Mitä on huoltovarmuus kriisien keskellä? Millä tavalla digimaailman toimivuutta on mahdollista turvata? Vieraana huoltovarmuustoimien suunnittelun tuore johtaja Jarna Hartikainen Huoltovarmuuskeskuksesta.
Merkkien selitykset:
[?] = sanan kirjoitusasusta ei voi olla täysin varma, mutta merkitys on ainakin sinne päin. Sanan äänityskohta merkitään tekstiin ylös esim. [sana? 00:15:44]
[??] = sanasta ei voinut saada selvää, joten se on täysin epävarma tai sitä ei voitu kirjata ylös lainkaan. Sanan äänityskohta merkitään tekstiin ylös esim. [?? 00:15:44]
[tekstiä] = äänet tai litteroimatta jätetyt kohdat merkitään tekstiin hakasulkeisiin, esim. [naurahtaa] tai [haastattelu keskeytyy hetkeksi, kun haastateltava vastaa puhelimeen]
------------------------------------------------------------------------------------------------------------------------
[äänite alkaa]
Tuija [00:00:01]: Hei. Olen Tuija Kuusisto ja toimin Valtiovarainministeriössä tietohallintoneuvoksena.
Kimmo [00:00:06]: Ja minä olen Kimmo Rousku. Toimin Digi-ja väestötietovirastossa eli Dvv:ssä VAHTI-pääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Tuija [00:00:20]: Tässä digiturvakompassi-sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa? Mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä yhdessä pohdittaviksi.
Kimmo [00:00:35]: Ai siis mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvallisuudesta ja tietosuojasta sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalvelujen toimivuudesta ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä.
Tuija [00:01:03]: Tänään, marraskuun alussa, meidän vieraanamme on johtaja Jarna Hartikainen Huoltovarmuuskeskuksesta. Hyvää iltapäivää Jarna ja sydämellisesti tervetuloa tähän meidän podcastiimme.
Jarna [00:01:15]: Kiitoksia kutsusta, mukava tulla.
Tuija [00:01:32]: Jarna, toimit johtajana Huoltovarmuuskeskuksessa. Mitä Huoltovarmuuskeskuksessa on nyt työn alla tähän digiturvaan liittyen?
Jarna [00:01:41]: Kyllä meidän työtämme tällä hetkellä värittää tämä toimintaympäristön muutos ja sitä kautta aiheutuvat vaikutukset Suomen huoltovarmuuteen. Sitä kautta myös kun kaikki yritykset ovat enemmän tai vähemmän digitaalisia, niin miten tämä toimintaympäristön muutos vaikuttaa digitaaliseen turvallisuuteen. Miten se julkishallintoa kiinnostaa, on se, että kuitenkin yritykset tässä maassa hyvin pitkälti tuottavat ne palvelut, joita kansalaiset käyttävät. Olemme tukemassa sitä, että kansalaiset saisivat ne palvelut niin, että yritykset pystyvät tuottamaan ne huomioiden kyberturvallisuus ja jatkuvuuden hallinta. Pitkälti tässä on ollut tämä meidän Digitaalinen turvallisuus 2030 -ohjelma, joka käynnistyi vuonna 2021 ja jota on suunniteltu vuodesta 2019 asti. On toteuttanut sellaisia toimenpiteitä, jotka ovat itse asiassa hyvin vastanneet tätä turvallisuusympäristön muutosta. Monessa kohtaa keskeistä on ollut jatkaa tai kenties hieman kiirehtiä niitä toimenpiteitä. Toisaalta myös vähän priorisoida sieltä niitä, mitkä ensisijaisesti ovat tässä tilanteessa konkreettisia. Toisaalta tämä tilanne voi pitkittyä, jolloin myös tulevaisuuden muutoksien painottaminen ja sen miettiminen, mitkä siellä olisi kiireellisiä, on ollut tässä huomion keskipisteenä.
Tuija [00:03:06]: Ovatko nämä turvallisuusympäristön muutokset aiheuttaneet jotain muutoksia teillä tähän Digitaalinen turvallisuus 2030 -ohjelmaan?
