• Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään
      • Tietoturva ry, Hallitus
        Päivitetty:
        3.2.2021
        • Ehdotus valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Tietoturva ry Tietoturva ry on Suomen suurin tietoturva-ammattilaisten verkosto. Yhdistyksen keskeisenä tavoitteena on toimia yhteistoiminnan edistäjänä tietoturva-alalla ja jäsentensä yhdyssiteenä, sekä edistää hyvien tietoturvatapojen noudattamista kaikilla tietoturvan osa-alueilla. Yhdistys tukee myös jäsenistön ammattitaidon kehittymistä. Suomalaiselle yhteiskunnalle tietoturvallisuuden merkitys on kasvanut yhteiskunnan digitalisaatioasteen kehittymisen myötä. Suomessa on perinteet pitkälle viime vuosisadan puolelle sen aikaisen ATK:n ja nykyisen ICT-teknologian merkittävänä, myös globaalina kehittäjänä ja samalla myös tietoturvallisuuden kehittäjänä. Samalla tämä on kasvattanut Suomeen merkittävän ammattikunnan ja meidän asiantuntijuus sekä luotettava maine on laajasti tunnustettu myös globaalisti. Viimeisen viiden vuoden aikana digitalisaation ja tietoturvallisuuden merkityksen nousun myötä, olemme tunnistaneet selkeän pulan alan asiantuntijoista. Sekä uuden teknologian käyttöönotto, regulaation lisääntyminen (esimerkiksi EU:n yleinen tietosuoja-asetus) että tietoverkkorikollisten ja muiden toimijoiden lisääntynyt aktiivisuus ovat kasvattaneet tarvetta hyödyntää alan asiantuntijoita. Tietoturva ry kantaa huolta siitä, että emme pysty riittävästi huolehtimaan yritystemme ja julkisen hallinnon tuottamien palveluiden ja tietojen turvallisuudesta, ellei meille saada lisää lähivuosina merkittävässä määrin uusia alan ammattilaisia. Tietoturvan ja siihen liittyvien turvallisuuden eri osa-alueiden muodostuessa entistä kompleksisimmiksi toimintaympäristöiksi, tämä edellyttää myös uudenlaista kansallista koulutusta; koulutuksen tulee kehittyä vastaamaan digitaalisessa toimintaympäristössä tapahtuvaa muutosta. Tämän takia haluamme painottaa ja nostaa ”Huippuluokan” osaamisen kehittämisohjelman tärkeimmäksi painoalueeksi. Tuomalla ihmisen – meidät kaikki keskiöön, edistämme tällöin tietoturvallisuuden toteutumista niin nuorista ikääntyneisiin ja henkilöstön johdosta jokaiseen kansalaiseen. Tietoturvallisuudesta pitäisi tulla jokaisen kansalaisen perustieto ja taito, jota tässä osiossa hyvin tuodaankin esille. Kehittämisohjelman tämän hetkiset pääteemat - Huippuluokan osaaminen - Kiinteä yhteistyö - Vahva kotimainen kyberturvateollisuus - Tehokkaat kansalliset kyberturvakyvykkyydet palvelevat mielestämme hyvin tämän kokonaisuuden kehittämistä, mutta toivomme, että ohjelmaa arvioidaan ja tarpeen mukaan lisätään uusia kehittämistoimenpiteitä vuosittaisen arvioinnin perusteella. Toivomme myös, että ohjelmassa mainittua ekosysteemi-mallia avattaisiin ja kuvattaisiin tarkemmalla tasolla. Seuranta ja raportointi Toivomme, että kehittämisohjelman toimenpiteiden etenemisestä laaditaan selkeät mittarit ja näistä järjestetään esimerkiksi vuosittainen avoin seurantatilaisuus, jossa raportoidaan kokonaisuuden etenemisestä. Samalla olisi toivottavaa, että kokonaisuuteen luodaan mekanismi uusien toimenpiteiden lisäämiseksi, koska kehittämisohjelman tulee pysyä toimintaympäristössä tapahtuvien muutosten mukaisesti ajan tasalla. Samassa yhteydessä nostamme keskeisen huolen kehittämisohjelman ja siihen tulevaisuudessa liitettävien mahdollisten uusien toimenpiteiden rahoittamisesta. Mikäli yhden vakavan onnistuneen henkilötietojen tietoturvaloukkauksen kustannuksesi arvioidaan esimerkiksi miljoona euroa, proaktiivisella toiminnalla ja tietoturvallisuuden kehittämisellä on mahdollista ylläpitää luottamusta digitaalisiin palveluihin sekä riskienhallinnan näkökulmasta hallita paremmin uhkia – kustannustehokkaasti. Valitettavan usein näihin asioihin kiinnitetään huomiota vasta siinä vaiheessa, kun onnistunut hyökkäys on tapahtunut ja aiheuttanut vahinkoa, painopiste pitäisi saada paremmin ennakointiin ja häiriö- ja hyökkäystilanteessa tarvittavaan tilanteesta toipumiseen. Kehittämisohjelman toimintasuunnitelma Tietoturva ry on valmistellut jo useamman vuoden kansallisen tietoturvapäivän palauttamista kansallisen tietoturvaosaamisen ja verkostoitumisen areenaksi. Olemme mielellämme mukana valmistelemassa tätä tilaisuutta ja tarjoamassa sitä myös yhdistyksemme jäsenille. 3.2.2021 Tomi Marttinen Tietoturva ry Hallituksen puheenjohtaja Kimmo Rousku Tietoturva ry Hallituksen jäsen
      • Korkiakoski Markku, Netox Oy, Markku Korkiakoski
        Päivitetty:
        3.2.2021
        • Netox Oy kiittää mahdollisuudesta lausua periaatepäätöksen ehdotuksesta. Kehittämisohjelma on tärkeä osa kansallisen kyberturvallisuusstrategian toimeenpanoa ja myös keskeinen osa kyberturvallisuuden kokonaisvaltaista kehittämistä. Yleistä Kehittämisohjelmaan on tunnistettu keskeiset ylätason osa-alueet ja niihin oleellisesti liittyvät sidosryhmät. Erityisesti FISC (Kyberala) huomioiminen merkittävänä sidosryhmänä on mielestämme tärkeää. Yritysten, tutkimuslaitosten sekä julkisten toimijoiden välinen yhteistyö on avainasemassa kyberturvallisuuden kehittämisessä sekä tavoitellun kyberturvallisuuden ekosysteemin luomisessa. Kehittämisohjelmassa on tunnistettu konkreettinen tavoitetaso rahoitukselle, mutta ottaen huomioon kyberturvallisuuden laaja-alaisuuden ja keskeisen roolin digitalisaation ja tietoyhteiskunnan ytimessä, pidämme tavoiteltua rahoitustasoa matalana. Osaamisen kehittämisen laaja-alainen lähestyminen saa erityiskiitoksen. Osaamisen kehittäminen Nykyinen koulutusjärjestelmä on edelleen yksi keskeisimpiä voimavaroja ja sen muutostarpeiden tunnistaminen tulevaisuuden kannalta oleellista. Toivoisimme tähän selvitykseen osallistumista myös yritysten taholta. Nyt sidosryhmäksi on tunnistettu korkeakoulut, mutta koulutusmallin kehittäminen mahdollistaa myös laaja-alaisemman yhteistyön sekä parhaimmillaan lisäarvon tuomisen niin yhteiskuntavastuun kuin myös liiketoimintamahdollisuuksien kautta. Osaaminen on noussut voimakkaasti esille myös EU laajuisesti ja aktiivisen osallistumisen kautta on mahdollisuus vaikuttaa tähän myös laajemmin. Vahva kotimainen kyberturvateollisuus Teema on erittäin hyvä ja vahva kotimainen teollisuus luo pohjan kestävälle kehitykselle. Kyberturvatarpeet syntyvät usein välillisesti loppuasiakas tai tuotekehitysorganisaatioihin. Uusien kyberturvayritysten perustamisen edistäminen on tavoitteena hyvä, mutta on syytä tunnistaa tarpeet sekä kasvu jo olemassa olevissa yrityksissä sekä eri teollisuuden aloilla. AQUA -statuksen saavuttaminen Tavoite on erinomainen.
      • Effi ry
        Päivitetty:
        3.2.2021
        • Effin lausunto valtioneuvoston ehdotuksesta periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta LAUSUNTO PÄIVÄMÄÄRÄ 3.2.2021 Sisäministeriön diaarinumero VN/797/2021 Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta tulla kuulluksi asiassa. Effi on vuonna 2001 perustettu kansalais- ja asiantuntijajärjestö, joka puolustaa perus- ja ihmisoikeuksia digitaalisessa toimintaympäristössä. Näkökulmamme on erityisesti sähköisiä palveluja käyttävän kansalaisen tietosuojaa ja perusoikeuksia painottava. Yleisesti Effi pitää kyberturvallisuuden kehittämisohjelmaa erittäin tärkeänä ja toivottuna, ja esitetyt kehittämistoimet ovat yleisesti ottaen kannatettavia. Effi korostaa, että tietoturvatason parantaminen yhteiskunnan kriittisillä alueilla on erityisen tärkeä tavoite kyberturvallisuuden kehittämisessä. Kansalaisten kannalta tietoturva on yksi parhaista tavoista edistää kriittisen infrastruktuurin resilienssiä kyberhyökkäyksiä vastaan. Tämä parantaa kansalaisten turvallisuutta niin, ettei kansalaisten perusoikeuksiin tarvitse kajota. Ohessa yksittäisiä huomioita kehittämisohjelmasta. Huippuluokan osaaminen Huippuluokan osaamisen kehittäminen on tärkeä osa tulevaisuuden kyberturvallisuustarpeisiin vastaamista. Suomessa ja maailmanlaajuisesti on tunnistettu asiantuntijapula tietoturvan ja kyberturvallisuuden saralla. Tästä syystä osaamista tulee kehittää ja koulutusmahdollisuuksia laajentaa nykyisestä. Huippuosaajien lisäksi tarvitaan kuitenkin myös käytännönläheistä kansalaisten kouluttamista. Lasten ja nuorten kouluttamisessa on syytä kiinnittää huomiota kansalaisten perustaitojen kehittämiseen tietoturvallisuuden, medialukutaidon sekä yksityisyyden suhteen. Näillä perustaidoilla parannetaan myös kansakunnan resilienssiä. Tärkeää on myös tukea yhteistyötä sellaisten järjestöjen kanssa, jotka kehittävät ja auttavat kansalaisten ja tulevien huippuosaajien ruohonjuuritason osaamista ja tekemistä. Tällaiset ruohonjuuritason tekemiseen tähtäävät järjestöt ovat helposti lähestyttävä tie kohti ammattimaista tekemistä ja osaamisen syventämistä. Lisäksi näin saadaan kaivattua monipuolista osaamista. Tehokkaat kansalliset kyberturvakyvykkyydet Ehdotetut kehittämistoimenpiteet ovat itsessään kannatettavia. Kehittämistoimenpiteistä kuitenkin puuttuu selkeät parannustavoitteet henkilötietojen suojaamiseksi. Vastaamon tietomurron kaltaisten tapausten myötä on ilmeistä, että henkilötietojen suojaaminen on paikoin riittämättömällä tasolla ja tällaiset kohteet ovat erittäin alttiitta myös kyberhyökkäyksille. Kehittämisohjelmassa on kiinnitetty huomiota myös havainnointikyvyn parantamiseen ja erityisesti tavoitteeseen tunnistaa yhteiskunnan rajat ylittävät, huoltovarmuuskriittiset arvoketjut. Tämä on erittäin tarpeellista, koska palveluita siirtyy yhä enenevässä määrin pilvipalveluihin ja niitä koskeva tietosuojan toteutuminen on usein kaukana läpinäkyvästä. Electronic Frontier Finland – Effi ry:n puolesta Mikko Kenttälä Tietoturvatyöryhmä
      • Jyväskylän yliopisto, Tietoturvapäällikkö Teijo Roine, digijohtaja Ari Hirvonen, professori Martti Lehto ja lehtori Panu Moilanen.
        Päivitetty:
        3.2.2021
        • ”3 Huippuluokan osaaminen” 3. kappale ”Nykyinen koulutusjärjestelmä ei suoraan tuota tarvittavaa osaamista suomalaiselle kyberturvateollisuudelle, elinkeinoelämälle ja viranomaisille. Tämä johtaa tilanteeseen, jossa eri tahot joutuvat myös kilpailemaan jatkuvasti samoista osaajista, sekä jatkokouluttamaan uutta henkilöstöään merkittävästi työtehtävien aloittamisen yhteydessä. Parhaimman vaikuttavuuden varmistamiseksi kyberturvallisuuden koulutusjärjestelmän tuottamat tutkinto-opinnot tulee suunnitella yhteistyössä eri toimijoiden kanssa ja opintojen sisältöjä tulee päivittää säännöllisesti vastaamaan eri toimijoiden tarpeita.” JYU:n vastaus: Tämä pitää paikkansa. Ongelmaksi tässä muodostuu se, että ei ole oikein olemassa sellaista foorumia, jolla tätä yhteistyötä voitaisiin suunnitella ja tehdä. Sellainen olisi ehkä syytä perustaa. Lisäksi haasteeksi tulee helposti korkeakoulujen rahoitusmalli: niin tutkintokoulutuksen kuin jatkuvan oppimisen malleissakin opetuksen tuottaja hyötyy, mikä vaikeuttaa yhteistyötä muiden saman mallin mukaisesti toimivien tahojen kanssa. Jos yhteistyötä koulutuksen toteutuksessa oikeasti halutaan, sitä pitäisi myös resursoida ohi normaalien rahoitusmallien. ”3 Huippuluokan osaaminen” 3. kappale Edelleen kyberturvallisuuden opetuksen pitäisi olla sisällytettynä niissä tutkintoopinnoissa, joissa luodaan osaamista teknologia-aloille. JYU:n vastaus: Samaa mieltä sillä täydennyksellä, että peruskyberturvallisuusosaamisen pitäisi sisältyä kaikkiin korkeakoulututkintoihin. Tämä tukisi myös tavoitetta arjen kyberturvallisuusosaamisen lisäämisestä. Tämän osalta voisi harkita jopa asetustason muutosta niin, että tutkintoasetuksiin kirjattaisiin osaamistavoitteeksi modernin tietoyhteiskunnan vaatima perusosaaminen. ”4 Kiinteä yhteistyö” ”Ehdotetut kehittämistoimenpiteet” 1. kappale (Kyberturvallisuuden harjoitustoiminnan yhteistyön vahvistaminen) ”Tehdään tiivistä yhteistyötä kyberturvallisuuden harjoitustoiminnassa viranomaisten, elinkeinoelämän ja järjestöjen välillä yhteiskunnan toimivuuden kannalta kriittisten arvoketjujen toiminnan turvaamiseksi.” JYU:n vastaus: Harjoitustoiminnan osalta olisi perusteltua, että oppilaitokset (niin niiden opiskelijat kuin henkilökuntakin) mainittaisiin tarpeellisina yhteistyötahoina. ”4 Kiinteä yhteistyö” 4. kappale ”Kehittämisohjelma kannustaa strategisten kumppanuusmallien lisäämiseen yritysten ja yliopistojen sekä korkeakoulujen välillä. Pitkäjänteisen yhteistyön tulisi mahdollistaa tutkimus- ja kehitystyön kautta uusien tuote- ja palveluinnovaatioiden syntyminen. Tämä edistää kotimaisen kyberturvateollisuuden tuotteiden ja ratkaisujen kaupallistamista.” JYU:n vastaus: Tämä on tärkeä asia. Pitäisi pyrkiä varmistamaan, että strategisia kumppanuussuhteita syntyy. Mahdolliset yhteistyöryhmät voisivat edistää tätä pelkän kannustuksen lisäksi. ”4 Kiinteä yhteistyö” ”Ehdotetut kehittämistoimenpiteet” 1. kappale (Kyberturvallisuuden harjoitustoiminnan yhteistyön vahvistaminen) ”Kyberturvallisuuden harjoitustoiminnassa hyödynnetään yhteisiä kyberharjoitusympäristöjä” JYU:n vastaus: Näitähän ei ole olemassa ainakaan oppilaitosten näkökulmasta. Kun oppilaitoksille kuitenkin aiemmin on sälytetty kohtuullisen merkittäviäkin vastuita, pitäisi varmistaa, että niillä on pääsy tällaisiin harjoitusympäristöihin kohtuukustannuksin ja kohtuubyrokratialla. Tässäkin se jonkinlainen yhteistyöfoorumi ja kohdennettu resursointi voisivat olla perusteltuja. ”4 Kiinteä yhteistyö” ”Ehdotetut kehittämistoimenpiteet” 3. kappale (Kansallisen kyberturvallisuuden tutkimus- ja kehitysyhteistyön edistäminen) Teoreettisten tutkimustuloksien lisäksi tunnistetaan entistä enemmän mahdollisuuksia tulosten kaupallistamiseen ja tuetaan näiden edistämistä. JYU:n vastaus: Tämä edellyttäisi soveliaiden rahoitusinstrumenttien olemassaoloa. Esim. entisen Tekesin aiemmat tavoitetutkimusohjelmat tai niitä vastaavat instrumentit olisivat tähän hyviä; ne lisäisivät myös kaivattua yritysten kanssa tehtävää yhteistyötä. Nykyisen Business Finlandin ja Akatemian tutkimusrahoitushaut ovat monessa mielessä äärimmäisen raskaita ja työläitä niin, ettei monillakaan ole välttämättä aikaa ja halua osallistua niihin. OKM:n resurssimallin mukainen tutkimuskomponentti taas johtaa nimenomaan hyvin teoreettiseen tutkimukseen, joka lisäksi pilkotaan mahdollisimman pieniksi palasiksi JUFO-pisteiden maksimoimiseksi. ”4 Kiinteä yhteistyö” ”Ehdotetut kehittämistoimenpiteet” 3. kappale (Kansallisen kyberturvallisuuden tutkimus- ja kehitysyhteistyön edistäminen) ”Kyberturvayhteisöä aktivoidaan entistä laajemmin valtionhallinnon digitaalisten palveluiden turvallisuuden varmistamiseen. Yhteisön osaamista voidaan hyödyntää esimerkiksi turvallisen ohjelmistokoodin kehittämisessä ja käynnistämällä soveltuvin osin valtionhallinnon ”Bug Bounty” –ohjelmia, digitaalisten palveluiden turvallisuuden jatkuvaksi parantamiseksi. ” JYU:n vastaus: Tämä tulisi laajentaa koskemaan koko julkishallintoa (valtio, kunnat, kuntayhtymät, sairaanhoitopiirit, yliopistot ja korkeakoulut), koska ne ovat merkittäviä yhteiskunnallisia toimijoita ja keskeisiä kansalaisille tarkoitettujen palveluiden tuottajia. Yleisestikin strategiassa korostuu huoltovarmuuskriittinen toiminta, mikä on sinänsä ymmärrettävää ja ehdottoman tärkeää. Olisi kuitenkin hyödyllistä korostaa toimintojen turvaamista normaalioloissa ja varmistaa kyberturvallisuuden toteutuminen ennen kuin huoltovarmuuskriittinen toiminta on vaarantunut. ”4 Kiinteä yhteistyö” ”Ehdotetut kehittämistoimenpiteet” 4. kappale (Aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön) ”Kyberturvateollisuuden osallistumista edellä mainittujen kansainvälisten yhteistyöryhmien kannan muodostamiseen tuetaan perustamalla teema-aiheisia yhteistyöryhmiä.” JYU:n vastaus: Tämä on erittäin tervetullut lähestymistapa. Työryhmien tulee olla vahvasti poikkihallinnollisia teollisuuden edustuksen lisäksi.
      • Internet-käyttäjät ikuisesti-IKI ry
        Päivitetty:
        3.2.2021
        • Internet-käyttäjät ikuisesti-iki ry kiittää mahdollisuudesta antaa lausunto asiassa. Iki ry on aktiivisten internet-käyttäjien yhdistys joka pyrkii edistämään viestinnän edellytyksiä internetissä. Vuonna 1995 perustetulla Iki:llä on yli 28.000 jäsentä. Lisätietoja www.iki.fi * Nostetaan kansalaisten välisen viestinnän kyberturvallisuutta Kyberturvallisuus on tärkeää kaikissa kommunikaatioyhteyksissä, kansalaisten välisessä kommunikaatiossa, kansalaisten ja yritysten välillä, yrityksien välillä, sekä kansalaisten ja yritysten sekä valtion välillä. Tällä hetkellä ei ole kunnon suojattua ja varmaa tapaa kommunikoida ja allekirjoittaa tietoja kaikissa näissä tapauksissa. Suomessa on kuitenkin jo olemassa oleva toimiva PKI-infrastruktuuri henkilökorttien ja niissä olevien varmenteiden kautta ja suurella osalla kansalaisista on jo tällainen älykortti-henkilökortti. Toistaiseksi käyttömahdollisuuksia on ollut rajallisesti joten tämä infra on jäänyt vähemmälle käytöllä, mutta olemassaoleva infra sallisi tuoda paremman kyberturvan esimerkiksi sopimuksiin ja tilauksiin ja muihin arkipäivän tarpeisiin. Olemassaolevan varmenne-infran tuominen helpommin käytettäväksi näissä muissa yhteyksissä varsinkin kansalaisten välisissä yhteyksissä korottaisi selvästi kyberturvan ja tietoturvan tasoa viestinnässä sekä estäisi tehokkaasti esimerkiksi identiteettivarkauksia ja nettihuijauksia. Tämä olisi kohtuu helposti ja edullisesti toteutettavissa lisäämällä kansalaisten älykorttisovellukseen dokumenttien (tiedostojen) allekirjoitustoiminto sekä salaustoiminto jolla vain haluttu vastaanottaja pystyy lukemaan dokumentin sisällön. Mallia voisi ottaa vaikka Viron DigiDoc4 sovelluksesta ja sen laajasta käytöstä kansalaisten välisessä viestinnässä esim. vuokrasopimusten tekemisessä. Käyttämällä olemassaolevaa PKI-infraa pystyttäisiin nostamaan suuressa mittakaavassa kansalaisten, yritysten ja viranomaisten kyberturvan tasoa viestinnässä pienillä investoinneilla. Henkilökorttien julkisille avaimille pitäisi tarjota standardien mukainen sähköpostiosoite-pohjainen hakemisto jotta korttia voi käyttää tiedon vahvaan salaamiseen haluttujen vastaanottajien avaimilla esimerkiksi sähköpostissa. * Jaetaan älykortin lukulaite henkilökortin mukana Älykortti vaatii lukulaitteen jonka hankkiminen erikseen on hankala lisävaihe ja tehokkaasti estää kortin helppoa käyttöönottoa. Iki ry on toteuttanut henkilökortti-tunnistautumisen jäsentietojen päivittämiseen ja saamamme palaute jäsenistöltä on että monella on kortti mutta ei lukijaa ja lukijan hankkiminen on hankalaa koska niitä ei myydä kaikissa kaupoissa. Esimerkiksi Viron e-resident älykortin mukana jaetaan jokaiselle USB-älykortinlukija, jolloin käyttöönotto onnistuu helposti. Suuremmissa erissa hankittaessa lukijan kustannus on vain muutamia euroja kappaleelta ja jos lukija toimitettaisiin kortin yhteydessä, ei jakelustakaan tulisi lisäkustannuksia. * Älykortti turvallisena kaksivaiheisena tunnistamisvälineenä Nykyään monet palvelut käyttävät SMS-tekstiviestejä kaksivaiheiseen tunnistamiseen. SMS-viestit eivät ole kovin turvallisia koska viestejä voi joissakin tilanteissa ohjata tai kloonata verkossa useaan tai eri numeroihin. Kaksivaiheista tunnistamista käyttäviä tahoja kuten pankkeja pitäisi vaatia hyväksymään myös henkilökortti 2-factor toimintona, vähemmän turvallisten SMS tekstareiden sijaan. Mahdollisesti jotkin toimijat eivät halua kokonaan korvata omaa tunnistautumistaan henkilökortilla mutta ainakin SMS-tekstarit pitäisi pyrkiä korvaamaan turvallisemmalla henkilökortti-tunnistautumisella. * Vahvan tunnistautumisen tuominen yhä useamman arkeen Henkilökortin hintaa pitäisi pyrkiä alentamaan, luultavasti itse kortin hintaa kannattaisi jopa subventoida jotta saavutetaan sitä suuremmat säästöt tunnistautumisen tehostuessa ja levitessä laajempaan käyttöön kaikilla yhteiskunnan osa-alueilla. * Yhteenveto Olemassaolevaa älykortti-infraa kannattaisi hyödyntää tehokkaammin tuomalla sen sallimat todella turvalliset palvelut ja tunnistautuminen kansalaisten väliseen viestintään sekä muihin keskeisiin kyberturvallisuuteen liittyviin tarpeisiin. Pyydämme lisäksi teitä ystävällisesti lisäämään Internet-käyttäjät ikuisesti ry:n tämän aihepiirin tulevien lausuntopyyntöjen saajalistalle.
      • Puolustusministeriö, Turvallisuuskomitean sihteeristö
        Päivitetty:
        3.2.2021
        • Viite: Liikenne- ja viestintäministeriön (LVM) lausuntopyyntö (VN/797/2021, 13.1.2021) ehdotuksesta Kyberturvallisuuden kehittämisohjelmaksi Turvallisuuskomitean sihteeristön lausunto liikenne- ja viestintäministeriön ehdotuksesta Kyberturvallisuuden kehittämisohjelmaksi Turvallisuuskomitean sihteeristö kiittää mahdollisuudesta antaa lausunto LVM:n ehdotuksesta Kyberturvallisuuden kehittämisohjelmaksi. Lausuntokierroksella oleva Kyberturvallisuuden kehittämisohjelma toimeenpanee osaltaan vuoden 2019 Suomen kyberturvallisuusstrategiaa. Turvallisuuskomitean sihteeristön näkökulmasta tarkasteltuna Kyberturvallisuuden kehittämisohjelman vuosien 2021 ja 2030 välille ajoittuva aikajänne vastaa hyvin kansallisen kyberturvallisuuden pitkäjänteiseen ja yli hallituskautiseen kehittämistarpeeseen. Kehittämisohjelma ottaa myös huomioon muut kansallisen kyberturvallisuuden kehittämiseen tähtäävät hankkeet, kuten valtiovarainministeriön Haukka-ohjelman sekä Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 –hankkeen. Poikkihallinnollinen tarkastelu ja yhteiskoordinointi tehostavat toimintaa ja edistävät rajallisten resurssien järkevää hyödyntämistä tunnistetuilla painopistealueilla. Toivomme kuitenkin, että kansallisen kyberturvallisuuden kehittämiseksi pitkäjänteisesti siihen osoitettaisiin valtionhallinnon toimesta merkittäviä lisäresursseja tällä hetkellä tunnistettujen resurssien lisäksi. Lausuttavana olevan kehittämisohjelman tavoitteet ja painopistealueet noudattavat pääasiallisesti aiemmissa kansallista kyberturvallisuutta käsitelleissä strategiadokumenteissa (Suomen kyberturvallisuusstrategiat 2013 ja 2019) tunnistettuja painopisteitä sekä kehittämistarpeita. Haluamme erityisesti kiittää elinkeinoelämän sekä järjestöjen osallistamista kehittämishankkeeseen jo sen varhaisista vaiheista lähtien. Katsomme myös, että elinkeinoelämän, järjestöjen sekä kansalaisten kansallisen kyberturvallisuuden kehittämiseksi sekä oman osaamisensa edistämiseksi tekemä työ on erinomaisen tärkeää kokonaisturvallisuuden edistämisen näkökulmasta. Kansallisen kyberturvallisuuden kehittämisen täytyy perustua syvälliseen vuorovaikutukseen sekä yhteistyöhön julkishallinnon, viranomaisten, elinkeinoelämän, järjestöjen sekä kansalaisten välillä. Osaaminen sekä sen määrätietoinen vahvistaminen eri ikäluokat ja kansanosat läpäisevästi luovat vankan perustan kaikille muille kehittämisohjelman osa-alueille, erityisesti pidemmällä aikavälillä tarkasteltuna. Lisäksi osaaminen mahdollistaa tarvittavien kyberkyvykkyyksien rakentamisen niin viranomaisten kuin yritystenkin tarpeisiin. Osaamista tarkastellessa tulee huomioida, että kyberturvallisuuteen liittyvän osaamisen tulee kattaa laajasti niin nykyiset kuin tulevatkin koulutus- ja osaamisalueet. Aihepiiri on hyvin merkityksellinen myös kapean teknologisen tarkastelun ulkopuolella. Osaamisen kehittämisessä koulutusjärjestelmän lisäksi merkittävässä roolissa ovat järjestöt ja heidän panoksensa kansalaisten kyberturvallisuusosaamisen kehittämisessä. Tästä yhtenä konkreettisena esimerkkinä on Jyväskylän yliopiston ja Maanpuolustuskoulutusyhdistyksen yhteistyönä rakenteilla oleva Kansalaisen kyberturvallisuus –kurssi. Toivomme myös, että puolustusvoimien kyberturvallisuuden alueella tekemä laajamittainen koulutustyö tulisi huomioiduksi osana kansallista osaamisen kehittämistä. Kokonaisturvallisuuden käytännön toteuttamisen sekä kansallisen varautumisen näkökulmasta laajamittainen yhteistyö on avainasemassa kansallisen kyberturvallisuuden edistämiseksi. Kehittämisohjelmassa mainittu laajamittainen yhteiskunnan eri osa-alueet sekä kansainvälisen yhteistyön eri muodot huomioiva harjoitustoiminta on yksi tärkeimmistä yhteistyön muodoista ja yhteistoimintakyvykkyyden synnyttämisen välineistä. Kehittämisohjelmassa jo mainittujen yhteistyömuotojen lisäksi haluamme korostaa eri viranomaisten, turvallisuusviranomaiset mukaan luettuina, välisen operatiivisen yhteistyön tarvetta ja mahdollisten pullonkaulojen sekä suoranaisten esteiden tunnistamista ja poistamista. Näiden esteiden ja kapeikkojen tunnistamisessa oikein suunnattu harjoitusyhteistyö sekä lainsäädännölliset selvitykset ovat merkittävässä roolissa. Katsomme myös merkittäväksi, että Suomen suoriutumista kansainvälisesti vertailtuna mitataan säännöllisesti. Ehdotamme kehittämisohjelmassa käytettyihin vertaileviin mittareihin sisällytettäväksi laaja-alaista osaamisen ja kyvykkyyden mittaria, kuten esimerkiksi Harvardin yliopistossa kehitettyä National Cyber Power Indexiä. Osana tehokkaita kansallisia kyberturvallisuuden kyvykkyyksiä haluamme erityisesti korostaa kansallisen turvallisuuden tarpeita, joita viime aikaiset kybertoimintaympäristön tapahtumat ovat osaltaan alleviivanneet. Kansallisen turvallisuuden tarpeet ja niihin liittyvät kyvykkyydet ovat myös tärkeässä roolissa Euroopan Unionin kyberturvallisuusstrategian tavoitteiden kansallisessa toimeenpanossa. Erityisen merkityksellisinä tällä osa-alueella näemme jo aiemmin mainitun tehokkaan ja sujuvan viranomaisyhteistyön lisäksi myös kansallisen suvereniteetin turvaamisen kaikissa olosuhteissa myös kybertoimintaympäristössä. Vuoden 2013 kansallisessa kyberturvallisuusstrategiassa mainittiin yhtenä kehityskohteena kokonaisvaltaisen kyberpuolustuskyvyn synnyttäminen, johon kuuluvat myös vaikuttamisen työkalut osana sotilaallista voimankäyttöä. Osana kehittämisohjelmaa olisi hyvä selvittää laajamittaisesti aluevalvontaan, viranomaisyhteistyöhön, virka-apuun sekä voimankäyttöön kybertoimintaympäristössä liittyvät kysymykset sekä mahdolliset toimivaltuuksiin sekä lainsäädäntöön liittyvät muutostarpeet poikkihallinnollisena yhteistyönä. Turvallisuuskomitean sihteeristön näkökulmasta liikenne- ja viestintäministeriön ehdotus Kyberturvallisuuden kehittämisohjelmaksi on tärkeä työkalu kansallisen kyberturvallisuuden kehittämiseksi sekä vuosina 2013 ja 2019 laadittujen Suomen kyberturvallisuusstrategioiden asettamien tavoitteiden saavuttamiseksi. Kehittämisohjelman laaja-alainen valmistelutyö ansaitsee näkökulmastamme täydet kiitokset ja sillä monin osin vastataan aiempien vuosien toimenpiteiden jättämiin katvealueisiin. Toivomme, että kehittämisohjelman lopullisessa versiossa huomioitaisiin yllämainitut kehittämiskohteet sekä erityisesti kansalliseen turvallisuuteen liittyvät tarpeet. Näemme myös tarpeellisena, että kyberturvallisuuden sekä kansallisen kyberuhkiin varautumisemme tilaa tarkasteltaisiin jatkossa kahden vuoden välein ulkopuolisen riippumattoman toimijan tekemissä raporteissa. Tuota strategisen tason tilannekuvaa olisi mahdollista hyödyntää tukena nyt luotavan kehittämisohjelman tulevaisuuden painotuksia päätettäessä. Pääsihteeri Petri Toivonen Erikoistutkija Pasi Eronen
      • Bittium Wireless Oy
        Päivitetty:
        3.2.2021
        • Bittium Wireless Oy kiittää mahdollisuudesta antaa lausunto kyberturvallisuuden kehittämisohjelmasta. Ohjelma on ajankohtainen ja tärkeä. Kyberturvallisuuden kehittämisohjelma luo puitteet kansallisen kyberturvallisuuden kehittämiseen pitkäjänteisesti ja ohjelmaa tarvitaan. Kehittämisohjelman pääteemat ovat toisiaan tukevia. Ne tunnistavat hyvin, kuinka toimiva kyberturvallisuuden ekosysteemi rakentuu ja huomioivat tarvittavien panostusten laaja-alaisuuden. Jäljempänä eritelty huomioita ohjelman eri kohtiin. Kohta 3: Huippuluokan osaaminen Osaamisen kehittämisen osalta on tärkeää huomioida erilaiset kyberturvan tarpeet. On syytä varmistaa, että tutkimuksen, kyberturvaa valmistavan teollisuuden ja kyberturvan käyttäjäorganisaatioiden osaamistarpeet huomioidaan kaikilla osa-alueilla. Teollisuuden toimijana pidämme tärkeänä kyberturvallisuusosaamisen huomioimista myös perinteisten teknisten kompetenssialueiden ulkopuolella, esimerkiksi liiketoiminnan ja markkinoinnin osaamisessa. Kohta 4: Kiinteä yhteistyö Kiinteä yhteistyö julkishallinnon, elinkeinoelämän ja myös tutkimuslaitosten välillä on kannatettavaa ja elinehto Suomen kokoisen maan kilpailukyvylle myös kyberturvallisuudessa. Erityisesti kansainvälisen yhteistyön muodot on hyvä määritellä niin, että työnjako ja tiedon jako toteutetaan selkeästi ja kotimaista ekosysteemiä palvelevasti. Kohta 5: Vahva kotimainen kyberturvateollisuus Vahvan kotimaisen kyberturvateollisuuden muodostuminen ja menestys on välttämätön ehto ohjelman pääteemojen vaikuttavuuden toteutumiseksi. Kotimainen toimiva kyberturvatuotteiden markkina luo perustan innovaatioiden syntymiselle ja auttaa omavaraisuuden muodostumisessa. Kansainvälistyminen edistäminen on myös olennaista: kansainvälinen menestys auttaa todentamaan, että kyberturvallisuuden osaaminen on tosiasiallisesti kasvanut suhteessa kansainväliseen kilpailuun. On huomioitava, että kyberturvaosaamisen kehittäminen vaatii teollisuudelta pitkäjänteisiä panostuksia ja investointeja. Pelkästään uusien yritysten perustamiseen tähtäävät tai pk-sektoriin painottuvat tukitoimet eivät siis riitä, vaan ekosysteemivaikutusten aikaansaaminen edellyttää kaiken kokoisten toimijoiden kyvykkyyksien kehittymistä ja kehittymisen tukemista. Kohta 6: Tehokkaat kansalliset kyberturvakyvykkyydet Kotimaisen salausteknologian luonti ja AQUA -statuksen saavuttaminen ovat tavoitteina tärkeitä ja kunnianhimoisia. Myös ne osaltaan tukevat kyberturvallisuuden kehittämisohjelman pääteemoja ja edesauttavat kyberturvallisuuden ekosysteemin rakentumista. Salaustuotteisiin liittyvien tietoturvahyväksyntien nopeisiin ja tehokkaisiin läpivienteihin sekä kotimaassa että kansainvälisesti on tarpeen panostaa, koska hyväksynnät edistävät kotimaisen teknologian vientiä ja vahvistavat suomalaisen kyberturvaosaamisen kansainvälistä mielikuvaa. Sanamuotona maininta kansallisesti kriittisten kyberturvayhtiöiden kansallisen omistusosuuden turvaaminen herättää kysymyksiä ja mainintaa on syytä selkeyttää.
