Kyberomavaraisuus ei ole naurun asia

Valtiovarainministeri Katri Kulmuni nosti tällä viikolla Eduskunnassa pitämässään puheessa esiin eurooppalaisen kyberomavaraisuuden tarpeen. Keskustelua herätti erityisesti lausahdus eurooppalaisen käyttöjärjestelmän ja selaimen kehittämisestä sekä varmenteiden myöntämisestä.

Monet nostivat ymmärrettävästi heti esiin sen että meillä on jo suomalaislähtöinen käyttöjärjestelmäperhe Linux ja norjalainen selain Vivaldi. Puhetta tuli heti myös keskusjohtoisen ohjelmistosuunnittelun ilmiselvistä ongelmista. Kyberomavaraisuus ei kuitenkaan ole alkujaan Kulmunin keksintöä vaikka monet kommentille nauroivatkin, ja tässä kirjoituksessa pureudutaan aiheeseen tarkemmin.

Kyberomavaraisuus nousi keskusteluun jo aiemmin

Lähtökohtaisesti kyberomavaraisuus tarkoittaa tietyntasoista kykyä tuottaa ja ylläpitää nykyaikaisessa tietoyhteiskunnassa tarvittavia ohjelmistoja, laitteita ja teknologioita itsenäisesti. Sillä pyritään vähentämään ulkovaltojen kybervaikutusmahdollisuuksia kansalliseen toimintaan erityisesti turvallisuuspoliittisista näkökulmista, mutta myös elinkeinopoliittiset näkökulmat nousevat usein esiin.

Valtioneuvoston kanslian vuonna 2017 julkaisema raportti määritteli suomalaisen kyberomavaraisuuden “kriittisten infrastruktuurien ylläpidon kannalta riittävän kansallisen omavaraisuuden asteen varmistamiseksi”. Tähän liitettiin yhtä lailla myös huomiot kansallisen osaamisen varmistamisesta ja yritysten omistussuhteista.

Suomalaisten tietoturvayritysten yhteenliittymä FISC määritti kyberomavaraisuuden ansiokkaasti tavoitteeksi jo 2015, ja Valtioneuvoston kanslian julkaisema raportti nosti aiheen vielä selkeämmin kansalliselle agendalle. Myös Aalto-yliopiston kyberturvallisuuden professori Jarno Limnéll on nostanut asian esille 2017 (hän osallistui myös Valtioneuvoston kanslian raporttiin). Kulmunin puhe voidaan siis nähdä osana pidempää jatkumoa, jossa aiheen merkitystä yhteiskunnalle on korostettu ja se on asetettu erityiseksi tavoitteeksi. Viime aikoina esimerkiksi salausalgoritmien omavaraisuus on noussut esiin kun kävi ilmi Yhdysvaltojen ja Länsi-Saksan tiedustelun kehittämä Crypto AG-operaatio.

Kyberomavaraisuus on siis jo pidemmän aikaa ollut strateginen tavoite. Suomi ei tietenkään toimi umpiossa, ja luonnollinen reitti lähteä kehittämään kyberomavaraisuutta on EU. Pienen maan muskelit riittävät vain tiettyyn rajaan asti. Tältä osin Kulmunin kommentissa ollut viittaus yhteiseurooppalaisiin järjestelmiin on aivan ymmärrettävä. Yhdysvallat, Kiina ja Venäjä ovat myös kaikki alkaneet korostaa kyberomavaraisuuden strategista merkitystä, joten olisi erikoista jos EU ei pohtisi samaa.

Ongelmia

Kulmunin kommentti nosti heti esiin kritiikkiä, johon myönnän itsekin syyllistyneeni. Käyttöjärjestelmien ja selaimien luominen alusta asti keskusjohtoisesti kuulostaa jo lähtökohtaisesti ongelmalliselta. Lisäksi pelkästään järjestelmän luominen ei riitä, vaan nykyaikana se tarvitsee myös toimivat palvelut ja sovellukset, tai muuten käyttäjät eivät koskaan ota sitä omakseen.

Nokian Lumia-puhelimet kaatuivat pitkälti siihen, että vaikka käyttöjärjestelmä ja teknologia olivat olemassa, puhelimille ei kehitetty riittävästi sovelluksia jonka seurauksena käyttäjät jättivät ne väliin. Ketään ei myöskään voi pakottaa kehittämään sovelluksia, vaan se vaatii kysyntää. Kyseessä on siis eräänlainen muna vai kana-ongelma. Tämä on täysin henkilökohtainen näkemykseni, mutta sanoisin että täysin alusta asti rakennettu uusi käyttöjärjestelmä riittävällä sovellusvalikoimalla ja laajalla käyttäjäkunnalla on mahdoton tehtävä. Paukkuja ei siis kannata suunnata siihen, ellei kaikkia aiota keskusjohtoisesti myös pakottaa käyttämään sitä.