Jarna [00:03:14]: Positiivista on ollut se, että siellä on tunnistettu jo ennalta aika keskeisesti ne tekijät, jotka ovat olleet tärkeitä. Me olemme pystyneet jatkamaan hyvin pitkälti juuri niillä suunnitelmilla, jotka on aikaisemmin tehty. Se tarkoittaa, että meillä on ollut hyvä tilannekuva ja ymmärrys siitä, että jos nämä uhka- ja riskiarviot kohoavat, niin olemme jo toteuttaneet oikeanlaisia toimenpiteitä. Ehkä se on näkynyt, että kiinnostus ohjelmaa kohtaan on ollut suurempaa. Sitten taas toisaalta kääntöpuolena se, että tämä tilanne kuormittaa kaikkia kyberturvallisuuden tekijöitä ja se aiheuttaa sitä ajallista hankaluutta näiden toimenpiteiden toteuttamisessa. Osaajapula täällä kyberturvallisuuden ja IT-puolen osalla on kova ja se tässä tilanteessa vielä korostuu.
Tuija [00:04:02]: Eli Huoltovarmuuskeskuksessa olette siis pystyneet nimenne mukaisesti varautumaan tulevaisuuteen hyvin. Tämä on oikeastaan aika rauhoittavaa kuulla, koska tämä nykyinen turvallisuustilanne herättää tietynlaista epävarmuutta ja ehkä pelkoakin aika monessa meistä. Miten itse näet nykyisessä tehtävässäsi, jossa et ole kovin pitkään ollut, mikä siinä on nyt osoittautunut kaikkein tärkeimmäksi?
Jarna [00:04:27]: Varmaan tässä on painottunut viime vuosina nämä keskinäisriippuvuudet ja pitkät globaalit toimitusketjut. Monesti ajatellaan sitä, miten turvataan oma toiminta ja se keskeinen oma tekeminen. Mutta kyllä nämä merkittävimmät asiat, joita pohditaan vaikka liittyen sähköpulaan tai hintojen nousuun, ne eivät ole yhden alan ongelmia, vaan ne lähtevät jostain liikkeelle ja kerrannaisvaikutukset ovat siellä, ne eskaloituvat toisten alojen ongelmaksi. Silloin se varautuminen, että mistä toimialoista olen riippuvainen, miten se vaikuttaa ja miten se huomioidaan toiminnassa, on aika keskeisenä. Luulen, että sen merkitys tulevaisuudessa vain kasvaa tässä varautumisessa.
Tuija [00:05:12]: Kuulostaa siltä, että teet aika laajasti yhteistyötä sekä omien kollegoidesi kanssa Huoltovarmuuskeskuksessa ja varmaan laajemminkin yhteiskunnassa. Mikä on sellaista mielenkiintoista työtä, joka antaa sinulle sen palon, että jaksat tässä sinun vaativassa tehtävässäsi?
Jarna [00:05:31]: Minun mielestäni se hienous on siinä, kun ihmiset tulevat eri lähtökohdista. On se eri organisaation tarve siellä taustalla. Kun sieltä löytää näitä win-win -tilanteita, eli kaikki hyötyvät ja löytyy se yhteinen tarve, niin kyllä sen palon näkee ihmisten silmistä. Ne on niitä onnistumisen hetkiä. Niin ikäviä kuin tämä turvallisuusympäristön muutos ja koronatilanne ovat olleet, niin kyllähän se on täällä yhdistänyt ihmisiä ja löytänyt sitä yhteistä tekemistä. Se työ on vähän helpottunut siitä näkökulmasta, vaikka ehkä tämä tilanne ei sinänsä ole toivottu. Tätä puolta se on kuitenkin helpottanut.
Kimmo [00:06:11]: Me olemme nyt eläneet kohta kolme vuotta erilaisten hyökkäysten ja kriisien aikakautta. Ensin tuli korona. Toki se toi digiloikan. Nyt sitten tänä vuonna helmikuussa Venäjä hyökkäsi Ukrainaan. Voisi sanoa, että osana tätä Venäjän hyökkäystä meillä on myös Suomeen kohdistunut jonkin verran kyberhyökkäyksiä ja ennen kaikkea informaatiovaikuttamista. Millaisena sinä näet tämän tilanteen tällä hetkellä? Kun miettii näitä teidän käynnissä olevia hankkeita, miten te olette nämä ilmiöt nyt huomioineet?