      • Opetus- ja kulttuuriministeriö
        Päivitetty:
        3.2.2021
        • Pyydettynä lausuntonaan ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta opetus- ja kulttuuriministeriö esittää seuraavaa: Kehittämisohjelma: Opetus- ja kulttuuriministeriö pitää kyberturvallisuuden kehittämisohjelmaa tarpeellisena. Kehittämisohjelman luonnos sisältää viitteitä nykynäkemysten mukaisista koulutus- sekä tutkimus- ja innovaatiopolitiikoista: koulutus sekä tutkimus- ja kehittämistoiminta tuottavat yhteiskunnalle kyvykkyyksiä yhteiskunnallisten ja globaalien ongelmien ratkaisemiseen. OKM on samaa mieltä ohjelman kirjauksesta, että ”kansalaisten on osattava puolestaan käyttää digitaalisen tietoyhteiskunnan tuottamia palveluita turvallisesti ja tunnistettava eri laitteiden, tuotteiden ja palveluiden käyttöön liittyvät riskit. Yhteiskunnan on vastattava omalta osaltaan tähän tarpeeseen luottamuksen kasvattamisen mahdollistamiseksi.” Luonnoksessa todetaan (s.7), että nykyinen koulutusjärjestelmä ei tuota riittävää osaamista kyberalan työllistäjien tarpeisiin – tarkoitus ei varmaan ole muuttaa koulutusjärjestelmää, vaan yrittää vaikuttaa koulutusten sisältöihin. Tällöin tulisi puhua nykyisistä koulutusohjelmista koulutusjärjestelmän sijaan. Kehittämisohjelmassa ei ole määritelty tarkemmin, mitä kyberturvallisuudella tarkoitetaan ja miten se suhteutuu kehittämisohjelmassa mainittuun digitaaliseen turvallisuuteen tai tietoturvaan ja -suojaan. Määritelmän puuttuessa kehittämisohjelman tavoitteiden suhdetta varhaiskasvatussuunnitelman ja esi- ja perusopetuksen opetussuunnitelman perusteissa käsiteltyihin digitaalisten taitojen ja osaamisen sisältöihin on haastavaa arvioida. Pohdittaessa uusia sisältöjä varhaiskasvatussuunnitelmiin tai opetussuunnitelmiin on hyvä toteuttaa niiden osalta nykytilanteen kartoitus. Opetussuunnitelmiin sisältynee jo nykyisellään turvallisuus-teemaan liittyviä näkökulmia. Opetuksen ja koulutuksen tavoitteiden ja sisältöjen määrittely on tärkeää toteuttaa osana laajempia uudistuksia, jolloin varmistetaan opetussuunnitelmallisen kokonaisuuden eheys. Kyberturvallisuutta tarkasteltaessa lasten ja oppilaiden ikäkauden mukaisuus on erityisen tärkeää ottaa huomioon. Opetushallitus vastaa lakisääteisesti valtakunnallisten varhaiskasvatussuunnitelman ja opetussuunnitelman perusteiden laatimisesta. Kyberturvallisuuden koulutuksen kehittämisestä kehittämisohjelmassa todetaan, että varhaiskasvatuksessa ja perusopetuksessa pitäisi luoda edellytykset valmiudet ja perusteet digitaalisten tuotteiden ja palveluiden turvalliselle käytölle. Tämä sisältyy jo nykyisellään varhaiskasvatussuunnitelman perusteisiin tieto- ja viestintäteknologinen osaamisen muodossa. Varhaiskasvatussuunnitelman perusteissa todetaan, että ”Henkilöstö ohjaa lapsia tieto- ja viestintäteknologian monipuoliseen ja turvalliseen käyttöön”. Vastaavasti perusopetuksen opetussuunnitelman perusteisiin sisältyy tieto- ja viestintäteknologiset ja medialukutaidot sekä ohjelmointiosaaminen. Tukeakseen varhaiskasvatussuunnitelman ja esi- ja perusopetuksen opetussuunnitelmien toimeenpanoa opetus- ja kulttuuriministeriö käynnisti vuonna 2020 Uudet lukutaidot -kehittämisohjelman. Ohjelman tavoitteena on kehittää tieto- ja viestintäteknologisten (tvt) taitojen, medialukutaidon sekä ohjelmointiosaamisen opettamista. Ensimmäisen vuoden aikana kehittämisohjelmassa on valmisteltu perusopetukseen vuosiluokkakokonaisuuskohtaiset tvt-taitojen, medialukutaidon ja ohjelmointiosaamisen osoittamisen kuvaukset. Vastaavasti varhaiskasvatukseen ja esiopetukseen on valmisteltu hyvän pedagogisen toiminnan kuvaukset näille taidoille. Kuvaukset julkaistaan 16.2.2021 uudetlukutaidot.fi-sivustolla. Kuvaukset pohjautuvat perusteasiakirjoihin ja niihin sisältyy siksi myös tietoturvaosaaminen. Ohjelman tavoitteina vuosille 2021-2022 on tukea kuvausten hyödyntämistä varhaiskasvatuksessa ja opetustilanteissa sekä tuottaa ja koota sisältöjen opettamista ja oppimista tukevaa aineistoa ja digitaalisia sisältöjä. Uudet lukutaidot -kehittämisohjelma on osa Oikeus Oppia -ohjelmaa. OKM esittää, että sivun 8 päätekstiin lisättäisiin mukaan lukiokoulutus ja ammatillinen koulutus (”Kehittämiseen tulee sitouttaa mukaan opetus- ja koulutusalan toimijat (yliopistot, ammattikorkeakoulut, peruskoulut), tutkimuslaitokset, julkishallinto, elinkeinoelämän keskeiset toimijat ja yh-teistyöekosysteemit, yhteiskunnan kriittiseen infrastruktuuriin liittyvät toimijat sekä kyberturva-alan yritykset ja toimijat. Lisäksi tulee kannustaa vahvistamaan ja syventämään kansainvälistä yhteistyötä ja luoda tiiviitä suhteita kansainvälisiin huippuosaamiskeskittymiin”). Kyberturvallisuuden koulutuksen kehittämisen osalta kehittämisohjelmassa ei mainita vapaan sivistystyön roolia aikuisten digitaalisten taitojen ja osaamisen kehittämisessä. Vapaan sivistystyön koulutusta tarjoavat kansanopistot, kansalaisopistot, opintokeskukset, liikunnan koulutuskeskukset (urheiluopistot) ja kesäyliopistot. Vapaan sivistystyön oppilaitokset ovat järjestäneet aikuisten digitaalisten taitojen edistämiseen tilaisuuksia ja opintokokonaisuuksia jo useamman vuosikymmenen ajan. Oppilaitoksen ylläpitäjät itse päättävät antamansa koulutuksen ja opintojen sisällöstä. Vapaassa sivistystyössä annettua aikuisten digitaalisten taitojen kehittymistä tukevaa koulutusta tuetaan vuonna 2020 myös valtionavustuksin. Perustuslaki turvaa 16 §:ssä julistuksenomaisesti korkeakouluille tieteen, taiteen ja ylimmän opetuksen vapauden. Korkeakouluilla on näin vapaus päättää koulutusvastuidensa puitteissa koulutuksen sisällöistä. Jatkuva vuoropuhelu työelämän kanssa osaamistarpeista on keino viestiä sisältötarpeista. Toisaalta, luonnoksessa todetaan, että tutkintoon johtava koulutus ei tuota riittävää osaamista alalla ja että on turvauduttava työssä oppimiseen ja täydennyskoulutukseen työvoiman osaamisen turvaamiseksi. On aivan selvää, että työelämässä on opittava uutta aiempaa nopeammin, eikä kaikkia työelämätarpeita voida toteuttaa osana tutkintoon johtavaa koulutusta kahdesta syystä: 1) koulutusohjelmien kesto on määritelty sekä vuosina että opintopisteinä, eikä ole tarkoituksenmukaista, että opintoajat venyvät ja opiskelijat suorittavat merkittävästi tutkintovaatimuksia enemmän opintoja ennen valmistumistaan ja 2) korkeakoulutus ei ole nopea tapa vastata työelämän muuttuviin tarpeisiin. Jatkuvan oppimisen joustavat toteutusmuodot tulevat joka tapauksessa yleistymään kaikilla aloilla työelämän tarvitseman osaamisen tueksi. Osaamisvajeen paikkaamiseksi luonnoksessa esitetään, että naisia ja tyttöjä tulee kannustaa kyberalalle. Vielä laajemmin ajateltuna koko lahjakkuusvarantoa tulee kannustaa eli huomioida alalla muutkin aliedustetut ryhmät kuin eri sukupuolet, esimerkiksi maahanmuuttajataustaiset ja maahan opiskelemaan muuttavat. Luonnoksessa puhutaan tutkimus- ja kehittämistoimintapohjaisesta julkisen ja yksityisen sektorin kumppanuudesta, jonka tulee johtaa tuotteisiin tai palveluihin. Tämä on hallituksen TKI-tiekartan mukainen tavoite. Toisaalta yhteistyö on myös tapa kehittää ja jakaa osaamista sekä tutkimuksen tekemisen muita edellytyksiä (tutkimuksen inrastruktuurit, datat, aineistot) osallistuvissa organisaatioissa, mikä olisi hyvä huomioida myös kehittämisohjelmassa. Liite 1: Kohta 2.2: Tieto- ja viestintäteknologian turvallisen käytön opettelu on aiheena sisällytetty varhaiskasvatussuunnitelman perusteisiin. Perusteiden toimeenpanoa tuetaan Uudet lukutaidot -ohjelmassa. Kohta 2.3: Tietoturvaan liittyviä aiheita on sisällytetty esi- ja perusopetuksen opetussuunnitelman perusteisiin. Perusteiden toimeenpanoa tuetaan Uudet lukutaidot -ohjelmassa. Muita huomioita: Tilastokeskus tilastoi tutkimus- ja kehittämistoimintaa (ei tutkimus- ja kehitystoimintaa, kuten luonnoksessa); tuotekehitys on näistä erillinen termi. Luonnoksessa käytetään passiivimuotoisia predikaatteja (tulee sitouttaa, luodaan, tuetaan, tehostetaan jne.). Jos näihin kohtiin mietittäisiin subjekti, sisältö jämäköityisi.
      • TietoEVRY Oyj, Konsernin turvallisuusyksikkö, Jari Pirhonen
        Päivitetty:
        3.2.2021
        • TietoEVRY Oyj kiittää mahdollisuudesta esittää näkemyksensä ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta. TietoEVRYn näkökulmasta keskeistä on taata kansalaisten ja yhteiskunnan muiden toimijoiden luottamus digitaalisiin palveluihin, jota myös tämä kyberturvallisuuden kehittämisohjelma edesauttaa. TietoEVRY on saanut mahdollisuuden kommentoida kehittämisohjelman luonnosta jo sen kirjoittamisvaiheessa. TietoEVRY yhtyy Elinkeinoelämän Keskusliitto EK:n ja Finnish Information Security Cluster – Kyberala ry:n lausunnoissaan esittämiin näkemyksiin ja huomioihin.
      • Microsoft Oy, Karppinen Juha
        Päivitetty:
        3.2.2021
        • KYPERTURVALLISUUDEN KEHITTÄMISOHJELMA – LAUSUNTO Microsoft kiittää mahdollisuudesta lausua kyperturvallisuuden kehittämisohjelman toimeenpanosuunnitelmasta ja tukee Suomen valtionhallinnon ponnisteluja tämän tärkeän asian edistämiseksi. Mm NIS direktiivi on auttanut luomaan vahvemman yhteisen kyberturvallisuuden tason EU:ssa, ja uusien suuntausten ja nopeasti kehittyvän uhkaympäristön torjumiseksi on entistä tärkeämpää edistää yhteistä, vahvempaa kyperturvallisuutta sekä edistää yhteentoimivuutta EU:ssa ja sen sisällä sekä merkittävien maailmanlaajuisten markkinoiden välillä. Johdonmukainen lähestymistapa mm helpottaa uusien toimijoiden markkinoille pääsyä, edistää digitaalisia sisämarkkinoita ja näin ollen myös Suomen kykyä havainnoida uhkia sekä varautumista niihin. Suomen on tärkeä olla aktiivinen toimija tässä kentässä niin EU’ssa kuin kansainvälisesti. Riskiperusteinen ja lopputulokseen keskittyvät tietoturvavaatimukset, jotka ovat omiaan yhdenmukaistamaan lainkäyttöalueiden välillä ja eri sektoreilla, auttavat parantamaan tietoturvaa, jolloin organisaatiot voivat priorisoida tehokkaasti, sekä toteuttaa jatkuvia kehittämishankkeita että koordinoida muiden toimijoiden kanssa. Tietoturvallisuus ja kyberturvallisuus tulee olla organisaation toiminnan ydintoimintoja. Kun organisaatiot ovat muuttumassa ”ohjelmisto-organisaatioksi” tämän merkitys vain korostuu. Pilvipalvelujen myötä osittain tietoturvan vastuut siirtyvät palveluntoimittajille, jotka investoivat tietoturvaan merkittävästi. Tämä saattaa luoda harhan, että organisaation ei itse tarvitse tehdä mitään. Todellisuudessa loppukäyttäjä on tietoturvan kannalta organisaation suurin riski; Kuinka estää tietomurrot, jotka tehdään loppukäyttäjän tiliä ja oikeuksia hyödyntäen. Toisaalta organisaation omat vanhat IT-järjestelmät eivät heti häviä ja niiden perustietoturvasta täytyy myös pitää huolta. Siirtyminen pilvipalveluun helpottaa erityisesti datan hallintaa ja auttaa organisaatioita lisäämään tietoisuutta siitä ,mitä tietoja he säilyttävät ja miten he niitä hallinnoivat ja näin lisäämään kyvykkyyttä huomioida uhkatekijöitä. Pilvi itsessään ei yhtäkkisesti muuta organisaation toimintaa, mutta se pitää nähdä myös tarvittavan toiminnan ja kulttuurin muutoksen läpivientiä edistävänä tekijänä.     Kasvava keskittyminen nopeasti käyttöön otettaviin pilviratkaisuihin tarkoittaa, että innovaatiot suunnitellaan usein pilviympäristöihin ja käännetään vasta myöhemmin on-premises-ratkaisuihin. Kansallista osaamista tukemaan mutta myös sen kilpailukyvyn edistämistä varten olisi tärkeää luoda Suomessa vahva digitaalinen pohja, joka edistää näin myös kansallisten toimijoiden kyvykkyyttä vastata kasvaviin tarpeisiin ja kansainvälisiin markkinoihin. Myös ”mindset” ja ”digitaalisen kulttuurin” luominen ovat valtteja kansallisille yrityksille maailmalla. Olemme saamaa mieltä siinä, että kansainväliset osaajat ovat usein edellytys alan yritysten kasvulle, kansainvälistymiselle ja uusille innovaatioille. Suomen on oltava siis houkutteleva myös innovatiivisen ja ketterän teknologia kulttuurin edellekävijänä. Mutta on tärkeä huomioida, että myös ne ei-perinteiset tietoturvayhtiöt tarvitsevat kyperturvallisuus osaajia. Osaajapula on kasvava trendi kansainvälisillä markkinoilla ja tältä osin Suomen on lähdettävä ripeästi toteuttamaan toimia, jotka mahdollistavat osaamisen kasvun niin lyhyellä kuin pitkällä aikajänteellä katsottuna. Osaamiseen lisäämiseen tähtäävien toimien tulisi kannustaa tiivimpään yhteistyöhön oppilaistosten ja elikeinoelämän välillä. Kannattamme ehdotuksessa esille tuotua myös ehdotuksessa esille tuotua tarvetta riittävän laaja-alaisen ja monipuolisen osaamisen varmistamiseksi naisten ja tyttöjen kannustamisen kyperalalle. Microsoftin tekemän tutkimuksen mukaan roolimalleilla on valtava merkitys tyttöjen houkuttelemiseksi tieteen ja teknologian pariin, ja kyperala ei liene tästä poikkeus. Kiinnostus tieteitä ja teknologiaa kohtaan yleensä syvenee tai heikkenee noin 10-12 vuoden iässä. Osaaminen olisi hyvä toteuttaa laaja-alaisena kokonaisuutena.. Ehdotuksessa myös hyvin tuodaan esille kansalaisten tietoisuuden kasvattamisen tärkeys ja näitä ponnisteluja tulee jatkaa laajassa yhteistyössä. Olemme Microsoftilla mielellämme mukana näissä ponnisteluissa. Microsoft tukee ajatusta kyberturvallisuuden kasvu- ja osaamiskeskuksen perustamista kansallisen koordinaatiokeskuksen yhteyteen. Microsoft korostaa myös tiiviin yhteistyön merkitystä eritoten kyperturvallisuuden harjoitustoiminnassa niin elinkeinoelämän, järjestöjen kuin viranomaisten välillä. Tietoturva ammattilaiset tarvitsevat monialaista tietoa voidakseen estää, havainnoida ja vastata uhkiin.
      • Cyberwatch Finland
        Päivitetty:
        3.2.2021
        • Cyberwatch Finland kiittää mahdollisuudesta lausua mielipiteensä kyberturvallisuuden kehittämisohjelmasta. Kansallisen koko yhteiskunnan läpileikkaava kyberturvallisuuden kehittämisohjelma on välttämätön strategian toimeenpanemiseksi ja kansallisen kyberkyvykkyyden kehittämiseksi. Se luo suuntaviivat Suomen kyvylle vastata tulevaisuuden haasteisiin, sekä muovaa suomalaista identiteettiä ja kyberturvakulttuuria. Kehittämisohjelma pohjautuu yhteistyöhön, mahdollisuuksiin ja osaamisen kehittämiseen. Lähestymistapa on hyvä ja se tukee kansallisen kilpailukyvyn kehittymistä myös kansainvälisesti niin lyhyellä kuin pitkällä tähtäimellä. Kansallisen kyberturvallisuuden kehittämisohjelma toteuttaa Suomen kyberturvallisuusstrategia 2019:n mukaista suunnitelmaa. Kehittämisohjelman valmisteluun ja työpajoihin on osallistunut yli 80 eri organisaatiota muun muassa elinkeinoelämä, kyberturvateollisuus, valtionhallinto, yliopistoja, sekä eri järjestöjä. Tämä antaa hyvät lähtökohdat kehitysohjelman jalkauttamiseen ja sitouttamiseen tiivistäen julkisen hallinnon ja elinkeinoelämän kyberturvallisuuden yhteistyötä. Kansallinen kyberkyvykkyys muodostuu osaamisesta, digitaalisista toimintatavoista ja kyberturvateknologiasta, sekä niiden kokonaisvaltaisesta johtamisesta ja kehittämisestä. Huippuluokan osaaminen avainasia Kansalaisten kybertaitojen parantaminen koulutuksen kautta on tärkeä tavoite, joka vahvistaa Suomea korkean koulutuksen ja osaamisen maana ja luo pohjan tulevaisuuden yhteiskunnalle. Elinkeinoelämää ja yhteiskuntaa tukevan tutkintopohjaisen koulutustarjonnan lisäksi tulisi panostaa joustavaan täydennyskoulutukseen ja elinikäistä oppimista tukevaan kurssi- ja koulutustarjontaan. Suomen huippuluokan kyberosaamista on kehitettävä kolmella tasolla: - digi- ja kyberinnovaatioiden tutkimukseen on panostettava jatkuvasti pärjätäksemme kansainvälisessä kilpailussa ja turvataksemme kansainvälisen huippuosaamisen Suomessa - akuuteissa tilanteissa on varmistettava yritysten ja julkisen sektorin päättäjien ymmärrys, jotta kyetään luomaan riittävä kansallinen kyberturvallisuuden osaaminen ja johtamiskapasiteetti - pitkällä tähtäimellä on luotava kansallinen kyberoppimispolku alkaen alakoulusta ja päättyen korkeakoulutasoon Kyberturvallisuus ja digitaidot on saatava osaksi opetussuunnitelmia kaikilla koulutasoilla. Kyberkoulutuksen kansallinen intressi on, että koulujärjestelmän, tutkimustyön ja liike-elämän yhteistyön rajapinnat tuottavat kansainvälisiä vientituotteita myös koulutusviennin osa-alueella. On rakennettava liityntäpinta koulutusjärjestelmän, organisaatioiden ja yritysten välille, sekä tiekartta koulutusviennin integrointiin ja jalkauttamiseen. Kiinteä yhteistyö ja vahva kotimainen kyberturvateollisuus Kehittämisohjelmassa tulisi ottaa mukaan myös kansallista turvallisuutta ja kyberpuolustusta kehittävät toimenpiteet. Suomen tulisi hyödyntää tehokkaammin yleisen asevelvollisuuden ja puolustusvoimien roolia kansallisen turvallisuuden, osaamisen ja elinkeinoelämän kyberturvallisuuspalveluiden, -innovaatioiden, -yritysten ja ekosysteemin kehittämisessä. Kaikkien viranomaisten ja elinkeinoelämän yhteistyömuotoja on edelleen tiivistettävä. Erityisesti puolustusvoimien kriisiajan kapasiteettia on kyettävä hyödyntämään arkielämän kyberhäiriötilanteissa. Se on kustannustehokkain tapa kehittää kansallista kyberpuolustuskykyä. Puolustusvoimien lakisääteisten tehtävien mukaan sillä tulee olla kyky kybervirka-avun antamiseen. Maanpuolustuskoulutuksen kyberpuolustuskapasiteettia tulisi hyödyntää tehokkaammin ja se tulisi ottaa osaksi koulutuksen kokonaistarjoamaa. Myös kybervapaehtoisorganisaatioiden ja -aktivistien hyödyntäminen tulisi ottaa osaksi kokonaiskyvykkyyden rakentamista. Kansallisesti olisi päätettävä, mikä taho tarjoaa kyberharjoitusympäristön, jossa kaikki toimijat voisivat toimia yhteistyössä kehittämässä kyberpuolustusvalmiutta. Usein parhaat kyberturvainnovaatiot syntyvät startup- ja pk-yrityksissä, sekä tutkimusmaailmassa. Niiden tukemiseksi ja yhdistämiseksi tulisi miettiä parempi kansallinen koordinointi ja resurssointi. Kansallisessa kehittämisohjelmassa tulisi olla selkeät tavoitteet ja toimenpiteet niihin pääsemiseksi, sekä onnistumisen mittarit. Perustettava osaamiskeskus voi tarjota hyvät edellytykset yhteistyön tiivistämiseksi eri toimijoiden kesken. Tehokkaat kansalliset kyberturvakyvykkyydet ja lainsäädäntö Kybertilannekuva tulisi olla ”kansallisomaisuutta”, jonka jakavat kaikki tuottamalla itsekin siihen lisäarvoa. Kehittämisohjelmassa tulisi olla toimenpiteet myös kansallisen kyberjohtamisen, strategisen tilannekuvan ja nopean reagointikyvyn kehittämiseen. Kriisitilanteessa nopean toiminnan mahdollistava lainsäädäntö, toimintavaltuudet ja rakenteet tulee olla jo valmiina. Suomeen tulisi luoda kokonaisvaltainen kyberturvalainsäädäntö. Tällä hetkellä kyberturva-alaa säätelee monen ministeriön hallinnanaloilla olevat sirpaleiset säädökset. Lisäksi lainsäädäntö tulisi harmonisoida suhteessa EU-lainsäädäntöön. Lainsäädännön kehitystarpeet tulisi myös olla osana kehittämisohjelmaa, mikä kattaisi myös kriittisten kyberturvallisuusyritysten tunnistamisen ja turvaamisen kansallisessa omistuksessa. Seuraaminen ja raportointi On hyvä, että kehittämisohjelman toimeenpanosuunnitelmassa on määritelty vastuutahot ja mittarit. Osa määritellyistä tavoitteista ja mittareista jää melko yleiselle tasolle. Kehittämisohjelman tulisi olla jatkuva prosessi, jolla mitataan ja seurataan myös toimenpiteiden vaikuttavuutta. Mittaristoon tulisi ottaa mukaan toimenpiteiden säännöllinen vaikuttavauuden arviointi. Tämä toimisi johtamisen työkaluna toimenpiteiden, kehityskohteiden, sekä investointien kohdentamisessa. Toimenpidesuunnitelma vaatii selvästi suurempaa rahoitusta. Kehitystoimenpiteiden toteuttaminen osana ”normaaleja toimintamenoja” ohjaa toki kybertietoista kehittämistä ja tekemisen kulttuuria laajemmin yhteiskunnan tasolla, mutta merkittäviä muutoksia ei saa ilman merkittävää rahoituksen lisäämistä. Kyberturvallisuus liittyy kaikkeen digitalisoituvan yhteiskunnan tekemiseen ja toimintaan. Kansallisen turvallisuuden, kyberturvallisen yhteiskunnan ekosysteemin ja innovaatioiden vientipolun voisi nostaa valtion kärkihankkeeksi, mikä lisäisi yhdessä kehittämisen painoarvoa ja rakentaisi Suomeen todellisen kyberturvallisuuskulttuurin.
      • Poliisihallitus
        Päivitetty:
        3.2.2021
        • Poliisihallitus kiittää mahdollisuudesta lausua kyberturvallisuuden kehittämisohjelmaluonnoksesta. "Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla" työryhmän (TITUKRI) osalta turvallisuusviranomaisten kyberturvallisuuden kehittämisen osuus rajattiin pois ja mainittiin sen olevan osa tätä kehittämis-ohjelmaa. Tärkeänä huomiona poliisihallitus nostaakin esille, että tämä TITUKRIsta rajattu kokonaisuus otettaisiin omaksi osakokonaisuudeksi kan-sallisen turvallisuuden parantamisen näkökulmasta. Ehdotuksen nykyisillä kirjauksilla sitä ei mielestämme riittävästi nosteta esiin. Yleisesti todettakoon, että mittariston ja tulosten seurannan osalta toivoi-simme konkreettisempia ja täsmällisempiä arviointimittareita. Kohta 3. Huippuluokan osaaminen Poliisihallitus näkee esitetyn lisäksi myös viranomaisten oman osaamisen kasvattamisen erittäin tärkeänä. Tämä voisi kehitysohjelmassa ilmetä esim. eri viranomaissektoreille toteutettuna koulutusohjelmina, jotka suunnitellaan ja toteutetaan yhteistyössä ko. viranomaisten kanssa, jolloin erityyppisten toimijoiden tarpeet tulisi huomioitua. Kohta 4. Kiinteä yhteistyö Poliisihallitus näkee tärkeänä, yleisten kyberturvallisuusharjoitusten lisäksi, yhteistoimintaa kehittävien, keskitetysti koordinoitujen turvallisuusviranomaisten harjoitusten lisäämisen. Erityisesti siten, että omasuojan toiminnan harjoittelun lisäksi on huomioitu myös kyberrikosten tutkintaan ja selvitykseen liittyvää harjoitustoimintaa, joka on integroitu osaksi harjoitusta. Harjoitustoiminnan keskitetyn suunnittelun ja rahoituksen pitkäjänteisyys on myös erittäin tärkeätä, jotta organisaatiot voivat suunnitella pidemmällä aikajän-teellä kehittymistä harjoitustoiminnan kautta. Turvallisuusvaatimusten harmonisoinnin osalta Poliisihallitus kannattaa kyberturvallisuuden vaatimusten yhdenmukaistamista ja niiden täyttymisen valvontaa. Tätä olisi järkevää jatkokehittää KATAKRI2020 työn pohjalta siten, että arviointi ulotettaisiin joustavammin myös muihin kuin turvallisuusluokiteltujen tietojen käsittelyyn tarkoitettuihin tiedonkäsittely-ympäristöihin. Lisäksi tulisi arviointia ulottaa yli organisaatiorajojen, jotta voidaan varmistua yhteentoimivuudesta ja prosessien yhteneväisyydestä. Lisäksi olisi hyvä kehittää julkishallintoon yleiset vaatimukset tietojärjestelmille ja varannoille, joita voitaisiin hyödyntää erilaisissa hankintatilanteissa. Tällä saavutettaisiin sekä yhdenmukainen vaatimuskehikko että kustannussäästöjä, kun toisis-taan eroavien vaatimusten sijaan käytettäisiin yhtenäistä vaatimuskehikkoa.
      • Oikeusministeriö
        Päivitetty:
        3.2.2021
        • Oikeusministeriö kiittää mahdollisuudesta lausua kyberturvallisuuden kehittämisohjelmaan. Oikeusministeriö pitää kyberturvallisuuden kehittämisohjelmaa tarpeellisena ja tärkeänä sekä laajasti yhteiskuntaan ja sen eri toimijoihin kyberturvallisuutta edistävänä ja kokoavana ohjelmana. Kehittämisohjelman tavoitteet kyberturvallisuusstrategian toimeenpanemiseksi ovat kannatettavia. Kehittämisen painopistealuiden ja kehittämiskohteiden osalta näiden vaikuttavuutta on syytä jatkossa seurata. Oikeusministeriö kiinnittää huomiota seuraavissa kohdin: - Kehittämisohjelman kiinteä yhteistyö ja toimeenpanosuunnitelma, kohta 5, Aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön: Kansainvälinen kyberturvallisuusyhteistyö on tärkeää myös laajemmin muillekin ministeriöille ja viranomaisille sekä alan palveluita tuottaville yrityksille. Jonkin verran on tunnistettavissa toimialakohtaista kansainvälistä kyberturvallisuusyhteistyötä, kuten esimerkkinä oikeusministeriön hallinnonalalta vaalien kyberturvallisuuteen liittyen, joihin on myös panostettava aktiivisesti. - Kehittämisohjelman toimeenpanosuunnitelma kaikkien kohtien vastuutahot: Vastuutahoja on useissa kohdin useita. Tämä voi edellyttää tarvetta lisätä yhteistyötä, laatia linjauksia ja varmistaa riittävää koordinaatiota kokonaisuuden edistämiseksi. Harkittavaksi - tulisiko joissakin kohdin avata tai määrittää päävastuutaho/koordinaattori. - Kehittämisohjelman toimeenpanosuunnitelma, kohta 8, Jatkokehitetään poikkihallinnollisesti viranomaisten varautumista laajoihin kyberhäiriötilanteisiin: Poikkihallinnollisesti viranomaisten kyberhäiriötilanteisiin varautumista voidaan kehittää useilla tasoilla (esim. valtioneuvosto, valtionhallinto, julkinen hallinto sekä edellä mainittujen palvelutuottajien kesken) ja mm. VIRT-toimintaa edelleen kehittämällä. - Kehittämisohjelman toimeenpanosuunnitelma, kohta 11, Turvataan digitaalisen yhteiskunnan keskeiset tiedot, tietovarannot ja –palvelut: Tämän osalta voisi lisätä vastuutahoihin myös muut ministeriöt sekä keskeisiä palveluita tuottavat tahot. - Kehittämisohjelman toimeenpanosuunnitelma, kohta 11, Turvataan digitaalisen yhteiskunnan keskeiset tiedot, tietovarannot ja –palvelut: Viranomaisten turvalliseen tiedonvaihtoon on edelleen panostettava ja kehitettävä turvallisia ratkaisuja käytettäväksi yleisimpiin tarpeisiin (mm. ministeriöiden kesken, TUVE-viranomaisten ja muiden viranomaisten välillä sekä viranomaisten toimiessa ulkopuolisten yhteistyökumppanien kanssa).
      • Teknologiateollisuus ry, Nyqvist Antti
        Päivitetty:
        3.2.2021
        • Teknologiateollisuus yhtyy lausunnossaan täysimääräisesti Finnish Information Security Cluster – Kyberala ry:n lausuntoon. Kyberala ry toimii nykyisellään Teknologiateollisuus ry:n toimialajärjestönä. Edellämainittu lausunto on tehty yhteistyössä Teknologiateollisuuden ja kyberala ry:n kesken.
      • Suomen Punainen Risti
        Päivitetty:
        3.2.2021
        • Suomen Punainen Risti haluaa tuoda esiin seuraavat havainnot: Kansalaisten oma rooli: Kansalaisten rooli osana kyberturvallisuutta nähdään strategiassa varsin heikosti. Strategia keskittyy paljolti kansallisten kaupallisten mahdollisuuksien vahvistamiseen sekä hallinnon sisäisiin toimiin. Kansalaisiin kohdistuvia viranomaisten toimia on ohjelmassa melko laajalti kuvattu, mutta kansalaisten omaa, itsenäistä roolia ei juurikaan tunnisteta. Myös kansalaisille tarjottavaa tukea on ohjelmassa kuvattu varsin vähän. Ohjelmaluonnoksessa mainitaan: “Kansalaisten on osattava puolestaan käyttää digitaalisen tietoyhteiskunnan tuottamia palveluita turvallisesti ja tunnistettava eri laitteiden, tuotteiden ja palveluiden käyttöön liittyvät riskit. Yhteiskunnan on vastattava omalta osaltaan tähän tarpeeseen luottamuksen kasvattamisen mahdollistamiseksi.” Kirjaus on oikea, mutta sitä ei ole täsmennetty; miten taataan esimerkiksi niiden haavoittuvien ryhmien, joilla ei niin vahvoja digitaitoja, tarvitsema tuki ja riittävä osaaminen? Ohjelmassa kuvatut keinot kansalaistaitojen (ml. tietoisuus uhkista, medialukutaito) kehittämisestä ovat hyviä, kuten myös niiden sisällyttäminen esimerkiksi peruskoulun opetussuunnitelmaan. Tämän lisäksi tarvitaan kuitenkin myös erityisiä toimia, joilla tavoitetaan myös ne osat väestöstä, jotka eivät välttämättä ole kyberuhkien tai –hyökkäysten ensisijaisia kohteita, mutta joihin laajojen kriisien vaikutukset väistämättä ulottuvat. Digitaalisen ympäristön muutokset tapahtuvat yksilöstä riippumatta. Valtioneuvoston periaatepäätöksen tasolla tulisi asettaa tavoitteeksi kansalaisten mahdollisuus saada tukea ja apua kyberuhkatilanteissa. Viranomaisilla tulisi olla valmius auttaa tehokkaasti esimerkiksi Vastaamoon kohdistuneen kyberiskun kaltaisen tilanteen jälkeen. Erityisesti psykososiaalinen tuki on näissä tilanteissa oleellista: kansalaisten tulee tietää mistä saa apua ja avun antamisen on oltava tehokkaasti järjestetty. Toisaalla luonnoksessa on tähän liittyen todettu kehittämistoimenpiteenä, että ”[j]ärjestöjä tuetaan myös vakavien kyberhyökkäystilanteiden jälkihoitoon liittyvissä valmiuksissa sekä näiden toteutuksessa yhteistyössä viranomaisten kanssa. Tämä edellyttää vastuu- ja toimintamallien päivittämistä, sekä jälkihoitoa tarjoavien toimijoiden osaamisen kasvattamista kyberhyökkäyksien vaikutuksista ja niiden seurauksista.” Toimenpide on oikea, mutta riittämätön. Jälkihoito ei voi rajoittua ainoastaan järjestöjen tukemiseen, vaan kuten on nähty, tarvitaan monen toimijan yhteistyötä sekä kansalaisten omaa, aktiivista toimintaa. Henkisen ja käytännön tuen palvelut tulee olla kunnossa mukaan lukien puhelimet ja chatit, apu rikoksen uhreille sekä viranomaisten tuki rikosilmoitusten tekemisessä sekä siihen liittyvissä toimissa (esim. korvausvaateet). Järjestöjen rooli: Luonnoksessa on esitetty, että “Järjestöjen ja vapaaehtoisten yhteisöjen roolia vahvistetaan kansalaisten kyberturvataitojen kehittämisessä. Järjestöjen rooli määritellään kansalaisten kyberturvallisuuden valistus- ja viestintätyössä ja niiden toimintaa tuetaan tässä tehtävässä. “ Ehdotuksen sisältö hyvä. Samalla on kuitenkin korostettava, että kansalaisten opastuksen ei tule tarkoituksella tai tahtomatta ajautua kokoaan järjestöjen vastuulle ja tehtäväksi. Järjestöjen rooli ja merkitys tässä työssä on keskeistä, mutta ne eivät voi toimia viranomaisten sijasta. Myös järjestöjen toiminnan resursointi on suunnittelussa huomioitava. Kiinnitämme huomiota myös kappaleen muotoiluun ”valistus- ja viestintätyö”, joka kuulostaa vanhahtavalta, eikä vastaa toiminnan luonnetta. Osuvampi termi olisi esimerkiksi ”turvallisuusviestintätyö”. Yhteistyö: Luonnoksessa esitetään kehittämistoimenpiteenä, että “Tehdään tiivistä yhteistyötä kyberturvallisuuden harjoitustoiminnassa viranomaisten, elinkeinoelämän ja järjestöjen välillä yhteiskunnan toimivuuden kannalta kriittisten arvoketjujen toiminnan turvaamiseksi.” Suomen Punainen Risti pitää erinomaisena, että järjestöt on tässä yhteydessä huomioitu ja pitää yhteistä harjoitustoiminta keskeisenä tehokkaan toiminnan takeena. Yhteisen harjoittelun lisäksi tulisi olla viranomaisten, järjestöjen ja elinkeinoelämän sujuva tilannekuvan jakamisen malli, jolle luodaan pohjat normaaliaikana ja jonka mukaisesti voidaan käynnistää nopeasti tehostettu menettely häiriötilanteen sattuessa. Järjestöjen rooli ei voi olla vain tiedottava, vaan tunnistettava ne keskeiset valmiusjärjestöt, ml. Suomen Punainen Risti, jonka tehtävänä on tukea viranomaisia kriisitilanteissa. Näihin lukeutuvat myös kyberuhkien aiheuttamat kriisit. Viestintä: Kansalaisille tulee luoda selkeät informaatiokanavat häiriötilanteissa, joissa kaikki tarvittava tieto on koottuna mielellään yhteen paikkaan. Viestinnän koordinaatio sekä yhteensovittaminen eri toimijoiden kesken on tärkeää yhtenäisen ohjeistuksen varmistamiseksi. Kaikkia eri toimialojen toimijoita tulee rohkaista avoimeen viestintään havaituista kyberuhkista. Avoimuuden avulla riskitietoisuus laajenee ja kyky uhkien ennalta ehkäisyyn vahvistuu. Lisäksi tulisi luoda viestintäsuunnitelma tarvittavine toimenpiteineen kansalaisten kyberturvallisuustietoisuuden kasvattamiseksi.
