Is Finland a forerunner in cybersecurity competence?

Cybersecurity will inevitably gain in importance in the near future with increased digitalisation and the development of the Internet of Things (IoT). The security of electronic communications and networks will be of vital importance to the operation of societies. This is why it is important to know where Finland stands in terms of cybersecurity competence. Do we have a head start, or are we lagging behind – or perhaps becoming a global forerunner? Or were we formerly on the top of the game, but are now losing our position?

Finland’s cybersecurity strategy was published in January 2013, stating that “By 2016, Finland will be a global pioneer in cyber threat preparedness and in managing the disturbances caused by these threats.” According to the strategy, Finland’s strengths include strong expertise, a long tradition of close public-private cooperation as well as inter-sectoral collaboration.

However, public discussion of the topic paints a slightly contradictory picture. On the one hand, the view is that Finland truly is leading the way: Finland has done well in many international ICT comparisons in areas such as network health. For example, Finland gained a shared eighth position among 194 countries in the Global cybersecurity Index of 2014. However, there were 22 countries ahead of us, because many countries share positions in the index. The global success of a few Finnish companies has also promoted our profile in the sector, and our traditionally strong competence in ICT is also reflected in the security sector.

On the other hand, recent news has cast doubt on our competence, such as a leak of classified information from the Finnish Foreign Ministry and the denial of service attacks that hit banks at the turn of the year. It has been also suggested that it is only a matter of time before we see a significant cyber-attack on public infrastructure in Finland.

Cybersecurity has strong links to our national security in terms of emergency supply and our national security. But there are also important business considerations, because the sector is growing globally and, as with other countries, Finland would like to see it become an increasingly important business area.  The question of where we stand in terms of our cybersecurity competence is even more pressing in a global context. Many countries are putting significant resources into both cybersecurity and the preconditions of related business development. For example, the recently established Hague Security Delta in the Netherlands has become the largest security cluster in Europe and a significant cybersecurity cluster. Estonia has also emerged as a poster child for cybersecurity. It is very important to know where we stand in international comparison.

VTT’s and Cyberlab Ltd’s research project Cybersecurity competencies in Finland: Present state and roadmap for the future studies these questions. It is the first broad and comprehensive analysis of cybersecurity competencies in Finland. Special emphasis is placed on the state of cybersecurity-related research, development and innovation competencies in Finland as well as competence bottlenecks and shortages.

Research, development and innovation in the area is carried out by Finnish businesses, universities and polytechnics as well as research institutes. Considering the size of our population, Finland has a relatively large number of cybersecurity companies.

However, cybersecurity-related research only accounts for a small portion of our total research volume. In a small country, top expertise is also on a very thin ground. In terms of research, it is also important to remember that cybersecurity is a multi-disciplinary research area. Cybersecurity-related research takes place in many research fields, such as IT, mathematics, information systems science, cognitive science, management research and behavioural sciences. For the future development of the research field, what is important is its relation to the underlying basic sciences, i.e. how cybersecurity research is positioned in relation to them. It is also striking that the sector seemingly lacks a strategic vision on the development of its education and research. It is also very clear that very little genuinely multi-disciplinary research takes place in the area of cybersecurity in Finland.

To meet the objective of Finland’s cybersecurity strategy, we obviously need extensive cooperation in order to promote the sector. Cooperation is of special importance in research and innovation, and even more so in a small country where it is not possible to compete in terms of research volume and resources. Co-operation is required in particular between companies, universities and polytechnics and research institutes. On the other hand, considering our national security and emergency supply, it is also important that the public sector has good connections to research and business parties. A dialogue ensures that the research and education sector is aware of our national needs in terms of cybersecurity and also that our public sector stays up-to-date in terms of research views and current results.

In general terms, good cooperation between different sectors has been considered to be one of  Finland’s strengths. In recent years, cooperation between cybersecurity organisations has been promoted by e.g. Strategic Centres for Science, Technology and Innovation (SHOKs) and the Finnish Information Security Cluster (FISC) established by major Finnish information security companies. In terms of cooperation, we also benefit from the fact that, in a small country, the number of players is limited and people tend to know each other already. However, according to the survey conducted by the Cybersecurity competencies in Finland project, research organisations do not appear as particularly strong contributors to companies’ innovation efforts. Private-sector and public-sector customers are by far the most important group of collaborators for companies, while the role of universities, polytechnics and research institutes is significantly less important. One explanation for this may be that since most of the companies in the sector are service providers, cooperation with research organisations may be less relevant to them. On the other hand, it may also indicate that cooperation methods and culture are not yet well developed.

According to our findings, there is no systematic cybersecurity-related interaction between the public sector and research organisations. We should seriously consider whether it would be worthwhile establishing a forum to ensure communication and enforcing interaction between them.

