Puhuja 1 [00:00:01]: Suomi vertautuu kyberturvallisuudessa muihin maihin verrattuna heikommin kuin aikaisemmin. Erilaisilla indekseillä joilla mitataan kyberturvallisuuskyvykkyyttä kansallisella tasolla ja on 2010 luvun alkupuolelta tehty. Jokaisessa myöhemmin tehdyssä selvityksessä meidän suhteellinen asemamme on heikompi ja heikompi.

Haastattelija [00:00:37]: Jyväskylän yliopiston informaatioteknologian tiedekunta ja maanpuolustuskoulutus MPK toteuttavat yhteistyössä kansalaisen kyberturvallisuusverkokkurssin. Tavoitteena on tutustuttaa kaikki kiinnostuneet suomalaiset kyberturvallisuuteen niin yksilön, yhteisöjen kuin yhteiskunnankin tasolla. Tämä haastattelu on tehty osana kurssia. Haastateltavana tänään on Jyväskylän yliopiston kyberturvallisuuden työelämäprofessori Martti Lehto. Puheenaiheena ovat muun muassa mitä kyberturvallisuus on ja kuka vastaa Suomen kyberpuolustuksesta. Haastattelijana toimii Jemina Lakka-Kolari. Jos aloitetaan ihan yksinkertaisilla kysymyksillä, niin mitä kyberturvallisuus oikein on ja miksi jokaisen tulisi olla kiinnostunut siitä?

Puhuja 1 [00:01:35]: Kyberturvallisuus on suojautumista digitaalisen maailman uhkia vastaan yksilöiden ja organisaatioiden teknisiä ja toiminnallisia ratkaisuja suojautua näiltä uhkilta. Kaikkien ihmisten tulee olla kiinnostuneita kyberturvallisuudesta koska jokainen meistä toimii sekä työssä että arjessa digitaalisessa maailmassa joka valitettavasti on täynnä uhkia. Ja pahimmillaan siellä voi menettää oman identiteettinsä tai rahansa tai järjestelmät eivät enää toimi. Tästä syystä varmaan jokainen haluaisi toimia ja työskennellä toimivassa järjestelmässä.

Haastattelija [00:02:16]: Kuinka tämä kyberturvallisuus näkyy ihmisten arjessa ja kuinka jokainen pystyy suojautumaan kyberuhkia vastaan?

Puhuja 1 [00:02:25]: Kyberturvallisuus näkyy ihmisten arjessa juuri sen vuoksi, että kaikki käytämme työssä ja kotona ja vapaa-ajalla digitaalisia palveluita. Ja ne palvelut enemmän ja enemmän vaativat kaksivaiheista tunnistusta, esimerkiksi pankkipalveluissa ja vastaavissa. Joka tarkoittaa että meidän on pakotetusti otettava käyttöön esimerkiksi vahvoja salasanoja eikä käyttää helppoja, maailman yleisimpiä kuten salasana. Tavallinen ihminen pystyy suojautumaan omassa arjessaan käyttämällä niitä ohjeita joita on annettu, käyttämään vahvoja salasanoja ja päivittämällä järjestelmänsä. Oli ne puhelimessa tai tietokoneessa aina kun on tarve, niin että ne varmuudella ovat ajan tasalla. Olen joskus käyttänyt ilmausta, että tässä digitaalisessa maailmassa mikään ei ole ilmaista. Kaikki mitä tuolla ilmaiseksi tarjotaan, olivat ne aplikaatioita tai palveluita. Niin täytyy miettiä miksi ne ovat ilmaisia. Minkä vuoksi joku haluaa meille antaa näitä asioita ilmaiseksi. Koska silloin niihin liittyy erilaisia ansaintalogiikoita joita meidän tulisi tunnistaa. Sen kyberturvallisuuden kannalta on tietysti tärkeää noudattaa niitä palveluntarjoajan ohjeita jotta voi suojautua. Tämä on kolmas  jo varmaan ohje siinä mielessä, että omien tietojen kannalta, ne täytyy olla myöskin suojattu ja varmuuskopioitu riittävällä tavalla. Jos jotain tietoja menettää, olivat ne mitä tahansa. Niin ne löytyvät jostakin muualtakin kuin yhdestä ainoasta paikasta.