      • Valtiovarainministeriö, Kuusisto Tuija
        Päivitetty:
        3.2.2021
        • Liikenne- ja viestintäministeriö Viite: Liikenne- ja viestintäministeriön lausuntopyyntö 13.1.2020, VN/797/2021 Luonnos valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Liikenne- ja viestintäministeriö on pyytänyt lausuntoa otsikon luonnoksesta. Pääministeri Marinin hallitusohjelmassa on asetettu tavoitteita kansallisen kyberturvallisuuden kehittämiselle liittyen tilannekuvan parantamiseen, kan-sainvälisen yhteistyön tiivistämiseen sekä kansallisen koordinaation tehos-tamiseen. Vuonna 2019 annetussa valtioneuvoston periaatepäätöksessä Suomen ky-berturvallisuusstrategiasta on tunnistettu tarve kansallisen kyberturvallisuuden kokonaistilan parantamiseksi. Strategian linjausten mukaisesti valmis-teltu, yli hallituskausien ulottuvan (aikajänne vuosille 2021-2030) kyberturvallisuuden kehittämisohjelman on tarkoitus konkretisoida kyberturvallisuuden kansallisia linjauksia sekä selkeyttää kyberturvallisuuden hankkeiden, tutkimuksen ja kehittämisohjelmien kokonaiskuvaa. Kehittämisohjelma on laadittu Suomen Kyberturvallisuusstrategiaan 2019 kirjatulla tavalla kyberturvallisuusjohtajan johdolla ”ministeriöiden, Turvalli-suuskomitean ja kyberturvallisuustoimijoiden asiantuntemusta hyödyntäen.” Valtiovarainministeriön virkamies on osallistunut kehittämisohjelman valmis-teluun kirjoittajaryhmän sekä sparrausryhmän jäsenenä, sekä työpajatyös-kentelyn kautta. Valtiovarainministeriön näkemyksiä on huomioitu siten jo kehittämisohjelman valmistelun aikana. Kehittämisohjelmaa täydentävät liikenne- ja viestintäministeriön asettama yhteiskunnan kriittisten toimialojen tietoturvaa ja tietosuojaa selvittävän poikkihallinnollisen työryhmän työ ja Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030-hanke. Kehittämisohjelman toimeenpano on tarkoitus käynnistää välittömästi. Valtiovarainministeriön lausunto Kehittämisohjelman johdannossa on selkeästi tuotu esille keskeiset riippu-vuussuhteet muihin käynnissä oleviin hankkeisiin: ”Valtioneuvoston periaate-päätös julkisen hallinnon digitaalisesta turvallisuudesta ja sen toimeenpanosuunni-telma sekä Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -hanke täy-dentävät tätä periaatepäätöstä.” Lausuntopyynnössä valtioneuvoston periaa-tepäätöstä julkisen hallinnon digitaalisesta turvallisuudesta ei ole kuitenkaan mainittu. Valtiovarainministeriö toteaa, että viittaus valtioneuvoston periaa-tepäätökseen digitaalisesta turvallisuudesta 8.4.2020 ja sen linjauksia to-teuttavaan valtiovarainministeriön toimeenpanosuunnitelmaan Haukka 2020-2023 on säilytettävä kehittämisohjelman johdannossa. Kehittämisohjelma on laaja ja siinä on listattu melko tarkalla tasolla useita toimenpiteitä kohdistuen eri hallinnonaloille, muihin kotimaisiin tahoihin ja kansainväliseen yhteistyöhön. Suurin osa toimenpiteistä todetaan toteutet-tavaksi toimintamenojen puitteissa. Ohjelman johdantotekstiin s.4 ensimmäisen kappaleen loppuun tulisi kuitenkin lisätä seuraava muotoilu: Kehittämisohjelman rahoituksesta päätetään julkisen talouden suunnitelman ja valtion talousarvion valmistelun yhteydessä. Toimenpiteiden mahdollisesti edellyttämä valtion rahoitus to-teutetaan valtiontalouden kehysten puitteissa tarvittaessa kohdentamalla määrärahoja uudelleen. Valtiovarainministeriö kiinnittää lisäksi huomiota osion 7. Seuranta ja raportointi tekstiin sivulla 17, johon tulee lisätä periaatepäätöksiin tavanomaisesti kuuluva tekstimuotoilu: Kehittämisohjelman toimia toteutetaan pääasiassa valtion bud-jettiraamien sekä olemassa olevien määrärahojen puitteissa. Määrärahalisäyksiä tai muita budjettivaikutuksia vaativista toi-menpiteistä päätetään erikseen valtiontalouden kehyksissä ja vuosittaisissa talousarvioissa. Kehittämisohjelmassa on soveltuvin osin huomioitu EU:n tuoreen joulukuus-sa 2020 julkaistun kyberturvallisuusstrategian tavoitteita. Infrastruktuurin ja kriittisten palveluiden häiriösietokykyä kehittävien EU:n kyberturvallisuus-strategian toimien keskiössä on Euroopan komission ehdotus 16.12.2020 tieto- ja verkkodirektiivin (NIS) päivittämisestä. Valtiovarainministeriö ehdottaa, että kehittämisohjelmaan selvennetään NIS-ehdotuksen ja kehittämisohjelman väliset riippuvuudet. Valtiovarainministeriö esittää, että valtiovarainministeriö poistetaan vastuutahoista liitteen 1 toimeenpanosuunnitelman kehittämistoimenpiteestä 7.2 ”Yritykset tarvitsevat myös kotimaista rahoitusta sekä pääomia mukaan lukien mahdolliset valtion rahoitus- ja omistusosuudet.” valtiosihteeri kansliapäällikkönä Juha Majanen tietohallintoneuvos Tuija Kuusisto
      • Digi- ja väestötietovirasto, Palvelut-osasto
        Päivitetty:
        3.2.2021
        • Suomi on maailman johtavia yhteiskuntia, mitä tulee julkisen hallinnon tuottamien palveluiden sekä osin elinkeinoelämän tuottamien palveluiden digitalisoimiseen. Samalla tämä edelläkävijyys tarkoittaa sitä, että meihin kohdistuu ensimmäisten joukossa digitaaliseen toimintaympäristöön kohdistuvat uhat, on kyseessä ICT-palveluiden tuottamiseen vaikuttavat tekniset häiriöt, luonnonilmiöt tai henkilötietojen tietoturvaloukkaukset ja tietomurrot. Tämän takia on erittäin tärkeää, että Suomi pystyy varautumaan näihin erilaisiin uhkiin entistä paremmin. Digi ja väestötietoviraston pitää kyberturvallisuuden kehittämisohjelmaa hyvin valmisteltuna ja perusteltuna kokonaisuutena vastaamaan kehittyvään uhkaympäristöön. Olemme toistaiseksi välttyneet merkittäviltä, laajavaikutteisilta koko yhteiskuntaan kohdistuneilta digitaaliseen toimintaympäristöön kohdistuneilta häiriöiltä ja hyökkäyksiltä. Todennäköisyys tällaisten toteutumiseen on kasvamassa johtuen kiihtyvästä tahdista uuden teknologian käyttöönoton osalta sekä globaalin verkkorikollisuuden ja valtiollisten toimijoiden aktiivisuuden kasvusta. Tämän ohella digitaalisen toimintaympäristön monimutkaistuessa, ihmisen rooli ja vaikutus esimerkiksi inhimillisten virheiden kautta syntyvien häiriöiden ja loukkausten aiheuttajana kasvaa. Digi- ja väestötietovirasto pitääkin erityisen tärkeänä digitaalisten palveluiden toimintaympäristön kokonaisvaltaista turvaamista, joka mahdollistaa palveluiden entistä luotettavamman siirtymisen digitaaliseen asiointikanavaan. Kehittämisohjelman pääteemoista huippuluokan osaamisen merkitys on neljästä pää-teemasta merkittävin, koska se samalla tukee kaikkia muita kolmea kehittämisohjelman pääteemaa. Sen sijaan, että haetaan huippuluokan osaamista asiantuntijuuden osalta, kaikkien kansalaisten perustiedot ja taidot tulisi olla keskiössä. Tulisiko tämä huomioida myös pääteeman otsikossa, joka korostaisi samalla osa-alueen merkitystä ja laajuutta? Samalla ei tulisi unohtaa sitä, että digitaalisen toimintaympäristön turvaaminen edellyttää myös entistä enemmän kokonaisvaltaista turvallisuuden eri osa-alueiden (riskien-hallinta, toiminnan jatkuvuus, tietoturva, tietosuoja) huomioimista niin olemassa olevien palveluiden tuottamisessa kuin uusien palveluiden kehittämisessäkin. Kehittämisohjelmassa onkin huomioitu hyvin näitä osa-alueita ja sitä, kuinka tärkeää on rakentaa nämä sisäänrakennetuiksi toimintaan ja palveluihin. Toimenpiteiden rahoituksen osalta on useassa kohdassa todettu, että kehittäminen tulisi olla osa normaaleja toimintamenoja. Tämän osalta on erittäin tärkeää varmistaa, että kyseiset toimijat ovat sitoutuneita kehittämään ja siten edistämään ohjelmassa sovittuja toimenpiteitä tarvittavalla rahoituksella. Kehitysohjelman odotuksen on hyvä asettaa tasapainoon sen kanssa, mitä palveluiden tuottajat kykenevät toteuttamaan nykyisten toimintamenojen puitteissa ja mitä mahdollisesti uusia velvoitteita heille ajatellaan syntyvän itse ohjelmasta rahoitetuissa toimenpiteissä. Pääteemoista kiinteä yhteistyö on koettu erityisen hyvin toimivaksi juuri kyberturvallisuuden ja siihen kytkeytyvän digitaalisen turvallisuuden alalla, joten vahvasti verkottuneen toimintatavan vahvuuksien hyödyntäminen jatkossa entistä vahvemmin vaikuttaa korostamisen arvoiselta teemalta. Tämän osalta Digi- ja väestötietovirasto pitää kiinteän yhteistyön teemaa arvokkaana ja osoittaa erityistä kiinnostusta kehittää kyberharjoitustoiminnan kokonaisuuttaa julkisessa hallinnossa. Viraston näkemyksen mukaan harjoitustoiminnan panostuksen kohdentamiseksi ja niiden vaikuttavuuden arvioimiseksi tulisi määritellä kansallisella tasolla harjoitustoiminnan vähimmäisvaatimukset ja tavoitetila eri kohderyhmien tarpeet huomioiden. Harjoitustoiminnan osa-alueella tulisi huomioida toimijoina koko julkishallinto sekä tunnistaa harjoitustoimintapalveluita ja ratkaisuja tuottavat yritykset ja yhdistykset, jotka tulisi osallistaa mukaan toiminnan kehittämiseen kautta linjan. Harjoitustoiminnan ja harjoitustoimintapalveluiden kehittäminen tulisi huomioida osana perustettavan kansallisen koordinaatiokeskuksen ja sen yhteyteen ehdotettavaksi perustettavan osaamiskeskuksen toimintaa ja osana oppilaitosyhteistyötä. Vahvan kotimaisen kyberturvateollisuuden ja tehokkaiden kansallisten kyberturvakyvykkyyksien teemat täydentävät luontevasti muita pääteemoja. Niillä voidaan katsoa olevan erityisen tärkeä rooli myös julkisessa hallinnossa, jonka palvelut tuotetaan pitkälti yhteistyössä yksityisen sektorin toimijoiden kanssa. Yksityisen sektorin toiminnassa kyberturvallisuuden alalla kansallisilla toimijoilla on luonnostaan korostunut rooli kansallisen toimintavarmuuden rakentamisessa ja siten ehdotetut teemat korostavat alan hyväksi koettuja menettelytapoja. Digi- ja väestötietovirasto voisi osaltaan osallistua näiden teemojen edistämiseen tukemalla hankintoihin liittyvän turvallisuusasioiden substanssiosaamisen kehittymistä kyberturvallisuuden tuotteiden ja palveluiden ostamisessa julkisessa hallinnossa. Lisäksi yhteiskunnan kriittisten tietovarantojen, palveluiden ja järjestelmien selvitystyö julkisen hallinnon järjestelmien osalta voitaisiin mahdollisesti toteuttaa DVV:n toimeenpanemana. Samaan kokonaisuuteen liittyvä kriittisten palveluiden turvallisen ohjelmistokehitysprosessin kehittäminen ja siihen kytkeytyvän ohjeistuksen kehittäminen erityisesti julkishallinnossa vaikuttaa kannatettavalta ja se voitaisiin toteuttaa soveltuvin osin Digi- ja väestötietovirastossa. Digi- ja väestötietovirasto pitää ehdotettua kehittämisohjelmaa hyvin perusteltuna ja sen esittämä kokonaisuus vahvistaa useita osa-alueita niin teollisuudessa kuin julkisessa hallinnossakin. Tämä kokonaisuus on tarpeen, jotta jatkossakin voidaan taata häiriöttömät palvelut yhteiskuntamme tarpeisiin alati kehittyvässä toimintaympäristössä.
      • Finnish Information Security Cluster – Kyberala ry
        Päivitetty:
        3.2.2021
        • Finnish Information Security Cluster – Kyberala ry on Teknologiateollisuus ry:n toimialayhdistys ja edustaa suomalaista kyberturvallisuusalaa. Kyberalalla ja sen jäsenistöllä on ollut mahdollisuus osallistua kehittämisohjelman valmisteluun ja se on mukana useissa kehittämisohjelman toimenpiteissä. Kyberala kiittää mahdollisuudesta hyvään vuorovaikutukseen kehittämisohjelman valmistelun aikana. Keskeisimmät havainnot 1) Kehittämisohjelman tavoite kyberturvallisuuden ekosysteemin luomisesta on erittäin kannatettava 2) Kehittämisohjelman toimeenpanon resursointi on turvattava ja siihen on ohjattava pitkäaikaista lisärahoitusta eri lähteistä 3) Vahva kyberturvallisuusteollisuus on kehittämisohjelman keskeinen tavoite ja sen saavuttamisen tueksi on perustettava esitetty kansallinen kyberturvallisuuden kasvu- ja osaamiskeskus 4) Kehittämisohjelman toimeenpanon seurannan ja ylläpidon on oltava jatkuvaa ja kyberturvateollisuus on kytkettävä siihen tiiviisti mukaan Yleiset huomiot Kyberala pitää erittäin tärkeänä, että Suomessa panostetaan kyberturvallisuuteen aiempaa vahvemmin ja sen luomiin mahdollisuuksiin painottaen. Kehittämisohjelman keskeisimmäksi tavoitteeksi määritellään kyberturvallisuuden ekosysteemin luominen Suomeen. Kyberalan pitää tavoitteen saavuttamista erittäin tärkeänä, koska sen avulla voidaan luoda Suomeen talouskasvua, uusia työpaikkoja ja osaamista sekä parantaa yhteiskunnan kykyä vastata erilaisiin kyberuhkiin. Kehittämisohjelmassa on tunnistettu hyvin osuvasti, että kyberturvallisuus muodostuu monipuolisista kyvykkyyksistä ja huippuosaamisesta sekä erittäin vahvasti menestyvästä alan teollisuudesta. Osaamispohjan vahvistaminen ja kyberturvateollisuuden toimintaedellytysten parantaminen ovat ensiarvoisen tärkeitä paitsi elinkeinopoliittisesti, myös kansallisen turvallisuuden näkökulmasta. Se tarkoittaa, että Suomessa tulee tehdä huomattavia lisäpanostuksia alan koulutuksen lisäämiseen, investointeihin sekä tutkimus- ja tuotekehityshankkeiden käynnistämiseen ja niiden tulosten markkinoille saamiseen. Kyberala haluaa kiinnittää huomiota esitettyyn rahoitukseen. On ensiarvoisen tärkeää, että yksittäisiin toimenpiteisiin ja investointeihin osoitetaan rahoitusta myös muista käytettävissä olevista lähteistä. Tällaisia voivat olla esimerkiksi EU:n elpymisvarat sekä muut EU:n rahoitusmekanismit, huoltovarmuuskeskuksen digitaalinen turvallisuus 2030 -hanke sekä erilaiset julkishallinnon investoinnit sekä muut budjetti- ja kehittämisvarat. Lisäksi useita toimenpiteitä voidaan toteuttaa yrityksiltä tehtävin hankinnoin ja erilaisin yhteishankkein. Kyberturvallisuuden määrätietoinen kehittäminen on pitkäaikainen ja jatkuva prosessi. Siten kehittämisohjelmassa olisi perusteltua tarkastella laajempaa kyberturvallisuuden johtamismallia sekä käsitellä sitä kaikki toimialat kattavana horisontaalisena kysymyksenä. Sen vuoksi on tärkeää, että periaatepäätöksen ajallinen ulottuvuus on riittävä ja toimenpiteet vaikuttavia, rakenteellisia sekä luonteeltaan mahdollistavia. Se edellyttää myös jatkuvaa yhteistä toimeenpanon seurantaa sekä tiivistä julkisen ja yksityisen sektorin yhteistyötä ohjelman päivittämisessä, sillä julkisella sektorilla ja eri toimialoilla on erilaisia tarpeita, sekä vaihteleva kyberturvallisuuden taso, jonka nostamista monilla toimenpiteillä tavoitellaan. Yksityiskohtaiset havainnot toimenpiteistä Kyberala on mukana 20 eri toimenpiteen toimeenpanossa ja se on valmis osallistumaan tiiviisti niiden toteuttamiseen yhteistyössä muiden sidosryhmien kanssa. Alla huomioita muutamista toimenpiteistä, joihin kyberala haluaa vielä kiinnittää erityistä huomiota. Osaamisen ja koulutusjärjestelmän kehittäminen sekä TKI-toiminnan edistäminen Kyberala pitää erittäin hyvänä, että toimeenpanossa panostetaan koulutusjärjestelmän muutostarpeiden tunnistamiseen ja osaamistason yleiseen nostamiseen. Perusosaajien lisäksi huippu- ja erityisosaamistarpeiden, kuten johtamisen ja kriittisen sovelluskehityksen osaamisen lisääminen on kansallisesti tärkeää. Kansainvälisten osaajien houkuttelu Suomeen, lupaprosessien parantaminen sekä kaikkien alasta kiinnostuneiden kannustaminen opiskelemaan ja työllistymään kyberturvallisuuden parissa ovat ensiarvoisen tärkeitä tavoitteita. Samoin alan tutkimuksen edistäminen, sen rahoituksen turvaaminen ja erityisesti tutkimustulosten onnistunut kaupallistaminen ovat teollisuuden näkökulmasta merkittäviä ja kannatettavia tavoitteita. Tiivis yhteistyö kyberturvallisuudessa Tiivis yhteistyö julkisen ja yksityisen sektorin välillä on edellytys kyberturvallisuuden onnistuneelle kehittämiselle. Samoin hyvien käytänteiden ja tilannetietoisuuden mahdollisimman laaja kansallinen jakaminen on hyvin tärkeä tavoite kyberturvallisuustason nostamiseksi. Kyberala pitää kannatettavana, että Suomi osallistuu aktiivisesti kansainväliseen kyberturvallisuusyhteistyöhön ja vaikuttamiseen. Alan yritykset ja elinkeinoelämän järjestöt on tarpeen kytkeä tiiviisti erilaisiin yhteistyörakenteisiin, jotta teollisuuden ääni ja vaikutusmahdollisuudet omine kanavineen voidaan kytkeä sujuvasti mukaan yhteiseen työhön. Vahva kyberturvallisuusteollisuus sekä kasvun ja kansainvälistymisen tukeminen Kasvavat kyberturvallisuusmarkkinat ovat alan yrityksille ja muulle digitalisoituvalle teollisuuden merkittävä mahdollisuus, ja Suomella on erittäin hyvä kansainvälinen maine kyberturvallisuusosaamisessa. Kansainväliset esimerkit osoittavat, että panostukset kyberturvallisuuteen ja alan menestymiseen tuottavat erittäin hyviä tuloksia työllisyyden ja talouskasvun näkökulmasta. Siksi alan näkyvyyden ja Suomen vahvuuksien esiin nostaminen yhteistyössä on erittäin tervetullutta. Suomessa on useita vakiintuneita kyberturvallisuusalan toimijoita sekä huomattava joukko alan innovatiivisia kasvavia pieniä ja keskisuuria yrityksiä. Kyberala pitää erittäin tärkeänä kyberturvallisuusalan kasvustrategian laatimista sekä kansallisen kasvu- ja osaamiskeskuksen perustamista. Sekä strategian laadinnassa että kasvu- ja osaamiskeskuksen toiminnassa on huomioitava alan yleisten kasvuedellytysten edistäminen, innovaatioiden tuotteistaminen sekä niiden myynnin ja markkinoinnin vahvistaminen, Suomen houkuttelevuus investointikohteena sekä kansallisten ja EU:n kyberturvallisuuspanostusten mahdollisuuksien täysimääräinen hyödyntäminen Suomessa. Kyberalan pitää kannatettava suomalaisten kyberturvallisuustuotteiden ja -palveluiden mahdollisimman laajaa hyödyntämistä. Palveluiden onnistuneeseen hankintaan tarvitaan lisää osaamista, joten julkishallinnon tehokkaan ja taloudellisen ostotoiminnan sekä innovatiivisten hankintojen kehittämiseen on syytä panostaa. Kyberala haluaa nostaa esiin, että koventuvan kansainvälisen kilpailun näkökulmasta on tärkeää pitää huolta kyberturvallisuusalan yritysten kansainvälisestä kilpailukyvystä. Siksi on esimerkiksi syytä tarkastella turvallisuusselvityslain ja vastaavien kyberturvallisuusalan viennin edellytyksiin liittyvien rakenteiden toimivuutta nykyisen digitaalisen turvallisuuden toimintaympäristössä sekä muuttuva EU-sääntely ja kansainvälinen kilpailutilanne huomioiden. Kotimaisen salausteknologian luonti ja AQUA-statuksen saavuttaminen Kyberala pitää esitettyjä tavoitteita salausteknologian kehittämisestä ja AQUA-statuksen tavoittelusta kannatettavina. Kyberala haluaa samalla kiinnittää huomiota omistajuutta koskevaan kohtaan 12.3. On tärkeää varmistaa, että toimenpiteellä ei aiheuteta häiriöitä markkinoiden toimintaan, heikennetä kyberturvallisuusalan investointihalukkuutta tai aiheuteta yllättäviä haasteita esimerkiksi yrityskauppojen yhteydessä. Hiljattain uudistettu laki ulkomaisten yritysostojen seurannasta tarjoaa jo mahdollisuuden kansallisen turvallisuuden kannalta kriittisiin tilanteisiin puuttumiselle, eikä laajemmille mekanismeille tai uudelle sääntelylle nähdä tarvetta. Kyberala on mielellään mukana kehittämisohjelman toteuttamisessa ja seurannassa sekä tarjoaa tarvittavia asiantuntijoita eri toimenpiteiden toteutuksen tueksi.
      • Teknologian tutkimuskeskus VTT Oy
        Päivitetty:
        3.2.2021
        • Liikenne- ja viestintäministeriölle Asia: Lausunto valtioneuvoston ehdotuksesta periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Teknologian tutkimuskeskus VTT Oy kiittää mahdollisuudesta lausua valtioneuvoston ehdotuksesta periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta. Kehittämisohjelmalla tavoitellaan pääministeri Sanna Marinin hallitusohjelman mukaisesti kansallisen kyberturvallisuuden kehittämistä liittyen tilannekuvan parantamiseen, kansainvälisen yhteistyön tiivistämiseen sekä kansallisen koordinaation tehostamiseen. VTT pitää erittäin hyvänä, että LVM on laatinut kyberturvallisuuden kehittämisohjelman ja esittänyt konkreettisen toimeenpanosuunnitelman. VTT näkee, että laadittu kehittämisohjelma vastaa hallitusohjelmassa asetettuihin tavoitteisiin. VTT pitää tärkeänä esitetyn toimeenpanosuunnitelman ja siihen liittyvän TKI-toiminnan riittävää resursointia, jotta kehittämisohjelmassa asetetut tavoitteet voidaan saavuttaa. Kehittämisohjelman ensisijaisena tavoitteena on luoda Suomeen kyberturvallisuuden ekosysteemi, jonka toiminnan fasilitoimiseksi ohjelmassa suunnitellaan perustettavaksi kyberturvallisuuden kasvu- ja osaamiskeskus. Toisaalta kehittämisohjelmassa on tunnistettu EU:n kyberturvallisuuden kompetenssikeskus ja siihen kytkeytyvät kansalliset koordinaatiokeskukset, jotka yhdessä muodostavat eurooppalaisen kyberturvan kompetenssiyhteisön. Myös Suomeen suunnitellaan perustettavaksi kansallinen koordinaatiokeskus, jonka mandaattiin sisältyy kansainvälisen yhteistyön tiivistäminen sekä kansallisen koordinaation tehostaminen. VTT näkee ekosysteemin toiminnan edistämisen tärkeäksi ja suosittaa pohdittavaksi mahdollisuutta toteuttaa kansallisen ekosysteemin fasilitointi kansallisen koordinaatiokeskuksen kautta. Kehitysohjelmassa koordinointikeskukselle tunnistettujen tehtävien lisäksi VTT näkee erityisen tärkeäksi koordinaatiokeskuksen roolin kansallisessa ekosysteemissä tunnistettujen tutkimusteemojen ja -tarpeiden sisällyttämisessä EU:n puiteohjelman työohjelmiin sekä ekosysteemin toimijoiden, erityisesti pk-yritysten, kytkemisen EU:n tutkimushankeyhteistyöhön. Kansallisen ekosysteemin vahvistamiseksi kehittämisohjelma tunnistaa neljä keskeistä pääteemaa: huippuluokan osaaminen, kiinteä yhteistyö, vahva kotimainen kyberturvateollisuus ja tehokkaat kansalliset kyberturvakyvykkyydet. VTT näkee valitut teemat hyviksi ja suosittaa kyberturvan tutkimuksen ja sen resursoinnin merkityksen huomiointia teemojen käytännön toteuttamisessa. Vientivetoisen ja vahvan kotimaisen kyberturvateollisuuden edellytyksenä on kotimainen IPR, jonka kehittäminen parhaiten tapahtuu TKI-hankkeissa. Vahva IPR-portfolio on tärkeimpiä mahdollistajia haettaessa alalle kansainvälistä teollista kasvua. VTT näkee kyberturvallisuuden ekosysteemin tärkeänä osana kansallista turvallisuutta ja huoltovarmuutta. Yhä useammat yhteiskunnan ja ihmisten kannalta turvallisuuskriittiset toiminnot ovat tulevaisuudessa digitaalisia, kytkeytyneitä ja tekoälyä hyödyntäviä (autonomisia). Ekosysteemisellä toimintamallilla on tulevaisuudessa mahdollista varmistaa näiden järjestelmien moitteeton suunnittelu ja toimivuus sekä todentaa niiden turvallisuustaso ja häiriönsietoisuus. Vakaa yhteiskunta edellyttää tiedon eheyttä ja luotettavuutta sekä oikean tiedon erottamista väärästä. Tietoturvan merkitys yhteiskunnassa kasvaa, koska yhä suurempi osa henkilökohtaisesta tiedoistamme on digitaalisessa muodossa erilaisilla alustoilla ja tietokannoissa. Teknologian kehitykseen liittyy yhä suurempi riski digitaalisessa muodossa olevan kriittisen informaation päätymisestä vääriin käsiin. Tässä kontekstissa kansallisella ekosysteemillä on potentiaalisesti merkittävä rooli.
      • Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus, Ilkka Juha
        Päivitetty:
        3.2.2021
        • Liikenne ja viestintäviraston lausunto ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Liikenne- ja viestintäministeriö on valmistellut ehdotuksen periaatepäätöksestä kansallisen kyberturvallisuuden kehittämiseksi. Periaatepäätös vastaa pääministeri Marinin hallitusohjelman, Suomen kyberturvallisuusstrategian ja yhteiskunnan turvallisuusstrategian asettamiin tavoitteisiin kansallisen kyberturvallisuuden kehittämiseksi. Valtioneuvoston periaatepäätös julkisen hallinnon digitaalisesta turvallisuudesta ja sen toimeenpanosuunnitelma sekä Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelma täydentävät osaltaan nyt laadittua periaatepäätöstä. Kehittämisohjelman aikajänne on 2021-2030 ja se kuvaa kyberturvallisuuden kehittämisen lyhyen ja pitkän aikavälin tavoitteita ja painopistealueita. Ehdotuksessa kehittäminen jaetaan neljään pääteemaan, huippuluokan osaaminen, kiinteä yhteistyö, vahva kotimainen kyberteollisuus ja tehokkaat kansalliset kyberturvakyvykkyydet. Ehdotuksen liitteessä kuvataan konkreettiset toimenpiteet tavoitteiden toteuttamiseksi. Tavoitteena kyberturvallisuuden ekosysteemin synnyttäminen on lähtökohtaisesti hyvä ajatus, joka toteutuessaan muodostaisi kivijalan suomalaisen kyberturvallisuusosaamisen kehittymiselle. Aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön on keskeinen periaate. Kansainvälinen yhteistyö tarjoaa myös resurssien näkökulmasta erittäin tärkeää pääomaa. Kansainvälisissä työryhmissä tietyn alan parhaat asiantuntijat kokoontuvat kehittämään parhaita käytäntöjä ja standardeja. Tämä on Suomen kannalta tehokasta resurssien käyttöä. AQUA-toimijan statuksen saavuttaminen on tärkeä ja konkreettinen tavoite, joka osaltaan edistää tehokkaiden kansallisten kyberkyvykkyyksien, huippuluokan osaamisen ja EU-hyväksyttyjen salaustuotteiden tuottamisen toteutumista Suomessa. AQUA-statuksen saavuttaminen edellyttää useiden toimijoiden pitkäjänteistä yhteistyötä ja riittävää resursointia. Valtioneuvoston periaatepäätös julkisen hallinnon digitaalisesta turvallisuudesta ja sen toimeenpanosuunnitelma sekä Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelma täydentävät osaltaan nyt laadittua periaatepäätöksen kohteena olevaa kehittämisohjelmaa. Myös Tietoturvallisuuden ja tietosuojan parantaminen kriittisillä toimialoilla -työryhmän (jatkossa TITUKRI) loppuraportissa esittämät toimenpide-ehdotukset ovat yhteiskunnan kannalta erittäin merkittäviä ja ne tukevat edellä mainituissa periaatepäätöksessä, toimeenpanosuunnitelmassa, ohjelmassa ja kyberturvallisuuden kehittämisohjelmassa esitettyjä toimenpiteitä. Kehittämisohjelmassa olisikin hyvä tuoda esille tämä toimenpiteiden ja toimenpide-ehdotusten kokonaisuus esimerkiksi viittaamalla kehitysohjelman teksteissä näihin ja näiden muodostamaan kokonaisuuteen. Kokonaisuutena kyse on erittäin laaja-alaisesta ja kattavasta yhteiskunnan turvallisuuden kehittämiseen tähtäävästä toimenpidekokonaisuudesta. Kansallisen kyberturvallisuuden pidemmän aikavälin kehittäminen edellyttää ennen kaikkea panostusta osaamisen kehittämiseen. Osaajapula haittaa jo nykyisellään alan kehitystä ja yritysten menestymismahdollisuuksia. Isot teknologiamurrokset ja digitalisaatio tulevat entisestään kasvattamaan kyberturvallisuusalan osaamispulaa. Koulutusmahdollisuuksia tulee lisätä niin työelämässä kuin eri koulutusasteillakin. Liikenne ja -viestintävirasto kannattaa kyberturvallisuuden kehittämisohjelmassa ehdotettuja linjauksia ja toimenpiteitä, jotka tukevat ja vievät kansallisen kyberturvallisuuden laaja-alaista kehittämistä usealla eri osa-alueella eteenpäin. Kehittämisohjelman rahoitukseen tulee kiinnittää erityistä huomiota. Ilman realistista, toimenpiteitä kattavaa rahoitusta kehitysohjelman toteuttaminen ei sellaisenaan ole mahdollista.
      • F-Secure Oyj, Hyvärinen Nina
        Päivitetty:
        3.2.2021
        • F-Securen lausunto kyberturvallisuusstrategian kehittämisohjelmasta F-Secure kiittää mahdollisuudesta osallistua kyberturvallisuusstrategian kehittämisohjelman laatimiseen ja toimeenpanoon. Tuemme erityisesti meitäkin edustavien EK:n ja FISC - Kyberala ry:n lausunnoissa esitettyjä näkemyksiä. Pidämme kehittämisohjelmaa ja siinä esitettyjä toimenpiteitä kokonaisuutena erittäin hyvänä. On tärkeää, että kansallisen kyberturvallisuusstrategian toimeenpanoon panostetaan ja kehittämisohjelmaa päivitetään ja ajantasaistetaan säännöllisesti. Kansallisen näkökulman lisäksi on tärkeää panostaa ja vaikuttaa myös Euroopan unionin ja kansainväliseen kehitykseen. Suomella on hyvät mahdollisuudet profiloitua kokoamme suurempana kyberturvallisuustoimijana ja palveluiden ja ratkaisujen tuottajana. Tämä edellyttää jatkuvaa työtä, riittäviä panostuksia ja painoarvon antamista korkeimmalla poliittisella tasolla. On tärkeää, että ohjelman toteuttamiseen ja ehdotettuihin toimenpiteisiin ohjataan riittävästi rahoitusta. Kehittämisohjelman tavoite kyberturvallisuuden ekosysteemin luomisesta Suomeen on kannatettava ja tähän meillä on kansallisesti kaikki edellytykset. Tärkeä rakennuspalikka on kyberturvallisuuden kasvustrategian laatiminen yhdessä keskeisten toimijoiden ml. elinkeinoelämän ja koulutus- ja tutkimuslaitosten kanssa. Kehittämisohjelmassa on aivan oikein nostettu koulutus ja osaaminen yhdeksi keskeiseksi tekijäksi. Koulutusohjelmien ja -polkujen rinnalle voisi yhdeksi väyläksi nostaa myös oppisopimuskoulutuksen ja harjoitteluohjelmat, joissa voidaan erikoistua ja syventyä nimenomaan kyberturvallisuuteen ja oppimiseen käytännön työn kautta. Ulkomaisten erityisosaajien houkuttelun rinnalle voisi Suomeen houkutella erilaisin kannustimin myös nuorempia kyberturvallisuusalasta kiinnostuneita ja alalla vähemmän aikaa olleita ulkomaisia työntekijöitä. Tiiviiden yhteyksien luominen kansallisiin ja kansainvälisiin huippuosaamiskeskittymiin on tärkeää ja vaatii suunnitelmaa ja panostuksia. Suomi on profiloitunut eri toimialoilla esimerkiksi meriturvallisuudessa, jolloin Suomi voisi erikoistua myös näiden alojen kyberturvallisuuskysymyksiin ja perustaa esimerkiksi meriliikenteen kyberturvallisuuskeskuksen. Suomen tulee myös edelleen tiivistää ja tehostaa vaikuttamista niin Euroopan unionin kuin kansainvälisellä tasolla. Yhdistämällä ja hyödyntämällä laajasti eri toimijoiden verkostoja saamme kansallisesti laajemmat ja tehokkaammat vaikutuskanavat. Tämä edellyttää tiivistä yhteistyötä ja koordinaatiota julkishallinnon ja elinkeinoelämän välillä. Yhteistyön tehostamiseksi olisi hyvä luoda pysyvämpiä rakenteita ja säännönmukaisia foorumeita. Ehdotamme, että perustetaan EU ja eri eurooppalaisissa organisaatioissa, kuten ENISA ja Europol, käsiteltäviin asioihin keskittyvä EU-kyberturvallisuusfoorumi, joka voisi kokoontua 1-2 kertaan vuodessa. Lisäksi olisi hyvä ajoittain käydä läpi myös kansainvälisissä järjestöissä, kuten NATO, YK, ETYJ ja Euroopan neuvosto, käynnissä olevia kyberturvallisuuteen liittyviä asioita. Kyberturvallisuutta koskevassa lainsäädäntötyössä on tärkeää ottaa mukaan riittävää teknologian tuntemusta, jotta ymmärretään ehdotettujen toimien vaikutukset ja toteuttamiskelpoisuus. Suomesta löytyy laajaa ja syvällistä eri teknologioiden osaamista ja asiantuntemusta, jota tulisi hyödyntää aiempaa systemaattisemmin. Suomessa on myös monia kansainvälisestikin tunnettuja kyberturvallisuusalan yhteisöjä ja tapahtumia. On hienoa, että kehittämisohjelmassa tunnistetaan näiden merkitys ja ollaan valmiita panostamaan ja tukemaan taloudellisestikin näiden vapaaehtoisuuteen perustuvien kyberturvayhteisöjen toimintaa. On tärkeää, että kehittämisohjelmassa on otettu tavoitteeksi vahva kotimainen kyberturvateollisuus. Ohjelmassa mainittu kyberturvallisuuden kasvu- ja osaamiskeskuksen perustaminen on tärkeä mahdollistaja. Keskuksen perustamiseksi tulisi varmistaa riittävä rahoitus. Kyberturvallisuusala tarvitsee laajempaa osaamista eri EU-rahoitusvälineistä ja niiden tuomista mahdollisuuksista ja toisaalta tahoa, joka tuntee kansalliset toimijat, kyvykkyydet, tarpeet ja parhaat asiantuntijat. Tarvitsemme sillanrakentajaa ja laajemman ekosysteemin kokoajaa ja kotipesää. Julkiset hankinnat ovat tärkeä tekijä kansallisen kyberturvallisuuden vahvistamiseksi ja toisaalta kyberturvallisuusmarkkinan ja kansainvälistymisen edistämiseksi. Nämä hankinnat edellyttävät kyberturvallisuuden ja teknologioiden tuntemusta ja siksi hankinnoissa tulisi keskittyä pikemminkin yhdessä kartoittamaan ja löytämään kokonaisratkaisuja. Hankintakriteereissä tulisi varsinkin kriittisten järjestelmien kohdalla huomioida myös kansalliset turvallisuusnäkökohdat. Kehittämisohjelmassa viitataan myös kansallisesti kriittisiin kyberturvayhtiöihin ja niiden kansallisten omistusosuuksien turvaamiseen. Tämä lause kaipaa selkeyttämistä. Ulkomaisten yritysostojen seurannasta annettua lakia laajennettiin hiljattain turvallisuusalan yhtiöiden osalta ja laki mahdollistaa puuttumisen kansallisen turvallisuuden kannalta kriittisissä tilanteissa. Soveltamisalaa ei tulisi tästä laajentaa. F-Secure on valmis tuomaan asiantuntemustaan ja osallistuu mielellään kyberturvallisuusstrategian toimeenpanoon ja kehittämisohjelman toteuttamiseen.
