Kyberala ry:n toiminnanjohtaja Peter Sund on toiminut yhdistyksen johdossa kuluvan vuoden lähtien. Ottaessaan tehtävän vastaan, hän tiesi että kyberturvallisuus puhuttaa alati digitalisoituvassa maailmassa. Hän ei kuitenkaan osannut odottaa, miten helmikuun lopussa Euroopassa syttyisi sota, joka nostaisi kyberturvallisuudesta käytävän keskustelun kierroksia entisestään.
Kyberala ry eli Finnish Information Security Cluster (FISC) tekee alan edunvalvontaa sekä toimii alan liiketoiminnan kehittämisen tukena. Yhdistyksessä on noin 85 organisaatiojäsentä, ja vuonna 2021 Kyberala ry:stä tuli Teknologiateollisuus ry:n toimialajärjestö.
“Yksi meidän keskeisistä tehtävistämme on koko suomalaisen teknologiateollisuuden digitaalisen turvallisuuden ja kyberturvallisuuden yhteensovittaminen”, toiminnanjohtaja Peter Sund kertoo.
Kyberala ry:n tavoitteena on rakentaa turvallista digitaalista Suomea. Edunvalvonta on laaja-alaista työtä, joka ei vaikuta ainoastaan suoraan alan toimintaan, vaan on laajemmin digitaalisen turvallisuuden edistämistä yhteiskunnan eri osa-alueilla. Työ ulottuu myös Suomen rajojen ulkopuolelle.
“Voisi sanoa, että edunvalvonnan puolella se on hyvin paljon rajat ylittävää toimintaa, koska meidän kansallisiin markkinaolosuhteisiin ja yhteiskunnallisiin olosuhteisiin digitaalisessa turvallisuudessa vaikuttaa kaikkein eniten Euroopan Unionin regulaatiokehitys”, Sund sanoo.
Kyberala ry:n vaikuttaminen onkin ensisijaisesti eurooppalaista. Myös kyberturvallisuusalan liiketoiminnan kehittäminen nojaa vahvasti yritysten viennin eli kansainvälistymisen tukemiseen.
Kuva kyberturvallisuuden tilasta voi vääristyä vain huonoja uutisia seuraamalla
Kun kyberturvallisuuden aiheet nousevat viikko toisensa jälkeen uutisotsikoihin ja puhututtavat, näkyy se lisääntyneenä kiireenä Kyberalan toimistolla. Sund näkee, että julkisella keskustelulla kyberturvallisuudesta on sekä hyvät että huonot puolensa.
“Julkinen keskustelussa tietoisuuden lisääntyminen on lähtökohtaisesti hyvä asia. Mutta samaan aikaan, tällaiset yksittäiset otokset maailman tilasta, digitaalisen maailman turvattomuuden kysymyksistä, niin ne voivat jäädä asiaan perehtymättömille irrallisiksi”, Sund sanoo.
Jos käsitys kyberturvallisuudesta syntyy vain epäonnistumisien ja kauhistuttavien esimerkkien kautta, suurelle yleisölle voi jäädä epäselväksi missä kaikissa asioissa kyberturvallisuuden saralla onnistutaan. Sund kertoo, että varsinkin Venäjän hyökkäys Ukrainaan on kuumentanut kyberturvallisuus keskustelua.
“Me mielellämme nostamme esiin faktapohjaista maailmankuvaa. Ja me mielellämme kerromme, mitä nämä yksittäiset, irralliset tapahtumat tarkoittavat kontekstissaan”, Sund sanoo.
Osaajapula haastaa kyberturvallisuuden kehittämistä
Suomen ICT- ja teknologia-alalle kaivataan tulevan kymmenen vuoden aikana noin 130 000 uutta työntekijää. Tämä vaikuttaa luonnollisesti myös kyberalaan. Sund arvioi, että kyberalalla on tällä hetkellä noin 10 000 työntekijän vaje.
“Voisi sanoa, että kaivattaisiin puolet lisää osaajia alalle, mitä siellä tällä hetkellä on”, Sund kuvaa.
Osasyy osaajapulaan on se, että kyberturvaa tarvitaan enemmän kuin koskaan ennen. Sen lisäksi kyberturvallisuutta kehitetään yhä laajemmin, eri osa-alueita paremmin huomioiden. Tämä vaatii lisää osaamista.
“Tietoturva on edelleen hieman historiansa vanki. Tietoturva usein mielletään puhtaasti tekniseksi ratkaisuksi, joka asuu siellä tietokoneen sisällä. Että se on voi olla virusskanneri, palomuuri tai spämmifiltteri sähköpostissa. Mutta me puhutaan nykyään digiturvasta – ja se on kuin tietoturva 2.0”, Sund kertoo.
