Tietoturvaseteli

Pitkään valmistelussa ollut tietoturvaseteli on edennyt valtioneuvoston asetukseksi. Hankkeen juuret ovat käsittääkseni FISC:n entisen toiminnanjohtajan Mika Suden muutaman vuoden takaisessa ehdotuksessa joka on nyt poikinut hedelmää. Käsitellään tässä kirjoituksessa sitä, mikä tietoturvaseteli on, mille organisaatioille se on luotu ja miksi, miten sitä haetaan, ja hiukan kritiikkiäkin.

Kenelle tietoturvaseteli on tarkoitettu?

Valtioneuvosto kuvaa tiedotteessaan seteliä varsin hyvin:

“Uudella määräaikaisella tuella yritykset voivat konkreettisesti parantaa järjestelmiensä tietoturvaa sekä kehittää omaa tietoturvaosaamistaan. Yleisen kybervarautumistason nostaminen yhteiskunnan kriittisillä sektoreilla parantaa yhteiskunnan kykyä suojautua muun muassa hybridiuhkilta”

Valtioneuvosto

Tuki on siis kohdistettu nimenomaan yhteiskunnan kriittisten alojen yrityksiä kohtaan. Näillä tarkoitetaan (ainakin tässä yhteydessä) valtioneuvoston asetuksen mukaisia kriittisiä toimialoja. Listaus asetuksesta lainattuna:

“Kriittisellä infrastruktuurilla tarkoitetaan niitä perusrakenteita, palveluja ja niihin liittyviä toimintoja, jotka ovat välttämättömiä yhteiskunnan elintärkeiden toimintojen ylläpitämiseksi. Kriittiseen infrastruktuuriin kuuluu sekä fyysisiä laitoksia ja rakenteita että sähköisiä toimintoja ja palveluja. Muun muassa energian tuotanto-, siirto- ja jakelujärjestelmät, liikenne- ja logistiset palvelut ja liikenneverkot, digitaalisen yhteiskunnan tietojärjestelmät sekä viestintäverkot ja -palvelut, maksu- ja arvopaperiliikennejärjestelmät, turvatut paikannus- ja aikatietojärjestelmät sekä vesi- ja jätehuolto ovat osa kriittistä infrastruktuuria”

Valtioneuvosto 1048/2018

Tukea voivat siis saada näillä aloilla toimivat, Suomeen rekisteröidyt yritykset. Tarkoituksena on käytännössä lisätä kriittisen infrastruktuurin turvallisuutta ja toimintavarmuutta. Etenkään pienemmillä kriittisen infrastruktuurin toimijoilla ei välttämättä ole erityisen suuria resursseja tietoturvan kehittämiseen. Tietoturvaseteli pyrkii luomaan positiivisen kannustimen turvallisuuden kehittämiselle ja lieventämään edellämainittuja resursointiongelmia.

Mitä tietoturvaseteli sisältää?

Seteleitä on kahdenlaisia: 

  1. Maksimissaan 15 000 euron seteli (kattaen 100 % kokonaiskustannuksista) PK-yrityksille jota voi käyttää tietoturva-arviointeihin (sekä teknisiin että hallinnollisiin), koulutuksiin, hankintoihin jne.
  2. Maksimissaan 100 000 euron seteli (kattaen maksimissaan 70 % kokonaiskustannuksista) jonka voi kohdistaa uhkamallinnuksiin, “hyökkäyksenestotestauksiin” (oletan että tarkoittaa penetraatiotestausta), tärkeimpien sähköisten palveluiden varautumisen testaamiseen jne. Kriteerinä on että toimet ovat “välittömästi tietoturvallisuutta parantavia”.

Molemmissa seteleissä kriteerinä on, että hankinnat ovat 100 % tietoturvan kehittämiseen liittyviä. Määritelmät ovat mielestäni hyvät, ja etenkin 15 000 euron seteli on rajattu riittävän laajasti huomioimaan erilaisia tapoja parantaa kyberturvallisuutta.

