Vaikka kyberturvallisuus nähdään usein vain teknologisena kysymyksenä, on digitaalinen maailma inhimillisen toiminnan tuotos. Ihminen on myös suurin kyberturvallisuusriski, koska emme tunne käyttämäämme teknologiaa, kirjoittaa Mirva Salminen.
Kyberturvallisuudesta puhutaan kaikkialla, mutta vain harvalla meistä on muuta kuin hatara käsitys siitä. Käsitteellä on yhtä monta määritelmää kuin määrittelijää, mistä syystä sen merkitys jää usein epäselväksi. Digitaalisen turvallisuuden uskotaan olevan turvallisuuskäsitystämme lähivuosina eniten muuttava tekijä, mutta mitä uutta ”kyber” todella tuo turvallisuusajatteluun?
Digitaalisessa maailmassa toimimisen lähtökohtana ovat sen tarjoamat mahdollisuudet, jotka jokaisen on löydettävä omalta kohdaltaan. Yksilöille mahdollisuudet tarkoittavat usein arkipäivää helpottavia ratkaisuja kuten reaaliaikaista yhteydenpitoa ja nettiasiointia. Organisaatioiden ja valtioiden osalta mahdollisuudet liittyvät pitkälti kustannustehokkuuteen, prosessien järkiperäistämiseen, tiedonjakeluun ja uudenlaisten tai kohdennetumpien palveluiden tarjoamiseen. Pyrkiessään toteuttamaan mahdollisuuksia toimijat kohtaavat kyberuhkia ja ottavat eriasteisia riskejä.
Mistä kyberturvallisuudessa on kysymys?
Kyberturvallisuudessa on kyse digitaalisten mahdollisuuksien ja kyberuhkien tasapainottamisesta. Yhtäältä se on tavoitetila, jota luonnehtii luottamus toimintaympäristöön ja sen toimijoihin sekä kyky ennakoivasti hallita ja sietää kyberuhkia. Toisaalta se on keino, jolla turvataan digitaalisten mahdollisuuksien toteutuminen. Vaikka kyberturvallisuus nähdään usein vain teknologisena kysymyksenä, on digitaalinen maailma inhimillisen toiminnan tuotos. Se on olemassa ihmistä varten. Ihminen on myös suurin kyberturvallisuusriski, koska emme tunne käyttämäämme teknologiaa tai tunnista sosiaalista manipulointia.
Turvallisuusajattelun peruspilareita ovat turvattava kohde, sitä vastaan kohdistuvat uhkat ja keinot, joilla uhkiin vastavaikutetaan. Näin on myös digitaalisessa maailmassa. Turvattava kohde ei kuitenkaan ole aineellinen vaan aineeton tieto. Kuten yksilö henkilöturvallisuudessa, tieto pitää kyetä suojaamaan niin asemapaikassa kuin liikkeessä. Perinteisesti politiikan tutkimuksessa tunnistettuja turvallisuuden kohteita ovat ollet järjestelmä, valtio ja organisaatio sekä turvallisuuskäsityksen laajentumisen myötä myös ihmiskunta tai yksilö. Kyberturvallisuus kutistaa turvattavan kohteen yksilöä pienemmäksi. Ohjelmasta, koodista tai yksittäisestä merkistä tulee turvallisuuskysymys.
Otsikoissa kyberturvallisuus oli jo ennen Ukrainan kriisiä, mutta kriisi on selvästi lisännyt keskustelua kyberturvallisuudesta. Kriisi itsessään on esimerkki digitaalisen ja fyysisen maailman yhteenkietoutumisesta: toimilla kyberavaruudessa vaikutetaan fyysiseen todellisuuteen ja toisin päin. Rajat maailmojen välillä hämärtyvät ja on vaikea saada selkoa siitä, mitä tapahtuu missäkin maailmassa. Maailmojen yhteenkietoutuneisuus perustelee kokonaisturvallisuusajattelun tarpeen.
Kyberturvallisuuden toimijat
Yhteiskunnan digitalisoitumisen myötä ”kyber” on läsnä kaikkialla, joten kaikkien on osallistuttava sen turvaamiseen. Turvallisuus kumuloituu yhdestä moneen ja yksilöstä tulee kansallisen, jopa kansainvälisen turvallisuuden tuottaja. Pahantahtoisesta yksilöstä, organisaatiosta tai verkostosta taas muodostuu ylikansallinen uhka.
Yksilö kantaa kortensa kyberturvallisuuden kekoon huolehtimalla perusasioista kuten kunnollisista salasanoista, tietoturvaohjelmistoista, ohjelmapäivityksistä ja jättämällä epäilyttävät linkit avaamatta. Organisaation tasolla on mietittävä miten se rakentaa digitaalisen ympäristönsä turvalliseksi. Mitä arvokasta tietopääomaa sillä on, missä tietoa säilytetään ja liikutellaan, ja miten se turvataan? Oman ympäristönsä ohella organisaation on huolehdittava verkkojen rajapinnoista ja erityisesti niiden ulkopuolisten turvallisuusjärjestelyistä, joilla on pääsy sen järjestelmiin. Valtion tehtävänä on suojata omat järjestelmänsä ja verkkonsa, mutta myös ohjata koko yhteiskunnan kyberturvallisuutta kokonaisturvallisuuden nimissä. Se koordinoi muiden toimintaa ja voi pakottavasti säätää turvallisuudesta.
