Onko Suomi kyberturvallisuusosaamisen edelläkävijä?

Kyberturvallisuuden merkitys korostuu väistämättä lähitulevaisuudessa mm. digitalisaation voimistumisen ja esineiden internetin kehittymisen myötä. Tietoliikenteen ja tietoverkkojen turvallisuus tulee olemaan yhteiskuntien toiminnan kannalta keskeisen tärkeää. Onkin olennaista tietää, mikä on kyberturvallisuuteen liittyvän osaamisen tilanne Suomessa. Olemmeko edelläkävijöitä, perässähiihtäjiä vai ehkä nousemassa maailman huipulle? Vai olemmeko ehkä olleet huipulla, mutta nyt kenties putoamassa?

Tammikuussa 2013 julkaistu Suomen kyberturvallisuusstrategia linjasi, että vuonna 2016 Suomi on kyberturvallisuuden kärkimaa ja ”maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa”. Strategiassa Suomen vahvuuksiksi katsotaan mm. vahva osaamisperusta ja hyvä yhteistyö sekä yksityisen ja julkisen sektorin välillä että eri hallinnon alojen kesken.

Julkista keskustelua seuraamalla voi asiasta saada ehkä ristiriitaisenkin vaikutelman. Yhtäältä vallalla tuntuu olevan näkemys, että Suomi todella on maailman huipulla: Suomi on menestynyt hyvin useissa kansainvälisissä ICT-vertailuissa, joissa on vertailtu esimerkiksi tietoverkkojen puhtautta. Vuonna 2014 julkaistussa Global Cyber Security Indexissä Suomi sijoittui 194 maan vertailussa jaetulle 8. sijalle. Edellä on kuitenkin 22 maata, sillä monilla mailla on jaettu sija. Myös muutamien suomalaisten yritysten kansainvälinen menestys on luonut alalle mainetta ja Suomen perinteisesti vahva osaaminen ICT-alueella on myös heijastunut tietoturva-alalle.

Toisaalta lähiaikoina julkisuudessa on esillä useita tapahtumia, jotka ovat kyseenalaistaneet osaamistamme, esimerkiksi ulkoministeriön tietovuoto ja viime vuodenvaihteen pankkien palvelunestohyökkäykset. On myös esitetty, että on vain ajan kysymys, milloin Suomessa tapahtuu merkittävä yhteiskunnalliseen infrastruktuuriin kohdistuva onnistunut kyberhyökkäys.

Kyberturvallisuuteen liittyykin vahvasti kansallinen intressi eli huoltovarmuuden ja kansallisen turvallisuuden näkökulma. Toisaalta siihen liittyy vahvasti liiketaloudellinen näkökulma, sillä ala on globaalisti kasvuala ja siitä toivotaan myös Suomessa entistä merkittävämpää liiketoiminta-aluetta.  Kysymys Suomen osaamisen tasosta onkin yhä merkittävämpi, kun se asetetaan kansainväliseen kontekstiin. Monet maat panostavat hyvin vahvasti sekä kyberturvallisuuteen ja siihen perustuvan liiketoiminnan kehitysedellytyksiin. Esimerkiksi Hollantiin perustettiin äskettäin Hague Security Delta, josta on tullut Euroopan suurin turvallisuusalan klusteri ja merkittävä kyberturvallisuuskeskittymä. Myös Viro on viime aikoina vahvasti profiloitunut kyberturvallisuuden alueella. Onkin tärkeää tietää, mikä on Suomen tilanne kansainvälisesti tarkastellen.

VTT:n ja Cyberlab Oy:n toteuttama Kyberosaaminen Suomessa: Nykytila ja tiekartta mahdollisuuksien tulevaisuuteen -hanke tarkastelee näitä kysymyksiä. Hankkeessa tehdään ensimmäistä kertaa Suomessa laaja-alainen tutkimus kyberturvallisuuden osaamisen tasosta. Tarkastelun kohteena on erityisesti kyberturvallisuuteen liittyvän tutkimus-, kehitys- ja innovaatiotoiminnan tila sekä alan osaamiskapeikot ja -puutteet.

Kyberturvallisuuteen liittyvää tutkimus-, kehitys- ja innovaatiotoimintaa tehdään Suomessa yrityksissä, yliopistoissa, ammattikorkeakouluissa sekä tutkimuslaitoksissa. Väestöpohjaan nähden Suomessa on kyberturvallisuusalan yrityksiä varsin runsaasti.

