Kyberalan kannanotto hallitusohjelmaan

Suomen kansainvälinen kilpailukyky on noussut viime vuosina. Taustalla vaikuttaa eritoten yritysten suorituskyky. Eniten positiivista kehitystä oli tapahtunut asenteissa ja arvoissa, työmarkkinoilla sekä tuottavuudessa ja tehokkuudessa. Kustannuskilpailukykymme ja tuottavuutemme ovat kuitenkin taipuvaisia heikentymään, sillä muuallakin panostetaan. Kotimarkkinamme pieni koko, työllisyyden taso sekä hidas talouskasvu ovat heikkoutemme.

Perjantaina 16.6.2023 julkaistu hallitusohjelman ”Vahva ja välittävä Suomi” - neuvottelutulos asettaa kunnianhimoiset alkaneelle vaalikaudelle datatalouden, digitaalisuuden ja digitaalisen turvallisuuden edistämiseksi Suomessa ja Euroopan Unionissa. Tavoitteiden saavuttaminen riippuu hallitusohjelman kirjausten toimeenpanosta sekä toteutustavoista.

Kyberkestävyyden vahvistaminen tapahtuu yrityksissä

Yksityinen sektori toimii yhteiskunnan digitalisoitumisen veturina ja tapahtumapaikkana. Tämän vuoksi myös yhteiskunnan kyberkestävyyden vahvistamisen kannalta tärkeimmät askeleet otetaan yrityksissä, joiden hallussa on suurin osa tietojärjestelmistä sekä tiedosta. Pelkästään työnantajayrityksiä on Suomessa noin kaksisataa kertaa ja huoltovarmuuskriittisiä yli kymmenen kertaa enemmän kuin julkishallinnon organisaatioita. Hallitusohjelmassa tunnistetaan ansiokkaasti, yritysten, elinkeinoelämän ja kolmannen sektorin kanssa tehtävän tiiviin yhteistyön merkitys, huomioiden samalla, että suuri osa kriittisestä infrastruktuurista on yksityisessä omistuksessa. Kyberturvallisuuden kehittämisen ei tule johtaa siihen, että viranomaistoiminta syrjäyttää yksityiseen omistamiseen perustuvan digitaalisten riskien hallinnan.

Hallitusohjelmassa sitoudutaan määrittelemään ja tunnistamaan yhteiskunnan kannalta kriittiset tietovarannot, -palvelut ja järjestelmät ja varmistamaan niiden toimintavarmuuden sekä turvallisuuden. Yrityslähtöisen kyberturvallisuuskoulutuksen pienille ja keskisuurille yrityksille sijaan toiminta tulisi kohdistaa tietojärjestelmäympäristöjen modernisoimiseen ja vahventamiseen sekä yritysten riskienhallinnan kehittämiseen. Tämä edellyttää, että pienten ja keskisuurten yritysten mahdollisuuksia investoida tietoturvansa parantamiseen tuetaan jatkamalla ja kasvattamalla tietoturvasetelin rahoitusta ja kohdentamalla tuki yksinomaan niille. Tietoturvaseteli tulee nähdä julkishyödykkeenä, jonka rahoituksella voidaan ennaltaehkäisevästi pienentää tietoturvaloukkausten kokonaiskustannuksia moninkertaisesti. Pienet ja keskisuuret yritykset muodostavat ylivoimaisen enemmistön maamme työnantajayrityksistä ja ovat tutkimusten mukaan organisaatioista haavoittuvaisimmassa asemassa tietoturvaloukkauksille. Huoltovarmuuskriittisten yritysten tietoturvan parantamisen rahoitus tulee siirtää Digitaalinen turvallisuus 2030-rahoitusohjelman alle.