Jarna [00:06:46]: Mielenkiintoinen kysymys. Kuten tuossa aiemmin tuki sanottua, tämä kyberturvallisuustilanne näytti alkuun jopa maltilliselta. Ukraina on kärsinyt vuosikausia näistä kyberhyökkäyksistä ja myös tämän sodan aikana. Maailmallahan ehkä tähän tilanteeseen liittyvä valtiollinen vaikuttaminen oli jopa maltillisempaa, kun se kohdistui tiettyyn. Sitten tuli heijastevaikutuksena erilaisia aktivistijengejä, jotka tukien Ukrainaa, haitaten Venäjää tai mukaillen näitä yrityksiä, jotka tässä pakotteiden vaikutuksena suhtautuivat niihin. Oli aika mielenkiintoista, miten sitä kyberympäristöä hyödynnettiin informaatiovaikuttamisenkin välineenä. Se voi aiheuttaa heijastevaikutuksia hyvinkin laajasti, kun nämä hyökkäykset ja niiden vaikutukset leviävät. Sitten taas yritykset, jotka toimivat kenties Venäjällä, kenties Ukrainassa ja niillä on toimintaa myös Suomessa. Miten se tänne sitten vaikuttaa? Nämä olivat niitä keskeisiä asioita siinä alussa. Informaatiopuolelta, Suomeen kohdistuva informaatiovaikuttaminen on ollut aika maltillista. Toki tämä on valtava informaatio-operaatio kokonaisuudessaan maailmalla. Meillä oli jo selvitys informaatiovaikuttamisen tunnistamisesta ja miten sitä informaatioturvallisuutta voitaisiin lähteä kehittämään niin, että se tukisi yhteiskuntaa. Tunnistaa haitallista vaikuttamista, joka kohdistuu yhteiskuntaan. Mutta kun tämä sota alkoi, niin tunnistettiin, että tätä asian edistämistä olisi syytä varmaan kiihdyttää. Nyt ollaan sitten päätetty perustaa tämmöinen pilottitoiminto, jossa teknisin menetelmin voidaan havainnoida informaatiovaikuttamista, nimenomaan tällaista haitallista toimintaa. Koko ajanhan me olemme jonkinlaisen informaatiovaikuttamisen kohteena. Silloin kun ihminen tietää, että minuun pyritään vaikuttamaan, niin sehän on ihan normaalia kommunikointia. Mutta sitten, kun se tapahtuu sillä tavalla, että ihminen ei tunnista sitä, että tunteisiin ja mielipiteisiin pyritään vaikuttamaan ja se vaikutus on haitallinen. Tätä esimerkiksi somemaailma tarjoaa ja siihen on teknisiä menetelmiä, jotta sitä voidaan tunnistaa ja siten auttaa yhteiskuntaa siinä, että ne vaikutukset jäisivät vähemmiksi. Tällaista on jo maailmalla tehty. Esimerkiksi Ruotsissa on perustettu tämmöinen psykologisen turvallisuuden keskus. Heidän kanssaan teemme yhteistyötä tässä kehitystyössä.
Kimmo [00:09:28]: Tuossa nousi jo hyvin esille se, että kyberhyökkäysten osalta ei ole ehkä ollut niin aktiivista kuin keväällä kuviteltiin. Mutta toisaalta tämmöinen laaja-alainen hybridi- ja informaatiovaikuttaminen ja ehkä sitä kautta energian käyttäminen hybridivaikuttamisen työkaluna, niin ehkä siinä Venäjä on onnistunut paremmin kuin moni on etukäteen kuvitellutkaan. Nyt kun meillä on sitä kautta tullut eräänlainen energiakriisi -tässä kohtaa haastan kaikki kuulijat osallistumaan Astetta alemmaksi -kampanjaan- minun henkilökohtainen haasteeni on ollut kaksi astetta alemmaksi, suosittelen sitä lämpimästi talvenkin varalta. Eli on energiakriisi, on etätaloushaasteita. Millaisena itse koet ja miten teillä Huoltovarmuuskeskuksessa nähdään tämä edessä oleva talvi, siihen liittyvät mahdolliset sähkön sääntelyyn, rajoittamiseen ja jakeluun liittyvät haasteet?
