Viestintäministeri Suvi Lindén Tietoturvapolitiikan tulevaisuus Euroopan Unionissa -seminaarissa 11.9.2009
11.09.2009
Tietoturvapolitiikan tulevaisuus Euroopan Unionissa -seminaari
Viestintäministeri Suvi Lindén
11.9.2009
Tilaisuuden avauspuheenvuoro
– EU:n tietoturvapolitiikan tulevaisuus
Arvoisat tietoturvan asiantuntijat
hyvät tietoturvaseminaarin osallistujat
our Distinguished Guest Mr Helmbrecht,
Tämä seminaari keskittyy Euroopan Unionin tietoturvapolitiikkaan ja siihen liittyviin haasteisiin. Kutsuimme teidät tietoturvan asiantuntijat ja tietoturvasta kiinnostuneet keskustelemaan erityisesti Euroopan verkko- ja tietoturvaviraston (ENISA) roolista nyt ja tulevaisuudessa. Saamme myös kuulla mitä uutta ENISA:ssa tapahtuu ja komission ajankohtaisia tietoturvaan liittyviä kuulumisia. ENISA:n uusi tuleva pääjohtaja kertonee näkemyksiään tulevaisuuden painopisteiden osalta.
We are extremely pleased to see You Mr Helmbrecht here today. Congratulations on the election of you as the new Executive Director of ENISA. We hope to hear your view on the present and future information security policy in Europe and especially your view on the priorities concerning ENISA. We wish you all the best when you will start as the new Executive Director of ENISA in October this year. You are most welcome to our seminar!
Meillä on huippuasiantuntijoita puhumassa tämän päivän tilaisuudessa. Kuten sanottu, seminaarin tarkoituksena on käynnistää kansalliset keskustelut EU:n tietoturvapolitiikan tulevaisuudesta. Pöydällämme on lukuisia avoimia kysymyksiä. Miltä tietoturvapolitiikan tulevaisuus Euroopan Unionissa näyttää? Mikä tulisi Euroopan verkko- ja tietoturvaviraston (ENISA) rooli tulisi olla tulevaisuudessa? Mitä mahdollisuuksia EU:n tietoturvapolitiikka tarjoaa Suomelle ja miten meidän tulisi siihen vaikuttaa?
Aloitetaan kysymyksellä siitä, että mikä ENISA on ja mitä se tekee. Euroopan verkko- ja tietoturvavirasto perustettiin jo vuonna 2004 viiden vuoden määräaikaisella asetuksella. Viraston keskeiseksi tehtäväksi tuli ”parantaa yhteisön, jäsenvaltioiden ja yritysmaailman valmiuksia ehkäistä, käsitellä ja ratkaista verkko- ja tietoturvaongelmia”. Virasto perustettiin, jotta Euroopassa voitaisiin varmistaa korkeatasoinen ja toimiva verkko- ja tietoturva. Sillä on myös rooli erityisen verkko- ja tietoturvakulttuurin luomisessa, josta kaikki tietoyhteiskunnan toimijat voivat hyötyä. Yksi tärkeä lähtökohta viraston perustamiselle oli, että sillä edistettäisiin sisämarkkinoiden moitteetonta toimintaa.
Virastolla on lukuisia yksityiskohtaisempia tehtäviä. Virasto mm. neuvoo EU-instituutioita sekä kansallisia elimiä. Se tehostaa verkko- ja tietoturva-alan eri toimijoiden välistä yhteistyötä sekä myötävaikuttaa tietoisuuden lisäämiseen verkko- ja tietoturvakysymyksistä. Virasto seuraa verkko- ja tietoturvaa koskevien tuotteiden ja palvelujen standardien kehitystä sekä ilmaisee riippumattomasti omat päätelmänsä ja linjauksensa.
Virastolla on paljon tehtäviä ja suhteellisen vähän resursseja. Kreikan Heraklionissa työskentelee noin 50 henkilöä. Kuten kaikilla virastoilla, myös ENISA:lla on ollut alkutaipaleella käynnistysongelmia ja virastosta on vuosien mittaan suoritettu useita arviointeja.
ENISA:a ohjaa komission ja jäsenvaltioiden edustajista koostuva johtokunta. Suomi on vahvasti vaikuttanut ENISA:an, mm. apulaisosastopäällikkö Kristiina Pietikäinen oli viraston johtokunnan ensimmäinen puheenjohtaja. Suomalaiset yksityisen sektorin edustajat ovat olleet aktiivisia ENISA:n pysyvässä sidosryhmässä (Permanent Stakeholders Group, PSG). Ensimmäisellä kaudella Suomesta oli kolme jäsentä ryhmässä mukana; Risto Siilasmaa, F-securesta, Petri Lillberg, SSH Communicationista sekä Urho Ilmonen Nokiasta. Urho Ilmonen kertonee oman näkemyksensä miten hän on vaikuttanut eurooppalaiseen tietoturvapolitiikkaan PSG-ryhmän kautta. Muistuttaisin kaikkia siitä, että PSG-ryhmään haetaan nyt sekä uusia että vanhoja vaikuttajia uudelle PSG-kaudelle. Odotan, että suomalaiset yksityisen sektorin ja akateemisen maailman ihmiset hakeutuvat tähän työhön mukaan. Tässä teillä on vaikuttamisen paikka!