______________________________________________________________________________

______________________________________________________________________________

Kansainvälistynyt ja kilpailukykyinen kyberturvallisuusteollisuus on digitaalisen turvallisuutemme elinehto

Talouden tuottavuus paranee tuotannon kohdistuessa uusille, paremmin kannattaville aloille, joihin myös kyberturvallisuusteollisuus kuuluu. Vientiin tähtäävä kansainvälistyminen on edellytys kyberturvallisuusteollisuuden yritysten kannattavuudelle sekä mahdollisuuksille panostaa tuotekehitykseen. Suomi on kotimarkkinana alan yrityksille pieni, eikä yksin mahdollista yritysten kasvulle ja kehitykselle riittäviä edellytyksiä. Kansainvälinen markkina kyberturvallisuusteollisuuden tuotteille ja palveluille kasvaa Euroopan komission arvion mukaan jopa 15–20 prosenttia vuodessa. Pelkästään Euroopan markkinat ovat noin 36 mrd.€ arvoiset. Yritysten on kytkeydyttävä globaaleihin arvoketjuihin ja ne tarvitsevat usein toimintansa tueksi myös kansainvälisiä kumppaneita, osaajia ja teknologiaa. Digitaalisilla markkinoilla kilpailu on aina kansainvälistä, mutta kasvun pidäkkeet kansallisia.  

Maassamme on kansainvälisesti tunnistettua, jopa ainutlaatuista huippuosaamista useilla kyberturvallisuusteollisuuden osa-alueilla, minkä lisäksi tuore NATO-jäsenyys ja maine menestyksekkäästi turvallisuudestaan huolehtivana valtiona ovat avanneet uusia mahdollisuuksia viennille ja kaupalliselle yhteistyölle. Suomalaisen teknologian vientimaineen ja oikeudellisen ympäristön tulee perustua siihen, että Suomesta hankittu teknologia on, ei pelkästään puhdasta siirtymää tukevaa, mutta myös luotettavuuden osalta ”puhdasta”. Asiakkaan on siis voitava luottaa siihen, että toimitettava teknologia ei sisällä mitään sellaista, mikä heikentäisi sen tietoturvallisuutta.

Yllä mainittujen mahdollisuuksien täysimääräinen hyödyntäminen suomalaisen kyberturvallisuusteollisuuden, elinkeinoelämän ja koko yhteiskunnan eduksi vaatii määrätietoisia ja suunnitelmallisia politiikkatoimia. NATO-jäsenyyteen liittyvien liiketoimintamahdollisuuksien tunnistaminen ja hyödyntäminen edellyttää erityisesti puolustushallinnolta uudenlaista suhtautumista julkisiin referenssihankintoihin, viennin edistämiseen sekä yritysten kanssa tehtävään yhteistyöhön.

Julkisten hankintojen kilpailua, tehokkuutta ja avoimuutta lisäämällä hallitus pyrkii säästämään kustannuksissa ja turvaamaan palveluiden laadun. Julkishallinnon tapoja hankkia tehokkaasti kyberturvallisuuspalveluita tulee kehittää mm. innovatiivisten hankintojen kautta sekä moderneja teknologioita koskevaa osaamista kehittämällä.

Hallitus sitoutuu Team Finland-verkoston toiminnan ja johtamisen uudistamiseen. Uudistustyössä on olennaista tarkastella myös muita vienninedistämiseen liittyviä viranomaistoimintoja palvelemaan paremmin yritysten tarpeita. Ulkomaankauppaministerin tehtäväpiiriin kuuluvia yritysturvallisuussertifikaatteja on myönnettävä proaktiivisesti, vientivalvonnan palvelukykyä on tehostettava ja kaksikäyttötuotteiden EU-liikkumavara on minimoitava soveltuvin osin. Samalla Business Finlandin vienninedistämisen tuki-instrumentteja on joustavoitettava sekä maltillisesti kasvatettava. Kyberala tukee vahvasti hallituksen tavoitteita edistää tehokkaasti suomalaisten yritysten osallistumista EU:n Global Gateway-aloitteen puitteissa rahoitettuihin investointihankkeisiin sekä suomalaisten yritysten hyödyntämistä kehitysyhteistyössä ja kehityssijoituksissa, peräänkuuluttaen että Kyber- ja informaatioturvallisuuden kehittäminen tulee huomioida molempien osalta investointisegmenttinä.

