Lausunnot
Arvioitu lukuaika 6 min

Sitran lausunto Suomen kyberturvallisuusstrategiasta

Suomessa on varauduttava uusien murrosteknologioiden, kuten kvanttilaskennan ja tekoälyn kehittymisen tuomiin uhkiin. Kyberpuolustusosaamista on vahvistettava osana kokonaismaanpuolustusta.

Kirjoittajat

Kristo Lehtonen

Johtaja, Kansainvälinen toiminta

Kristine Alanko

Asiantuntija, Ohjelmat

Reijo Aarnio

Vanhempi neuvonantaja, Ohjelmat

Julkaistu

Sitra on vastannut liikenne- ja viestintäministeriön lausuntopyyntöön valtioneuvoston periaatepäätöksestä Suomen kyberturvallisuusstrategiaksi. Periaatepäätöksellä linjataan Suomen kyberturvallisuuden tavoitteista vuosille 2024–2035 ja täytetään EU:n kyberturvallisuusdirektiivin (NIS2) vaatimukset.  

Suomen kyberturvallisuusstrategia on uudistettu Petteri Orpon hallitusohjelman mukaisesti vastaamaan muuttunutta toimintaympäristöä. Kyberturvallisuusstrategian uudistamisessa on otettu huomioon kyberturvallisuusdirektiivin vaatimukset kansalliselle kyberturvallisuusstrategialle sekä muu aiheeseen liittyvä keskeinen strategia- ja selontekotyö ja muut EU- ja Nato-strategiat ja ohjelmat. 

Sitran päähuomiot 

Sitra kiinnittää erityistä huomiota kyberturvallisuuden ja kyberpuolustuksen kirkastamiseen, murrosteknologioiden kehitykseen varautumiseen ja viranomaisten yhteistoiminnan parantamiseen. 

  • Sitra ehdottaa kehittämisehdotuksiin lisättäväksi maininnan valtionhallinnon, yksityisen sektorin sekä muiden valmisteilla olevien strategiatöiden välisen yhteistoiminnan varmistamisen Suomen asemoimiseksi kyberturvallisuudessa ja kyberpuolustuksessa.  
  • Varaudutaan uusien murrosteknologioiden, kuten kvanttilaskennan, tekoälyn, puolijohteiden, suurteholaskennan, 6G:n ja avaruusteknologian kehittymisen tuomiin uhkiin ja mahdollisuuksiin. 
  • Panostetaan ennakoivaan yhteistyöhön osana viranomaisten yhteistoiminnan kehittämistä. Yhtenäistetään kansainvälinen yhteistoiminta minimoimalla strategista ohjaamista rajoittavat rakenteelliset tekijät keskittämällä kansainvälisen yhteistyön kannalta merkittävä strateginen koordinaatio kyberturvallisuusjohtajan toimistolle. 
  • Määritetään tarjolla olevista EU- ja kv-rahoitusmahdollisuuksista vastaava viestijätaho ja määritetään toimija, joka vastaa kybervalmiuksien ja digi- ja tekoälylukutaidon vahvistamisesta.  
  • Vahvistetaan kyberpuolustusosaamista osana kokonaismaanpuolustusta huomioiden myös teknologioiden väliset keskinäisriippuvuudet.  

Yleiset huomiot Suomen kyberturvallisuusstrategialuonnoksesta 

Sitra tukee Suomen kyberturvallisuusstrategian kehittämistä, mutta painottaa roolien selkeyttämistä, resurssien strategista suuntaamista ja kansainvälisen yhteistyön vahvistamista. Näin Suomen kyberturvallisuus voidaan nostaa uudelle tasolle ja vastata tulevaisuuden haasteisiin tehokkaasti. Strategiassa tulisi selkeämmin osoittaa ja nimetä toimijat ja heidän vastuunsa strategian toteuttamisessa. 

Sitra tarkasteli strategialuonnosta siinä asetettujen tavoitteiden pohjalta arvioimalla, vastaavatko osa-alueiden pilarit ja toimeenpanosuositukset tavoitetilassa asetettuja kansallisia päämääriä kyberturvallisuuden tavoitetilasta. Kansallisen kyberturvallisuuden tavoitetilan edistämiseksi hahmotellut osa-alueet tai pilarit ovat sinällään kannatettavia, mutta Sitra esittää valittuihin painopistealueisiin liittyen huomioita.  

