Digitaaliseen turvallisuuteen on panostettava. Vieraana julkisen hallinnon ICT-johtaja Jarkko Levasma valtiovarainministeriöstä.
[äänite alkaa]
[taustamusiikki alkaa 00:00:00]
Tuija Kuusisto [00:00:03]: Terve. Olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Kimmo Rousku [00:00:09]: Ja minä olen Kimmo Rousku, toimin Digi- ja väestötietovirastossa eli DVV:ssä VAHTI-pääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Tuija Kuusisto [00:00:24]: Tässä Digiturvakompassi-sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on digiturvallisuus, mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä yhdessä pohdittaviksi.
Kimmo Rousku [00:00:39]: Ja jälleen kerran kysymys: mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalveluiden toimivuudesta ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä erilaisissa uhkatilanteissa.
Tuija Kuusisto [00:01:10]: Tänään vieraanamme on ICT-johtaja, ylijohtaja Jarkko Levasma valtiovarainministeriöstä. Hyvää iltapäivää Jarkko ja sydämellisesti tervetuloa tähän meidän Digiturvakompassi-podcastiimme.
Jarkko Levasma [00:01:23]: Hyvää iltapäivää vaan teillekin ja kiitos kutsusta, tämä on ollut hyvin mielenkiintoinen tämä aiempi podcast-sarja.
[tunnusmusiikki alkaa 00:01:33]
[tunnusmusiikki päättyy 00:01:48]
Kimmo Rousku [00:01:49]: Täytyy tässä heti kysyä tästä nimestä, että mites kommentoit Digiturvakompassi, entä jos otetaan se turva pois?
Jarkko Levasma [00:01:57]: Tämä digikompassihan on nyt hyvin tärkeä kokonaisuus sekä Euroopan että Suomen kannalta, kun laaditaan tätä kansallista digikompassia myöskin ja täytyy kyllä sanoa, että minä itse pidän tästä kompassianalogiasta. Mielestäni se on kauhean osuva siihen, että se näyttää suunnan, mihin mennään, mutta ei sitten niitä eksakteja askeleita esimerkiksi mitä siellä on, niin se antaa hyvän mielikuvan.
Kimmo Rousku [00:02:28]: Juuri niin ja varmaan palataan tähän kompassin suuntimaan hetken kuluttua jossain vaiheessa.
Tuija Kuusisto [00:02:34]: Digiturvallisuus on tänä päivänä ehkä ajankohtaisempaa vielä kuin silloin, kun pari vuotta sitten aloitettiin tätä podcast-sarjaa ja suunnannäyttäjiä tarvitaan. Jarkko, olet toiminut esimieheni esimiehenä ja ICT-johtajana valtiovarainministeriössä nyt kohta elokuussa vuoden ajan. Miltä maailma näyttää tehtävästäsi käsin ja miten koet tehtäväsi nyt tällä hetkellä?
Jarkko Levasma [00:03:01]: Kyllä varmaan heti ensin täytyy kommentoida, että kyllähän tämä maailma muuttui tuossa helmikuun loppupuolella aika radikaalisti, että tämä digitaalisen turvallisuuden ja varautumisen maailma nousi todella merkittävästi enemmän henkilökohtaisestikin työlistalle ja ihan syystäkin, että kyllä selkeästi nyt tähän digitaaliseen turvallisuuteen liittyvät riskit ovat nousseet aika merkittävästikin korkeammalle tasolle. Sitten taas toisaalta se on kuitenkin alue, jossa on tehty pitkään määrätietoista työtä, ja toisaalta jatkuvasti muutenkin erilaisiin hyökkäyksiin ja riskeihin siinä sitten pyritään vaikuttamaan, että ne eivät toteutuisi. Mutta muuten sitten toki onhan meillä paljon muuta tärkeää työn alla, joka sinänsä nyt ei kauheasti ole väistynyt tästä tieltä pois kuten tapaa tapahtua. Jo tuli mainittua tämä digikompassi, se on erittäin tärkeä ja työllistänyt todella paljon meitä, ja sitten mainitsisin tuon digitaalisen henkilöllisyystodistuksen, joka myös omalta osaltaan liittyy tähän turvallisuuden kokonaisuuteen ja siihen, että pystyään myös tuolla digitaalisessa maailmassa osoittamaan henkilöllisyys turvallisesti ja korkealla tasolla. Ja myöskin sitten siihen liittyy se tuleva kehitys siitä, että pystytään myös muita faktoja itsestä, kuten vaikka että onko minulla lupa ajaa autoa, esittämään myös digitaalisessa maailmassa pätevästi.
