Yhteiskunnan digitaalisten palveluiden ja niiden turvallisuuden kehittäminen on yhä kuumempi puheenaihe. ”Emme koskaan saavuta sataprosenttista turvallisuutta, mutta voimme ennakoida ja varautua häiriöihin”, johtava erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta sanoo.
Uusi Digi- ja väestötietovirasto (DVV) starttasi vuoden 2020 alusta, kun Väestörekisterikeskus ja maistraatit yhdistyivät. Liitto pisti yhteen kaksi vahvaa digitalisaation kehittäjää ja loi mittavan transformaation myötä noin 900 henkilön työyhteisön.
Digi- ja väestötietoviraston tehtävänä on näyttää suuntaa, uudistaa yhteiskuntaa ja tukea kansalaisten asiointia julkisen hallinnon kanssa. Rousku korostaa luottamusta, yhteistyötä, arvostusta sekä aktiivista keskustelua kaikkia suomalaisia koskettavasta digitalisaatiosta.
”Pyrimme rohkeasti vauhdittamaan yhdessä koko muun julkishallinnon kanssa entistäkin palvelevamman Suomen ja sujuvammin toimivan yhteiskunnan rakentamista.”
Yhteistyötä koko yhteiskunnan hyväksi
”Digitaalisen turvallisuuden mahdollistaminen on jokaisen asia, niin töissä kuin vapaa-ajalla. Jos jotain epäilyttävää ilmenee, siitä tulee aina ilmoittaa”, Kimmo Rousku korostaa.
Rousku vastaa pestissään julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) operatiivisesta toiminnasta sen pääsihteerinä. Lisäksi hänen vastuullaan on Digi- ja väestötietoviraston kehittämät ja tuottamat digiturvapalvelut julkiseen hallintoon.
”Digitaalinen turvallisuus on merkittävä osa arjen turvallisuuttamme, ja julkishallinnon organisaatioilla on sen ylläpitämisessä merkittävä rooli. Teemme työtä koko yhteiskunnalle: testaamme, kokeilemme ja siirrämme hyviä asioita käytäntöön”, Rousku summaa.
Viime vuoden esimerkkejä uhkatilanteen muutoksesta edustavat mm. Lahden ja Kokemäen kaupunkeja vastaan tehdyt onnistuneet ja merkittävää haittaa aiheuttaneet kyberhyökkäykset. Hyviä esimerkkejä nämä ovat siksi, että niistä yhdessä oppimalla voidaan kehittää entistä turvallisempaa yhteiskuntaa. ”Enää ei voi todeta, ettei meillä Suomessa koskaan mitään tapahdu”, Rousku toteaa.
Paha digi on askeleen edellä hyvää digiä
Kun ennen puhuttiin tietoturvallisuudesta, tänä päivänä puhutaan digiturvasta. Tämä kattaa viisi osa-aluetta: riskienhallinnan, toiminnan jatkuvuuden, tietoturvan, kyberturvallisuuden sekä tietosuojan. Yhdellä termillä ei Rouskun mukaan pärjätä, vaan tarvitaan toimintaympäristön muutosta peilaava iso kuva.
”Emme koskaan saavuta sataprosenttista turvallisuutta, mutta voimme ennakoida ja varautua häiriöihin. Riskit ja uhat pitää hallita, jotta voimme toimia. Digitaalinen turvallisuus on toiminnan jatkuvuuden mahdollistaja”, Rousku korostaa.
Kaikki pohjautuu riskienhallintaan.
Tämä kaikki kuuluu hyvään digiin, jonka vastapuolelta löytyy paha digi, johon puolestaan kuuluvat tietoverkkorikolliset, kyberterrorismi ja valtiolliset toimijat, jotka haluavat hyötyä muista.
”Suojautuminen pahaa digiä vastaan tulee aina askeleen perässä. Rikollisten kilpailukyky piilee siinä, että he voivat toimia rikollisesti, kun taas me toimimme aina lain mukaan.”
Nyt puhutaan luottamuksen säilyttämisestä
Hyökkäysten määrä kasvaa koko ajan ja niiden torjuminen on yhä vaativampaa. Mittakaavasta kertoo kuvitteellinen laskuesimerkki: jos hyökkäyksiä tehdään vaikkapa 10 miljoonaa vuodessa, näistä 99,999 prosenttia pystytään torjumaan, mutta onnistuneita hyökkäyksiä tulee silti yhä enemmän.
”Joudumme jatkuvasti tasapainottelemaan hyvän digin ja pahan digin välillä”, Rousku tuumii.
”Tehtävämme on varmistaa, että yhteiskunta ja julkinen hallinto pystyvät toimimaan luotettavasti. Emme voi enää puhua luottamuksen kasvattamisesta, vaan luottamuksen säilyttämisestä. Toinen haaste on automatisaation, tekoälyn ja robotiikan niin nopea kehitysvauhti, ettei lainsäädäntö pysy perässä.”
Ihminen on digiturvallisuuden keskiössä
Mitä jokainen kansalainen ja työntekijä voi tehdä osana isoa kuvaa? ”Ensinnäkin jokaisen tulisi ymmärtää toimia yhä turvallisemmin niin vapaa-ajalla kuin työelämässä. Kyse ei ole vain digiturvallisesta työelämästä, vaan kokonaisesta turvallisesta digimaailmasta”, Rousku vastaa.
