Vieraaksi Digiturvakompassiin saapuu tällä kertaa ylijohtaja Laura Vilkkonen liikenne- ja viestintäministeriöstä. Digiturvallisuus näyttäytyy usein vaatimuslistoina, mutta miten digiturvallisuutta voitaisiin ajatella ennemminkin mahdollistajana? Muun muassa tästä Vilkkonen kertoo ajatuksiaan. Vilkkosenkin kanssa puhutaan koronaviruksesta. Viestintäverkot ovat kestäneet hyvin koronapandemian aiheuttaman paineen, mutta millaisia muita vaikutuksia koronavirustilanteella on ollut VIlkkosen näkökulmasta? Entä miten Juhani Ahon klassikkoromaani Rautatie liittyy digiturvallisuuteen? (Jakso on nauhoitettu kesäkuun 2020 alussa etäyhteyksien avulla.)
Hei! Olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Ja minä olen Kimmo Rousku. Toimin Digi- ja väestötietovirastossa eli DVV:ssä VAHTI-pääsihteerinä.
Kimmo Rousku:
Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Tuija Kuusisto:
Tässä Digiturvakompassi-sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä.
Mitä on turvallisuus digimaailmassa? Mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin ky-symyksiä yhdessä pohdittaviksi.
Kimmo Rousku:
Ai, siis, mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalvelujen toimivuudesta ja isona kokonai-suutena myös Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä.
Tuija Kuusisto:
Vieraanamme on tänään ylijohtaja Laura Vilkkonen liikenne- ja viestintäministeriöstä. Hyvää ilta-päivää Laura ja tervetuloa podcastiimme.
Laura Vilkkonen:
Kiitos paljon Tuija! Kivaa olla mukana.
[Musiikkia]
Tuija Kuusisto:
Laura, toimit ylijohtajana liikenne- ja viestintäministeriössä. Mitä liikenne- ja viestintäministeriö tekee digitaalisen turvallisuuden alueella?
Laura Vilkkonen:
Liikenne- ja viestintäministeriö vastaa viestintäverkkojen ja viestintäpalvelujen tietoturvallisuuteen liittyvästä lainsäädännöstä, strategiatyöstä ja yleisestä ohjauksesta. Ja niin kuin me tiedämme, oi-keastaan kaikki yhteiskunnan digitaaliset palvelut toimivat niitten viestintäverkkojen ja palveluit-ten päällä. Eli se on ikään kuin koko digitaalisen yhteiskunnan selkäranka. Ja sitä koskeva lainsää-däntötyö on siis liikenne- ja viestintäministeriön vastuulla.
Samoin ministeriön alaisuudessa toimii Liikenne- ja viestintävirasto, eli Traficom toiselta nimel-tään. Ja Kyberturvallisuuskeskus toimii osana liikenne- ja viestintävirastoa. Kyberturvallisuuskes-kuksen pääasiallinen tehtävähän on valvoa sähköisen viestinnän palveluista annetun lain velvoit-teita. Ja siellähän on paljon tavaraa liittyen tietoturvallisuuteen paitsi teleyritysten verkoissa, niin
sitten muiden yhteisötilaajien ja erillisverkoissa. Kyberturvallisuuskeskuksen tehtäviä on viime vuo-sina oikeastaan säännönmukaisesti laajennettu koskemaan myös sitten muittenkin kuin näitten teleyritysten ja viestinnän välittäjien tietoturvatoimintaa. Eli se on iso viranomainen tällä toimialu-eella. Ja ehkä yksi isommista tai uusimmista muutoksista tässä digitaalisen turvallisuuden ja LVM:n rintamalla on keväällä aloittanut valtion kyberturvallisuusjohtaja. Ja se ehkä vähän perustuu valtio-neuvoston 2019 hyväksymään kyberturvallisuusstrategiaan. Sen strategian mukaan kyberturvalli-suusjohtajan tehtävänä on sovittaa yhteen kyberturvallisuuden kehittämistä ja suunnittelua ja va-rautumista. Että tässä ehkä pähkinänkuoressa se, mitä me teemme digitaalisen turvallisuuden alu-eella.
Kimmo Rousku:
Te olette todellakin monella osa-alueella merkittävässä roolissa. Mites sitten, miten nää asiat nä-kyy käytännössä vaikkapa yritysten tai kansalaisten elämässä? Mitä esimerkiksi Kyberturvallisuus-keskus tai teidän muut toimijat toteuttavat?
