13/04/2016

Top 1 Reason to write a National Cyber Security Strategy

National cyber security strategies have been emerging like mushroom in the rain. While some countries are working on their very first one, some have already published their second and are commencing work on their third.

During the last few years, I have made several comparisons between national cyber security strategies and the overall approaches taken by nations when it comes to dealing with cyber security and defence. When asked which nations I believe are the most/least advanced (this is a frequently occuring question during my presentations on cyber security and defence), I always use the cyber security strategies (or lack thereof) as a reference. Why? Because having a cyber security strategy (unless it is a really bad one) shows that a nation has at least sat down and thought about the issue. Even more importantly, not having one tells you otherwise.

There are many reasons to write a cyber security strategy, but this blogpost will focus on just one reason, which I believe, in this case, to be the most important one.

The main reason to write a national cyber security strategy is the things you learn from writing it!

We all know by now that cyber security is not something that can be left to one party alone. Since cyber threats, in all their dimensions, affect the whole society, a comprehensive approach to dealing with its security issues is needed. First of all, the various governmental sectors need to forget about their sandboxes and start thinking in the lines of collaboration. Second, the private sector must be included in the work. When it comes to industry, one should not only consider the views of the cyber experts from the cyber industry, but also take into consideration the viewpoints of the business leadership of critical industry, regardless of their field. Third, the academic sector as well as the third sector should be included to incorporate the visions of the future as well as the voice of the citizens.

Needless to say, this is not a trivial task! Interestingly enough, it seems that in this case the smaller nations actually have an advantage over the larger ones. Small comes with flexibility and tight social networks. Small also comes with traditions of intersectoral collaboration, as working together has always been a necessity to survive. And while resources is a common concern among both big and small, it is not as detrimental when it comes to cyber as it is in many traditional and "physical world" fields. But even for a small nation, writing a cyber security strategy taking into consideration all of the above, takes a lot of effort. For a larger nation, even more so!

Since the work has to be done on such a broad level, a nation really has to come together and figure out what it wants when it comes to cyber security (vision and objectives), what are its strengths that can be built on, what are its weaknesses that need to be bridged, who can and should do what, what does the legislation say or what is it lacking, etc. Clearly, this work will include heavy debates, negotiations, compromises, and lots of homework. Also, international collaboration is vital, but should only be considered once the national aspects are figured out - because in the end, each nation is responsible for its own cyber security, no matter how global the phenomenon is. The international community is not going to save a nation that has not bothered to think about its own resilience!

So, what happens during the process of writing a good cyber security strategy? Typically, the eyes of the various sectors are opened and deepened to the needs and natures of the other sectors. Weaknesses found in one sector may suddenly find a surprising solution from the strengths of another. Responsibilities become clear(er). Priorities are set. A foundation for international collaboration is laid. And of course, a whole new set of problems are found and identified, if not yet solved. By going through the whole process, in all its complexity, a nation steps up one level when it comes to cyber security maturity. The things learnt and achieved by going through this process are extremely valuable for anything the nation will approach from there on. Hence, it is the Top One Reason to write the strategy in the first place.

This is, of course, not enough. A cyber security strategy is not complete without an action plan and the will, budget, and know-how to implement it. But that is another topic altogether,...















13/01/2016

Tulisiko kansallista kyberturvallisuusstrategiaa päivittää?


Aalto-yliopiston Kyberturvallisuuden professori Jarno Limnell kirjoittaa Turun Sanomien vieraskynässä 12.1. samasta aiheesta kuin minä edellisessä blogipostauksessani, eli Suomesta kyberturvallisuuden edelläkävijänä. Limnellin näkemyksen mukaan kansallisen kyberturvallisuusstrategian päivittämisen tarvetta ei ole, mutta kyberturvallisuusstrategian toimeenpano-ohjelman 74 toimenpidekohdetta sen sijaan vaativat hänen mukaansa uudelleentarkastelua ja kovaa työtä niiden toteuttamiseksi. Limnell nostaa erityisesti viisi seikkaa tarkasteltavaksi, mikäli Suomi haluaa nousta nykyistä korkeammalle tasolle ja tavoitella edelläkävijyyttä. Ne ovat:
  1. Johtaminen: suomalaisen kyberturvallisuuden suurin heikkous on sen johtamattomuus. On ymmärrettävää, että vastuuta on haluttu hajauttaa eri tahoille, mutta samalla olemme tilanteessa, jossa tätä kaikkia koskettavaa asiaa ei riittävästi johda kukaan. Perinteisen hierarkisen johtamismallin luomisen sijasta kyberturvallisuus tarvitsee vahvaa verkoston johtajuutta riittävin toimivaltuuksin.
  2. Tahtotila: on päätettävä mikä on jatkossa kyberturvallisuuden kansallinen tahtotila ja suhteutettava toimenpiteet sekä resurssit sen mukaisesti. Edellytyksiä edelläkävijyyteen Suomella on, mutta nyt tarvitaan puheiden sijasta tekoja. Kyberturvallisuudessa Suomella on todelliset mahdollisuudet olla edelläkävijä niin yhteiskunnallisesti kuin myös liiketoiminnallisesti.
  3. Osaaminen: osaamisen tasoa on pystyttävä nostamaan ja laajentamaan. Alan koulutus ja tutkimus on viime vuosina lisääntynyt, mutta alan osaajista on jo nyt Suomessa puute. Osaajien kouluttaminen edellyttää hajanaisen koulutuksen nykyistä parempaa koordinaatiota oppilaitosten välillä sekä tutkimustoiminnan monipuolistamista. 
  4. Kansalliset yritykset ja niiden omistajuus: useiden menestyvien suomalaisten yritysten siirtyminen ulkomaalaisomistukseen vaarantaa kyberomavaraisuuttamme. Huippuosaamista tulee tarvittaessa valtiollisin toimin pystyä pitämään Suomessa, ja suomalaisten tuotteiden tukeminen vientimarkkinoilla on ymmärrettävä yhtenä kärkihankkeena.
  5. Yleinen kiinnostus: yleisen kiinnostuksen lisääntymisestä huolimatta on tietoisuutta kyberturvallisuudesta järjestelmällisesti lisättävä niin poliittisten päättäjien, yrityselämän kuin kansalaisten keskuudessa.
Näistä viidestä kohdasta on helppo olla samaa mieltä, mutta juuri sen takia olen Limnellin kanssa eri mieltä kansallisen kyberturvallisuusstrategian päivittämisen tarpeesta. Jotta edellä mainituille kohdille olisi mahdollista tehdä jotain perustavaa laatua, on strategiatyöhön palattava.