Olin itse televiestintäneuvostossa kesällä 2008 hyväksymässä ENISA:n jatkomandaatin, jolloin tietoturvaviraston kautta jatkettiin kolmella vuodella. Maaliskuussa 2012 ENISA:n nykyinen määräaikainen mandaatti loppuu. Tulevaisuus on auki ja sen takia on aloitettu keskustelut tietoturvapolitiikan tulevaisuudesta EU:ssa ja vuoden 2012 jälkeisestä ajasta. Komission aloitteesta käytiin julkinen lausuntopyyntökierros nyt tammikuussa 2009. Komission esitys ENISA:n jatkosta saadaan keväällä 2010. Ehkä apulaisosastopäällikkö Antti Peltomäki voi valottaa komission salaisia suunnitelmia omassa puheenvuorossaan myöhemmin tänään. Keskeinen kysymys on, että jatkaako ENISA työtään vuoden 2012 jälkeen nykyisillä resursseilla ja tehtävillä tai muutetaanko tehtävänkuvaa. Tietysti sellainenkin vaihtoehto on olemassa, että emme jatka ENISA:n määräaikaista mandaattia, jolloin viraston toiminta loppuu.
Pöydällämme on lukuisia avoimia kysymyksiä. Miksi jäsenvaltioiden pitäisi tehdä yhteistyötä ja vaikuttaa ENISA:an tai ylipäänsä EU:hun? Mm. tästä kuulemme Arto Karilan näkemyksiä seminaarissa myöhemmin. Tarjoaako EU:n tietoturvapolitiikka Suomelle jotain ja miten meidän tulisi siihen vaikuttaa? Mitä hyötyjä tästä meille on kun olemme hoitaneet oman tonttimme kuntoon. Kansainvälisesti verrattuna näyttää siltä, että Suomessa on siisteimmät verkot. Osittain toimijoiden ja suomalaisen lainsäädännön erinomaisuuden vuoksi. Haittaohjelmahavaintojen (eli virukset, madot ja muut haittaohjelmat) määrä suomalaisissa verkoissa näyttäisi jopa pienentyvän vaikka laajakaistaliittymien määrä jatkaa kasvuaan. Tämähän tarkoittaa sitä, että Suomesta ei näyttäisi olevan haittaa ulospäin samalla kuin me olemme haavoittuvaisia ulkoapäin tulevia uhkia kohtaan.
Kansainvälinen yhteistyö on tärkeää ja siihen pitäisi edelleen panostaa. Näin myös uudessa valtioneuvoston periaatepäätöksessä kansallisesta tietoturva-strategiasta mainitaan. Kolmesta pääpainopisteestä yksi on kilpailukyky ja kansainvälinen verkostoyhteistyö. Suomi elää kansainvälisessä tietoverkkotaloudessa. Tämä tarkoittaa myös, että osa tietoturvauhista tulee maamme rajojen ulkopuolelta. Meidän tulisi panostaa ennakoivaan ja vaikuttavaan kansainväliseen yhteistyöhön. Sitä kautta voimme omalta osaltamme ehkäistä esimerkiksi verkkorikollisuutta. Suomalaisen sääntely-ympäristön edistyksellisyyttä ja hyviä käytäntöjä, voisimme markkinoida ulkomailla. Maamme houkuttelevuutta ja kilpailukyvyn vahvistamista tulisi edistää. Yksi keino tähän on vihdoinkin saada virallinen tietoliikenneturvallisuusviranomainen, niin sanottu NCSA, Viestintävirastoon. Kansallisen tietoturvallisuusviranomaisen toiminta edistää Suomen osallistumista kansainväliseen yhteistyöhön. Tämän lisäksi se edistäisi suomalaisten tietotekniikka-alueen toimijoiden osallistumista kansainvälisiin tarjouskilpailuihin.
