Viestintäministeri Suvi Lindén tietoturvatapahtumassa

Arvoisat tietoturvan asiantuntijat, hyvät kuulijat,

Tietoturvan ja laajemminkin verkkoviestinnän ja sähköisen asioinnin turvallisuuden merkitys kasvaa jatkuvasti. Erilaisia sähköisiä palveluja kehitettäessä tulee aina muistaa huolehtia riittävästä tietoturvasta. Lisäksi tietoturvaa pitäisi kehittää asiakkaan näkökulmasta, kuten palvelujakin.

Turvallisuus on meidän kaikkien yhteinen asia, puhuttiinpa sitten turvallisuudesta fyysisen maailman turuilla tai sähköisen maailman toreilla. Internetin käyttö on arkipäiväistynyt, mutta edelleen netin pelisäännöt herättävät vahvoja tunteita – paljon vahvempia kuin keskustelu vanhan tutun fyysisen maailman kanssakäymisen pelisäännöistä. Viittaan tällä nyt niin sanotusta Lex Nokiasta nousseeseen keskusteluun, johon palaan hieman myöhemmin.

Valtioneuvoston periaatepäätös kansallisesta tietoturva-strategiasta hyväksyttiin joulukuussa 2008. Strategian mottona on ”Turvallinen arki tietoyhteiskunnassa – Ei tuurilla vaan taidolla”. Tietotekniset ratkaisut monipuolistuvat ja muuttuvat yhä kiinteämmäksi osaksi ihmisten ja yritysten jokapäiväistä toimintaa. Tämän takia on oleellista, että kansalaiset voivat käyttää palveluja vaivatta ja että sähköiset palvelut koetaan luotettaviksi. Kansallinen tietoturvastrategia on keskeinen osa hallituksen tietoyhteiskuntapolitiikkaa.

Edellisessä kuusi vuotta sitten laaditussa vastaavassa strategiassa korostettiin tietoturvaosaamista ja -tietoisuuden lisäämistä. Se oli ensimmäinen laatuaan Euroopassa ja mahdollisesti maailmassa. Suomi on siten voinut edustaa eturivin maita tietoturva-asioissa sekä EU:ssa että kansainvälisillä foorumeilla.

Strategian yksi suurimmista tuloksista oli kansallisen tietoturvapäivän luominen. Tänä vuonna päivää vietetään jo kuudetta kertaa ja siitä on tullut kansallinen instituutio. Viestintäviraston vetovastuulla hanke yhdistää sekä julkisen että yksityisen sektorin toimijat vuotuiseen yhteiseen ponnistukseen. Suuri kiitos teille kaikille, jotka olette vuosien mittaan kantaneet kortenne kekoon päivän onnistumiseksi!

Toimintaympäristö muuttuu hyvin nopeasti. Siksi myös yhteiskunnalliset strategiat tulee päivittää aika ajoin. Uuden tietoturvastrategian avulla pyritään luomaan meille suomalaisille turvallinen arki. Kansalaisten ja yritysten tulee voida luottaa tietojensa turvallisuuteen, niin tieto- ja viestintäverkoissa kuin niihin liittyvissä palveluissa. Tämä edellyttää korkeaa yleistä tietoturvaosaamista sekä yhteiskunnan eri toimijoiden saumatonta yhteistyötä. Suomen tulisi olla tietoturvan edelläkävijämaa maailmassa vuonna 2015. Kovalta kalskahtava tavoite, mutta siihen meidän tulee tosissamme pyrkiä!

Tarkoitus on edetä kolmessa painopistesuunnassa. Ensinnäkin arjen tietoyhteiskunnan perustaidot täytyy saada nousuun. Toiseksi meidän tulee edetä tietoihin liittyvien riskien hallinnassa ja toimintavarmuuden lisäämisessä. Kolmantena erityishuomiota tulee kiinnittää kilpailukykyyn ja kansainväliseen verkostoyhteistyöhön.

Jokainen toimija vaikuttaa teoillaan omaan ja muiden tietoturvallisuuteen. Siksi on tärkeää, että meillä kaikilla on riittävät perustiedot ja -taidot. Strategiassa lähdetään siitä, että luottamus tietoyhteiskuntaa kohtaan syntyy, kun sekä palvelujen käyttäjät että tuottajat ymmärtävät vastuunsa, oikeutensa ja velvollisuutensa.

