Kyberturvallisuuden strateginen johtaminen Suomessa

Tutkimushankkeen tavoitteena oli määritellä mitä kyberturvallisuuden strateginen johtajuus on ja miten sitä toteutetaan kokonaisturvallisuuden vastuumallissa, miten yleinen häiriötilanteiden hallintamalli toteutetaan laajoissa kyberturvallisuuden häiriötilanteissa, miten kyberturvallisuuden strateginen johtaminen on organisoitava ja millainen on valtionhallinnon kyberturvallisuuden johtamisen rakenne. Lisäksi tavoitteena oli selvittää kansainväliset ja kansalliset kyberturvallisuuden mittaamisen kehikot ja menetelmät.

Tässä selvityshankkeessa laadittiin toimenpide-ehdotuksia yhteiskunnan ja julkisen hallinnon strategisen kyberturvallisuuden johtamiseen, kybertoimintaympäristön laajojen häiriötilanteiden hallintaan sekä kyberturvallisuuden tilan mittaamiseen.

Tutkimuksessa myös analysoitiin ulkomaisia kyberturvallisuusratkaisuja ja -tilannekuvamalleja. Tutkimuksen perusteella kansallisella kyberkyvykkyydellä on tulevaisuudessa yhä keskeisempi merkitys kokonaisturvallisuuden ja yhteiskunnan elintärkeiden toimintojen turvaamisen kannalta. Kansallisen kehittämisen ja varautumisen perustaksi sekä erilaisten kybertoimintaympäristön normaaliaikojen ja poikkeusolojen vakavien ja laajamittaisten häiriötilanteiden johtamiseksi tarvitaan selkeä strategisen tason johtamismalli ja johtamista tukeva tilannekuva.

Kyberturvallisuuden strateginen johtaminen on digitaalisen toimintaympäristön turvaamisesta johdettujen tavoitteiden tunnistamista, asettamista, toiminnan ja varautumisen yhteensovittamista sekä laajamittaisten häiriöiden hallinnan johtamista.

Kyberturvallisuudessa menestyäkseen yhteiskunnan on kyettävä osallistamaan eri toimijat sekä yhteensovittamaan voimavarat ja toimintatavat mahdollisimman tehokkaasti asetettujen yhteiskunnan strategisten tavoitteiden saavuttamiseksi. Kyse on koko yhteiskunnan kyberkyvykkyyden kehittämisestä.

Tämä edellyttää strategista yhteensovittamista, johtamista ja toimeenpanokykyä. Kyberturvallisuuden strategisen johtamisen mallien muodostamista ovat ohjanneet Suomen kyberturvallisuusstrategiassa esitetyt tavoitteet.

Vaihtoehtoisiksi malleiksi valikoituivat: nykymalli, kansallinen kyberturvallisuusjohtaja, kansallinen kyberturvallisuusyksikkö, vahvennettu Kyberturvallisuuskeskus ja Kyberturvallisuus-virasto.

Tutkimuksessa tarkastellut mallit eivät tarjoa kaikenkattavaa ratkaisua kyberturvallisuuden strategisen johtamisen toteuttamiseksi. Jonkin johtamismallin käyttöönotto edellyttää syvällisempää analyysiä muun muassa resurssitarpeista, toimivaltuuksista ja rakenteista.