Kasvatamme kyberkykyjämme määrätietoisesti

Kyberturvallisuuteen kaivataan aina joskus ”nyrkkiä”. Meillä on itse asiassa kaksikin nyrkkiä – ne kuuluvat valtion kyberturvallisuusjohtaja Rauli Paanaselle.

Vastuut ja valtuudet ovat kaikissa tilanteissa selkeät. Sen lisäksi Suomen kyberkyvykkyyttä kasvatetaan koko ajan määrätietoisesti.

Vastaamon tietomurron paljastuttua hallitus piti iltakoulun 28.10.2020. Siellä liikenne- ja viestintäministeriö vastuutettiin johtamaan kyberturvallisuutta ja valmistelemaan tarvittavaa lainsäädäntöä, jolla häiriöihin ja rikoksiin vastaaminen olisi mahdollisimman tehokasta.

Valmistelimme kaksikin ohjelmaa, jotka hallitus julkaisi periaatepäätöksinä 10.6.2021. ”Tietoturva kriittisillä aloilla” eli TITUKRI kartoitti julkisesta hallinnosta kohteet, jotka tarvitsevat lisäresursseja sekä tarvittavat uudet lait. Kyberturvallisuuden kehittämisohjelma taasen linjaa koulutuksen tarpeita ja alan liiketoiminnan edistämistä – Euroopassa markkinan koko on peräti 45 miljardia euroa.

Lokakuussa 2021 perustettu digiministeriryhmä, jonka ensimmäisenä puheenjohtajana toimin, sai vastuulleen puolustusselonteon kyberturvallisuusosion. Venäjän raaka hyökkäys Ukrainaan nosti valmiustasoa, jolloin valmis lista julkisen hallinnon tarpeista pantiin toimeen.

Kehyksessä 2023-2026 valtuus on kaikkiaan noin 200 miljoonaa euroa, nyt alkaneen vuoden osalta 56 miljoonaa euroa.

Kybervarma paikannusjärjestelmä tulee viranomaisten käyttöön parin vuoden päästä. Kun eurooppalainen Galileo saadaan laajasti korvaamaan nykyiset järjestelmät, pääsemme eroon myös GPS-häirinnästä. Suomi on vahvasti mukana eurooppalaisessa avaruuskehityksessä.

Kyberturvallisuutta johdetaan kaikissa tilanteissa selkeillä vastuilla ja toimivalloilla. Työtä koordinoi valtion kyberturvallisuusjohtaja, ja jatkuvaa tilannekuvaa tuottaa Kyberturvallisuuskeskus. Tieto on laajasti jaettua julkiselle sektorille ja yhteistyö puolustus- ja turvallisuusviranomaisten kanssa on tiivistä.

Kyberhäiriön tai -murron tapahtuessa Liikenne- ja viestintäministeriö vastaa koordinoinnista. Tapahtuma voi olla suppea tai laaja, kohdistua enemmän tai vähemmän kriittisiin toimintoihin, olla tahaton tai tahallinen, motiivina voi olla ilkivalta, rikoshyöty tai valtiollinen vahingonteko. Silloin myös vastaus ja vastuu kuuluu kulloinkin määrätylle taholle, ja oikea toimintatapa on löydettävä nopeasti.

Viranomaisten yhteistoiminta on Suomessa aivan poikkeuksellisella tasolla. Poliisin, tullin ja rajavalvonnan yhteisellä PTR-toiminnalla pyritään puuttumaan ennen kaikkea rajat ylittävään ja järjestäytyneeseen rikollisuuteen. Tarpeen vaatiessa viranomaisilla on pääsy toistensa tietoihin ja jaettuun tilannekuvaan sekä kyky yhteiseen johtamisjärjestelmään. Kun tilanne on päällä, käytössä on moninkertaiset resurssit ilman turhaa byrokratiaa.

TITUKRI-ohjelmassa esitimme samantapaista mallia myös kyberrikollisuuden torjuntaan, ja valmistelemamme hallituksen esitys viranomaisten tiedonvaihto-oikeuksista on parhaillaan eduskunnan käsittelyssä. Suomalainen malli olisi tässäkin kansainvälisesti ainutlaatuinen ja tehostaisi valtavasti Puolustusvoimien, poliisin ja Kyberturvallisuuskeskuksen (PPK) toimintaedellytyksiä silloin, kun vakava kybermurto tapahtuu.

Kirjoitin tarkoituksella ”kun”, enkä ”jos”.

Kyber-PPK vaikuttaa toki merkittävästi henkilötietojen suojaan, joten se edellyttää perustuslakivaliokunnalta huolellista punnintaa. Uskon kuitenkin vahvasti, että tavoitteemme perustelee keinot: kansalaisten turvallisuuden ja yhteiskunnan perustoimintojen suojaaminen tässä vaarallisessa maailmassa.

Tietoturva on kuitenkin vain yhtä vahva kuin sen heikoin lenkki. Teemme työtä sen eteen, että kriittisiltä toimialoilta edellytetään tietoturvaa lain tasolla – ja sen laiminlyönnistä sanktioita. Myös porkkanaa tarvitaan, ja tältäkin osin Suomi on eturintamassa.

Teleministerien EU-neuvoston kokouksessa Ranskan Neversissä 9.3.2022 esiteltiin suunnitelmia EU.n tietoturvarahastosta, josta yritykset ja instituutiot voisivat saada tukea hyvinkin kalliisiin tietojärjestelmien murtotestauksiin eli kunnolliseen valkohattuhakkerointiin. Kutsuin ENISAN – Euroopan tietoturvallisuusviraston – pääjohtajan Juhan Lepassaarin Helsinkiin 21.4. jalostamaan ajatusta yritysten kyberkyvykkyyksien tukemisesta.

EU:n rattaat pyörivät joskus hitaasti, joten päätimme tehdä Suomen tietoturvasetelin muulle Euroopalle malliksi. Haku avautui 1. joulukuuta – ensimmäisen viikon aikana kuuden miljoonan euron määrärahan haku ylimerkittiin moninkertaisesti! Kun omavastuuosuus on kuitenkin 30 prosenttia, lienee ilmeistä, että yrityksillä on suuri tarve tietojärjestelmiensä peripohjaiseen turvatestaukseen.

Osaaminen ei saa olla turvallisuutemme pullonkaula. Hallitus jakoi loppusyksystä vielä neljä miljoonaa euroa kyberkoulutuksen vahvistamiseen Jyväskylän yliopiston ja JAMK:n johdolla.

Olen hyvin iloinen, että yhteiskunnassa on laajasti jaettu yhteinen huoli ja halu huolehtia kyberturvallisuudesta. Jokaisella on oma vastuunsa, jotta tämäkin puoli kokonaismaanpuolustuksesta hoidetaan hyvin.

Monet muut maat ottavat todellakin Suomesta esimerkkiä. Varautuminen, huoltovarmuus, kokonaismaanpuolutus ovat vanhastaan vahvuuksiamme. Kansallinen kybervarautuminen on uusinta osaamistamme, jolle on kysyntää maailmalla.

Suomalaisilla on nimittäin supervoima. Se on yhteistyö.