      • Halunen Kimmo, Oulun yliopisto / Oulu University Secure Programming Group (OUSPG)
        Päivitetty:
        3.2.2021
        • Lausunto kyberturvallisuusstrategian toimeenpano-ohjelmaan "Ehdotus valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta". Uusi strategia on erinomaisen hyvä ja lähtökohtaisesti hyvä entistä laajemmalla pohjalla valmisteltuna. Strategian lisäksi tämä kehittämisohjelma on tarpeellinen ja siinä kuvataan paljon tärkeitä toimenpiteitä tavoitteiden saavuttamiseksi. Haluamme kuitenkin nostaa esiin muutamia näkökulmia koulutuksesta ja kriittisestä infrastruktuurista. Kyberturvallisuuden koulutus Panostukset koulutukseen ovat hyvä lähtökohta. On erinomaista, että koulutusta katsotaan kaikilla tasoilla peruskoulusta ja esikoulusta lähtien. Laaja-alainen koulutus tukee kansalaisten perustaitoja, parantaa kansallista toimintakykyä, ja antaa hyvän lähtötason luoda kansainvälistä osaamista. Mielestämme huomiota pitäisi keskittää merkittävästi kouluttajien koulutukseen, sillä tämä voi muodostua pullonkaulaksi koulutuksen, erityisesti täydennyskoulutuksen, suhteen. Huoltovarmuudelle kriittisten yrityksen määräksi on arvioitu yli 1500 (https://www.defmin.fi/files/3130/1_Raija_Viljanen_MATINE_seminaari_17_3_2015.pdf), joten jotta jokaisessa yrityksessä olisi edes muutama hiljattain koulutettu asiantuntija, niin vuosittaisen koulutettavien määrä pitäisi olla tuhansia. Näin ollen myös asiantuntevia kouluttajia tulee olla kymmenittäin pelkästään tällä sektorilla. Kriittinen infrastruktuuri Jo mainittu panostus laaja-alaiseen koulutukseen tukee Suomen kriittisen infrastruktuurin kykyä selvitä kriisitilanteista. Ehdotuksessa ei kuitenkaan juurikaan viitata kolikon toiseen puoleen, joka on tietoturvan sisäänrakentaminen kansalliseen infrastruktuuriin. Yksityisten, yritysten ja julkisen tahon käyttämien laitteiden, verkkojen ja järjestelmien laatuun ja tietoturvaan pitää kiinnittää enemmän huomiota. Ehdotus viittaa .fi-domainin sisäänrakennettujen turvallisuusominaisuuksien kehittämiseen. Tämä on toki kannatettava kehityskohde, mutta vain yksi yksityiskohta laajassa teknisessä toimintaympäristössä. Järjestelmien kyberturvallisuuden parantamisen tulee sisältää teknistä ohjeistusta, joista esimerkkinä voidaan mainita Kyberturvallisuuskeskuksen Tonttu-ohjelma (https://www.kyberturvallisuuskeskus.fi/fi/tonttu). Tällaisen ohjeistuksen ja avun tarpeen osoittavat viimeaikaiset Vastaamon ja Eduskunnan tietomurrot. Toisaalta järjestelmien sertifiointia ja niiden riippumatonta tietoturvan arviointia tulisi tukea. Esimerkkeinä ovat Kyberturvallisuuskeskuksen Tietoturvamerkki (https://tietoturvamerkki.fi/) ja tutkimus, jota tehdään eri yliopistoissa ja muissa tutkimuslaitoksissa. Myös monet suomalaiset ja kansainväliset yritykset suorittavat arviointeja, mutta näiden arviointien hinta on korkea ja saatavuus rajoitettua. Julkisia hankintaprosesseja pitäisi kehittää ja julkisen puolen pitäisi lisätä tietoturvavaatimuksia tietojärjestelmien hankintakriteeristöön. Toimittajan tulisi sitoutua järjestelmän tietoturvan jatkuvaan päivitykseen, kun uhista saadaan uutta tietoa vaikkapa ulkopuolisten arviointien seurauksena tai ehdotuksessakin mainittujen "bug bounty"-ohjelmien tuloksena. Ehdotuksessa korostettu yksityisten ja julkisten organisaatioiden yhteistyö ja tietojenvaihto on erittäin kannatettavaa. Tätä voisi vielä täydentää elinkeinoelämän, korkeakoulujen ja valtionhallinnon välisillä henkilöstön vaihto-ohjelmilla. Tämä edesauttaa asiantuntijuuden siirtymistä eri organisaatioiden välillä. Kehitysohjelmassa esitetyt rahalliset panostukset ovat esitettyihin haasteisiin nähden melko vaatimattomia ja painottuvat erityisesti AQUA-statukseen liittyviin toimiin. Myös muut aiheet tarvitsevat riittävät resurssit ja voi olla, että normaalien toimintamenojen puitteissa ei kaikkia tavoitteita ole mahdollista saavuttaa.
      • Opetushallitus
        Päivitetty:
        3.2.2021
        • Opetushallituksen lausunto Opetushallitus kiittää mahdollisuudesta saada lausua tähän asiaan. Periaatepäätös kyberturvallisuuden kehittämisohjelmaksi on hyvin laadittu ja ajankohtainen sekä tarpeellinen. Valitut kehittämiskohteet täyttävät hyvin ohjelmalle asetettuja tavoitteita. Kyberasioiden koulutuksen lisääminen ja laajentaminen on perusteltua yhteiskunnan tullessa yhä enemmän sähköisistä palveluista riippuvaiseksi. Opetushallitus Johtaja Paula Merikko Tietohallintopäällikkö Jyrki Tuohela
      • Suojellaan Lapsia ry
        Päivitetty:
        3.2.2021
        • Lausunto kyberturvallisuuden kehittämisohjelmasta Suojellaan Lapsia ry tukee kyberturvallisuuden kokonaistilan parantamista ja kokee sen tarpeelliseksi. Internetin käytön jatkuvan lisääntymisen vuoksi kyberturvallisuus on yhä olennaisempi osa jokapäiväistä elämää. Suojellaan Lapsia ry katsookin, että kyberympäristöön liittyvät riskit tulee huomioida paremmin ja niistä tulisi kouluttaa niin lapsia, nuoria, kuin aikuisiakin. Suojellaan Lapsia ry:n ensisijainen tavoite on Yhdistyneiden Kansakuntien Lapsen Oikeuksien Sopimuksen (UNCRC, Art. 34) mukaan suojella lapsia kaikelta seksuaaliselta häirinnältä, houkuttelulta ja seksuaaliväkivallalta. Lapsiin kohdistuva verkkovälitteinen seksuaaliväkivalta on globaali sosiaalinen ongelma, jolle yksikään maa ei ole immuuni. Internetin yhä merkittävämpi vaikutus elämäämme, sen laajalle levinneisyys yhdistettynä teknologiseen laitekehitykseen on kiihdyttänyt seksuaaliväkivaltaa lapsia kohtaan. Verkkovälitteinen lapsiin kohdistuva seksuaaliväkivalta ja riisto ovat piilorikollisuutta. Tilastotietojen valossa voidaan osin arvioida ongelman laajuutta: Interpolin International Child Sexual Exploitation (ICSE) tietokannassa [1] on 1,5 miljoonaa lapseen kohdistuvaa seksuaalirikosta [2] todistavaa kuvaa ja videota, joissa uhreja on yli 19 400. Yhä useamman maan pääsy internetiin helpottuu, eivätkä nämä rikokset pysähdy valtioiden välisille rajoille. Kybertuvallisuuden kokonaisvaltainen kehittäminen ja vahvistaminen ennaltaehkäisee myös lapsiin kohdistuvia seksuaalirikoksia. Kybervaarojen ennaltaehkäisy vaatii monitoimijaista työtä. Päätavoitteena on tunnistaa, estää ja poistaa riskitekijöitä- sekä tilanteita, jotka mahdollistavat digitaaliseen mediaan liittyviä riskejä. Kansalaisten osallisuus ennaltaehkäisevässä työssä on merkityksellistä ja se tulee toteuttaa laajassa yhteistyössä muun muassa yhdessä oppilaitosten, palveluntarjoajien, ohjelmistokehittäjien, sosiaalisen median, tutkijoiden, juristien, poliisin, sosiaalipalveluiden sekä muiden lasten kanssa työskentelevien ammattilaisten kanssa. Jokaisella kansalaisella mutta erityisesti lapsilla on oikeus saada ikä- ja kehitystason mukaista tietoa, turvataitoja ja opastusta sekä seksuaalikasvatusta myös digitaalinen media huomioiden. Suojellaan Lapsia ry tukee ehdotusta kehittää kyberturvallisuuden koulutusta kaikenikäisille lapsille ja nuorille. Lasten, nuorten ja aikuistenkin, voi olla usein vaikea huomata vaarallisia tai uhkaavia tilanteita verkkoympäristössä. Lapsia, nuoria ja aikuisia tulisi kouluttaa internetin erinäisistä vaaroista, muun muassa identiteettivarkauksista, houkuttelusta, ja lapsiin kohdistuvasta seksuaaliväkivallasta. Suojellaan Lapsia ry katsoo, että verkkovälitteisestä seksuaaliväkivallasta ja sen eri muodoista tulisi puhua niin lapsille, nuorille kuin aikuisillekin. Suojellaan Lapsia ry uskoo myös, että kyberturvallisuuden kehittämiseksi on tärkeää, että kaikenikäisille kehitetään opetusmateriaalia, jota hyödyntämällä voidaan paremmin havainnollistaa verkon vaaroja ja kyberrikollisuuden eri muotoja ja ilmiöitä. Suojellaan Lapsia ry katsoo, että kyberturvallisuuden vahvistamisessa on viranomaistyöllä merkittävä rooli erityisesti kansalaisten verkkoturvallisuuden tunteen edistämisessä. Viime aikoina julkisuuteen nousseisiin tapauksiin viitaten, Suojellaan Lapsia ry haluaa korostaa, että kyberturvallisuuden kouluttamisessa muistetaan myös se, ettei oikeutta voi internetissäkään ottaa omiin käsiin. Suojellaan Lapsia ry pitää äärimmäisen tärkeänä, että lapset, nuoret ja aikuiset ovat tietoisia, että “houkuttelemalla” ja “metsästämällä” mahdollisia rikollisia internetissä, he voivat itse syyllistyä rikokseen tai ainakin häiritä ja vaikeuttaa rikosten tutkintaa ja oikeuden toteutumista. Tuemmekin vahvasti tietoisuuden ja resurssien lisäämistä koko rikosoikeudelliseen prosessissa. Tuemme toimijoiden (kuten poliisin) toimintamahdollisuuksien laajentamista potentiaalisten tekijöiden tunnistamiseen. Kannustamme avointa ja julkista tiedottamista siitä, miten rikoksentekijät saadaan kiinni ja vastaamaan teoistaan oikeuden eteen. Suojellaan Lapsia ry katsoo, että EU Direktiivin 2016/1148 artikla 1 mukaisesti kyberturvallisuuden kehittäminen on ensisijaista yhteiskunnan hyvinvoinnin edistämisessä yhä digitalisoituvassa arjessa. Suojellaan Lapsia ry vahvistaa kyberturvallisuutta edistämällä erityisesti lasten digiturvataitoja. Lasten, vanhempien ja kasvatusammattilaisten yhteistyöllä luomme ja kasvatamme digikansalaisia, joilla on vahva osaaminen, luottamus ja kyky toimia ja liikkua turvallisesti myös digiliikenteessä. Suojellaan Lapsia ry katsoo, että kyberturvallisuuden vahvistamiseksi tarvitaan myös jatkuvaa lainsäädännön tarkastelua ja kehittämistä. Suojellaan Lapsia ry katsoo, että muun muassa raakaa väkivaltaa sisältävien digitaalisten kuvatallenteiden hallussapito, jakaminen ja levittäminen tulisi kriminalisoida. [1] International Child Sexual Exploitation (ICSE) image and video database is an intelligence and investigative tool, which allows specialized investigators to share data on cases of child sexual abuse [2] International Child Sexual Exploitation (ICSE) image and video database is an intelligence and investigative tool, which allows specialized investigators to share data on cases of child sexual abuse
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        3.2.2021
        • CSC kiittää liikenne- ja viestintäministeriötä mahdollisuudesta antaa lausunto ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta. CSC – Tieteen tietotekniikan keskus Oy on Suomen valtion ja korkeakoulujen omistama erityistehtäväyhtiö. Palvelemme laajasti koko yhteiskuntaa tuottamalla teknologiapalveluja ja -ratkaisuja TKI-toiminnalle, koulutukselle, kulttuurille ja julkishallinnolle. Kyberturvallisuus ymmärretään usein yhteiskunnan digitaalisten osien, erityisesti tietojärjestelmien varassa toimivan infrastruktuurin, turvallisuuteena ja toimintavarmuutena. Nykyisin kyberturvallisuus ymmärretään myös tietoturvallisuuden osana, joka koskee erilaisia verkkojen kautta tehtäviä hyökkäyksiä, tietomurtoja ja vastaavia. Tietoturva puolestaan sisältää käsitteenä myös tietojen ja palveluiden suojaamisen riskeiltä. Kyberturvallisuudesta puhutaan nykyisin myös muussa kuin valtiollisessa kontekstissa, esimerkiksi yritysten kyberturvasta. Raja kyberturvallisuuden ja tietoturvallisuuden välillä on usein häilyvä varsinkin arki- ja uutiskielessä, siksi termien käyttöä olisi hyvä täsmentää ehdotuksessa. CSC katsoo, että lausunnon kohteena oleva kyberturvallisuuden kehittämisohjelma on nopeasta aikataulusta huolimatta kattavasti valmisteltu. Ohjelman toteutuminen, vastuutahot ja toteutumisen mittarit on määritelty jo tässä vaiheessa, mikä helpottaa ohjelman toimeenpanoa ja organisaatioiden ennakointia. On järkevää, että kehittämiselle on määritelty sekä lyhyen että pitkän aikavälin tavoitteita ja painopistealueita. Hankkeisiin esitetty erillinen rahoitus on kuitenkin hyvin vaatimaton. On tärkeää huomioida, että kyberturvallisuuden merkittävä kehittäminen edellyttää merkittävää rahoitusta, CSC arvostaa, että kehittämisohjelman valmistelussa on kuultu laaja-alaisesti eri organisaatiota. CSC haluaa myös jatkuvasti omalta osaltaan tukea Suomen kyberturvallisuuden vahvistamista. Ehdotuksessa on kuvattu, miten kyberturvallisuuden kehittämisohjelma suhtautuu, Haukka-toimeenpanosuunnitelman sekä Digitaalinen Turvallisuus 2030 -hankkeeseen. CSC pitää tärkeänä varmistaa aktiivisesti, että yllä mainittujen toimintojen välinen työnjako ja keskinäinen tiedonsiirto on saumatonta. Aiempien kokemusten perusteella on vaarana, että erilaiset kyber- ja tietoturvahankkeet ja ohjelmat siiloutuvat, jolloin niiden tuottamat ohjeet ovat huonosti yhteensopivia tai jopa ristiriitaisia. CSC katsoo, että kehittämisohjelman teemat on erinomaisesti kiteytetty, mutta muistuttaa, että huippuluokan osaamisen saavuttaminen edellyttää myös merkittäviä panostuksia osaamisen kehittämiseen. Kansainvälisessä kilpailussa, jossa suurvallat panostavat miljardeja, EU on kokonaisuudessaankin pienempi toimija, yksittäisestä maasta puhumattakaan. Ehdotus kannustaa työnantajia ja oppilaitoksia yhä tiiviimpään yhteistyöhön työharjoittelujaksojen lisäämisessä on erinomainen, mutta vaatii vielä konkreettisempia toimenpiteitä esimerkiksi erillisen käytännön hankkeen muodossa. Myös kansallisten kyber- ja tietoturvallisuuden osaamissertifiointien käyttöönottoa eri kohderyhmien osalta tulee harkita. Kyberturvallisuuden avaintehtävissä oleviltahenkilöiltä tulee edellyttää kansainvälisiä johtamiseen ja tekniseen tietoturvaan liittyviä osaamissertifiointeja (esim. CISSP, CISSP, GCED) sekä osaamisen jatkuvaa kehittämistä. Myös KATAKRI-kriteeristön vaati musten toteuttamiseen liittyvää varmistettua osaamista tulee laajentaa merkittävästi. Kiinteän yhteistyön osalta ehdotuksessa esitetään kannatettavia toimenpiteitä. CSC:n mielestä olisi hyödyllistä myös lisätä konkreettista yhteistyötä elinkeinoelämän kanssa. Korkeakoulujen kanssa tehtävään yhteistyöhön tulee löytää tiiviimpiä järjestelyitä erilaisten yhteistyöryhmien lisäksi. Tiedon jakamista ja soveltamista käytäntöön on lisättävä niin organisaatioiden välillä kuin niiden sisällä. CSC:n katsoo, että tavoitteet kotimaisen kyberteollisuuden vahvistamiseksi on hyvin kiteytetty, mutta jää epäselväksi, onko tavoitteita mahdollista toteuttaa normaalien toimintamenojen puitteissa. Kunnianhimoisten tavoitteiden saavuttaminen edellyttää asianmukaista resursointia. Kansalliset kyberkyvykkyydet on tunnistettu osuvasti. Niiden vahvistamisen osalta ohjelma ei kuitenkaan vastaa kysymykseen, miten harmonisoidaan huoltovarmuuskriittisten sektoreiden ja -yritysten kyberturvavaatimuksia yhteisen turvallisuustason määrittelemiseksi ei-luokitellun tiedon osalta. CSC:n mielestä on syytä määritellä nykyisiä KATAKRI-kriteeristöä joustavammat kriteerit ”harkiten annettavalle”, sillä muutoin kyseisen tiedon suojausvaatimukset jäävät epäselviksi. Asiaa voisi täsmentää esimerkiksi liitteen kohdassa 10. Ohjelman seurannan ja raportoinnin tulisi sisältää itse ohjelman seurannan lisäksi seurantaa myös toteutetuista turvallisuusarvioinneista ja -sertifioinneista. Nimipalvelun turvallisuusominaisuuksien nykyistä laajempi ja kattavampi hyödyntäminen on erittäin kannatettava toimenpide. Ehdotuksessa voisi myös mainita muita konkreettisia toimenpiteitä, joilla olisi huomattava vaikutus, kuten turvallisuusselvitysten teettämiseen liittyvän ohjeistusten selkiyttäminen edelleen selvitystä tekevien organisaatioiden osalta, turvallisuussopimusten merkittävä uudistaminen ja virtaviivaistaminen, sekä haavoittuvuuskartoitusten säännöllinen ja kattava seuranta. Kehittämisohjelmaehdotuksessa on hyvin kuvattu kyberturvallisuuden nykytila ja kehittämistarpeet toteuttamissuunnitelmineen. Teknologian kehityksen vuoksi kyberturvallisuuden haasteet muuttuvat koko ajan. Uusiin riskeihin tulee pyrkiä varautumaan proaktiivisesti ennakoiden. Riskien lisäksi tulevaisuus ja teknologinen kehitys tuo mukanaan myös paljon mahdollisuuksia. Kehitysohjelman tavoitteellisuutta tuleekin mahdollisuuksien mukaan täydentää lisäämällä siihen osuus kyberturvallisuuden tulevaisuudennäkymistä. Uudet teknologiat ja toimintaympäristöt, kuten kriittisen tiedon siirtyminen kansainvälisiin pilvipalveluihin, tuovat mukanaan uusia uhkia, ja toisaalta mahdollistavat haavoittuvuuksien löytymisen odottamattomista paikoista. Esimerkiksi kvanttiteknologia tulee muuttamaan vaatimuksia tietoturvalle. Kvanttiturvallisia salausmenetelmiä on jo kehitetty, toisaalta jotkin nykyiset salausmenetelmät ovat purettavissa kvanttitietokoneilla. Suomessa on hyvät mahdollisuudet panostaa kvanttiteknologiaan ja muodostaa alan osaamiskeskittymä yhdessä yritysten, tutkimuslaitosten ja korkeakoulujen kanssa. Kvanttiteknologian tuomat mahdollisuudet ja toisaalta myös uhat tulee tarkemmin huomioida myös käsillä olevassa kyberturvallisuuden kehittämisohjelmassa. Uudet teknologiat tulevat myös muuttamaan tietoturvauhkia niin valtioiden, yritysten kuin kansalaisten näkökulmasta. Jo nyt esimerkiksi deepfake-tyyppiset videohuijaukset murentavat median luotettavuutta. Laskentatehojen ja tekoälyn kehittyessä niitä tullaan käyttämään entistä enemmän myös vilpillisiin tarkoituksiin. Tällaisten uhkien torjuminen vaatii tietoturvavalmiuksien tai kyberlukutaidon parantamista niin yksilön kuin organisaatioiden tasolla. On koko ajan yhä tärkeämpää, että tietoturvallisuustaitoja opetetaan, mutta on tärkeää myös tutkia, miten taitoja voidaan ja osataan soveltaa käytäntöön monien muidenkin vaatimusten ristipaineessa. Esimerkkinä suomalaisesta osaamisesta ja mahdollisuuksista tekoälytutkimuksessa on Kajaaniin sijoitettava, maailman tehokkaimpiin kuuluva supertietokone LUMI, joka tulee olemaan yksi maailman edistyksellisimmistä alustoista tekoälylle. LUMI mahdollistaa tekoälyn menetelmien, erityisesti syväoppimisen, perinteisten laajan skaalan simulaatioiden sekä suurten datamassojen analytiikan yhdistymisen saman haasteen ratkaisemisessa. Panostaminen kvanttiteknologian ja muiden uusien teknologioiden tutkimukseen, kehitykseen ja koulutukseen vahvistaisi Suomen asemaa maailmanluokan toimijana tietoturvan ja kyberturvallisuuden alalla. Tähän on erinomaiset edellytykset muun muassa LUMI-supertietokoneen sekä käynnissä olevien kvanttiteknogiahankkeiden avulla, joiden ympärille on mahdollista rakentaa erilaisia osaamiskeskittymiä ja ekosysteemejä. CSC tukee ja kannattaa niin kansallista kuin kansainvälistä yhteistyötä kyberturvallisuuden alalla kaikkien luotettavien toimijoiden kanssa. Kyberturvallisuutta koskevaa tutkimusta kannattaa resursoida korkeakouluihin, tutkimuslaitoksiin ja yrityksiin. Erilaiset verkostot kannattaa myös pitää mukana keskusteluissa, hyvänä esimerkkinä Suomen aloitteesta perustettu ja Suomessa toimiva Hybridiuhkien osaamiskeskus. Myös kyberturvallisuuteen liittyvää tutkimustietoa tulee seurata ja hyödyntää kattavammin.
      • Helsingin yliopisto
        Päivitetty:
        3.2.2021
        • Helsingin yliopiston lausunto Kyberturvallisuuden kehittämisohjelmasta Helsingin yliopisto kiittää mahdollisuudesta lausua Kyberturvallisuuden kehittämisohjelmasta. Ehdotus valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta sisältää ajankohtaisia ja tärkeitä suuntaviivoja ja toimenpiteitä kyberturvallisuuden kokonaisvaltaiseen ja pitkäjänteiseen kehittämiseen. Huippuluokan kansallisen osaamisen syntymisen ja ylläpitämisen edistäminen on esityksen kantavia teemoja, ja Helsingin yliopisto pitää sitä erittäin kannatettavana asiana. Osaamisen lisäksi kolme muuta keskeistä kansallisen kyberturvallisuuden ekosysteemin aluetta ovat kiinteä yhteistyö, vahva kotimainen kyberteollisuus sekä tehokkaat kansalliset kyberturvakyvykkyydet. Nämä neljä teemaa muodostavat ekosysteemin, jossa eri alojen ja sektorien vahvuudet tukevat toisiaan. Ehdotuksen toimenpiteet ovat tärkeitä ekosysteemin kehittämiselle, mutta osin ne on määritelty korkealla tasolla. Tarvitaan suunnittelutyötä ja tarkennuksia konkretian lisäämiseksi. Huippuluokan osaaminen Osaamisen ja tarpeiden tunnistaminen sekä osaamisen kehittäminen on ehdotuksessa määritelty hyvin korkealla tasolla. Ehdotuksessa ei käsitellä konkreettisia toimenpiteitä osaamisen kehittämiseen ja jatkuvaan oppimiseen. Helsingin yliopisto pitää mahdollisina toimina yksittäisen substanssialueen osaajien kouluttamista kyberturvaosaajiksi ja avointen verkkokurssien hyödyntämistä sekä osaajien kouluttamisessa että kansallisen osaamispohjan kehittämisessä. Helsingin yliopisto on yhdessä F-Securen kanssa kehittänyt MOOC-verkkokurssin Cyber Security Base, joka tarjoaa 10 opintopisteen koulutuksen tietoturvatehtäviin. On tarvetta varmistaa kyberturva-alalle riittävä professorien ja tutkijakoulutettavien määrä — nykyisessä tilanteessa aihepiirin tutkimusta tehdään useassa yliopistossa, mutta resursseja on kaiken kaikkiaan vähän. Helsingin yliopiston ja Aalto-yliopiston yhteistyönä on syntynyt Helsinki-Aalto Institute for Cybersecurity, joka toimii tutkimuksen, koulutuksen ja yleisen kybertietoisuuden edistäjänä pääkaupunkiseudulla. Yhteiskunta- ja käyttäytymistieteellinen tietoperusta tulee myös huomioida kyberturvallisuuden tutkimuksessa, opetuksessa ja osaamisen kehittämisessä. Kyberturvallisuus osana rikoksentorjuntaa tulisi sisältyä kriminologian opetukseen ja tutkimukseen. Kriminologia sisältää myös seuraamusjärjestelmän ja kriminaalipolitiikan roolin kyberturvallisuuden keinovalikoimassa. Kiinteä yhteistyö Helsingin yliopisto näkee kansallisen verkostomaisen toiminnan kehittämisen erittäin positiivisena asiana. Nykyisenä etäyhteyksien aikana kansallinen virtuaalinen osaamiskeskus vaikuttaa mahdolliselta tavalta rakentaa akateemista kyberturva-alueen toimintaa synergioiden varaan. Osaamiseen liittyy olennaisesti käytössä oleva opetus- ja tutkimusinfrastruktuuri, jonka osalta on tarve kehittää suorituskykyjä ja joiltain osin myös yhdistää infrastruktuurin osia. Yhteiset kyberharjoitusympäristöt ovat hyödyllisiä monestakin syystä. Resurssien tehokkaan käytön lisäksi samassa ympäristössä harjoitteleminen kannustaa erityyppisiä toimijoita yhteistyöhön. On siksi hyvä varmistaa, että tällaisiin harjoitusympäristöihin on pääsy myös alan tutkijoilla ja koulutettavilla. Helsingin yliopisto pitää kehitettäviä yhteyksiä EU:n osaamiskeskittymiin erityisessä arvossa. Yliopiston olemassa olevia yhteyksiä eurooppalaisiin huippuyliopistoihin voidaan hyödyntää tämän tavoitteen saavuttamiseksi. Vahva kotimainen kyberturvateollisuus Yliopistoilla on tärkeä rooli uusien innovaatioiden luonnissa ja uusien startup-vaiheen yritysten syntymisessä. On tärkeää luoda mahdollisuuksia tohtorikoulutettavien ja maisterivaiheen opiskelijoiden yhteyksille alan yrityksiin ja muihin toimijoihin. Jatko-opiskelijoille voitaisiin luoda opintojen osaksi harjoitusjakso yrityksessä tai julkishallinnossa. Tällaisen jakson tavoitteena olisi luoda edellytyksiä innovaatioiden luomiseksi sekä tieteellisten tulosten soveltaminen käytännön tilanteissa. Tehokkaat kansalliset kyberturvakyvykkyydet Kyberturvallisuusosaamisen ja kyberrikollisuuden torjunnan toimien ja ohjelmien vaikuttavuus kansalaisten turvallisuuteen voidaan todeta vain, mikäli käytettävissä on kansalaisten ja yritysten rikosuhrikokemuksia mittaavia kokonaisturvallisuuden osoittimia. Näillä osoittimilla voidaan seurata mm. kyberturvallisuuden kehitystä, turvallisuustilanteen muutosta ja politiikkaohjelmien vaikuttavuutta. Yritysuhritutkimusten (YUT) muodostamaa tutkimuslinjaa tulee jatkaa ja vahvista niissä jo olevaa kyberturvallisuuden dimensiota. Kyberturvallisuustutkimus ja -opetus tulee integroida laajempaan kriminologiseen yritysturvallisuuden viitekehykseen. Kansallisen rikosuhritutkimuksen (KRT) yhteydessä tarkasteltiin 2018 ensimmäistä kertaa yksityiskohtaisemmin suomalaisten kyberrikosten uhrikokemuksia väestötasolla. Tämän tyyppinen seuranta tulee turvata jatkossakin. Kansallisissa ja kansainvälisissä nuorisorikollisuustutkimuksissa (NRK, ISRD) kerätään tietoa perinteisen rikollisuuden lisäksi myös verkossa tapahtuneista uhrikokemuksista; nämä muodostavat keskeisen väestötason tietolähteen uhrikokemuksista myös tekonäkökulmasta. Kriminologisen rekisteritutkimuksen anti tulee huomioida kyberturvallisuuden tutkimuksessa ja opetuksessa, ja viranomaisrekisterien sekä yksityissektorin rekisteriresurssien tutkimuskäyttöä tulee tehostaa. Jälkimmäinen edellyttää lisääntyvää yhteistyötä elinkeinoelämän toimijoiden ja yliopistojen välillä yhteiskunta- ja käyttäytymistieteitä hyödyntäen. Kriminologian lisäksi Helsingin yliopistolla on vuosien kokemus kryptologian tutkimuksessa ja salausteknologioiden soveltamisessa. Tätä osaamista voidaan hyödyntää tukemaan AQUA-statuksen saavuttamista.
      • Ulkoministeriö, Tietohallinto, Uusikartano Ari
        Päivitetty:
        3.2.2021
        • Ulkoministeriö kiittää mahdollisuudesta lausua kyberturvallisuuden kehittämisohjelman toimeenpanosuunnitelma. Ministeriö on osaltaan osallistunut suunnitelman valmisteluun. Yhteiskunnan toimintojen ja palvelujen digitalisaation myötä on erittäin tärkeää, että vastaavalla tavalla kun panostetaan tähän uudistustyöhön, suunnataan resursseja riittävässä määrin myös digitalisoidun kokonaisuuden turvaamiseen. On erinomainen asia, että kyberturvallisuuden kehittämiseen panostetaan tunnistettujen painopistealueiden pohjalta ja toimintamalli ollaan kehittämisohjelman muodossa viemässä valtioneuvoston linjattavaksi. Liikenne- ja viestintäministeriölle on kirjattu koordinointivastuu kehittämisohjelman toimeenpanosta, seurannasta ja raportoinnista. Suunnitelmaan on kirjattu eri toiminta-alueiden toimenpiteitä, ja jokaiselle teemalle tai toimenpiteelle on kirjattu oma vastuutahonsa. Luettelon pohjalta korostuu yhteiskunnan kyberturvallisuuden kannalta keskeinen haaste. Pelkästään yksittäisen toimenpiteen vastuu voi olla kuvatusti hajautuneena jopa kuudelle eri ministeriölle tai organisaatiolle. Tämä kuvastaa sitä haastetta, että kansallisesti yhteneväisten ohjausten ja mallien rakentaminen on haastavaa. Erityisesti kyberturvallisuuteen liittyvään johtamiseen, tiedonvaihtoon ja tilannekuvaan olisi siten panostettava. Selvityksen liitteessä kolme on listattu eri strategioita ja ohjelmia, jotka on huomioitu kehittämisohjelmaa luotaessa. On tärkeää huomioida eri ohjelmien ja hankkeiden välinen vuorovaikutus ja suunniteltujen toimenpiteiden integrointi toisiinsa. Kansallisella tasolla on käynnissä runsaasti aiheeseen liittyvää kehittämistä eri tahoilla. Kehitystavoitteet on syytä kytkeä tiiviisti toisiinsa niitä keskitetysti koordinoiden päällekkäisen työn välttämiseksi. Kirjattujen toimenpiteiden osalta olisi hyvä tehdä tarkempaa analyysiä siitä, mitkä niistä on järkevää toteuttaa virkatyönä ja toisaalta mitkä edellyttävät projektiluontoista lähestymistapaa. On mietittävä kehitystyön elinkaarta, eli kuinka tehtyjen toimenpiteiden tulokset siirtyvät aikanaan toiminnan omistajille ja miten kehitystyötä jatketaan tulevaisuudessa. Tälläkään sektorilla mikään asia harvoin on lopullisesti valmis. On tärkeä kiinnittää huomiota asetettujen tavoitteiden saavuttamisen mitattavuuteen; monille toimenpiteille on kirjattu määrällinen tavoite sen toteutumisesta, joka ei kerro varsinaisesti toteutuksen laadusta. Kvantitatiivisuuden ohella kvalitatiivisuus on tärkeä mittari kyberturvallisuuden kehittämisessä. Toimenpiteiden vaatimukset ja niiden mittaaminen ovat myös keskenään osittain hyvin eritasoisia. Edelleen osa kaavailluista toimenpiteistä on jossain määrin epämääräisesti kirjattu. Aikataulujen osalta mainitaan, että ne selvitetään ja kustannuksien osalta todetaan niiden sisältyvän normaaleihin toimintamenoihin. Alustavatkin arviot olisivat kuitenkin paikallaan, jotta toteuttamiseen tarvittavat satsaukset kyettäisiin määrittämään. Em. kirjaukset korostuvat erityisesti huippuluokan osaamisen liittyvän otsikoinnin alla ja asia on mainittu eri tasojen opetussuunnitelmien päivityksen yhteydessä. On huomioitava, että mikäli kyberturvallisuutta halutaan tuoda nykyistä laajemmin eritasoiseen opetukseen, se edellyttää merkittävää resursointia pelkästään opetushenkilöstön ammattitaidon ja osaamisen kasvattamiseksi. Ulkoministeriön näkökulmasta toimeenpano-ohjelmassa on hyvällä tavalla huomioitu kybertoiminnan kansainvälisyys ja yhteistyön tarvetta ja vaikuttavuuden hakemista sitäkin kautta korotetaan lukuisissa toimenpiteissä. Vaikka kyseessä on kansallinen kehittämisohjelma, kansallista kyvykkyyttä ja korkeaa osaamista ei saavuteta kybertoiminnassa ilman kansainvälistä yhteistyötä. Edelleen elinvoimaista kansallista kyberturvallisuuteen liittyvää yritystoimintaa ei ole mahdollista ylläpitää ilman mahdollisuuksia laajaan kansainväliseen liiketoimintaan, jonka harjoittamisen edellytykset esim. AQUA-statuksen myötä paranisivat merkittävästi.
      • Suomen Erillisverkot Oy, Haikarainen Ara
        Päivitetty:
        3.2.2021
        • Periaatepäätös kyberturvallisuuden kehittämisohjelmasta liitteineen ja tavoitteineen on hyvä ja kannatettava kokonaisuus Suomen kyberturvallisuuden kehittämiseksi. Kehittämisohjelma noudattelee kansallisen kyberturvallisuusstrategian linjauksia. Kehitysohjelman toimeenpanoon tulee kiinnittää erityistä huomiota, jotta ohjelmassa esitetyt toimenpiteet saadaan konkreettisesti eteenpäin ja jalkautettua arkeen käytännön toiminnaksi. Kehittämisohjelmassa nostetaan esille kyberturvallisuuden osaamisen kehittäminen ja kiinteä yhteistyö. Suomen kokoisessa maassa kyberturvallisuuden resurssit ovat jo lähtökohtaisesti rajalliset eikä Suomi välttämättä pysty kilpailemaan muiden maiden kanssa alan huippuosaajista. Kansalliseen koulutukseen tulisi kiinnittää huomioita pitkäjänteisesti. Lisäksi kansallisten osaajien hyödyntämisessä, samoin kuin kansallisessa ja kansainvälisessä yhteistyössä, tulee jatkossakin toimia aktiivisesti viranomaisten ja yksityisten toimijoiden kesken (toiminnallisen kyberturvallisuuden ekosysteemin luominen ja kyberteollisuuden hyödyntäminen viranomaistoiminnassa). Mahdolliset lainsäädännön esteet esimerkiksi tarkoituksenmukaiselle tiedonvaihdolle viranomaisen ja yksityisen tahon välillä tulisi poistaa ja tiedon luottamuksellisuus tulisi turvata muilla tavoin tilanteessa, jossa luottamuksellista tietoa on luovutettava tapauskohtaisesti. Kehittämisohjelmassa esitetyt kehittämistoimenpiteet ovat kannatettavia. Esimerkiksi kotimaisten kyberturvatuotteiden ja -palveluiden kasvun ja kansainvälistymisen tukeminen on Suomen kannalta tärkeää. Suomen kannalta kriittisten kyberturvatuotteiden ja -palveluiden pysyminen Suomessa tai suomalaisessa määräysvallassa tulisi kuitenkin arvioida ja turvata jo tuotekehitysvaiheessa. Ulkomaalaisten yritysostosta annetun lain mukaisiin tilanteisiin tulisi siten varautua jo ennakolta erityisesti tilanteissa, joissa tuotekehitystä tuetaan yhteiskunnan rahoituksella tai muuten viranomaisten tukemana.
      • Ulkoministeriö
        Päivitetty:
        3.2.2021
        • ULKOMINISTERIÖN LAUSUNTO KYBERTURVALLISUUDEN KEHITTÄMISOHJELMASTA Ulkoministeriö kiittää mahdollisuudesta antaa lausunto kyberturvallisuuden kehittämisohjelmasta. Ohjelma on hyvin ajankohtainen ja tuo yhteen olennaisia Suomen kyberturvallisuutta käsitteleviä teemoja. Ulkoministeriö pyrkii Suomen kyberturvallisuuden parantamiseen erityisesti kyberturvallisuuden kansainvälisen ulottuvuuden kautta. Ministeriön panoksessa kehitysohjelman laadinnassa on korostunut valtiotoimijoiden merkitys Suomen kyberturvallisuuden kannalta sekä kansainvälinen yhteistyö. Ministeriön yleisenä näkemyksenä on, että nämä teemat eivät tule riittävästi esille nykyisessä luonnoksessa. Ulkoministeriö katsookin, että suunnitelmassa tulisi nostaa paremmin esille kansalliseen turvallisuuteen liittyviä kysymyksiä ja toimeenpanossa tulisi keskittyä näihin haasteisiin sekä edistämään kansallista strategista ja operatiivista johtajuutta. Luonnoksessa on ansiokkaasti hahmoteltu Suomen kyberturvallisuus ekosysteeminä ja pohdittu ekosysteemin vahvistamista. Esitetyt toimet tukevat ekosysteemin kehitystä erityisesti osaamisen lisäämisen ja kotimaisen teollisuuden vahvistamisen kautta. Ulkoministeriö pitää esitettyjä toimia osuvina ja katsoo niillä voitavan tukea ekosysteemin kehitystä. Ministeriö ja edustustot ovat valmiita tehostamaan suomalaisen teollisuuden kansainvälistymisen tukemista ja etsimään siihen käytännön keinoja Business Finland kanssa. Toisaalta luonnoksen ekosysteemiä korostava näkökulma rajoittaa luonnoksen käsittelemään vain osaa kyberturvallisuuden liittyvistä kysymyksistä. Kapea näkökulma korostuu, kun luonnosta lukee rinnakkain joulukuussa 2020 EU:n komission ja EUH:n antaman kyberturvallisuusstrategian kanssa: toimeenpanosuunnitelma käsittelee ehkä noin puolta teemoista, joita käsitellään EU-tasolla. Ulkoministeriö pitää ongelmallisena, että Suomen kyberturvallisuus hahmotetaan eri tavalla kuin EU:ssa ja sitä kehitetään vain osittain. Ministeriön näkemyksen mukaan EU:n strategia ja siihen liittyvät päätelmät tulisi huomioida Suomen kehitysohjelmassa. Suomen kyberturvallisuusstrategian tulisi olla paremmin yhteensopiva EU:n strategian kanssa. Luonnoksessa otetaan kansainvälinen yhteistoiminta varsin hyvin esille. Ulkoministeriön näkemyksen mukaan kansainvälinen yhteistyö tulisi olla läpileikkaavasti esillä kaikilla osa-alueilla. Esimerkiksi luonnokseen kirjattu harjoitustoiminnan kehittäminen tulisi tapahtua vahvasti kansainvälisessä kontekstissa. Luonnoksessa ei juuri käsitellä Suomen Kyberturvallisuusstrategian (2019) kolmanneksi kehittämistavoitteeksi nostettua kyberturvallisuuden johtamisen ja kansallisen koordinaation kehittämistä. Teeman merkitys on ministeriön näkökulmasta kasvanut valtioihin liitettyjen pahantahtoisten kybertoimien lisääntyessä. Suomella on tarve vahvistaa ja edelleen kehittää valtionhallinnon koordinaatiota oikean tilannekuvan ja toimintavalmiuden varmistamiseksi. Ulkoministeriön näkemyksen mukaan näitä teemoja, ml. mahdollisia lainsäädännöllisiä muutoksia, tulisi käsitellä toimeenpanosuunnitelmassa. Kansallisen kyberturvallisuuden johtamisen ja koordinaation tehostaminen on erityisen ajankohtaista, kun nykyisen kyberturvallisuusjohtajan tehtävän rahoitus on päättymässä tämän vuoden lopussa. Ulkoministeriön näkemyksen mukaan esitettyjen toimenpiteiden osalta riittävä ja ennakoitava resursointi on olennaisen tärkeää.