Sitra esittää lausunnossaan sisällöllisten lisäysten lisäksi roolien selkeyttämistä, osaamisen vahvistamista, kriittisten teknologioiden tärkeyttä ja konkreettisia toimia kansallisen ja kansainvälisen yhteistoimintamallin tukemiseksi.  

Osaamista vahvistettava eri tavoin 

Osaamisen vahvistaminen laajasti yhteiskunnan eri tasoilla on kannatettava tavoite, joka edellyttää eri teknologioiden keskinäisriippuvuuksien tunnistamista. Suomalaisen kyberturvallisuusosaamisen varmistaminen tulisi taata kasvatuksen, koulutuksen ja opetuksen sekä yhteiskunnan ja työelämän kaikkien tasojen lisäksi erityisesti vaikuttajien ja päättäjien keskuudessa.  

Päättäjien tukemiseksi on vahvistettava kokonaisvaltaista kansainvälisen yhteistyön ja EU:n tieto- ja teknologiapolitiikan ymmärrystä, jonka yhtenä osana kyberturvallisuus on. Innovatiivinen kyberturvallisuuden ekosysteemi ja yritysten kilpailukyvyn edistäminen murroksellisia teknologioita hyödyntämällä edellyttää päättäjätason näkemystä ja johtajuutta kriittisissä teknologioissa ja EU:n tieto- ja teknologiapolitiikassa.  

Suomen haasteena on korkeasta osaamisesta huolimatta matala kaupallistamisen taso kriittisissä teknologioissa. Suomi tarvitsee strategisuutta kyberekosysteemin tukemiseksi ja kyberturvallisuusalan mahdollisuuksien lunastamiseksi. Tämän tavoitteen edistämiseksi tulisi toteuttaa tieto- ja teknologiapolitiikkaan keskittynyt teknologian maanpuolustuskurssi, jossa yhteiskunnan päättäjät voisivat perehtyä kriittisten teknologioiden ja EU:n tieto- ja teknologiapolitiikan kannalta keskeisiin strategisiin kysymyksiin sekä tunnistaa keinot, joiden avulla Suomi voi varmistaa oman asemansa kiristyneessä kilpailussa tieto- ja teknologiapolitiikan kentällä.  

Kansainvälisistä ja EU:n rahoitusmahdollisuuksista viestittävä yrityksille 

Yritysten kilpailukyvyn tukeminen edellyttää konkreettisten toimien lisäksi riittävää viestintää, jotta EU:n ja Naton tarjoamia kansainvälisiä yhteistyö- ja rahoitusmahdollisuuksia pystytään hyödyntämään. Kansainvälisten rahoitusmahdollisuuksien hyödyntämisen osalta on kannatettavaa, että strategiassa huomioidaan rahoitusohjelmien osallistumisen hyötynä olevan myös Suomen ja suomalaisten toimijoiden tunnettuuden lisääminen.  

Esimerkiksi Naton innovaatiorahasto (NIF) on Naton DIANA-kiihdyttämöstä ja Natosta erillinen toimija. Naton DIANA-kiihdyttämön ohjelma ja siihen osallistuminen tarjoaa kuitenkin näkyvyyttä myös NIFin suuntaan.

Naton innovaatiorahasto taas identifioi itsensä puolustusteollisuusrahaston sijaan syväteknologiarahastoksi, joka investoi korkean tason tieteeseen ja teknologiakasvuyrityksiin, joilla on mahdollisuus vahvistaa puolustusta, turvallisuutta ja resilienssiä. Naton innovaatiorahaston toimialaa voidaan pitää laajana ja Suomen kokonaisturvallisuusajattelun kanssa yhdenmukaisena. Naton innovaatiorahaston sijoitusten tarkoituksena on kollektiivisen turvallisuuden ja hyvinvoinnin edistäminen ja ne voivat kohdistua energiaan, materiaalitieteeseen, tekoälyyn ja dataan, laskentatehoon, autonomiaan, kvanttilaskentaan, bioteknologiaan tai avaruuteen.  