Kansallinen strategia toimenpideohjelmineen on parhaimmillaan ilmaisu sen laatijoiden yhteisymmärryksestä tavoitteesta sekä tavoitteen saavuttamiseksi tarvittavista toimenpiteistä. Se tietyllä tavalla sitouttaa tahot (ainakin moraalisesti) toimimaan yhdessä sovitun agendan edistämiseksi. 

Limnellin mainitsemat viisi kohtaa eivät toteudu pelkästään tehostamalla nykyisen kyberturvallisuusstrategian toimenpideohjelman eteenpäinviemistä, vaan vaativat hyvin todennäköisesti merkittäviä rakennemuutoksia. Tämän mittakaavan rakennemuutoksia eivät synny itsestään «keskenään sopimalla» eivätkä ne synny kitkatta. Tämän takia tarvitaan strategiatyö, joka palaa kaiken muun perustana olevaan kysymykseen (Limnellin kohta 2): mikä on Suomen tavoite?

Limnellin viidestä kohdasta erityisesti johtamiseen liittyvä kohta on sellainen, joka saattaa edellyttää tuntuvia muutoksia nykyiseen. Yhtenä esimerkkinä voisi nostaa kielletty kysymys Kyberturvallisuuskeskuksen roolista ja sijainnista: onko kansallisen kyberturvallisuuskeskuksen oikea sijainti Viestintäviraston alaisuudessa ja onko sen rooli ja toimivaltuudet riittävän kattavat? Korostan tässä, että mielestäni sekä Viestintävirasto että Kyberturvallisuuskeskus tekevät hyvää työtä, ja Viestintävirasto oli ehdottomasti paras ratkaisu kyberturvallisuuskeskuksen kodiksi perustamisvaiheessa. Kyberuhkat kehittyvät kuitenkin kovaa vauhtia. YLE:n kirjoitus venäläisten hyökkäyksestä Ulkoasiainministeriöön on vain yksi esimerkki. Ukrainaan sähköverkkoihin kohdistuneet hyökkäykset varmasti nostivat kulmakarvoja niissä, jotka ovat äskettäin lukeneet Ilkka Remeksen « Jäätyvän Helvetin » ja pohtineet, voisiko tällaista oikeasti tapahtua. Kysymys onkin: onko Kyberturvallisuuskeskuksen oikea paikka Liikenne- ja viestintäministeriön alaisuudessa olevan viraston alaisuudessa, vai voisiko se olla jokin muu? Pitäisikö sen olla lähempänä Pääministerin oikeata kättä? Pitäisikö se yhdistää muihin toimijoihin, joilla on merkittävä vastuu esim. valtionhallinnon ICT:n toimivuudesta ja samalla laajentaa tämän tahon toimintakenttää kattamaan sekä yhteiskunnan että valtionhallinnon kyberturvallisuutta? Pitäisikö tarkastella Tanskan mallia, jossa kansallinen kyberturvallisuuskeskus toimii osana puolustusministeriön alaisuudessa olevaa tiedustelulaitosta, joka myös vastaa kyberpuolustuksesta? En tietenkään esitä tässä blogipostauksessa vastausta tähän kysymykseen, koska tämä vastaus on nimenomaan sellainen, jota pitäisi etsiä kansallisen strategiatyön kautta, koska päätös on mitä suurimmassa määrin strateginen! Mikä on Suomen tavoite…