It is important to note the significant role of public-sector customers in the innovation efforts of companies. As the purchaser of products and services, the public sector plays an important role in cybersecurity. This raises the following question: to what extent have public procurements been used to promote or support the development of and, in particular, innovations in cybersecurity? It could be stated further development of public procurement has a great potential impact on the development of cybersecurity.

Stronger cooperation and public procurement that support the future development of the sector would bring us a lot closer of meeting the objective of Finland’s cybersecurity strategy!

 

Antti Pelkonen

Senior Scientist

 

Onko Suomi kyberturvallisuusosaamisen edelläkävijä?

Kyberturvallisuuden merkitys korostuu väistämättä lähitulevaisuudessa mm. digitalisaation voimistumisen ja esineiden internetin kehittymisen myötä. Tietoliikenteen ja tietoverkkojen turvallisuus tulee olemaan yhteiskuntien toiminnan kannalta keskeisen tärkeää. Onkin olennaista tietää, mikä on kyberturvallisuuteen liittyvän osaamisen tilanne Suomessa. Olemmeko edelläkävijöitä, perässähiihtäjiä vai ehkä nousemassa maailman huipulle? Vai olemmeko ehkä olleet huipulla, mutta nyt kenties putoamassa?

Tammikuussa 2013 julkaistu Suomen kyberturvallisuusstrategia linjasi, että vuonna 2016 Suomi on kyberturvallisuuden kärkimaa ja ”maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa”. Strategiassa Suomen vahvuuksiksi katsotaan mm. vahva osaamisperusta ja hyvä yhteistyö sekä yksityisen ja julkisen sektorin välillä että eri hallinnon alojen kesken.

Julkista keskustelua seuraamalla voi asiasta saada ehkä ristiriitaisenkin vaikutelman. Yhtäältä vallalla tuntuu olevan näkemys, että Suomi todella on maailman huipulla: Suomi on menestynyt hyvin useissa kansainvälisissä ICT-vertailuissa, joissa on vertailtu esimerkiksi tietoverkkojen puhtautta. Vuonna 2014 julkaistussa Global Cyber Security Indexissä Suomi sijoittui 194 maan vertailussa jaetulle 8. sijalle. Edellä on kuitenkin 22 maata, sillä monilla mailla on jaettu sija. Myös muutamien suomalaisten yritysten kansainvälinen menestys on luonut alalle mainetta ja Suomen perinteisesti vahva osaaminen ICT-alueella on myös heijastunut tietoturva-alalle.

Toisaalta lähiaikoina julkisuudessa on esillä useita tapahtumia, jotka ovat kyseenalaistaneet osaamistamme, esimerkiksi ulkoministeriön tietovuoto ja viime vuodenvaihteen pankkien palvelunestohyökkäykset. On myös esitetty, että on vain ajan kysymys, milloin Suomessa tapahtuu merkittävä yhteiskunnalliseen infrastruktuuriin kohdistuva onnistunut kyberhyökkäys.

Kyberturvallisuuteen liittyykin vahvasti kansallinen intressi eli huoltovarmuuden ja kansallisen turvallisuuden näkökulma. Toisaalta siihen liittyy vahvasti liiketaloudellinen näkökulma, sillä ala on globaalisti kasvuala ja siitä toivotaan myös Suomessa entistä merkittävämpää liiketoiminta-aluetta.  Kysymys Suomen osaamisen tasosta onkin yhä merkittävämpi, kun se asetetaan kansainväliseen kontekstiin. Monet maat panostavat hyvin vahvasti sekä kyberturvallisuuteen ja siihen perustuvan liiketoiminnan kehitysedellytyksiin. Esimerkiksi Hollantiin perustettiin äskettäin Hague Security Delta, josta on tullut Euroopan suurin turvallisuusalan klusteri ja merkittävä kyberturvallisuuskeskittymä. Myös Viro on viime aikoina vahvasti profiloitunut kyberturvallisuuden alueella. Onkin tärkeää tietää, mikä on Suomen tilanne kansainvälisesti tarkastellen.

VTT:n ja Cyberlab Oy:n toteuttama Kyberosaaminen Suomessa: Nykytila ja tiekartta mahdollisuuksien tulevaisuuteen -hanke tarkastelee näitä kysymyksiä. Hankkeessa tehdään ensimmäistä kertaa Suomessa laaja-alainen tutkimus kyberturvallisuuden osaamisen tasosta. Tarkastelun kohteena on erityisesti kyberturvallisuuteen liittyvän tutkimus-, kehitys- ja innovaatiotoiminnan tila sekä alan osaamiskapeikot ja -puutteet.

Kyberturvallisuuteen liittyvää tutkimus-, kehitys- ja innovaatiotoimintaa tehdään Suomessa yrityksissä, yliopistoissa, ammattikorkeakouluissa sekä tutkimuslaitoksissa. Väestöpohjaan nähden Suomessa on kyberturvallisuusalan yrityksiä varsin runsaasti.