      • Valtioneuvoston kanslia
        Päivitetty:
        3.2.2021
        • Valtioneuvoston kanslian lausunto liittyen ehdotukseen valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Valtioneuvoston kanslia kiittää mahdollisuudesta saada lausua tähän asiaan. Kyberturvallisuus nähdään tärkeänä asiana ja keskeisenä kehittämiskohteena sekä VNK:ssa että VNK:n vastuulla olevien valtio-omisteisten yhtiöiden riskinarvioinnissa samoin kuin osana ICT-toimintojen kehittämistyötä. Valtioneuvoston kanslia pitää hyvänä kyberturvallisuustietoisuuden ja –opetuksen tuomista osaksi kaikkia koulutusasteita. Kyberturvallisuusosaaminen on näkemyksemme mukaan jatkossa osa koulusivistystä. Tähän liittyy olennaisesti lähdekritiikin ymmärtäminen sekä tekstin ymmärtämisen taito. Kansalaisten kyberturvallisuusosaamiseen liittyviä asioita tulee viestiä monikanavaisesti ja niitä tulee kohdentaa myös erilaisista toiminnallisista rajoitteista kärsiville ryhmille. Ehdotamme, että kansalaisten kyberturvallisuusosaamisen arviointi otetaan osaksi kansallista kyberturvallisuusmittaristoa. Valtioneuvoston kanslian roolille kaikkien ministeriöiden yhteisen tietoturvallisuuden ohjaajana ja yhteensovittajana tulisi antaa periaatepäätöksessä painoarvoa. VNK:n lakisääteistä roolia ministeriöiden tietoturvallisuuden kehittämiseen liittyvissä toimenpidekohdissa tulisi myös hyödyntää. Ministeriöiden pitäisi ohjata hallinnonalojensa virastojen tietoturvallisuutta tiiviimmin sekä budjettikeinoin että tulostavoitteiden muodossa. Hallinnonalojen tulisi mitata yhdenmukaisesti tietoturvallisuutensa tasoa, raportoida siitä ministeriöille, jotta tietoturvallisuuden tasosta saataisiin vuosittain selvyys. Näitä kotimaassa kerättyjä tietoja voisi verrata esityksessä mainittuihin kansainvälisiin mittareihin. Myös kehitysohjelman saavutuksia tulee mitata. Kehitysohjelmassa tulisi selkeästi ilmaista tavoiteltava kyberturvallisuuden taso. Valtionhallinnossa tietoturvallisuuden mandaattia, vastuita ja velvollisuuksia eri ministeriöiden ja virastojen välillä olisi selkeytettävä lainsäädännön avulla. Siksi ehdotamme toimenpideohjelmaan lisättäväksi kyberturvallisuuteen liittyvien lainsäädäntötarpeiden kartoittamista. Valtioneuvoston kanslia näkee myös, että periaatepäätöksessä tulisi tuoda selkeämmin esiin EU:n kyberyhteistyöhön osallistumisen lisäksi se, että Suomen on vaikutettava aktiivisesti ja ennakollisesti EU:n kyberagendaan. Keskeiset lainsäädäntöhankkeet, kuten parhaillaan uudelleenarvioitava EU:n verkko- ja tietoturvadirektiivi vaikuttavat vahvasti kyberturvallisuuden kehittämiseen myös kansallisella tasolla. Toivomme, että EU-näkökulma tuotaisiin selvemmin esiin sekä kehittämisohjelman leipätekstissä, että liitteissä. Periaatepäätöksen jatkotyöstämisessä tulisi ottaa huomioon vuoden 2019 kyberturvallisuustrategian kirjaus, jossa todetaan, että Euroopan unionin päätökset sekä EU:ssa tehtävä yhteistyö luovat selkärangan Suomen kansalliselle kyberturvallisuuspolitiikalle ja sen kehittämiselle. Myös tavoite EU:n salaustuotteiden sertifiointeja hyväksyvän AQUA-maan asemasta on kannatettava. EU:n päivitetyn kyberstrategian osalta valtioneuvoston kanslia kiinnittää huomiota siihen, että kyberturvallisuus on olennainen osa EU:n sisämarkkinoiden häiriöttömän toiminnan ja yhteiskuntavakauden sekä kansalaisten yksityisyyden turvaamista. Periaatepäätöksessä olisi hyvä tuoda esiin, että Suomi osallistuu aktiivisesti EU:n kyberturvallisuuteen liittyvän yhteisen ulko- ja turvallisuuspolitiikan kehittämiseen ja tekee yhteistyötä EU:n kybertoimintakyvyn vahvistamiseksi. Tavoitteena on vapaa, avoin ja turvallinen kybertoimintaympäristö, jossa demokratiaperiaatetta, ihmisoikeuksia ja kansainvälistä lakia kunnioitetaan. Operationaalisella tasolla muun muassa verkko- ja tietoturva-asioista vastaavien (NIS) viranomaisten, lainvalvonta- ja oikeusviranomaisten sekä kyberdiplomatiasta ja kyberpuolustuksesta vastaavien toimijoiden välisen yhteistyön ja yhteistoiminnan vahvistaminen jäsenmaissa ja EU-tasolla on kannatettavaa. EU on Suomelle tärkeä turvallisuusyhteisö. Häiriö- ja kriisitilanteet ovat yhä useammin monialaisia. Jäsenvaltioiden välinen keskinäisriippuvuus on kasvanut. Yhteiset ongelmat edellyttävät yhteistyötä ja yhteisiä ratkaisuja. EU-yhteistyötä on tiivistetty ulkoisen ja sisäisen turvallisuuden vahvistamiseksi mm. yhteisen ulko- ja turvallisuuspolitiikan (YUTP), yhteisen turvallisuuden ja puolustuksen (YTPP) sekä oikeus- ja sisäasioiden alalla (mm. rajat ylittävän rikollisuuden, terrorismin ja hybridi- ja kyberuhkien torjuminen sekä rajaturvallisuuden tukeminen ja muuttoliikkeen hallinta). Turvallisuuden sisäisen ja ulkoisen ulottuvuuden yhteensovittaminen on tärkeää.
      • Oikeusrekisterikeskus
        Päivitetty:
        2.2.2021
        • Oikeusrekisterikeskus kiittää mahdollisuudesta lausua valtioneuvoston periaatepäätöksestä kyberturvallisuuden kehittämisohjelmasta. Lausunnossamme huomiot on jaettu ohjelman teemojen mukaan. Yleisesti toimenpiteet ovat oikean suuntaisia ja niiden vaikuttavuuden arviointi on erittäin tärkeää. Huippuluokan osaaminen - Monet jo työelämässä olevat tarvitsevat opintojaan laajempaa osaamista, mutta eivät kuitenkaan täysimittaista muuntokoulutusta varsinaisiin kyberturvallisuustehtäviin. Tähän voisi olla tarjolla työpaikkojen tietoiskuja vaikuttavampaa koulutusta. Kiinteä yhteistyö - Valtion viranomaisten välinen monimuotoinen ja uusia tapoja kokeileva yhteistyö on tärkeää, ja tässä toimenpiteenä esimerkiksi Disobeyn GovTrack on erittäin kustannustehokas. - Kansainvälinen kyberturvallisuusyhteistyö on todella tärkeää myös muille kuin kyberturvallisuusviranomaisille. Vahva kotimainen kyberturvateollisuus - Mainittu hankintaosaamisen kehittämisen toimenpide on erittäin tärkeä, viranomaisilla tulee olla riittävä kyky ostaa kyberturvatuotteita ja ohjata järjestelmien kehityksen kyberturvallisuutta. Tehokkaat kansalliset kyberturvakyvykkyydet - Myös muita Traficomille sopivia laajasti vaikuttavia ja keskitetysti hoidettuna kustannustehokkaita tehtäviä kuin fi-verkkotunnukseen liittyvät lienee tunnistettavissa. - Viranomaisten toimintaedellytysten varmistaminen normaaleista toimintamenoista lienee lukuisista tähän rahoitustapaan pohjautuvista toimenpiteistä haastavimpia. - Kansallisen salaustuoteperheen merkitys lienee erityisesti viranomaiskentän sisällä. Post-quantum-algoritmien käyttöönotto vaikuttaa kuitenkin merkittävästi myös viranomaisten ja kansalaisten sekä yritysten väliseen tietoliikenteeseen ja tähän voisi olla perusteltua olla oma toimenpiteensä, ellei salaustuoteperhe sisällä myös tähän myös käytännössä soveltuvia vaihtoehtoja.
      • Suomen Kuntaliitto ry, Ympäristö- ja yhdyskunnat yksikkö, Riipinen Miira johtaja, Korhonen Ari varautumisen ja turvallisuuden asiantuntija, Korhonen Ari
        Päivitetty:
        2.2.2021
        • Kuntaliitto toteaa, että lähtökohtaisesti kyberturvallisuuden parantaminen ja kehittäminen laajasti kansallisen tasolla on tarpeellista. Kansallisen tason tulee olla tarkoituksenmukainen niin säädösten, ohjeistusten kuin tarvittavien tukimuotojen kannalta ja kyettävä tarjoamaan valmiudet myös organisaatioitten sisäiselle toiminnan kehittämiselle. Kehittämisohjelman valmistelua tukee uusi johtamisen koordinaatiomalli (kyberturvallisuusstrategia), julkisen hallinnon ja elinkeinoelämän yhteistyö ja suunnittelu. Kuntakentän osallistaminen kehittämistyöhön on ratkaisevaa työn onnistumisen kannalta. Periaatepäätöksessä kyberturvallisuuden kehittämisohjelmasta on ehdotuksia kyberturvallisuuden parantamiseksi niin perusosaamista vahvistaen kuin myös olemassa olevaa toimintaa tukien ja kehittäen. Tämä on hyvä lähtökohta päästä kehitystyöhön heti kiinni sekä varmistaa pidemmän aikavälin perusta kyberturvallisuuden parantamiseksi. Neljä keskeistä pääteemaa ovat huippuluokan osaaminen, kiinteä yhteistyö, vahva kotimainen kyberturvateollisuus ja tehokkaat kansalliset kyberturvakyvykkyydet. On hyvä, että periaatepäätöksessä kehittämisohjelmasta huomioidaan julkisen sektorin ohella myös kansalaisyhteiskunta (järjestöt ja vapaaehtoistoimijat) sekä kyberturvallisuuden tuomat mahdollisuudet edistää liike-elämää. Kansallisen kyberturvallisuusohjelman toteutuksen kannalta tarkoituksenmukaista huomiota tulisi kiinnittää käynnistyneitten/käynnistyvien hankkeitten tavoitteisiin siten, että ne muodostavat johdonmukaisen kokonaisuuden (julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelma 2020-2023, digitaalinen turvallisuus 2030) huomioiden myös EU:n kyberturvallisuusstrategia ja sen keskeinen komponentti NIS 2.0 direktiivi kansallisena toteutuksena. Tarkoituksenmukainen ohjaus ja seuranta on edesauttamassa kokonaisturvallisuuden edistymistä julkisen hallinnon eri organisaatioissa. Kuntaliitto korostaa, että kansallinen kyberturvakyvykkyys on avainasemassa onnistumiselle ja luo pohjan koko yhteiskunnan kyberturvallisuudelle. Osana kansallista kyberturvakyvykkyyttä tulee huolehtia ja mahdollistaa kuntien edellytykset keskeisinä yhteiskunnan toimijoina saavuttaa haluttu kyvykkyystaso. Myös useat kuntia lähellä olevat toimialat kuten vesihuolto, jätehuolto ja energiahuolto luokitellaan tai tullaan luokittelemaan EU-tasolla kyberturvallisuuden kannalta riskitoimialojen joukkoon. Riskitoimialojen kyberturvaosaamisen varmistaminen on ensiarvoisen tärkeää kyberturvakyvykkyyden saavuttamiseksi. Kuntatoimijoiden näkökulmasta kansallisen tason kyberturvallisuusohjelman tavoitteitten tulee olla johdonmukaisia ja toteutukseltaan yhteneviä käyttäjäorganisaatioille tiedonhallintalain asettaminen velvoitteitten kanssa (tietoturvavaatimusten täyttäminen tiedonhallintayksikön vastuulla). Lähtökohtaisesti suunnittelua/kehittämistä toteuttavalla organisaatiolla on vastuu tiedon hallinnastaan. Ohjelmassa on huomioitu yhteistyön merkitys, niin kansallisesti kuin kansainvälisestikin, keskeisenä osana kyberturvallisuuteen varautumista. Julkisen toimijan toteuttaessa kyberturvallisuuden menetelmiä ja osa-alueita joudutaan käsittelemään ja hyödyntämään mm. salassapidettäviä tietoja. Kuntaliitto toteaa, että yhteistyön mahdollistamiseksi ja erityisesti kriisitilanteissa tilannekuvan ja tiedonsaannin varmistamiseksi tulee huolehtia salassapidettävien tietojen luovuttamiskäytäntöjen tarkistamisesta. Tämä voi edellyttää muutoksia lainsäädäntöön. Lisäksi tarvitaan turvallinen järjestelmä tilannekuvatietojen välittämiseksi kaikissa olosuhteissa. Erityisesti kuntien täytyy saada häiriötilanteiden kohdatessa tietoja luotettavista lähteistä. Kyberturvallisuuden kohdalla tämä on ensiarvoisen tärkeää, koska mahdollinen häiriötilanne kohdistuu juuri niihin välineisiin ja ohjelmistoihin, joilla tietoa myös häiriötilanteen aikana tulisi välittää. Kyberturvallisuuskoulutuksen kehittäminen aina perusopetuksesta yliopistotasolle saakka toimialasta riippumatta luo vahvan perustan osaamisen kehittämiselle. Uusien liiketoimintamahdollisuuksien tukeminen koulutuksen rinnalla vahvistaa alan kehittymistä. Kuntaliitto huomauttaa, että kuntien vastuulla olevan koulutuksen vahvistamisen edellyttämä lisäresurssi sekä myös koulutuksessa tarvittavat laitteistot ja järjestelmät tulee rahoitusperiaatteen mukaisesti korvata kunnille täysimääräisenä. Kyberturvallisuutta kehitettäessä yhtenä kokonaisuutena tulee ottaa huomioon myös tietovarantojen huoltovarmuus, eli että kriittinen data ja varmuuskopiot on saatavissa kaikissa olosuhteissa. Tämä teema kuuluu kyberturvakyvykkyyden kokonaisuuteen. Erityisen tärkeänä periaatteena Kuntaliitto katsoo, että verkko- ja tietoturvaa koskevien uusien velvoitteiden ja vaatimusten tulee olla oikeasuhtaisia ja riskiperusteisia soveltamisalaan kuuluvien toimijoiden kokoon ja toimintaan nähden. Kansallisella tasolla tulee luoda edellytykset velvoitteitten/vaatimusten asettamiseksi toiminnallisuuksien käyttöönotolle.
      • Elinkeinoelämän keskusliitto EK, Lainsäädäntö ja hallinto, Rajamäki Markku
        Päivitetty:
        2.2.2021
        • Kiitämme lausuntomahdollisuudesta ja toteamme ehdotuksesta seuraavaa: Yleisesti ehdotuksesta Tarve kehittämisohjelmalle on ilmeinen. Verkottunut maailma muuttuu vauhdilla ja asettaa kyberturvallisuuden koko ajan muuttuvien ja kasvavien haasteiden eteen. Digitalisoitumiskehitys on vauhdittunut koronakriisin myötä kaikkialla ja siinä onnistuminen edellyttää kyberturvallisuuden laajapohjaista kehittämistä ja onnistumista ja osaamista niin julkishallinnossa, yksityisen sektorin yrityksissä kuin järjestöissäkin. Tuemme ohjelman tavoitteita ja pidämme ohjelmaa kokonaisuutena erittäin hyvänä. Nähdäksemme ohjelman toimenpidekokonaisuus kattaa melko hyvin yhteiskunnassa viime vuosina tunnistetut kyberturvallisuuden kehittämiskohteet. Hyvää on myös se, että ohjelman on tarkoitettu olevan elävä dokumentti koko aikajänteen 2021–2030; sitä on tarkoitus päivittää ja pitää ajan tasalla. Tämä onkin tarpeen huomioiden aikajänteen pituus ja jatkuvassa muutoksessa oleva aihe. Kyberturvallisuutta on kehitetty Suomessa aiemminkin. Osin nyt ehdotetussa ohjelmassa esitellyt toimenpiteet ovat samoja tai hyvin samanlaisia kuin aiemmat. Olisi hyvä, että ohjelmassa tarkasteltaisiin lyhyesti sitä, miltä osin näissä toimenpiteissä on tai ei ole aiemmin onnistuttu ja mitä nyt pyritään tekemään toisin. Ohjelman täytäntöönpanon riskejä ei ole ohjelmassa tarkasteltu. Nähdäksemme tämä olisi tarpeen; ohjelmasta tulisi laatia myös riskianalyysi ja riskienhallintasuunnitelma täytäntöönpanoa tukemaan. Ohjelman onnistumisen kannalta sen tarvitsemien henkilöresurssien ja rahoituksen riittävyys ovat keskeisiä. Ehdotuksessa mainitut rahalliset panostukset, yhteensä 26,8 M€ vaikuttavat kokonaisuutena melko vaatimattomilta. Toivomme, että henkilöresurssien ja rahoituksen huolellinen suunnittelu ja varmistaminen huomioidaan jatkovalmistelussa. Kyberturvallisuus, kuten turvallisuus yleensäkin on tuettavan ja kehitettävän prosessin, tuotteen, palvelun tai järjestelmän yksi ominaisuus, joka pitää huomioida ja jota pitää kehittää yhdessä muiden ominaisuuksien kanssa alusta lähtien (security by design). Kaipaisimme ohjelmaan mainintaa siitä, miten kyberturvallisuus huomioidaan muissa kuin ohjelmassa nimenomaan mainituissa kyberturvallisuushankkeissa. Sekä Suomessa että EU:n piirissä on meneillään useita datatalouteen ja digitalisaatioon liittyviä hankkeita, joissa kyberturvallisuuden huomioiminen on yhtä lailla tärkeää. Nähdäksemme ehdotus on tältä osin jäänyt hieman ohueksi. Jos kyberturvallisuutta kehitetään vain kyberturvaliitännäisissä erillishankkeissa, menetetään jotakin tärkeää. Toimenpidekohtaiset kommentit (ehdotuksen liite 1) Osa-alue 1 (Kansalaisten kyberturvataidot hyvälle tasolle) Toimenpiteenä 1.4 kannustetaan tyttöjä ja naisia kiinnostumaan kyberalasta. Tämä on tärkeää, mutta lisäksi olisi hyvä tavoitella laajemmin opiskelijoita ja osaajia ei-perinteisillä taustoilla. Tämä auttaisi siinä, että kyberturvallisuuden tavoitteita saataisiin ajettua laajemmin ja yhä laajapohjaisemmin sen vaatimukset ymmärrettäisiin yhä useammilla aloilla. Osa-alue 2 (Kyberturvallisuuden koulutusjärjestelmän kehittäminen) Toimenpiteissä tunnistetaan kansainvälisten huippuosaajien tarve, mikä on aivan oikein. Koulutukseen tehtävät muutokset ovat erittäin tärkeitä. Tarvetta on kyberturvallisuuden ammateissa toimiville, mutta ehkä tätäkin tärkeämpää on varhaiskasvatuksesta lähtevän koulutuksen kautta varmistua siitä, että kaikki kansalaiset ymmärtävät kyberturvallisuuden perusteet ja työelämään siirtyvät / työelämässä olevat kykenevät ymmärtämään kyberturvallisuuden vaatimukset oman työnsä kannalta - esim. palvelu- ja tuotekehitystehtävissä toimivan on tiedettävä, miten kyberturvallisuus tulee huomioida näissä kehitystehtävissä. Erityisen tärkeä tässä suhteessa on esim. kyberturvallisuusosaaminen sovelluskehityksessä kuitenkaan muitakaan aloja unohtamatta. Yhdymme periaatepäätöksessä esitettyyn näkemykseen, jonka mukaan kansallisen kyberturvallisuuden huippuosaamisen kehittäminen edellyttää riittävän osaamiskeskittymän muodostumista. Tällaisen osaamiskeskittymän luominen edellyttää esitettyä laajaa kansallista ja kansainvälistä yhteistyötä. Kansainvälisen kilpailukyvyn saavuttaminen edellyttää, että saamme Suomeen korkeatasoisia opiskelijoita, tutkijoita ja muita alan asiantuntijoita. On välttämätöntä – myös kyberturvallisuuden kehittämisen kannalta – että Suomi on houkutteleva kohde kansainvälisille osaajille. Muutokset kotimaisessa koulutusjärjestelmässä ja panostukset koulutukseen ovat tärkeitä, mutta vaikuttavat etupäässä vuosien viiveellä. Työperäisen maahanmuuton hidasteiden ja esteiden purkaminen on mainittu toimenpiteissä (2.9), mutta ohjelman tekstiosuuden toimenpide-ehdotuksissa keskitytään erityisesti kotimaiseen koulutukseen. Tarve on nyt. Molempia, sekä kotimaisen koulutuksen kehittämistä että työperäisen maahanmuuton esteiden purkamista tarvitaan, mutta toivomme, että näiltä osin ohjelmassa priorisoidaan lyhyellä aikavälillä tarve purkaa kansainvälisten huippuosaajien maahantulon esteitä ja hidasteita, joka on nopeavaikutteisempi toimi kuin koulutusjärjestelmän kokonaisvaltainen kehittäminen. Maahanmuuttoa on tuettava nopealla lupajärjestelmällä (esim. D-viisumi) ja monipuolisilla asettautumispalveluilla. Erityisen tärkeää on huomioida, että koronakriisistä ulos päästäessä kilpailu kansainvälisistä osaajista tulee olemaan vielä nykyistäkin kovempaa, kun se yhdistyy markkinaosuuksien osittaiseen uudelleen jakoon monilla aloilla ja ylipäätäänkin matkustuksen vapautuessa. Kiinnitämme toimenpiteen 2.9 osalta huomiota myös siinä käytettyyn sanamuotoon ”suomalaisen teollisuuden palvelukseen”. Parempi muotoilu olisi ehkä ”suomalaisen elinkeinoelämän palvelukseen”. Teollisuus ei ole ainoa, jolla näitä tarpeita on. Suomen elinkeinorakenteessa painotus on entistä enemmän kohti palveluelinkeinoja. Osa-alue 3 (Kyberturvallisuuden harjoitustoiminnan yhteistyön vahvistaminen Nähdäksemme harjoituksia järjestetään Suomessa jo kohtuullisen paljon, mutta ne keskittyvät ennen kaikkea huoltovarmuuskriittisiin toimijoihin ja huoltovarmuusyhteistyöhön. Olisi keskeistä miettiä myös harjoitustoiminnan näkökulmasta, miten harjoitustoimintaan saataisiin mukaan laajempi joukko yrityksiä. Samoin olisi hyvä käydä läpi, analysoidaanko harjoitusten havainnot riittävän tarkkaan ja viestitäänkö havainnot muillekin kuin harjoitukseen osallistuneille. Osa-alue 5 (Aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön) Toimenpiteissä olisimme odottaneet enemmän painotusta yhteistyön lisäksi myös lainsäädäntövaikuttamiseen, erityisesti EU-edunvalvontaan ja Suomen kantojen ajamiseen nimenomaan EU-foorumeilla, muitakaan toki unohtamatta. Ymmärrämme, että se on ehkä ajateltu kohdassa mainittujen toimenpiteiden osaksi, mutta kun regulaatiosta suuri osa tulee EU:sta, se on hyvin keskeinen osa-alue. Viestintään siitä, mitä kansainvälisillä kyberturvallisuusfoorumeilla tapahtuu, tulisi kiinnittää erityistä huomiota. Näin yritykset voisivat myös nykyistä enemmän tukea toimintaa tuomalla omia tarpeitaan ja näkemyksiään esiin. Osa-alue 6 (Kotimaisten kyberturvatuotteiden ja -palveluiden kasvun ja kansainvälistymisen tukeminen) Toimenpiteenä 6.6 tuetaan tuotteiden ja palveluiden tuotteistamista ja konseptointia kansainvälisen markkinan näkökulmasta. Alalla toimii paljon myös erittäin pieniä mikroyrityksiä. Voisiko näiden toiminnan ja mahdollisesti laajentumisen tueksi harkita osaajahubeja, joihin voitaisiin koota pieniä kaupallisia toimijoita / 1-2 henkilön mikroyrityksiä helpommin löydettäviksi. Näin ne voisivat yhdistää osaamistaan ja esim. tarjota palveluitaan yhdessä asiakkaille. Osa-alue 10 (Harmonisoidaan turvallisuusvaatimuksia ja parannetaan havainnointikykyä) Toimenpiteenä 10.1 määritellään huoltovarmuuskriittisten sektoreiden ml. yritykset kyberturvallisuusvaatimuksille yhteinen vähimmäistaso. Tässä on tärkeä painottaa yritysten mukaanottoa määrittelyyn. On myös huomioitava, että kysymykseen liittyen on tällä hetkellä paljon hankkeita vireillä, mm. EU-tasolla NIS- direktiivin päivittäminen ja CER-direktiivin säätäminen sekä kansallisessa valmistelussa olevat toimenpiteet tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla. On tarkasti huolehdittava siitä, etteivät vaatimukset ole ristiriitaisia tai päällekkäisiä, koska ne kohdistuvat toimialoihin, joita säännellään raskaasti jo tällä hetkellä. Tarkoituksena tulee olla yritysten toiminnan tukeminen. On keskeistä, että yrityksiä kuullaan kaikissa edellä mainituissa hankkeissa ja että tämä tehdään riittävän aikaisessa vaiheessa ja niin, että yrityksillä on aito mahdollisuus vaikuttaa. Painotamme myös sitä, että vaatimuksia säädettäessä määritellään turvallisuuden tavoitetaso käytettävien keinojen jäädessä yritysten itsensä harkittaviksi. Muu ei ole kestävää. Kohdan tekstiosuuksissa on mainittu tarve varmistaa viranomaisten valvontaresurssit. Valvontaakin varmasti tarvitaan, mutta on hyvä muistaa, että yrityksillä itsellään on intressi kehittää kyberturvallisuuttaan. Sen vuoksi valtion tuki tälle työlle on tärkeämpää kuin viranomaisten valvontaresurssit - valvonta ei paranna tilannetta, jos tuki on muuten riittämätöntä. Esimerkkinä yritysten tarvitsemasta tuesta voidaan mainita turvallisuusselvitykset. Kotimaiset viranomaiset edellyttävät usein palveluitaan tarjoavilta yrityksiltä turvallisuusselvitysten tekemistä viranomaistietoa käsittelevien osalta. Taustantarkistuksia edellytetään laajasti myös kansainvälisissä tarjouskilpailuissa. On hyvä, että Suomessa on laki turvallisuusselvityksistä, joka osin vastaa näihin tarpeisiin. Vastaavaa ei kaikissa muissa maissa ole. Tällä hetkellä saamiemme tietojen mukaan tilanne on kuitenkin se, että useat turvallisuusselvitysmenettelyssä olevat suomalaisyritykset kokevat, että viime aikoina tulkinta selvitettävien tehtävien osalta on selvästi kaventunut aiemmasta huolimatta siitä, että lakia ei ole muutettu. Osa-alue 12 (Kotimaisen salausteknologian luonti ja AQUA -statuksen saavuttaminen) Toimenpiteenä 12.3 tunnistetaan kansallisen turvallisuuden näkökulmasta kriittiset kyberturvallisuusyhtiöt ja turvataan niiden kansalliset omistusosuudet. Kirjaus kaipaa mielestämme tarkentamista. Mikäli tarkoituksena on viitata ulkomaalaisten yritysostojen seurannasta annetun lain (13.4.2012 / 172) suomiin mahdollisuuksiin, joita laajennettiin turvallisuusalan yhtiöiden osalta viime vuonna, se olisi hyvä kohdassa todeta nimenomaisesti. Emme pidä hyväksyttävänä, että yksityisen sektorin yritysten omistussuhteisiin puututtaisiin yhtään laajemmin kuin mainitun lain näkökulmasta katsotaan ehdottoman välttämättömäksi. Se aiheuttaisi helposti tarpeettomia häiriöitä kilpaillulla markkinalla. Kunnioittavasti Elinkeinoelämän keskusliitto EK Lainsäädäntö ja hallinto Tommi Toivola Johtaja
      • Puolustusministeriö
        Päivitetty:
        2.2.2021
        • Puolustusministeriö on osallistunut kyberturvallisuuden kehittämisohjelman kirjoittamistyöhön ja kannattaa kehittämisohjelmassa esitettyä kyberturvallisuuden pitkän aikavälin suunnitelmallista ja laaja-alaista kehittämistä. Arvioitu lähes kymmenen miljoonan euron lisäresurssitarve seuraavien viiden vuoden ajalle on kyberturvallisuuden tärkeyteen ja kehittämisohjelmassa esitettyjen toimenpiteiden laajuuteen nähden maltillinen. Puolustusvoimat on antanut kyberturvallisuuden kehittämisohjelmasta erillisen lausunnon, jossa kehittämisohjelmaa arvioidaan erityisesti kyberpuolustuksen kannalta. Kappalekohtaiset lausunnot: Kappale 1. Johdanto Esitetään, että johdantoon lisätään viittaus liikenne- ja viestintäministeriön johdolla valmisteltuun TITUKRI-loppuraporttiin (Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla) ja siinä tehtyihin kyberturvallisuutta kehittäviin linjauksiin. Kyberturvallisuuden kehittämisohjelman ja TITUKRI:n toimenpiteiden tulee muodostaa yhdenmukainen ja toisiaan tukeva kokonaisuus, kuten TITUKRI-loppuraportissakin todetaan. Edelleen TITUKRI:ssä ei ole tarkasteltu turvallisuusviranomaisia, joten tarkastelu on luontevaa toteuttaa osana kyberturvallisuuden kehittämisohjelmaa. Kappale 2. Kehittämisohjelman tavoite ja pääteemat Kehittämisohjelmaan valitut kyberturvallisuuden ekosysteemiä kasvattavat pääteemat huippuluokan osaaminen, kiinteä yhteistyö, vahva kotimainen kyberturvateollisuus ja tehokkaat kansalliset kyberturvakyvykkyydet ovat kannatettavia. Kappale 3. Huippuluokan osaaminen Huippuluokan kyberosaajat ovat merkittävässä roolissa myös kyberpuolustuksen suorituskyvyn kehittämisessä. Puolustusministeriö tukee puolustusvoimien esityksiä kehittämistoimenpiteiden tarkentamiseksi. Kappale 4. Kiinteä yhteistyö Yhteistyön tiivistämiseen ja harjoitustoiminnan edistämiseen liittyvät kehittämistoimenpiteet ovat kannatettavia. Puolustusministeriö tukee puolustusvoimien esitystä operatiivisen viranomaisyhteistoiminnan kehittämisen lisäämisestä uudeksi kehittämistoimenpiteeksi. Kappale 5. Vahva kotimainen kyberturvateollisuus Vahvalla kotimaisella kyberturvateollisuudella on suuri merkitys kansallisesti kriittisten osa-alueiden kyberomavaraisuuden edistämisessä ja kyberpuolustuksen suorituskyvyn kehittämisessä. Puolustushallinnolla on merkittävää ja kriittistä yhteistoimintaa elinkaaren eri vaiheissa olevien kotimaisen kyberturvayritysten kanssa. Esitetään, että puolustusministeriö lisätään toimijana kehittämistoimenpiteiden kohtiin 7.1 ja 7.2. Kappale 6. Tehokkaat kansalliset kyberturvakyvykkyydet Kansallisten kyberturvakyvykkyyksien kehittäminen luo perustan myös kyberpuolustuksen kehittämiselle, kuten ennakoivan ja aktiivisen kyberpuolustuksen sekä kyberympäristön suvereniteettia tukevan toiminnan kehittämiselle. Kyberpuolustuksen suorituskyvyn kehittäminen edellyttää myös kokonaisvaltaista toimivaltuustarkastelua ja sen myötä tarvittaessa käynnistettävää säädösvalmistelua. Kehittämistoimenpiteiden kohtaan 8.1 esitetään lisättäväksi lainsäädännön tarkastelu ja valtiovarainministeriön lisäämistä vastuutahoihin. Kehittämistoimenpiteiden kohdan 10.3 vastuutahoihin esitetään turvallisuusviranomaisten lisäämistä osana kokonaisvaltaisen kansallisen kybertilannekuvan kehittämistä. Kehittämistoimenpiteiden kohdan 12.2 osalta esitetään puolustusvoimien lisäämistä vastuutahoksi. AQUA-kyvykkyyden vaatima syvä osaaminen edellyttää kaikkien kansallisten kryptotoimijoiden tiivistä yhteistyötä ja puolustusvoimiin jo rakennettu kryptokyvykkyys tulee hyödyntää. Kehittämistoimenpiteiden kohdan 12.3 vastuutahoihin esitetään lisättäväksi puolustusministeriö ja sisäministeriö.
