvallisuus-alan professori Aalto-yliopistossa.


Leave a Comment