Jos strategiaa sitten päivitetään, niin miten voidaan varmistaa, että uudesta strategiasta tulee kansallisesti merkittävä? Ideaalimaailmassa tämä kysymys nostettaisiin jopa pois hallinnonalojen ulottuvilta, näin korostaen hallinnonalojen roolia politiikkaa toteuttavina portaina. Reaalimaailmassa tämä tuskin kuitenkaan tapahtuu. Tiettyjä reunaehtoja tulisi kuitenkin asettaa:
  1. Strategiatyössä ei saa olla ennalta päätettyjä asioita eikä kiellettyjä kysymyksiä. Edelläkävijyyttä ei saavuteta puolustamalla vanhoja linnakkeita, vaan rohkeudella purkaa vanhoja hiekkalaatikoita sekä rakentamalla uutta tilalle. Riskejä on tarvittaessa uskallettava ottaa, jos menestymisen mahdollisuus sitä vaatii.
  2. Strategiatyö ei saa olla pelkästään hallinnonalojen välistä. Edellisessä strategiatyössä oli toki mukana muutama yritysedustaja, mutta nämä, vaikka hyviä olivatkin, edustivat pääsääntöisesti kyberalan yrityksiä. Seuraavassa strategiatyössä tulisi korostuneemmin kuunnella yksityisen sektorin ääntä – erityisesti ns « bisnestä tekevän portaan » näkemyksiä. Kenties pitää rohjeta todeta, että osa toimijoista pärjää nykyisellä strategialla ja sen toimenpideohjelmalla, jolloin seuraavassa versiossa voisi keskittyä niihin, joilla on suurin yhteiskunnallinen merkitys tässä viitekehyksessä.
  3. Kun asetetaan tavoite, sen pitää olla siltä osin realistinen, että tahto ja kyky saavuttaa se, on olemassa. Se edellyttää sekä resursseja että muutosta.
Mikäli lähtokohtana on, että resursseja ei tule eikä muutoksia suostuta tekemään, niin silloin uutta strategiaa ei kannata tehdä. Silloin kannattaa myös unohtaa nykyisen strategian visiota edelläkävijyydestä. Tällöin Suomella on kyberturvallisuuden osalta takana loistava tulevaisuus. Haluan silti edelleen uskoa Suomen mahdollisuuksiin kyberturvallisuusalalla. Kuten Limnell kirjoittaa, nyt tarvitaan tekoja, ei sanoja. 

08/12/2015

Suomi kyberturvallisuuden edelläkävijämaa vuonna 2016 - miltä näyttää?

Vuosi 2016 lähestyy, jolloin Suomen pitäisi kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden edelläkävijämaa. Mutta missä mennään? Tässä blogipostauksessa tuon esille joitakin omia huomioita.

Edelläkävijyyttä on vaikeata yksiselitteisesti määritellä, mutta tässä oma subjektiivinen näkemys. Edelläkävijyys tarkoittaisi sitä, että 1) Suomi olisi kokonaisuutena muita edellä. Tämä ei kuitenkaan tarkoita sitä, että Suomen pitäisi olla kaikilla osa-alueilla paras. 2) Muut maat tunnustavat Suomen olevan kyberturvallisuuden edelläkävijä. Tämä kohta on tärkeä, koska edelläkävijäksi ei voi vaan julistautua.

Erilaisia vertailuja eri näkökulmista kyllä löytyy. Olen syksyn aikana tehnyt oman suuntaa antavan vertailun noin 70 hyvin erilaisesta maasta ja arvioinut niiden kypsyyttä. Vertailussa olen huomioinut muun muassa seuraavia seikkoja:
  • Onko valtiolla kansallinen kyberturvallisuusstrategia? Strategia ei sinänsä automaattisesti tarkoita kypsyyttä, mutta se on osoitus siitä, että kyberturvallisuutta on kansallisella tasolla vähintäänkin pohdittu sekä laadittu suunnitelmia kyberturvallisuuden kehittämiseksi.
  • Onko valtiolla kansallinen kyberturvallisuuskeskus tai vähintään kansallinen CERT/CSIRT?
  • Onko valtiolla kyberrikollisuuteen liittyvää lainsäädäntöä? Tämän muuten kuvittelisi olevan tässä vaiheessa jo itsestäänselvyys, mutta eipä olekaan. On edelleen maita, joissa lainsäädäntöä ei ole.
  • Onko valtiolla kyberpuolustuskykyjä (eli kehittääkö asevoimat kyberpuolustuksen suorituskykyjä osana maanpuolustusta)?
  • Onko valtion toimesta käynnistetty ”awareness”-ohjelmia (vast)?
  • Millaista kansainvälistä yhteistyötä valtio tekee? Onko profiili näkyvä?
  • Miltä maan yksityinen sektori näyttää kyberalalla; onko maassa merkittäviä alan yrityksiä ja toimivatko ne kansainvälisesti?
  • Millaista alan koulutusta on maassa saatavilla?

Oman vertailuni perusteella toteaisin, että Suomi on monessa asiassa erittäin hyvä ja keskivertoa selvästi parempi. Mutta, me emme valitettavasti ole edelläkävijöitä edes omassa kategoriassamme, eli pienet ja keskisuuret maat.

Suomen vahvuudet ovat:
  • Suomen yksityinen sektori. Suomella on hyviä yrityksiä, jotka ovat kansainvälisesti tunnettuja. Niitä voisi kuitenkin olla enemmän.
  • Viranomaispuoli: Suomen kyberturvallisuuskeskus tekee hyvää työtä ja heillä on loistavia asiantuntijoita. CERT-FI:llä on pitkät perinteet kansainvälisestä yhteistoiminnasta ja heidän mainensa maailmalla on hyvä. Puolustusvoimat on tehnyt paljon kyberpuolustuksen kehittämiseksi ja viimeisimpänä positiivisena kehityksenä on varusmieskoulutus kyberpuolustuksen osalta. Poliisi on perustanut yksikön torjumaan kyberrikoksia. Lisäksi, viranomaisyhteistyö on tälläkin alalla sujuvaa.
  • Koulutuspuoli: Suomessa on ollut alan opetusta pitkään, vaikka etuliite ”kyber” tuli mukaan vasta joitakin vuosia sitten. Teknillinen korkeakoulu (nyk Aalto-yliopisto) aloitti legendaarisen hakkerikurssin jo 90-luvulla. Nykyään on tarjolla jo kokonaisia kyberalan koulutusohjelmia, johon kuuluu aihekokonaisuuksia eri tieteenaloilta.
  • Innokkaat harrastajat. Tulevaisuuden toivot.