Haastattelija [00:04:25]: Siirrytään nyt enemmän yhteiskunnalliselle tasolle. Ja kysyisinkin ketkä tuottavat kyberturvallisuutta suomalaisessa yhteiskunnassa ja kuinka Suomi vertautuu muihin maihin kyberturvallisuuden saralla?

Puhuja 1 [00:04:39]: Kyberturvallisuutta tuottavat suomalaisessa yhteiskunnassa kaikki ne jotka toimivat digitaalisessa maailmassa. Jotka ovat siellä sisällöntuottajia, palveluntarjoajia, laitteiden tarjoajia, ohjelmistojen tarjoajia. Jokainen toimija siinä ympäristössä on omalta osaltaan turvallisuuden tuottaja. Ja käyttäjät tietenkin suurempana ryhmänä. Kyberturvallisuuden johtaminen Suomessa, jos puhutaan strategisen tason johtamisesta. Niin se on hiukan ohuella, meillä on tietysti valittu vast ikään viimeisimmän kyberturvallisuus strategian perusteella valtion kyberturvallisuus johtaja. Haaste on ehkä hiukan se, että hänen toimivaltuutensa ovat oman näkemykseni mukaan liian rajoitetut jotta voitaisiin puhua sellaisesta johtamisesta mitä monissa muissa maissa on. Joissa kansallisella kyberturvallisuusjohtajalla ja hänen yksiköllään on riittävästi toimivaltaa. Suomi vertautuu kyberturvallisuudessa muihin maihin verrattuna heikommin kuin aikaisemmin. Erilaisilla indekseillä joilla mitataan kyberturvallisuus kyvykkyyttä kansallisella tasolla on tuolta 2010 luvun alkupuolelta tehty. Ja jokaisessa myöhemmin tehdyssä selvityksessä meidän suhteellinen asemamme on aina heikompi ja heikompi. Kun vielä 2010 luvun alkupuolella olimme Euroopassa viiden parhaan joukossa ja maailmassa kymmenen parhaan joukossa. Niin viimeisimmissä olemme Euroopassa kymmenen joukossa ja maailmalla 20 joukossa. Positiivista on se, että nämä indeksit osoittavat meidän parantaneen joka kerta. Saamme paremmat pisteet mutta muut saavat vielä paremmat pisteet, joka tarkoittaa, että meidän suhteellinen asemamme heikkenee. Ja minulle se indikoi sitä, että muualla tehdään vieläkin enemmän asioita ja paremmin kuin me. Joka tarkoittaa, että meidän ehkä kannattaisi miettiä, missä kohtaa voisimme parantaa omaa tekemistämme. Että suhteellinen asemamme säilyisi johtavien maiden joukossa jossa olemme halunneet olla. Juuri 2013 strategian perusteella me haluaisimme olla siellä kärjessä. Ja nykyisillä panostuksilla ja tekemisellä näin ei ole.

Haastattelija [00:07:21]: Nyt puhumme enemmän maanpuolustukseen liittyvistä asioista. Aloitetaan sillä, jos kerrot kuinka digitalisaatio on muuttanut sodankäyntiä ja millaisia kyberuhkia Suomen yhteiskuntaan kohdistuu?

Puhuja 1 [00:07:37]: Digitalisaatio on muuttanut sodankäyntiä ja kriisejä siinä mielessä, että se on tuonut uuden domeinen hienosti sanottuna tähän. Perinteinen sodankäynti jossa on maa, meri ja ilma. Niin nyt kyberdomein on tullut mukaan ja vielä viidenneksi avaruuskin. Joka tarkoittaa että sotilaallisesta näkökulmasta hallittavia alueita on enemmän. Ja monella tavalla hiukan vaikeaakin monesta eri syystä kuin perinteiset maa, meri ja ilma domeinit. Suomen yhteiskuntaan kohdistuu, jos puhutaan tästä päivästä ja arjesta tai normaalioloista joita nyt elämme. Keskeisin on kybertiedusteluita kohdistuu sekä julkishallinnon toimijoihin joista meillä on hyviä ja huonoja esimerkkejä. Ja meillä on myöskin kybermaailmassa tapahtuvaa teollisuusvakoilua yhä enemmän. Ja myöskin hyökkäyksiä joilla katsotaan kuinka meidän kriittinen infrastruktuuri toimii ja voidaanko sitä lamauttaa digitaalisesta maailmasta tulevilla hyökkäyksillä. Voi sanoa, että yhteiskunnan kriittiset toiminnot, organisaatiot, yritykset, ovat tällä hetkellä erilaisten operaatioiden kohteina. Tänä aikana kybertiedustelu Suomeen on sen vuoksi meillä kohteena, että se tieto on siellä. Tiedustelutoimintaa on ollut todella kauan, ja nyt kun tieto on verkossa, niin myöskin kybertiedustelu on siellä verkossa. Sama koskee kriittistä infrastruktuuria ja organisaatioita joiden tiedot ja toiminnot ovat siirtynee analogisesta maailmasta digitaaliseen maailmaan. Niin myöskin hyökkääjät kohdistavat toimenpiteensä. Ja Suomi esimerkiksi hightech maana on houkutteleva kohde teollisuusvakoiluun.