Hallitusohjelman kirjaukset salaustuotteiden hyväksyntäprosessin nopeuttamisesta ja kansainvälisiä tietoturvahyväksyntöjä myöntävän aseman hankkimisesta (AQUA-status) EU:ssa ovat erinomaisia ja erittäin tärkeitä. Traficomin tehtäväpiiriä tuleekin tarkentaa lailla ja osoitettava toimintaan riittävät resurssit. Lisäksi AQUA-statukseen liittyvä prosessi on toteutettava yhdessä elinkeinoelämän kanssa. Asianmukaisen toimeenpanon myötä kotimaisen kyberturvallisuusteknologian pääsy kotimaisille ja kansainvälisille markkinoille vahvistuu, mikä vahvistaa suomalaista ”kyberomavaraisuutta” sekä luo työtä ja verotuloja maahamme.

______________________________________________________________________________

______________________________________________________________________________

Kyberturvallisuusalan osaajapula hidastaa alan kasvua ja heikentää yhteiskunnan kyberkestävyyttä

Kyberturvallisuusalan suurin haaste on osaajapula. Suomessa kyberturvallisuusalan osaajien välitön tarve työmarkkinoilla on 6 000–10 000 henkilöä, Euroopan tasolla tarvitaan vähimmillään satoja tuhansia uusia osaajia. Emme siis voi luottaa EU:n työvoiman liikkuvuuteen Suomen eduksi. Osaajia tarvitaan, jotta yritykset kykenevät tuottamaan ratkaisuja ja organisaatiot ottamaan niitä käyttöön. Osaajapula on tulppa paitsi alan liiketoiminnan kasvulle, myös yhteiskunnan digitaalisen turvallisuuden ja resilienssin vahvistumiselle.

Hallitusohjelmassa sitoudutaan kyberturvallisuusalan koulutuksen vahvistamiseen ja kouluttamaan riittävästi työvoimaa teollisuuden tarpeisiin. Kyberala painottaa, että ICT-alan kyberturvallisuuteen kohdistettujen aloituspaikkojen lisääminen on välttämätöntä,

sillä kolmansista maista koostuvalla työperäisellä maahanmuutolla voidaan kattaa vain osa muodollisesti osoitettua luotettavuutta edellyttävistä työtehtävistä. Kyberturvallisuuden opintosuuntien aloituspaikat on kolminkertaistettava korkeakouluissa ja ammatillisissa oppilaitoksissa edellytyksellä, että 85 % opiskelijoista työllistyy kyberturvallisuusalalle Suomessa. Uudet aloituspaikat edellyttävät myös uusien opettajien palkkaamista.

Muunto- ja lisäkoulutus tarjoaa merkittäviä mahdollisuuksia kyberturvallisuusalan osaajapulan hallintaan, sillä niiden kautta voidaan vastata ketterämmin työnantajien välittömiin osaamistarpeisiin. Samalla voidaan auttaa esimerkiksi alan vaihtoa suunnittelevia työllistymään alalle, jolla osaajista on kysyntää. Modulaariset eli erilaisista osista koostettavia koulutuksia tulee tukea. Julkisen tuen avulla on mahdollista rakentaa yritysten, oppilaitosten, julkisen sektorin ja muiden kumppaneiden välisessä yhteistyössä verkostomainen, kannustavampi, tehokkaampi, oppijakeskeinen ja kestävä malli kyberturvallisuusalan lisä- ja muuntokoulutukselle. Yhteinen verkosto voi ennakoida nykyhetken ja tulevaisuuden osaamistarpeita ja hyödyntää olemassa olevia rakenteita ja aktiviteetteja sekä kehittää uusia, joustavampia prosesseja. Alalla tarvitaan monenlaisia osaajia, korkeakoulututkinnon suorittavia sekä niitä, jotka kasvattavat osaamista muun koulutuksen lisäksi ja myös työn ohessa.

______________________________________________________________________________

______________________________________________________________________________

Vaikuttavuutta ja kasvua EU:sta

Euroopan Unioni tarjoaa Suomelle mahdollisuuden edistää kestävää ja turvallista digitalisaatiota Euroopan laajuisesti ja globaalissa mittakaavassa. EU:n sisämarkkinat, yhteinen kauppapolitiikka ja horisontaalinen sääntely tarjoat suomalaiselle kyberturvallisuusteollisuudelle merkittäviä kilpailuetuja. EU:n sisämarkkinoiden eheyden ja yhteisen kauppapolitiikan toimintakyvyn turvaaminen ja vahvistaminen ovat elinehtoja paitsi suomalaiselle kyberteollisuudelle, myös koko elinkeinoelämälle.

