Jarno Limnéll on kyberturvallisuus-alan professori Aalto-yliopistossa ja kyberturvallisuusjohtaja Insta Group Oy:ssä. Koulutukseltaan hän on sotatieteiden tohtori, VTM ja kapteeni (evp.). Torsti Sirén on Maanpuolustuskorkeakoulun Johtamisen ja sotilaspedagogiikan laitoksen tutkimusryhmän johtaja, sekä Winning Wars Before They Emerge -teoksen kirjoittaja. Koulutukseltaan hän on valtiotieteiden tohtori ja ye-everstiluutnantti. 

Digitaalisuus ja ihmiset

“We worried for decades about WMDs – Weapons of Mass Destruction. Now it is time to worry about a new kind of WMDs – Weapons of Mass Disruption.” (John Mariotti, 2010)

Kyberistä ja kyberturvallisuudesta puhutaan yhteiskunnassamme jo varsin sujuvasti, vaikka itse käsitteen määrittely on koettu hankalaksi ja jopa kiistanalaiseksi. Yksinkertaiseen ”mitä kyberturvallisuus on” -kysymykseen ei ole yksiselitteistä vastausta. Kyber tai kyberavaruus on perinteisesti ymmärretty tietokoneiden ja -järjestelmien sekä tietoverkkojen muodostamaksi kokonaisuudeksi – siis vahvasti tekniseksi asiaksi. On totta, ettei kybertoimintaympäristöä olisi olemassa ilman teknologiaa, mutta tänä päivänä teknologia ja digitaalinen toimintaympäristö (kybertoimintaympäristö) on erottamaton osa yhteiskuntamme toimintaa, liiketoiminnan jatkuvuutta sekä elämäntapaamme. Digitalisoitumisen myötä digitaalinen turvallisuus – kyberturvallisuus – on saavuttanut korostuneen aseman turvallisuustrendinä. Kybertoimintaympäristöllä ja kyberturvallisuudella on myös sosiaalinen ulottuvuus, mutta se on jäänyt vähemmälle huomiolle. Tietokoneiden ja tietoverkkojen muodostamaa teknistä alustaa käyttävät todelliset ihmiset yksilöinä ja sosiaalisina verkostoina. Kyberympäristön sosiaalisen ulottuvuuden ymmärrys on lähivuosina yhä tärkeämpää. Tässä kehityksessä kybertoimintaympäristö sekä kyberturvallisuus tulisikin ymmärtää poikkitieteellisenä ja ensisijaisesti strategisena asiana, johon tarvitaan vahvaa kokonaisvaltaista, ”ison kuvan” ymmärrystä.

Sosiaalinen toimintaympäristö

Nykyiset ja tulevaisuuden toimintaympäristömme ovat monitahoisia ja sisältävät paljon epävarmuuksia. Monitahoista epävarmuutta voidaan kutsua uudeksi normaalitilaksi. Toimintaympäristöt voidaan jakaa ainakin seuraaviin kokonaisuuksiin: rauhan ja sodan ajan sekä kriisinhallinnan toimintaympäristöt, kognitiivinen (tajunta ja asenne), sosiaalinen, kansainvälinen ja kansallinen, informaatioympäristö, fyysinen toimintaympäristö, maa-, meri- ja ilmaympäristö, kyberavaruus ja globaali mieliavaruus. Yhteistä kaikille toimintaympäristöille on, että ihmiset toimivat niissä yksilöinä ja yhteisöinä omien kulttuuriensa arvo- ja identiteettirakenteiden ohjaamina. Tietokoneiden ja tietoverkkojen määrä tai teknologian laatu eivät ehkä ole mainittuja toimintaympäristöjä luonnehdittaessa määrääviä tekijöitä. Teknologiaa käyttävien ihmisten ja ihmisyhteisöjen arvo- ja identiteettirakenteet sekä sosiaaliset verkostot ovat yhtä tärkeitä erityisesti kyberturvallisuuden kannalta – ehkä jopa tärkeämpiä. Mitä maltillisempia ja suvaitsevampia kyseiset rakenteet ja sosiaaliset verkostot ovat, sitä helpompi on keskinäisriippuvaista maailmaa rakentaa toimivammaksi ja turvallisemmaksi.

