Kyberrikollisuuden tunnistaminen, turvallisuuskontrollit ja yhteistyön tärkeys digitaalisessa yhteiskunnassa

Kyberturvallisuus, kyberrikollisuus ja erilaiset kyberuhat ovat tulleet arkiseksi haasteeksi yhteiskunnassa. Kunnatkaan eivät ole kyberhyökkäyksiltä turvassa. Ongelma ei toki ole yksin julkishallinnossa, vaan myös yksityisillä ihmisillä ja yrityksillä. Kyberrikollisuuden taustalla ovat ihmiset ja sen vastavoimana ovat turvallisuuskontrollit. Turvallisuuskontrollit eivät rajoitu pelkästään rikosoikeusjärjestelmään vaan pääosassa ovat tilannetorjuntakeinot, joita kansalaiset ja yksityiset toimijat tekevät. Meillä Suomessa ei ole tunnustettu riittävästi yksityisen turvallisuuden roolia esimerkiksi kuntien kokonaisturvallisuudessa.

On poliittisesti tärkeää tunnistaa kunnissa kyberrikollisuuden ilmiö ja miten rikoksia torjutaan turvallisuuskontrolleilla. Ilmiön ymmärtämisessä yhdistyy ihmisyyden ja teknologian välinen rajapinta. Rikollisuus sinänsä on vanha ilmiö ja rakenteellinen ongelma. Vasemmistolainen ajattelu – jonka mukaan viranomainen yksin hoitaa kyberrikoksien kontrolloinnin – ei ole enää toimivaa. Kun kyberrikokset tehdään yrityksien kehittämien ympäristöjen kautta, niin yrityksille pitää myös antaa mahdollisuus itse hallita kontrollit, joilla tuotetaan kokonaisturvallisuutta yhteiskuntaan esim. kunnissa.

Vaasan yliopistossa on tehty johtavaa tutkimusta muun muassa rakenteellisen korruption ja vallan väärinkäytön aloilla. Kyberrikollisuuden havaitsemiseen liittyvä tutkimus ja teoria, joka kuvaa rikoksen elinkaarta turvallisuuskontrolleissa mahdollistaa paremman ymmärryksen saamisen tästä ilmiöstä.

Tieteellistä tutkimusta on tehtävä, jotta elinkeinoelämä saa puolueetonta tietoa, jota he voivat käyttää omien turvallisuuskontrolliensa kehittämiseen. Olisikin tärkeää tunnistaa yksityisen sektorin rooli yhteisen kyberturvallisuuden tuottamisessa. Kyberrikoksia tehdään palveluntarjoajien järjestelmien kautta ja täten julkinen valta ei ole ensisijainen toimija kyberrikoksien tunnistamisessa tai torjunnassa. Kunnat ovat riippuvaisia tuotteista ja palveluista, joita ne ostavat yksityiseltä sektorilta. Niille tärkein kyberturvallisuuden tuottaja voikin olla yritys, joka pystyy tarjoamaan koulutusta ja ratkaisuja kyberrikollisuuden varalle. Tietenkin myös valveutuneet kansalaiset pystyvät torjumaan kyberrikoksia omalla tilannetorjunnallaan.

Suppiloteorian avulla voidaan ymmärtää kyberrikoksien havaitsemista ja miten hyökkäykset etenevät turvallisuuskontrollien sisällä sekä mitä niille tehdään. Olin mukana tekemässä tutkimusta, jossa seulottiin vuonna 2015–2019 Suomessa tuomittuja kyberrikoksia. Aineiston perusteella oikeuteen tuomittavaksi päätyvät enimmäkseen teknisesti normaalia tietokoneen käyttöä muistuttava kyberrikokset. Ne kyberrikokset, jossa tehtiin oma haittaohjelma tai monimutkaisempi kyberrikos, olivat harvinaisempia. Tämä ei tarkoita sitä, etteivätkö kyberrikokset olisi kehittyneitä. Ne eivät vain aina päädy oikeuteen käsiteltäväksi. Minulla oli kunnia osallistua myös tietosuojaloukkauksia koskevaan tutkimukseen, jossa tuli esille millaisia tietosuojaloukkauksia päätyy tietosuojavaltuutetulle käsiteltäväksi. Itse arvioisin, että kuntiin kohdistuvat kyberrikokset eivät kaikki tule viranomaisten tietoon eikä niitä havaita.

Tietosuojaloukkauksiin liittyvä tapauksissa tuli esille, että hallinnollisen seuraamusmaksun langettaminen ei ole täysin selvää. Sen takia herää huoli, että uskaltaako yritys ilmoittaa tietosuojaloukkauksensa tietosuojavaltuutetulle. Tietosuojan kannalta on tärkeää, että turvallisuuskontrollin toiminta on ennustettavaa, jotta luottamus viranomaiseen säilyy. Organisaation riskienhallinnalla on suuri merkitys, samoin kuin sääntelyn toimivuudella, jotta esimerkiksi henkilötietojen tietosuoja voidaan taata. Tämä asia korostuu kunnissa, kun siellä käsitellään paljon henkilötietoja.

"Johtaminen merkitsee, tiedätte kyllä miksi." – Mikko Luomala