Tietohallintojohtaja Mikko Soikkeli puolustusministeriöstä valoittaa puolustuspolitiikan liittyvän sensitiivisen tiedon suojaamisen yleisiä lähtökohtia, ja kertoo kyberpuolustuksen edistämisestä. Tallennettu maaliskuussa 2021.
[äänite alkaa]
Kuusisto [00:00:01]: Hei, olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Rousku [00:00:08]: Ja minä olen Kimmo Rousku. Toimin digi- ja väestötietovirastossa eli DVV:ssä pääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta, ja sitä kautta luottamusta yhteiskunnassa, ja Suomen kilpailukykyä.
Kuusisto [00:00:25]: Tässä Digiturvakompassi-sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa, mihin suuntaan digiturvaa pitäisi kehittää. Tässä joitakin kysymyksiä yhdessä pohdittaviksi.
Rousku [00:00:41]: Ja siis mikä on digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskien hallinnasta, sekä toiminnan jatkuvuudesta, tietoturvasta, tietosuojasta, sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalveluiden toimivuudesta, ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä.
Kuusisto [00:01:06]: Tänään vieraanamme on tietohallintojohtaja, yksikön päällikkö Mikko Soikkeli puolustusministeriöstä. Hyvää iltapäivää Mikko, ja sydämellisesti tervetuloa tähän meidän Digiturvakompassi-podcastiimme.
Soikkeli [00:01:20]: Kiitos paljon. Oikein mukavaa olla täällä teidän kanssanne.
[musiikkia 00:01:25]
Kuusisto [00:01:42]: Kun mietitään puolustusministeriötä, ja ehkä yleisemminkin tätä puolustusministeriön hallinnon alaa, eli millä me hallinnossa toimivat tarkoitamme lähinnä puolustusvoimia, niin ensimmäisenä mieleen ehkä tulee taivaalla jylisevät hävittäjät. Ja sitten ehkä valvontatehtäviä hoitavat helikopterit voivat olla jollakulla mielessä. Merellä kiitävät alukset. Ja tietenkin kaikki tiedämme nämä metsissä ryskyvät panssarivaunut. Mutta kun yhteiskuntamme digitalisoituu, niin tietenkin tämän digitaalisen turvallisuuden varmistaminen on aina yhä merkittävämpää. Miten te, tietohallintojohtaja Mikko Soikkeli, olet pitkään toiminut puolustusministeriön hallinnon alalla monipuolisesti eri tehtävissä. Miten digitaalinen turvallisuus sitten oikein liittyy puolustusministeriön tehtäviin ja toimintaan?
Soikkeli [00:02:37]: No puolustuspolitiikkaan ja sotilaalliseen maanpuolustukseen liittyy yleisestikin paljon sensitiivistä tietoa, mikä tulee kyetä suojaamaan. Ja sitten toisaalta paljon erilaisia toimintoja, kuten nuo kuvailut esimerkiksi hävittäjistä tai helikoptereista tai panssarivaunuista. Näihin kaikkiin liittyy nykyisin paljon tietotekniikkaa ja erilaisia sovelluksia ja ohjelmistoja, joilla sitten puolustusvoimienkin toimintaa tuetaan ja toteutetaan. Ja sanoisin, että yleisesti ottaen me suhtaudumme erittäin vakavasti digitaaliseen turvallisuuteen. Ja meillä on ehkä kaksi erilaista suuntaa. Meillä on toisaalta ministeriön sisäinen osuus, ja ministeriön omassa roolissa, siihen liittyvä digitaalinen turvallisuus, tietoturvallisuus, tietosuoja, mikä osaltaan kytkeytyy myöskin valtioneuvoston digitaaliseen turvallisuuteen. Tähän liittyy myöskin valtioneuvoston kanslian ohjeuttama toiminta, joka taas koskee yhteisiä tietojärjestelmiä, palveluita, joita valtioneuvostossa käytetään. Toisaalta meillä on rooli hallinnon alan ohjauksessa. Me ohjaamme myöskin digitaalisen turvallisuuden toteutusta puolustusvoimissa, sekä toisaalta kyberpuolustuksen kehittämistä. Puolustusministeriö hoitaa myös kansallisia tietoturvatavoitteisiin määrätyn turvallisuusviranomaisen tehtäviä hallinnon alla, mikä sekin osaltaan liittyy tähän digitaaliseen turvallisuuteen. Tässä ehkä joitain näkökulmia asiaan.
