Viestintäministeri Lindén Tietoturvatapahtumassa 2008

Viestintäministeri Suvi LindénTietoturvatapahtuma 20087.2.2007

Tietoturvan merkitys arjen tietoyhteiskunnassa

Kiitän kutsusta tulla puhumaan tietoturvan merkityksestä arjen tietoyhteiskunnassa. Aion puhua tänään niistä uusista toimista, joihin olemme ryhtyneet luottamuksen lisäämiseksi tietoyhteiskunnassa. Kerron myös arjen tietoyhteiskunnan neuvottelukunnan ja uuden tietoturvallisuus -ryhmän aloittamasta työstä.

Arjen tietoyhteiskunnan neuvottelukunta

Tieto- ja viestintäala on edelleen yksi voimakkaimmin kehittyvistä ja tulevaisuutta muokkaavista toimialoista. Tieto- ja viestintäteknologian kehityksen vauhti on erittäin nopeaa, eikä sen pysähtymiselle näy merkkejä. Suomi on kulkemassa kohti tietoyhteiskunnan seuraavaa kehitysasetta niin kutsuttua ubiikkiaikaa eli arjen tietoyhteiskuntaa, jossa tieto- ja viestintäteknologialla on yhä suurempi merkitys ihmisten ja yritysten arkipäivässä.

Ubiikkiyhteiskunta on uusi arjen tietoyhteiskunta, jossa toimintatavat perustuvat aina ja kaikkialla käytettävissä oleviin tieto- ja viestintäpalveluihin. Tekniikka kehittyy siten, että siitä tulee yhä monipuolisempaa, edullisempaa ja toivottavasti myös helppokäyttöisempää ja turvallisempaa. Arjen tietoyhteiskunnassa tieto- ja viestintätekniikkaa ja älykkyyttä on kaikkialla. Tietoyhteiskunnassa huomion on myös yhä enemmän kiinnityttävä tietoyhteiskunnan palveluiden loppukäyttäjiin, olivatpa ne yksityisiä kansalaisia, yrityksiä, yhteisöjä tai julkishallintoa. Kansalaisen ja kuluttajan tulisi voida luottaa tietoyhteiskunnan palveluihin ja voida turvallisesti luottaa sähköiseen asiointiin verkossa.

Viime hallituskaudella tietoyhteiskuntapolitiikkaa edistettiin pääministerin johdolla erillisellä politiikkaohjelmalla. Ohjelman loppupuolella laadittiin uusi kansallinen tietoyhteiskuntastrategia, jolla Suomesta halutaan luoda "Uudistuva, ihmisläheinen ja kilpailukykyinen osaamis- ja palveluyhteiskunta".

Ohjelman ansiosta meille muodostui hyvä kansallinen kokonaiskuva tietoyhteiskunnan kipupisteistä ja kehitysnäkymistä. Tietoyhteiskuntakeskustelu saavutti sellaisen pisteen, jossa voitiin todeta että pelkkä keskustelu ei vie meitä enää eteenpäin. Tällä hallituskaudella keskitytään käytännön työhön, tavoitteiden toimeenpanoon ja vaikuttavuuden aikaansaamiseen.

Valtioneuvosto teki viime vuoden kesäkuussa keskeisten ministeriöiden kanssa yhteistyönä valmistellun periaatepäätöksen tietoyhteiskunnan tavoitteista tuleville vuosille (2007-2011). Samassa yhteydessä valtioneuvosto asetti ns. arjen tietoyhteiskunnan neuvottelukunnan, jonka puheenjohtajan toimin.

Neuvottelukunnan ensimmäisenä tehtävänä on ollut laatia tietoyhteiskuntapolitiikan toimintaohjelma. Tuore toimintaohjelma hyväksyttiin tammikuussa pidetyssä neuvottelukunnan kokouksessa ja se pitää sisällään kaikki keskeisimmät tietoyhteiskuntakehitystä edistävät julkishallinnon toimenpiteet ja hankkeet. Neuvottelukunta tulee seuraamaan tarkasti toimintaohjelman hankkeiden etenemistä ja niistä saatavia tuloksia. Lisäksi tulemme luomaan uusia aloitteita tietoyhteiskunnan kehittämiseksi.