Suomen tutkimuskentässä kyberturvallisuustutkimuksen kokonaisvolyymi on kuitenkin varsin pieni. Pienessä maassa myös kärki on varsin kapea. Alan tutkimustoiminnan näkökulmasta merkityksellistä on myös, että kyberturvallisuustutkimus ei ole oma tieteenalansa vaan monitieteinen tutkimusalue. Kyberturvallisuuteen liittyvää tutkimusta tehdään monien tieteenalojen piirissä kuten tietotekniikan, matematiikan, tietojärjestelmätieteen, kognitiotieteen, management-tutkimuksen ja käyttäytymistieteiden alueella. Tutkimusalan kehityksen kannalta tärkeää onkin suhde taustalla oleviin perustieteenaloihin, eli se, miten kyberturvallisuuteen liittyvä tutkimus asemoituu suhteessa perustieteenaloihin. Silmiinpistävää on myös se, ettei alalla tunnu olevan strategista kokoavaa näkemystä alan koulutuksen ja tutkimuksen kehittämisestä. Ilmeistä myös on, että aidosti monitieteinen kyberturvallisuutta tarkasteleva tutkimus on Suomessa vähäistä.

Jotta kyberturvallisuusstrategian tavoite toteutuisi, on selvää, että yhteistyötä tarvitaan laajasti alan edistämiseksi. Tutkimus- ja innovaatiotoiminnassa yhteistyön merkitys korostuu, ja erityisen tärkeää se on pienessä maassa, jossa toiminnan volyymilla ja resurssien määrällä ei voida kilpailla. Yhteistyötä tarvitaan erityisesti yritysten, yliopistojen ja tutkimuslaitosten kesken. Toisaalta kansallisen turvallisuuden ja huoltovarmuuden näkökulmasta on tärkeää, että myös julkisella hallinnolla on tiiviit yhteydet tutkimus- ja yritysmaailmaan. Vuoropuhelun kautta kansalliset tarpeet kanavoituvat tutkimus- ja koulutusmaailmaan ja toisaalta tutkimusmaailman näkemykset ja ajankohtainen tieto välittyvät hallintoon.

Perinteisesti monilla aloilla hyvää yhteistyötä eri toimijoiden välillä on pidetty Suomen vahvuutena. Kyberturvallisuusalalla organisaatioiden välistä yhteistyötä on viime vuosina edistetty mm. SHOK-toiminnan ja alan yritysten perustaman Finnish Information Security Clusterin (FISC) piirissä. Yhteistyön näkökulmasta pienen maan etuna myös on, että piirit ovat pienet ja ihmiset tuntevat toisensa. Kyberosaaminen Suomessa -hankkeessa tehdyn kyberturvallisuusyrityksille suunnatun kyselyn mukaan tutkimustoimijat eivät kuitenkaan näyttäydy erityisen vahvoina yhteistyötahoina yritysten innovaatiotoiminnassa. Selvästi tärkeimpiä innovaatiotoiminnan yhteistyökumppaneita yrityksille ovat yksityisen sektorin ja julkisen sektorin asiakkaat, kun taas yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten merkitys on huomattavasti vähäisempi. Yliopistojen ja tutkimuslaitosten vähäistä merkitystä yritysten innovaatiokumppaneina voi selittää se, että alan yritykset ovat valtaosin palveluyrityksiä, joille yhteistyö tutkimusmaailman kanssa ei välttämättä ole niin relevanttia. Toisaalta se voi myös kertoa siitä, etteivät yhteistyömuodot ole kehittyneet.

Myöskään vuorovaikutus julkisen hallinnon ja tutkimusmaailman välillä kyberturvallisuusalueella ei havaintojemme perusteella ole systemaattista. Olisikin syytä harkita, tarvittaisiinko jokin foorumi, joka välittäisi tietoa ja vahvistaisi vuorovaikutusta tutkimus- ja viranomaistoimijoiden välillä.

Merkillepantavaa on myös julkisen sektorin asiakkaiden tärkeä rooli yritysten innovaatiotoiminnan yhteistyötahoina. Julkisen sektorin rooli korostuukin kyberturvallisuusalalla tuotteiden ja palveluiden ostajana. Tässä suhteessa herää kysymys siitä, missä määrin julkisia hankintoja on hyödynnetty alan kehityksen ja erityisesti sen innovaatiotoiminnan edistämisessä tai tukemisessa? Voidaan esittää näkemys, että hankintatoiminnassa ja sen kehittämisessä olisi paljon potentiaalia kyberturvallisuusalan kehittämiseksi.

Yhteistyön vahvistaminen ja alan kehitystä tukevien julkisten hankintojen edistäminen ovat keinoja kyberturvallisuusstrategian tavoitteen saavuttamiseksi!

Antti Pelkonen

Erikoistutkija

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s