Kriittiset teknologiat huomioitava kattavammin  

Sitra huomioi, että kyberturvallisuusstrategian luonnoksessa ei mainita yhteiskunnallisen resilienssin rinnalla taloudellisen turvallisuuden, eli yhteiskunnallisen toimintavarmuuden ja kilpailukyvyn, vahvistamista. Taloudellinen turvallisuus tulisi lisätä strategiaan yhdeksi tavoitteeksi, jota pyritään edistämään panostamalla strategisesti kyberturvallisuudenkin kannalta keskeisiin murrosteknologioihin, kuten tekoälyyn, kvantti- ja suurteholaskentaan, uusiin matkaviestinverkkosukupolviin (5G ja 6G), puolijohteisiin ja bioteknologiaan.  

Kyberturvallisuuden varmistamisen ja murroksellisten teknologioiden hyödyntämisen kannalta on erittäin tärkeää, että strategiassa huomioidaan kattavammin kriittiset teknologiat. Strategialuonnoksessa listataan ainoastaan tekoäly, kvanttiteknologia ja uudet matkaviestinverkkosukupolvet ja tämä lista on riittämätön.  

Sitra ehdottaa Suomen kyberturvallisuusstrategiaan lisättäviksi painopistealueiksi keskinäisriippuvuudet, teknologian maanpuolustuskurssi -pilotin, taloudellisen turvallisuuden sekä kognitiivisen vaikuttamisen.  

Kyberturvallisuuden ekosysteemin osalta on tärkeää huomioida kansallisesti valmisteilla olevat strategiat kuten teollisuuspoliittinen strategia, kvanttiteknologiastrategia ja puolijohdestrategia. Yhteistoiminnan varmistaminen näiden strategioiden välillä on keskeistä kyberturvallisuuden tavoitteiden saavuttamiseksi. 

Osaamisen vahvistaminen laajasti yhteiskunnan eri tasoilla, erityisesti päättäjien keskuudessa, on kannatettavaa. Päättäjille tulee tarjota kattavaa tietämystä EU:n ja kansainvälisestä tieto- ja teknologiapolitiikasta.  

Suomi tarvitsee strategisuutta kyberekosysteemin tukemiseksi, jotta se pystyy hyödyntämään kyberturvallisuusalan mahdollisuudet ja kilpailemaan kansainvälisistä osaajista. Tässä yhteydessä tärkeäksi nousee tieto- ja teknologiapolitiikkaan keskittyvä maanpuolustuskurssi päättäjille. 

Kyberhygienian edistäminen ja kansalaisten kyberturvallisuusosaamisen parantaminen vaativat digitaalisen informaatiolukutaidon ja tekoälylukutaidon vahvistamista. Tämä tarkoittaa sellaisiin uhkiin puuttumista, joita tekoälyn avulla tuotettu disinformaatio aiheuttaa, sekä kognitiivisen vaikuttamisen tunnistamisen taitojen vahvistamista. 

Taloudellinen turvallisuus tulisi sisällyttää kansallisena tavoitteena kyberturvallisuusstrategiaan. Tämä edellyttää keskeisten murrosteknologioiden, kuten tekoälyn, kvanttiteknologian, 5G/6G-verkkojen, puolijohteiden ja bioteknologian strategista tukemista. Osaamisen varmistaminen on tärkeää sekä varautumisen että suomalaisten kyberturvallisuusalan yritysten kasvun kannalta. 

Strategisuutta kansainväliseen toimintaan osana ennakoivaa yhteistyötä 

Sitra korostaa myös kansainvälisen yhteistyön strategisuuden merkitystä. EU:n ja Naton tarjoamat rahoitus- ja yhteistyömahdollisuudet on hyödynnettävä täysimääräisesti. Riittävä resurssien suuntaaminen ja päättäjien osaamisen tukeminen ovat keskeisiä tekijöitä strategian onnistumisessa. Samalla on huomioitava eri toimijoiden toimivalta ja roolit, jotta kansallisen ja kansainvälisen yhteistyön tavoitteet voidaan saavuttaa tehokkaasti. 

Sitran yksityiskohtaisemmat näkemykset EU:n teknologiakyvykkyyden vahvistamisesta ja Euroopan datastrategian tulevaisuuden suunnasta on koottu tammikuussa 2024 julkaistuun Sitran työpaperiin. 

Mistä on kyse?