Kybertoimintaympäristö haastaa meidät yhteistyöhön
Kybertoimintaympäristön merkitys kasvaa turvallisuus- ja puolustuspolitiikassa. Kyberoperaatiot luovat työkalun, jolla voidaan painostaa kaikkina aikoina ja eri tasoilla. Kiinnijäämisen riskin ollessa pieni, operaatioiden toteutus voi vaikuttaa houkuttelevalta. Päätös operaation toteuttamisesta on helppo tehdä, jolloin operaatioiden määrä saattaa tulevaisuudessa kasvaa. Myös ei-valtiolliset toimijat lisäävät kyberulottuvuuden kompleksisuutta. Kyberulottuvuudessa pienikin toimija voi olla kokoaan suurempi. Fyysisen voiman käyttö ja siihen valmistautuminen ei kuitenkaan ole poistumassa keinovalikoimasta. Kyberin nouseminen julkiseen keskusteluun ja uhkakuviin on saattanut luoda illuusion, että tulevaisuudessa sodat ja konfliktit tapahtuvat vain verkossa tai kyberulottuvuudessa. Näin ei ole eikä todennäköisesti tule olemaankaan. Sen sijaan oletus saattaa kerätä jopa liikaa huomiota. Vaikuttamiskeinona kyberin merkitys kasvaa, mutta fyysisen maailman realiteetteja se ei kuitenkaan muuta. Toisaalta riskit kriisien eskalaatiosta kasvavat ja samalla vaara mittavistakin vahingoista. Valmistautuminen kyberkykyihin voi lisätä konfliktin vaaraa, mutta voi olla kehittäjälleen myös kustannustehokkaampaa. Tämä on vaarallinen kehityskulku.
Kyberulottuuvuuteen on suhtauduttava vakavasti ja riittävillä resursseilla. Digitaalisessa yhteiskunnassa onnistunut kyberoperaatio voi aiheuttaa mittavat vahingot, eikä ihmishenkien menettämiseltäkään voida välttyä. Yhteiskunnan digitalisaatio, teknisten järjestelmien riippuvaisuus rajat ylittävistä tietoverkoista sekä järjestelmien keskinäiset riippuvuussuhteet ja haavoittuvuudet altistavat yhteiskunnan elintärkeät toiminnot kybervaikuttamiselle. On huomioitava, että nykyään vakoilu ei ole enää valtioiden monopoli, vaan yhtiöt keräävät suuria tietomassoja kansalaisista ja se on täysin sallittua ja laillista. Samalla turvallisuuden tuottaminen kyberulottuvuudessa on siirtynyt osin yksityiselle sektorille. Tähän valtiollisten toimijoidenkin täytyy tukeutua. Yhteistyö on hyvä esimerkki toimiessaan, mutta luo myös haasteita jotka on tunnistettava ajoissa. Kyberulottuvuuden käsite, verrannollisuus fyysiseen ulottuvuuteen sekä siihen liittyvät odotukset ja velvollisuudet ovat vielä osin jäsentymättömiä.
Puolustusselonteossa (2017) kyberpuolustus on yksi kehittämiskohde. Seuraavaan puolustusselontekoon antaa perusteita uusi kyberturvallisuusstrategia, joka on tavoitteena julkaista vielä tänä vuonna (2019). Kyberturvallisuusstrategia on mainittu myös hallitusohjelmassa. Turvallisuuskomitean tukemana laadittu yhteinen strategia on jälleen osoitus hyvästä eri hallinnonalojen yhteistyöstä.
Yllättävä isku tuottaa yleensä tilanteen, jossa hetkellisesti puolustaja joutuu vain reagoimaan. Keskeisin tekijä on se aika, joka menee reagoinnista siirtymiseen aloitteelliseksi toimijaksi. Toinen tekijä on resilienssi, eli miten hyvin häiriötilanteessa kyetään toimimaan ja ylläpitämään yhteiskunnan kriittiset toiminnot. Valmistautumista tulee tehdä jatkuvasti, mutta keskeistä on myös riittävän ja oikea aikaisen analyysitiedon tuottaminen päätöksen tekijöille ja toimijoille. Hallitusohjelmassa on vaatimuksena ”Kyberturvallisuuden koordinaatiota tiivistetään, ja vastuu siitä on valtioneuvoston kanslialla. Lisäksi varmistetaan ympärivuorokautinen keskitetty tilannekuva, joka on tukena valtion virastoille, kriittisille infrastruktuurin toimijoille ja kumppaneille.” Tämän lisäksi kansainvälisyys ja verkottuminen ovat hallitusohjelmaan kirjattuja keinoja kyberturvallisuuden kehittämiseksi. Tätä työtä on Puolustusministeriössä tehty jo vuosia ja työ jatkuu edelleen. Kyberyhteistyön kehittäminen on myös yhtenä teemana Suomen EU puheenjohtajuuskaudella ja tässä Puolustusministeriö on vahvasti mukana. EU:n yhteistyönä pohditaan myös mahdollisuuksia torjua ja tukea hyökkäyksen kohteeksi joutunutta maata yhteisin ponnistuksin.
Vaihtoehtona ei ole jättäytyä kehityksestä. 5G verkot tulevat ja digitalisaatio on Suomelle pikemminkin mahdollisuus kuin uhka. Myös bisneksessä kyberulottuvuus voi tehdä pienestä kokoaan suuremman. Toisaalta turvalliset datayhteydet ja yhteiskunta tekevät kyberin vaatiman fyysisen infrastruktuurin sijoittamisesta Suomeen houkuttelevaa. 5G:n väitetään vievän meidät ”älykkääseen yhteiskuntaan”, jossa asiat, prosessit ja ihmiset ovat kytkettyinä verkkoon, ja automaatio, koneoppiminen sekä lukemattomat sovellukset ovat jatkuvasti läsnä ja osa arkea. 5G avaa valtavan määrän mahdollisuuksia. Tässä yhteydessä haluan kannustaa kaikkia kuitenkin välillä irrottautumaan verkon ulkopuolelle, jotta kykenee pitämään mielessä, että maailma pyörii ja sen tulee pyöriä myös verkon kaaduttua.
Tässä päivässä ja yksilön tasolla kyberturvallisuus on yksinkertaisia tekoja. Turvallisuus lähtee yksinkertaisista toimista ja rutiineista. ”Ei sitä meille voi sattua,” on vieläkin liian yleinen ajattelumalli. Turvallisuusohjeita on jaettu jo vuosia. Enää ei kukaan voi väittää, ettei tiennyt. Nyt kyse on viitsimisestä. Matalan tason kyberoperaatiot tuottavat tulosta, jos oma suojautuminen on olematonta. Omilla suojautumiskeinoilla ostetaan aikaa vastatoimenpiteiden toteuttamiselle ja luodaan edellytykset kriittisen tiedon pelastamiselle ja toimintojen jatkumiselle mahdollisimman lyhyessä ajassa.
Jukka Juusti
Puheenjohtaja, Turvallisuuskomitea
Kansliapäällikkö, Puolustusministeriö