Laura Vilkkonen:
Meidän tavoitteena on laajasti edistää ja varmistaa kansalaisten ja elinkeinoelämän ja julkishallin-non luottamusta tietoyhteiskunnan palveluitten turvallisuuteen. Ja tämä on hyvin tärkeä kysymys koko meidän digitaaliselle yhteiskunnallemme tämä digitaalinen turvallisuus ja kyberturvallisuu-den korkea taso Suomessa.
Me tehdään hyvin paljon yhteistyötä julkisen ja yksityisen sektorin elinkeinonharjoittajien kanssa, ja yhteistyö on tosi tärkeeää monestakin syystä. Jotta meillä pysyy tämmöinen kokonaisvaltainen tilannekuva ja jotta kyetään lisäämään sitä osaamista yhteiskunnassa - niin yritysten kuin kansa-laistenkin - ja sitten, jotta me pystytään jakamaan tätä turvallisuusuhkia ja loukkauksia koskevaa tietoa mahdollisimman laajasti yhteiskunnassa. Ja tämäntyyppinen yhteistyö on tietysti aina mah-dollista vain silloin, kun toimijoilla on todella korkea luottamus toisiaan kohtaan.
Musta on äärimmäisen tärkeää varmistaa paitsi Suomen myös EU:n tasolla se, että meillä on mark-kinoilla saatavilla tämmöisiä erilaisia turvallisia digitaalisia palveluita ja tuotteita. Aina parempi, jos ne ovat eurooppalaisia tai suomalaisia. Nyt on selkeästi nähtävissä se, että yritykset panostaa digi-taaliseen turvallisuuteen, se koetaan tärkeänä. Tämä on erittäin hyvä ja odotettu suunta.
Tuija Kuusisto:
Miten näet, että suomalaista teollisuutta, eurooppalaista teollisuutta tällä alueella olisi mahdol-lista edistää? Tai sanoit, että se on tärkeetä, niin olisko jotain, mitä Suomessa mahdollisesti vois tällä alueella tehdä vielä enemmän tai missä me voitais vielä parantaa?
Laura Vilkkonen:
Koulutuksesta puhutaan todella paljon tänä päivänä ja tietoturvaosaamisesta ja ohjelmointiosaa-misesta. Tämä on ehkä semmonen asia, mikä meidän täytyy yhteiskunnan tasolla huomioida, että hyviä tuotteita ja palveluita ja hyviä ideoita syntyy vaan semmosessa tilanteessa, että meillä on osaavia tekijöitä ja osaavia suomalaisia. Sen takia niin kun en voi liikaa korostaa sitä koulutuksen merkitystä.
Kimmo Rousku:
No mites sitten, tänä keväänä on ollut vahvasti esillä tietysti covid19 ja koronaviruspandemia ja sen vaikutukset koko yhteiskuntaan, ei pelkästään kansallisella, Suomen, vaan globaalilla tasolla. Niin mites sitten tän vaikutukset digitaaliseen turvallisuuteen omasta näkökulmastasi?
Laura Vilkkonen:
Niin, tosiaan tässä koronatilanteessa koko suomalainen yhteiskunta on ottanut tämmöisen pako-tetun digiloikan. Me ollaan hyvin lyhyessä aikaraossa, oikeastaan yhden yön yli siirrytty täysin etänä toimivaan digitaaliseen yhteiskuntaan ja ihmiset on jääneet kotiin etätöihin ja koululaiset on saaneet etäopetusta ensimmäistä kertaa digitaalisesti. Tämä on tietysti ollut todella kova harjoitus suomalaiselle yhteiskunnalle niin kuin koko maailmalle. Tämä vastaavahan on tapahtunut ympäri maailmaa miltei samanaikaisesti.
Se, mikä on ollut hirveän positiivinen asia Suomessa, on ollu se havainto, että meidän viestintäver-kot on kestäneet tämän erittäin hyvin, tämän paineen. Ja se tilanne on ehkä siinä mielessä ollut auvoisampi meillä kuin muualla Euroopassa, koska verkkojen erilaisten viestintäpalveluitten laatua on joissain Euroopan maissakin jouduttu laskemaan ihan sen takia, että pystytään takaamaan se muu liikenne, lisääntynyt liikenne viestintäverkoissa. Näin ei ole ollut Suomessa, mutta se taval-laan on ollut meillä ennustettavissakin siinä mielessä, että mehän ollaan Euroopan kovimpia datan käyttäjiä ja meillä suurimmat bittimäärät liikkuu meidän verkoissa Eurooppaan verrattuna. Tämä on tietysti, kun ihmiset on siirtyneet etätöihin, niin asettanut erityisiä vaatimuksia myös digitaali-selle turvallisuudelle. Ja valitettavasti jossain määrin sitä näkymää on kyllä ollut, että ihan kaikki ei muista niitä tietoturvaan liittyviä perusasioita enää sitten, kun siirrytään sinne kotitoimistolle töi-hin. Siinä mielessä uskon, että tämä on yrityksissä myös vaikuttanut siihen, että henkilöstöä koulu-tetaan tarkemmin ja niitä erilaisia hyviä tietoturvakäytänteitä, niihin kiinnitetään aiempaa enem-män huomiota. Ja se on tietysti positiivista.