Rousku [00:04:24]: Tuossa tulikin jo suht laajasti osittain tätä laajaa tehtäväkenttää kuvattua. Itselleni tuli heti mieleen se, että teistä yleensä tulee juuri mieleen nimenomaan tietojen salassapito, ja salassapidettävään tietoon liittyvät asiat. Toinen vastaavan tyylinen oma erityistoimiala, jota mekin olemme näissä podcasteissamme käsitelty, on henkilötiedot ja varsinkin SOTE-toimiala. Eli jollain tavalla kaksi toimialaa, jotka ovat hyvinkin kaukana toisistaan, mutta joilla molemmilla hyvin keskeinen kriittinen tehtävä. Miten tästä näkökulmasta ja muutenkin, mitä teillä erityisesti tällä hetkellä on digitaalisen turvallisuuden puolella työn alla puolustusministeriössä?
Soikkeli [00:05:13]: Okei. Sanoisin tuohon että lähtökohtaisesti osallistumme ja huolehdimme omasta tietoturvallisuudestamme ja tietosuojastamme. Sekä toisaalta osallistumme valtioneuvoston kanslian johdolla tapahtuvaan työskentelyyn, mikä on päivittäistä tai viikoittaista erilaista yhdessä tapahtuvaa työskentelyä. Tällä hetkellä meillä on työn alla ministeriössä oma tietoturvallisuuden hallintajärjestelmä, jossa meillä on lähestymiskulmana ISO27001 -standardi. Me emme tule hakemaan ainakaan näin alkuvaiheessa sertifiointia siihen. Mutta sen standardin periaatteet pyritään viemään myös omaan hallintajärjestelmään. Sitten meillä on tietysti pyrkimys myös ohjata hallinnon alla digitaalista turvallisuutta, ja varmistaa se, että puolustusvoimat pystyy toimimaan tarkoituksenmukaisesti, ja pyrkisimme varmistamaan heidän etunsa, esimerkiksi lainsäädännön kehittämisen yhteydessä. Tällä hetkellä meillä ei juuri ole sellaista lainsäädäntöhanketta vireillä. Sitten osallistumme eri ministeriöiden johdolla tapahtuvaan kehitystyöhön, joka liittyy kyberturvallisuuteen, tietoturvallisuuteen tai tietosuojaan, erilaisiin lainsäädäntöhankkeisiin, selvityksiin, tai kehittämishankkeisiin.
Kuusisto [00:07:00]: Paljonhan teillä on siellä puolustusministeriössä työn alla digitaalisen turvallisuuden edistämiseksi. Ja tietysti tämä lainsäädäntö, työhön osallistuminen, ja säädösten kautta vaikuttaminen, sehän on sitä keskeistä ministeriön työtä, mitä eri ministeriöissä teemme. Tietenkin vaikka säädösvalmistelu on pitkällistä työtä, ilman muuta ne viime aikaisetkin tapahtumat aina myös vaikuttavat, ja osiltaan myös käynnistävät säädösvalmistelutyötä. Ja digiturvamaailmassahan nyt sitten eri puolilla maailmaa, ja valitettavasti myös täällä Suomessa, emme ole lintukodossa, niin on suht selkeästi tapahtunut tämä muutos näiden onnistuneiden kyberhyökkäysten määrässä ja vaikutuksessa. Esimerkiksi nyt nämä erilaiset kiristyshaittaohjelmat, valitettavasti ne ovat rikollisille suht tuottavaa toimintaa. Ja hiljattain esimerkiksi kuulin yhdessä tilaisuudessa, että nämä kiristyshaittaohjelmia käyttävät olivat onnistuneet kiristämään esimerkiksi leikkaamattomia timantteja, jotka ovat tietysti suht mukavia rikollisille, mutta vaikeita meille viranomaisille jäljitettäväksi. Mutta miten näet, tietohallintojohtaja Mikko Soikkeli, miltä tällainen kehityssuunta vaikuttaa, ja miten se mahdollisesti näkyy puolustusministeriössä?