Tuija Kuusisto [00:04:54]: Mites tämä digitaalinen henkilöllisyys, sitähän on aika pitkään työstetty, niin mikä siinä voi olla niin vaikeaa?
Jarkko Levasma [00:05:03]: En minä nyt varsinaisesti tiedä, onko siinä mitään muuta vaikeaa oikeastaan kuin se, että se on yksi asia, josta pitää yhteisesti sopia, että sehän ei tietenkään toimi, että joka paikkaan pitää eri tavalla osoittaa henkilöllisyys. Kyllähän me olemme sillä tavalla hyvässä asemassa oltu Suomessa, että me olemme pärjänneet tässä pankkien aikanaan ja sitten teleoperaattorit tulivat mukaan, niin näillä sähköisen tunnistamisen välineillä ja onhan meillä toki edelleenkin HST-korttikin käytössä. Mutta se, mitä nyt tavoitellaan, on askel selkeästi eteenpäin monipuolisempaan maailmaan ja siihen, että saamme oikeasti kaikki suomalaiset ja myöskin Suomessa oleskelevat mukaan tähän digitaalisen identiteetin piiriin, jolloin sitten palvelut eri tahoille helpottuvat huomattavasti ja myöskin mukaan lukien juuri tämän digitaalisen lompakon, joka sitten seuraa siitä digitaalisesti henkilöllisyystodistuksesta sitten, kun EU-hanke menee eteenpäin.
Kimmo Rousku [00:06:15]: Mites tällainen näkökulma, että nyt kun me olemme yli kaksi vuotta eläneet korona-aikaa, niin eikö korona ole ollut maailman paras digitalisaation johtaja tähän mennessä, että mehän teimme tämän digiloikka kiitos osittain koronan. Miten kommentoisit tällaista näkökulmaa, että nyt kun tämä Venäjän hyökkäys Ukrainaan käynnistyi, niin nythän tavallaan tässä tehdään todella paljon tämän digiturvallisuuden, kyberturvallisuuden, varautumisen kehittämiseen liittyviä asioita?
Jarkko Levasma [00:06:44]: Niin, eihän näitä kukaan varmasti ikinä toivo, koronaa eikä myöskään Venäjän hyökkäystä, mutta totta kai näillä on kiihdyttävä vaikutus näiden alueiden kehittymiseen, joka taas sitten sinänsä ei välttämättä ole muutenkaan ajatellen ollenkaan huono asia, mutta kyllä minä silti toivoisin, että kumpaakaan ei olisi tapahtunut. Tämä turvallisuus on sillä tavalla minulle henkilökohtaisesti vähän ongelmallinen asia, koska jos maailma olisi sellainen, että turvallisuus syntyisi jotenkin luonnostaan, että ei olisi väärinkäytöksiä, ei olisi ihmisiä, jotka yrittävät toimia rikollisesti, niin mehän saisimme niin paljon enemmän aikaan siitä, mistä on oikeasti hyötyä. Että eihän turvallisuus sinänsä, se täytyy olla olemassa, mutta eihän se kenellekään mitään uutta iloa tai hyötyä tuo ja siksi onkin todella tärkeää koko ajan miettiä sitä, että mikä on se oikea panostus turvallisuuteen. Se ei saa olla liian vähän, mutta sitten taas toisaalta jos se menee liiaksi, niin sitten meiltä jää jotain muuta tärkeää tekemättä, että tämä on sellainen jatkuva tasapainokysymys, joka ei ole edelleenkään millään tavalla helppo kysymys. Nyt on tietenkin selkeä aika siihen, että panostukset digitaaliseen turvallisuuteen ovat tärkeitä ja niitä kannattaa tehdä.
Kimmo Rousku [00:08:18]: Eli nyt voisi sanoa näin, että maailmaan mahtuu yksi kriisi kerrallaan, ja se on nyt tämä Venäjän hyökkäys Ukrainaan. Millaisena koet tähän liittyvän tilanteen koskien tätä hyökkäystä? Tuossa jo vähän sivuttiinkin sitä, että nyt ollaan siirrytty tähän vaiheeseen, ja nyt sitä varten pitää kehittää asioita, niin mitä muita haluaisit nostaa tästä tilanteesta esille?