Tämä ei kuitenkaan riitä nostamaan Suomea edelläkävijämaaksi. Jos se kuitenkin on strategiatason visio, niin silloin pitää myös olla vahva aikomus panostaa siihen. Muuten strategia jää vaan sanahelinäksi. Panostaminen ei tarkoita pelkästään rahallista resurssointia, mutta se tarkoittaa myös sitä. Taloudellisessa ahdingossa on ymmärrettävää, että resurssit ovat ahtaalla, mutta toisaalta, tämä on ala, joka voisi osaltaan olla nostamassa Suomen nykyisestä ahdingostaan. Panostaminen on sijoitus tulevaisuuteen. Lisäksi, Suomella olisi kaikki edellytykset olla edelläkävijämaa ainakin pienten ja keskisuurten maitten kategoriassa. Joiltain osin meillä on etulyöntiasema myös suurvaltoihin nähden, esimerkiksi pienemmässä maassa on monesti tiiviimmät ja ketterämmät verkostot. Panostamisen lisäksi Suomen pitäisi kuitenkin osata myös myydä ja markkinoida itseään.

Kansainvälisellä areenalla Suomi ei ole se maa, jota muut maat hehkuttavat. Se maa on usein ja monessa viitekehyksessä Viro. Ansiostakin. Viro on pienenä maana nähnyt kyberturvallisuuden strategisesti merkittävänä kokonaisuutena. Virolaiset ovat panostaneet siihen ja tehneet hartiavoimin töitä brändätäkseen itsensä e-yhteiskuntana ja kyberosaajina. Tämä brändäys näkyy kaikilla tasoilla, tekijäportaasta poliittiselle tasolle. Eikä olekaan ihme, että esimerkiksi Naton kyberturvallisuuden osaamiskeskus sijaitsee juuri Tallinnassa. Se on tänä päivänä Naton suurin osaamiskeskus. Miksi Suomeen ei olisi aikanaan voitu perustaa kansainvälistä kyberosaamiskeskusta, joskaan ei Naton viitekehykseen, mutta muuten? Onkohan Suomessa muuten minkään alan kansainvälistä osaamiskeskusta? Jos ei ole, niin miksi ei?

Sekä Suomessa että Virossa on olemassa kyberympäristö, jossa voi muun muassa toteuttaa kyberharjoituksia. Suomessa oleva kyberympäristö on rakennettu Jyväskylän ammattikorkeakouluun osana JYVSECTEC-hanketta. Se on aivan loistava ympäristö, jolla olisi potentiaalia vaikka mihin. Silti sitä ei ole hyödynnetty laajassa kansainvälisessä viitekehyksessä, vaan se on jäänyt melko vähäiseen kansalliseen käyttöön. Viro puolestaan tarjosi kyberympäristönsä Naton käyttöön ja sitä hyödynnetäänkin sekä Naton että Naton osaamiskeskuksen kyberharjoitustoiminnassa. Jokainen voi varmaan arvata, millaisia mahdollisuuksia tämä puolestaan luo Virolle. Mitä Suomi voisi tehdä hyödyntääkseen omaa kyberympäristöä edelläkävijyytensä tavoittelussa? On hyvin todennäköistä, että Suomessa oleva kyberympäristö kuuluu maailman parhaimpiin, joista monet muut maat voivat vaan haaveilla.

Surkuhupaisana esimerkkinä on myös pakko mainita tilaisuus, johon aikoinaan osallistuin. Viron edustajat olivat tulleet paikalle esittämään heidän sähköistä henkilökorttiaan. Siinä he totesivat: ”Actually, we took the idea from Finland. We just made it work!”

Herääkin kysymys, miksi Suomi ei onnistu samoissa asioissa, missä naapurimaa menestyy – ja kävelee edellä? Kaikki asiat, mitä Viro on saanut aikaan, olisi ollut mahdollista saada aikaan myös Suomessa.

Suomessa syntyy paljon hyviä ideoita. Bloombergin vertailussa Suomi on maailman neljänneksi innovatiivisin maa. Eniten parantamista olisi teknologiayritysten määrässä, jossa Suomi on sijalla 25. Miksi Suomessa ei synny enemmän startup-yrityksiä näiden ideoiden ympärille? Israel on verrokkina mielenkiintoinen. Israelissa on piilaakson jälkeen eniten teknologia-alan startup-yrityksiä. Valtio satsaa 5% bruttokansantuotteesta tutkimukseen ja kehitykseen ja pitää puolustusvoimia sekä maahanmuuttoa keskeisinä menestystekijöinä. Israelin puolustusvoimilla onkin startup-yritysten synnyssä merkittävä rooli, jossa jo varusmiesaikana kannustetaan innovointiin. Myös eläkkeelle jääneet kenraalit saattavat tukea nuoria startup-yrityksiä löytämään asiakkaita verkostojensa avulla.  