Absoluuttista turvallisuutta ei ole olemassa – sen enempää digitaalisessa kuin fyysisessäkään maailmassa. Turvallisuus on jatkuva prosessi, joka saa uusia ulottuvuuksia ja tavoitteita koko ajan. ”Kyber” voidaan tulkita tällä hetkellä pinnalla olevaksi turvallisuuden ulottuvuudeksi. Silti kyse on edelleen tunteesta ja todetusta turvallisuuden tilasta; malleista, joilla turvallisuutta on opittu tuottamaan; sekä sietokyvystä. Jatkuvassa prosessissa turvallisuutta tuo kyky mukautua muutoksiin joustavasti, varautua myös odottamattomaan ja jatkaa toimintaa paineen alla.
Tietoturvasta kyberturvallisuuteen
”Kyber” itsessään on attribuutti, joka saa varsinaisen merkityksensä vasta yhdyssanan osana. Nykyisellään sillä viitataan löyhästi lähes mihin tahansa tietoteknisiin laitteisiin, verkkoihin, digitaaliseen tai virtuaaliseen liittyvään. ”Kyber” ei kuitenkaan ole uusi juttu. Sana juontaa antiikin kreikasta, jossa sen varhaisemmalla muodolla tarkoitettiin ohjaamista tai hallintaa. 1940-luvulta kybernetiikka tieteenalana on tutkinut järjestelmiä, niiden hallintaa ja niissä tapahtuvaa kommunikaatiota. 1960-luvulta kyborgilla on viitattu orgaanisen ja kyberneettisen yhdistelmään, koneihmiseen. Kyberavaruus taas on ollut käytössä 1980-luvulta alkaen.
Ennen kyberturvallisuutta digitaalisen maailman turvallisuutta on käsitelty muun muassa tietoturvan ja verkkoturvallisuuden käsittein. ”Kyberissä” erilaista aikaisempaan on holistisuus. Tietoturva koskee muutakin kuin digitaalista tietoa, joten se kuuluu vain osittain kyberturvallisuuden piiriin. Omien laitteiden ja verkkojen ohella kyberturvallisuus kattaa organisaation ulkopuolisen digitaalisen ympäristön ja siihen kytkeytymisen. Se painottaa kattavaa tilannekuvaa ja jatkuvaa hallintaa. Se ei pyri rakentamaan vahvinta mahdollista suojamuuria kohteen ympärille vaan aktiivisesti muokkaamaan toimintaympäristöä ja vaikuttamaan sen tapahtumiin. ”Kyber” tunnistaa myös digitaalisen ja fyysisen maailman yhteenkietoutumisen.
Noustuaan pinnalle kyberturvallisuus on vahvistanut monia meneillään olleita kehityskulkuja. Toisaalta jo ennen otsikoita se oli vaikuttamassa näiden kehityskulkujen syntyyn. On hankala tarkalleen sanoa, mitä uutta ”kyber” tuo turvallisuusajatteluun. Ainakin se vaatii huomioimaan digitaalisen maailman epäsymmetrisyyden ja tehokkuuden, toimijoiden tunnistamattomuuden sekä ajan ja paikan kokemuksen erilaisuuden fyysiseen maailmaan verrattuna. Uhkista ja niiden torjumisesta on siirrytty riskeihin ja riskienhallintaan koko yhteiskunnan osalta. Turhaa riskiä pitää välttää, välttämätön riski minimoida ja jäljelle jäävän osan kanssa opittava tulemaan toimeen. Turvallisuushakuisuudesta on tullut yhteiskunnan järjestäytymisen ja hallinnoimisen perusperiaate.
Kyber osana yhteiskunnan kokonaisturvallisuutta
Kokonaismaanpuolustuksesta turvallisuusajattelu on laajentunut kokonaisturvallisuuteen, jolloin siihen on liitetty laajentuneen turvallisuuden osa-alueita. Valtion ja sen maa-alueen sijaan turvallisuuden kohde on yhteiskunta ‒ etenkin sen kriittiset toiminnot. Suurin osa kriittisistä toiminnoista on tänä päivänä digitaalisen maailman toimivuudesta riippuvaista. Kyberturvallisuudella siten suojataan yhteiskunnan selkärankaa. Pääosin tämä selkäranka on yksityisten yritysten omistamaa ja/tai hallinnoimaa. Tarve julkisen ja yksityisen väliseen yhteistyöhön lisääntyy. Kyberturvallisuus on yhtälailla aseetonta kuin aseellista.
