Tavoitteena lisää yhteistyötä kyberturvallisuuteen

Erillisverkkojen toimitusjohtaja Timo Lehtimäki kirjoitti Maaseudun Tulevaisuudessa viranomaisyhteistyöstä ja sen tiivistämisestä kyberturvallisuuden saralla (MT 29.1.). Kirjoitus ei olisi voinut olla ajankohtaisempi ja oikeaan osuvampi.

Vastaamon häikäilemättömän tietomurron seurauksena liikenne- ja viestintäministeriön johdolla selvitettiin pikatoimeksiannolla tietoturvan ja tietosuojan tilaa yhteiskunnan kriittisillä toimialoilla. Työryhmä jätti raporttinsa Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla 31.1.

Raportissa todetaan tietoturvakulttuurin vaihtelevan eri toimialoilla ja sen olevan Suomessa edelleen valitettavan huonolla tolalla monella yhteiskunnan toiminnan kannalta kriittisellä toimialalla.

Työryhmä esittää lukuisia parannuksia nykytilanteeseen. Ne keskittyvät erityisesti viranomaisten välisen yhteistoiminnan parantamiseen sekä resurssivajeen paikkaamiseen eri toimialoilla. Lisäksi työryhmä peräänkuuluttaa täsmällisempää ja nykyistä tiukempaa tietoturvalainsäädäntöä.

Tietoturvavaatimukset kriittisillä toimialoilla eivät voi perustua ei-sitoviin ohjeisiin, vaan niiden tulee perustua pakottavaan sääntelyyn. Suomalaisten henkilötietojen suojaaminen ja tietoturvan noudattaminen ei saa olla kiinni hyvästä tahdosta ja lempeästä toiveesta, vaan sitä pitää edellyttää.

Lehtimäen peräänkuuluttama kybernyrkki syntyisi työryhmän ensimmäisen toimenpide-ehdotuksen pohjalta. Tarkoituksena on säätää laki viranomaisten yhteistoiminnasta tietoturvaloukkausten ehkäisemisessä ja selvittämisessä. Uudessa laissa säädettäisiin esimerkiksi viranomaisten välisestä tiedonvaihdosta sekä välineistön, tilojen ja henkilöstön tilapäisestä luovuttamisesta toisen viranomaisen käyttöön.

Lain esikuvana toimisi laki poliisin, tullin ja rajavartiolaitoksen yhteistoiminnasta, joka on ainutlaatuinen ja paljon ihailtu muualla Euroopassa.

Tieto- ja kyberturvallisuuteen liittyvällä viranomaisten välisellä operatiivisella yhteistyöllä on Suomessa jo ilman lainsäädäntöäkin ollut pitkät ja toimivat perinteet.

Yhteistyötä valtiohallinnon toimijoiden kanssa on tehty koko Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen CERT-toiminnon olemassaolon eli kuluneen 20 vuoden ajan. Kyberturvallisuuskeskus tarjoaa jo nyt teknistä tukea eri viranomaisille kyberhyökkäysten selvittämisessä. Kyberturvallisuuskeskuksen toiminnan laaja-alaisuus on kansainvälisestikin ainutlaatuista.

Viranomaiset vaihtavat tietoja keskenään säännöllisesti jo nykyisin. Tietoa vaihdetaan operatiivisella tasolla tietoturvaloukkauksiin ja niiden uhkiin liittyvistä ajankohtaisista ilmiöistä ja kehityskuluista sekä yleisistä teemaan liittyvistä havainnoista. Uuden lain tarkoituksena on vahvistaa tätä yhteistyötä myös rakenteellisesti.

Tiiviille viranomaisyhteistyölle on Suomen kaltaisessa pienessä maassa tarvetta.

Yhteistyötä ja kyberturvallisuuden suunnittelu- ja kehitystyötä parantaa myös parhaillaan lausuntokierroksella oleva hallituskausien yli ulottuva kyberturvallisuuden kehittämisohjelma. Ohjelman on tarkoitus ohjata toimialarajat ylittävää ja hallituskausien yli ulottuvaa kyberturvallisuuden kehittämistä.

Yhteiskunnan kriittisten toimintojen tietoturvaa ja tietosuojaa koskevan työryhmän työskentely lähti liikkeelle yksittäisestä tietoturvan suur­onnettomuudesta, mutta sen tulokset palvelevat yhteiskuntaa laaja-alaisesti.

Olemme ottaneet viimeisen kuluneen vuoden aikana pakotetun digiloikan. Sen myötä asenteet ja toimintamallit ovat muuttuneet salamavauhdilla, ja olemme nyt entistä valmiimpia aidosti digitaaliseen toimintaan.

Kriisiaika osoitti, että meillä on halukkuutta, valmiutta ja osaamista käyttää digitaalisia palveluja arjessa. Samalla myös tieto- ja kyberturvallisuuden merkitys korostuu entisestään.

On entistäkin tärkeämpää varmistaa, että tieto- ja kyberturvallisuuden taso on riittävän korkealla kaikilla toimialoilla ja että viranomaisten yhteistyö toimii. Vain niin voimme varmistaa, että digitalisaatio on jatkossakin Suomessa erityinen ylpeydenaihe ja voimme hyödyntää digitalisaation huimat mahdollisuudet täysimääräisesti.

Tietoturvan noudattaminen ei saa olla kiinni hyvästä tahdosta ja lempeästä toiveesta.