22/02/2012

Lammas susien vaatteissa


Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”.  Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!

Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)

Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.

Käsitteistä

Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.

Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.

Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on  operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.

Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan

Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.

Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.

Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.

Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?

Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!

14/02/2012

Kyberpuolustus ja varusmieskoulutus?


Olen viimeisten vuosien aikana käynyt luennoimassa sekä siviiliyliopistoilla että Maanpuolustuskorkeakoulussa kyberturvallisuudesta ja erityisesti  sen sotilaallisesta ulottuvuudesta, kyberpuolustuksesta. Koska en halua olla pelkästään ”puhuva pöllö”, olen viime aikoina usein antanut opiskelijoille ryhmätehtäviä herättääkseni keskustelua ja saadakseni aikaan vuorovaikutusta yleisön kanssa. Yksi antamistani aiheista on ollut ”kyberpuolustus ja varusmieskoulutus”. Mitä pitäisi kouluttaa, miten pitäisi kouluttaa, ketä pitäisi kouluttaa? Aihe on herättänyt paljon mielenkiintoista keskustelua, joten päätin kirjoittaa siitä blogipostauksen keskustelun laajentamiseksi.

Ensimmäinen näkökulma, mikä on keskusteluissa noussut esille, on ollut koulutuksen laajuus. Tulisiko koulutusta antaa kaikille vai pienelle joukolle, vai sekä että? Laajalla koulutuksella olisi mahdollista antaa yleissivistävää opetusta kaikille lähinnä suojautumisen osalta. Tämä ei sinänsä kehittäisi puolustusvoimien kyberpuolustuskykyä, mutta se antaisi perusymmärryksen kyberuhkista ja yleisistä suojautumiskeinoista, mikä voisi palvella yhteiskunnan turvallisuutta laajemmin. Varusmieskoulutuksen saaneet kykenisivät paremmin suojaamaan kotikoneitaan sekä toimimaan netissä asioidessaan turvallisemmin, kun perusteet olisi hallinnassa. Osaaminen hyödyntäisi myös heidän tulevia työnantajiaan. Toisaalta voidaan ajatella, että nämä taidot ovat sellaisia perustaitoja, joita tulisi opettaa jo peruskoulussa ihan kaikille. Pienelle joukolle annetun erikoiskoulutuksen kautta taas olisi mahdollista kehittää puolustusvoimien toimintaa tukevaa osaamista, vähän samalla tavalla kuin ELSO-koulutuskin (ELSO = elektroninen sodankäynti). Tällaiseen erikoiskoulutukseen valikoituisi rajoitettu määrä varusmiehiä vuosittain. Vaihtoehtoisesti voisi ajatella, että yleissivistävää koulutusta annetaan jokaiselle joka tapauksessa, mutta pientä joukkoa koulutettaisiin syvällisemmin erikseen.

Erikoiskoulutuksen osalta olisi tärkeätä, että siihen hakeutuisi oikeat osaajat. Monet oppilaat ovat keskusteluissa tuoneet esille sen huolen, että osa potentiaalista menee jo kutsunnoissa hukkaan, koska esimerkiksi kunto tai terveydentila ei ehkä riitä varusmiespalveluksen suorittamiseen - tai voi olla muita syitä, minkä takia perinteinen varusmiespalvelus ei ole mahdollinen. Voisiko tälle olla vaihtoehtoja? Keskusteluissa on noussut esille ajatuksia siitä, että perinteiseen varusmiespalvelukseen kykenemättömille, joilla kuitenkin on kyberalan huippuosaamista, voisi tarjota tietynlaista vapautusta tai kevennystä perinteisistä velvoitteista. Näin he kuitenkin suorittaisivat varusmiespalveluksensa ja kykenisivät tarjoamaan oman osaamisensa maanpuolustukselle, mikä lienee win-win tilanne niin heidän kuin puolustusvoimienkin kannalta. Toinen mielenkiintoinen idea oli se, että nämä henkilöt suorittaisivat varusmiespalveluksensa siten, että heille maksettaisiin puolustusvoimien päivärahaa vuoden verran, jonka aikana heillä olisi velvollisuus suorittaa alan opintoja siviiliyliopistoissa tai ammattikorkeakouluilla. Tämän jälkeen heille määrättäisiin sodanajan sijoitus puolustusvoimissa.

Koulutuskeskustelussa nousee usein myös esille sitä, kenen pitäisi kouluttaa mitäkin ja milloin koulutus olisi hyvä käydä. Yksi mahdollisuus on se, että henkilöt ensin hankkivat siviilimaailman koulutusta, jonka jälkeen he suorittaisivat varusmiespalveluksensa erikoiskoulutuksena, vrt. lääkärit. Toinen hyvä näkemys oli se, että puolustusvoimat ja siviilikoulut tekisivät yhteistyötä siten, että osa koulutuksesta olisi puolustusvoimien tarjoamaa ja osa siviilikoulujen tarjoamaa. Näin voisi paremmin yhdistää puolustusvoimien strateegista, operatiivista ja taktista osaamista ja siviilikoulujen teknistä, lingvististä ja juriidista osaamista.

Yksi hyvin mielenkiintoinen näkemys nousi yhdellä oppitunnilla esille, nimittäin siviilipalvelusta tekevien henkilöiden osaamisen hyödyntäminen. Mikäli vakaumus estää kaikkea sotilaalliseen maanpuolustukseen liittyvää, voisiko alan osaamista kuitenkin käyttää yhteiskunnassa laajemmin, esimerkiksi osana kriittisen infrastruktuurin suojaamista kriisin tai sodan aikana? Tai jos vakaumus käsittää lähinnä ”aseista kieltäytymisen”, niin voisiko kyberpuolustus olla yksi mahdollisuus suorittaa varusmiespalvelusta rikkomatta tätä periaatetta?

Kyberpuolustus ja varusmiespalvelus herättää paljon keskustelua ja mahdollisuuksia on varmaan paljon. Toivoisin, että blogini lukijat ottaisivat aiheeseen kantaa, esittäisivät omia näkemyksiään ja ideoitaan, ja että aihe herättää tälläkin foorumilla vilkasta keskustelua.