Suomella on kyberosaamista, mutta se ei yksinään riitä. Meiltä näyttää puuttuvan strategisen tason osaamista tehdä kyberosaamisellamme jotain kansallisesti ja kansainvälisesti merkittävää. Osa ongelmasta istuu todennäköisesti myös korvien välissä. Muutama asia vaatii pohdintaa:
  1. ASENNE: Olisiko aika ruveta näkemään mahdollisuuksia sekä myymään ja markkinoimaan itseämme niiden kautta sen sijaan, että keskitytään keksimään syitä, miksi asioita ei voi tehdä? Esim. jos suomalaiselle ja ruotsalaiselle annetaan omena, niin ruotsalainen hehkuttaa jo tuottavansa maailman parasta siideriä, kun taas suomalainen ei ehdi edes avata suunsa ennen kuin yksi virasto kieltää alkoholimainonnan, toinen virasto huolestuu omenassa mahdollisesti terveyshaittoja aiheuttavasta madosta ja kolmas taho on mustasukkainen siitä, koska omena oikeasti kuuluisi hänelle (koska hän kasvattaa päärynöitä). Miksi Suomi ei esimerkiksi tee kyberympäristöllään mitään elämää suurempaa?
  2. STRATEGISET VALINNAT: Olisiko aika päättää, mihin panostamme ja mihin emme? Jos haluamme menestyä kyberturvallisuusalalla, niin meidän pitää panostaa siihen, vaikka se ikävä kyllä onkin joltain toiselta alalta pois. Suomi ei voi olla joka alan edelläkävijämaa. Onko tämä se ala, joka auttaa nostamaan Suomen? Vai menikö juna jo?
  3. KANNUSTAMINEN: Miten voisimme kannustaa hyvän idean saaneita ihmisiä perustamaan startup-yritys ja lähtemään kansainvälisille markkinoille?
    • Joillekin yrittäminen on kuin valmiiksi koodattu geeneihin, mutta varmaan moni muukin rohkenisi tehdä ideoistaan totta, jos saisi vähän apua pääsemään alkuun. Voisiko olla tarpeen tarjota (teknologia-alan) opiskelijoille innovoinnin ja yrittämisen peruskursseja madaltamaan kynnystä lähteä kokeilemaan? Opetetaanhan sitä esimerkiksi puheviestintää ja kieliä perustaitoina, joiden tarkoitus on auttaa pärjäämään ammatissaan.
    • Voisiko Israelin mallista oppia mitään? Voisiko varusmieskoulutuksen aikana kannustaa keksimään hyviä ideoita ja tuotteistamaan ne varusmieskauden jälkeen? Voisiko tämä houkutella myös (lisää) naisia suorittamaan varusmiespalvelusta kyberpuolustuksen saralla? Voisiko siviilipalveluspuolella olla jotain vastaavaa? Voisiko Suomen tietoturvaklusteri (FISC ry) kalastella tätä kautta syntyneitä ideoita ja auttaa niitä eteenpäin?
    • Pitäisikö samalla miettiä yrittämisen houkuttelevuutta Suomessa laajemmin? Onko veroaste sellainen, että se kannustaa, vai olisiko miellyttävämpää hyödyntää esimerkiksi Viron (!!) e-kansallisuutta mahdollisuutena perustaa yritys sinne? Onko yrittämisessä muita asioita, jotka karkottavat ihmiset rivityöntekijöiksi ja hautaamaan ideansa pöytälaatikkoon?
  4. PÄÄTÖKSENTEKO: vai eikö Suomessa vaan olla päästy yhteisymmärrykseen siitä, kenen pitäisi tehdä jotain edellä mainittujen asioitten eteen?
Suomi on kyberturvallisuuden osalta oikeasti todella hyvä, jos vertaa moneen muuhun maahan. Haluammeko vielä edelläkävijöiksi? Tällöin olisi hyvä aika laatia seuraava versio kansallisesta kyberturvallisuusstrategiasta, kuten monet muut maat ovat jo ehtineet tehdä. Tässä olisi syytä pohtia, mitä se oikeasti vaatisi panostamismielessä ja miten se toteutetaan. Yksityistä sektoria olisi syytä ottaa vahvasti mukaan. Toinen vaihtoehto on tietenkin asettaa vaatimattomampi visio. Itse toivoisin, että pitäisimme visiostamme kiinni, mutta tekisimme myöskin ne strategiset valinnat, mitä vision saavuttaminen edellyttää.


20/04/2012

Kyberturvallisuutta kansalaisen näkökulmasta


Minulta kysytään usein, pitääkö yksittäisen kansalaisen ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin Hollywoodin elokuvissa.

Pyrin tässä blogipostauksessa nostamaan esille juuri tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan tietotekniikkaa.

Minkä takia pitää ymmärtää kyberturvallisuuden perusasiat?

Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä yksityishenkilönä että työntekijän/antajan ominaisuudessa.

Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen kohdistuvat uhkat.

Taloudellisen uhkan muodostavat verkkorikolliset, jotka pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.

Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja, luottokorttinumeroita, jne.

Työntekijänä henkilöön voi kohdistua tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation toimintaan myöhemmin.

Mitä pitää ymmärtää?

Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411 miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden ennen kuin kukaan ehtii sanoa ”kyber”.

Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä maalaisjärkeä pärjää pitkään!

Miten varaudun?

Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:

  1. Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
  2. Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
  3. Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
  4. Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
  5. Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
    • En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!


Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai tietoliikenneverkko olisi nurin. Mitä sitten?

Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.

Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että viranomaisten ja uutislähteiden www-sivuihin on yritetty  murtautua ja yritetty muuttaa tietoja; ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.

Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä. 

Miten parantaa yleistä kyberturvallisuustietoisuutta?

Miten saisimme kyberturvallisuusymmärryksen paremmalle tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?

Itse henkilökohtaisesti toivon sitä, että jokainen kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta, kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön vähättelyynkään.

Toivon aiheesta vilkasta keskustelua!!

25/03/2012

Viiden minuutin sota?


YLEn verkkosivuilla maalaillaan Suomen pahinta uhkakuvaa: "viiden minuutin sota".

Artikkeli on kieltämättä herättänyt keskustelua viikonlopun aikana. Mutta onko skenaario faktaa vai fiktiota?

Artikkelissa mainittujen hyökkäysten suorittaminen onnistuneesti on teknisesti mahdollista. Se kuitenkin edellyttäisi, että kohdejärjestelmiin on suunnattu ympäristötiedustelua teknisten haavoittuvuuksien löytämiseksi, että edellä mainitut tiedusteluoperaatiot ovat jääneet havaitsematta, että hyökkäykset suunnitellaan ja ajoitetaan huoleellisesti ja että niitä johdetaan ja koordinoidaan. Hyökkäysten suunnittelu saattaa edellyttää myös ihmisiin kohdistuvia toimenpiteitä, kuten tietojen kalastelua, kiristystä, huijaamista (esim. saamalla viemään saastunutta muistitikkua kohdejärjestelmään) tai palkkaamista myyräksi. Mikäli jollain taholla on riittävän vahva motivaatio, esimerkiksi poliittinen tai ideologinen, ja riittävät resurssit tämän tekemiseen, niin hyökkäysoperaation onnistuminen on mahdollista: ei välttämättä helppoa, mutta ei mahdotonta. Tässä skenaariossa on oletettavaa, että tekijänä olisi joko valtio tai ideologinen ryhmä, eikä perinteistä verkkorikollisorganisaatiota, koska rikollisorganisaation tavoitteena on usein raha. Verkkorikolliset tarvitsevat toiminnalleen toimivat tietoliikenneyhteydet siinä missä muukin yhteiskunta.

Se faktasta. Fiktiota on taas se, että maa lamaantuisi viidessä minuutissa. Tietojärjestelmien ja –verkkojen lamaantuminen ei ole sama kuin yhteiskunnan lamaantuminen. Yhteiskunnan lamaantuminen kestää pidempään ja edellyttäisi myös, että viranomaisella ja yksityisellä sektorilla ei ole riittävää kykyä hyökkäyksistä toipumiseen ja sitä mukaa palveluiden palauttamiseen yhteiskunnan käyttöön. Kriisinvalmiutta harjoitellaan yhteistoiminnassa julkisen ja yksityisen sektorin kanssa esimerkiksi TIETO-harjoituksissa, mikä osaltaan varmistaa sen, että toipumissuunnitelmat ja niiden harjoittelu eivät pitäisi jäädä pelkästään kauniiksi ajatuksiksi.

YLE:n artikkeli esittää viisi askelta laajamittaisessa hyökkäysoperaatiossa:
  1. Maksuliikenteen häirintä
  2. Tieliikenteen häirintä
  3. Elintarviketoimitusten logistikkajärjestelyiden häirintä
  4. Tietoliikenneverkkojen häirintä
  5. Sähköverkkojen häirintä

Maksuliikenteen häirintä aiheuttaisi Suomelle taloudellisia tappioita myös lyhyessä aikavälissä. Tämä olisi ongelma erityisesti elinkeinoelämälle. Yksittäisten ihmisten kannalta tilanne olisi toinen; elämä ei muutamassa minuutissa vielä kaatuisi. Vaikka kortit eivät toimisi eikä rahaa saisi nostettua automaatista, ei tilanteeseen vähään aikaan reagoitaisi kovinkaan voimakkaasti. Ruokaa on vielä pakastimessa, rahaa lainattaisiin kavereilta tai kauppiaitten kanssa sovittaisiin ruokaostosten maksujärjestelyistä, kunhan tekniset viat saadaan korjattua. Viranomaiset ja vapaaehtoiset järjestöt järjestäisivät soppakeittiöitä ja vedenjakelua. Tilanne olisi hankala, mutta ei mahdoton. Vasta jos tilanne näyttäisi jatkuvan pidempään rupeaisi tilanne muuttumaan: kaupoista ja ravintoloista loppuisi ruoka, apujärjestelyt eivät sujuisi energiapuutteen takia, kansalaiset nousisivat kapinaan ja kaduilla olisi mellakoita. Tästä onkin nopea tie yhteiskunnan lamaantumiseen, mutta tähän vaaditaan pidempää aikajaksoa, kuin se viisi minuuttia. Mikäli toipumissuunnittelu ja –harjoittelu on viranomaisten ja keskeisten elinkeinoelämän toimijoiden kanssa tehty asianmukaisesti, ei tällaiseen tilanteeseen välttämättä edes päädytä.