Lähes reaaliaikainen kyky globaaliin tiedonvälitykseen sekä median ja tiedon järjestelmällisempi manipulointi ja hyödyntäminen että sosiaalisen median (SOME) käytön laajeneminen ovat johtaneet tilanteeseen, jossa ihmiset ja ihmisyhteisöt ovat verkostoituneet virtuaaliseksi globaaliksi mieliavaruudeksi. Yksilön tasolla kyse on kognitiivisesta informaation ja merkityssisältöjen ymmärtämisestä ja tulkinnasta, jota tehdään digitaalisissa verkostoissa. Kyberturvallisuuden kannalta tämä tarkoittaa, että Suomella tulisi olla samanlaista sosiaalisten verkostojen tiedustelu-, puolustautumis- ja vaikuttamiskykyä kuin meillä on kyberavaruuden teknologian osalta. Näin siksi, että ihmiset viettävät digitaalisessa maailmassa tänä päivänä ehkä jo enemmän aikaa kuin fyysisessä maailmassa, tai ainakin nämä edustavat kahta ”rinnakkaismaailmaa”, jotka ovat kietoutuneet tiiviisti toisiinsa. Menestyminen kyberturvallisuudessa tarkoittaa myös menestymistä sen sosiaalisessa ulottuvuudessa. Tämän takia olisi järjestelmällisesti rakennettava kykyjä operoida myös digitaalisen toimintaympäristön sosiaalisessa ulottuvuudessa.

Kyberavaruus ja globaali mieliavaruus voidaan ymmärtää ”virtuaaliseksi kybertaloksi”, jossa talo itsessään edustaa teknologista ulottuvuutta ja ihmiset sen sisällä sosiaalista ulottuvuutta. Kaikki järjestelmän talot ovat kytkeytyneitä teknologiaa sisältäväksi globaaliksi verkoksi ja teknologiaa hyödyntävät ihmiset talojen sisällä globaaliksi verkostoksi. Toisin sanoen talot ovat yleensä sähköistettyjä ja sähköverkon sekä tietoverkkojen kautta niitä voidaan myös teknisesti valvoa. Kyseisten verkkojen kautta voidaan kytkeytyä esimerkiksi globaaliin pankkijärjestelmään ja Internetin pilvipalveluihin. Virtuaalisen kybertalon sosiaalista ulottuvuutta edustavat ihmiset muodostavat Internetin ja SOME:n alustoja hyödyntävän virtuaalisen verkoston, Agoran (markkinapaikka tai verkosto), jossa todelliset ihmiset välittävät mielipiteitään ja maailmankatsomustaan moninaisilla yleisillä keskustelupalstoilla sekä avoimissa tai suljetuissa SOME-ryhmissä. Ihmisten virtuaalista toimintaa voidaan rajoitetusti valvoa ja keskustelua ohjata haluttuun suuntaan esimerkiksi Twitterin tai Facebookin kaltaisilla alustoilla, mutta esimerkiksi Suomessa tätä tekee pääsääntöisesti vain ”virtuaalinen nettipoliisi”. Valtionhallinto on ollut SOME:ssa varsin hiljainen keskustelun ohjaaja ja mielipidevaikuttaja, vaikka valtionhallinnon aktiiviselle osallistumiselle olisi nyt tarvetta enemmän kuin koskaan.

Ison-Britannian kyberturvallisuuden toimintatapamalli

Hyvä esimerkki, jossa kyberturvallisuus ymmärretään lähtökohtaisesti teknologian ohella niin strategisena kuin sosiaalisena ulottuvuutena, löytyy Isosta-Britanniasta. Vuonna 2012 Ison-Britannian hallitus ilmoitti perustavansa kyberturvallisuuden tutkimusinstituutin ja rahoittavansa sen toimintaa varsin suurella määrärahalla. Huomattavaa tässä on se, että kyberturvallisuuden kehittäminen käsitettiin lähtökohtaisesti poikkitieteelliseksi ja strategiseksi toiminnaksi, johon osallistuu samanaikaisesti matemaatikkoja, tietotekniikan ammattilaisia, sotatieteilijöitä, kauppatieteilijöitä sekä yhteiskuntatieteilijöitä seitsemästä Ison-Britannian yliopistosta. Instituutin tavoitteena on palvella sekä Ison-Britannian yksityistä sektoria että valtionhallintoa korostetusti monitieteelliseltä pohjalta. Instituutti pyrkii vastaamaan kyberturvallisuuden haasteisiin nimenomaan eri lähestymistapojen arvioita yhdistäen, jolloin ratkaisuissa korostuu yhtä lailla teknologinen, strateginen kuin sosiaalinenkin näkökulma. Monitieteellisellä näkökulmalla katsotaan parhaiten pystyttävän edistämään Ison-Britannian tavoitteiden ja etujen puolustamista kyberavaruudessa. Ison-Britannian tutkimusinstituutin monitieteellinen toimintatapamalli tarjoaa tärkeitä kehittämisajatuksia myös suomalaisen kyberturvallisuuden kehittämiseen.