Miten tietoturvaseteliä haetaan? 

Tietoturvaseteliä voi hakea Liikenne- ja Viestintäviraston Kyberturvallisuuskeskukselta 1.12.2022 alkaen (tarkempi tapa julkistetaan myöhemmin). Hakuaikaa on 2024 loppuun – tai niin kauan kuin budjettia (6 miljoonaa euroa) seteleille riittää. Nopealla laskupäällä voi arvioida että budjetti riittää muutamiin satoihin seteleihin (15 000 € setelille on varattu neljä miljoonaa euroa, ja 100 000 euron setelille kaksi miljoonaa), joten tietoturvasetelin haluavan organisaation kannattaa luultavasti hakea sitä hakuajan alkupuolella. Suosio toki jää nähtäväksi. Hakemukseen on liitettävä suunnitelma tietoturvan kehittämishankkeesta. Nyt onkin kriittisten alojen organisaatioille hyvä aika kartoittaa omat tarpeet ja listata mahdolliset kehityshankkeet ja niiden kustannusarviot suunnitelman pohjaksi.

Onko tietoturvaseteli hyvä ratkaisu?

Vaikka tietoturvayhteisö on ottanut setelin ilolla vastaan, on ainakin allekirjoittaneen todettava verovaroilla tehtäviin yritystukiin kriittisesti suhtautuvana henkilönä että myös tätä on voitava tarkastella kriittisesti. Suora tuki voi monesti olla tehoton, ja sataprosenttinen rahoitusosuus ei ainakaan itsessään kannusta punnitsemaan investointia kovin tarkkaan. Esimerkiksi pieni omarahoitusosuus myös 15 000 € setelissä tai verovähennyksinä toteutettuna tuki olisi kenties voinut olla mielekkäämpi. Lisäksi pidän 100 000 euron tukisummaa varsin suurena, enkä ainakaan itse täysin tunnista laajemman setelin funktiota. Minulle on kuitenkin vakuutettu että kyberalan edustajat ovat päässeet vaikuttamaan valmisteluun, joten jonkinlainen perustelu taustalta varmasti löytyy.

On kuitenkin todettava, että kyberturvallisuuden parantamisessa on selkeät positiiviset ulkoisvaikutukset. Kyberturvallisuuden kehittäminen on kulu yritykselle, mutta tuottaa kriittisen infrastruktuurin tapauksessa hyötyä yrityksen lisäksi kaikille maan asukkaille. Kuusi miljoonaa euroa on muihin yritystukiin verrattuna erittäin pieni summa (voidaan ajatella että tähän laitetaan reilu euro per suomalainen). Lisäksi 15 000 euron seteli kriittisten alojen PK-yrityksille on mielestäni ideana juuri oikeanlainen: pienillä kehitystoimenpiteillä voidaan saada isoja voittoja kyberturvallisuuden kehittämisessä kunhan ne kohdistetaan oikein, ja nämä ovat juuri oikeantyyppisiä organisaatioita tällaiselle toimenpiteelle. Isoille yrityksille suunnattuna setelissä ei olisi ollut järkeä, vaan se olisi lähinnä ollut tulonsiirto.

Mitä seuraavaksi?

Kehotan kriittisten alojen organisaatioita pohtimaan kriittisesti omaa turvallisuuttaan, ja harkitsemaan sopisiko tietoturvaseteli heidän tarpeisiinsa. Jo pienemmällä 15 000 euron setelillä voi saada paljon aikaan, mikäli suunnittelee toimenpiteet huolella (tämä on ylipäätään edellytys setelin saamiselle). Mikään ei estä yhdistämästä seteliin useita erilaisia toimenpiteitä, kuten koulutuksia, uhkamallinnusta ja tietoturvakartoituksia. Nyt on erinomainen kannustin parantaa kyberturvallisuutta, jota ei kannata jättää käyttämättä.

Ja saa meihinkin olla sen tiimoilta yhteydessä – se hoituu tuosta alta.

Kategoria Ajankohtaista, Blogi