Tieliikenteen häirintä voisi olla kiusallista, mutta olisiko se vaivan arvoista saatujen hyötyjen osalta? Suomessa on niin vanha autokanta, että voidaan kyseenalaistaa, vaikuttaako kyberhyökkäykset kovinkaan moneen autoon lainkaan… Pääkaupunkiseudun ruuhkatkin ovat  mitättömiä verrattuna jo Keski-Eurooppaan. Ehkä sattuisi muutama keskisormen lihasten revähdys, mutta muilta osin yksityisautoilun kiusaaminen olisi toimenpiteenä kyseenalainen. On siis mahdollista, mutta miksi? Viidessä minuutissa kaaos ei kuitenkaan vaikuttaisi yhteiskunnan lamaantumiseen, vaan se tulkittaisiin perinteiseksi ärsyttäväksi liikenneruuhkaksi.  Tilanne saattaisi jatkua ärsyttävänä pitkäänkin, mutta julkisen liikenteen ja yksityisautoilun häirintä ei välttämättä riittäisi kansalaisten nujertamiseen.

Elintarviketoimitusten logistiikan häirintä olisi yhteiskunnan kannalta ikävä temppu. Sen vaikutukset eivät kuitenkaan lamaannuttaisi yhteiskuntaa viidessä minuutissa. Kaupoissa olisi vielä elintarvikkeita muutamiksi päiviksi, samoin ravintoloissa. Kieltämättä elintarvikkeet rupeaisivat pikkuhiljaa hiipumaan ja hinnat nousemaan kunnes ruoka yksinkertaisesti olisi loppu. Kaupungeissa seuraisi mellakoita ja rötöstelyä. Tähänkään ei päädytä, mikäli toipumissuunnitelmat on tehty ja harjoiteltu.

Tietoliikenneverkkojen häirintä taas olisi pahempi asia, koska se vaikuttaisi moneen muuhun toimintaan. Se vaikuttaisi valtion toimintaan, elinkeinoelämään ja yksittäisiin ihmisiin. Vaikutukset rupeaisi tuntumaan melko nopeasti. Yksittäiseen ihmiseen se ei vaikuttaisi vielä viidessä minuutissa: eihän suomalainen mökkikansa selviäisi hengissä edes kesäkauden, mikäli elämä olisi kiinni siitä, että kännykkä ja netti toimii jatkuvasti ja 24/7. Lähinnä huolet kohdistuisivat siihen, ettei lähimpiin saada yhteyttä eivätkä mahdolliset hätäpuhelut mene läpi. Toki esimerkiksi nettiriippuvaisilla voisi olla tukalat oltavat, kuten monella muullakin, mutta tuskin niin tukalat, että elämä loppuisi seinään. Valtionhallintoon ja elinkeinoelämään tilanne vaikuttaisi tuntuvammin; yhteydet ulkomaailmaan olisivat poikki ja taloudelliset menetykset lähtisivät nousuun. Silti, kansallinen tietoliikennekatkos ei viidessä minuutissa kaataisi koko yhteiskuntaa.

Sähköverkkojen häirintä olisi myös ikävä asia, kuten monet viime aikaisten myrksyjen uhrit voivat vahvistaa. Kriittisimmät toiminnot pyörisivät kuitenkin varavoimalla jonkin aikaa. Silti, pysyvä vaurio energiatuotantoon lienee kaikista pahin skenaario, koska pidemmän päälle; ilman sähköä ei ole tietoliikennettä, eikä tietojärjestelmiä, ja silloin tietoyhteiskunta lopulta kyykähtää. Mutta siihen menee enemmän, kuin viisi minuuttia.

No, kyykähtääkö Suomi?

Suomeen kohdistuva suunniteltu, resurssoitu ja johdettu hyökkäys voisi teknisestä näkökulmasta onnistua. Hyvin tehtynä, se voisi viidessä minuutissa kaataa useampaa yhteiskunnan toiminnallisuuden kannalta keskeistä järjestelmää. Tässä Suomi ei ole paremmassa tai huonommassa asemassa kuin yksikään muu tietoyhteiskunta. Jokaisella yhteiskunnalla (maatalous-, teollisuus- tai tietoyhteikunnalla) on omat vahvuutensa ja heikkoutensa. Tietoyhteiskunnalla on paljon vahvuuksia, mutta sen teknisen perustan haavoittuvuudet ovat kieltämättä sen heikkous.

Koko yhteiskunta tuskin kuitenkaan kaatuisi samaa vauhtia kuin tietoyhteiskuntaa ylläpitävät järjestelmät ja verkot. Viidessä minuutissa yhteiskunta ei vielä olisi herännyt siihen, mitä tapahtui. Muutamassa päivässä tilanne olisi todennäköisesti toinen, kun vaikutukset rupeavat tuntumaan.

Tässä viitekehyksessä on kuitenkin kaksi kriittistä komponenttia:
  1. Mikä on valtionhallinnon ja yksityisen sektorin kyky selvittää ja toipua resurssoidusta ja kohdistuneesta hyökkäyksestä
  2. Mikä on meidän jokaisen yksilön kriisinsietokyky; kuinka pitkään kestämme kylmää, pimeyttä, nälkää ja tilanteesta johtuvaa tietämättömyyttä menettämättä tilanteen hallintaa? 

Jos toipumissuunnitelmat on tehty ja harjoiteltu, voidaan tilanteesta toipua ennen kuin vaikutukset laajentuvat koko yhteiskuntaan. Jos kriisinsietokykymme on kansallisesti riittävän hyvä, tulemme pärjäämään. Mutta jos emme varaudu kyberuhkiin, on mahdollista, että yhteiskuntamme lamaantuu.

