CGI Suomen blogi
Jan Mickos

Julkisen ja yksityisen sektorin kyberyhteistyö tulille

Kyberuhkat eivät toimialarajoja katso. Huoli yhdistää myös yksityisen ja julkisen sektorin Suomen kaltaisessa pienessä maassa. Kansainvälisesti yhteistyöstä käytetään termiä ”public-private-partnership”, eli lyhyemmin PPP.

CGI kokosi lokakuun lopussa kyberalan ykkösasiantuntijat molemmilta puolilta yhteen edistämään yhteistyötä. Yleisöäkin kiinnostaneessa vilkkaassa keskustelussa nousi esiin kolme keskeistä kysymystä:

1) Mikä on jakamisen arvoista tietoa ja miten sen tunnistaa?

Yksityisen ja julkisen sektorin yhteistyössä tärkeää olisi jakaa tietoa. Aina ei ole selvää, mikä tieto olisi jakamisen arvoista. Kirsi Karlamaa Viestintäviraston alaisuudessa toimivasta Kyberturvallisuuskeskuksesta nosti esiin sen, että häpeä siitä, että tietomurto on tapahtunut, on vieläkin suurta. Siksi tapauksista mieluummin vaietaan kollegojen kesken. Kyberturvallisuuskeskus kuitenkin julkaisee aina anonyyminä hyökkäyksiin liittyvät varoitukset, joten varautumiseen tarvittavaa ajantasaista tietoa on saatavissa, kunhan sitä hakee.

Paneeliin osallistuneena keskustelijana toin esiin esimerkin Yhdysvalloista, jossa tiedustelutietojen jakaminen toimii PPP:n hengessä edistyksellisesti. Suomessa haasteena ei ole lainsäädäntö vaan henkiset esteet.

2) Kuinka mietinnöt ja strategiapaperit saataisiin vietyä käytäntöön?

Kybertuvallisuudessa varautuminen on jo puoli ruokaa: uhat on kartoitettu ja niihin varautuminen mietitty. Moni organisaatio uinuu edelleen siinä tunteessa, etteivät kyberuhkat kosketa niitä, eivätkä ne siis edes kartoita tilannetta. Kuitenkin kybersodan laineet muualla voivat osua myös sivullisiin tai harrasteleva hakkeri voi huvikseen tunkeutua järjestelmiin, vailla täsmällisempää motiivia.

Erityisesti kuntien rooli keskustelutti. Kiristyvän kuntatalouden paineessa kyberturvallisuus ei nouse prioriteettilistalla ennen kuin jotain sattuu. Helsingin kaupungin IT-jaoston puheenjohtaja Otso Kivekäs muun muassa totesi, ettei kaupunginhallitus toistaiseksi ole kertaakaan keskustellut kyberturvallisuudesta, vaikka kaupungin veden ja energian jakelu, jätehuolto, kaukolämpö ja joukkoliikenne ovat kaikki keskeinen osa huoltovarmuutta ja siten potentiaalisia kohteita kyberuhkille. Kivekäs lupasi huolehtia siitä, että Helsingin kaupunginhallitus keskustelee pian kaupungin valmiudesta ja kriittisistä toimialoista.

Keskustelijat olivat yhtä mieltä siitä, että kyberturvallisuutta käsitteleviä mietintöjä ja strategiapapereita tärkeämpää olisi ymmärryksen muuttuminen teoksi. Keskustelijat katsoivat, että kyberturvaa edistäisi sen tajuaminen, että ennemmin kuin uusia massiivisia järjestelmiä, tarvittaisiin korjauksia vanhoihin ja uusien toimintatapojen omaksumista.

Turvallisuuskomitea kokoaa ministeriöiden kansliapäälliköt yhteen. Kyberturvallisuudesta on keskusteltu, mutta erikoistutkija Pentti Olinin mukaan toistaiseksi se ei juurikaan näy ministeriöiden ja virastojen budjettiehdotuksissa tai eri hallinnonalojen arjen toiminnassa.

3) Miten yritysten ja yksityisen sektorin yhteistyötä voitaisiin lisätä?

Huoltovarmuuskeskuksella on pitkät perinteet yhteistyöstä yritysten kanssa erilaisten varmuusvarastojen ylläpitämisessä. Keskuksen infrastruktuuriosaston johtaja Sauli Savisalo totesi, että rahasta ei ole puute, innovaatioista kylläkin. Savisalo totesi olleensa useassa tilaisuudessa kertomassa halustaan laittaa miljoonia kyberhankkeisiin, mutta elinkeinoelämä ei ole toistaiseksi täyttänyt hänen sähköpostiboksiaan ehdotuksilla. Liekö kyseessä innovatiivisuuden puute vai onko IT- ja startup-maailma vailla kokemuksia siitä todellisuudesta, jossa julkisella sektorilla kyber-huoltovarmuutta ratkotaan?

Kyberturvallisuusklusteri FISCin puheenjohtaja Timo Kotilainen kertoi, että Hollannissa julkiset ja yksityiset toimijat sijoittuvat fyysisesti samoille ”kampuksille”. Kun tavataan ja tunnetaan tosielämässä eikä vain virtuaalisesti, syntyy luottamus, jonka varassa tiedon vaihto kyberuhkista ja -hyökkäyksistä sujuu. Kotilainen pohti, pitäisikö meilläkin kahvitella ja jutella enemmän? Luottamusta kun voi rakentaa myös pienillä teoilla, ei vain kankeilla jättihankkeilla.

Merikaapeliyhtiö Cinian kehitysjohtaja Pertti Hyvärinen tiivisti, että merikaapelihanke on hyvä esimerkki julkisen ja yksityisen sektorin yhteistyöstä: valtio mahdollistaa, yritysmaailma toteuttaa. Lopputuloksena saadaan alusta turvalliseen tiedonvaihtoon tulevaisuudenkin tarpeisiin.

Paneelissa yhteisesti jaettu mielipide oli, että jo tämän kaltaiset tilaisuudet, jossa julkisen ja yksityisen sektorin toimijoita tuodaan yhteen, edistävät yhteistyötä merkittävästi.

CGI:n kyberturvallisuuspäivän paneelikeskusteluun 29.10.2015 osallistuivat julkiselta sektorilta Kyberturvallisuuskeskuksen johtaja Kirsi Karlamaa, Turvallisuuskomiten erikoistutkija Pentti Olin, Huoltovarmuuskeskuksen infrastruktuuriosaston johtaja Sauli Savisalo, Helsingin kaupungin it-jaoston puheenjohtaja Otso Kivekäs. Yritysmaailmaa keskustelussa edustivat CGI:n kyberturvallisuusjohtaja Jan Mickos, Suomen kyberturvallisuusklusteri FISCin puheenjohtaja Timo Kotilainen ja Cinian kehitysjohtaja Pertti Hyvärinen. Keskustelua vetämässä oli konsultti Sallamaari Muhonen.

Blog moderation guidelines and term of use