Meillä on tämmönen meidän ministeriön johdolla toimiva Digitaaliset keinot koronaviruskriisin jäl-kihoidossa -työryhmä, jossa on sitten laajasti erilaiset hallinnonalat ja toimialat mukana. Siinä ideana sillä ryhmällä on se, että me pyritään vakiinnuttaa niitä semmosia asioita, mitä tässä digi-loikan, pakotetun digiloikan aikana on hyviksi havaittu ja koitetaan löytää näitä digitaalisia ratkai-suja sillä tavoin yhteiskuntaan, että ne pysyisi myös tän koronan...[ääni pätkii, jälkeisessä?] ajassa käytössä. Tämä on erittäin mukava ja ehkä se ainoa hopeareunus tässä koronakriisissä.
Tuija Kuusisto:
Suomeahan on tosiaan Euroopan laajuisestikin vertailtu, niin mehän ollaan erittäin hyvin pärjätty nimenomaan tässä koronapandemian aikasessa digiloikassa. Ja se miten on sitten kollegoiden kanssa eri EU-maissakin keskusteltu, niin jotenkin vaikuttaa, että Suomessa tämä on menny kaik-kein sujuvimmin ja tämä on varmaan jatkossakin meille tämmöinen kilpailuetu globaalistikin. Mai-nitsit tässä tämän luottamuksen ja erityisesti suhteessa viranomaisten ja yritysten välillä. Turvalli-suudessahan luottamus on erityisen tärkeätä ja turvallisuudessahan toiminta perustuu pitkälle eri organisaatiossakin toimivien henkilöiden luottamukseen. Mutta mitä Laura Vilkkonen sinusta on luottamus?
Laura Vilkkonen:
Mä sanoisin näin, että yleisesti ottaen elämässä luottamus liittyy siihen, että tunnet sen henkilön tai organisaation, jonka kanssa olet tekemisissä ja ehkä myös se, että hänen toimintansa on lä-pinäkyvää. Tämä läpinäkyvyys ja tavallaan se semmoinen henkilökohtainen suhde, ne on ehkä niitä
tärkeimpiä elementtejä myös siinä digiturvallisuudessa. Ja tällä henkilökohtaisella suhteella tarko-tan ehkä ihan paljaasti sitä, että meille on tärkeetä, että meillä on suomalaisia, kansallisia palve-luita ja palveluntarjoajia ja eurooppalaisia palveluntarjoajia ja palveluita. Läpinäkyvyydellä ehkä sitä, että ne tietoturvan peruselementit pitää olla sillä tavalla avattavissa ja läpinäkyviä, että niihin pystytään kohdistamaan semmosta ihan julkista kontrollia ja että ne on kenen tahansa, koska ta-hansa tarkistettavissa. Että nää on niitä luottamuksen ja digiturvallisuuden peruselementtejä mun mielestä.
Kimmo Rousku:
Juuri näin, eli luottamuksen ansaitseminen ja saavuttaminen vie aina oman aikansa. Ja kuten tällä alalla usein sanotaan, että sen kyllä sitten voi menettää hyvinkin nopeasti, jopa yhdellä klikkauk-sella pahimmillaan.
No sitten mennään vähän toiseen näkökulmaan. Turvallisuuskokonaisuus monesti näyttäytyy var-sin kielteisenä ilmiönä, erilaisina rajoituksina ja vaatimuslistoina. Miten meidän pitäis muuttaa, oh-jata tätä enemmän tämmöiseen positiivisempaan suuntaan, että miten me saatais tästä enemmän tämmöinen niin kuin mahdollistaja kaikelle toiminnalle?