Sen takia Suomen kyberturvallisuusstrategiatyö on käynnistetty poikkihallinnollisella kokoonpanolla, yksityistä sektoria huomioiden. Työ on yhteiskunnan kannalta todella tärkeä. YLE:n toisessa artikkelissa käsitelläänkin tätä kyberturvallisuusstrategiaa; suosittelen lukemaan!

Suomen vahvuudet varautumisessa ovat meidän osaamisen taso ja verkostoituminen. Määrä ja massa eivät aina välttämättä lisää vahvuutta varautumiseen. Yhdessä tekemällä ja oppimalla voimme saavuttaa paljon kyberuhkien torjunnassa. Senkin takia toivon tästäkin postauksesta aktiivista keskustelua ja hyvien ideoiden heittelyä kehiin – miten voisimme yhdessä olla vahvempia sekä torjumaan että toipumaan?

07/03/2012

Saako sanoa kyber?


Monesti, kun käyn esitelmöimässä kyberturvallisuudesta tai kyberpuolustuksesta, käy niin, että joku kuulija lähestyy minua esitelmän jälkeen seuraavalla palautteella: ”Ihan hyvä esitelmä, mutta onko pakko käyttää termiä kyber?” Viimeksi vastasin pilke silmäkulmassa, että ”haittaakse?”.

Pidin itsekin termiä kyber aikoinaan vähän hassuna. Nyt olen muuttanut mieleni. Nyt olen sitä mieltä, että kyber tulisi käsitteenä hyväksyä.

Ensinnäkin kukaan ei ole keksinyt mitään parempaa käsitettä. Kyberturvallisuus ei ole synonyymi tietoturvallisuudelle, verkkoturvallisuudelle, atk-turvallisuudelle, tai millekään muulle turvallisuustermille. Rajapintoja ja päällekkäisyyksiä on, mutta mikään vanha termi ei kata kyberturvallisuuden osa-aluetta. Käsitteistä jaksetaan kyllä keskustella loputtomasti, mutta parempaa käsitettä ei ole esitetty ja keskustelun ydin on loppujen lopuksi ollut se, että ”kunhan ei käytetä sanaa kyber”.

Puolustusvoimat käyttää tällä hetkellä virallisesti termiä ”tietoverkkopuolustus” omasta osa-alueestaan, vaikka termi kyberpuolustus olisi helppokäyttöisempi. Termi tietoverkkopuolustus on harhaanjohtava, koska se antaa ymmärtää, että toiminta rajoittuu vain tietoverkkoihin. Se, että jokin komponentti ei ole tietoverkossa kiinni ei kuitenkaan tee siitä kyberuhkalle ulottumattoman. Tottakai voidaan saivarrellen viitata verkkoteoriaan, jonka mukaan yksikin solmu muodostaa verkon (jonka koko on 1) tai jonka mukaan monta yksittäistä solmua muodostaa verkon, joka nyt vaan sattuu olemaan epäyhtenäinen. Tämä ei kuitenkaan avautuisi kovinkaan monelle.

Mistä termi tietoverkkopuolustus sitten tulee? Epäilen, että sille löytyy kaksi selitystä. Ensimmäinen on se, että kaikkea ilmiöön liittyvää kuvattiin ennen kattotermillä tietoverkkosodankäynti, joka on sittemmin terminä vanhentunut, koska puhdasta tietoverkkosodankäyntiä tuskin on olemassakaan. Toinen syy on se, että ennen kuin termi cyber vakiintui englanninkielessä käytettiin usein ”computer network” –alkuisia käsitteitä, esim. computer network attack, computer network exploit, computer network defence, computer network operations, jne. Kuten arvata saattaa, ovat nämäkin termit käytännössä vanhentuneet, mutta käännös ”tietoverkko” jäi elämään. No, ehkä kolmas selitys on se, että olen itse ollut vakiinnuttamassa termiä ”tietoverkkopuolustus” paremman termin puutteessa. Nyt rupean kuitenkin vahvasti kallistumaan kyberpuolustus käsitteen kannalle.

Pelkäämmekö sitten kyber-sanaa liikaa? Kieletkin kehittyvät ajan myötä kattamaan uusia ilmiöitä ja asioita. Jos ei suomenkielistä vastinetta löydy, onko se niin väärin suomentaa vieraskielistä termiä? Lisäksi kyber kuvastaa tietynlaista kokonaisuutta ja ilmiötä, mihin vanhat termit eivät kykene. Ja loppujen lopuksi; jopa kyber-termin vihaajat käyttävät termiä kyber, sitruunahapan virne naamalla, koska hekään eivät ole keksineet sille mitään parempaa vastinetta. Mutta toisaalta, osaako kukaan sanoa, miksi sana kyber on huono? Minä en osaa. Ja kun siihen tottuu, niin se ei ole enää edes kovinkaan hassu.

Siispä olen ruvennut kallistumaan vahvasti kyberkäsitteen kannalle. Puhun jatkossa kyberturvallisuudesta, kyberpuolustuksesta, kyberuhkista, kybersiitä ja kybertästä. Haittaakse?

22/02/2012

Lammas susien vaatteissa


Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”.  Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!

Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)

Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.

Käsitteistä

Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.

Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.

Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on  operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.

Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan

Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.

Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.

Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.

Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?

Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!