Tietoturvaongelmia

Meillä on hyviä uutisia. Laajakaistaliittymien määrä jatkaa Suomessa kasvuaan. Kuitenkin haittaohjelmahavaintojen (eli virukset, madot ja muut haittaohjelmat) määrä suomalaisissa verkoissa näyttäisi jopa pienentyvän. Tämä trendi on myös kansainvälisesti poikkeuksellinen. Toivottavasti luvut pitävät paikkansa ja näyttävät tämän suuntaisilta myös jatkossa.

Haasteita tietoturvan suhteen kuitenkin riittää myös jatkossa. Viestintäviraston CERT-FI:n viime vuoden lopun tietoturvakatsauksesta käy ilmi, että identiteettivarkaat ovat kiinnostuneita sähköisten asiointipalvelujen käyttäjien tiedoista. Haittaohjelmia ja väärinkäytöksiä tutkittaessa on löydetty varastoituna suuria määriä käyttäjätietoja. Lokakuussa www-sivustoilla ja vertaisverkkopalveluissa levitettiin tiedostoa, jonka sisältönä oli noin 80.000 suomalaisen internet-verkkopalvelun käyttäjän käyttäjätunnusta ja salasanaa tai salasanatiivistelmää.

Internetin juurinimipalvelimia vastaan kohdistettiin useita merkittäviä palvelunestohyökkäyksiä keväällä 2007. Viron valtionhallinnon verkkopalvelut lamautettiin palvelunestohyökkäyksillä ja maksunvälitysjärjestelmiä ja uutispalveluita vastaan hyökättiin. Keväällä 2007 myös suomalaisiin palveluihin kohdistettiin hyökkäyksiä, mm. Yleisradioon ja Viestintävirastoon.

Vaikuttaa siltä, että verkkojen haittakäyttö saa yhä taidokkaampia muotoja. Hyökkäyksillä ja käyttäjien tietojen urkinnalla pyritään saavuttamaan entistä systemaattisemmin taloudellista hyötyä ja aiheuttamaan selkeästi kohdennettuja haittoja.

ICT:n merkitys yhteiskunnassa on kasvanut. ICT on yhä tärkeämpi kansalaisten ja yritysten osalta kun sähköinen asiointi ja vuorovaikutus siirtävät kansalaiset ja yritykset lisääntyvässä määrin verkkoon. Tietoturvan ja luottamuksen merkitys tietoyhteiskunnassa korostuu sen takia entistä enemmän. Mutta mitä teemme kun tietoturvauhat ja tietoverkkorikollisuus uhkaa arjen tietoyhteiskunnan toimivuutta? Cyber-rikollisuus järjestäytyy ja muuttuu yhä monimuotoisemmaksi sekä kohdistuu myös kriittisiin infrastruktuureihin ja uhkaa vaarantaa kansallisen turvallisuuden. Miten tulisi toimia, jotta jatkossakin voidaan lisätä luottamusta tietoyhteiskuntaan, sekä kansalaisten että yritysten osalta. Keskeisintä tässä työssä on mielestäni yhteistyö. Yhteistyö kaikkien tahojen kanssa, yli sektorirajojen, yli ministeriörajojen, jne. Meidän tulisi koota voimamme suureen kansalliseen ponnistukseen ja yhdessä miettiä mitä voisimme tehdä tietoturvan hyväksi.