Soikkeli [00:08:22]: Kyllähän tämä on vääjäämättä havaittu, että hyökkäysten määrä, ja tapahtumien määrä lisääntyy. Ja toki sekin on nostanut sitä asiaa keskusteluun monessa eri yhteydessä meilläkin. Toisaalta kun on erilaisia kampanjoita ollut aktiivisena, niin se on näkynyt myöskin sisäisenä tiedotteena ja ohjeena, varoituksina. Että kyllähän tämä on selvästi lisääntynyt. Ja kyllähän me erityisesti pyrimme nyt edistämään kyberturvallisuutta erityisesti kyberpuolustuksen toimintaedellytyksiä. Ja olemme nyt osallistuneet esimerkiksi liikenne- ja viestintäministeriön johdolla toteutettuun selvitykseen kriittisten toimialojen tietoturvasta ja -suojasta. Sekä toisaalta olemme olleet valmistelemassa kyberturvallisuuden kehittämisohjelmaa. Ja tokihan kyberpuolustus on mukana myöskin parhaillaan laadittavassa puolustusselonteossa. Yhtenä keskeisenä tavoitteena meillä on varmistaa se, että toimivaltuudet kyberpuolustuksessa ovat oikein mitoitetut, ja riittävät ja selkeät. Toinen keskeinen asia tähän liittyen on sitten viranomaisten välillä tapahtuva yhteistyö niin, että se nimenomaan operatiivisella tasolla on riittävän sujuvaa. Ja siihenkin myös pelisäännöt ovat selkeät.
Rousku [00:09:57]: Turvallisuuden yhteydessä puhutaan todella paljon luottamuksesta, ja osin sitä olemme tässäkin jo osin sivunneet. Meidän DVV:n tuoreessa digibarometrissa, noin 80 prosenttia vastaajista luottaa siihen, että viranomaiset käsittelevät turvallisesti ihmisten henkilötietoja ja muita tietoja. Yrityksiin luottaa ainoastaan noin neljännes. Mitä, tietohallintojohtaja Mikko Soikkeli, sinusta on luottamus?
Soikkeli [00:10:27]: Itse näen, että luottamus pitäisi näkyä ihmisten kokemuksena niin, että kenenkään ei tarvitsisi miettiä sitä, että käsitelläänkö tietoja oikein tai voivatko ne tiedot päätyä vääriin käsiin. Ja voi myös toisaalta olla vaikea saavuttaa se ihmisten luottamus sen takia, että kaikki ihmiset eivät ymmärrä sitä, että miten tekniikka toimii, tai miksi niitä asioita tehdään tietyllä tavalla.
Kuusisto [00:11:04]: Miten sitten jos miettii kansalaisnäkökulmaa. Erilaisten selvitysten mukaanhan esimerkiksi juuri puolustusvoimiin laajasti meidän kansalaisemme luottavat. Ja kun mietitään esimerkiksi näitä, aina uutisoidaan silloin tällöin että on näitä ilmatilaloukkauksia esimerkiksi, niin sitten tiedämme että ilmatilaa valvotaan ja tarvittaessa meillä aina hävittäjä nousee ilmaan, ja näin edelleen. Ja sehän on tietenkin meidän kaikkien kansalaisten turvaksi. Mutta mitä sitten kun nämä kyberhyökkäykset tuolla verkossa lähestyvät, niin onko niitä kohtaan mahdollista puolustautua? Ja mitä voitaisiin tehdä, että kansalaiset tuntisivat yhtä suurta luottamusta myös verkossa tapahtuvien hyökkäyksien suhteen?
Soikkeli [00:12:06]: Kyllähän siinäkin pitäisi kyetä ihmisille ja kansalaisille jollain tavalla läpinäkyvästi kuvaamaan se toiminta. Ja toisaalta myös lainsäädännön vaatimukset. Niin ne ovat riittävän selvästi ihmisille kerrottu, riittävän yksinkertaisesti ja ymmärrettävästi. Ja sitä kautta ehkä sitten pystyttäisiin vahvistamaan sitä luottamusta. Koska nämä asiathan ovat kuitenkin kohtuullisen, ne helposti jäävät sellaisiksi teknisiksi ja vaikeaselkoisiksi jargoneiksi tai kuvauksiksi. Niin sellainen kansankielinen lähestyminen luultavasti auttaisi tässäkin, näin uskon.