Suomen tutkimuskentässä kyberturvallisuustutkimuksen kokonaisvolyymi on kuitenkin varsin pieni. Pienessä maassa myös kärki on varsin kapea. Alan tutkimustoiminnan näkökulmasta merkityksellistä on myös, että kyberturvallisuustutkimus ei ole oma tieteenalansa vaan monitieteinen tutkimusalue. Kyberturvallisuuteen liittyvää tutkimusta tehdään monien tieteenalojen piirissä kuten tietotekniikan, matematiikan, tietojärjestelmätieteen, kognitiotieteen, management-tutkimuksen ja käyttäytymistieteiden alueella. Tutkimusalan kehityksen kannalta tärkeää onkin suhde taustalla oleviin perustieteenaloihin, eli se, miten kyberturvallisuuteen liittyvä tutkimus asemoituu suhteessa perustieteenaloihin. Silmiinpistävää on myös se, ettei alalla tunnu olevan strategista kokoavaa näkemystä alan koulutuksen ja tutkimuksen kehittämisestä. Ilmeistä myös on, että aidosti monitieteinen kyberturvallisuutta tarkasteleva tutkimus on Suomessa vähäistä.

Jotta kyberturvallisuusstrategian tavoite toteutuisi, on selvää, että yhteistyötä tarvitaan laajasti alan edistämiseksi. Tutkimus- ja innovaatiotoiminnassa yhteistyön merkitys korostuu, ja erityisen tärkeää se on pienessä maassa, jossa toiminnan volyymilla ja resurssien määrällä ei voida kilpailla. Yhteistyötä tarvitaan erityisesti yritysten, yliopistojen ja tutkimuslaitosten kesken. Toisaalta kansallisen turvallisuuden ja huoltovarmuuden näkökulmasta on tärkeää, että myös julkisella hallinnolla on tiiviit yhteydet tutkimus- ja yritysmaailmaan. Vuoropuhelun kautta kansalliset tarpeet kanavoituvat tutkimus- ja koulutusmaailmaan ja toisaalta tutkimusmaailman näkemykset ja ajankohtainen tieto välittyvät hallintoon.

Perinteisesti monilla aloilla hyvää yhteistyötä eri toimijoiden välillä on pidetty Suomen vahvuutena. Kyberturvallisuusalalla organisaatioiden välistä yhteistyötä on viime vuosina edistetty mm. SHOK-toiminnan ja alan yritysten perustaman Finnish Information Security Clusterin (FISC) piirissä. Yhteistyön näkökulmasta pienen maan etuna myös on, että piirit ovat pienet ja ihmiset tuntevat toisensa. Kyberosaaminen Suomessa -hankkeessa tehdyn kyberturvallisuusyrityksille suunnatun kyselyn mukaan tutkimustoimijat eivät kuitenkaan näyttäydy erityisen vahvoina yhteistyötahoina yritysten innovaatiotoiminnassa. Selvästi tärkeimpiä innovaatiotoiminnan yhteistyökumppaneita yrityksille ovat yksityisen sektorin ja julkisen sektorin asiakkaat, kun taas yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten merkitys on huomattavasti vähäisempi. Yliopistojen ja tutkimuslaitosten vähäistä merkitystä yritysten innovaatiokumppaneina voi selittää se, että alan yritykset ovat valtaosin palveluyrityksiä, joille yhteistyö tutkimusmaailman kanssa ei välttämättä ole niin relevanttia. Toisaalta se voi myös kertoa siitä, etteivät yhteistyömuodot ole kehittyneet.

Myöskään vuorovaikutus julkisen hallinnon ja tutkimusmaailman välillä kyberturvallisuusalueella ei havaintojemme perusteella ole systemaattista. Olisikin syytä harkita, tarvittaisiinko jokin foorumi, joka välittäisi tietoa ja vahvistaisi vuorovaikutusta tutkimus- ja viranomaistoimijoiden välillä.

Merkillepantavaa on myös julkisen sektorin asiakkaiden tärkeä rooli yritysten innovaatiotoiminnan yhteistyötahoina. Julkisen sektorin rooli korostuukin kyberturvallisuusalalla tuotteiden ja palveluiden ostajana. Tässä suhteessa herää kysymys siitä, missä määrin julkisia hankintoja on hyödynnetty alan kehityksen ja erityisesti sen innovaatiotoiminnan edistämisessä tai tukemisessa? Voidaan esittää näkemys, että hankintatoiminnassa ja sen kehittämisessä olisi paljon potentiaalia kyberturvallisuusalan kehittämiseksi.

Yhteistyön vahvistaminen ja alan kehitystä tukevien julkisten hankintojen edistäminen ovat keinoja kyberturvallisuusstrategian tavoitteen saavuttamiseksi!

Antti Pelkonen

Erikoistutkija