Tietoturvastrategian kaksi muuta strategista tavoitetta tai pääpainopistettä ovat; perustaidot arjen tietoyhteiskunnassa, ja tietoihin liittyvien riskien hallintaa ja toimintavarmuutta. Periaatepäätös hyväksyttiin viime vuoden joulukuussa ja sen strategian motto on ”Turvallinen arki tietoyhteiskunnassa – Ei tuurilla vaan taidolla”. Tämä on meidän kaikkien vastuulla ja siksi tietoturvaosaaminen ja -tiedostaminen ovat oleellisen tärkeitä asioita. Kansallisen tietoturvastrategian avulla luodaan meille suomalaisille turvallinen arki tietoyhteiskunnassa. Kansalaisten ja yritysten tulee voida luottaa tietojensa turvallisuuteen sekä tieto- ja viestintäverkoissa että niihin liittyvissä palveluissa. Tämä edellyttää kahta asiaa. Ensin, että yleisen tietoturvaosaamisen pitää olla korkealla tasolla. Toiseksi se edellyttää, että yhteiskunnassa kaikki tahot toimivat saumattomassa yhteistyössä. Näiden tärkeiden tavoitteiden saavuttamiseksi olemme laatimassa toimenpide-ohjelmaa, jonka toteutus alkaa nyt syksyllä.
Suomi on edelläkävijä tietoturvaan liittyvissä asioissa. Ensimmäinen kansallinen tietoturvallisuusstrategia hyväksyttiin vuonna 2003, joka ehkä oli ensimmäinen Euroopassa ja mahdollisesti ensimmäinen maailmassa. Tietoturvallisuusstrategialla saatiin paljon aikaiseksi. Sitkeällä työllä ja julkisen ja yksityisen sektorin toimijoiden tiiviillä yhteistyöllä olemme saaneet nämä toteutettua. Tietoturva-asiat, jos mitkään, ovat hyvin kansainvälisiä. Yksi on kuitenkin varma asia. Emme voi jättäytyä passiiviseksi ja seurata sivusta mitä EU:ssa tapahtuu. Tärkeää on olla pro-aktiivisia ja ennakoivia. Meidän tulisi vahvasti vaikuttaa muiden maiden lainsäädäntöön sekä EU:n direktiivien valmisteluun. Euroopan asia on myös meidän asiamme koska rajat voivat olla näkymättömät ja vaikutukset voivat ulottua kauas. Kansainvälinen yhteistyö on yhä tärkeämpää. Emme voi ummistaa silmiämme muun maailman menosta. Suomi on ja tulee olemaan aktiivinen EU-politiikassa ja haluamme jatkossakin olla aktiivisia ja rohkeita edelläkävijöitä. Tämä on haaste meille kaikille, sekä julkisen että yksityisen sektorin edustajille.
Haluamme korostaa seuraavia asioita EU-tason keskusteluissa. Suomi pitää tietoturvavirastoa osana tietoyhteiskunnan infrastruktuuria, joten viraston toiminnassa pitää näkyä yleinen tietoyhteiskuntakehitys ja EU:n kansalaisten asema tietoyhteiskunnassa. Tietoturvasta pitää voida puhua avoimesti kansalaisten ja yritysten näkökulmasta. Suomi on käytännössä onnistunut tuomaan tietoturvallisuuden arjen tasolle ja kääntämään insinöörien kovin teknisen kielen politiikkojen ja kansalaisten ymmärtämään muotoon. Pohjoisten EU-maiden painoarvoa EU:n tietoturvapolitiikassa tulee lisätä ja virastosta pitäisi saada houkuttava työpaikka myös pohjoismaisille osaajille.
ENISA voi lisätä kansalaisten luottamusta verkko- ja viestintäpalveluita kohtaan toimimalla jäsenmaiden välisen, EU:n ja muiden toimijoiden yhteistyön fasilitaattorina. Tulisi saada enemmän näkyvyyttä, uskottavuutta ja jatkuvuutta, jotta se pystyy viemään tietoturva-agendaa eteenpäin Euroopassa ja saamaan jäsenmaiden ja muiden tietoturvatoimijoiden hyväksynnän ja verkottumaan muiden tietoturvatoimijoiden kanssa. Odotamme ENISA:lta paljon. Virasto on nyt päässyt aikuiseen ikään ja konkreettisia tuloksia tulisi kohta näkyä.
The Agency and the NIS policy of the EU are on a crossroads. What way will we take? We expect a lot of results and especially concrete results out of the work done at the Agency in the following two years. This is both an opportunity and a challenge for you Mr Helmbrecht and the staff of the Agency. We will support the work you are doing at the same time as we expect results.
Hyvät seminaarin osallistujat,
Toivon, että paneelissa tuotte esille kaikki EU:n tietoturvavirastoon liittyvät toiveenne ja ajatuksenne. Toivotan teille antoisaa ja vilkasta keskustelua! Nyt on mahdollisuus vaikuttaa ja antaa panoksensa EU:n tietoturvaan.
Toivotan antoisaa tietoturvaseminaaria sekä oikein idearikasta paneelikeskustelua.