Jarkko Levasma [00:08:41]: Ylipäätään haluaisin nyt, että tämä tilanne ymmärrettäisiin niin, että sinänsä meillä on perusasiat hyvin kunnossa, eli ei pidä ajatella, että nyt jotenkin kaikki digitaalinen asiointi on erityisen turvatonta, ei todellakaan niin. Eli meillä on se digitaalinen turvallisuus sinne rakennettu, mutta aina on kehittämisen varaa. Mutta sitten se, mikä nyt kannattaa kuitenkin olla, että kun toimii digitaalisessa ympäristössä, asioi ja lukee sähköposteja ja asentelee sovelluksia kännykkään, niin kyllä nyt kannattaa olla erityisen tarkka siitä, että tietää, mitä tekee, ja vähän sellaista luontaista epäluuloisuutta tähän, ettei tule sitten vahingossa edesautettua sitten jotain pahantekoa sitten tuolla netissä. Mutta ne ovat loppujen lopuksi aika yksinkertaisia asioita ja yleensä sanoisin sen, että jos joku kuulostaa liian hyvältä ollakseen totta, niin se todennäköisesti ei myöskään ole totta sitten. Se kannattaa muistaa, että sellaisia ilmaisia voittoja ja kännyköitä ei todellakaan kukaan jakele tuolla. [naurahtaa 00:10:10]
Tuija Kuusisto [00:10:11]: Niin tässähän on nyt tähän tilanteeseenkin liittyen aika paljon keskusteltu disinformaatiosta ja erilaisesta tiedolla vaikuttamisesta ja trollauksesta ja erityisesti somessahan tietenkin kehotetaankin varomaan sitä, että kaikki, mitä voi lukea jostakin pitäisi aina ehkä tarkistaa useammasta lähteestä, että onko se totta. Miten Jarkko näet, että sinun työssäsi mahdollisesti tämä disinformaatio tai tiedolla vaikuttaminen näkyy, onko tämä noussut jotenkin keskusteluun?
Jarkko Levasma [00:10:43]: Kyllähän toki tämä on noussut ja tietenkin tärkeimpänä disinformaation ja informaatiovaikuttamisen toimintaympäristöistä ja varmaan aktiivisimpana on tuo some ja erilaiset kanavat siellä ja kyllä esimerkiksi se näkyy tässä ministeriön työssä, siinä, että kun me esimerkiksi julkaisemme jotain tietoa asioista, niin niihin tulee yllättäen lukuisia vastauksia, kommentteja, jotka esittävät sitten yleensä ainakin pieneltä osin vähän paikkaansa pitäviäkin, mutta sitten täysin poskettomia ja valheellisia väitteitä näistä asioista. Ja nämähän ovat yleensä, tämäntyyppiset asiat, ovat bottien generoimia ja siinä on tarkoituksena luoda se vaikutelma, että siellä on iso joukko ihmisiä, jotka ovat sitä mieltä asiasta ja tällä tavalla saattaa tulla sitten lukijalle ja kuulijalle sellainen olo, että tässä on jotain taustalla ja näitä sitten pitää toki pystyä ymmärtämään ja tulkitsemaan. Kun me käytämme näitä kansainvälisiä viestintäkanavia, niin niissä täytyy toimia niiden sääntöjen mukaan, että ei sieltä pysty millään tavalla siivoamaan niitä pois, mutta ei myöskään kannata lähteä siihen mukaan. Ja sitten tietenkin sähköpostihan on perinteisin tapa, myös sieltä tulee disinformaatiota, tulee sähköposteja, joissa väitetään erinäköisiä asioita. On myös muita kanavia, mutta en lähde niitä tässä esittelemään.
Kimmo Rousku [00:12:47]: Tuossa äsken nostit botit esille, niin miten yleensä tällainen uuden teknologian hyödyntäminen? Tuossa sivuttiin aikaisemmin tekoälyä välillisesti, pilvipalvelut ynnä muut. Sanoit aikaisemmin hyvin sen, että turvallisuutta pitää olla, sitä pitää olla oikealla lailla oikeassa paikassa, niin miten me saisimme enemmän tehoja tästä uudesta teknologiasta? Mainitsit hienosti myös sen tilanteen, että voi kun sitä pahuutta ei olisikaan, niin kuinka hienoja palveluita meillä olisi. Miten me saamme tästä vielä enemmän näitä tehoja tästä uudesta teknologiasta irti?