Laajempi käsitys tietoturvasta ottaa huomioon riskienhallinnan keinot, sekä pitää sisällään varautumisen tietoturvaloukkaustilanteisiin. Tämän päivän tietoturvan keskiössä on myös henkilötietojen suoja, joka on Sundin mukaan odottanut pitkään lainsäädännöllisiltä kehittämistä.
“Kun mietitään digiturvan kokonaisuutta, niin koko tämä ilmiö vaikuttaa valtavasti siihen osaajakysymykseen. Kun näitä erilaisia temaattisia kokonaisuuksia tulee saman sateenvarjon alle, niin tarvitaan hyvin paljon erilaisia osaajia”, Sund sanoo.
Suomen etuna Sund näkee tilanteessa sen, että suomalaisissa oppilaitoksissa koulutetaan tietoturvan osaajia erilaisista näkökulmista. Vaikka osaajia valmistuu määrällisesti vielä liian vähän, heidän osaamisensa monipuolista ja vastaa alan tämän päivän tarpeisiin.
“Nyt kysymys on enää se, että me tarvitaan alalle haluavia ja siellä pärjääviä ihmisiä enemmän.”
Kyberalalla odotetaan EU:n regulaatiotsunamia
EU:n lainsääntely prosessin tuloksena on odotettavissa tulevina vuosina uudenlaista regulaatiota niin tietosuojaan kuin muuhunkin kyberturvallisuuteen liittyen. Sund kertoo, että tulevaa lainsäädännönmuutosten sumaa on kutsuttu myös regulaatiotsunamiksi. Vaikka kaikki lakisäädännön kehitys on hyväksi kyberturvallisuudelle, vaatii se uudistuksen ponnistuksia joihin alalla varauduttava.
“Ehkä keskeisimpiä sääntelyhankkeita on kyberkestävyyssäädös. Sen säädöksen ideana on se, että kaikki laitteet, niin hardware eli käsin kosketeltavat laitteet kuin myös software eli ohjelmistot, joissa on tällainen digitaalinen komponentti, pakotetaan digitaalisen turvallisuuden tason nostoon. Ja se tulee koskemaan lähestulkoon kaikkia kuviteltavissa olevia laitteita ja ohjelmistoja, joita Euroopan unionin sisämarkkinoille tuodaan”, Sund kertoo.
Digiturva ei ole koskaan valmis, joten se vaatii niin lainsäädännöllistä muutosta kuin käytänteiden ja teknologian kehittämistä.
“Jos me katsotaan, että mihin kyberturvallisuus on Suomessa menossa niin, samalla kun kyberturvallisuus on kehittymässä esimerkiksi tuon sääntelykehyksen muutoksen myötä parempaan suuntaan niin samalla se uhkakenttä eli ne kaikki pahantahtoiset toimivat tekevät tai pyrkivät tekemään, niin sen määrä on mittavassa kasvussa”, Sund kertoo.
Sund ei näe, että turvattomuuden kasvu olisi tämän hetken tiedon valossa muuttumassa lähitulevaisuudessa. Kaikki turvallisuutta kasvattavat toimet tulevat siis kipeään tarpeeseen.
Kyberturvallisuusseteli avustaa jokaisen organisaation kyberturvan rakentamista
Kyberturvallisuus on erityinen osaamisala, joiden palveluja organisaatioiden on toisinaan vaikea päästä hyödyntämään haluamallaan tavalla. Suuret organisaatiot tai toimijat, joiden toimiala vaatii korkeaa kyberturvallisuutta panostavat usein oman osaajajoukon palkkaamiseen. Kaikille organisaatioille ei ole kuitenkaan mahdollista järjestää riskienhallintaa itsenäisesti, vaan he tarvitsevat ulkopuolisen palveluntarjoajan.
“Jokainen tietenkin ymmärtää, että myös elinkeinonharjoittajat, jotka toimivat vaikka LVI-alalla tai nuohoojana, eivät myöskään toimi enää analogisessa maailmassa. Heilläkin on asiakasrekisterit, laskutus, yhteydenotot, verkkosivut, sähköpostit – ja kaikki on digitaalisessa muodossa. Mutta eihän tällainen toimija voi olla itse kyberturvallisuuden asiantuntija”, Sund nostaa esimerkiksi.
Kyberturvallisuusseteli on kehitetty yrityksille, jotka tarvitsevat tukea yrityksen digitaalisen turvallisuuden takaamiseksi.
“Julkinen sektori on mukana tukemassa verovaroin kaikista heikoimmassa asemassa olevia yrityksiä, jotta me saataisiin sitä digitaalisen turvallisuuden alinta tasoa nostettua”, Sund sanoo.
Hän lisää, että keskusteluissa nostetaan usein esiin kriittisen infrastruktuurin toiminnan turvaamisen tärkeyttä, vaikka todellisuudessa tärkeintä on tukea digitaalista turvallisuutta mahdollisimman laajasti kaikissa organisaatioissa.