Laura Vilkkonen:
Se on ehkä vaikea kysymys ja se on semmoinen aika pitkälti myös käyttäytymistieteeseen liittyvä ja kuluttajien käyttäytymiseen liittyvä kysymys. Me ollaan aika paljon pohdittu tätä meidän ministeri-össä sen takia, että meillä korkealla agendalla on muun muassa autonominen liikenne. Siinä ehkä pisimmällä tällä hetkellä näistä eri liikennemuodoista on lentoliikenne, jossa käytännössä tänä päi-vänä lentokoneet pystyy laskeutumaan ja nousemaan automaattisesti pikemminkin kun ihmisen ohjaamana. Mutta silti vois tuntua ihan itsestäkin vaikealta ajatukselta lähteä vaikka mannertenvä-liselle lennolle lentokoneeseen, jossa ei ole yhtään ihmistä, yhtään henkilökuntaa.
Tää on niin kuin tavallaan se asia, mitä me autonomisen liikenteen, niin kuin siihen liittyviä lainsää-däntömuutoksia ja siihen liittyvää infrastruktuuria ja sitä kokonaisuutta valmistella, sinne joudu-taan pakostakin myöskin miettimään, mitkä ovat niitä tekijöitä, millä tämmöiset uudet tekniset il-miöt saavuttaa kansalaisten luottamuksen ja milloin ollaan sillä asteella uusissa palveluissa, että kansalaiset uskaltavat niitä ottaa käyttöön.
Että ehkä on semmoinen niin kuin peri-inhimillinen tapa reagoida uusiin teknisiin ilmiöihin. Jos pu-hutaan Juhani Ahon Rautatiestä lähtien, niin kaikki uusi on aina pelottanut meitä ihmisiä. Ja se on semmoinen tekijä, mikä meidän on otettava huomioon myös siinä yhteiskunnallisessa keskuste-lussa ja näitä uusia palveluita tuotaessa käyttöön.
Itse näen että, kun kysyt että miten sitä ajattelua voi kääntää positiiviseen suuntaan ja millon se digitaalinen turvallisuus toimii mahdollistajana, niin musta se on semmonen asia, jonka pitää olla siinä palveluita jo kehitettäessä koko ajan rinnalla - mielessä että miten me vakuutamme palveluit-ten käyttäjät siitä turvallisuudesta. Sen pitää olla semmosta Security by Design, eli jo niitä palve-luita suunniteltaessa olennainen osa sitä valmisteluprosessia. Ja se ei voi olla... tietoturvallisuus-kaan ei voi koskaan olla mitään semmosta jälkikäteen päälle liimattua.
Tuija Kuusisto:
Miten näet tällä hetkellä sen että, mikä on tilanne nyt näissä meidän viranomaisten tarjoamissa erilaisissa digitaalisissa palveluissa? Että onko näissä onnistuttu noudattamaan näitä hyviä tieto-turvallisuuden ja kyberturvallisuuden periaatteita ja suunnittelemaan turvallisuus etukäteen? Ja onko näistä periaatteista pystytty nyt covid-19-tilanteessa pitämään kiinni niin, että voiko kansalai-set olla turvallisin mielin vai pitäisikö olla huolissaan? Että onko nämä viranomaisten digipalvelut turvallisia?
Laura Vilkkonen:
Tietoturvallisuus on ehkä semmonen osa-alue, jossa me ei olla koskaan niin kuin kuivilla. Meillä ei ole koskaan täydellisen tietoturvallista ja varmaa palvelua olemassakaan. Tän tietää oikeastaan kaikki tietoturva-ammattilaiset. Me pystytään pyrkimään vaan siihen niin kuin kaikkein parhaim-paan lopputulokseen. Se meillä pitää tietysti olla fokuksena viranomaisilla ehdottomasti.
Meillä on aika hyvä tilanne tuolla meidän tietoturvaa koskevassa lainsäädännössä pitkälti. Meillä on tämmöinen Nis-direktiivi - verkko- ja tietoturvadirektiivi, joka on pantu täytäntöön nyt sillä ta-voin, että näitä tietoturvallisuutta koskevia säädöksiä sisältyy paitsi viestintäpalveluita esimerkiksi pankkitoimintaa ja terveydenhuoltoa koskevaan lainsäädäntöön ja energia- ja juomaveden jakelua koskevaan lainsäädäntöön, liikenteen ohjaukseen. Ja sitten satamat ja lentoasemat ja eräät muut-kin tämmöiset digitaalisten palveluitten luokat, niin kuin pilvipalvelut tai hakukoneet, niin näille on asetettu uusia tietoturvavelvoitteita.
