Erilaiset häiriö- ja poikkeustilanteet maailmalla ja myös meillä Suomessa ovat opettaneet kuinka iso asia kyberturvallisuus on juuri nyt. Viimeistään demokraattisiin vaaleihin vaikuttaminen on herättänyt viimeisetkin nukkujat. Suomi on jo nyt yksi maailman digitalisoituneimmista yhteiskunnasta, ja silloin myös digitaalisen turvallisuuden, kyberturvallisuuden, painoarvon on oltava vahva.
Suomessa on kyllä kybertoimijoita paljon, mutta kukin katsoo asiaa pitkälti omista lähtökohdistaan. Kyberturvallisuuden kokonaisuus on tämän vuoksi hajallaan, eikä selkeää ylätason johtajuutta ole. Olemme kuin joukko pelaajia ilman valmentajaa. Tämä on iso ongelma.
Useat tutkimukset ja selvitykset osoittavat tämän johtajuuden puutteen.
Kyberturvallisuus on keskeinen osa suomalaisen yhteiskunnan turvallisuutta ja kilpailukykyä. Ja sen merkitys vain kasvaa, kuten juuri julkistettu Suomen Kansallinen riskiarvio hyvin osoittaa.
Tavoitteenamme on myös, että luotetuin digitaalinen liiketoiminta tulee Suomesta.
Suomessa on korkeat tavoitteet, ja se on hyvä. Suomi haluaa olla kyberturvallisuuden edelläkävijä. Tavoitteenamme on myös, että luotetuin digitaalinen liiketoiminta tulee Suomesta.
Tavoitteita ei kuitenkaan saavuteta ilman selkeää johtajuutta ja vahvaa poliittista sitoutumista. Suomi tarvitsee kokonaisvaltaista koko yhteiskunnan eri kybertoiminnot yhdistävää johtajuutta, vaikka paljon hyvää on jo saatu aikaan.
Tarve selkeyttää kyberjohtamista nousee parhaiten esiin Suomeen verrattavissa maissa, joissa on korostettu toimivaltaista ja selkeää johtamismallia kansallisen kyberturvallisuuden kehittämisessä. Näitä maita ovat esimerkiksi Israel ja Singapore.
Suomen on kyettävä osallistamaan tärkeimmät kybertoimijat. Tämän lisäksi on sovitettava yhteen niin voimavarat kuin toimintatavat mahdollisimman tehokkaasti asetettujen yhteiskunnan strategisten tavoitteiden saavuttamiseksi. Tämä edellyttää poikkihallinnollista yhteensovittamista, analyysikyvykkyyttä, toimeenpanokykyä sekä yhteistoimintaa yrityselämän kanssa.
Johtamisen vaatimuksiin yhdistyvät toimiva lainsäädäntö, johtajuuteen tarvittavat riittävät toimivaltuudet ja johtamisen mahdollistavat taloudelliset resurssit sekä kyky uhkatilanteiden ennakointiin.
Mitä tämä kaikki sitten meiltä vaatii? Jos asian ilmaisee tiiviisti, kyberturvallisuuden johtaminen vaatii paljon. On ymmärrettävä, mitä tavoitellaan turvallisuudella digitaalisessa maailmassa, on osattava varautua häiriöihin ja on hallittava tilanteet, kun häiriöitä tapahtuu. Tämä taas vaatii johtamista. Johtamisen vaatimuksiin yhdistyvät toimiva lainsäädäntö, johtajuuteen tarvittavat riittävät toimivaltuudet ja johtamisen mahdollistavat taloudelliset resurssit sekä kyky uhkatilanteiden ennakointiin.
Suomeen tarvitaan myös tutkimuksen ohjausta kyberturvallisuuteen. Tutkimuksen kautta syntyy liiketoimintaa ja työpaikkoja, jolloin se maksaa itsensä moninkertaisesti takaisin. Laadukasta tutkimusta seuraa tasokas koulutus, mikä taas edesauttaa kyberturvallisuuden kokonaisuutta.
Tulevalla hallituskaudella on perustettava kyberturvallisuuden ylimmän johtajan tehtävä, joka sijoitetaan valtioneuvoston kanslian yhteyteen. Kyberturvallisuusjohtaja koordinoi, johtaa tai tukee turvallisuustoimia kaikissa tilanteissa. Kyberturvallisuusjohtaja sijaitsee lähellä valtion ylintä poliittista päätöksentekoa ja poliittista ohjausta. Näiden asioiden poliittinen luonne korostuu jatkossa yhä enemmän. Siksi poliittisen sitoutuneisuuden on oltava johtamisessa vahvasti läsnä.
Maailmanlaajuinen edelläkävijyys edellyttää myös Suomen ”kyberturvallisuuden brändin” markkinointia ja edistämistä kansainvälisesti.
On huomioitava, että kyberturvallisuus on tänä päivänä erottamaton osa Suomen ulko- ja turvallisuuspolitiikkaa. Kansainvälisen profiilin nostaminen auttaa myös suomalaisten kyberturvallisuusyritysten kansainvälisiä toimintamahdollisuuksia. Se on osa viennin ja kansainvälistymisen edistämistä. Maailmanlaajuinen edelläkävijyys edellyttää myös Suomen ”kyberturvallisuuden brändin” markkinointia ja edistämistä kansainvälisesti.
Digitaalisen maailman jatkuva ja nopea muutos edellyttää johtamiselta ketteryyttä. Kyberturvallisuusjohtajan alaisuuteen on syytä perustaa erillinen kyberturvallisuusyksikkö, jolla on kykyä johtaa, kehittää ja tukea kansallista varautumista sekä laajemminkin edistää kyberturvallisuuden kansallisen vision toteutumista. Yksikön tulisi vastata strategisen tason analyysista ja toimia strategisen johdon esikuntana, jos tai kun joudutaan laajavaikutteisiin häiriötilanteisiin.
Kyberturvallisuuden johtamisen tulee näkyä seuraavassa hallitusohjelmassa ja tarvittavat toimenpiteet on käynnistettävä mahdollisimman pian.
Jarno Limnéll
Kirjoittaja on kyberturvallisuuden työelämäprofessori Aalto-yliopistossa.
Keskustelu kolumnista on auki klo 16:00 asti.
Kirjoittajakuvausta on korjattu 1.4. klo 10:23. Kirjoittajan titteli korjattu professorista työelämäprofessoriksi.