Jarna [00:10:28]: Onhan tämä ollut aika poikkeuksellista, miten voimakasta energiavaikuttaminen Venäjältä on ollut ja miten laajat vaikutukset sillä on ollut koko Eurooppaan ja sitä kautta Suomeen. Se on muuttanut Suomen energiakenttää merkittävästi, kun tuontienergiaa ei saadakaan samalla tavalla kuin ennen. Toisaalta Suomessa on ollut energiapuolella verrattain hyvä varautuminen. Meillä on ollut useita energiamuotoja käytössä jo aiemmin, jolloin sen valikoiman laajentaminen tässä kriisin aikana on ollut myös hyvä pohjan siihen. Eli varastoja on kasvatettu ja esimerkiksi turvevarastot otettiin käyttöön kesällä. Olkiluoto 3:n käynnistäminen sattuu oikein hyvään ajankohtaan nyt tässä maailmantilanteessa. Mutta se pohja on luotu jo aiemmin. Toki tämä tilanne tarkoittaa sitä, että alle vuoden sisällä näin isoon muutokseen vastaaminen ei ole helppoa. Me olemme päässeet sellaiseen tilanteeseen Suomessa, että kyllä nämä suunnitellut sähkökatkokset ovat aika epätodennäköisiä, jos tämä tilanne pysyy maltillisena. Jos jossain energianlähteessä alkaa tulla poikkeamia eli se koko varautumisvalikoima ei olekaan enää käytössä, sattuisi olemaan poikkeuksellisen kylmä ja tuuleton talvi, jolloin kaikkia energiamuotoja ei saada sitä kautta hyödynnettyä ja olisi jotain suuria kulutuspiikkejä, että siellä alkaisi useammat riskit toteutumaan, sitten se on sellainen keino, johon voidaan turvautua. Sekin on jo suunnitelmallista, että siitä on ennakkoon viestitty hyvin paljon. Toki siinä on vielä paljon epävarmuuksia, mutta se, että siitä kerrotaan ajoissa, on sitä avoimuutta ja läpinäkyvyyttä. Tieto tarkentuu sitä mukaa kuin tiedetään, millainen sää ensi talvena tulee olemaan.
Kimmo [00:12:28]: Voisiko tätä vielä tiivistää niin, että nyt me varaudumme, emme pelkästään tulevaan talveen, vaan seuraavia vuosia ajatellen. Nyt oikeastaan kaikki se työ, mitä Suomessa on varautumisen eteen tehty viime vuodet tai vuosikymmenet, nyt me keräämme niitä hedelmiä ja hyvä satoa. Ei ole mitään lyhytjänteistä, että nyt me otamme ihan uuden tilanteen haltuun ja se hoidetaan noin vain lyhyessä aikajänteessä, vaan tämä on pitkäjänteistä suunnittelua ja kehittämistä, jolla me varaudumme näihin asioihin.
Jarna [00:12:58]: Näin voisi sanoa. Näitä sähköpulatilanteita on yhteiskunnassa harjoiteltu. Fingrid on kantaverkkoyhtiönä se, joka lopulta katsoo, mikä se verkkoon tulevan sähkön ja käytetyn sähkön määrä on ja sitä kautta näiden sähkönjakeluverkkojen kanssa suunnittelee, miten tätä ohjataan ja TEM on siellä myös. Meillä on sitten varastointivelvoitetta, joka tukee tätä kokonaisuutta. Tässäkin on hyvin pitkälti niin elinkeinoelämän viranomaisten kuin meidänkin yhteistyötä. Tämä homma on suuniteltu aikanaan ja miten sitä nyt sitten toteutetaan.
Tuija [00:13:31]: Huoltovarmuuskeskus nimensä mukaisesti tunnetaan näistä isoista varastoistaan, joissa on tavaraa, jota erilaisissa kriiseissä voidaan hyödyntää. Kun mennään digitaaliseen turvallisuuteen ja kyberturvallisuuteen, niin minkälaisia varastoja teillä on tätä digitaalista maailmaa varten? Mitä on huoltovarmuus tässä digimaailmassa?
Jarna [00:13:57]: Tämä digimaailma ja globaalit toimitusketjut ovat vieneet huoltovarmuuden toteutuksen enemmän siihen, että jos ennen varastointi oli se keino, niin nyt varastointi on yksi monista keinoista. Se palvelee tietyissä asioissa erittäin hyvin, mutta meillä alkaa olemaan enemmän ja enemmän sellaisia palveluja, tuotteita ja raaka-aineita, joita ei ehkä voi säilöä, vaan niitä tarvitaan jatkuvasti ja olemme riippuvaisia näistä globaaleista markkinavirroista. Silloin se häiriösietoisuus ja jatkuvuuden hallinta alkavat olla ydinkysymyksiä ja miten sitä handlataan. Se varastointi toimii joissakin tietyissä tarpeissa. Eli sanoisin, että tällä digitaalisella puolella nämä jatkuvuuden hallinnan keinot ja se, että on useita vaihtoehtoisia tapoja toimia ja varajärjestelyjä, ovat ratkaisevammassa asemassa. Toki tuo on hyvä kysymys, minkälaisia varastoja digipuolella voisi rakentaa. Siellä nämä komponentit ovat vähän erilaisia. Siellä tällaisten pitkäaikaisvarastojen rakentaminen ei ole ollut ihan niin yksinkertaista tässä muuttuvassa ympäristössä.