      • Huoltovarmuuskeskus
        Päivitetty:
        2.2.2021
        • Liikenne- ja viestintäministeriö (LVM) on pyytänyt 13.1.2021 lausuntoja ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta (VN/797/2021). Huoltovarmuuskeskus (HVK) lausuu linjauksiin pyynnön mukaisesti kohdat eritellen: Yleinen HVK tuo yleishuomiona kokonaisuudesta esiin, että kehittämisohjelma on kattavasti hahmoteltu. Kyberturvallisuuden merkityksen ollessa hyvin laaja, huomio kiinnittyy siihen, että ohjelman teemat ja niiden kuvaukset keskittyvät kyberturvallisuuteen hyvin teknologialähtöisesti. Taustalla on oletettavasti aiheellinen rajaus, jonka avaaminen voisi tukea teemojen valinnan perusteita. HVK:n Digitaalinen turvallisuus 2030 -ohjelma on huomioitu useaan kertaan materiaalissa. HVK pyytää huomioimaan, että Huoltovarmuuskeskuksen (HVK) Digitaalisen turvallisuuden 2030 -ohjelmasta käytetään hankkeen sijaan nimitystä ohjelma, johon sisältyy projekteja. Toivomme myös yhteistyötahojen käyttävän samaa terminologiaa yhdenmukaisuuden ja viestinnän selkeyttämisen vuoksi. Huippuluokan osaaminen Osaamiseen panostaminen koetaan HVK:ssa yhteiskunnan kannalta erittäin tärkeäksi nostoksi kehittämisohjelmaan. Kyberturvallisuuden kokonaisuuden kehittämisen näkökulmasta ”huippuluokan osaaminen” sijaan olisi oleellista painottaa kattavaa osaamista, joka on ison joukon saavutettavissa. Osin tämä näkyykin kehitystoimenpiteissä. Monipuolinen tai kattava osaaminen ei rajaa pois niitä ihmisiä, jotka eivät motivoidu kilpailullisuudesta. Kyberalalle on tärkeää rohkaista erityyppisiä ihmisiä. ”Huippuluokan osaaminen” on kuitenkin tärkeä kattavan osaamisen osa-alue. Huippuosaamiselle on tarvetta kaikissa kyberturvallisuuden osa-alueissa. Kuitenkaan ei ole tarpeen tavoitella tilannetta, jossa kaikki osa-alueet ovat pelkkää huippuosaamista. Onnistuakseen huiput tarvitsevat tuekseen tasavahvoja osaajia. Tasavahvasta joukosta on myös edellytyksiä nousta useampia huippuosaajia. Naisten ja tyttöjen esiin nostaminen on positiivinen asia, mutta rohkaiseminen alalle mainitaan vasta lukio-opetuksen yhteydessä. Rohkaiseminen on syytä aloittaa jo varhaiskasvatuksessa. Koko ikäpolvea kannustava lähestymistapa huomioisi luontevammin myös ne, jotka eivät miellä itseään kumpaankaan enemmistösukupuoleen kuuluviksi. Huippuosaamista käsittelevissä kohdissa olisi hyvä selkeämmin huomioida, että huippuosaaminen voi syntyä muutakin kautta kuin perus- ja jatkotutkinto-opinnoissa. Täydennys- tai muuntokoulutettu saattaa olla tarvittava erityis- tai huippuosaaja, koska hänessä yhdistyy kyberin ja jonkin muun alan osaaminen. Toiminnan ja tietoteknisen osaaminen yhdistyminen on keskeinen kyberturvallisuuden menestystekijä. Kiinteä yhteistyö Teeman asettelu on selvä kokonaisuus. Vahva kotimainen kyberteollisuus Vahva kotimainen kyberteollisuus on kyberturvallisuuden omavaraisuuden kannalta merkittävä tekijä ja siten kehitysohjelmaan hyvä nosto. Kuten tekstissä esitetään, se nojautuu pitkälti kehittämisohjelman muihin pääteemoihin. Kilpailukyvyn yhteydessä olisi hyvä mainita myös kyberturvatuotteiden ja -palveluiden kaupallista soveltamista eli tuotteistamista ja markkinointia ymmärtävien osaajien tarve. Tämä kytkeytyy vahvasti myös ensimmäiseen pääteemaan ja siihen liittyvään kommenttiin termin ”huippuosaaminen” laajentaminen kattavaan osaamiseen: esimerkiksi kyberturvallisuuden huippukehittäjät tarvitsevat osaavan ja alaa ymmärtävän markkinoinnin tukea, jotta tuote tai palvelu osataan paketoida käyttäjälle helppoon muotoon ja markkinoida ostajalle. On hyvä huomioida, että kilpailuetu ja ratkaiseva menestyksen tekijä voi syntyä muustakin kuin teknologiasta tai teknisestä huippuosaamisesta. Tehokkaat kansalliset kyberkyvykkyydet Tehokkaat kansalliset kyberkyvykkyydet ovat keskeinen osa kriittisen infrastruktuurin digitaalisen turvallisuuden kehittämistä, joten osio on HVK:n kannalta keskeinen teema yhteistyössä. Teemassa on nostettu esiin mainintana digitaalisen yhteiskunnan keskeiset tiedot, tietovarannot ja -palvelut ja niiden toiminnan turvaaminen. Samassa osiossa tulisi huomioida lisäksi kasvava datatalous ja siihen liittyvä kyberturvallisuus. Liite 1: Kehittämisohjelman toimeenpanosuunnitelma Kohta 1.4. Huoltovarmuuskeskus näkee yhteiskunnan kannalta tärkeänä, että kannustetaan koko ikäluokkaa kiinnostumaan kyberalasta. Teknologia-alan kyberosaamisen työyhteisöt ovat usein hyvin homogeeniset työtehtävästä riippumatta. Tämän korostaminen kannustaa monipuolistamaan osaajapohjaa, mukaan lukien tytöt ja naiset. Kohta 3.1. Tavoitteen asettelu on hyvä tulevaisuuteen nähden. Arvoketjujen määrittäminen on ilmeisen riippuvainen tavoitteesta 10.2., jonka vastuutahoksi on määritetty HVK. Aikataulullisesti jää epäselväksi, onko vuosien 2021-2023 aikana toteutumiseksi tiedossa selkeät mittarin mukaiset arvoketjut. Arvoketjujen määrittäminen on osa jatkuvaa työtä. HVK:n Digitaalinen Turvallisuus 2030 -ohjelmassa tavoitteena on, että ajanjakson aikana keskinäisriippuvuuksien selvittäminen etenee ja säännöllinen harjoitustoiminta laajentaen uusiin toimialueisiin, joten tämä huomioiden tavoite on saavutettavissa. Kohdat 10.1. 10.2. 10.3. 11.1. ja 11.2. voidaan katsoa soveltuvin osin kuuluvan Digitaalinen Turvallisuus 2030 -ohjelman projektien toteutukseen. Kohta 12.3. on osa HVK:n normaalitoimintaa. Helsingissä 2.2.2020 Toimitusjohtaja Janne Känkänen
      • Valtori, Naumanen Hannu
        Päivitetty:
        2.2.2021
        • Valtori näkee tärkeänä, että kyberturvallisuuden kehittämiseen panostetaan kansallisesti huomioiden kansainvälinen yhteistyö. Lisäksi yhteiskunnan kannalta kriittisten tietovarantojen sekä palveluiden ja järjestelmien tunnistamisella ja niiden toiminnan varmistamisella on mahdollista luoda merkittävää vaikuttavuutta. Lisäksi Valtori näkee tärkeänä kehittämisohjelmassa mainitun julkisen hallinnon ja yksityisten toimijoiden välisen yhteistyön sekä sen, että kehittämisohjelman etenemiselle on asetettu selkeät mittarit sekä raportointivastuut ja seuranta. Valtorilla ei ole asiaan muuta lausuttavaa.
      • Turun yliopisto, Jouni Isoaho, Professori Seppo Virtanen, Apulaisprofessori
        Päivitetty:
        2.2.2021
        • Toimeenpanosuunnitelma tarvitsee lisää konkretiaa. Aikataulu on hyvin monessa esitetyssä toimenpiteessä avoin, ja rahoitus on suurimmassa osassa toimenpiteitä merkitty toteutuvaksi normaalein toimintamenoin. Monet näistä kohdista edellyttäisivät erillisen rahoituksen, jotta ne voisivat kehittämisohjelman mukaisesti realistisesti toteutua. Ilman lisärahoitusta panostus toimenpiteisiin jäänee liian vähäiseksi. Tarvitaan kolmenlaista osaamista (koulutustarve): 1. kansalaistaito: mitä jokaisen pitää osata kyberturvallisuudesta elääkseen ja toimiakseen tietoyhteiskunnassa 2. alakohtainen perusosaaminen: mitä eri aloilla ja ammateissa pitää osata kyberturvallisuudesta 3. erityisasiantuntijat: yleiset ja alakohtaiset kyberammattilaiset Em. kolme kohtaa pitää selvittää toimeenpanosuunnitelman kohdassa 2.1 ja kohdentaa tähän suunnattu rahoitus kaikille kolmelle osa-alueelle. 1: kaikki pitää kouluttaa tietylle perustasolle (Integraatio perusopetukseen, toimeenpanosuunnitelman kohta 2.3; integrointi lukio- ja ammatilliseen koulutukseen, kohdat 2.4-2.5). Vaatii erillisen rahoituspohjan, nyt kirjattu vain osaksi normaaleja toimintamenoja. Sama osaamisen kehittämismahdollisuus pitää tuoda kaikkien ulottuville, ei ainoastaan peruskoululaisiile ja toisen asteen opiskelijoille. 2: Työntekijöiden tulee tiedostaa, että digitalisaatio ja tekoäly muuttavat nopealla tahdilla työnkuvaa ja -kenttää. Tämä edellyttää työntekijöiltä hyvää ymmärystä kyberturvallisuudesta. Kyberturvallisuuden rakentaminen on jatkuva yhteisvastuullinen prosessi organisaatioissa. Se ei toteudu pelkästään yksittäisiä spesialisteja palkkaamalla. Tarvitaan eri aloille räätälöityä koulutusta, jota ei voida toteuttaa yleiskursseilla. Toteutukset tulisi suunnitella ko. alojen asiantuntijoiden ja kyberasiantuntijoiden yhteistyönä. Tämä tulee huomioida toimeenpanosuunnitelman kohdassa 2.6., ja tämän toteuttaminen suunnitellussa laajuudessa ei ole realistista koulutusorganisaatioiden normaalien toimintamenojen puitteissa. Tämäkin vaatii erillisen rahoituspohjan. 3: Korkeasti koulutettuja kyberturvallisuusasiantuntijoita ei ole riittävästi tarjolla vastaamaan suomalaisen yhteiskunnan ja yrityskentän tarpeisiin. Tässä avainasemassa on lahjakkaimpien huippuosaajien kouluttaminen sekä kotimaisista että kansainvälisistä opiskelijoista, ja heidän integrointinsa yhteiskunnan ja elinkeinoelämän palvelukseen. Erityisesti ulkomailta tulleiden asiantuntijoiksi valmistuneiden opiskelijoiden integroitumista Suomeen tulisi tukea voimakkaasti. Esimerkiksi Turun yliopisto on kouluttanut tietoturva-asiantuntijoita (diplomi-insinöörejä) kyberturvallisuuden maisteriohjelmassa ja tietoturvaerityisasiantuntijoita (tekniikan tohtoreita) vastaavassa tohtoriohjelmassa jo yli 10 vuoden ajan ollen alan vanhin yhtäjaksoisesti toiminut ylempien korkeakoulututkintojen koulutusyksikkö Suomessa. Turun yliopisto on myös ainoana suomalaisena yliopistona mukana yhteiseurooppalaisessa kyberturvallisuustutkinto-ohjelmassa, EIT Digital Master School in Cyber Security:ssä, jossa opintoihin kuuluu pakollisena myös laaja innovaatio- ja yrittäjyyskokonaisuus. Turun yliopiston tarjoama alan koulutus kiinnostaa hyvin paljon lahjakkaita ulkomaisia potentiaalisia opiskelijoita. Vaikka kyseessä on yliopiston diplomi-insinöörituotannoltaan suurin erikoistumislinja, valmistuneiden asiantuntijoiden määrä ei kata alan asiantuntijoiden kysyntää. Tilanne lienee sama muissa kyberturvallisuusopintoja tarjoavissa korkeakouluissa. Hakupaineen puolesta sisään otettavien opiskelijoiden määrää olisi mahdollista kasvattaa vastaamaan yhteiskunnallista tarvetta, mutta resursoinnin osalta ollaan jo nyt kantokyvyn rajoilla. Alan yliopistokoulutuksen lisäresursointi on välttämätöntä, mikäli kehittämisohjelman tavoitteet huippuluokan osaamisen lisäämisestä ja juurruttamisesta Suomeen halutaan täyttää. Todennäköisesti alalla tarvittaisiin 5- vuotiset lisärahoitetut kehitys- ja verkostointiohjelmat, jonka jälkeen ne siirtyisivät osaksi yliopistojen omaa rahoitusta ja vastuita. Ulkomaisten asiantuntijoiden juurruttamista Suomeen ja ulkomaisten huippututkijoiden rekrytointia korkeakouluihin tulisi tukea erityisin tavoin, esim. tarjoamalla ”starttipaketteja” tutkimusryhmän perustamiseen. Yleisesti ottaen suomalaisten yliopistojen palkkakilpailukyky on heikko verrattuna toisaalta elinkeinoelämään ja toisaalta ulkomaisiin yliopistoihin sekä nykyisten huippuasiantuntijoiden pitämisessä että uusia rekrytoitaessa; kyberturvallisuuden alalla tilanne on erityisen haastava. (ISC)2 -konsortion vuoden 2020 tutkimusraportti ”Cybersecurity workforce study, 2020” toteaa, että maailmanlaajuisesti kyberturvallisuusasiantuntijana työskentelee 3,50 miljoonaa työntekijää, ja maailmanlaajuinen kyberturvallisuusasiantuntijavaje on tällä hetkellä 3,12 miljoonaa työntekijää. Asiantuntijoita tarvittaisiin siis lähes kaksinkertainen määrä nykyiseen verrattuna. Tutkimuksen mukaan vaje Euroopassa on tällä hetkellä n. 170 000 asiantuntijaa. Alakohtainen kohdennettu taloudellinen tuki kilpailukykyisiin palkkauksiin yliopistoissa mahdollistaisi nykyistä paremmin parhaiden osaajien kotimaisen ja kansainvälisen rekrytoinnin tutkimus- ja koulutustehtäviin. Ei ole olemassa absoluuttista turvallisuutta, vaan toiminnassa minimoidaan kyberkriisin todennäköisyyttä ja mahdollisia seurauksia. Tässä lainsäändännöllä ja yhteiskunnan prosesseilla on vahva rooli. Esityksessä näkökulmana on nyt selkeästi yhteiskunta ja organisaatiot, siinä saisi olla vahvemmin mukana myös ihmisnäkökulma. Monessa tilanteessa kansalaisten kyberturvallisuus perustuu monelta osin ns. pakotettuun luottamukseen liittyen yhteiskunnan prosesseihin ja instituutiohin. Tästä johtuen näiden suunnitteluun pitää saada myös niiden käyttäjien näkökulma. Lainsäädäntötyön pitää olla proaktiivista suhteessa kyberturvallisuuteen ja yhteiskunnan digitalisaatioon. Nykyinen pitkälti reagoiva lähestymistapa ei toimi kunnolla mm. kyberuhkien ja niiden vaikutusten torjunnassa. Näitä varten pitäisi perustaa pitkälti yliopistojen tutkijoihin ja muihin asiantuntijoihin perustuva oikeusoppineiden, yhteiskunnallisten prosessien sekä kyberturvallisuus- ja digitalisaatioammattilaisten yhteinen ennakointityöryhmä, joka tuottaa aloitteita mm. lainsäädännön ja yhteiskunnan prosessien puolelle. Lisähaasteena on, että kyberrikokset eivät tunne/noudata valtioiden rajoja.
      • Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry
        Päivitetty:
        2.2.2021
        • Liikenne- ja viestintäministeriö on pyytänyt FiComilta lausuntoa ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta. FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa: Huippuluokan osaaminen ICT-alan huippuosaaminen nousee tulevaisuuden kriittiseksi menestystekijäksi, ja osaamisen varmistamiseksi tarvitaan voimakasta panostusta koulutukseen, tutkimukseen ja tuotekehitykseen. Koulutuksen kaikilla asteilla tulee opettaa nykyistä laajemmin paitsi tietotekniikan turvallista käyttöä myös sen hyödyntämistä ja kehittämistä. Monipuolinen panostaminen tieto- ja viestintätekniikan koulutukseen jo perusopetuksesta lähtien on koko Suomen digiyhteiskunnan tulevaisuuden välttämätön edellytys. Kuten kehittämisohjelmassakin on todettu, kyberturvallisuuskoulutusta tulee kehittää. Useiden vuosien koulutus ei kuitenkaan ratkaise akuuttia osaajapulaa. Aiemman osaamisen päivittäminen vastaamaan työelämän nykytarpeita on varmistettava joustavilla koulutusratkaisuilla. Työelämässä jo olevilla suomalaisilla tulee olla mahdollisuus erilaisten muuntokoulutusten avulla siirtyä aloille, joilla osaajia tarvitaan. Asiantuntijaresurssien lisäksi myös kyberjohtamisen kouluttamiseen tulee panostaa. Samalla on kuitenkin varmistettava, ettei yritysten ulkopuolelta tapahtuvalla operatiivisella johtamisella vaaranneta olemassa olevia toimintoja. Kun kotimainen työvoima ei kykene vastaamaan ICT-osaajien tarpeeseen, tarvitsemme asiantuntijoita myös ulkomailta. Esimerkiksi Suomen turvallisuus, taloudellinen vakaus, infrastruktuurin korkeatasoisuus, maksuton koulutusjärjestelmä sekä puhdas luonto ovat vetovoimatekijöitä, joilla voidaan tehdä Suomesta houkutteleva vaihtoehto paitsi huippuosaajille myös heidän perheilleen. Työperäiseen maahanmuuttoon liittyvien lupien saaminen tulee tehdä mahdollisimman sujuvaksi ja nopeaksi. Kuukauden sijaan tavoitteena tulee olla lupaprosessin läpikäyminen päivässä. Suomessa ICT-alalla työskentelevien osuus kaikista työntekijöistä on EU:n toiseksi suurin, 6,7 prosenttia. Keskimäärin EU-maissa ICT-ala työllistää neljä prosenttia työntekijöistä. Suomessa on silti kasvava koodaripula. Yksin Suomen ohjelmistoalalla osaavien koodaajien vaje lisääntyy tuhansilla joka vuosi, ja välitön koodaajatarve on 7 000–9 000 osaajaa. Digitaalinen ja teknologinen kehitys muuttavat työn luonnetta ja työelämän osaamistarvetta ehkä nopeammin kuin uskommekaan. Koodaus- ja ohjelmisto-osaamista tarvitaan kaikilla aloilla. Jotta pysymme muutoksen mukana, tieto- ja viestintätekniikan opiskelun aloituspaikkoja tulee lisätä. Kiinteä yhteistyö sekä tehokkaat kansalliset kyberturvakyvykkyydet Operaattorien yhteistyö kyberturvasta vastaavien viranomaisten kanssa on Suomessa tiivistä. Voidaan puhua vahvasta luottamusyhteiskunnan hengestä, joka ei ole lainkaan tavanomaista monessa muussa maassa. Korona-aikana vuoropuhelu on ollut entistä tiiviimpää, sillä kyberuhkien arvioidaan aina poikkeusolojen aikana kasvavan. Yhä useampi yhteiskunnalle kriittinen palvelu vaatii tietoverkkojen luotettavaa toimintaa. Kyberturvallisuudesta huolehtiminen ja sen varmistaminen on verkkoyhtiöissä jatkuvaa. On tärkeää, että kyberturvallisuuden merkitys digiyhteiskunnalle on tunnustettu ja huomioidaan riittävinä resursseina. Teleala tekee oman osansa, mutta valtionkin on annettava lisäpanostuksensa. Julkisen ja yksityisen sektorin välinen kommunikointi tarvitsee turvallisen työkalun, jota voisi mahdollisesti käyttää myös yksityisten toimijoiden välisessä yhteydenpidossa. Esineiden internetin yleistyessä Suomi on yhä haavoittuvampi kyberhyökkäyksille ja -häirinnälle, joten uhat on huomioitava ajoissa. Onkin hyvä, että Kyberturvallisuuskeskus on saanut kaivattuja lisäresursseja, jotka mahdollistavat nopean reagoinnin poikkeustilanteisiin.
      • Wärtsilä, Wärtsilä Oyj Abp, Yhteiskuntasuhteet ja Lakiasiat, Kyberturvallisuus, Eronen Teemu
        Päivitetty:
        2.2.2021
        • Lausunnon antaja: Wärtsilä Oyj Abp, Yhteiskuntasuhteet ja Lakiasiat; Kyberturvallisuus Kehittämisohjelman tavoitteena on synnyttää suomalainen kyberturvallisuuden ekosysteemi ja parantaa koko yhteiskunnan tieto- ja kyberturvallisuutta. Wärtsilä haluaa kuitenkin painottaa, että kehittämisohjelman kannattaa kansallisen ekosysteemin lisäksi ottaa huomioon myös kansainväliset aloitteet ja vaatimukset, koska kybermaailmaa ei voida rajoittaa perinteisten kansallisten rajojen mukaan. Kybermaailma on globaali. Yksi suurimmista tekijöistä nykyiseen digitalisaation mukanaan tuomankorkean kyberriskin olemassaoloon on sekä 1.) yhteisen globaalin/kansainvälisen että 2.) kansallisen teknologia- ja kyberhallinnon sääntelyn, vaatimusten ja ohjeiden puute tai niiden riittämättömyys. Tällä hetkellä digitaalisen kehityksen mukanaan tuomassa vauhdissa monet yritykset ja organisaatiot ovat menneet markkinoiden mukaan yhteisten kyberturvallisuusvaatimusten ja toimintamallien puuttuessa. Tuotteita ja palveluita suunnitellessa ei välttämättä oteta kyberturvallisuutta huomioon tarpeellisella tavalla, vaan markkinoilla saatetaan edetä liiketoimintavaatimusten (ns. ”first to market” periaate) ja lyhyen aikavälin tavoitteiden saavuttamiseksi. Tämä nopea digitaalisten tuotteiden ja palveluiden kehitys- ja toimintamalli jättää yrityksiltä kyberturvallisuuden ja testaamisen vapaaehtoiseksi toiminnaksi, joka helposti jätetään pois kustannussyistä tai on vain jälkikäteen tehty riittämätön toimenpide. Näiden kyberturvallisuuteen liittyvien yhteisten toimintamallien ja yhteisen hallintomallin puutteen poistamiseksi Kyberturvallisuuden kehittämisohjelma voisi suunnata yhteisiä resursseja kokonaisvaltaisten kansainvälisten ja kansallisten toimintamallien ja vaatimusten kehittämiseen; sekä ketterien hallintomallien parantamiseen dynaamisten, toisiinsa liittyvien kyberturvallisuusongelmien ja -kysymysten ratkaisemiseksi. Wärtsilällä kansainvälisenä meri- ja energia-alojen johtavana toimijana, ja näiden alojen kyberturvallisuusasiantuntijana, olisi paljon annettavaa edellä mainittujen toimintamallien kehittämisessä. On tärkeää että näiden toimintamallien luomiseen osallistuvat sekä julkinen että yksityinen sektori. Molempien sektoreiden osallistuminen mahdollistaa sekä markkinoiden ja teollisuusalojen vaatimusten huomioon ottamisen että koko yhteiskunnan kyberturvallisuuden parantamisen. (alhaalta ylös = markkinat ja teollisuus, ylhäältä alas = julkinen sektori ja yhteiskunta). Toisena konkreettisena ehdotuksena suomalaisen kyberturvallisuuden ekosysteemin luomiseksi Wärtsilä kannattaa kansallista Centers of Excellence (CoE) -mallia ja metodeja. Lausuntopyynnön väliotsikoiden mukaisesti CoE-mallia voidaan soveltaa julkisen ja yksityisen sektorin yhteistyöllä ainakin seuraavissa teemoissa: Teema 2: Kyberturvallisuuden koulutusjärjestelmän kehittäminen o Kyber-koulutus ja tutkimus (julkinen ja yksityinen) o Akateeminen ja ammatillinen kyber-koulutus, urapolku työelämään / alalle Teema 3: Kyberturvallisuuden harjoitustoiminnan yhteistyön vahvistaminen o Kyberuhkien simulointi, harjoittelu ja kriisijohtaminen (eri teollisuusalat) Teema 4: Kansallisen kyberturvallisuuden tutkimus- ja kehitysyhteistyön edistäminen o Resurssointi, tukeminen, käyttö Teema 5: Aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön o Viranomaiset ja julkishallinto, yhteistyö ja tiedonjako (Tietosuojavaltuutetut, EK, Kyberturvallisuuskeskus / HaVaRo, SuPo, Puolustusvoimat, KRP/Poliisi, muut) Teema 6: Kotimaisten kyberturvatuotteiden ja -palveluiden kasvun ja kansainvälistymisen tukeminen Teema 8: Jatkokehitetään poikkihallinnollisesti viranomaisten varautumista laajoihin kyberhäiriötilanteisiin o Tilannekuva: Uhkatiedon ja kybertiedustelun suorittaminen, analysointi ja jakaminen o Kyber-näkyvyyden / monitoroinnin parantaminen OT ja IT ympäristöissä o Incident response OT ja IT ympäristöissä Teema 10: Harmonisoidaan turvallisuusvaatimuksia ja parannetaan havainnointikykyä o Testaus & riskiassesmointi (tuotteet ja palvelut): kyberturvallisuus vaatimusten testaaminen ja todentaminen o Tuotteiden kyberuhka ja kybertapahtumien estäminen / korjaamien (PSIRT = Product Security Incident Response) Wärtsilä on erittäin sitoutunut parantamaan kansallista ja kansainvälistä kyberuhkiin liittyvää yhteistyötä sekä olemaan kokonaisvaltaisesti mukana turvallisemman digitaalisen tulevaisuuden rakentamisessa.
      • Insta DefSec Oy
        Päivitetty:
        2.2.2021
        • Insta DefSecin lausunto kyberturvallisuuden kehittämisohjelmasta 1. Yleistä Insta kiittää mahdollisuudesta lausua kyberturvallisuuden kehittämisohjelmasta. Pidämme tärkeänä, että kehittämisohjelman aikajänne mahdollistaa pitkäjänteisen kehitystyön, jota useat toimeenpanosuunnitelman toimenpiteet edellyttävät. Pitkästä aikajänteestä johtuen on myös tärkeää, että etenkin ohjelman toimeenpanosuunnitelmaa arvioidaan vuosittain ohjelmassa kuvatulla tavalla ja suunnitelma rakennetaan joustavaksi ja rahoitus on riittävällä tasolla. 2. Osaaminen Erityisen tärkeänä näemme sen, että kyberturvallisuuden opetuksen pitäisi olla sisällytettynä yleisesti teknologia-alojen koulutuksessa mm. sivuainevaihtoehtoina ja sen, että koulutuksen suunnittelussa otetaan huomioon myös elinkeinoelämän tarpeet ohjelmassa kuvatulla tavalla. Erillisten koulutusohjelmien, sivuainekokonaisuuksien ja muiden laajempien opintojen lisäksi kyberturvallisuuden perusasiat tulee sisällyttää kaikkeen teknologia-alan koulutukseen. On tärkeää, että kyberturvallisuusosaaminen ei siiloudu liiaksi yksinomaan erillisiin kyberturvallisuuden koulutusohjelmiin. Vastaavasti on tärkeää, että myös esimerkiksi liiketoimintajohdolla on riittävästi kyberturvallisuusosaamista, ja koulutusta tulisi olla tarjolla sekä täydennyskoulutuksena että muiden alojen koulutuksen yhteydessä. Kansalaisten kyberturvataitojen kehittämisen kannalta pidämme tärkeänä, että ohjelman mukaan kyberturvallisuus sisällytetään jo varhaiskasvatuksen ja peruskoulun opetussuunnitelmaan ja että kyberturvallisuustaidot on tässä yhdistetty muihin digitaaliseen toimintaympäristöön liittyviin taitoihin. 3. Yhteistyö ja harjoitustoiminta Osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen kyberturvallisuuden yhteistyöhön on hyvä määritellä: mikä organisaatio osallistuu esim. EU-tason yhteistyöhön ja miten tietoa jaetaan Suomessa muille toimijoille. Jatkossa tarvitaan esitettyäkin vahvempi panostus harjoitustoimintaan sekä panostuksen jakaminen nyt esitettyä useamman eri voimavaran kehittämiseen ja ylläpitämiseen. Panostusta tulisi suunnata toimintamallien kehittämiseen sekä harjoitustoiminnan laajemman työkalukokonaisuuden (erilaiset ratkaisut, alustat ja sovellukset) mahdollistamiseen. Harjoitustoiminnan kehittämispanosten vaikuttavuuden arvioimiseksi tulisi määritellä kansallisella tasolla suositus harjoitustoiminnan vähimmäisvaatimuksiksi ja tavoitetilat eri kohderyhmille. Harjoitustoiminnan kohteena tulisi huomioida myös koko julkishallinto. Toimialaharjoitusten lisäksi tulisi tukea valituissa kohderyhmissä myös organisaatiokohtaista harjoitustoimintaa. Harjoitustoimintapalveluita ja ratkaisuja tuottavat yritykset ja yhdistykset tulee osallistaa mukaan kansallisen harjoitustoiminnan kehittämiseen kautta linjan. Harjoitustoiminnan kehittäminen tulee huomioida osana uuden osaamiskeskuksen toimintaa ja oppilaitosyhteistyötä. Harjoitustoimintapalveluidenkin osa-alueella tulee edistää uusia skaalautuvia ja kaupallista potentiaalia omaavia innovaatioita kansallisiin ja kansainvälisiin tarpeisiin. Harjoitus- ja koulutustoiminnan yhteyksiä kannattaisi vahvistaa - esim. luomalla harjoituskalenteriin sidottu kyberturvallisuuden häiriötilanteiden hallinnan johtamisen kurssikokonaisuus organisaatioiden johdolle ja avainasiantuntijoille. Vrt. AVI:en ja Pelastusopiston alueellinen valmiusharjoitustoiminta, jossa harjoituksiin liittyy alueen kunnille suunnattuja varautumisen ja valmiuden peruskursseja. 4. Kotimainen kyberteollisuus Teollisuuden rooli on olennainen, koska se tarjoaa työpaikkoja ja sitoo osaamista Suomeen. Ehdotuksessa on muotoiltu, että pyritään rahoittamaan erityisesti pk-yritysten kyberturvallisuuden tutkimushankkeita ja kyberturvallisuuden kompetenssien kehittämistä. On huomattava, että suomalainen suuryritysten määritelmä on kansainvälisesti varsin pieni. Lisäksi useissa ei-pk –yrityksissä kyberturva saattaa olla oma toimialueensa. Tämä tarkoittaa, että yritysten tukemisen ohjaaminen vain/ensisijaisesti pk-yrityksille saattaa aiheuttaa, että haluttuja merkittäviä kehitysaskelia ei voida ottaa suuremmissa yrityksissä. Hyvänä näemme halun tukea kotimaisen kyberturvateollisuuden innovaatioita, tuotteita ja ratkaisuita, siten että niitä hyödynnetään entistä laajemmin ja rohkeammin. Tämä on esimerkiksi vientimahdollisuuksien kannalta tärkeää, koska kotimaisten referenssien arvo on suuri. Kotimaisen kyberteollisuuden kehittämisessä myös julkiset hankinnat ovat merkittävässä roolissa. Hankintaosaamisen kehittämisen rinnalla tulisikin varmistaa, että julkisissa hankinnoissa hankintakriteerit ovat selkeät ja niissä keskitytään hankinnan kohteen kannalta olennaisiin seikkoihin. 5. Kansalliset kyberkyvykkyydet sekä kotimaisen salausteknologian luonti Kansallinen salaustuoteperhe on uusi käsite, tarkoitetaanko tällä hyväksyttyjä teknologiavalintoja? On huomattava, että eri käyttökohteissa on ratkaisuille erilaiset tarpeet ja kun huomioidaan teknologian nopea kehittyminen, niin liian pitkälle menevä määrittely ei ole tarkoituksenmukaista. Salausteknologian kehittämisessä Puolustusvoimat on ollut edelläkävijä ja siellä jo käynnissä olevaa strategiatyötä, kryptolaboratoriota sekä laajaa yritysten, tutkimuslaitosten ja viranomaisten muodostamaa verkostoa kannattaa hyödyntää sen sijaan että rakennettaisiin uutta. Lause ”Tunnistetaan kansallisesti kriittiset kyberturvayhtiöt ja turvataan niiden kansalliset omistusosuudet.” on ongelmallinen mm. seuraavista syistä - Valtion omistus tietoturvatuotteita tekevissä yrityksissä aiheuttaa haasteita vientimahdollisuuksien osalta. - Valtion omistus yrityksissä vääristää markkinatilannetta, kun joku toimija on erikoisasemassa. Se myös vähentää muiden yritysten kiinnostusta investoida tuotekehitykseen ja tämä johtaa väistämättä osaamisen kuihtumiseen. - Hajautunut omistus tekee vastuista epäselviä. - Yhteenvetona näemme, että salausteknologian osalta ehdotukset ovat ristiriitaisia muihin esitettyihin tavoitteisiin. Yritysten ja valtionkin kannalta kansallisen turvallisuuden varmistaminen on tarkoituksenmukaisempaa toteuttaa ilman pakotetta omistuksesta. Omistusosuuden ei ole tarpeen olla proaktiivisesti varmistettu vaan se voidaan hoitaa muillakin tavoilla. Suomessa toimii esimerkiksi puolustusteknologian alueella useita yrityksiä, jossa samat tunnistetut haasteet on pystytty hallitsemaan vuosikymmeniä. Jo nykyinen lainsäädäntö sallii puuttua esimerkiksi yrityskauppatilanteisiin, joissa yrityskaupan kohteena on puolustusteollisuusyritys tai yritys, joka tuottaa tai toimittaa yhteiskunnan turvallisuuden kannalta kriittisiä tuotteita tai palveluita viranomaisille. Asia voidaan muotoilla esimerkiksi näin: ”Kriittisten kyberturvayhtiöiden osalta tulee varmistaa, että mahdollisissa kansallisen intressin kannalta haitallisissa määräysvallan siirtymistilanteissa sopimuksin on mahdollistettu järjestelyt, joilla valtion etu voidaan turvata.” 6. Seuranta ja raportointi Kyberturvallisuuden kehittämissuunnitelman haasteena on toisaalta nopeasti muuttuvat teknologiat ja uhkatilannekuva ja toisaalta tarve pitkäjänteiselle sekä määrätietoiselle kehittämiselle. Molempien näkökulmien huomioonottaminen vaatii strategioiden ja toimintasuunnitelmien joustavuutta sekä ajantasaisuutta eli riittävän taajaan tehtyjä tarkasteluja ja päivityksiä.
      • Liikenteenohjausyhtiö Fintraffic Oy
        Päivitetty:
        2.2.2021
        • Kokonaisuudessaan periaatepäätös on kattava ja siinä on paljon olennaisia elementtejä. Halusimme erikseen vielä korostaa meidän näkökulmastamme keskeisiä asioita huippuosaamisen ja riittävän resursoinnin osalta. Puolustusministeri Antti Kaikkonen Paasikivi-seuran kokouksessa kiteytti hyvin tämän päivän haasteet kyberturvallisuuden huippuosaamisen kehittämisessä. ’Miten voimme yllättyä Vastaamon tietomurrosta tai eduskuntaan kohdistetusta kybervakoilusta? Jo 20 vuotta sitten on todettu tietoverkkojen kautta leviävien informaatiouhkien lisääntyvän maailmanlaajuisesti ja haitallisen kybervaikuttamisen olevan päivittäistä.’ Huippuluokan osaamisen varmistaminen vaatii erilaista fokusta kuin ennen. Lainsäädäntöä toki tarvitaan, mutta kehittämisohjelmassa ei pitäisi pelkästään keskittyä lainsäädännönmukaisuuteen, vaan fokuksen olisi oltava myös tuloksissa, että oikeasti tietoturvaa ylläpidetään, ollaan sietokykyisiä ja vastustuskykyisiä kyberhyökkäysten sattuessa. Tarvitaan tieto- ja kyberturvallisuuden kulttuurimuutosta ja osaamisen vahvistamista. Opintokokonaisuuksien suunnittelussa on syytä löytyä syventävät moduulit, jossa huomioidaan IT osaamisen kulkeminen käsi kädessä osaamisen osalta. Esim. turvallisen koodaamisen opintojaksoa ei kannata käydä, jos ei osaa koodata. Kaikki IT alan koulutukset pitäisi sisältää pakollisena tietoturvan osiot, koska sen pitäisi olla osana päivittäistä työtä, kun mitä tahansa IT palvelua kehitetään ja ylläpidetään tulevassa toimenkuvassa. Kaivataan siis konkretiaa. Tämän lisäksi pitäisi miettiä osaamisen ylläpitoa, koska maailma muuttuu joka päivä. Myös viestintä kaipaa kehittämistä. Tällä hetkellä käytetään eri kohderyhmille vääränlaista viestintää, huippukyberasiantuntijalle tarkoitettu viesti, ei välttämättä avaudu hallinnollisella tasolla tai päinvastoin. Viestintä/Koulutusmateriaalit kaipaa myös konkretiaa - ihan joka tasolla. Kyberturvallisuuskulttuurin rakentaminen on viiden vuoden projekti – miten viranomaistason oma osaaminen varmistetaan, kun Euroopan mittakaavassa puolet puuttuu osaamisesta, miten tässä kilpaillaan, kun hyvän kyberosaajan kasvattamisessa menee parhaimmillaan 10 vuotta? Antti Kaikkonen kiteyttää myös seuraavan haasteen hyvin, joka kaipaa meidänkin mielestämme ratkaisua: ’On aika jättää suomalaisen yhteiskunnan turvallisuusajattelussa ”vähemmällä enemmän” -ajattelu historiaan. Vähemmällä saa aikaan vähemmän. Todellinen turvallisuus maksaa, hän sanoi.’ Jos vertaamme Suomen budjettia muiden maiden kyberbudjetteihin, sekin kertoo oman tarinansa. Tähän ei ole investoitu tarpeeksi. Niin kauan, kun resursseja ei ole, hyvätkään kehityssuunnitelmat eivät toteudu.