Kyberomavaraisuudessa iso ongelma ovat Yhdysvaltain ja Kiinan korostunut vaikutusvalta. Käytännössä kaikki kaupalliset käyttöjärjestelmät tulevat Yhdysvalloista. Toisaalta yhä suurempi osa raudasta tulee Kiinasta. Molemmilla on intressi varmistaa tiedustelulleen paras mahdollinen toimintakyky, ja tämän voi saavuttaa esimerkiksi takaporttien mahdollistamalla vakoilulla, mutta myös suoralla kontrollilla laitteisiin, järjestelmiin ja ekosysteemeihin. Tiedustelu on luonnollisesti tuttu, ymmärrettävissä oleva uhkakuva, mutta myös elinkeinopoliittiset tavoitteet on otettava huomioon.

Entäpä jos Yhdysvallat vaatisi esimerkiksi kauppasodan yhteydessä Googlea, Applea ja Microsoftia kieltämään tietyt EU:ssa toimivien yritysten sovellukset sovelluskaupoistaan? Esimakua nähtiin Trumpin asettaessa Huawein tukalaan tilanteeseen kieltäessään Android-lisenssien myymisen Huaweille.

Kiinan uhka taas korostuu esimerkiksi Suomessa 5G-verkkojen yhteydessä. Operaattorit sekä ostavat verkkolaitteita Huaweilta että ulkoistavat myös verkkojen hallintaa Huaweille. Kuka tahansa joka tietää Kiinan taipumuksen kyberteitse tapahtuvaan teollisuusvakoiluun ymmärtää tämän riskit. Operaattorit sen sijaan ovat vähätelleet näitä riskejä. Asetelma ei ainakaan kuulosta varsin omavaraiselta.

Mahdollisia ratkaisuja

Olemme siis riippuvaisia Yhdysvalloista ja Kiinasta, ja omien ratkaisujen kehittämisessä on suuria haasteita. Mitä mahdollisuuksia meillä sitten on kyberomavaraisuuteen liittyen?

Kulmunikin korosti yritysten merkitystä. Kyberturvallisuus on siitä mielenkiintoinen ala, että sille on siirtynyt suuri paino turvallisuuspolitiikassa, mutta ala perustuu hyvin paljon yritysten ja julkisen sektorin yhteistyöhön. Teknologiat, laitteet ja ohjelmistot ovat pitkälti yksityisten yritysten kehittämiä, mutta riskit koskevat koko yhteiskuntaa. Aivan ensiksi kannattaisi siis ottaa mallia Yhdysvalloista. Siellä Piilaakso on esimerkki siitä, miten valtio voi tarjota teknologiayrityksille hedelmällisen toimintaympäristön ja mahdollisuuksia kasvuun. Kun luet tätä tekstiä, käytät tavalla tai toisella jotain Piilaakson kehittämää tuotetta tai ohjelmistoa.

Meillä Euroopassa on yhtä lailla osaavaa väkeä, mutta yritysten toimintaedellytyksiä tulee parantaa, ja miksei välillä vetää vähän myös kotiinpäin. Kiina ja Yhdysvallat tekevät niin joka tapauksessa. Samoin tekevät myös muut EU-jäsenet, joten Suomen pitää osata pitää pintansa myös EU:ssa. Esimerkiksi kansallisia hankintoja tehtäessä kansallisen turvallisuuden tekijät sallivat poikkeuksia EU-kilpailutuksissa, ja kyberomavaraisuus on ehdoton osa kansallista turvallisuutta. Yksi hyvä esimerkki pienen maan toiminnasta on Israel, jossa on väkilukuun verrattuna suhteettoman paljon kyberturva-alan yrityksiä ja kehitystoimintaa. Crypto AG myös osoitti, ettei muihin Euroopan maihinkaan voi kaikessa luottaa. Ruotsi ja Saksa tiesivät että Suomea vakoillaan.

Mitä järjestelmiin tulee, jos käyttöjärjestelmää ei tarvitse kehittää alusta asti, tarjoaa Linux hyvän pohjan eurooppalaiselle tietokoneen käyttöjärjestelmälle. Avoimeen lähdekoodiin perustuva pohja on auditoitavissa, ja erillisellä distrolla voidaan pitää järjestelmän hallinta ja kehitys riittävän omavaraisena. Linuxille löytyy myös avoimen lähdekoodin selainratkaisuja ja muita sovelluksia, sekä se on jo valmiiksi yhteensopiva erittäin monen teknologian kanssa. Puhelinpuolella ongelma on kinkkisempi, vaikka sinänsä Androidkin on Linuxiin pohjautuva avoimen lähdekoodin ratkaisu.

Yhteenveto

Vaikka Kulmunin kommentti nostatti kulmakarvoja, on sen takana tärkeä ajatus kyberomavaraisuuden roolista Suomen ja EU:n tulevaisuudessa. Tämän ovat tunnistaneet jo muutkin valtiot, joten meidänkin on aika herätä. Riskit ovat tiedossa, mutta osa esitetyistä ratkaisuista ei ole kovin realistisia. Suomesta ja EU:sta löytyy kuitenkin osaamista, ja kysymys on vain että miten haluamme sen valjastaa. Keskusjohtoisuus ei ole ratkaisu kaikkeen. Kenties tärkein tapa on antaa omille osaajillemme hyvät toimintaedellytykset, ja tarvittaessa vetää myös kotiinpäin.

Erityiskiitos Catharina Candolinille hyvistä huomioista kyberomavaraisuuteen liittyen.


Kategoria Ajankohtaista, Blogi