Arjen tietoyhteiskunnan tietoturvallisuus -ryhmä

Kasvava riippuvuus sähköisen viestinnän palveluista lisää mahdollisuuksien ohella myös uhkien kirjoa. Jos tietoturvan taso ei ole riittävä, arjen tietoyhteiskunnan kehitys voi hidastua. Pahimmillaan tietoturvauhat voivat uhata koko yhteiskunnan turvallisuutta, sillä suurin osa yhteiskunnan elintärkeistä toiminnoista on riippuvainen sähköisen viestinnän infrastruktuurista ja palveluista. Tämä kehitys koskettaa kaikkia yhteiskunnan eri osia ja melkein jokaista yhteiskunnan eri sektoria.

Miten me sitten aiomme luoda luottamusta arjen tietoyhteiskuntaan? Mitä olemme jo tehneet ja mitä aiomme tehdä? Tietoturvan merkitys tässä meidän tietoyhteiskunnassa on tärkeä ja se korostuu jatkossa entistä enemmän.

Paljon on jo tehty. Valtioneuvoston periaatepäätös kansalliseksi tietoturvastrategiaksi hyväksyttiin vuonna 2003 ja se kokosi lähes ainutlaatuisella tavalla sekä yksityisen että julkisen sektorin toimijat saman pöydän ääreen. Ennen kaikkea strategia nosti tietoturvan merkittäväksi toimijaksi yhteiskunnalliseen keskusteluun. Tietoturvatietämyksemme ja ymmärryksemme on kasvanut ja Suomi on voinut edustaa eturivin maita tietoturva-asioissa sekä EU:ssa että kansainvälisillä foorumeilla.

Tietoturvastrategian ja sen toteutusta koordinoivan kansallisen tietoturvallisuusasioiden neuvottelukunnan toimikausi loppui keväällä 2007. Tätä työtä tehtiin hyvin vahvasti julkisen ja yksityisen sektorin välisenä yhteistyönä. Työssä oli mukana noin 200 huippuasiantuntijaa ja noin 20 työryhmää työsti tietoturvaan liittyviä erityiskysymyksiä. Tietoturvastrategian suurimmat tulokset olivat tietoturvatietoisuuden lisääminen, mm. kansallisen tietoturvapäivän luomisella, kansallisen tietoturvatilannekuvan muodostaminen sekä luottamus ja tietoturva sähköisissä palveluissa -kehittämisohjelman puitteissa saavutetut tulokset.

Erityisen suuri merkitys näistä hankkeista on ollut ensinnäkin kansallisella tietoturvapäivällä, jota vietettiin kuluvana vuonna neljättä kertaa. Tietoturvapäivästä on tullut kansallinen tietoturvainstituutio, joka Viestintäviraston vetovastuulla jatkuu itsenäisenä hankkeenaan yhdistäen myös omalta osaltaan sekä julkisen että yksityisen sektorin toimijat vuotuiseen yhteiseen ponnistukseen. Ensi viikolla vietetään tietoturvapäivää yhtä aikaa muiden Euroopan maiden kanssa. Kansallisesti tarkoituksena on kohdistaa erityishuomio myös tänä vuonna koululaisiin ja heidän vanhempiinsa ja opettajiinsa. Tämän lisäksi erityishuomion kohteena ovat kuluttajat. Tietoturvapäivän sanoma on se, miten kuluttajat voivat liikkua ja asioida turvallisesti internetissä ja muissa sähköisissä ympäristöissä.

Tietoturvapäivän lisäksi kansallinen tietoturvastrategia on nostanut Viestintäviraston CERT-FI -yksikön keskeiseksi kansalliseksi tietoturvatoimijaksi. Tämän vuoden alusta yksikön resursseja myös onnistuttiin kasvattamaan huomattavasti, kun Huoltovarmuuskeskus ryhtyi ostamaan CERT-FI -yksikön tietoturvapalveluita kansallisesti elintärkeiden toimijoiden käyttöön.

Neljäs tietoturvastrategian sateenvarjon alla syntynyt suuri ponnistus oli liikenne- ja viestintäministeriön vetämä Luottamus ja tietoturva sähköisissä palveluissa (LUOTI) -kehittämisohjelma. Ohjelma päättyi vuoden 2006 lopussa ja se saavutti tavoitteensa hyvin.