Hallitusohjelmassa asetetaan kunnianhimoisia tavoitteita Suomen kansallisen EU-vaikuttamisen kehittämiselle ja hahmotellaan valtioneuvoston sisäistä työnjakoa sekä Eduskunnan roolia. Kyberala kannattaa tavoitteita lämpimästi ja korostaa, että Suomen tulee aktiivisesti tarjota omia ratkaisujaan ennakolta vaikuttaen erityisesti digitalisaatioon ja digitaaliseen turvallisuuteen liittyvissä kysymyksissä.

Euroopan parlamentti ja EU:n neuvosto käsittelevät parhaillaan kyberkestävyyssäädöstä, joka asettaa tietoturvaa käsittelevät vähimmäisvaatimukset kaikille verkkoon kytkettäville laitteille ja ohjelmistoille. Säädös on välttämätön eurooppalaisten yhteiskuntien digitaalisen suojaustason nostamiseksi ja tehokkaan toimeenpanon myötä se voi myös tuoda kilpailuetuja suomalaisille yrityksille. Tämä kuitenkin edellyttää, että viranomainen akkreditoi säädöksessä kriittisimmiksi määriteltyjen kolmannen osapuolen hyväksyntää edellyttävien tuotteiden arviointilaitoksia ennakoivasti ja riittävässä määrin. Jos tässä epäonnistutaan, ovat vaikutukset suomalaiselle elinkeinoelämälle hyvin vahingolliset. Yli puolelle Suomen suurimpien pörssiyhtiöiden tuotteista kohdistuu säädöksen myötä uusia teknisiä vaatimuksia.

______________________________________________________________________________

______________________________________________________________________________

Perusoikeuksien on toteuduttava myös verkossa

Hallitusohjelmaan sisältyy useita kirjauksia turvallisuusviranomaisten toimintavaltuuksien tarkistamisesta digitaalisessa ympäristössä. Hallitus laatii kyberpuolustusdoktriinin ja tarkastelee puolustusvoimien roolia kyberpuolustuksessa, päivittää tiedustelu- ja valmiuslakeja, sekä arvioi ja parantaa edellytyksiä biometriikan käyttöön lainvalvonta- ja rikoksentorjuntatarkoituksissa. Hallitusohjelmaan kirjatut lakiuudistukset on valmisteltava tiiviissä yhteistyössä elinkeinoelämän ja kansalaisyhteiskunnan toimijoiden kanssa ja muutoksista, jotka heikentävät digitaalista luottamusta, yksityishenkilöiden ja yritysten yksityisyyttä ja kansalaisvapauksista on ehdottomasti pidättäydyttävä. Hallitus on sitoutunut rakentamaan toimivaa, turvallista ja oikeudenmukaista yhteiskuntaa, jossa kansalaisten mahdollisuudet menestykseen ja hyvinvointiin turvataan ylisukupolvisesti. Valvontayhteiskunta ei tätä tavoitetta kykene lunastamaan.  

Kyberala korostaa, että valtiosäännössä ja kansainvälisissä sopimuksissa määriteltyjen perusoikeuksien tulee toteutua yhtäläisesti verkossa kuten muuallakin. Tähän on Suomi yhdessä koko EU:n kanssa sitoutunut. Tämän vuoksi poliisin, puolustusvoimien ja muiden turvallisuusviranomaisten toimivaltuuksien on oltava tarkkarajaiset eikä sellaisia toimivaltuuksia tule lisätä, jotka heikentävät yksityistä omistajuutta, liiketoimintaa ja investointihalukuutta. Hallitusohjelman oikeudenhoidon toimintakykyä vahvistavia toimia on priorisoitava yritysten ja rikosten uhrien oikeushyvien suojelemiseksi.