      • Naisten Valmiusliitto
        Päivitetty:
        1.2.2021
        • NAISTEN VALMIUSLIITON LAUSUNTO KYBERTURVALLISUUDEN KEHITTÄMISOHJELMASTA Asia: Ehdotus valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta Lausuntopyynnön diaarinumero: VN/ 797/2021 Yleistä Yhteiskunta on entistä enemmän riippuvainen digitaalisista järjestelmistä ja siihen siirtymistä on nopeuttaneet globaalit terveysuhat, kuten covid-19. Hallitusohjelmassa on asetettu tavoitteita kansallisen kyberturvallisuuden kehittämisestä liittyen tilannekuvan parantamiseen, kansainvälisen yhteistyön tiivistämiseen sekä kansallisen koordinaation tehostamiseen. Naisten Valmiusliitto ry haluaa lausunnossaan tuoda esille kolmannen sektorin näkökulman painottaen tavoitteista kansallista kyberturvallisuuden tilannekuvaa ja kansallisen koordinaation tehostamista. Kyberturvallisuuden johtamisen koordinaatiomallissa tulee huomioida hallinnon ja elinkeinoelämän lisäksi myös järjestöedustus. Naisten Valmiusliitto haluaa kiinnittää erityistä huomiota kehittämisohjelmassa kansalaisten kykyyn suojata itseään ja muita kyberuhkilta sekä taitoihin ja kykyyn puuttua ongelmiin sekä saattaa kyberturvallisuutta uhkaavat tilanteet tarvittaessa viranomaisten tietoon. Kehittämisohjelman pääteemat ja tavoitteet 1) Huippuluokan osaaminen Järjestöillä on mahdollisuus toimia ns. matalan kynnyksen kouluttajina, kiinnostuksen herättäjinä ja tietoisuuden edistäjinä kyberturvallisuuden uhista ja niihin puuttumisesta. Kyberturvallisuuskeskus voisi parhaimmillaan toimia järjestöjen toimintaa tukevana koordinaatiotahona ja yhteistyöfoorumina, joka hallinnoi järjestöjen kanssa käytävää tilannekuvakeskustelua, välittää tietoa järjestöille järjestöjä ja kansalaisia koskevista kyberuhista, kouluttaa järjestötoimijoita ja tuottaa tai kokoaa yhteen kyberturvallisuuden koulutuspaketteja eri kohderyhmille. Osalla järjestöistä on jo nyt aktiivista kyberturvallisuuskoulutusta ja muuta kansalaisille suuntautuvaa kyberturvallisuutta edistävää toimintaa, kuten yhteistyötä viranomaisten kanssa. Naisten Valmiusliitto ry järjestää suomalaisille naisille kyberturvallisuuden peruskoulutusta viikonlopun pituisissa NASTA-harjoituksissa ja yksittäisinä kursseina. Kurssin tavoitteena on, että kurssilainen ymmärtää kyberturvallisuuden perusteet, muistaa kodin tietoturvaan keskeisesti liittyvien teknisten laitteiden suojaamisen ja niihin liittyvät riskitekijät, sekä ymmärtää turvallisen toiminnan verkossa ja sosiaalisen median käytön periaatteet. Lisäksi Naisten Valmiusliitto järjestää tietoisuutta edistävää koulutusta informaatiovaikuttamisesta ja hybridiuhkista. Vahva kyberturvallisuus edellyttää kansalaisten kykyä tunnistaa kyberuhkia, ymmärtää oman toiminnan merkitys ja suojautua niiltä sekä kykyä raportoida havainnoista tarvittaessa viranomaisille. Järjestöt ovat keskeisessä roolissa tunnistaessaan kansalaisten toimintavalmiuksia käyttää digitaalisia palveluita ja laitteita sekä tunnistaessa niihin liittyviä riskejä ja menettelytapoja ongelmatilanteisiin jouduttaessa. Kansallisella tasolla ajantasainen kyberturvallisuuskoulutus ei ole yhdenmukaista (tuottajina esim. oppilaitokset, koulut, järjestöt) eikä tavoita kaikkia, jolloin meillä on suuri joukko omaehtoisen kouluttautumisen sekä tiedonhaun varassa ja saatavilla olevan koulutuksen tavoittamattomissa. Kansalaisten on lisäksi tarpeen ymmärtää paremmin kybertoimintaympäristöjen moniulotteisuus, jossa edellytetään yhä enemmän myös kykyä kriittiseen mediasisältöjen tulkintaan informaatiovaikuttamiseen vastaamiseksi. Tässä järjestöt ovat keskeisessä asemassa tavoittamaan kansalaiset ja edistämään turvallista ja yhdenvertaista osallistumismahdollisuutta yhteiskuntaan. Järjestöt ovat kiinnostuneet myös organisaationa toimimaan yhdessä viranomaisten ja elinkeinoelämän kanssa tilannekuvasta käytävän keskustelun lisäksi erilaisissa harjoituksissa, joissa vahvistetaan samalla järjestöjen suojautumiskeinoja erilaisiin kyber- ja hybridiuhkamalleihin. 2) Kiinteä yhteistyö Tiivis yhteistyö järjestöjen kanssa mahdollistaa viranomaisille luotettavan tilannekuvan, matalan kynnyksen raportoida ongelmatilanteista ja auttaa ehkäisemään uhkia riittävän ajoissa. Järjestökenttä ei ole mitenkään homogeeninen ryhmä vaan tavoittaa hyvin erilaisia kohderyhmiä ja sitä kautta mahdollistaa myös monipuolisen tilannekuvan välittämisen kansalaisten suunnalta. Järjestöjen ja viranomaisten välinen yhteistyö tulisi olla vielä selkeämmin määritelty ja sen tulisi olla kaksisuuntaista. Viranomaiset eivät välttämättä esimerkiksi tiedä, miten erilaisia vaikuttamisyrityksiä kansalaisiin kohdistetaan. Kansalaiset eivät vastaavasti osaa näistä viestiä oikealle taholle ongelmien korjaamiseksi. Järjestöt toimivat tässä hyvänä linkkinä kansalaisten ja viranomaisten välillä. Yhteenvetona: Kehittämisohjelmassa olisi hyvä tuoda selkeämmin esille kolmannen sektorin rooli, sekä sille osoitettu koordinoiva vastuutaho kyberturvallisuuskeskuksesta, jotta olemassa oleva tieto ja resurssit saataisiin parhaiten hyödynnettyä. Tiivis ja hyvä yhteistyö vahvistaa osaamista sekä välillisesti vahvistaa kansalaisten luottamusta yhteiskunnan toimivuuteen. Myös häiriötilanteiden toiminnot rakennetaan normaaliolojen toimintamallia ja osaamista hyödyntäen. Naisten Valmiusliitto ry kiittää mahdollisuudesta antaa lausunto kyberturvallisuuden kehittämisohjelmasta. Lisätietoja lausunnosta antaa pääsihteeri Kaarina Suhonen, kaarina.suhonen@naistenvalmiusliitto.fi, puh. 040 561 1655. NAISTEN VALMIUSLIITTO RY Paula Risikko Kaarina Suhonen puheenjohtaja pääsihteeri Naisten Valmiusliitto ry on valtakunnallinen yhteistyöjärjestö, joka on perustettu vuonna 1997. Liiton puheenjohtaja toimii Paula Risikko. Liitto yhdistää 10 naisten vapaaehtoista maanpuolustus- ja turvallisuustyötä tekevää jäsenjärjestöä, joissa toimii yli 100 000 naista. Liiton tarkoituksena on kehittää naisten turvallisuuteen ja varautumiseen liittyviä valmiuksia koulutuksen kautta sekä lisätä naisten mahdollisuuksia toimia poikkeusoloissa yhteiskunnan hyväksi. Liiton toiminta ei ole sotilaallista. Naisten Valmiusliiton päätoimintaa ovat NASTA- ja PikkuNASTA-valmiusharjoitukset, joita toteutetaan eri puolilla Suomea. www.naistenvalmiusliitto.fi
      • Pelastakaa Lapset ry, Kehittämispäällikkö, Digitaalinen hyvinvointi ja lapsen oikeudet, Järventaus Antti
        Päivitetty:
        1.2.2021
        • Pelastakaa Lasten lausunto kyberturvallisuuden kehittämisohjelmasta Pelastakaa Lapset kiittää mahdollisuudesta lausua kyberturvallisuuden kehittämisohjelmasta. Vuosina 2021–2030 toimeenpantavan ohjelman tavoitteena on luoda Suomeen vahva kyberturvallisuuden ekosysteemi, joka jakautuu neljään pääteemaan: huippuluokan osaamiseen, kiinteään yhteistyöhön, vahvaan kotimaiseen kyberturvateollisuuteen ja tehokkaisiin kansallisiin kyberturvakyvykkyyksiin. Ohjelman toteutusta seurataan liikenne- ja viestintäministeriössä sekä Turvallisuuskomiteassa ja sen toteutusta tukee kyberturvallisuuden johtamisen koordinaatiomalli. Pelastakaa Lapset tunnistaa tarpeen kyberturvallisuuden jatkuvaan kehittämiseen ja muistuttaa, että kyberturvallisuuden uhkat koskettavat myös lapsia. Järjestö ilmaisee tyytyväisensä siihen, että digitaalisten turvataitojen opetus kouluissa on huomioitu osana ehdotettuja kehittämistoimenpiteitä. Pelastakaa Lapset huomauttaa kuitenkin, että lasten suojelemiseksi verkkoympäristöissä tarvitaan turvataitojen lisäksi muitakin toimenpiteitä ja ehdottaa lapsiin kohdistuvien uhkien parempaa huomioonottamista toimintaohjelmassa. Kyberturvallisuuden uhkakuvissa lapset tulee huomioida erityisryhmänä Verkossa tapahtuva lasten houkuttelu seksuaalisiin tarkoituksiin (grooming) ja lapsiin kohdistuvaaaa seksuaaliväkivaltaa todistavan materiaalin tuottaminen ja levittäminen ovat merkittäviä uhkia lapsen oikeuksille ja hyvinvoinnille, ja mm. Europolin kyberrikollisuuden torjunnan keskeisiä painopistealueita. Lapsiin kohdistuu verkossa myös muunlaisia haittoja. Kiusaamisen, häirinnän, kiristämisen ja identiteettivarkauksien uhrit ovat usein lapsia. Lapsiin kohdistuva vihapuhe ja rasismi murentavat uhrinsa itsetuntoa ja hyvinvointia, ja erityisesti nuoret ovat väkivaltaisten ääriryhmien rekrytoinnin tyypillisiä kohteita. On myös huomioitava, että laajamittaiset, kriittiseen infrastruktuuriin kohdistuvat kyberuhkat koskettavat myös lapsia. Lasten yhteys vanhempiin toteutuu nykyisin merkittävässä määrin matkapuhelinten välityksellä. Matkapuhelinverkon kaatuminen suurella alueella voi erottaa lapset vanhemmistaan ja synnyttää erityistä huolta ja konkreettisia vaaratilanteita, erityisesti laajoissa evakuointitilanteissa. Valtiolla on velvollisuus suojella lapsia kyberuhkilta Lapsen oikeuksien sopimuksen nojalla valtiolla on erityinen velvollisuus suojella lapsia, ja tämä velvoite koskee myös digitaalisia ympäristöjä ja kyberturvallisuuteen liittyviä uhkia. Euroopan neuvoston vuonna 2018 jäsenmailleen julkaisemat ohjeet [1] ja vuonna 2021 julkaistava YK:n lapsen oikeuksien sopimuksen uusi yleiskommentti [2] tarkentavat valtioiden suojeluvelvoitetta digitaalisissa ympäristöissä. Pelastakaa Lapset ehdottaa, että lapsen oikeudet ja erityisesti niihin sisältyvät oikeudet suojeluun, yksityisyyden suojaan ja sananvapauteen huomioidaan kehittämisohjelmassa. Elinkeinoelämä on avainasemassa lapsiin kohdistuvien kyberuhkien torjunnassa Lapsiin kohdistuvat kyberuhkat toteutuvat pääasiassa joko suorasti tai epäsuorasti yksityisen sektorin tuottamien palveluiden kautta. Edellä mainitut asiakirjat korostavat elinkeinoelämän vastuuta lapsen oikeuksien toteutumisesta ja edellyttävät valtiolta tehokkaita elinkeinoelämään kohdistuvia valvonta- ja seurantatoimia sekä velvoitteita. Pelastakaa Lapset ehdottaa, että kehittämisohjelmassa tunnistetaan elinkeinoelämän vastuu lasten suojelemisesta ja heidän oikeuksiensa toteutumisesta. Konkreettisia kehittämisehdotuksia toimintaohjelmaan Pelastakaa Lapset ehdottaa seuraavia lisäyksiä ohjelmaan: - Teeman 1 (Huippuluokan osaaminen) kuvauksessa lapset tulee tunnistaa erityistä huomiota ja suojelua tarvitsevana ryhmänä. Lasten suojelemiseen digitaalisen yhteiskunnan vaaratilanteissa tarvitaan niin ikään erityistä osaamista. Tätä osaamista tulee olla niin julkisen kuin yksityisenkin sektorin asiantuntijoilla. - Teemassa 2 (Kiinteä yhteistyö) kuvatussa harjoitustoiminnassa on osana kriittisten arvoketjujen suojaamista huomioitava myös lasten turvallisuuteen ja oikeuksiin liittyvät kysymykset. - Teemassa 3 (Vahva kotimainen kyberturvateollisuus) mainitussa kansallisessa koordinaatiokeskuksessa tulee olla myös lasten kyberturvallisuuteen liittyvää substanssiosaamista. - Teemassa 4 (Tehokkaat kansalliset kyberturvakyvykkyydet) tulee huomioida väkivaltaisten ääriryhmien verkkoympäristöissä harjoittama toiminta ja sen aiheuttamat uhkat yhteiskunnan turvallisuudelle (väkivalta, disinformaatio, polarisaatiota vahvistava toiminta jne.). Lisäksi huomio tulee kohdistaa lapsiin kohdistuvien seksuaalirikosten ehkäisyyn, ilmiön tutkimukseen ja kansainväliseen yhteistyöhön. Lopuksi Pelastakaa Lapset muistuttaa, että lapsilla on oikeus tulla kuulluksi itseään koskevissa päätöksissä ja suosittelee, että lapset osallistetaan mielekkäällä tavalla kyberturvallisuutta edistävän toiminnan suunnitteluun, harjoitteluun ja arviointiin. [1] https://edoc.coe.int/en/children-and-the-internet/7921-guidelines-to-respect-protect-and-fulfil-the-rights-of-the-child-in-the-digital-environment-recommendation-cmrec20187-of-the-committee-of-ministers.html [2] https://www.ohchr.org/EN/HRBodies/CRC/Pages/GCChildrensRightsRelationDigitalEnvironment.aspx
      • MPK Maanpuolustuskoulutusyhdistys, Mustaniemi Timo
        Päivitetty:
        1.2.2021
        • Maanpuolustuskoulutusyhdistys (MPK) kiittää mahdollisuudesta antaa lausunto Kyberturvallisuuden kehittämisohjelman periaatepäätöksen ehdotuksesta. MPK toiminta keskittyy koulutukseen ja sen yhteydessä myös kyberturvallisuuden harjoitustoimintaan. Laki vapaaehtoisesta maanpuolustuksesta annetussa laissa (556/2007, 868/2019) lähdetään siitä, että MPK:n toiminta on "... koulutusta ja toimintaa sekä vapaaehtoista maanpuolustusta koskevaa tiedotusta ja valistusta" (868/2019, 7§). MPK:n lausunnon painopiste on huippuluokan osaamisessa ja kiinteän yhteistyön harjoitustoiminnassa. MPK on toteuttanut jo muutamien vuosien ajan käytännössä ehdotuksen liitteen 1 kohtien 1.2- 1.6, 2.1, 2.6-2.8, 3.1-3.2 ja 11.1 sekä liitteen 2 kohtien 1-3 kokonaisuuksia. Kokonaisuutena ehdotusta kehittämisohjelmaksi voidaan pitää kattavana kansalaisten osaamisen kehittämisestä aina kansainvälisen toiminnan huomioimiseen. MPK pitää tärkeänä, että kaikki yhteiskuntamme toimijat tuntevat yhteiskuntamme kyberturvallisuuden omaksi asiakseen ja kokevat, että hei-dän antamallaan panoksella on saavutettavissa konkreettisia positiivisia tuloksia. Yhteiskunnan kaikkien toimijoiden kyberosaamista parannetaan parhaiten mahdollisimman läpäisevällä koulutuksella, mikä on huomioitu kehittämisohjelmassa varsin kattavasti. Erityisen hyvänä voidaan pitää nuorten ja naisten osuuden painottamista ehdotuksessa. Koulutuksen järjestämisessä (s. 8) on pyrittävä myös tukemaan ja hyödyntämään jo olemassa olevien toimijoiden osaamista ja rakentamista. MPK:lla on kokemusta ja osaamista kyberturvallisuuden koulutuksesta ja siihen liittyvästä harjoitustoiminnasta yhteistyössä eri hallinnonalojen, yritysten tai yliopistojen kesken myös kansainvälisessä viitekehyksessä. MPK:n kyberturvallisuuden koulutuspolku mahdollistaa yksilöiden jatkokouluttautumista hyvinkin vaativiin tehtäviin erittäin resurssitehokkaasti. MPK esittää harkittavaksi ehdotuksessa todetun viestintäsuunnitelman (s. 8) lisäksi jatkosuunnittelussa selkeän koulutussuunnitelman laatimisen avaamaan käytännön esimerkein osaamisen koulutuspolkuja ja eri mahdollisuuksia. Myös osaamiskeskittymien toiminnan tarvittavasta resursoinnista on huolehdittava. Erityisesti kyberturvallisuuden puolella mm. kaluston ja tietoliikenneyhteyksien kustannusten rahoitukseen tulisi erikseen kiinnittää huomiota. Kyberturvallisuuden koulutuksessa ja erityisesti sen käytännön harjoituksissa saatetaan kuitenkin kohdata isojakin kustannuksia, kun järjestelmien suojauksiin joudutaan panostamaan tiukempien turvaluokitusten vuoksi. Kyberturvallisuuden koulutus ja harjoitustoiminta edellyttää kalustoinvestointeja ja ylläpitokustannuksia. Yhteistyössäkin on käytännössä maksettava kaluston ja tilojen käytöstä. Esitetty tuki 100.000 eur/vuosi ei vastanne todellisia kustan-nuksia kaikille toimijoille jaettuna. Yhteisöjen tukemiseen varattua rahoitusta voidaan pitää minimaalisena. Yhteisiin harjoitusympäristöihin (s. 10) investointi on periaatteessa hieno tavoite. Todellisuudessa harjoitusympäristöt rakennetaan toteuttamaan niihin suunniteltuja skenaarioita. Kaikkia erilaisia harjoitusskenaarioita palvelevan yhden (tai edes muutaman) valtakunnallisen harjoitusympäristön rakentaminen on haasteellista, jopa mahdotonta. Havaintojen mukaan toteutetuissa ympäristöissä on aina jotain rajoitteita suhteessa johonkin uuteen, eri lähtökohdista tehtyihin skenaarioihin. Todennäköisesti olisi parempi rakentaa useampia pienempiä erillisiä ympäristöjä, jotka verkotettaisiin toimimaan yhdessä aina skenaarioiden vaatimusten mukaan. Näin voitaisiin luoda aina kulloiseenkin skenaarion tilanteeseen sopiva harjoituskonfiguraatio. Tämä edellyttää kuitenkin järjestelmien integraatioiden toteutusta ja yhteisten pelisääntöjen suunnittelua. Ehdotuksessa on vielä asioita, jotka vaativat yksityiskohtaisempaa suunnittelua ja toimijoiden välistä yhteistyötä erityisesti liitteissä käsiteltävien asioiden jalkauttamiseksi. Seurannan ja raportoinnin osuus on varsin vaatimaton suhteessa muuhun ehdotukseen. MPK haluaa olla aktiivinen toimija kyberturvallisuuden kehittämisohjelman toimeenpanossa. MPK:n toivomuksena on, että se saisi erityisesti osallistua kehittämisyhteistyöhän sekä Puolustusministeriön, Puolustusvoimien ja Huoltovarmuuskeskuksen kanssa julkishallinnollisena organisaationa että kansalaisen osaamisen kehittämisessä osana järjestötoimintoja.
      • Cinia Oy
        Päivitetty:
        1.2.2021
        • Cinia kiittää mahdollisuudesta lausua periaatepäätöksen ehdotuksesta. Kehittämisohjelma on tärkeä osa kansallisen kyberturvallisuusstrategian toimeenpanoa ja se mahdollistaa omalta osaltaan kokonaisvaltaisen kansallisen kyberturvallisuuskyvykkyyden kehittämisen. Yleistä Aiempiin toimeenpano-ohjelmiin verrattuna kehittämisohjelma on ambitiotaso riittävän korkealla, ohjelmassa huomioidaan laajasti kansallisten kyvykkyyksien yhteensovittaminen ja tavoitteille on määritetty taloudelliset resurssit. Toimeenpanon ohjaus ja valvonta on tärkeää kehittämisohjelman vaikutuksen aikaansaamisessa ja tulosten varmistamisessa. Jokaiselle kehittämistoimenpiteelle on varmistettava riittävä ohjausmekanismi, joka tukee tavoitteiden saavuttamista. Kehittämisohjelmalle osoitettu rahoitus on merkittävästi suurempi kuin edellisellä kierroksella, mutta kyberturvallisuuden laaja-alaisuus huomioiden vain kohtuullinen. Rahoituksen kohdentamisessa on oltava huolellinen, jotta kustannustehokkuudessa saavutetaan paras mahdollinen tulos. Tarkemmat havainnot alueittain Huippuluokan osaaminen. Järjestö- ja vapaaehtoiskentän huomioiminen osaamisen varmistamisessa on kannatettavaa. Kuitenkin on huomioitava, että roolit ja vastuut ovat selkeät eivätkä ne mene päällekkäin julkishallinnon tai yrityssektorin kanssa. Kyberturvallisuuden professuurien lisääminen on yksi keino edistää korkean tason tutkimusta ja osaamisen kehittämistä. Huippuosaamisen syntymistä voisi edistää tutkimus- ja koulutusresurssien keskittäminen saman johdon alle. Kiinteä yhteistyö. Elinkeinoelämän ja julkishallinnon välisen yhteistyön tiivistäminen on tärkeää. Yrityksillä voi olla usein kyky tuottaa kyberturvallisuuspalveluja kustannustehokkaammin kuin viranomaisten toimesta. Vahva kotimainen kyberturvateollisuus. Kansainvälistymisen edistäminen on keskeinen osa suomalaisen kyberturvallisuusteollisuuden kasvua. Kansainväliseen yhteistoimintaan on aina pyrittävä sisällyttämään alan yritysten viennin edistäminen. Tehokkaat kansalliset kyberturvakyvykkyydet. Kansallinen kyvykkyys muodostuu julkishallinnon ja yksityisen sektorin yhteisestä kyvykkyydestä. Kansallisen turvallisuuden näkökulmasta on keskeistä, että kyberturvallisuuden johtamisen roolit ja vastuut ovat selkeät. Regulaatiolla voidaan vaikuttaa toiminnan ja teknologian hyvyyteen, mutta häiriötilanteissa keskeistä on kyky johtaa. Johtamismalli on pyrittävä kehittämään sellaiseksi, että se pysyy kaikissa tilanteissa samana, se on kaikkien tiedossa ja johtamista harjoitellaan säännöllisesti. Yksityinen sektori on yhä tärkeämpi osa kansallista kyberturvakyvykkyyttä. Lähtökohtana viranomaistoiminnassa tulisi aina olla mahdollisimman laaja yksityisen sektorin palvelujen ja osaaminen hyödyntäminen. Viranomaisvastuu ei tarkoita sitä, että viranomainen pyrkii tekemään kaiken itse ja omilla resursseilla. Kansallinen salauskyvykkyys on tärkeä osa kybersuvereniteettia. Hyvä, että kehittämisalue on huomioitu ja kyvykkyyksien kehittämiseen kohdennetaan resursseja.
      • Pääesikunta
        Päivitetty:
        29.1.2021
        • PÄÄESIKUNNAN LAUSUNTO KYBERTURVALLISUUDEN KEHITTÄMISOHJELMASTA 1 JOHDANTO Puolustusvoimat arvostaa mahdollisuutta lausua kyberturvallisuuden kehittämisohjelmasta. Kehittämisohjelma on ajankohtainen sekä tarpeellinen. Kokonaismaanpuolustuksen sekä valtion toimintakyvyn ja suvereniteetin turvaamiseksi julkishallinnon ja elinkeinoelämän läpileikkaava kehittämisohjelma on välttämätön. Puolustusvoimat on osallistunut kehittämisohjelman laatimistyöhön eri vaiheissa ja korostanut systemaattisesti erityisesti kansallisen turvallisuuden ja kyberpuolustuksen toimintaedellytysten varmistamisen tärkeyttä myös kyberturvallisuuden kehittämisohjelman toimenpiteiden kautta. Kyberpuolustus on vuoden 2013 kyberturvallisuusstrategian mukaan poikkihallinnollista moniviranomaistoimintaa. Vuoden 2019 kybertuvallisuusstrategiassa kyberturvallisuuden johtamisen, suunnittelun ja varautumisen keskeisiä kehittämisen osa-alueita olivat kyberpuolustus ja kansallista turvallisuutta vaarantavien kyberuhkien torjunta. Kyberturvallisuuden kehittämisohjelma on siten luonnollinen yhteys tuoda esille myös kansallisen turvallisuuden ja kyberpuolustuksen kehittämistä. Digitaalisen toimintaympäristön kehitystä sanelevat teknologian kehitys, sen merkitys taloudelle ja yhteiskunnan toiminnan muutokselle. Viime aikoina niin kutsutun kovan turvallisuuden korostuminen kyberympäristössä on kuitenkin haastanut teknologisiin mahdollisuuksiin nojaavaa kehityskulkua. Tämä ilmenee lisääntyneinä kyberuhkina, -vakoiluna ja jopa -iskuina eri toimijoita kohtaan. Muutos on pysyvä eikä sitä voida sivuuttaa missään maassa kansallisen kyberturvallisuuden kehittämisessä. Muuttuneessa digitaalisessa toimintaympäristössä myös kyberpuolustuksella ja kansallisen turvallisuuden näkökulmien huomioimisella on aiempaa korostuneempi merkitys. Ne ovat keskeisiä osa-alueita myös digitaalisen toimintaympäristön luomien uusien mahdollisuuksien varmistamisessa. TITUKRI-työssä (Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla) laajemmat kybertoimintaympäristöön liittyvät kysymykset mm. kansallisen turvallisuuden ja maanpuolustuksen osa-alueet rajattiin pois ja määritettiin kyberturvallisuuden kehittämisohjelman kuvausvastuulle. Tämä loi selkeää painopistettä TITUKRI-työlle, mutta antoi samalla lisävaatimuksia kyberturvallisuuden kehittämisohjelmalle. Tällä hetkellä kyberturvallisuuden kehittämisohjelmassa on useita suoraan tai välillisesti kansallista turvallisuutta ja kyberpuolustusta tukevia kokonaisuuksia osaamisen kehittämisen, tutkimuksen, yritystoiminnan sekä kyberteollisuuden osa-alueilla. Kuitenkin myös kehittämisohjelman merkittävimmät puutteet ovat kansallisen turvallisuuden ja kyberpuolustuksen kehittämisessä. 2 YLEISTÄ Kehittämisohjelman lähestyminen on mahdollisuuksia painottava kuten kyberturvallisuusstrategiakin. Lähestymistapa on perusteltu ja ohjelman sisältö noudattaa tätä linjaa. Kyberturvallisuuden kansallisen ratkaisun rakentaminen keskittyy kansallista kilpailukykyä parantaviin talous- ja kauppapoliittisiin, viennin edistämisen toimenpiteisiin. Samanaikaisesti keskeiseksi haasteeksi todettiin osaajapula ja kilpailu osaajista toimijoiden välillä. Yhteistyö, yhteiset rakenteet, jaetut kyvykkyydet ovat vähintäänkin yhtä keskeistä kuin kansallisen pärjäämisen edistäminen. Mahdollistavien toimenpiteiden sekä kasvun ja kansainvälistymisen korostaminen ei saa kuitenkaan rajata kansallista turvallisuutta tai kyberpuolustusta parantavia toimenpiteitä pois kehittämisohjelmasta. Suomen kyberturvallisuuden kehittämisen tulee perustua uhkien ja nykytilan todenmukaiseen arviointiin. Toimintaympäristön muutos edellyttää sekä ”pehmeän” että ”kovan” kyberturvallisuuden kehittämistä laaja-alaisesti, myös maanpuolustuksellisen osan sisältävää tarkastelua sekä eri osa-alueiden aktiivista yhteensovittamista. Kehittämisohjelman toimenpidesuunnitelmat ovat merkittäviltä osin passiivilauseita ja tavoitteen tai linjauksen omaisia toteamuksia sen sijaan, että niissä kuvattaisiin konkreettista etenemispolkua kyberturvallisuusstrategian asettamiin tavoitteisiin. Keskeinen osa tavoitteisiin pääsemisen arviointia on kuvattujen toimien mittarien hyvyys. Nyt osa liitteen mittareista on hyvin yleisiä. Liian yleisellä tasolla olevilla mittareilla on helppo sanoa, että tavoite on saavutettu, vaikka tosiasiallisesti näin ei ole. Kehittämisohjelma ei ole realistinen ilman selvästi suurempaa rahoitusta. Vaikka niin kutsutut normaalit toimintamenot voivatkin olla resurssillinen ratkaisu niihin kehittämiskohteisiin, joilla muutetaan nykyistä toimintaa uuden malliseksi toiminnaksi, niin toimintamenot eivät riitä ratkaisemaan esimerkiksi yritystoimintaan tai muihin uusiin avauksiin liittyviä merkittäviä kehittämiskohteita. Myös tavoitteisiin, joiden keskeinen resurssi on vapaaehtoinen osallistuminen kunkin omilla resursseilla (erityisesti 3. ja 4. sektori), liittyy merkittäviä riskejä toteutumisen kannalta. Tällöin niiden varaan ei etenkään viranomaisten tulisi laskea, vaikka toiminnan edistäminen onkin tärkeää. Tämän tulisi näkyä tavoitteiden asettelussa. Kehittämisohjelman todetaan ulottuvan vuoteen 2030 saakka, mutta suurin osa esitetyistä toimenpiteistä ajoittuu vuodelle 2021 tai lähivuosille. Kehittämisohjelman jäsentämiseksi tulisi harkita esimerkiksi vaiheistamista ja vaihekohtaisia strategisia tavoitteita ja vaiheiden suunnittelun aikataulun kuvaamista. Lisäksi kehittämisohjelmassa tulisi esittää selvästi yhteys, miten esitetyillä toimenpidelistauksilla saavutetaan uskottavasti kaikki Suomen kyberturvallisuusstrategian tavoitteet. On hyvä, että kehittämisohjelman linjausten mukaan ohjelman teemoja tullaan jatkossa päivittämään, sillä myös jatkossa on kansallisesti kyettävä vahvemmin linkittämään kyberturvallisuus ja kyberpuolustus sekä sovittamaan saadut kokemukset toiminnan ja suorituskykyjen kehittämiseen. Kyberpuolustus ja kyberturvallisuus ovat toisistaan riippuvaisia. 3 KEHITTÄMISOHJELMA KANSALLISEN TURVALLISUUDEN JA KYBERPUOLUSTUKSEN NÄKÖKULMASTA 3.1 EU:n ja kansallisen kyberturvallisuusstrategian linjausten huomiointi Vuoden 2019 kyberturvallisuusstrategia painottaa kyberpuolustuksen olevan yksi kyberturvallisuuden kehittämisen painopistealueista. Vastaavasti Euroopan unionin kyberturvallisuusstrategia korostaa kansallisen turvallisuuden ja kyberpuolustuksen merkitystä kyberturvallisuuden tavoitteisiin pääsemiseksi sekä oman toiminnan vapauden takaamiseksi. Kokonaisuudessa korostuu niin kansallisen ja kansainvälisen yhteistoiminnan kuin kansallistenkin kyberkyvykkyyksien kehittämistarpeet. Valitettavasti nämä periaatteet eivät ole täysmääräisesti jalkautuneet kyberturvallisuuden kehittämisohjelmaan. EU:n kyberstrategian kansallisen toimeenpanon tulisi olla pitkälti kyberturvallisuuden kehittämisohjelman vastuulla. EU:n strategiasta kansalliseen kyberturvallisuuden kehittämisohjelmaan päätyneet kirjaukset jäävät tällä hetkellä kokonaisuutena vaisuiksi ja periaatteellisiksi, esimerkiksi viranomaisten yhteistoimintaa velvoittavan julkilausuman osalta: “Several communities, composed of networks, EU institutions, bodies and agencies, as well as Member State authorities, are responsible for preventing, discouraging, deterring and responding to cyber threat, using their respective instruments and initiatives. These communities include: (i) NIS authorities, such as CSIRTs, and disaster response; (ii) law enforcement and judicial authorities; (iii) cyber diplomacy; and (iv) cyber defence.” EU:n kyberstrategia korostaa kaiken tasoisen (tiedustelu, tilannekuva, vaste, pidäke) yhteistoiminnan laajentamista. Se lähestyy kyberturvallisuuden haasteita toimenpidelähtöisesti sekä osin rakenteistamalla (esim. organisointi) niiden toteuttamisen. Kansallisen ohjelman toimenpiteet ovat geneerisesti kyvykkyyttä lisääviä eikä toimijoiden yhteistyörakenteille ole kuvattu kehittäviä toimenpiteitä. Puolustusvoimat esittää, että kyberturvallisuuden kehittämisohjelmassa tulee huomioida Euroopan unionin kyberturvallisuusstrategian periaatteet nykyistä paremmin osana kansallisen kyberkyvykkyyden kehittämistä. Kyberturvallisuusstrategiassa 2019 todetaan EU:n linjausten mukaisesti "Kybertoimintaympäristöä suojataan kasvattamalla kynnystä erityyppisiin kyberhyökkäyksiin muun muassa parantamalla kyberhyökkäysten havainnointi- ja attribuutiokykyä sekä kykyä vastatoimiin. Vastatoimet voivat koostua esimerkiksi lainvalvontatoimista, diplomaattisista toimenpiteistä tai aktiivisista kybervastatoimista. Vastatoimien kehittämisessä otetaan huomioon EU:n vahvan kyberpuolustuksen kehittämisen linjaukset. Kyberrikollisuuden torjuntaan osallistutaan EU:n puitteissa oikeus- ja lainvalvontaviranomaisten kansainvälisellä yhteistyöllä sekä osallistumalla kansainvälisen oikeuden ja sopimusten kehittämiseen." Kehittämisohjelmasta ei kuitenkaan löydy toimenpiteitä tämän strategisen tavoitteen saavuttamiseksi. Valtioneuvoston hyväksymän vuoden 2019 kyberturvallisuusstrategian toimeenpanemiseksi Puolustusvoimat esittää kyseisen keskeisen strategisen tavoitteen saavuttamiseksi vaadittavien kehittämistoimenpiteiden lisäämistä kehittämisohjelmaan kansallisten kyvykkyyksien kehittämiseksi. 3.2 Tehokkaat kansalliset kyberturvakyvykkyydet Puolustusvoimien näkökulmasta kehittämisohjelman pääteema on "Tehokkaat kansalliset kyberturvallisuuskyvykkyydet". Kyberturvallisuusstrategiassa korostetaan jokaisen toimijan vastuuta kyberturvallisuuden toteuttamiseksi. Lähtökohtana hyvä ja tällöin jokaisen viranomaisen ja yhteiskunnan toimijan tulee olla selvillä lakisääteisten ja muiden velvoitteiden muuttamisesta organisaation tehtäviksi ja toiminnaksi. Tavoitteessa onnistuminen edellyttäisi laaja-alaisesti sen selvittämistä, mitkä yhteiskunnan toiminnan kannalta tärkeät kybertoimintaympäristön toimenpiteet ja vastuut ovat kunnossa, mitkä jäävät tekemättä ja missä on päällekkäisyyttä, joka ei ole tarkoituksen mukaista. Puolustusvoimat esittää, että tämän tulisi olla osa kansallisen kyberkyvykkyyden kehittämistä. "Tehokkaat kansalliset kyberturvallisuuskyvykkyydet" -teema kulminoituu kyberpuolustuksen näkökulmasta yhteen toimeenpanosuunnitelman kohtaan 8.1, "Arvioidaan viranomaisten toimintaedellytykset nopeasti kehittyvissä yhteiskunnan kyberturvallisuutta uhkaavissa tilanteissa ottaen huomioon uhkaympäristön jatkuva kehittyminen sekä käynnistetään tarvittavat toimet". Tämä tehtävä sisältää Puolustusvoimien näkökulmasta kyberturvallisuuden edistämisen rinnalla kyberpuolustuksen edellyttämien toimenpiteiden edistämisen, ennakoivan ja aktiivisen kyberpuolustuksen sekä kyberympäristön suvereniteettia tukevan toiminnan kehittämisen. Keskeisenä osana sitä tulee olla vuoden 2013 kyberturvallisuusstrategian linjausten loppuun saattaminen, jossa Puolustusvoimille ja keskeisille turvallisuusviranomaisille luodaan maanpuolustuksen-, virka-avun-, aluevalvonta- sekä kriisinhallintatehtävien toteuttamiseksi tarpeelliset toimivaltuudet, osaaminen ja riittävät tiedonsaantioikeudet. Tämä edellyttää kokonaisvaltaista toimivaltuustarkastelua ja sen myötä käynnistettävä säädösvalmistelua. Puolustusvoimat esittää säädösvalmistelun kirjaamista konkreettisena toimena osaksi kohdan 8.1 toimenpiteitä. Lainsäädäntö on keskeinen valtion työkalua ohjauksen ja myös mahdollistamisen näkökulmasta. Koska merkittävät säädösmuutostarpeet liittyvät kansalliseen kyberpuolustuksen kehittämiseen, on luonnollista, että työtä lähtee vetämään nyt kirjatusti Puolustusministeriö. Kokonaisuus on rinnastettavissa vähintään tiedustelulainsäädännön laajuuteen. Säädösvalmistelu voidaan toteuttaa myös vaiheittain siten, että ennen varsinaista lainsäädäntöhanketta laaditaan esiselvitys lainsäädännön kehittämistarpeista, kuten tiedustelulainsäädännön kehittämisessä meneteltiin. Puolustusvoimat vastaa uskottavan puolustuskyvyn luomisesta. Osana uskottavaa puolustuskykyä Puolustusvoimien täytyy voida itsenäisesti hoitaa kriittisimmät kyberpuolustuksen tehtävät ja luoda niihin kyvykkyydet. Puolustusvoimat ei voi olla täysin riippuvainen muiden valtionhallinnon toimijoiden tai muiden sektorien kyvyistä tuottaa palveluita tai tuotteita Puolustusvoimien operatiiviseen toimintaan sen enempää normaali- kuin poikkeusoloissa. Tämän vuoksi ohjelmassa esitetty keskittyminen yritystoimintaan ja teollisuuteen ei saa tarkoittaa kyberkyvykkyyden ja -resurssien ulkoistamista. Lisäksi Puolustusvoimien on oltava mukana etenkin salaustuotteiden suunnittelussa ja kehittämisessä. Puolustusvoimissa on asiaan liittyvää tietotaitoa sekä Puolustusvoimat on valtionhallinnossa merkittävä salaustuotteiden loppukäyttäjä ja asiakas. Kansallisen salaustuote- ja kryptokyvykkyyden edistäminen on tärkeä kokonaisuus kyberomavaraisuuden edistämisessä. Myös kryptostrategiatyön vakiinnuttaminen on kannatettavaa. Kansallinen kryptostrategiatyö ja muutenkin kansallisen krypto-osaamisen kehittäminen tulisi rakentaa Puolustusvoimien fasilitoiman strategiatyön ja Puolustusvoimissa kehitettävän kansallisen kryptolaboratorion osaamisen pohjalle. Puolustusvoimat on jo vuosia rakentanut Kyberturvallisuusstrategia 2013 linjausten mukaista kryptokyvykkyyttä, joka tulisi päällekkäisyyksienkin välttämiseksi hyödyntää myös AQUA-kyvykkyyden saavuttamiseksi. AQUA-kyvykkyyden saavuttamiseksi on oleellisempaa panostaa tietyille osa-alueille keskitetysti kuin laajoille osa-alueille ohuesti. Ohjelmassa mainittu tavoite AQUA-statuksesta on hyvä. Sen rakentaminen käytössä olevilla resursseilla ei kuitenkaan vaikuta mahdolliselta. Kansainvälisen vertailun perusteella tiedetään, että kyseinen AQUA-statuksen saavuttaminen vaatii useita salaustuoteasiantuntijoita ja kryptologeja, sekä vähintään useiden vuosien mittaista määrätietoista kehittämistä toteutuakseen. Tarvittavan osaamispoolin ja kyvykkyyden saavuttamiseksi Puolustusvoimat on valmis osallistumaan työhön. Puolustusvoimien tulee olla mukana nimettynä toimijana AQUA-kyvykkyyden (toimenpide 12.2) saavuttamisen osalta. 3.3 Huippuluokan osaaminen Maanpuolustuksen kuuluessa kaikille, myös kyberpuolustus kuuluu kaikille. Yleinen kybertaitojen kasvattaminen sekä kyberturvallisuuden koulutusjärjestelmän kehittäminen ovat kokonaisuuksia, joiden kautta myös kyberpuolustus saa osaamista ja kykyä niin päivittäiseen etulinjaan kansalaisten parantuneen osaamisen kautta kuin kyberpuolustuksen huippuammattilaisiksi palkattuna henkilökuntana tai asevelvollisina. Asevelvolliset ovat kyberpuolustuksen keskeisin suorituskyky, jota tullaan hyödyntämään aikaisempaa laajemmin myös operatiivisissa tehtävissä. Siten he ovat merkittävässä roolissa myös kansallisessa kyberturvallisuudessa. Kyberalan asevelvolliset työskentelevät tyypillisesti myös siviilitehtävässään kyberalalla valtakunnallisina huippuosaajina. Kyberosaamisen kehittäminen sekä siviili- että maanpuolustustehtävässä tukevat siten vahvasti toisiaan. Puolustusvoimat näkee, että osana yhteiskunnan kyberturvallisuuden huippuosaamisen kehittämistä tulee huomioida myös asevelvollisuuden aikana joko varusmiehenä tai reserviläisenä hankitun kokemuksen luomat mahdollisuudet nykyistä laajemmin. Tämä tulisi kirjata kehittämisohjelmaa vähintään yhdeksi mittariksi. Myös kyberpuolustukselle on tärkeää kannustaa naisia kyberalalle. Näin ollen puolustusvoimienkin tulisi mukana yhtenä toimijan edistämässä asiaa myös kehittämisohjelman kirjauksessa (toimenpide 1.4) Vastaavasti kansalaisten kyberturvallisuustietoisuuden lisääminen (toimenpide 1.6) on kyberpuolustuksenkin näkökulmasta tärkeä kokonaisuus, jota Puolustusvoimat pystyy mm. asevelvollisten koulutuksen kautta edistämään. Yhteinen ponnistus edellyttää osallistumista toimijana viestintäsuunnitelman laatimiseen. 3.4 Vahva kotimainen kyberturvateollisuus Tutkimustoiminnan yhteistyön ja koordinoinnin kehittäminen tukee niin kansallisen osaamisen kuin myös yritystoiminnan kehittämistä. Tutkimustoiminnassa tulee huomioida osaamisen kehittämisen ja yritystoiminnan tukemisen lisäksi myös eri viranomaisten tarpeet kansallisen turvallisuuden, maanpuolustuksen tai jonkin muun turvallisuuden alan spesifien ja tiedon jatkohyödynnettävyyden kannalta rajatumpien tutkimusaiheiden edistämiseen. Tutkimustoiminnan tulee edistää myös kriittisten osa-alueiden kyberomavaraisuuden kehittymistä. Kotimaisen kyberturvallisuuden yritystoiminnan merkitys valtion huoltovarmuuteen sekä kriisinsietokykyyn on merkittävä. Yritystoiminnan tukeminen on kriittistä kotimaisen huoltovarmuuden, mutta myös puolustusjärjestelmän sotilas- ja siviilikomponentin suorituskyvyn varmistamisen näkökulmasta. Huoltovarmuusnäkökulman lisäksi erityisesti kansallisesti kriittisten osa-alueiden kyberomavaraisuuden edistäminen tulisi ottaa ponnekkaammin myös kyberturvallisuuden kehittämiskohteeksi oli sitten kyseessä huoltovarmuuskriittiset arvoketjut, yhteiskunnalle kriittiset tietovarannot, -palvelut tai -järjestelmät. Osana tätä prosessia (toimenpide 12.3) on kansallisen turvallisuuden näkökulmasta kriittisten kyberturvallisuusyritysten tunnistaminen ja turvaaminen kansallisessa omistuksessa. Puolustushallinnon tulee ehdottomasti olla mukana tässä työssä maanpuolustuksen tarpeiden näkökulmasta. Puolustusvoimilla on jo nyt merkittäviä kumppanuussopimuksia kansallisiin kyberturvallisuuden yrityksiin tai muuten merkittävää ja kriittistä yhteistoimintaa yrityskentän kanssa. Tätä tuntemusta tulisi hyödyntää. Kehittämisohjelmassa tulisi pyrkiä kuvaamaan nykyistä selkeämmin ekosysteemi ja sen tavoitteet. Nykyisessä muodossaan asia jää yleiselle tasolle ja varsinaista konkretiaa on hankala löytää. Kehittämisohjelman ekosysteemiä tulisi lähteä rakentamaan kansallisen tason kyberturvallisuuden ja kyberpuolustuksen moottorin kautta, missä vaativa konkreettinen kehittäminen ja tavoitteet lähtisivät rakentamaan osaamista ja yritystoimintaa geneerisiä toiveita paremmin. Huomion arvoista on, että tämä kokonaisuuden käynnistäminen on valtionhallinnon omissa käsissä ja rahallista resurssia käytettävissä olemassa olevien hankkeidenkin kautta. Sen suuntaaminen kotimaisen kyberteollisuuden kehittämiseen saattaa nimenomaan edellyttää kansallisen turvallisuuden ja maanpuolustuksen lähtöisyyttä (PUTU-laki). 3.5 Kiinteä yhteistyö Kyberturvallisuuden harjoitustoiminnan kehittäminen sekä viranomaisten kyberalan osaamisen ylläpitämisen ja kehittämisen mahdollistaminen on kannatettavaa. Tämä edellyttää kuitenkin, että osaamisen kehittämisessä ja harjoitustoiminnassa huomioidaan kunkin kyberviranomaisen erityistarpeet ja että harjoittelua suoritetaan eri valmiustilojen skenaarioissa niiden erityistarpeet huomioiden. Harjoitustoiminnassa on tärkeää myös ennakkoluulottomasti kokeilla uusia toimintatapoja ja vastuita, vaikka sen hetkinen lainsäädäntö ei niitä vielä tunnistaisi. Tämä tukee myös kyberturvallisuuden kehittämisohjelman välitarkasteluita ja päivittämistä kehityskauden aikana sekä seuraavan strategian laadintaa. Kokeilun ja kehittämisen tulisi olla myös valtionhallinnon harjoitustoiminnan kulmakivistä. Viranomaisten harjoitustoiminnan kehittäminen tukee myös operatiivisen yhteistoiminnan tavoitteisiin pääsemistä, mutta se ei kuitenkaan yksi riitä vaadittavalle suorituskykytasolle pääsemiseksi. Kehittämisohjelmassa ei ole kuvattu toimenpiteitä, joilla riittävällä tasolla parannettaisiin reagointikykyä nopeisiin kansallista turvallisuutta uhkaaviin tilannekehityksiin. Eri viranomaisten välinen yhteistyö ja koordinaatio sopivat hyvin pitkäjänteiseen kehittämiseen, mutta riittävän nopeaa reagointikykyä näillä toimilla ei saavuteta. Eri puolille valtionhallintoa toteutettavat tilannekuvat eri kyberturvallisuuden näkökulmista ja viranomaiskoordinaatio eivät riitä keinoiksi vastata kansallista turvallisuutta koskeviin uhkiin. Toiminnassa on kyettävä jo normaalioloissa ilman poikkeusolojen lisätoimivaltuuksia toteuttamaan viranomaisten välittömästi aktivoituvaa, dynaamista, reaaliaikaista, korkean turvallisuusluokan, eri viranomaisten toimivaltuuksia nopeasti hyödyntävää yhteistoimintaa. Suomeen kohdistuvan kyberhyökkäyksen pikatilanteessa rakenteet, ratkaisut ja toimivaltuudet on oltava valmiina. Yhteistoiminnan nopeusvaatimukset tulee suhteuttaa uhkatoimijoihin, jotka kykenevät muuttamaan toimintaansa huomattavan nopeasti. Hitaat viranomaisten väliset koordinointimekanismit ja osittain puutteellisesti yhteensopivat tietojärjestelmät eivät mahdollista riittävää reagointinopeutta. Tämä edellyttää operatiivisen yhteystoiminnan kehittämistä nykyisen yhteistyöpohjaisen toiminnan syventämiseksi. On huomioitava, että jatkuva operatiivinen yhteistoiminta on eri asia kuin laajojen häiriöiden ja poikkeamien hallinta, joka on tapauskohtaista toimintaa. Molempia kokonaisuuksia tulee kehittää. Puolustusvoimat esittää, että operatiivisen viranomaisyhteistoiminnan kehittäminen tulee lisätä kehittämistoimenpiteeksi lukuun 4 "Kiinteä yhteistyö". Ulkoministeriö julkaisi Suomen kansalliset näkemykset kansainvälisen lainsäädännön soveltamista kyberympäristössä. Osana kohdan 4 tai 8.1 työtä ja myös edellä mainittua säädöstyötä, on luotava kansalliset toimintatavat, prosessit ja kyvyt (ml. resurssit) Suomen suvereniteetin turvaamiseksi myös kyberympäristössä sekä yhteistoimintamekanismit tuettaessa esimerkiksi kumppanimaiden attribuutiota tai vastatoimia. 4 LOPUKSI Kehittämisohjelman johdannossa viitataan Haukka- ja Digitaalinen turvallisuus 2030 -ohjelmiin. Näiden lisäksi parhaillaan on käynnissä nk. TITUKRI-työryhmä. Kehittämisohjelman laatimisen vaiheissa kansallisen kyberturvallisuuden joidenkin osakokonaisuuksien pohdittiin tulevan käsitellyiksi näissä muissa ohjelmissa. On hyvä, että kansallista kyberturvallisuutta käsitellään ja rahoitetaan eri viranomaisten ohjelmissa, mutta vaarana on kokonaisnäkemyksen häviäminen ja mahdollisten katveiden syntyminen. Koska kyberturvallisuuden kehittämisohjelma toteuttaa nimenomaan kansallisen kyberturvallisuusstrategian, sen olisi syytä analysoida tarkemmin koko kansallisen kehittämisen kokonaisuus. Lausunnolla olevan kyberturvallisuuden kehittämisohjelman tavoitteet ovat sinänsä kannatettavia. Se ei tällä hetkellä ole sellainen kokonaisvaltainen kansallisen kyberturvallisuusstrategian kehittämisohjelma, kuten kyberturvallisuusstrategioiden (2013/2019/EU) pohjilta voisi olettaa. Kehittämisohjelman tulisi sisältää kansallisen turvallisuuden ja kyberpuolustuksen kriittisiä ja laajoja kehittämistarpeita. Puolustusvoimat esittää, että kehittämisohjelmaa kehitetään vastaamaan näitä tarpeita. Ottaen huomioon, että kehittämisohjelman aikajänne on vuoteen 2030 saakka, kansallisen turvallisuuden ja kyberpuolustuksen osakokonaisuuksien kehittämisen päälinjojen puutteet ohjelman lähtökohtatavoitteissa voi johtaa viiveisiin. Koska kyseessä on isoja kokonaisuuksia, joiden kehittäminen jo yksin säädöspohjan osalta on mittava ja pitkäkestoinen projekti, olisi ensiarvoisen tärkeää saada työ käyntiin välittömästi. Toimintaympäristön nopean muutos sekä oman ymmärryksen lisääntymien toimintaympäristöstä edellyttää myös kyberturvallisuusstrategian ajantasaisuutta. Puolustusvoimat esittää, että seuraava kyberturvallisuusstrategia työ aloitetaan viimeistään 2020-luvun puolivälissä. Tässä lausunnossa esitetyillä muutoksilla Puolustusvoimien kehittämisohjelma tukee parhaiten myös kyberturvallisuuden kehittämisohjelman toimeenpanoa.