Jarkko Levasma [00:13:25]: Kyllä minä lähtisin ensinnäkin siitä, että meillä korostuu tietyt hyvin spesiaalit syyt, kun mietitään esimerkiksi pilvipalveluiden käyttöä, että miksi niitä ei haluttaisi käyttää. Siinä usein puhutaan tietosuojasta ja tietoturvasta ja nämä toki ovat sellaisia asioita, jotka pitää ottaa hyvin vakavasti ja suunnitella huolellisesti, mutta oma näkemykseni ja kokemukseni on se, että kyllä myös tämän uuden teknologian avulla pystytään tekemään merkittävästi tietoturvallisempia ja täyttäen myös tietosuojavaatimukset. Ne täytyy tapauskohtaisesti miettiä ja harkita, että mitkä ovat ne keinot ja toimenpiteet, joilla näihin asioihin liittyvät duubiot ja riskit taklataan. Se on hyvä muistaa, että kun esimerkiksi ajatellaan pilveä, johon keskittyy yleensä nämä digimaailman uusimmat hyödynnettävät asiat, niin me usein yliarvioimme niitä riskejä, mitkä liittyvät pilveen, mutta sitten me unohdamme täysin sen, mitä kaikkia riskejä liittyy pilveen verrattuna varsin kotikutoisin tavoin rakennettuihin omiin konesaleihin. Pitäisi ajatella tätä kokonaisuutta ja miettiä myös sitä, mitä hyötyjä me menetämme, jos me emme pysty löytämään turvallista tai lainmukaista tapaa käyttää pilvipalveluita. Nämä ovat sellaisia kysymyksiä, joita minä haastan aika paljonkin kaikkia miettimään ja itse uskon, että aika monessa tilanteessa löytyy kuitenkin sitten tapa käyttää myös näitä uusia teknologioita turvallisella tavalla.
Kimmo Rousku [00:15:36]: Voisi sanoa näin, että digimaailma on täynnä niitä loistavia mahdollisuuksia. Itse koitan aina löytää, että tämä olisi täynnä niitä mahdollisuuksia ja hyödyntää niitä, ovat ne sitten laitteita tai palveluita, mutta toisaalta olet tuonut hyvin esille sen, että siellä on myös ne uhat. Mites sitten kun meitä vastaan hyökätään koko ajan yhä kehittyneemmillä keinoilla, koko ajan tulee aina jotain uutta. Me olemme tottuneet, että okei, nyt varotaan tätä, nyt pitäisi osata varoa myös tätä. Miten itse hallitset näitä uhkia ja mitkä olisivat sinun vinkkisi tähän turvallisempaan toimintaan? Vähän jo aikaisemmin viittasitkin siihen, mutta mitä muita asioita toisit esille tähän omasta näkökulmastasi?
Jarkko Levasma [00:16:19]: Ensinnäkin haluaisin tuoda sen ihan realismin siihen, että kyllä meillä aika hyvin on tiedossa ne lähestymistavat, millä digimaailmassa voidaan sitten haittaa ja näitä hyökkäyksiä tehdä, ja niihin pääasiallisesti suojaukset ovat olemassa, että ei pääse vapaasti järjestelmiin sisään, on tunnistautumisia ja on kaikennäköisiä palomuureja ja verkkoanalytiikkaa ja muuta. Loppujen lopuksi kuitenkin nämähän kaikki tavat hyökätä, niin se helpoin tapa on ihmisen itsensä kautta, että se helpoin tapahan on se, että saadaan tavalla tai toisella tietoon ne henkilön omat tunnistautumistavat ja muut. Sitä pystytään välttämään sillä, että on käytössä vahvemmat tunnistustavat esimerkiksi, mutta se yleensä aina sitten tuo jonkin verran epämukavuutta mukanaan ja vähentää käytettävyyttä ja silloin se on henkilökohtainen valinta, että kuinka paljon haluaa omaa turvallisuuttaan lisätä käyttämällä näitä ehkä hieman vähemmän käytettäviä ja hiukan epämukavampia tapoja. Nämä ovat tällaisia valintoja, joita me jokainen teemme digitaalisessa maailmassa toimiessamme, mutta loppujen lopuksi meidän täytyy aina suhteuttaa ne toimenpiteet siihen itse asiaan. Kaksivaiheinen tunnistus siihen, että pääsee lukemaan Hesarin omaa tilausta ei ehkä ole ihan perusteltua, mutta sitten taas kaksivaiheinen tunnistus siihen, että pääsee omiin pankkitietoihinsa on jo taas sitten ihan eri asia. Näitä suhteellisuusasioita pitäisi jokaisen kyllä omalta osaltaan miettiä myöskin.
Tuija Kuusisto [00:18:46]: Miten näkisit sitten tämän, että kuvasit, että tämähän vaatii aika paljon taitavuutta yksittäisiltä kansalaisiltakin toimia tässä meidän digiympäristössämme, että pysyykö tässä kaikki mukana? Kaksivaiheinen tunnistaminen voi olla, että kovin monelle se ei edes vielä kerro mitään, niin miten kaikki pysyisivät tässä veneessä?
