Timo Lehtimäki: Yhteistyö ja varautuminen – keinomme selviytyä globaaleista uhista
Toimitusjohtaja Timo Lehtimäen blogikirjoitus on julkaistu Kauppalehden Kumppaniblogeissa 1.4.2020
Bitit eivät tunne rajoja eivätkä tarvitse passia. Tieto on yksi tärkeimmistä vaihdon välineistä, ja tiedolla vaikuttaminen on yhä taitavampaa. Mitä meidän tulee tehdä, jotta kykenemme säilyttämään digitaalisen itsenäisyytemme? Miten varmistamme tiedon oikeellisuuden ja riittävän suojauksen maailmassa, jossa kaikki toimijat eivät tahdo vain hyvää?
Maailma on kutistunut: globaalit uhkat tulevat hetkessä myös Suomen rajojen sisälle. Koronavirus on nopeasti syössyt maailman kriisitilaan, ja tilanteen seuraaminen on minullekin uusi rutiini useita kertoja päivässä. Kun tällainen globaali kriisi yritetään saada hallintaan, viranomaiset tekevät yhteistyötä yli kaikkien rajojen – onneksi.
Tiedonkulku ja tiedon oikeellisuus ovat juuri nyt kirjaimellisesti elämän ja kuoleman kysymyksiä. Tieto on nykymaailmassa äärettömän arvokasta pääomaa, jota liikutellaan joka sekunti valtavia määriä kaupankäynnin ja vaikuttamisen välineenä. Digitaalista tietoa eivät pidättele valtioiden rajat, ja sitä voidaan käyttää sekä hyvään että pahaan, aivan kuten muitakin tärkeitä resursseja.
On tärkeää ymmärtää, että tiedon hallinta ja salaisen tiedon suojaaminen ovat osa itsenäisen toimijan, kuten valtion tai vaikkapa yrityksen, toimintaa. Digitaalinen itsenäisyys on mielestäni osuva ilmaus, kun pohdimme tämän turvallisuuden eri aspekteja. Kyberhyökkäykseltä tulee suojautua aivan kuin virusepidemialta.
Digitaalista itsenäisyyttä ei voi turvata sulkemalla rajoja, eikä kyberhyökkäystä torjuta pesemällä käsiä. Hybridivaikuttaminen on iso osa maailmanpolitiikkaa niin suurvaltojen kuin pienempienkin toimijoiden kesken, ja sitä tapahtuu koko ajan. Onko meillä riittävästi valvonta- ja varautumiskykyä kaikkeen tähän?
Digitaalisen itsenäisyyden turvaaminen edellyttää muun muassa kyberturvallisuudesta huolehtimista, tiedon valvontaa ja jatkuvaa yhteistyötä. Itsenäisyyden säilyttämiseksi tarvitsemme myös välineitä, joilla hallitaan tiedon säilömistä ja tiedon siirtämistä silloinkin, kun kriisi vyöryy yli rajojen tai tihkuu huomaamatta sisään tietoturvaan syntyneestä aukosta.
Mitä ovat keskeiset keinomme digitaalisen itsenäisyyden turvaamisessa ja kuinka varustautua oikein?
1) Tunnista kriittinen tieto
Sekä hallinnossa että yritysmaailmassa syntyy joka hetki valtava määrä sellaista tietoa, joka on tärkeää suojata – joko yhteiskunnan turvallisuuden tai liikesalaisuuksien vuoksi. Suojaamisessa ei pidä hairahtua ylilyönteihin mutta ei myöskään vastuuttomaan sinisilmäisyyteen. Jos tietoa joutuu vääriin käsiin, on aina vaara, että sitä käyttää joku, jolla on pahat tarkoitusperät.
Ennen kriittisen tiedon suojaaminen oli vielä helppoa. Aaneloseen lyöty leima luokitteli tiedon salausasteen, ja paperin säilytyspaikka määräytyi sen mukaan. Bittimaailmassa tarve kriittisten tietojen salaamiseen on säilynyt, mutta keinot ovat erilaiset. Tämä haastaa jokaisen kriittistä tietoa käsittelevän henkilön tiedot, taidot ja välineet – ovatko ne riittävät?
Onko kaikkialla hallinnossa riittävästi mietitty strategisella tasolla, mitä tiedon suojaaminen tarkoittaa? Onko digitaalinen suvereniteetti huomioitu riittävän vakavasti?
Kun salassa pidettävää tietoa liikutellaan, riskit kasvavat. Tietoturva alkaa siitä, että jokainen käyttäjä ymmärtää, mitkä tiedot eivät ole julkisia ja miten niitä tulee käsitellä. Tietoturva-aukkoja syntyy paitsi teknisistä, myös inhimillisistä syistä.
2) Säilö tieto turvallisesti
Tärkeän tiedon haltijan on syytä jatkuvasti kysyä itseltään: tiedänkö, missä tietoni on? Ajattelet ehkä, että se on omassa taskussasi – valitsemassasi pilvipalvelussa ja sitä kautta päätelaitteessasi – mutta todellisuudessa se on pilvipalvelun tarjoajan taskussa. Nykyään erilaisten palveluiden ketjut ovat pitkiä, ja häiriö missä tahansa kohtaa ketjua uhkaa sen sujuvaa toimintaa.
Tiedon turvallinen säilöminen, varmennetut olot ja ympärivuorokautinen hallintapalvelu ovat välttämättömiä, kun tiedon on oltava suojassa ja toisaalta käytettävissä aina kun sitä tarvitaan.
3) Ymmärrä kyberturva ja tunnista hyökkäykset
Koska tieto on valtaa, siihen yritetään päästä käsiksi myös laittomin keinoin. Kybermaailmassa erilaiset vaikuttamisen keinot koettelevat jo mielikuvituksen rajoja. Varautumisessa tarvitaan kaikkien turvallisuudesta huolehtivien tahojen osaamista ja hyvää yhteistyötä.
Kyberhyökkäysten yksi muoto on kriittisen tiedon muokkaaminen niin, että tiedon haltija ei voi havaita tietojen peukaloimista. Tällainen tiedon turmeleminen on äärimmäisen haitallista esimerkiksi henkilökohtaisten terveystietojen arkistoissa tai kriittisen infrastruktuurin toimintaa ohjaavissa järjestelmissä.
4) Tue yhteistyötä kansallisesti ja kansainvälisesti
Tietoturvaan kohdistuvien hyökkäysten torjumisessa ja niihin varautumisessa tarvitaan kaikkien tahojen saumatonta yhteistyötä. Verkostomainen toimintamalli on ainoa mahdollinen, sillä kukaan ei pärjää tässä taistelussa yksin. Siihen tarvitaan sekä julkisia että yksityisiä toimijoita.
Turvallisuustoimijat tekevät joka hetki valtavasti näkymätöntä työtä kansalaisten hyväksi. Suomessa viranomaisten, järjestöjen ja elinkeinoelämän välinen yhteistyö toimii kansainvälisten mittapuiden mukaan erinomaisesti.
Turbulentissa maailmassa hyvän yhteistyön merkitystä varautumisessa ei voi liikaa korostaa. Yhteistyö on monestakin näkökulmasta paras mahdollinen skenaario sille, että pärjäämme. Kybermaailmassa tieto on arvokas vaihdon väline, ja Suomessa on muun muassa maantieteellisen asemamme vuoksi osaamista, joka kiinnostaa myös muissa ilmansuunnissa.