Uusi arjen tietoyhteiskunnan alainen tietoturvallisuusryhmä on jatkoa tälle työlle. Nyt tarvitaan uusi innostava ote asioihin, uusia ajatuksia ja uusia toiminta-tapoja. Meidän tulisi kerätä hyvät ajatukset yhteen ja luoda uusi ja tulevaisuuteen orientoituva strategia etenemisestämme. Mitkä ovat tietoturvahaasteet tänään ja huomenna? Miten niihin pitäisi vastata? Mitä me yhdessä voisimme tehdä?

Asetin tämän uuden arjen tietoyhteiskunnan neuvottelukunnan alaisen tietoturvallisuus -ryhmän, jotta tietoturva-asiat edelleenkin nostettaisiin korkealle tasolle yhteiskunnassa. Ryhmän tehtävänä on myös edistää tietoyhteiskunnan tietoturvallisuutta, seurata tietoturvallisuuden kehittymistä sekä tehdä aloitteita tietoturvallisuuden parantamiseksi. Uuden arjen tietoyhteiskunnan tietoturvallisuus -ryhmän keskeisin tavoite on lisätä kansalaisten ja yritysten luottamusta tietoyhteiskuntaa kohtaan.

Arjen tietoyhteiskunnan tietoturvallisuus -ryhmä toimii eräänlaisena kansallisena "think-tank":inä tietoturvakysymyksissä. Tarkoitus on rohkeasti nostaa esille myös kiistanalaisia tietoturvaan liittyviä kysymyksiä sekä toimia vahvasti keskustelevana foorumina. Tietoturvallisuus -ryhmään kuuluu noin 20 tietoturvan huippuosaajaa. Ryhmän jäsenet tulevat laajasti sekä julkisen että yksityisen sektorin parista. Jäsenistä yli puolet on yritysten edustajia.

Ryhmän tärkein tehtävä vuonna 2008 tulee olemaan uuden kansallisen tietoturvastrategian luominen sekä sen keskeisimmän toimeenpanon koordinoiminen. Uusi kansallinen strategia on tarpeen, koska nyt tarvitaan johdonmukainen strateginen lähestymistapa nykyisiin ja uusiin tietoturva-ongelmiin ja -haasteisiin.

Odotan paljon tietoturvallisuus -ryhmän työltä. Nyt kaivataan uusia tapoja nähdä tietoturvallisuus. Tämän päivän yhteiskunnassa kaikki muuttuu nopeasti, näin myös tietoturvaan liittyvät asiat. Uudet näkökulmat ja perspektiivit nähdä asiat eri tavalla ovat tarpeen. Tarvitaan herkkyyttä, jotta löydetään tietoturvaan liittyvät trendit ja ongelmat, ns. heikot signaalit. Tämä on elinehto sille, että voidaan tänään ja tulevaisuudessa ratkaista tietoturvaongelmat tässä nopeasti muuttuvassa maailmassa.

Odotan, että ryhmä saa uuden kansallisen tietoturvastrategian valmiiksi vuoden 2008 lopulla ja että strategian toteutus lähtisi sen jälkeen heti käyntiin. Nyt tarvitaan näkyviä ja todellisia tuloksia tietoturvan hyväksi.

EU-tason aloitteet

Tietoturva-asiat ja erityisesti verkkorikollisuus ovat luonteeltaan rajat ylittäviä. Kansainvälinen ja EU-yhteistyö on tärkeää. Globaalikeskustelu tietoturvaan liittyvistä kysymyksistä ja Internetin hallinto-kysymyksistä käydään mm. IGF-foorumissa (Internet Governance Forum). Euroopan komissiolta on viime aikoina tullut useita aloitteita.