Tuija [00:15:06]: Miten näet, että meidän jäsenyys EU:ssa tai tuleva jäsenyys Nato:ssa mahdollisesti muuttavat tätä digitaalisen turvallisuuden ja kyberturvallisuuden huoltovarmuutta?
Jarna [00:15:19]: Erinomainen kysymys. Kyllä se varmasti varmuutta tuo, mutta Suomen asema on tässä erilainen siinä, että me olemme aika lailla digitaalinen saari. Varmasti meidän täytyy yhä kuitenkin itse huolehtia tietyistä asioista. Mutta se yhteensovittaminen Eurooppalaiseen, siinä tulee varmasti myös yhteistä keinovalikoimaa lisää. Mielenkiinnolla odotamme, minkälaisia mahdollisuuksia ne tuovat.
Kimmo [00:15:48]: Tuossa hyvin mainitsit, että me olemme saari. Nyt kun tässä on syksyn aikana noussut esille energiaan liittyen esimerkiksi kaasuputket ja niihin kohdistuneet hyökkäykset. Ukrainaa on käytetty esimerkkinä siitä, miten se on digitalisoinut oman hallintonsa pilveen. Tämä on tietysti nostanut kysymyksiä sitä, miten muuallakin pitäisi pystyä hyödyntämään pilveä tehokkaammin. Toisaalta nämä hyökkäykset tätä kaasuputkea vastaan osoitti sen, että entä jos kaasuputkien sijaan olisikin ollut tietoliikenneyhteydet. Teillä varmasti nämä Suomen kansainväliset tietoliikenneyhteydet ovat olleet vahvasti esillä ja näihin liittyviä kysymyksiä on varmaan selvitelty?
Jarna [00:16:26]: Tässä tietoliikenneyhteyksissä Traficomilla on määräys, joka täsmentää, miten teleyritysten tulee varautua. Siellä on yhteyksien kahdentaminen. Teleyritysten ja viranomaisten kesken on tehty yhteistyötä, jossa on sovittu käytännöistä esimerkiksi näiden varautumistasojen parantamiseksi. Ihan jo yhteiskunnan suojaamiseksi nämä on jo luokiteltuja asioita, miten toimitaan. Kyllä se on tunnistettu pitkältä aikaväliltä. Sinänsä nämä muutokset enemmänkin osoittivat, että nämä suunnitelmat ovat olleet realistisia ja niitä kannattaa jatkaa.
Kimmo [00:17:05]: Juuri näin. Digimaailmasta on muutenkin tullut entistä vaarallisempi paikka, eli meitä itse kutakin vastaan hyökätään koko ajan entisten tapojen ohella. Tässä on jännää se, että nämä rikolliset eivät ikinä unohda niitä vanhoja tapoja, ne jäävät sinne taustalle. Ne tuovat aina uusia, kehittyneempiä tapoja. Mitkä ovat sinun vinkkejä tähän turvalliseen työskentelyyn digitaalisessa maailmassa?
Jarna [00:17:28]: Näkisin sen niin, jos kolme keinoa pitää ajatella, jotka sopivat kenelle vain. Se tunnistautumisen turvallisuus, huolehditaan että se on kunnossa. Se tarkoittaa sitä, että salasanat ja -lauseet ovat turvallisia. Silloin kun voin ottaa kaksivaiheisen tunnistautumisen käyttöön, niin otan sen. Tunnistautuminen on usein se, mistä nämä huijaukset, kalastelut ja uhkat lähtevät liikkeelle, kevyistä vakavampiin uhkiin. Toinen on se, että huolehditaan ympäristön suojauksesta. Peruskäyttäjällä se tarkoittaa, että ylläpidetään niitä päivityksiä. Organisaatiossa se tarkoittaa usein sitä, että on rutinoituneet päivitykset ja kehittyneemmissä organisaatioissa laajemmin suojauksin. Kolmas on se, että kulttuuri suosii turvallisia käytäntöjä. Se on iäkkäimmistä ihmisistä lapsiin ja työkulttuuriin. Jos tapahtuu jotain, kerrotaan siitä avoimesti, niin saa siihen asiaan apua eikä piilotella niitä mokia.
Tuija [00:18:35]: Kiitos kovasti näkemyksistäsi ja oikein mukavaa syksyn jatkoa ja pitäisikö kohta jo sanoa, että joulun odotusta.
Jarna [00:18:44]: Kiitokset.
Kimmo [00:18:44]: Kiitos.
[äänite päättyy]