Haastattelija [00:09:45]: Ketkä ovat Suomeen kohdistuvien kyberuhkien takana, ja toisaalta kuinka kyberpuolustus on Suomessa hoidettu?

Puhuja 1 [00:09:54]: Suomeen kohdistuvien kyberuhkien takana ovat toimijat, jotka ovat kiinnostuneita hyökkäämään Suomeen. Kyberturvallisuuden hyökkäysten takana olevan määrittely on vaikeaa. Puhumme atribuutio ongelmasta, joka tarkoittaa sitä, että emme välttämättä tiedä kuka on kohteena. Esimerkit maailmalla osoittavat, joissa kohde on nimennyt jonkun maan kohteeksi tai jopa henkilön kohteeksi, niin pääsääntöisesti sieltä kielletään tietysti, että ei olla missään tekemisissä asian kanssa. Jolloin todellisten toimijoiden näkeminen ja löytäminen on erittäin vaikeaa. Ja vielä yksi piirre joka tässä digitaalisessa maailmassa on, on se, että käytetään prokseja. Sijaisia, elikkä hyökkääjä ulkoistaa oman operaationsa toteuttamisen jollekin muulle ryhmälle. Ja jos ryhmä sattuu jäämään kiinni, niin voi aina kiistää, ettemme ole millään tavalla tekemisissä jonkun yksittäisen ryhmän tekemisten kanssa. Kyberpuolustus tarkoittaa sotilaallisesta näkökulmasta sitä, että puolustusvoimat suojaa omaa toimintaansa ja omaa digitaalista kyberympäristöään ulkopuolisilta kyberhyökkäyksiltä. Oli ne tiedusteluhyökkäyksiä tai vaikuttamishyökkäyksiä. Suomen kyberpuolustuksesta vastaa puolustusvoimat samalla tavalla kuin se vastaa ilmapuolustuksesta tai meripuolustuksesta ja maapuolustuksesta. Sillä on vastuu sotilaallisen kybertoimintaympäristön suojaamisesta, sen valvonnasta ja mahdollisten hyökkäysten torjunnasta. Puolustusvoimien rooli, viitaten nyt aikaisempaan, on se, että heidän ensisijainen tehtävänsä on sotilaallisen kybertoimintaympäristön suojaaminen siten että oma operaatiovapaus ja kyky toimia kyberympäristössä on turvattu. Mutta kun kybermaailmassa on kriittinen infrastruktuuri ja monet toiminnat nivoutuneet yhteen, on ehkä vaikea erottaa missä se sotilaallinen toimintaympäristö loppuu ja siviili alkaa. Niin tämä käytännössä tapahtuu kokonaisturvallisuuden näkökulmasta. Osin viranomaisyhteistyönä, jossa tehdään monia toimenpiteitä myöskin yhdessä. Tähän voisi lisätä, että suuri haaste tässä kyberpuolustuksessa on se, mikä on juridinen kybertoimintaympäristö. Meillä tiedetään, meillä on asetuksella määritelty mikä on Suomen ilmatila, mikä on Suomen merialue, mitkä ovat meidän maarajamme. Mutta kyberrajoista ei kukaan tiedä, missä menee kansallinen kyberraja, kybertoimintaympäristö ja millä tavalla tämä määrittely antaa oikeuden alueelliseen koskemattomuuteen ja turvaamiseen myöskin kybertoimintaympäristössä. Suomen kyberpuolustusta tulee kehittää tavalla jossa luodaan riittävät resurssit näiden suorituskykyjen rakentamiseksi ja kehittämiseksi. Ja aikaisempaan viitaten tietysti tarvitaan myöskin kybertoimintaympäristön määrittelyä, jotta voidaan juridisesti toimia oikein samalla tavalla kuin käydään ja toteutetaan asioita maalla, merellä ja ilmassa. Myöskin siinä kybertoimintaympäristössä.

