Säilyykö Suomi kyberturvallisena vai valuuko kriittinen tieto Kiinaan ja Yhdysvaltoihin?

Kaikki, josta ennen puhuttiin tietoturvallisuutena, on nykyään kyberturvallisuutta. Siitä on tullut varsinainen muotisana ja julkinen keskustelu käy aiheesta kuumana. Keväällä puhuttiin kiinalaisten suorittamasta systemaattisesta vakoilusta. Viime kuukausien aikana kukaan on tuskin välttynyt kuulemasta nimeä Edward Snowden. Hän paljasti, miten laajaa ja systemaattista vakoilua Yhdysvaltain NSA tekee. Myös Suomen tietoturvaklusteri tarkasteli NSA paljastusten vaikutuksia suomalaisen yhteiskunnan kannalta ja laati aiheesta kattavan raportin, joka julkaistiin syyskuun 2013 alussa.

Kyberturvallisuuden parantaminen elinkeinoelämän harteilla

Suomen uusi kyberturvallisuusstrategia julkaistiin sopivasti ennen NSA paljastuksia. Strategian avulla suomalaisen yhteiskunnan kyberturvallisuuden tasoa pyritään merkittävästi nostamaan. Rahoitusta käytännön toimiin valtio on toistaiseksi allokoinut hyvin vähän. Merkittävä osa kyberturvallisuuden parantamiseen tähtäävistä toimista jää muutenkin elinkeinoelämän harteille, mikä on sinällään ihan oikein. Omistaahan se suuren osan Suomen kriittisestä infrastruktuurista.

Yrityksillä ja talouselämän etujärjestöillä on ainakin kaksi merkittävää motiivia olla kiinnostunut asiasta:

  • Tietopääoman suojaaminen ja kilpailukyvyn säilyttäminen. Kuinka varmoja yrityksissä voidaan olla siitä, että patentit, hinnoittelu ja muu kriittinen tieto ei jo ole esimerkiksi kiinalaisten ja yhdysvaltalaisten kilpailijoiden tiedossa?
  • Suomalaisen yhteiskunnan ja yksittäisten yritysten kilpailukyvyn lisääminen ja tulevaisuuden kasvun rakentaminen sen varaan, että Suomi on puolueeton ja (kyber)turvallinen yhteiskunta.

Suuri osa yrityksistä ei kykene havaitsemaan tietoturvaloukkauksia

Aika, jolloin voitiin lähteä siitä oletuksesta, että tietojärjestelmät voidaan suojata, on ohi. Nykyään kysymys on siitä, voidaanko itse tieto suojata riittävällä tavalla ja havaitaanko tietomurrot ajoissa. Kokemukseni perusteella suuri osa suomalaisista yrityksistä ei kykene havaitsemaan ei-toivottua toimintaa IT-järjestelmissään. Tukeakseen kyberturvallisuuden toteutumista, valtionhallinto tarjoaa yrityksille Havaro-järjestelmää. Tämä on tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä. Yritysten itsensä täytyy kuitenkin selvittää, mitä yrityksen järjestelmissä tapahtuu, kun Havaro antaa punaisen hälytyksen.

Suomen mahdollisuus uutena ”tiedon Sveitsinä”

Useat eri elinkeinoelämän etujärjestöt ja valtionhallinnon toimijat pyrkivät edistämään turvalliseen toimintaympäristöön perustuvan liiketoiminnan kehittymistä ja investointeja Suomeen. Konkreettisena esimerkkinä tästä on merikaapelihanke Suomesta Saksaan. Hanke parantaisi huomattavasti Suomen houkuttelevuutta muun muassa globaalien datacentereiden sijoituspaikkana.

Arvioiden mukaan Yhdysvaltalaiset merkittävät IT-alan toimijat menettävät NSA Prism paljastusten takia noin 20-35 miljardia dollaria tuloja. Vaikka yhdysvaltalaisten palveluiden turvallisuutta kyseenalaistettaisiin, hankkeisiin allokoitu raha ja sen taustalla oleva luotettavien IT-palveluiden tarve ei kuitenkaan katoa mihinkään. Saadaanko tästä rahasta merkittävä osa Suomeen? Se on kiinni vain suomalaisista itsestään.

Juuri nyt on oikea aika rakentaa Suomesta kyberturvallinen yhteiskunta ja uusi ”tiedon Sveitsi”. Mikäli emme nosta nykyistä kyberturvallisuuden tasoa maassamme, valuu kriittinen tieto vääjäämättä suomalaisyrityksistä ulkomaalaisille kilpailijoille. Tätä kauhuskenaariota tuskin kukaan haluaa kohdata.

Käy lukemassa edellinen kirjoitukseni aiheesta “Yhteiskunnan sähköisten palveluiden tulevaisuus vaakalaudalla”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.