______________________________________________________________________________

______________________________________________________________________________ 

Vahvistetaan digiministeriryhmän roolia kyberturvallisuuden ohjauksessa

Hallitus sitoutuu valtionhallinnon digijohtamiseen vahvistamiseen korostamalla digiministerityöryhmän ja digitoimiston roolia tieto- ja teknologiapolitiikan koordinoinnin johtamista pitkäjänteisesti sekä seuraamaan ja jatkamaan digikompassin tavoitteiden edistymistä. Samalla eri hallinnonalojen digihankkeiden nykyinen rahoitus kootaan poikkihallinnollisen koordinaation alaiseksi yhteiskehitysbudjettiin, joka suunnataan hallitusohjelmassa asetettujen prioriteettien ja rahoituskriteerien mukaisesti. Kyberala kannattaa mallia ja muistuttaa, että kyberturvallisuus on digikehityksen ominaisuus ja siten sen on oltava osa samaa poikkihallinnollista kokonaisuutta. Julkisen hallinnon normiohjauksen avulla tulee jatkaa ns. ”oikeushyväjännitteiden” poistamista, eli virkavastuuriskiä ja epävarmuutta pienentävää lopputulosohjautuvaa tietosuojan sekä -turvan yhdistävää normikehikkoa, ottaen huomioon ns. nollaluottamusperustaisen suojausmallin.

Hallitus uudistaa kyberturvallisuuden johtamisrakenteen tulevan hallituskauden aikana ja kehittää puolustusvoimien roolia kyberpuolustuksessa. Kyberala korostaa, että vaihtoehtoisten toimien vaikutukset tulee selvittää kattavasti ja laaja-alaisesti. Yhteiskunnan kyberuhat ja -kohteet ovat samat riippumatta vahingollisen toiminnan mahdollisista poliittisista tai rikollisista tavoitteista. Tietoturvaloukkausten ja muiden vahingollisten toimien ennaltaehkäisy ja vaikutusten poistaminen on ensisijaisesti siviilitoimijoiden käsissä. Sotilaallinen maanpuolustus tarkoittaa aseellista puolustusta ja siten kyberpuolustus tuleekin rajata koskemaan vastaavaa toimintaa digitaalisessa toimintaympäristössä. Digitaalinen kokonaisturvallisuus on monitoimijuuden kautta syntyvää kehittymistä.

Kyberturvallisuuden johtamisen valtionhallinnossa tuleekin säilyä hallinnonaloille hajautettuna, mutta sen ohjausvastuu on annettava digiministerityöryhmälle ja digitoimistolle yhdenmukaisen digijohtamisen ja kehityksen varmistamiseksi. Koska digitalisaation ja valtion kyberturvallisuuden edistäminen ovat usein keskenään ristiriidassa, digiministerityöryhmällä ja digitoimistolla on oltava rooli kaikkien kyberturvallisuutta käsittelevien lakiesitysten ja politiikkatoimien valmistelussa. Turvallisuudesta huolehtivien ministeriöiden tuleekin osallistua digiministeriryhmän työhön. Eduskunnan tulisi vahvistaa koordinaatiota tieto- ja teknologiapolitiikkaa koskeviin lakiehdotusten käsittelyssä esimerkiksi Tulevaisuusvaliokunnan roolia kehittämällä.

Kyberala ei kannata erillisen valtioneuvoston kyberturvallisuusstrategian laatimista, vaan korostaa että strategia tulisi sisällyttää digikompassin yhteyteen kiinteänä osana valtionhallinnon digikehityksen johtamista. Tämä on perusteltua, koska digitalisaation, datatalouden ja julkisen hallinnon kehittämisen ministerityöryhmän (ns. digiministeriryhmä) ohjauksessa on jo laadittu yhteiseurooppalaisen mallin ja -arvojen mukainen Suomen digitaalinen kompassi Suomen digitalisaatiokehityksen suuntaamiseksi ja johtamiseksi. Digikompassin ohjaamana rakennetaan houkuttelevaa, kilpailukykyistä, kestävää ja hyvinvoivaa digitaalisesti kyvykästä Suomea uudistuvan yritystoiminnan, korkeatasoisen osaamisen ja laajan sivistyksen, ihmiskeskeisten julkisten palveluiden sekä turvallisen ja korkealaatuisen infrastruktuurin avulla. Kyberturvallisuus tuleekin yhteensovittaa tähän yhteiskunnallista menestystä tavoittelevaan kontekstiin eikä jäädä erilliseksi, ja pahimmillaan ristiriitaisia toimia tavoittelevaan kuvaukseen turvallisuusviranomaisten pyrkimyksistä.

______________________________________________________________________________

______________________________________________________________________________