Hallituksella ei ole selkeää kyberturvallisuusohjeistusta kansanedustajille, eikä kansalaisille. "Täytyy toivoa, että tietoturva olisi kohdallaan" - sanoo eduskunnan puhemies
Tapasin eduskunnan puhemiehen Matti Vanhasen maanantaina 3. tammikuuta Oodissa. Puhemies kertoi eduskunnan työskentelystä.
Suurimmiksi haasteiksi edustukselliselle demokratiallemme ja Läntisille avoimille demokratioille, puhemies mainitsi: demokratian kyvyn vastata aidosti tulevan ajan haasteisiin ja kykenemisen päätösten tekoon; puolueiden on identiteettipolitiikan aikana otettava yhä jyrkemmin kantaa jotta niiden profiili olisi selkeämpi kansalaisten silmissä, joka johtaa siihen, että ollakseen uskottava oman vaihtoehtonsa puolesta, siitä on pidettävä kiinni kynsin ja hampain, joka heikentää koko ajan kompromissin mahdollisuutta ja kykyä sovittaa yhteen erilaisia arvolähtökotia, mielipiteitä, erilaisten kansalaisryhmien intressejä.
Julkisuuden paineiden ja identiteettipolitiikkaan sopeutumisen, sekä kompromissi kyvyn välillä on selkeitä haasteita. Tiedon lisääntyessä on myös entistä haastavampaa, kuinka kykenemme välittämään kaiken sen uuden tiedon päätöksen tekoon siten että oikea ja relevantti tieto tulee huomioitua päätöksen teossa.
Kysyin eduskunnan puhemieheltä, miten hallitus on huolehtinut eduskuntalaitoksen kyberturvallisuudesta ja kansanedustajien tietoturvasta:
Tietoturvaan kiinnitetään huomiota. Edustajilla on eduskunnan kautta matkapuhelin, tabletti ja tarvittava tietokone, joilla pääsee eduskunnan sisäiseen verkkoon ja joilla toimivat tarvittavat eduskunnan järjestelmät ja täytyy toivoa, että tietoturva olisi kohdallaan. Edustajilla on lisäksi kotikoneet ja omat henkilökohtaiset kännykät, jokaisella on kotona oma reititin usein omalta operaattorilta ja sillä tavalla edustajat ovat myös yksityisesti esim. kotona wifin kautta niissä järjestelmissä, jotka heillä yksityisesti ovat ja varmasti niin kuin kaikissa tietoverkoissa, niin myös siellä tietoturvariskejä varmuudella on olemassa.
- Matti Vanhanen, eduskunnan puhemies (muistiinpanoista referoitu)
Esitin lisäkysymyksen onko kansanedustajien sosiaalisen median käyttöön ja siellä oman sisällön jakamiseen liittyen tehty ohjeistusta esim. siltä varalta, ettei edustaja vahingossa jaa jotain sopimatonta tai salaiseksi luokiteltavaa tietoa:
Aidosti salaisissa asioissa ei käytetä tietoverkkoja, eikä sähköisiä välineitä. Eduskunnan valiokunnilla on laaja tiedonsaantioikeus ja varinkin ulkoasianvaliokunta ja puolustusvaliokunta ja tiedusteluvaliokunta käsittelee aiheet, jotka on luonteeltaan salaisia. Tällaiset kokoukset pidetään tiloissa, joissa ei ole pienintänään seuranta tai kuuntelu mahdollisuutta. Edustajilla ei saa olla sähköisiä laitteita mukana ja kaikki tiedot ovat manuaalisessa muodossa numeroituina asiakirjoina, ja ne eivät ole levitettävissä sähköisesti. Asiakirjat ojennetaan luottavaksi ja ne kerätään takaisin, niitä ei saa jäljentää, eikä niitä voi viedä mukaansa. Aidosti salaisissa asioissa järjestely on tällainen.
- Matti Vanhanen, eduskunnan puhemies (muistiinpanoista referoitu)
Salaiset valiokunnissa käsiteltävät asiat näyttäisivät siis olevan hallituksessa hyvin hallussaan. Tästä huolimatta hallitukselta selvästikin puuttuu selkeä ohjeistus kansanedustajille, kuinka suojata oma tietoliikenteensä. Jo se tosiasia, että jokaisen edustajan kodin tieturva on jokaisen omalla vastuulla, on mielestäni huolestuttavaa. Vähintään jokaiselle edustajalle pitäisi hallituksen tehdä ohjeistus, kuinka suojata ja salata oma tietoliikenne ja omat älylaitteet kotona ja mukana, jotta etätyöskentely ei altista urkinta ja vaikuttamisyrityksille.
Kyse ei ole pelkästään siitä, etteikö valion salaisuudet olisi vaarassa, vaan myös eduskunnan työntekijöiden ja kansanedustajien omien henkilökohtaisten tietojen vuotamisesta verkkoon altistaen mahdolliselle vaikuttamiselle ja vakoilulle.
Joulukuussa 2019 YLE uutisoi suojelupoliisin tiedottaneen ulkovaltojen tiedustelupalveluiden olevan aktiivisia ja kiinnostuneita Suomesta.
Suojelupoliisi: Ulkomaiset vakoojat entistä kiinnostuneempia Suomen kriittisestä infrasta
YLE Uutiset, 5.12.2019, https://yle.fi/uutiset/3-11104959
Helmikuun alussa 2020 Helsingin Sanomat uutisoi kyberturvallisuudesta. Artikkeliin oli haastateltu Rami Efratia, Israelin armeijan prikaatinkenraali evp., joka vieraili salossa puhumassa älykaupunkien kehitystä käsittelevässä Cyber Talks tapahtumassa.