Puhuja 1 [00:13:51]: Se myöskin tarkoittaa yhteistoimintaa Suomen rajojen ulkopuolelle. Koska kybertoimintaympäristön ilmiö on se, että se on normaalia rajoja ylittävää jolloin tarvitaan rajat ylittävää yhteistoimintaa. Niin EU:n piirissä kuin Naton kumppanuussopimuksen piirissä ja kansainvälisesti laajasti. Jotta voimme kehittää omaa suorituskykyämme. Ja tietysti se myöskin puolustusvoimien kohdalla tarkoittaa koulutuksen vahvistamista joka näkyy nyt ensi vuonna perustettavan johtamisjärjestelmä koulun tiimoilta. Jonne vielä enemmän vahvistetaan sitä, että syntyy riittävät kyberpuolustusjoukot puolustusvoimille.

Haastattelija [00:14:44]: Lopuksi jos keskustelemme hieman kyberturvallisuudesta näin työelämän näkökulmasta, niin minkälaisia ammatteja kyberturvallisuuden alaan liittyy ja millaisia taitoja alan ammattilaisilla oikein on?

Puhuja 1 [00:14:59]: Kyberturvallisuuden ammatteja on laidasta laitaan. Ne ovat koko ajan laajentumassa. Ehkä ennen ajateltiin, että ne ovat tietotekniikkanörttejä, jotka elävät pitsalla ja kevyt light colalla. Että se on pelkästään tekniikkaa. Mutta yhä enemmän yritykset tarvitsevat kyberturvallisuuden keskitason johtajia ja myöskin strategisia johtajia, jotka kykenevät näkemään esimerkiksi yrityksen kyberturvallisuuden laajemmasta perspektiivistä. Tarvitaan ihmisiä jotka ovat sisällä siellä bittien maailmassa ja sellaisia, jotka osaavat nähdä esimerkiksi organisaatiotason ratkaisuiden toteuttamista ja kehittämistä. Tätä kyberturvallisuusammattilaisten osaamista, sitä on täällä jonkun verran tutkittu meidän maisteriopiskelijamme. Toiset yritykset sanovat, että riittää, että on riittävän hyvä tyyppi ja innokas tekemään tätä työtä, niin se riittää. Toiset tietysti pitkälti sanovat, että tarvitaan ohjelmisto- ja matemaattista osaamista, kykyä toimia siellä digitaalisessa maailmassa. Se riippuu siitä tehtävänkuvasta. Mutta yleisesti siihen liittyvät tietyt digitaidot ja tekniset taidot. Ja tietysti mennään normaaleihin sosiaalisiin kommunikaatiotaitoihin ja kieltäkin pitäisi osata kun maailma on kovin englantipohjaista. Tämä ei ole pelkästään diginörttien maailma. Jos joku miettii aloja, joissa saattaisi olla pelkoa, ettei ole töitä, niin kyberturvallisuuden alalla niin ei ole. Kaikki selvitykset ja tutkimukset kertovat, että meillä on huutava pula osaajista. Jolloin kaikki jotka tällä alalla on, niin varmasti löytävät töitä. Ja toinen on se, että jos on lainkaan kiinnostunut digitalisaatiosta ja digimaailmasta niin erittäin mielenkiintoisen ja vaihtelevan uran ja työelämän piiriin varmasti pääsee. Tietysti yliopistona tietysti sanoo, että kyberturvallisuuden ammattilaiseksi tulee tekemällä opintoja ja suorittamalla tutkintoon johtavaa koulutusta. Mutta tietysti ihmisillä joilla on tietotekniikan, tietojärjestelmätieteen perusteita, niin voivat erilaisilla lisäopinnoilla täydentää sen oman osaamisensa sellaiseks, että se tuottaa kyvykkyyksiä joita organisaatio tarvitsee. Mutta koulutusta jota on tarjolla, erillisistä kursseista tutkintoon johtavaan koulutukseen, niin ne ovat polku ammattilaiseksi.