- Suomelle on valmisteilla uusi kyberturvallisuusstrategia.
- Finanssiala ry (FA) yhtyy pääosin uudessa strategiassa esitettyihin johtopäätöksiin ja toimenpiteisiin. Yleisluontoiseksi jäävää strategiaa olisi kuitenkin tarkennettava, jotta sen toimeenpanoa ja toteutumista voitaisiin seurata tehokkaammin.
- Strategia nojaa liikaa hallinnonalakohtaiseen varautumiseen. Viranomaisten rooleja siviili-infrastruktuuriin kohdistuvissa hyökkäyksissä on selkeytettävä.
- Tehokas reagointi edellyttää riittävän avointa ja reaaliaikaista tiedonjakamista viranomaisilta yksityiselle sektorille. FA toivoo uudistuvalta strategialta parannusta tilanteeseen.
Valtioneuvoston kanslia on ryhtynyt uudistamaan Suomen kyberturvallisuusstrategiaa. FA:n johtava asiantuntija Mika Linna antaa hallitukselle tunnustusta toimeen tarttumisesta, mutta kritisoi uutta strategiaa konkretian puutteesta.
”Uusi kyberturvallisuusstrategia ei esimerkiksi määrittele kaikilta osin tahoja, joiden kuuluu varmistaa strategiassa linjattujen tehtävien ja tavoitteiden toteutuminen”.
Linnan mukaan kyberturvallisuusstrategiaa olisi syytä täsmentää, jotta strategian toimintaan saataisiin lisää tehoa ja jotta sen toimeenpanoa ja toteutumista voitaisiin seurata paremmin.
“Yksityisellä sektorilla on keskeinen rooli yhteiskunnan kriittisen infrastruktuurin ja elintärkeiden palvelujen tuottajana. Niiden puolustamista kyberhyökkäyksissä ei voida jättää vain yksittäisten toimijoiden varaan.“
MIKA LINNA, johtava asiantuntija
Kyberuhkiin varautuminen ei saa jäädä yksittäisten toimijoiden harteille
Konkretisoinnin lisäksi strategian valmistelussa olisi Linnan mukaan syytä omaksua kokonaisvaltaisempi ote. Linna kritisoi sitä, että uudessa kyberturvallisuusstrategiassa uhkiin varautuminen ja reagoiminen on edelleen pitkälti hallinnonalakohtaista.
”Hallinnonalojen väliset erot kyberturvallisuuden johtamisessa ja hallinnassa ovat suuria. Erojen kaventaminen edellyttäisi selvästi nykyistä keskitetympää ohjausta ja johtamista”, Linna täydentää.
Linna pitää tärkeänä, että Suomelle laadittaisiin mahdollisimman nopeasti kattava kyberpuolustusdoktriini, jossa linjattaisiin selkeästi Puolustusvoimien ja muiden viranomaisten rooleista kriittiseen siviili-infrastruktuuriin kohdistuvien hyökkäysten torjumisessa, selvittämisessä ja vaikutuksista toipumisessa.
Viranomaisten toimivaltuudet, yhteistyörakenteet ja johtovastuut olisi välttämätöntä määritellä yksiselitteisesti, jotta ne varmistaisivat kaikissa tilanteissa nopean ja asianmukaisen reagoinnin kyberhyökkäykseen.
”Yksityisellä sektorilla on keskeinen rooli yhteiskunnan kriittisen infrastruktuurin ja elintärkeiden palvelujen tuottajana. Sen vuoksi on selvää, ettei niiden puolustamista kyberhyökkäyksissä voida jättää vain yksittäisten toimijoiden varaan”, Linna huomauttaa.
Tehokkaampi tiedonkulku turvaa välttämättömät toiminnot
Linna korostaa julkisen ja yksityisen sektorin välisen ja sisäisen tietojenvaihdon sekä yhteisen tilannekuvan tärkeyttä. Pimeässä verkossa toimivat alustat tarjoavat sekä valtiollisille että ei-valtiollisille toimijoille jatkuvasti laajenevan valikoiman kehittyneitä välineitä, menetelmiä ja palveluja, joita ne voivat helposti hyödyntää omissa kyberhyökkäyksissään.
”On tärkeää, ettei tietojenvaihtoa rajata vain toteutuneisiin tai käynnissä oleviin hyökkäyksiin tai esimerkiksi teknisiin haittaohjelma- tai haavoittuvuuskuvauksiin. Tietojenvaihto tulee ulottaa myös kyberhyökkäyksiä mahdollistaviin toimijoihin ja toimintaan”, Linna linjaa.
Tuloksellinen tilannekuvatoiminta edellyttää, että merkityksellinen tieto kulkee avoimesti ja mahdollisimman reaaliaikaisesti viranomaisilta yksityisen sektorin suuntaan. Näin ei valitettavasti aina ole, ja Linna toivoo, että uudistettava kyberturvallisuusstrategia parantaisi osaltaan tilannetta.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
Janoatko lisää?
Tähän aiheeseen liittyviä uutisia ja kolumneja