Miksi Israel on kybersuurvalta?
Helsingin Sanomat, 3.2.2020
Kirjoitin molemmista asioista jo marraskuussa 2019 ja siksi olikin mielenkiintoista lukea, kuinka paljon samoja asioita molemmissa artikkeleissa oli kirjoitukseeni verrattuna.
Kylmä-kybersota: SI VIS PACEM, PARA BELLUM
Kirjoituksessani käsittelen kyberturvallisuutta kansallisesta, yksityishenkilöiden ja yritysten sekä yhteiskunnallisesti kriittisen infrastruktuurin haavoittuvuuden, hybridiuhkien ja geopolitiikan näkökulmasta. Kerroin miten Israel on kasvanut yhdeksi maailman vahvimmista ja kyberosaajista ja kyberosaamisen viejistä maailmassa, sekä Israelin armeijan aktiivisesta roolista tässä. Kirjoitin myös Venäjän ja muiden ulkovaltojen aktiivisesta tiedustelutoiminnasta Suomessa ja tiedusteluun käytetyistä keinoista ja niiden infrastruktuurillemme kohdistamista uhista.
Valtion on lisättävä avustuksia
uusille teknologia- ja kyberturvallisuusalan start-upeille, jotta emme ole riippuvaisia ulkopuolisesta osaamisesta, kuten Ruotsi, joka on ulkoistanut suuren osan kyberosaamisestaan maan ulkopuolelle ja yksityiselle sektorille.
Rami Efrati kertoo Israelissa valtion luoneen määrätietoisilla toimilla edellytykset kukoistavalle kyberliiketoiminnalle yksityisellä sektorilla. Israelissa päämisterin kanslian kybertoimisto perustettiin 2012 koordinoimaan kyberturvallisuutta, nimenomaan yksityiselä sektorilla. Kyberturvallisuus työ aloitettiin sitäkin aiemmin jo 2002. Israelin tavoin valtion on Suomessa alettava määrätietoisesti tukemaan kyberalan kehitystä.
Tarvitsemme Suomessakin hallitusohjelman, johon valikoidaan tietyt auditointi ja rahoitusehdot täyttävät alan start-up yritykset. Näille yrityksille maksetaan valtiontukena puolet niiden tuotekehityksestä vuosittain ja tuki maksetaan takaisin ilman korkoja vain, jos yritys menestyy. Israelissa vastaavana ohjelmaan on kyberalan start-up yritysten tukemiseen on viimeisen kolmen vuoden aikana käytetty 23 miljoonaa euroa.
Toiminta on erittäin kannattavaa ja sen avulla varmistetaan, että yritykset pysyvät Israelissa, ne maksavat veroja ja palkkaavat työntekijöitä, jotka hekin maksavat palkastaan veroja – kertoo Efrati Helsingin Sanomine haastattelussa.
Suomen valtiolta varmasti löytyy vastaava summa, jolla tukea suomalaisia kyberalan yrityksiä ja liiketoiminnan kehitystä: tekoälyä, esineiden internettiin, mobiilisovelluksiin liittyviä ohjelmistoja ja verkkohyökkäysten tunnistamisohjelmia, jotka suojaavat yrityksiä.
Vaikka meillä Suomeen on perustettu kyberturvallisuusjohtajan tehtävä, liikenne- ja viestintä ministeriön alaisuuteen, ei kyberturvallisuus tällä hetkellä kuitenkaan vielä henkilöidy selkeästi keneenkään, kuten Efrati huomauttaa, ja tämä aiheuttaa turhautumista puolustusvoimissa ja eri viranomaistahoilla, kun kukaan ei määrää tai ota vastuuta mistään.
Tilannetta kuvaa hyvin eduskunnan puhemiehen vastaus: ”Täytyy toivoa, että tietoturva olisi kohdallaan”. Olen eri mieltä puhemiehen kanssa. Meidän ei pidä toivoa, että tietoturva on kohdallaan, vaan meidän on määrätietoisesti huolehdittava tietoturvastamme ja kyberosaamisestamme. Valtion on otettava tästä aloite omiin käsiinsä ja ohjattava määrätietoisesti kyberturvallisuutta Suomessa. Tai valittava tehtävään henkilö jolta asia hoituu.
Suomi tarvitsee selkeää ja määrätietoista kyberturvallisuusjohtajuutta.
Kyberturvallisuuskeskuksen on yhdessä opetus- ja kulttuuriministeriön kanssa tehtävä kattavat turvallisuusohjeet yrityksille ja selkeät kaikkiin koteihin jaettavat ohjeet, joissa opetetaan tietoturva- ja medianlukutaitoja. Ohjeet ovat tarpeen lapsille, nuorille sekä aikuisille, että vanhuksille.
Hallitusohjelmaan nostettu kansalaisten medialukutaito on tärkeää kansallisen ja valtiollisen turvallisuuden näkökulmasta, koska olemme jo rakenteellisesti riippuvaisia tietotekniikasta ja sosiaalisesta mediasta. Eri ikäluokkien kyky hahmottaa ja ymmärtää tietoturvaa, hybridivaikuttamista kuten valeuutisia ja disinformaatiota on tärkeä osa mediasivistystä ja 2020-luvun kansalaistaitoja ja niiden avulla ylläpidetään ja yhteiskuntarauhaa ja edistetään vahvaa turvallisuuspolitiikkaa.