Palvelujen käyttäjien tulee kyetä tunnistamaan ja tiedostamaan turvallisen sekä luotettavan palvelun lähtökohdat. Sähköisen asioinnin kansalaistaidot ja verkkolukutaito ovat edellytyksiä turvalliselle liikkumiselle verkossa. Palvelun tarjoajan tulee puolestaan erityisesti varmistaa palvelujen käytön turvallisuus. Avoin ja selkeä viestintä palvelujen turvallisuudesta ja mahdollisista riskeistä luo luottamusta.

Palveluja suunniteltaessa tulee verkon tietojen turvallisuus arvioida kokonaisvaltaisesti. Yritysten toiminnan jatkuvuus ja kansalaisten palvelujen saatavuus on varmistettava. Erityisen tärkeää on tietoturvanäkökohtien huomioon ottaminen järjestelmähankinnoissa ja sopimuksia laadittaessa.

Tietoturvapäivän lisäksi Viestintäviraston tietoturvanyrkki CERT-FI:stä on kasvanut varteenotettava toimija. Se tarjoaa asiantuntevan ja kohtuullisesti resursoidun kansallisen koordinointipisteen tietoturvaloukkausten käsittelemiseksi ja kansallisen tilannekuvan luomiseksi. Palveluja saavat teleyritykset, energiayhtiöt, pankit, kaupan keskusosuusliikkeet ja muut keskeiset toimijat elinkeinoelämässämme. Vain yksi puuttuu joukosta. Valtiohallinnolla ei nimittäin ole vielä kykyä vastaanottaa kansallisen tietoturvanyrkkimme palveluita. Johdollani on kuitenkin valmistauduttu siihen, että kun valtionhallinnon tietotekninen 24/7-valvomo aikanaan aloittaa, se saa heti käyttöönsä erinomaiset CERT-suoritteet. Toivon, että ajankohta on käsillä hyvin pian.

Suomen tulee toimia aktiivisesti kansainvälisessä viranomaisyhteistyössä tietoturvauhkien ennaltaehkäisemiseksi ja haittojen vähentämiseksi. Monet täälläkin olevat yritykset ovat lukuisia kertoja joutuneet törmäämään tilanteeseen, jossa kaupanteko on vaikeutunut, kun meiltä on puuttunut kansainvälisen tason vakioitu Kansallinen tietoturvallisuusviranomainen (NCSA, National Communications Security Authority). Koska Viestintävirasto jo tarjoaa kansainvälisesti tunnustetut operatiiviset suhteet, olisi luontevaa liittää kokonaisuuteen myös NCSA-toiminto. Suomen kansallisen tietoturvallisuusviranomaisen toiminta edistäisi Suomen osallistumista kansainväliseen tietoturvayhteistyöhön nykyistäkin syvemmin. Lisäksi se edistäisi suomalaisten alan yritysten kansainvälistä liiketoimintaa.

Seuraavaksi tarkemmin jo alussa mainitsemastani asiasta eli Lex Nokiasta. Pidän hämmästyttävänä lain vastustajien piiristä noussutta keskustelua, jota osin tietoisesti on ohjattu lain todellisen tarkoitusperän ulkopuolelle.

Kokonaisuutta tarkasteltaessa pitäisi tietysti puhua yrityssalaisuuden suojasta laajemminkin ja myös tietoturvan merkityksestä kansallisen kilpailukyvyn takaamisessa. En ole missään tapauksessa sananvapauden rajoittamisen kannalla. Mielestäni nyt ehdotettu ja harhaanjohtavastikin Lex Nokiaksi ristitty laki ei rajoita sananvapautta.

Sähköisen viestinnän globaalin luonteen vuoksi pitää muistaa, että toimintaa ei säädellä yhdessä maassa kansallisesti. En malta olla viittaamatta naapurimaamme Ruotsin viimeaikaiseen lainsäädännön kehitykseen. Ruotsissa uusi lainsäädäntö mahdollistaa puolustusvoimien signaalitiedustelun valtion rajat ylittävässä viestinnässä. Suomen ulkomaanyhteydet kulkevat varsin suuressa määrin Ruotsin kautta. Lain sallimat käytännön toimet kohdistuvat viestinnän sisältöihinkin syyskuun alusta lukien. Samalla pitää myös muistaa, että tiedustelutoiminta sähköisessä maailmassa on mahdollista, olipa sitä koskevaa lainsäädäntöä olemassa tai ei. Tämänkin vuoksi tietoturvasta huolehtiminen on ensiarvoisen tärkeää.

