Euroopan unionissa kyberturvallisuus on tällä hetkellä vahvasti poliittisella agendalla kahdesta syystä.
Ensinnäkin EU-puheenjohtajamaa Viro edistää voimakkaasti ”digitaalisen Euroopan” luomista, jossa kyberturvallisuus on määritelty välttämättömyydeksi Euroopan tavoitellessa globaalia digitaalista johtajuutta. Toiseksi, EU:ssa julkaistiin eilen uudet suuntaviivat eurooppalaisen kyberturvallisuuden vahvistamiselle, ja tällä on vaikutuksensa myös Suomeen ja suomalaisille.
Mm. tekoäly, kaiken internet ja geenitekniikka ovat asioita, joita kehitetään maailmassa nyt radikaalimmin ja nopeammin kuin koskaan aikaisemmin
Uusissa linjauksissa kyberturvallisuus näyttäytyy hyvin laaja-alaisena ilmiönä – kuten pitääkin.
Perustaitojen, jokaiselle kuuluvan kyberhygienian, merkitystä korostetaan vahvasti. Kuten oven lukitseminen kotoa lähdettäessä, osaaminen ja asenne toimia turvallisesti digimaailmassa on ymmärrettävä tänä päivänä jokaiselle kuuluvaksi asiaksi. Tähän yhdistyy myös tietoisuuden lisääminen disinformaatiokampanjoista ja valeuutisista sekä vastuullisen viestimisen korostaminen sosiaalisessa mediassa. Tätä tietoisuutta ja osaamista, kyberturvallisuuden kulttuurin vahvistamista, on Suomessakin aktiivisesti edistettävä.
Toisena ”ääripäänä” kyberturvallisuus näyttäytyy globaalina asiana, mikä on ymmärrettävää kyberuhkien valtioiden rajat ylittävän luonteen vuoksi. EU on kuitenkin kunnianhimoisempi, ja pyrkii edistämään maailmanlaajuista strategista vuoropuhelua digitaalisen ympäristön pelisääntöjen ja normien selkeyttämiseksi.
Rauhanvälittäjänä itseään profiloivalla Suomella olisikin nyt hyvä mahdollisuus olla edistämässä tätä tärkeää kansainvälistä vuoropuhelua.
”Turvallisuus by design” -periaatteen ohella tulisi nostaa esille myös ”etiikka by design”
Mielenkiintoista on havaita miten EU:ssa nyt nostetaan esille niin sanotut nousevat teknologiat. Muun muassa tekoäly, kaiken internet ja geenitekniikka ovat asioita, joita kehitetään maailmassa nyt radikaalimmin ja nopeammin kuin koskaan aikaisemmin, ja vaikutuksia turvallisuuteen on vielä vaikea ymmärtää.
Samalla tavalla Yhdysvaltojen tiedustelupalveluiden vuotuisessa uhkaraportissa nousevat teknologiat saavat – niin uhkana kuin mahdollisuutena – vahvan painoarvon. Jos uudet teknologiauhkat perustuvat innovatiivisuuteen, korostuu innovatiivisuus myös turvallisuuden varmistamisessa.
Linjaustensa mukaan EU tavoittelee maailmanlaajuista johtoasemaa seuraavan sukupolven teknologioissa, jossa turvallisuus huomioidaan ”by design” -periaatteen mukaisesti. Yksi keskeinen suunnitelma onkin sertifiointijärjestelmän luominen Eurooppaan. Tällöin esimerkiksi kuluttajat voivat teknologiatuotteita ostaessaan ja digitaalisia palveluita käyttäessään paremmin varmistua siitä, että turvallisuudesta on huolehdittu.
Toisaalta ”turvallisuus by design” -periaatteen ohella tulisi nostaa esille myös ”etiikka by design” -periaate, sillä eettiset kysymykset teknologian kehityksessä näyttäytyvät yhä merkityksellisempinä. Kyse on esimerkiksi siitä, että miten yhä enemmän ajatteluumme vaikuttavista algoritmeista saadaan tehtyä läpinäkyvimpiä tai millaisin moraalisin säännöin itseohjautuvia autoja ohjelmoidaan.