Suomen kyberkyvykkyyden kehittäminen

Suomen kyberturvallisuusstrategia korostaa kyberturvallisuuden teknologista ulottuvuutta – sosiaalinen ulottuvuus jää vähemmälle huomiolle. Vaikka strategiassa todetaan kyberin olevan osa Yhteiskunnan turvallisuusstrategiassa määriteltyjä elintärkeitä toimintoja, kyberturvallisuusstrategiassa ei oteta selkeästi kantaa esimerkiksi henkiseen kriisinkestävyyteen, joka on yksi yhteiskunnan elintärkeistä toiminnoista. Kyse on siitä, miten esimerkiksi tietoverkkojen lamaantuminen vaikuttaa myös niitä käyttävien ihmisten mieleen ja tietoverkkoja hyödyntävien sosiaalisten verkostojen ryhmädynamiikkaan. Kyberturvallisuusstrategian päivittämisessä on huomioitava myös, miten SOME:ssa riehuvaa vihapuhetta, kyberrikollisuutta ja valtiotason kyberoperaatioita voitaisiin vähentää pyrkimällä vaikuttamaan tietojärjestelmiä käyttävien yksilöiden, sosiaalisten ryhmien ja valtioiden toimintaan jo ennakolta niin, että nämä eivät edes ajattelisi ryhtyvänsä kyseisiin toimiin. Etenkin viime vuosina digitaalisen toimintaympäristön sosiaalisen ulottuvuuden merkitys on kasvanut. Nyt on tärkeä hetki nostaa kyberturvallisuuden sosiaalinen ulottuvuus ja monitieteellisyyden tarve myös Suomessa esille.

Suomella tulisi olla kyberturvallisuuden sosiaalisen ulottuvuuden vaikuttamiskykyä ja -tahtoa. Kyberturvallisuuden sosiaalisen ulottuvuuden vaikuttamiskyvyllä ei tarkoiteta tässä valtiojohtoista propagandaa eikä informaatiosodankäyntiä, vaan kyberavaruudessa toimivien sosiaalisten verkostojen ja globaalin mieliavaruuden seuranta- ja tiedustelukykyä sekä ennakoivaa ja totuudenmukaista viestintää. Tässä suhteessa kyberturvallisuuden sosiaalinen ulottuvuus yhdistyy valtionhallinnon strategiseen viestintään ja teoreettisesti positiivisen tunnustuksen teoriaan. Teorian mukaisesti positiivisen tunnustuksen tarpeen katsotaan nykyisessä globaalissa mieliavaruudessa ohjaavan useimpien yksilöiden, yhteisöjen ja valtioiden toimintaa. Valtiot ja ihmisyhteisöt eivät siis välttämättä tavoittelisi vain valtaa, kuten perinteisesti on esitetty, vaan positiivista huomiota. Sanojensa mukaisesti toimiva ja esimerkkiä näyttävä yhteiskunta pienentää riskiä joutua digitaalisten ja sosiaalisten kyberoperaatioiden kohteeksi.

Kyberturvallisuuteen liittyvää analysointi-, tiedustelu- ja vaikuttamiskykyä on mahdollista parantaa esimerkiksi Valtioneuvoston kanslian tilannekeskuksen tai Liikenne- ja viestintäministeriön ohjauksessa toimivan Kyberturvallisuuskeskuksen analysointi-, tiedustelu- ja vaikuttamiskykyjä vahvistamalla ja toimintaa monitieteistämällä Ison-Britannian esimerkin mukaisesti.

Suomalainen kyberosaaminen ja tutkimustoiminta

Kyberturvallisuuden osaamisen tasoa on Suomessa pystyttävä vahvistamaan ja laajentamaan. Alan koulutus ja tutkimus ovat Suomessa viime vuosina lisääntyneet, mutta alan osaajista on jo nyt puute ja tutkimuksen volyymi on pieni, etenkin suhteutettuna Suomen tavoitteeseen olla kyberturvallisuuden edelläkävijämaa maailmassa. Osaajien kouluttaminen edellyttää hajanaisen koulutuksen nykyistä parempaa koordinaatiota oppilaitosten välillä sekä tutkimustoiminnan monipuolistamista. Samalla on kyettävä ketterään koulutuksen kehittämiseen ja osaamisen vahvistamiseen, sillä alan osaamisvaatimukset muuttuvat varsin nopeasti. Esimerkiksi ihmistieteiden merkitys teknologian kehityksessä sekä poikkitieteellinen strategisiin kysymyksiin keskittyvä kyberturvallisuustutkimus ovat tällä hetkellä nousevia tutkimustrendejä maailmalla, mutta niiden tutkimus on Suomessa vielä vähäistä. Huomionarvoista on, ettei alalla näytä Suomessa olevan strategista kokoavaa poikkitieteellistä näkemystä alan koulutuksen ja tutkimuksen kehittämiseksi. Kyberturvallisuuden tutkimuksessa ja opetuksessa on tarpeellista ottaa jatkossa huomioon myös kyberturvallisuuden sosiaalinen ulottuvuus. Vain yhteistyöllä, tutkimuksella, osaajien kouluttamisella sekä Suomelle sopivien vaikutuskykyjen rakentamisella meillä on mahdollista huolehtia kyberturvallisuudesta myös sen sosiaalisessa ulottuvuudessa.