Ihmistä nostetaan keskeiseen rooliin digiturvallisuudessa, sillä usein hyökkäykset tulevat inhimillisen virheen seurauksena. Kun haavoittuvuus lisääntyy, joku pystyy käyttämään sitä hyväkseen.
”Organisaatiot kehittävät käyttäjille näkymätöntä turvallisuutta, jolla pyritään saamaan verkkorikollisten toiminta kuriin. Monella on kokemuksia esimerkiksi sähköposteista ja linkeistä, jotka ovat vaarallisia. Teknologisin ratkaisuin tulisi luoda automaattisesti toimiva suojakuori ihmisten tekemisten ympärille, mutta olemme vielä kaukana siitä.”
Digiturvan kuplaa on laajennettava
Suomalaisilla on Rouskun mukaan yksi etu turvallisuusnäkökulmasta: suomen kieli. Jos saat sata henkilökohtaista viestiä vaikkapa vapaa-ajan postiisi ja niistä 95 on englanniksi, tilanne voi pistää hälytyskellot laulamaan. Arveluttavat viestit on kielen ansiosta helpompi huomata ja blokata pois.
”Ei kuitenkaan pidä tuudittautua siihen, että olisimme kielen takia turvassa. Kansainväliset kyberrikolliset ampuvat laajasti ja täysillä kaikkialle, joten verkkotieteellisesti olemme samassa asemassa kuin muutkin maat”, Rousku muistuttaa.
”Ulkomailla ei kannata kuvitella puhelimessa tai verkkokokoukseen osallistuttaessa, ettei kukaan tässä eksoottisessa ympäristössä ymmärrä suomea – ei varmaankaan, mutta automaattisesti kielestä toiseen kääntäviä palveluita saa jokaiseen älylaitteeseen.”
”Valitettavan harva on oikeasti kiinnostunut näistä asioista omassa elämässään. Koska digitaaliseen turvallisuuteen liittyviä tilaisuuksia ei kannata järjestää henkilöille, jotka ovat jo aiheesta kiinnostuneita, digiturvan kuplaa tulee laajentaa. Kyse on lopulta asenteesta ja kulttuurista. Muutos voi viedä jopa vuosikymmeniä.”
Ennakointia tulipalojen sammuttamisen sijaan
Valtiotasolla Suomi menestyy digitaalisessa turvallisuudessa mittareiden mukaan hyvin. Vaikka päällisin puolin kaikki on kunnossa, oletuksilla ei pystytä pysäyttämään yhtään kyberhyökkäystä.
Julkisessa hallinnossa toimii noin 500 julkisen hallinnon organisaatiota, joita kaikkia koskevat periaatteessa samat uhat, mutta joiden kyvykkyydet ovat hyvinkin erilaisia. ”Ei pidä tuudittautua siihen, että jos ei ole tapahtunut mitään, kaikki on hyvin”, Rousku korostaa.
Kyse on ennakoinnista.
Asioita ei voida ryhtyä laittamaan kuntoon vasta sitten, kun ensimmäinen tulipalo on jo syttynyt. Ennakointi pienentää hyökkäyksen vaikutusta ja lisää kyvykkyyttä toimia.”
Digi- ja väestövirasto järjestää TAISTO-harjoituksia julkisen hallinnon organisaatioille ja sidosryhmille. Kahteen ensimmäiseen harjoitukseen on osallistunut yhteensä 470 organisaatiota ja yli 4400 henkilöä asiantuntijoista ylimpään johtoon. Rousku on tyytyväinen.
”Harjoitukset ovat parantaneet kyvykkyyttä kohdata kyberhyökkäyksiä ja tietoturvaloukkauksia. Kyseessä on ainutlaatuinen toimintamalli, sillä missään muussa valtiossa ei ole tehty samaa.”
Rousku on mies paikallaan
Rouskulla on ollut viimeisen 11 vuoden aikana kuusi eri työpaikkaa kuudessa eri virastossa, mutta aihe on ollut aina sama: aluksi valtion ja nyt laajemmin julkisen hallinnon turvallisuuden kehittäminen. Vahvaan tietohallinnon ja tietotekniikan osaamiseen tuli vuonna 1994 mukaan tietoturva ja vuonna 2009 Rousku päätti keskittyä digi- ja tietoturvallisuuteen. Rousku tunnetaan myös tietokirjailijana ja luennoitsijana.
”Olen nörtti”, Rousku summaa hymyillen.
Nörttiys ei koske vain työtä, vaan myös muuta elämää. Rouskun molemmissa ranteissa on kaksi ranneketta, joiden sensoreiden avulla hän mittaa hyvin- ja pahoinvointiaan. Näistä saamansa tiedon kautta hän on muuttanut elintapojaan, minkä myötä unirytmi on parantunut, liikunta lisääntynyt, ravitsemus monipuolistunut ja hyvinvointi kehittynyt.
Teksti: Sari Okko | Kuvat: Digi- ja väestötietovirasto ja Pixabay