Tämä on hyvä lähtökohta, sen lainsäädännön pitää olla kunnossa, mutta sitten sen lisäksi me tarvi-taan hyvää tilannekuvaa, aitoa tilannekuvaa siitä, miten niitä tietoturvavelvoitteita pannaan täy-täntöön. Ja sitä varten meillä pitää olla topakka valvova viranomainen, joka pystyy sitten puuttu-maan ja jolla on riittävät toimivaltuudet puuttua näihin kysymyksiin.
Ja sitten mä en mitenkään vähättele sitä yksittäisen ihmisen, kansalaisen ja käyttäjän roolia, että yleensä se heikoin lenkki siinä tietoturvallisuudessa on aina kuitenkin ihminen, se työntekijä, joka klikkaa jotakin väärää linkkiä. Tai se tietoisuus siitä jokaisen velvollisuudesta olla huolellinen ja ot-taa sen tietoturvan huomioon siinä omassa työympäristössä esimerkiksi, niin sitä ei voi koskaan liikaa korostaa.
Kimmo Rousku:
Tossa on aika hyvin katettu nyt tätä kokonaisuutta teidän hallinnonalan organisaation, yritysken-tän näkökulmasta ja nyt tultiin juuri sopivasti tähän ihmisnäkökulmaan. Miten Laura huomioit itse digitaalisen turvallisuuden omassa elämässäsi?
Laura Vilkkonen:
No musta ihan niitä perusasioita, joita itse olen opetellut, on tietysti se, että pitää omat tietoko-neet ja mobiilipäätelaitteet päivitettyinä ja käytän vaan luotettuja ja suojattuja verkkoja ja yhteyk-siä ja myöskin pidempiä salasanoja ja salauslauseita. Käytän tämmöistä tervettä maalaisjärkeä ja olen välillä vähän liiankin epäluuloinen, kun tulee sähköpostia jostain tuntemattomasta osoit-teesta tai otetaan jostain yhteyttä, jostain semmosesta, mikä ei kuulosta tutulta.
Yksi uusi ilmiö, mihin itsekin törmään arjessani on se, että nykyisin nää yhä useammat kodin ihan tavalliset laitteet on kytkettynä verkkoon ja niissä on selkeästi havaittavissa, että se tietoturvataso ja osaaminen on paljon paljon huonompaa kuin viestintäverkoissa ja viestintälaitteissa. Tuntuu,
että teleyritykset ja viestintäverkkoja rakentavat yritykset, tää tietoturva on tavallaan ollut osa sitä arkea jo parikymmentä vuotta, mutta nyt, kun puhutaan jääkaapeista ja älytelevisioista ja tämän-tyyppisistä laitteista, niin niissä hämmästyttävällä tavalla alotetaan tavallaan sieltä historian alku-hämäristä. Ja se, edes se niitten laitteitten päivitystiheys ei ole sitä tasoa, mitä toivoisi. Että näitten laitteitten suhteen olen itsekin välillä vähän epätoivoinen, mutta yritän parhaani mukaan niissäkin tilanteessa löytää niitä tietoturvallisimpia ratkaisuja.
Kyberturvallisuuskeskus on kehittänyt muun muassa tämmösen, lanseerannut tämmöisen tieto-turvamerkin, jonka tarkoituksena on niin kuin helpottaa kuluttajan mahdollisuuksia tehdä järkeviä laitevalintoja siellä kaupassa. Tätä tietoturvamerkkiä suosittelen kyllä muillekin, että ainakin itse aion omia ostoksia tulevaisuudessa tehdessäni kiinnittää huomiota siihen, että semmonen merkki siitä laitteesta löytyy.
Kimmo Rousku:
Siinä oli loistavia esimerkkejä itse kullekin noudatettavaksi.
Tuija Kuusisto:
Kiitos ylijohtaja Vilkkonen. Tämä oli hyvä kertoa tästä tietoturvamerkistä, että muistan itsekin, kun valitsin joululahjaa ja yritin ottaa tämmösen tietoturvamerkillisen, niin ei niitä ollutkaan enää saa-tavilla. Sehän on myös hyvä keino tälle tavaran tuottajalle, toimittajalle kertoa, että on turvallinen tuote. Mutta kiitos ylijohtaja Laura Vilkkonen paljon tästä haastattelusta ja oikein hyvää ja läm-mintä kesää.
Laura Vilkkonen:
Kiitos samoin teille!
Kimmo Rousku:
Kiitos!