torstai 24. tammikuuta 2013

Strategia kaipaa resurssia


Tänään julkaistiin Valtioneuvoston hyväksymä Kyberturvallisuustrategia, jossa vedetään päälinjat Suomen maanpuolustukselle tietoverkoissa.

"Strategiassa kuvataan kyberturvallisuuden visio, toimintamalli ja strategiset linjaukset. Valmisteltava toimeenpano-ohjelma tulee sisältämään hallinnonalojen ja toimijoiden valmisteluvastuulle tulevat käytännön toimenpiteet, joilla luodaan edellytykset strategisten linjausten toteutumiseksi sekä vision kuvaamaan tavoitetilaan pääsemiseksi mukaan lukien yhdessä sovitut poikkiyhteiskunnalliset toimenpiteet."

Suomen kyberturvallisuus-strategia
Turvallisuus- ja puolustusasiain komitean sihteeristo


On erinomaisen hyvä ja tärkeä asia, että tällainen paperi saatiin aikaiseksi. Kuten yleensä strategioissa, itse prosessi on varmasti ollut hyödyllinen keskustelun herättäjä ja tiedon kerääjä. Lopputuloksesta on ikävä kyllä nähtävissä, että yhteistä näkyä ei saatu kirkastettua niin pitkälle, että olisi kyetty luomaan selviä vastuu-, käsky- ja koordinaatiosuhteita. Tästä puolesta saattoi olla kysymys niissä kiistoissa ja niiden aiheena olleissa taustamuistioissa, joista mm. Erkki Tuomioja kirjoittaa blogissaan:

"Hallitukselle esiteltävä kyberturvallisuusstrategia on laadittu läheisessä yhteistyössä eri hallinnonalojen sekä yksityisen sektorin kesken. Toisin kuin Helsingin Sanomien uutisoinnissa väitetään, ei sen valmistelussa ole myöskään ollut ollut poliittisia vastakkaisuuksia esim. kansainväliseen yhteistyöhön tai toimivaltakysymyksiin liittyen.

Virkamiesten mahdolliset sopeutumisongelmat poliittiseen päätöksentekoon ovat eri asia. On luonnollista, että poliittisesti vastuulliset ministerit pitävät kiinni siitä, että hallituksen päätettäväksi tuodaan vain yksiselitteisesti ymmärrettäviä ja hyväksyttäviä linjauksia. Sellaisia taustamuistioita, joita ei ole poliittisten päätöksentekijöiden kanssa asiaan kuuluvasti valmistelu, ei tällaiseen päätöksentekoon voida liittää."
Erkki Tuomioja 23.1.2013 

Kysymyksiä herättää myös Kyberturvallisuuskeskus, joka on varsin toistaiseksi varsin hahmoton. Purnattuani tästä Twitterissä puolustusministerin erityisavustaja Patrick Gayer vastasi että "budjetti päätetään kehysriihessä. Keskus perustetaan CERTin yhteyteen ViVin alaisuudessa". Eli varsin alkutekijöissä ollaan ja uuden toimijan perustaminen kaikkien leikkausten keskellä ei varmaankaan ole helppoa.

Jatkuvasti rajussa muutoksessa olevan kyberturvallisuuden en usko voivan pohjautua pelkästään strategiaan, sillä uutta ja ihmeellistä kehitetään koko ajan. Siksi näen äärimmäisen tärkeänä varata riittävät resurssit, joille on annettu tehtävä ja päämäärä suojella Suomea ja suomalaisia parhaan kykynsä mukaan. Tietoverkoissa käytävä sota ei ole sen kiltimpää tai puhdasotteisempaa kuin IRL sota ja siksi tällaisissa strategioissa tärkeintä on taata tarpeeksi voimaa uskottavan puolustuksen synnyttämiseksi.

Toivon myös syvästi, että KTK sisältää viestinnällistä, pehmeämpää osaamista. Kyberturvallisuus on muutakin kuin bittivirtojen hallintaa. Kyberhyökkäys voi olla vaikkapa vain sen uhkaava mahdollisuus tai jopa vain epäily siitä, että sellainen on tehty. Epävarmuus ja epäluottamus ovat äärimmäisen tärkeitä aseita kybersodankäynnissä, koska olemme niin perinjuurin riippuvaisia tietojärjestelmistä. Kuvitellaan, että liikkeelle lähtee huhu tunkeutumisesta liikenteenohjauksen järjestelmiin. Luottamus liikennevaloihin ja muihin ohjausjärjestelmiin romahtaa ja liikenne jumiutuu yhtä pahoin kuin teitä olisi pommitettu poikki. Siksi kyberturvallisuuteen on ehdottomasti rakennettava pehmeämpi, viestinnällisempi resurssi, joka osaa sekä puolustuksen että hyökkäyksen.

Vielä nostaisin esiin strategiasta kyberturvallisuuden toimintamallin viidennen periaatteen:

"5. Kyberturvallisuuden järjestelyissä noudatetaan viranomaisten, yritysten ja järjestöjen välillä vastuunjakoa, joka perustuu säädöksiin ja sovittuun yhteistyöhön. Tarve sopeutua nopeisiin muutoksiin, kyky hyödyntää uusia mahdollisuuksia ja reagoida yllättäviin tilanteisiin vaatii toimijoilta strategisen ketteryyden periaatteiden ymmärtämistä ja nou- dattamista kyberturvallisuuteen tähtäävien toimien kehittämisessä ja johtamisessa."

Näin mukaan kutsutaan yrityksiä ja kolmatta sektoria. Tietoturvayhtiö Nixu Oy ilmoittikin yrityksen Twitter-tilillä: "Kansallinen #kyberstrategia nopeasti luettuna: hyvä lista, joista useat toki tiedostettuja. Nixu mukana talkoissa. Execution, execution." Osasto Siilasmaa, lepo!

Muutamassakin yhteydessä olen nähnyt tämän periaatteen vuoksi käytettävän sanaa suojeluskunta. Sehän oli maanpuolustukseen toimintansa pahjaava vapaaehtoisorganisaatio, jota valtio tuki voimakkaasti eri tavoin. Nyt suunnitteilla on siis myös jonkin sortin yhteistyötä, jonka korostetaan olevan säädeltyä. Saa nähdä rekrytoidaanko Muropaketin väki vaivaamaan bittiä isänmaan puolesta.

Toivottavasti tämä keskustelu jatkuu ja niveltyy muuhun turvallisuus- ja puolustuspoliittiseen keskusteluun.

Lisäys 25.1. Myös BaseN Corporation näyttää ilmoittautuvan riviin. Kyberstrategian Twitter-vahvuuslaskenta.

Lisäys II 25.1. Myös taustamuistio on julkaistu.

Ei kommentteja:

Lähetä kommentti