Kaiken tämän kehityksen keskiössä on luottamus. Ehkä oleellisempi ”miten kyberturvallisuutta voidaan vahvistaa” -kysymyksen sijasta digitaalisessa Euroopassa on kysymys ”miten luottamusta vahvistetaan”. Tämä on syytä pitää mielessä myös Suomessa, kun tavoittelemme kyberturvallisuudesta kilpailuetua niin yhteiskunnallemme kuin yrityksillemme. Ilman luottamusta eivät digitalisaatio ja sen tuomat hyödyt toteudu.
Suomalaiselle tutkimukselle ja osaamiselle avautuu tässä uusi kanava
Esimerkiksi tuoreimman Eurobarometrin mukaan, noin 2/3 eurooppalaisista käyttäisi teknologiaa enemmän, jos turvallisuudesta olisi huolehdittu. Turvallisuus on todellakin vahva kilpailuetu ja luottamuksen ylläpitäjä kyberympäristössä.
Erityisen hyvänä voi pitää, että EU:ssa nyt painotetaan kyberturvallisuuden tärkeimmän voimavaran – osaavien ihmisten – huomioimista. Ilman osaavia ihmisiä ei kyberturvallisuudesta pystytä huolehtimaan eikä sitä rakentamaan. On arvioitu, että ensi vuosikymmenen alussa Euroopassa on 350 000 kyberosaajan vaje. Kyberturvallisuuden tehtäviin kannattaa monen suomalaisenkin nuoren kouluttautua, sillä töitä tulee digitalisoituvassa Euroopassa riittämään.
Osaajien puute näkyy jo nyt muun muassa lisääntyvinä rekrytointi-ilmoituksina. Eurooppaan onkin uusien linjausten mukaan tarkoitus luoda kyberturvallisuuden osaamisen verkosto yhdistettynä Eurooppalaiseen kyberturvallisuuden tutkimuksen ja osaamisen keskukseen. Tämä verkosto ja sen keskus on tarkoitus käynnistää mahdollisimman pian.
Suomalaiselle tutkimukselle ja osaamiselle avautuu tässä uusi kanava. Suomi ja pohjoismaat tulevat tavoittelemaan tähän kokonaisuuteen virtuaalisia osaamiskeskuksia. Tämä ”pelipaikka” Suomen kannattaa hyödyntää.
Kyberhyökkäyksiin vastaaminen poliittisesti on EU:ssa vielä varsin varhaisessa kehitysvaiheessa
EU:ssa, kuten Suomessa, kyberturvallisuus on erottamaton osa tämän päivän ulko-, turvallisuus- ja puolustuspolitiikkaa. On selvää, että tiivistettävän yhteistyön ja keskinäisen solidaarisuuden lisäksi Euroopan yhteisen puolustamisen vahvistamiseen tarvitaan myös sotilaallisia kyberkykyjä.
Vaikka näiden kykyjen kehittäminen tapahtuu todennäköisesti vahvasti jatkossakin EU-maissa kansalliselta pohjalta, kannattaa Suomen olla mukana edistämässä eurooppalaista kyberpuolustuksen koulutus- ja harjoittelutoimintaa sekä vahvistaa toimintatapojen yhteensopivuutta.
Ison haasteen muodostaa eri EU-maiden varsin kirjava varautumisen ja kyberkyvykkyyksien nykytila. On myös tärkeää, että EU kykenee tiivistämään kyberasioissa yhteistyötä NATO:n kanssa ja tätä dialogia voi Suomeen perustettu Hybridiosaamiskeskus osaltaan myönteisesti edistää.
EU:n jäsenmaiden on lisäksi kyettävä mahdollisimman yhtenäisiin vastatoimiin, jos sen jäsenmaat joutuvat kybervaikuttamisen kohteiksi. Kyberhyökkäyksiin vastaaminen poliittisesti on EU:ssa vielä varsin varhaisessa kehitysvaiheessa.
Perusarvoja on turvattava niin fyysisessä kuin digitaalisessa maailmassa. Jälkimmäisen osalta EU:n uudet linjaukset antavat hyvät eväät, mutta vasta toteutus ratkaisee miten turvallisen ja luotettavan sekä kilpailukykyisen digitaalisen ympäristön unioni pystyy luomaan. Tämä on EU:lle – ja Suomelle – näytön paikka.
Jarno Limnéll
Kirjoittaja on kyberturvallisuuden professori Aalto-yliopistossa ja Insta groupin kyberturvallisuusjohtaja