Kuusisto [00:12:59]: Niin, olet luultavasti oikeassa. Koska jos mietimme, että eihän meistä kukaan tiedä miten hävittäjä toimii, ja silti me luotamme että se on aivan oikealla asialla, ja tekee oikeita asioita. Niin eihän meidän samalla tavalla tarvitse tietää, että miten siellä verkossa kyberpuolustusta tehdään. Vaan voimme luottaa, että varmasti sielläkin ollaan oikealla asialla, ja tehdään juuri niitä tarpeellisia toimenpiteitä. Mutta koska se on niin paljon tuntemattomampi alue, niin olet aivan oikeassa, että sen kansantajuistamisessa ja avaamisessa, kaikkien ymmärrettäväksi, siinä on meillä virkamiehillä iso urakka.
Rousku [00:13:43]: Miten Mikko itse huomioit digitaalisen turvallisuuden omassa elämässäsi? Osin tietysti työtehtävien näkökulmasta, mutta sitten myös aivan vapaa-ajalla ja arjessa.
Soikkeli [00:13:58]: Kyllä pyrin huolehtimaan mielestäni kohtuudella. Muunmuassa kotona siitä, että miten reititin on konfattu, ja mitä laitteita siinä on kiinni, ja minkälaisilla asetuksilla laitteet toimivat. Ja toisaalta että päivitykset ovat kunnossa. Tällaisia perushygieniaan pyrin. Ehkä siinä voisi olla aktiivisempikin. Mutta sanotaanko että jollain säännöllisyydellä kuitenkin sitä tarkkailen. Sitten minulla on esimerkiksi mobiililaitteissa virustorjunta ja palomuurit, luomassa jonkinlaista lisäturvaa. Ja toki sitten mielestäni perusasia, että millaisia salasanoja. Niin pyrin siinä siihen, että olisi riittävän pitkät salasanat, eikä ole myöskään eri palveluissa samoja salasanoja, vaan kaikkiin omansa. Tässä on ehkä muutama. Ja kyllä yleensä koen närkästystä siitä kun tuota henkilötunnusta edelleen kysellään kovin monissa paikoissa. Siitä kyllä mielelläni luopuisin. Jollain tavalla siitä eroon pääseminen tuntuu vaikealta.
Kuusisto [00:15:24]: Joo, olet täsmälleen oikeassa, että henkilötunnushan ei ole tunnistautumismenetelmä. Sitä mekin valtiovarainministeriössä yritämme kertoa kaikille palveluntarjoajille, että se ei ole tunnistautumismenetelmä, sen kysyminen missään tapauksessa. Erittäin hyviä asioita meille kaikille muistaa erityisesti nämä kotireitittimet, ne ovat viime aikoina olleet pinnalla. Niidenkin tietoturvallisuudessa pitäisi valitettavasti meidän jokaisen itse osata huolehtia. Suht paljon vielä jää kansalaisten omalle vastuulle. Ehkä jatkossa meillä olisi aina turvallisempia palveluita ja tuotteitakin sitten saatavilla. Mutta kiitos paljon, tämä on aina mielenkiintoinen tämä puolustusministeriö ja puolustusvoimien maailma. Siitä keskustelu ja sen kansaintajuistaminen ja valottaminen. Se on kuitenkin lähellä meitä kaikkia sen toiminta, ja meillä on siitä jokaisella oma mielipide ja näkemys aina. Kiitos tosiaan arvokkaista näkemyksistäsi. Tämä kun on tallennettu juuri tässä ennen pääsiäistä, niin luultavasti voimme Kimmon kanssa yhdessä toivottaa sinulle ja kaikille kuuntelijoille oikein hyvää pääsiäistä.
Soikkeli [00:16:40]: Kiitos samoin teille, ja kaikille muillekin.
[äänite päättyy]