Lähden siitä, että suomalaisten suuryritysten täytyy kyetä salaamaan viestintänsä omin toimin viimeistään syksystä alkaen. Sen sijaan olen huolissani niiden kansalaisten ja pk-yritysten viestinnästä, jotka haluavat viestintänsä säilyvän luottamuksellisena. Määräsin elokuussa 2008 arjen tietoyhteiskunnan neuvottelukunnan tietoturvaryhmän arvioimaan tarvittavia lisätoimia suomalaisten luottamuksellisen viestinnän takaamiseksi. Salaamista koskeva tiedottamishanke on nyt valmistunut. Viestintävirasto on laatinut tiiviin tietopaketin kansalaisille ja pienyrityksille. Pakettia on tarkoitus jakaa muun muassa teleyritysten asiakastiedotuksen yhteydessä.

Sähköisen viestinnän tietosuojalaki tuli voimaan syyskuussa 2004. Sen taustalla oli EU-direktiivi ja sillä teleoperaattoreita koskeva sääntely ulotettiin koskemaan myös yrityksiä ja muita yhteisötilaajia. Muutos oli suuri eikä osaa sen seurauksista osattu ennakoida. Siksi asetettiin seurantaryhmä jo ennen lain voimaantuloa. Seurantaryhmässä olivat edustettuina keskeiset ministeriöt, tietosuojavaltuutettu, kuluttajavirasto, keskusrikospoliisi, työmarkkinakeskusjärjestöt sekä muita yksityisiä ja julkisia tahoja, joiden toimintaan laki vaikutti. Nokia ei ole ollut ryhmän jäsen.

Ryhmässä havaittiin ongelmalliseksi lain väärinkäytössäännöksen (13 §) käytännön soveltaminen. Yleisesti pidettiin vanhanaikaisena, että yrityksillä on laajat mahdollisuudet estää paperi- tai muussa fyysisessä muodossa oleviin aineistoihin kohdistuvat väärinkäytökset, muun muassa kulunvalvonnalla tai lukitsemalla tilojaan, mutta ei vastaavia oikeuksia samojen aineistojen osalta, jos ne olivat sähköisessä muodossa. Ongelmat myös rajoittuivat sähköiseen viestintään. Tietojenkäsittelyä yrityksissä ja sen hyvin intensiivistäkään valvontaa laki ei rajoita, ml. tiedosto- ja siirtolevytallenteiden (usb-muistit, cd-rom-levyt yms.) käytön seuraaminen tai estäminen.

Miksi asiasta on nyt sitten noussut tällainen kohu?

Mielestäni siksi, että tässä hankkeessa konkretisoituu se, mistä tietoyhteiskuntakehityksessä on kysymys. Kyse on perinteisesti erillisten teknisten, liiketoiminnallisten ja oikeudellisten vaatimusten samanaikaisesta yhteensovittamisesta. Jos hanketta arvioi vain yhden näkökulman kautta, kritiikin esittäminen on vaivatonta mutta vajavaista. Toisille kyse näyttää olevan villin ja vapaan internetin rasittamisesta pykälillä ja säätelyllä; tästä lähtökohdasta jokainen pykälä on väärä, olipa se millainen tahansa.

Lex Nokialla on tarkoitus luoda nykyisen tulkinnanvaraisen lainsäädännön tilalle avoimet, ennakoitavat ja todennettavat pelisäännöt viestinnän tunnistamistietojen käsittelylle yrityksissä ja muiden yhteisötilaajien piirissä. Tämä vahvistaa niin yritysten ja yhteisötilaajien puolesta tietoturvasta vastaavien henkilöiden, kuin myös palveluiden käyttäjien oikeusturvaa. Internetin kautta tapahtuvien toimintojen pelisäännöistä on pystyttävä sopimaan niin yhteiskunnan kuin kansalaistenkin näkökulmasta riittävällä tavalla – ja tämä tuntuu olevan uusi ajatus, ainakin tietyille tahoille.

Tietoturva-asiat ovat monesti luonteeltaan rajat ylittäviä. Viime vuonna EU:n televiestintäministerien kesken päätimme jatkaa Euroopan verkko- ja tietoturvaviraston (ENISA) toimikautta kolmella vuodella vuoteen 2012 asti. Meille on tärkeää, että ENISA ottaisi paikkansa Eurooppalaisen tietoturvayhteistyön rakentamisessa. Siksi olemme asettaneet Arjen tietoyhteiskunnan neuvottelukunnan pääsihteeri, apulaisosastopäällikkö Kristiina Pietikäisen Suomen ehdokkaaksi Enisan pääjohtajaksi. Toivotan hänelle menestystä!

Tämän tilaisuuden avaus on minulle erityisen mieluisaa. On upeaa nähdä samanaikaisesti paikalla suuri määrä alan ammattilaisista. Toivotan teille kaikille antoisaa päivää!