Viime vuoden toukokuussa komissio antoi tiedonannon tietoverkkorikollisuudesta. Tiedonannon tavoitteena on luoda yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi. Tiedonannossaan komissio toteaa, että tulisi edistää ja parantaa koordinointia ja yhteistyötä, luoda EU:lle yhtenäiset poliittiset puitteet tietoverkkorikollisuuden torjunnalle sekä tiedottaa tietoverkkorikollisuuden aiheuttamista kustannuksista ja siihen liittyvistä vaaroista.

Viime syksynä tuli kauan odotettu komission ehdotus sähköisen viestinnän lainsäädäntöpaketiksi, jolla muutetaan sähköisen viestinnän direktiivejä EU:ssa. Komissio pyrkii ehdotuksellaan parantamaan viestintä- ja verkkopalveluiden turvallisuutta EU-alueella. Ehdotusten tavoitteena on lisätä yritysten ja yksityisten käyttäjien luottamusta sähköisen viestinnän tuotteita ja palveluita kohtaan. Direktiivissä olevat asiat on tietoturvaa koskevan sääntelyn osalta jo pääosin otettu huomioon Suomessa.

Komissio ehdottaa uuden EU-regulaattorin perustamista. Tässä Euroopan sähköisen viestinnän markkinaviranomaisessa (EECMA) olisi myös Verkkoturva-asiamies ja virasto hoitaisi myös verkko- ja tietoturvaan liittyvien tehtävien koordinointia. Tästä ehdotetusta EU-regulaattorista käydään varmaan vilkastakin keskustelua. Suomi vastustaa tällaisen Brysselin viestintäviraston perustamista, koska se näyttäisi tuottavan vain lisäbyrokratiaa, ei lisä-arvoa. Olemme onnistuneet saamaan monet muut jäsenmaat puolellemme. Direktiivien käsittely jatkuu neuvoston alaisessa tietoyhteiskuntatyöryhmässä.

ENISA

Vuoden 2007 lopulla saimme komission ehdotuksen EU:n verkko- ja tietoturvaviraston (Enisa) toimikauden jatkosta. Komissio ehdottaa kahden vuoden jatkoa EU:n verkko- ja tietoturvavirastolle maaliskuuhun 2011 asti. Komission ehdotuksessa viraston tehtävät pysyisivät samoina. Komission tavoitteena on sulauttaa Enisa EU:n viestintävirastoon, jos sellainen joskus perustetaan.

Enisa perustettiin vuonna 2004 viideksi vuodeksi parantamaan yhteisön, jäsenvaltioiden ja näin ollen myös yritysmaailman valmiuksia ehkäistä, käsitellä ja ratkaista verkko- ja tietoturvaongelmia. Enisalta odotetaan paljon, koska se on EU:n ainoa tietoyhteiskuntavirasto. Enisan tämän vuoden kunnianhimoinen työ-ohjelma on lähtenyt jo käyntiin.

Meillä on uusia haasteita edessä sekä kansainvälisellä että EU-tasolla. Kuten jo aikaisemmin sanoin sekä EU-tason että kansainvälinen yhteistyö tietoturva-asioissa on hyvin tärkeää. Suomella on paljon annettavaa eurooppalaiselle tietoturvapolitiikalle. Euroopan laajuinen tietoturvan korkean taso on myös meidän etumme. Suomihan oli ensimmäinen maa Euroopassa, joka laati kansallisen tietoturvastrategian ja Suomi vaikutti vahvasti siihen, että EU:ssa luotiin tietoturvastrategia.

Olen vakuuttunut, että tämä tapahtuma tarjoaa hyvät mahdollisuudet uutta avaavalle keskustelulle. Toivotan antoisaa tietoturvatapahtumaa tänään sekä hyvää ja turvallista tietoturvapäivää, jota vietämme ensi viikolla! Ja pyydän teitä rakentamaan kanssani luottamusta suomalaiseen tietoyhteiskuntaan!