Aapo Cederbergilla on takanaan mittava ura kyberturvan parissa. Hän on toiminut muun muassa Suomen turvallisuuskomitean pääsihteerinä ja ollut mukana kirjoittamassa vuoden 2013 alussa valmistunutta ensimmäistä ja maailman mittakaavassa hyvin edistyksellistä Suomen kyberturvallisuusstratagiaa.
Tänä päivänä, lähes kymmenen vuotta Suomen kyberturvallisuusstrategian luomisen jälkeen näkemykset strategian toimivuudesta ja hyödyistä vaihtelevat. Toki on muistettava, että myös kybermaailma kyberuhkineen ja haasteineen on nykyisin ihan toinen kuin 10 vuotta sitten – silloin hakkereiden ja kyberrikollisten osuus nähtiin kirkkaampana ja nyt tapetilla on Venäjän luoma hybridisodankäynnin konsepti, jossa kybersuorituskyvyt ovat keihään kärkenä. Tietyt asiat strategiassa pätevät edelleen: Suomen globaali ja maan sisäinen luottamusverkosto ja sen toiminta ovat edelleen keskeisiä asioita. Strategiaa on päivitetty kaksi kertaa, mutta uutta strategiaa ei olla laadittu, mikä saattaa olla virhe.
Cederbergin mukaan kyberjohtamisessa kompuroidaan. Erityisesti kybersodan ollessa käynnissä niin valtakunnan tason kuin yritystenkin johtaminen nousevat temppelin harjalle. Kyberiskun tullessa siirrytään yrityksissä välittömästi kriisijohtamiseen. Jokaisen yrityksen tulisikin miettiä omaa kykyään hallita kriisijohtamista ja olla varautunut siihen. Suomesta puuttuu edelleen varsinainen kyberlainsäädäntö. Kokonaisvaltainen kokonaisuuden hallinta olisi helpompaa, jos olisi olemassa kunnollinen normatiivinen pohja.
Suomesta puuttuu strategisen kyberjohtamisen osaaminen. Yrityksen, valtion tai organisaation strategisen kyberjohtamisen lähtökohtana on oikea strateginen tilannekuva ja sen merkitys. Venäjän strateginen tilannekuva helmikuun lopussa 2022 oli väärä, ja Venäjä onkin sen vuoksi häviämässä sodan Ukrainaa vastaan.
Tilannekuvan lisäksi toinen johtamisen perusedellytys on hyvä kyberriskianalyysi, jota ilman yritys ei voi pärjätä tässä maailmassa. Ei riitä, jos kyberriskianalyysi tehdään kerran neljässä vuodessa hallituskaudessa tai jos yritys tekee sen kerran vuodessa. Sen pitäisi olla jokapäiväistä ja osa strategista tilannekuvaa, joka meillä pitäisi olla niin kansallisesti kuin kriittisillä yrityksilläkin. Valtio ei pysty tekemään riskianalyysia yksin, vaan kriittisten yritysten rooli on merkittävä.
“Kukaan ei hallitse kyberturvallisuutta yksin, vaan kyllä se on yhteistyön tulos. Mitä paremmin yhteistyö toimii, sen kriisinkestävämpi yhteiskunta on”, Cederberg summaa.
Strategisessa kyberjohtamisessa yritysjohdon rooli ja osaaminen korostuvat. Johdon tehtävänä on tuoda kyberturva osaksi yrityksen liiketoimintastrategiaa sekä kouluttaa oma henkilöstönsä niin, ettei suuria virheitä päästäisi tekemään.
“Kyberhyökkäyksistä suurin osa johtuu ihmisistä, ei teknologiasta,” Cederberg huomauttaa.
Cederberg muistuttaa myös älykkään kyberturvallisuuden merkityksestä: Suomen älykäs kyberturvallisuusperustuu siihen, että valtiovallan rooli on reguloida ja vaatia, että kriittiset yritykset tekevät kyberriskianalyysinsa paremmin. Sen jälkeen voidaan katsoa valtakunnan tasolla, mihin panokset pannaan ja mitkä ovat niitä avaintekijöitä, jotka meidän pitää itse kyetä hoitamaan. Suomi ei pärjää yksin, mutta on tiettyjä asioita, joissa meidän on pärjättävä paremmin yksin.
Tänä päivänä ei voida elää kuten aiemmin. Suomessa on hyvä turvallisuuskulttuuri, mutta kyberturvallisuuskulttuurin on kasvettava turvallisuuskulttuurin sisällä siihen mittaan, että se auttaa ja parantaa ja tehdään helpoksi. Kyberturvassa on aina kyse digitalisaatiosta ja onkin pohdittava, halutaanko digitalisaation hyötyjä hyödyntää maksimaalisesti.
Turvallisuusympäristö on pysyvästi muuttunut ja meidän pitäisi ymmärtää, miten vastaamme tähän muutokseen.
“Nythän meidän pitää oikeasti varautua: joka päivä varoitetaan, että kriittiseen infraan tulee iskuja. Venäjän hybridisodankäynnin konsepti vaikuttaa ja näkyy joka päivä ei vain Ukrainassa vain myös meillä, meidän kriittisessä infrassa sekä meidän lähiympäristössä esimerkiksi kaasuputkien räjähtelynä. Pelkkä Nato-jäsenyys ei riitä, vaan toimeenpanon pitää valua kaikkiin kriittisiin toimintoihin yhteiskunnassa”, Cederberg kertoo.
Cederberg näkee, että kyberturvallisuus on Suomen todennäköisin uhka ensi talvena ja siihen on oltava valmiita. Meidän pitää ymmärtää, että meitä seurataan koko ajan esimerkiksi puhelimien välityksellä. Tämä on osa kyberturvallisuuskulttuuria.
Kyberturvan kehittäminen Suomessa menee oikeaan suuntaan, mutta toimet ovat silti vielä riittämättömiä. Suomessa ei ole esimerkiksi lainsäädäntöä siitä, mikä on kriittinen infra ja miten se on määritelty. Tämä on Cederbergin mukaan yllättävää:
“Luotamme siihen, että yhteiskunnan elintärkeät toiminnot turvataan ja meillä on strategia siihen, mutta tämäpä ei enää riitä vaan meidän pitää katsoa, että jokainen kriittisen infran osatekijä on hieman erilainen ja edellyttää monitoimijoiden yhteistyötä toimiakseen.”
Yksi kriittisistä asioista on moderni huoltovarmuus, jonka eteen Suomessa on tehty paljon hyvää työtä – Suomi on ainoa maa, jossa tällainen on olemassa. Haasteet kuitenkin kasvavat: mitä digitaalisempi ja modernimpi yhteiskuntarakenne meillä on, sitä enemmän siinä on haavoittuvaisuuksia ja sen monimutkaisempi ja keskenään riippuvaisempi se on, jolloin taas tullaan riskianalyysin merkitykseen.