      • CySec Ice Wall Oy, Toimitusjohtaja , Kamppuri Heikki
        Päivitetty:
        29.1.2021
        • Lausunto Organisaatioiden tietoverkkoihin tulee suunnitella ja toteuttaa kyvykkyys tutkia ja todistaa verkon tapahtumat autenttisten todisteiden pohjalta esim. esitutkintaan saattamiseksi. Lokit eivät ole autenttisia tietoverkon todisteita. Myös syyttömyys ja se että mitään ei ole tapahtunut pitää voida yksityiskohtaisesti todistaa. Ehdotamme että lisätään teksti: ”Tietomurtojen selvittämiseksi tarvitaan useamman vuoden autenttiset ja täydelliset todisteet, sillä keskimäärin tietomurto on lähes vuoden kohteen verkossa. Tämän vuoksi tietoverkkoihin lisätään tutkittavuus- ja todistettavuusjärjestelmä kattamaan ao. verkon kriittiset kohdat. Prosessi, ohjeistus, valvonta ja johtaminen järjestetään autenttisten tietoverkon todisteiden saattamiseksi analyysiin ja edelleen esitutkintaan asti. Järjestelmät ml. verkot, käyttäjät ja pääkäyttäjät eriytetään keskenään ja toisistaan siten, että vaarallisia työyhdistelmiä ei missään tilanteessa muodostu, ja em. ryhmillä ei ole mitään vaarallista työyhdistelmää oman organisaationsa tutkittavuus- ja todistettavuusjärjestelmäänsä eikä niissä oleviin autenttisiin todisteisiin. Varautuminen aloitetaan prioriteettijärjestyksessä siten, että ensin alkaa keruu ja säilöntä riittävän pitkäksi ajaksi. Näin autenttiset todisteet ovat olemassa ko. asennuksesta alkaen. Osana varautumista koulutetaan, harjoitellaan ja todennetaan osaamisen osalta katkeamattomat autenttisten todisteiden kirjaus- ja käsittelykäytännöt. Analyysin, esitutkinnan ja tutkinnan työkalujen kehitys tietoverkkojen primääridatan (raakadata) visuaalisointiin, automaattiseen analysointiin, koneoppimisen- ja tekoälyjärjestelmien opettamiseen mahdollistetaan lakimuutoksella, joka mahdollistaa organisaatioiden esitutkintaan tarkoitetun primääridatan hyödyntämisen kehitystyössä. Esim. tekoäly voi oppia oikein vain, mikäli täysin muuttamaton primääridata autenttisena todisteena on käytettävissä. Tätä varten kehitetään kansallinen prosessi, käytännöt, lupamenettelyt, valvonta ja lainvalmistelu.” Tutkittavuus- ja todistettavuuskyvykkyys Kyvykkyys sisältää katkeamattoman kirjausketjun (audit trail), katkeamattoman käsittelyketjun (chain-of-custody) sekä prosessin ja tämän mukaisen tietojärjestelmän. Näiden saavuttamiseksi järjestelyjen fyysinen turvallisuus, tekninen arkkitehtuuri ja koulutus tulee olla suunniteltu tietoverkon autenttisen sähköisen todisteen teorian mukaiseksi. Erityisesti järjestelmien keskinäiset, ihmisten keskinäiset sekä laitteiden ja ihmisten väliset toiminnot tulee järjestää uudelleen siten, että kaikki vaaralliset työyhdistelmät poistetaan. Tietoverkossa kulkevan informaation keruu pitää olla täydellistä, luotettavaa ja turvallisesti toteutettua, jotta saavutetaan autenttisuuden perusvaatimus - alkuperäisyys. Vastaavasti säilytys tulee toteuttaa siten että autenttisuus säilyy, sekä riittävän pitkältä ajalta etukäteen. Tietojen käsittely tapahtuu fyysisesti erillisessä todisteverkossa. Kriittisiin julkisen hallinnon organisaatioiden toimintoihin tulee prioriteettijärjestyksessä lisätä em. kyvykkyys ja kriittiset tietovarastot tulee varustaa em. kyvykkyydellä. Käsittely varautumisesta aina mahdolliseen esitutkintaan saattamiseksi suoritetaan Network Evidence Reference and Discovery -mallin mukaisella prosessilla, jolla voidaan todistaa kirjaus- ja käsittelyketjujen katkeamattomuus. Tietoverkon autenttisten todisteiden (primääridatan) tutkittavuus- ja toistettavuusjärjestelmä vertaantuu vastaavaan kyvykkyyteen kirjanpidossa. Kirjanpitolaki, asetukset ja Kilan ohjeet luovat perustan kirjanpidon / taloushallinnon käyttöön siten, että audit trail on aina todennettavissa. Toteutus suunnitellaan järjestelmä- ja käyttäjätasolla siten että vaarallisia työyhdistelmiä ei synny tuotantoverkon, hallintaverkon ja itsenäisen todisteverkon kesken ml. henkilökunta, käyttäjät ja muut osapuolet. Kaikki tuotantoverkkojen tietojen omistajat (engl. data owner) tulee nimetä, kouluttaa ja ohjeistaa johtamaan oman organisaationsa osalta autenttisten todisteiden käyttö analysoinnista aina esitutkintaan saattamiseksi. Tietojen omistajat päättävät, valvovat ja johtavat – mutta eivät itse osallistu – analyysit ja toimenpiteet aina esitutkintaan saattamiseksi. Käytössä on yksi-yli-yhden -periaate eli kaikkia toimenpiteitä suorittaa kaksi henkilöä. Tietoverkko ja tietomurrot Tietoverkko on ihmisen rakentama eikä siihen ole sisäänrakennettu tietoturvaa, lokit ovat laitevalmistajien ja ohjelmoijien subjektiivisia näkemyksiä siitä mitä on tapahtunut ja kaikkia tietoverkosta tapahtuvia hyökkäyksiä ei voida estää, sillä havainnointi- ja estojärjestelmät ovat jopa satoja päiviä jäljessä hyökkääjiä. Tietomurrot ovat sisällä kohteen verkossa keskimäärin 280 päivää! Näin kertoo Digital Guardianin Ponemon Instituutin ja IBM:n tutkimusta kuvaava artikkeli: Average time to identify and contain a data breach (2020) https://digitalguardian.com/blog/what-does-data-breach-cost-2020. Tietojemme mukaan Suomessa kukaan ei ole tehnyt havainnointi- ja estojärjestelmästä SLA-sopimusta, jossa luvataan estää kaikki tietomurrot. Kaikki em. järjestelmien toimittajat ovat kiertäneet jopa kysymyksen havaitsetteko tietomurrot ja estättekö kaikki hyökkäykset? Isoja tietomurtoja on Suomessa tapahtunut 90-luvulta lähtien lukuisia. Niitä on salattu julkishallinnon ja yksityisten yhtiöiden etujen suojelemiseksi. Emme nimeä yhtään salattua tietomurtoa, toteamme vain, että sekä idästä että lännestä on tehty tietomurtoja Suomeen. Suomessa toimiva pörssiyhtiön henkilö totesi, että heiltä viedyillä suunnittelukuvilla aloitti idässä aivan uusi toimija kilpailun. Yritys laski menettäneensä useita satoja työpaikkaa Suomessa. Arvioimme yhdessä että Suomesta menetettiin jopa 1500 työpaikkaa, kun huomioidaan välilliset vaikutukset – tämä siis yhdessä tietomurrossa. Asiantuntijoiden lausunnot Eri organisaatioiden kyberturva-asiantuntijat ovat yhtiöllemme lausuneet seuraavaa: Kyberturva-asiantuntija: ”Kun yrität tutkia tietoverkkorikollisuutta, on usein ongelma: Tutkittavaa tietoa ei ole. Sinulla pitäisi olla koko verkkoliikenne tallennettu. Lokitiedot eivät riitä.” Kyberturvajohtaja: ”Ulkoministeriön tietomurto olisi selvitetty muutamassa viikossa, jos olisi ollut tällainen järjestelmä käytössä.” Kyberturvatutkija: ”Näyttää siltä, että kaikkia tapahtumia ja tietovuotoja ei havaita, koska puolustajilla ei ole käytettävissä yksityiskohtaista verkkodatahistoriaa. Analyysikyky on tietysti myös ongelma.” Asiantuntija F-Secure, Traficom-seminaarissa 11/2019: ”Kyllä kaikki tietoverkon rikkomukset saataisiin selville kaiken tallentavalla järjestelmällä. Tällaista vaan ei ole!” Tähän muuten vastattiin, että kyllä sellainen on, ja vieläpä kotimainen ja patentoitu. Strateginen kyberturvakysymys tänään kuuluu, kumpi tie valitaan: ”Tarttis tehrä jotain?” vai ”Kyllä se siitä?”. Suosittelemme edellistä, jälkimmäisestä on jo runsaasti kokemusta. Sairaanhoitopiirit Sairaanhoitopiireihin tehdyissä haastatteluissamme selvisi, että (kyber)turvallisuuden johtaminen on jakaantunut kolmeen erilliseen osaan: IT vastaa verkosta ja palvelimista sekä käyttäjien järjestelmistä, turvallisuusjohtaja vastaa fyysisestä henkilöturvallisuudesta ja sairaalainsinööri vastaa lääkintälaitteista ja niiden turvallisuudesta. Lisäksi lääkäri vastaa potilaasta ja sairaanhoitaja esim. lääkkeen antamisesta. Erään SHP:n juristitaustainen hallintojohtaja totesi haastattelijalle tulokset kuultuaan tämän tarkoittavan sitä, että kukaan ei todellisuudessa vastaa mistään! Hän tarkoitti käsittääksemme tällä sitä, että kolmelle taholle jaettu vastuu kadottaa todellisen vastuun. Lähde: H. Kamppuri – SHP haastattelut. Osaaminen Suomessa on syytä kehittää uusia kotimaisia kyberturvatuotteita, -palveluita ja tätä kautta osaamista. Tätä mitataan suoraan alan patenttien ja liikevaihdon määrällä. Toimittaessa pelkästään ulkomaisilla tieto- ja tietoturvajärjestelmillä osaaminen on siirtynyt Suomesta pois eikä siirry kotimaiseksi osaamiseksi. Lisäksi tänne ei hakeudu osaajia, koska täällä ei kehitetä merkittävästi uutta. Esim. tuotannonohjaus- ja terveydenhuoltojärjestelmien osaaminen on siirtynyt voimakkaasti pois Suomesta 2000-luvulla. Samalla kyky tunnistaa kyberturva-loukkauksia on vakavasti heikentynyt. Nykyisellään Suomessa opetetaan sertifiointikursseja ja taidot ovat opetettuja (’hauki on kala’ - oppiminen). Todellinen oppiminen edellyttää soveltamista ja uuden luomista aidolla autenttisella esitutkintakelpoisella materiaalilla. Kyberturvallisuutta ajatellaan lähes pelkästään horisontaalisena ongelmana, kun pitäisi ottaa rinnalle vertikaalinen ajattelu. Tavoitteista puuttuu mittarit, ehdotamme esim. 1. Kaikkien kriittisten palvelimien tietoliikenneyhteydet tulee varustaa kyvykkyydellä yhdistää tutkittavuus- ja todistettavuusjärjestelmä. Tämä on tehtävä varautumisvaiheessa, jotta mahdollisen tutkinnan alkaessa voidaan nopeasti palata tutkimaan vanhoja tietoliikennetapahtumia. 2. Muutetaan lainsäädäntö niin että se mahdollistaa primääridatan käyttämisen kotimaisessa kyberturvatuotekehityksessä
      • Suomen Internet-yhdistys, SIY ry, Mellin Jorma
        Päivitetty:
        29.1.2021
        • SIY ry kiittää mahdollisuudesta saada lausua ehdotuksesta kyberturvallisuuden kehittämisohjelmaan. Yleistä Suomen Internet-yhdistys näkee ehdotuksen kehittämisohjelmasta positiivisesti; aikajänne on riittävän pitkä realistisille toimenpiteille, painopisteet on tiivistetty rakenteisiin sekä mahdollistajiin ja rahoitustarve on arvioitu. Vaikkakin itse ohjelmaehdotus keskittyy digitaaliseen turvallisuuteen ja työllistämisen edellytyksiin niin ohjelmalla on heijastevaikutus yhteiskuntaan laajemminkin. Palvelujen ja prosessien digitalisointi on avainasemassa tavoiteltaessa ilmastonmuutoksen hillintää ja esimerkiksi julkisen talouden kestävyyttä. Jotta digitalisaatiolla voidaan edesauttaa tavoitteita näihin liittyen tulee siihen voida luottaa nyt ja tulevaisuudessa. Suvereenin valtion on myös ymmärrettävä mistä se on riippuvainen ja miksi, ovatko kansalliset voimavarat sellaisia joiden varaan voi rakentaa vai onko haettava kumppaneita rajojen ulkopuolelta. Näihin kysymyksiin ja tavoitteisiin kehittämisohjelma antaa oivan ponnistusalustan. SIY ry:n näkemykset teemoittain Huippuluokan osaaminen Kehittämisohjelma aivan oikein korostaa tietoisuuden kasvattamista ja koulutusta. Tietoturvan tärkein ja haavoittuvin lenkki on ihminen ja hänen tietotaitonsa, asenteensa ja ymmärryksensä. Huippuluokan osaamista on myös kyberturvallisuuden arkipäiväistäminen ja jalkauttaminen. Osaamisella usein tarkoitetaan tekniikkaan tai prosessiosaamiseen liittyviä tietoja ja taitoja. Näissä tehtävissä toimivia henkilöitä tulee myös johtaa ammattitaitoisesti. Huippuluokan osaajat vaativat ja ansaitsevat huippuluokan johtamista. SIY ry esittää, että kehitysohjelmaan lisätään tavoite kehittää myös huippuluokan osaajien ja osaamisen johtamista sekä kiinnitetään huomiota myös jo olemassaolevien eri tekniikan alojen osaajien jatkokoulutukseen. Kiinteä yhteistyö Julkihallinnon ja elinkeinoelämän yhteistyö (PPP) on Suomessa perinteisesti ollut vahvaa ja tuloksellista. Yhteistyötä on syytä jatkaa ja vahvistaa edelleen. Harjoitustoiminta on tärkeässä roolissa, kuten myös varautuminen, koska Suomi on monessa suhteessa verrattavissa saarivaltioon, saarivaltioon joka on jäiden saartama osan vuodesta. Kansainvälisessä yhteistyössä kyberturvallisuustyötä tehdään myös yhteisöissä jotka eivät ole valtiosidonnaisia (kuten esim. ITU-T on). Näiden yhteisöjen toimintaan osallistuu myös suomalaisia sekä yksilöinä että oman yhteisönsä kautta (esim. yhdistystoiminta). Näitä yhteisöjä ovat mm. Internet Society, ICANN ja IGF. Tiivis yhteistyö julkishallinnon, elinkeinoelämän ja yhteisöjen kesken mahdollistaa ymmärryksen kasvattamisen kaikilla osapuolilla ja sellaisen yhteisen kannan ja agendan muodostamisen joka on laajasti harkittu. SIY ry esittää, että kehitysohjelmaan lisätään yhteistyötahoksi myös kansainväliset verkostoyhteisöt ja niitä edustavat kansalliset organisoituneet yhteisöt. Vahva kotimainen kyberturvateollisuus Suomi on jo teknologisella osaamisen ja innovatiivisuuden mittareilla kärkimaita kyberturvallisuuden tuotteiden ja palvelujen tuottamisessa. Slogan "Suomi on Euroopan Israel" kuvaa hyvin potentiaalia joka pitkälle pohjautuu osaamiseen ja yhteistyökyvykkyyteen joka kumpuaa verrattain pienestä toimialasta jossa kaikki tuntevat toisensa. Luottamus on avaintekijä sille, että yhteistyö on mahdollista sekä toimialan sisällä että myös julkishallinnon ja muiden sektoritoimialojen kesken. Tätä luottamusta tulee vaalia ja vahvistaa jotta omavaraisuutemme, kriisikestävyys ja innovointikyky- ja halu säilyvät sekä edelleen kehittyvät. Vahva kotimainen kyberturvateollisuus tarvitsee myös asiakkaita ja myyntiä. Kansallinen markkina, kasvavanakin, tarjoaa vain rajalliset mahdollisuudet yritysten kasvulle. Vientimarkkinan synnyttämiseen ja kiihdyttämiseen kehittämisohjelma esittää erinomaisia malleja joiden toteuttamista SIY ry tukee. Elinvoimaisuus syntyy kuitenkin vain myynnin kautta ja se ei ole suomalaisten toimijoiden vahvinta aluetta, ainakaan perinteisesti. Myyntitaitoihin, asiakaskohtaamiseen, myyntiprosessin ja asiakaskokemuksen johtamiseen tarvitaan vielä enemmän panostusta mitä kehittämisohjelmassa esitetään. SIY ry esittää, että kehitysohjelmaan lisätään kansainvälisen myynnin ja asiakaskokemuksen johtamiseen monenkeskeistä ohjelmaa jossa elementtejä koulutuksesta, tutkimuksesta, verkostoista ja vertaistuesta (mentoroinnista). SIY ry Kannattaa vahvasti kansallisesti kriittisten kyberturvayhtiöiden tunnistamista, jotta kansallisen omistuspohjan vaativien kyberturvayhtiöiden kansallinen omistusosuus voidaan kansallisten tarpeiden mukaan turvata. Tehokkaat kansalliset kyberturvakyvykkyydet Ehdotetut kehittämistoimet ovat kannatettavia ja oikeita mutta käytännössä haastavia toteuttaa toimijoiden määrän ja vastuualueiden siiloutumisen vuoksi. Keskinäisriippuvuudet ja yleinen digitalisaation edistyminen muodostavat toimikentän joka on jatkuvassa muutoksessa. SIY ry ei katso olevan menestymisen mahdollisuutta hallita tätä toimikenttää pelkästään lisäämällä valvovien viranomaisten resursseja vaikka turvallisuusvaatimukset olisivat pitkälle harmonisoituja. Muuttuvaan uhkakuvaan vastataan tehokkaasti ja parhaiten eliminoimalla kokonaan tai mahdollisimman tehokkaasti ne haavoittuvat pisteet joissa keskinäisriippuvuus on oleellisen suuri, ja luomalla kontrollipisteet paikkoihin joita ei ole mahdollista eliminoida riittävissä määrin. AQUA statuksen saavuttaminen on oleellinen osa ehdotettua kehitysohjelmaa. AQUA on suomalaiselle alan teollisuudelle portti kansainvälisille markkinoille sekä myös keskeinen osa suvereenin valtion kyberomavaraisuutta. AQUA statukseen kuuluvat rakenteet kuten koestuslaitokset tukevat toimialaa laajasti sekä teknologisesti että kansainvälistymisen edistämisessä verkostojensa kautta. SIY ry kannattaa vahvasti AQUA statuksen tavoittelemista ja tukee sen toimenpaanoa omien voimavarojensa puitteissa Helsingissä, 29.1.2021 Suomen Internet-yhdistys, SIY ry Hallituksen puolesta Jorma Mellin Hallituksen jäsen, varainhoitaja
      • Tietosuojavaltuutetun toimisto, Råman Jari
        Päivitetty:
        29.1.2021
        • Liikenne- ja viestintäministeriö on pyytänyt (VN/ 797/2021, 13.1.2021) tietosuojavaltuutetun lausuntoa kyberturvallisuuden kehittämisohjelmasta. Kehittämisohjelman aikajänne on 2021-2030 ja se kuvaa kyberturvallisuuden kehittämisen lyhyen ja pitkän aikavälin tavoitteita ja painopistealueita. Kehittämisohjelman ensisijaisena tavoitteena on luoda Suomeen kyberturvallisuuden ekosysteemi, joka tuottaa elinvoimaa ja kasvua, lisää alan työpaikkoja, luo tarvittavaa osaamista ja parantaa digitaalisen yhteiskunnan kestävyyttä sekä sietokykyä kybertoimintaympäristön lieveilmiöitä vastaan. Kehittämisohjelman toimeenpanosuunnitelma kuvaa tavoitteiden saavuttamiseksi tarvittavat toimenpiteet vastuineen ja mittareineen. Toimeenpanosuunnitelman ajantasaisuutta arvioidaan ja toimenpiteitä päivitetään vuosittain. Tietosuojavaltuutetun toimisto pitää tavoitteita hyvinä ja kannatettavina, sekä toimenpiteitä ja niiden seurantaa selkeinä. Ohjelmassa jää kuitenkin osin epäselväksi mikä asema henkilötietojen suojalla on osana kyberturvallisuutta ja mikä on eri turvallisuuden osa-alueiden välinen suhde. Kyberturvallisuuden määritelmän avulla (joko sisällytettynä tai viitattuna) olisi helpompi hahmottaa mitä kaikkea esitetyllä ohjelmalla on tarkoitus kattaa. Samalla henkilötietojen suoja olisi mahdollista huomioida selkeämmin osana ohjelmaa. Kyberturvallisuusuhkien realisoitumisen nähdään ohjelmaluonnoksen mukaisesti aiheuttavan myös entistä suurempia vaikutuksia vahvasti verkottuneeseen yhteiskuntaan. Henkilötietoihin kohdistuvat tietoturvaloukkaukset vaikuttavat merkittävästi jopa yhteiskunnan kannalta kriittisten toimialojen toimintaan ja niihin kohdistuvaan luottamukseen. Samalla ne vaikuttavat merkittävästi loukkausten kohteena olevien yksittäisten henkilöiden arkeen aiheuttaen taloudellisten vahinkojen lisäksi syvää inhimillistä kärsimystä. Näiden merkitystä kehittämisohjelmassa olisi hyvä korostaa erikseen. Henkilötietojen suoja on hyvin huomioitu liikenne- ja viestintäministeriön asettama yhteiskunnan kriittisten toimialojen tietoturvaa ja tietosuojaa selvittävän poikkihallinnollisen työryhmän työssä. Vastaava huomiointi olisi ollut tervetullut myös kyberturvallisuuden kehittämisohjelman valmistelussa. Lisäksi kyseisen työryhmän työn olisi hyvä näkyä itse ohjelmassa. Siihen kyllä viitataan lausuntopyynnössä, mutta ei itse kehittämisohjelmassa. Kehittämisohjelmassa on erinomaisesti nostettu huippuluokan osaamisen kehittämistarve esiin ja esitetty hyviä toimenpiteitä. Pelkästään kyberturvallisuuden opetuksen sisällyttäminen teknologia-alojen koulutukseen ei riitä tavoitteisiin pääsemisessä, jos henkilötietojen käsittelyn suunnittelua ei ole laajemmin huomioitu. Esim. toimenpiteessä 2.1 olisi syytä pyrkiä tunnistamaan samalla myös henkilötietojen käsittelyn koulutukseen liittyvät muutostarpeet ja sisällyttää ne entistä syvemmin mukaan opetussuunnitelmiin. Omien tietojensa käsittelyä ja niihin liittyviä oikeuksia olisi hyvä saada turvallisten käytäntöjen lisäksi entistä selkeämmin osaksi opetusta, jotta tietosuojasta ja tietoturvasta saataisiin aito kansalaistaito. Lisäksi myös esimerkiksi toimenpiteen 1.6. mukaisessa kansalaisille kohdistetun kyberturvallisuustietoisuuden viestintäsuunnitelman laatimisessa olisi hyvä huomioida myös henkilötietojen suojaamiseen liittyvät näkökohdat. Tietosuojavaltuutetun toimisto tekee mielellään yhteistyötä tämän asian edistämiseksi myös osana kyberturvallisuuden kehittämisohjelmaa. Osana kiinteän yhteistyön pääteemaa olisi hyvä huomioida myös aktiivinen osallistuminen ja vaikuttaminen kansalliseen ja kansainväliseen tietosuojayhteistyöhön erityisesti tietosuojaneuvostossa kyberturvallisuuden yhteistyön lisäksi. Osana tehokkaiden kansallisten kyberturvakyvykkyyksien pääteema on tavoitteena harmonisoida turvallisuusvaatimuksia ja parantaa havainnointikykyä. Kehittämisohjelmassa on hyvin tunnistettu, että oleellinen osa kyberturvavaatimusten ja turvallisuustason toteuttamista on valvovien viranomaisten osaamisen ja resurssien turvaaminen. Tietosuojavaltuutetun toimisto pitää tärkeänä, että myös se voisi jatkossa osallistua entistä tiiviimmin valvontaviranomaisten yhteistyöhön erityisesti siltä osin kun yhteiskunnallisten haavoittuvuuksien syitä arvioidaan ja niitä pyritään ennalta estämään. Tätä voitaisiin toteuttaa esim. ottamalla kaikki valvovat ja tutkivat viranomaiset osaksi toimenpidettä 10.3, jossa kehitetään operatiivisen, toimialakohtaisen ja valvovien viranomaisten tilannekuvan tuottamiseen liittyviä kyvykkyyksiä kansallisen kyberturvallisuuden tilannekuvan parantamiseksi. Osana toimenpidettä 11.2. olisi syytä arvioida myös yleisen tietosuoja-asetuksen mukaisten tietosuojasertifiointien käyttöä yhtenä keinona varmistaa uusien, yhteiskunnan toiminnan kannalta kriittisten palveluiden turvallisuus osana niiden kehitystyötä. Tietosuojasertifiointeja voitaisiin samalla käyttää osoittamaan palveluiden noudattavan henkilötietojen käsittelyn tietoturvavaatimuksia.
      • Oulun yliopisto
        Päivitetty:
        26.1.2021
        • Kehittämisohjelman ensisijaisena tavoitteena on luoda Suomeen kyberturvallisuuden ekosysteemi, joka pohjautuu osaamiseen, yhteistyöhön, kyberteollisuuteen ja kyvykkyyteen. Näihin osakokonaisuuksiin on kirjauttu erikseen kehittämistoimenpiteet. Tavoitteet ovat hyvät. Oulussa 26.1.2021 Oulun yliopisto
      • Järvinen Ari
        Päivitetty:
        18.1.2021
        • Kehittämisohjelma on tavoitteeltaan hyvä. Rakentamiseen, rakennusten digitalisaatioon ja rakennuksien energiankäyttöön liittyy monia kyberturvallisuuteen ja muihin digitaalisen turvallisuuden osa-alueisiin ulottuvia tekijöitä. Rakentamiseen liittyvää lainsäädäntöä ohjaa ympäristöministeriö, mutta se ei näytä olevan vastuutahona juuri missään kehittämistoimenpiteessä. Rakennetun ympäristön kyberturvallisuus koskettaa niin laajalti ja arkipäiväisesti koko yhteiskuntaa, että sen huomioiminen kyberturvallisuuden kehittämisohjelmassa ainakin selvästi mainittuna ja vastuutettuna olisi vähintä, mitä KIRA-alan digiturvallisuuden edistämiseksi voi tehdä.
      • Turun kaupunki
        Päivitetty:
        15.1.2021
        • Sisältö on mielestäni oikein hyvä, mutta kiinnittäisin jälleen kerran huomiota selkeään määrittelyyn mitä Kyberturvallisuus pitää sisällään ja käytännössä tarkoittaa ! Nämä käsitteet menevät kovasti ristiin ja hämmentävät: - Tietoturva - Tietosuoja - Digiturva - Kyberturva