Jarkko Levasma [00:19:06]: Kyllähän tämä sellainen asia on, että nämä perusasiat ovat kuitenkin varsin yksinkertaisia, en haluaisi mitenkään liioitella sitä tarvittavaa osaamisen määrää, mutta kyllä minä katsoisin, ja itseasiassa tässä digikompassiluonnoksessakin lähdetään siitä, että tämän digitaalisen turvallisuuden kansalaistaitojen osaamisen niin pitäisi olla tällainen perusosaaminen, joka jokaisella on ja sitä toki taklataan erilaisten keinojen kautta. Ei ole hirveän vaikeista asioista loppujen lopuksi kuitenkaan kyse, kun vaan ottaa asiakseen tutustua, että mitä tarvitaan siihen, että ei tee turhan helpoksi tätä digirikollisen roolia.
Tuija Kuusisto [00:20:04]: Kimmo, mikäs laite sinulla on kädessäsi?
Kimmo Rousku [00:20:07]: Me tässä kävimme läpi jo tätä digiturvallisuutta, että miten voi itse huolehtia siitä, mutta nythän päivän sana on varautuminen. Koronahan toi tämän varautumisen ensimmäisen aallon, meillä on edelleen osalla kotona aika paljon vessapaperia muun muassa jäljellä, mutta nyt sitten pitäisi miettiä näitä uusia varautumisen tasoja, meillä on uudenlainen uhka. Entä jos menee sähköt poikki, menee tietoliikenneyhteydet poikki? Kotonani on käytössä tällainen tänne paikanpäälle tuotu radiovastaanotin. Tämä on niin analoginen, kuin voi olla. Eräs tuttuni kyllä kommentoi tätä sillä, että siellä on kuitenkin transistorit, elektromagneettinen pulssi saa sen todennäköisesti hajalle, pitäisi olla putkiradio. No putkiradio vaatii taas sitten erilaista sähköä, mutta ei mennä siihen sen syvemmälle. Mites tämä varautuminen, että miten teillä on huolehdittu vai huolehditaan, puhutaan tällaisesta kotivarasta 72 tuntia, miten te selviätte kolme vuorokautta, jos nyt sitten sähköt menisivät tai muuta, niin onko tähän jotain hyviä vinkkejä, kommentteja?
Jarkko Levasma [00:21:10]: Täytyy ensin sanoa, että olen tässä, en muista siitä on muutama vuosi, niin jostain herätteestä johtuen nimenoman tämän kotivaran ihan tietoisesti hankkinut. Vaikka omassa kerrostaloasunnossani ei nyt ihan hirveästi ole sitä tilaa ylimääräistä säilyttää, niin kyllä sieltä pieni patteriradio löytyy ja löytyy sitten ruokaa ja vettäkin jopa, ehkä sen ruoan ja veden ajan tasaisena pitäminen on se suurin haaste siinä prosessissa, kun ehkä sellaisia säilykeruokia ei ihan noin normaalielämässä tule sitten kuitenkaan niin käytettyä, että se systeemi pyörisi. Mutta kyllä minä ilman muuta kannatan, että myöskin pahoihin päiviin kannattaa varautua ja siitä on hyviä ohjeita netti täynnä, että mitä kannattaa olla ja varmaan sitä vessapaperiakin on vähän syytä sitten olla. Sitten myös mahdollisuuksien mukaan miettii, että mitkä ovat niitä tärkeitä asioita, mitä haluaa ylläpitää. Esimerkiksi tietoliikenneyhteyksissäkin jos vaan suinkin mahdollisuuksia on niin kyllä minulla ainakin on perheessä eri operaattoreilta liittymiä ihan sen takia, että ihan normaalimaailmassakin tapahtuu häiriöitä, ja sitten on hyvä olla vaihtoehtoja, koska jos jotain nyt Ukrainasta on oppinut, niin tällaiset katkokset usein eivät ole totaalisia ja ne kestävät jonkin aikaa, että siitä on oikeasti apua, että on varajärjestelmiä, on vähän ruokaa säästössä ja ehkä jokunen euro käteistäkin tallessa.
Tuija Kuusisto [00:23:18]: Kiitos. Nämä olivat tosi hyviä vinkkejä kaikkien muistaa, erityisesti se vesi. Kuinka monta tuntia pärjäisit kodissasi, jos vettä ei tulisikaan hanasta, sitä on hyvä välillä aina miettiä. Mutta kiitos kovasti Jarkko kaikista kommenteistasi ja oikein riemukasta ja iloista vappua.
Jarkko Levasma [00:23:38]: Kiitos samoin.
Kimmo Rousku [00:23:39]: Kiitos.
[äänite päättyy]