Lausunto liikenne- ja viestinäministeriölle 11.1.2016
Dnro KKV/1627/03.02/2015
Liikenne- ja viestintäministeriön tietoturvastrategiaa valmisteleva työryhmä piti 15.12.2015 kuulemistilaisuuden Suomen tietoturvastrategialuonnoksen pohjalta. LVM ilmoitti lisäksi, että kirjallisia lisäkommentteja luonnoksesta voi jättää 11. tammikuuta 2016 saakka.
Kilpailu- ja kuluttajavirasto (KKV) kiinnittää huomiota siihen, että tietoturvastrategia on otsikoitu Suomen tietoturvastrategiaksi, mutta siitä lähes kokonaan puuttuu kuluttajien ja kotitalouksien näkökulma. Käyttäjien toimintaan liittyy kuitenkin keskeisiä tietoturvariskejä. Lisäksi luonnos on kirjoitettu pitkälti vain keskeisten palvelualojen näkökulmasta, eikä kulutushyödykkeisiin (tavarat ja palvelut) liittyviä tietoturvariskejä tuoda juurikaan esille.
KKV pitää kannatettavana strategian tavoitteita tietoturvan sisäänrakentamisesta hyödykkeisiin sekä tietoturvaominaisuuksien yhteensovittamisesta ja niiden läpinäkyvyydestä. Näiden voidaan arvioida hyödyttävän sekä yrityksiä että kuluttajia. Kiivaassa digitalisoitumisen vauhdissa on entistä vaikeampaa ja osin mahdotontakin tunnistaa olemassa olevia tietoturvariskejä ja osata asiantuntevasti suojautua niiltä.
Toisaalta tietoturvaan liittyvät sertifikaatit ja standardit voivat vaikuttaa strategian luonnosversiossa todetulla tavoin pk-yritysten markkinoille tuloon ja saada siten aikaan kielteisiä markkinavaikutuksia. Tietoturvastrategian jatkovalmistelussa tulisikin siten kiinnittää huomiota siihen, että strategian täytäntöönpanolla ei tarpeettomasti vaikeutettaisi yritysten tuloa markkinoille tai vääristettäisi markkinoilla toimivien yritysten kilpailuedellytysten tasapuolisuutta.
Lisäksi on huomioitava, että tietoturvan enenevästä sisäänrakentamisesta huolimatta digitaalisessa ympäristössä toimiminen edellyttää jatkossakin tietoteknistä osaamista ja ymmärrystä palveluiden tietoturvallisesta käytöstä. Yritysten, kuluttajien ja kotitalouksien tietoturvaosaaminen vaikuttaa osaltaan saavutettavan tietoturvan tasoon. Esimerkiksi jatkuva päivittäminen on yhä keskeisempi vaatimus koneiden ja sovellusten toimivuudelle sekä erityisesti niiden tietoturvallisuudelle. Myös päivitysten osalta tulisi arvioida, milloin tietoturvan kannalta onnistuneempaa olisi päivitysten vastuuttaminen valmistajille loppukäyttäjien sijaan (responsibility for service design). Lisäksi haavoittuvien kuluttajaryhmien asema ja siihen liittyvät erityistarpeet on huomioitava.
Strategialla pyritään internetiin ja digitaalisiin palveluihin liittyvän luottamuksen parantamiseen. Kuluttajien luottamuksen saavuttaminen kytkeytyy keskeisesti tähän päämäärään ja strategian perusteluosassa tuodaankin esille EU-kansalaisten tietoturvahuoliin liittyvää luottamuspulaa. Silti strategiassa käsitellään riskejä pitkälti vain yritysmaailman kannalta. Kuluttajavaikutusten arviointi tulisi olla kattavampaa.
Kuluttajien luottamusta voi murentaa myös se, etteivät digitalisoituvan toimintaympäristön vastuusuhteet ole enää selkeitä ja helposti hahmotettavia. Haasteena on eri toimijoiden roolien sekoittuminen ja perinteisistä asetelmista siirtyminen uudenlaisiin rooleihin tai toimimiseen monissa rooleissa samanaikaisesti. Tyypillistä näille tilanteille on vastuun siirtäminen toimijalta toiselle, joka muodostaa riskin myös tietoturvalle. Jotta vastuun ns. pulverisoitumista ehkäistään, kuluttajaan päin hyödykkeen tietoturvasta tulee vastata yksi selkeä taho.
Ubiikkiteknologian (ns. jokapaikan tietotekniikka) ja esineiden internetin (IoT) myötä kuluttajien arkipäivän valinnat vaikuttavat lisääntyvässä määrin kokonaisten tietojärjestelmien ja -verkkojen tietoturvallisuuteen. Esim. älykodit ja älyliikenne ovat laajasti yhteydessä viestintäverkkoihin ja merkittäviä myös tietoturvallisuuden kannalta. Kotitalouden päätelaitteiden määrä kasvaa ja riski voi syntyä esimerkiksi jääkaapin tai kahvikeittimen ottaessa yhteyden verkkoon. Tietoturvariskejä voi liittyä myös kotitalouden käyttämiin tietoliikenneyhteyksiin (esim. itse muodostetut lähiverkot tai liittymän jakaminen muiden käyttäjien kanssa). Strategiassa olisi hyvä käsitellä ajankohtaista ja erityisesti tietoturvaan keskeisesti liittyvää IoT-teemaa laajemmin.