Painottaessaan eri toimijoiden turvallisuusroolia ”kyber” siirtää vastuuta niiden hartioille. Arvojen ja toiveiden moninaistuttua valtio ei enää kykene vastaamaan kaikkien turvallisuustarpeisiin. Digitaalisen maailman avaamat mahdollisuudet ja vapaus niiden toteuttamiseen tuovat mukanaan vastuun toiminnasta, mitä ei voi ulkoistaa valtiolle tai palveluntarjoajalle, yrityksen IT-osastolle tai kouluttamattomalle työntekijälle. Toimijoiden moninaistuminen lisää kitkapinta-alaa ja siten haavoittuvuutta yhteiskunnassa. Se myös lisää riskiä, sillä on lähes mahdotonta tunnistaa ja hallita kaikkea keskenäisvaikutusta. Sietokyky ja kyky reagoida joustavasti muutoksiin korostuvat.
Kyberturvallisuus on kaikkialla
Yhteiskunnallinen huomio on kiinnittynyt kyberturvallisuuteen samaan aikaan kuin verkostoajattelusta on tullut tunnetumpaa. Verkostotkaan eivät ole uusi juttu, mutta niiden rakentuminen tietotekniikan ympärille on. Kyberturvallisuudessa yhteiskunnat joutuvat miettimään suhdettaan teknologiaan. Nähdäänkö teknologia ratkaisuna inhimillisiin ongelmiin, ulkopuolelta vaikuttavana deterministisenä voimana vai yhteiskunnan sosiaalisten, poliittisten ja kulttuuristen arvojen ilmentymänä vaikuttaa siihen, kuinka tärkeäksi kyberturvallisuus yhteiskunnassa arvioidaan. Tai miten sitä rakennetaan.
Kyberturvallisuuden ”kaikkialla oleminen” ja pyrkimys kokonaisuuden hallintaan pakottavat sovittamaan erilaisia turvallisuuskäsityksiä yhteen. Esimerkiksi taloudessa (erityisesti rahoituksessa), politiikassa (jossa eroa on tehty sisäisen ja ulkoisenkin turvallisuuden välille) ja tietotekniikassa ”turvallisuus” ymmärretään eri tavoin. Kyberturvallisuudessa joudutaan muun muassa sovittamaan teknologista uhkakuvastoa (haittasivustot, troijalaiset, bottiverkot, palvelunestohyökkäykset) strategiseen (haktivismi, kyberrikollisuus, vakoilu, kybersodankäynti). Yhteistoimintaa hankaloittaa yhteisen puhetavan puuttuminen. Jokaisen turvallisuustoimijan on opeteltava uutta.
Hallinnan ja kontrollipyrkimyksen painottuminen kyberturvallisuudessa pakottaa kysymään, missä politiikka luuraa? Kokonaisturvallisuusajattelu piilottaa konfliktin mahdollisuuden ja antaa ymmärtää, että ”kyberistä” kaikilla on yhtenäinen näkemys: Digitaaliset mahdollisuudet ovat mittaamattomat ja siksi niiden toteutumisen turvaaminen on kaikkien edun mukaista. Niin yksilö, yritys kuin valtio haluaa vetää yhtä köyttä yhteiskunnan kyberturvaamiseksi. Kuitenkin jo kyberturvallisuuden nostaminen yhteiskunnalliseksi kysymykseksi, kansallisen strategian kirjoittaminen ja organisaatioiden vastuuttaminen ovat poliittisia päätöksiä. Teknologian kehittyminen ei determinoi niitä.
Turvallisuus digitalisoituvassa maailmassa
Turvallisuudessa on edelleen kyse järjetyksen muodostamisesta ja ennakoitavuuden lisäämisestä. Kyberturvallisuus on tapa opetella tulkitsemaan nykyistä toimintaympäristöä tietyllä tavalla. Se peräänkuuluttaa digitaalisen maailman lainalaisuuksien tuntemista ja vaatii elämään uudenlaisten ajan ja paikan kokemusten kanssa. Totuttujen lainalaisuuksien kyseenalaistuminen laittaa miettimään uudelleen olemassa olevia ajattelun ja toiminnan malleja. Toimijoiden epäsuhtaisuus ja tunnistamattomuus ovat kyberturvallisuuden arkipäivää. Yhteisöjen hallinnan ohella oman itsen hallinta korostuu.
Millaiseksi ”kyber” turvallisuudessa lopulta muodostuu on vähitellen tapahtuvan poliittisen ja hallinnollisen päätöksenteon, näiden vastustuksen, käytännön toiminnan ja siitä oppimisen tulosta. Varmaa kuitenkin on, että digitalisoituvan turvallisuuden vaikutukset tuntuvat kaikilla yhteiskunnan osa-alueilla.
Kirjoitus pohjautuu Mirva Salmisen, Jarno Limnéllin ja Klaus Majewskin kirjoittamaan kirjaan Kyberturvallisuus (Docendo 2014).
Artikkelikuva: Pexels / Pixabay