Kokonaisturvallisuudessa on kyse digitalisoitumisen ja sen integroitumisen hallinnasta

Kokonaisturvallisuudessa on kyse digitalisoitumisen ja sen integroitumisen hallinnasta – kokonaisturvallisuus riippuu kyberturvallisuudesta ja päinvastoin

Kokonaisturvallisuus tehdään pienistä erilaisista palasista, joita hiotaan yhteen ja harjoitetaan toimimaan yhdessä. Tätä kaikkea sekoittaa myös turvallisuuden kokemisen subjektiivisuus – yksinkertaistaen yksi pelkää pimeää ja toinen ei, yksi pelkää kovaa ääntä ja toinen ei, ja kolmas säikähtää yllättävää valaistusta tai odottamatonta hiljaisuutta. Aistittavat ja voimakkaasti subjektiiviseen tunneperäiseen suhtautumiseen liittyvät asiat toimivat kaikilla turvallisuuden alueilla, vaikkakin usein keskenään eri tavalla ja useimmiten vielä keskenään verratessa varsin ristiriitaiselta kuulostavasti.

Lähes kaikkeen turvallisuuteen liittyy digitaalisuutta

Käytännössä lähes kaikkeen turvallisuuteen vaikuttaa digitalisoituminen. Palo- ja pelastusturvallisuudessa kriittisissä operatiivisissa toimissa nimenomaan henkilön osaamisella ja mekaanisten välineiden toimivuudella on suuri ja usein juuri se ratkaisevin merkitys, mutta lähes kaikessa muussa ympärillä olevassa toiminnassa onkin sitten digitaalisilla palveluilla, laitteilla, tiedoilla ja tietoliikenneyhteyksillä varsin keskeinen rooli. Ja tietysti esimerkiksi vartijan tehtäviin liittyen lopullisessa kiinniottotilanteessa on kyse aika fyysisistä asioista – harvempi häiriökäyttäytyjä tai riehuja kuitenkaan pelkällä bittivirralla taintuu tai rauhoittuu, mutta toisaalta, kuinka monta vartijaa toimii työtehtävissään ilman minkäänlaista digitaalista viestintää tai viestintävälineitä. Miten erilaisten lukitus-, kameravalvonta- ja hälytysjärjestelmien ohjaus tai niiden tuottamat tiedot tapahtumista toimitetaan, säilötään ja miten niitä seurataan – digitaalisten välineiden ja tietoliikenteen keinoin tietysti. Minne turva-asioihin (security tai safety) liittyvät datat tallennetaan  – luonnollisestikin tietoja siirretään digitaalisessa muodossa ja minne ne sitten päätyvät. Lopulta tiedot yleensä ohjautuvat pilvipalveluihin eli ns. toisten ihmisten tietokoneille, jonka käsitteen (pilvipalvelut = toisten ihmisten tietokoneet) itsekin jo kauan sitten opin eräältä huoltovarmuuden asiantuntijalta.

Aika vähän yhteiskunnassamme on sellaista tietoa, etteikö se ainakin jossain vaiheessa prosessiaan olisi digitaalisessa muodossa. Toki on monenmoista lomaketta ja lippua ja lappua, joita täytetään ja jopa vihkoja, joihin asioita kirjataan, mutta tärkeimmät tai jollakin tavalla välttämättömimmät tiedot päätyvät mitä todennäköisimmin ainakin jonkin tietojärjestelmän uumeniin ja siitä edelleen keskitetympiin tietovarastoihin, jotka yleensä ovat osa pilvipalveluita.

Voisimmeko palata aikaan, jolloin merkittävä osa tietoa ja historiaa painetaan paperille?

Miksi digitaaliset järjestelmät yleistyvät ja integroituvat lähes kaikkeen toimintaan.? Miksi tiedon pitää olla digitaalisessa muodossa? Vastaavasti voi kysyä, miksi kaiken tiedon ei pidäkään enää olla paperilla? Miksi emme tulosta kaikkia mahdollisia asiakirjoja, muistioita, kirjeitä, tiedotteita, mainoksia, sähköposteja, tekstiviestejä, twittter-tviittauksia, ym. paperille? Miksi emme sido tai nido organisaation vuosittaista dokumentaatiota painotalojen avulla kirjoiksi? Mihin ovat joutuneet niin yleis- kuin erikoisalojen tietokirjasarjat – kierrätyskeskusten ilmaisjakelupisteisiin. Muistan ajan, jolloin julkaistiin kirjoja, joissa väitettiin olevan kaikki tai ainakin suurin osa koko maailman tärkeimmistä www-sivustoista – siitä on hädintuskin vain noin parikymmentä vuotta aikaa. Se on vain 1/5-osa koko Suomen itsenäisyysajasta ja valtiomme tähänastisesta iästä.

Asian kääntöpuolena on se, että jos kerran kaikessa toiminnassa on niin valtavasti digitalisuutta mukana, niin mikä sitten suojaa tai huolehtii digitaalisessa muodossa olevien tietojen tai esimerkiksi tietoliikenneyhteyden tai kokonaisten tietojärjestelmien tai tietoverkkojen turvallisuudesta. Ja kuinka sitten toimitaan, kun datavarastoina käytetään pilvipalveluiden rajattomasti kasvavaa tallennuskapasiteettia. Fyysiset viestintävälineet voidaan tarvittaessa suojata apukeinoilla ja apuvälineillä ja mahdollisesti jo niiden valmistamisvaiheeseen liittyvillä materiaalivalinnoilla – siis ainakin jossain määrin. Tietoliikennekaapelit voidaan yrittää saada jotenkuten – jos ei muuten, niin varayhteyksin – vedettyä niin, ettei ainakaan yhdellä kaivurin kauhan kaapaisulla kaikkia kanavia katkaista – ja tietysti langattomat yhteydet auttavat tässä aina siihen asti, kunnes ne yhteydet on vedetty maihin ja kaapeleihin, jotka puolestaan johtavat suuriin konesaleihin, jotka puolestaan sijaitsevat useimmiten jossakin syvällä kallion sisällä tai muutoin mahdollisimman hankalan fyysisen luokse pääsemisen rajoittamissa puitteissa. Tähän asti kaikki on vielä helppoa – ainakin ymmärtää.

Sitten, kun se palvelinsalin kapasiteetti onkin ns. pilvipalvelua, jossa tavallaan on rajaton tallennuskapasiteetti (näin ainakin usein markkinoidaan ko. palveluita), niin aidosti on pohdittava, että missä se pilven reuna sitten sijaitsee. Ja että onko sitä pilven reunaa tosiasiassa mitenkään asetettavissa. Tähän saa hyvän konkreettisen käsityksen katsoessa poutapäivänä taivaalle ja miettimällä, millä ihmeellä saisi taivaan valkohattarat pysymään vain Suomen rajojen sisäpuolella ja olemaan poistumatta valtakuntamme yltä.

Nykypäivän turvallisuus tehdään ihmisistä, turvavarusteista, digitalisaatiosta, riskien tunnistamisesta – ja energian saantiin varautumisesta

Turvallinen kokonaisuus tunteineen ja toimintoineen riippuu niin fyysisistä, inhimillisistä kuin digitaalisista elementeistä ja osatekijöistä. Vain näiden yhteistoiminnalla ja yhteensopivuudella sekä niihin sisäänleivotuilla jatkuvuuden varmistavilla turvaamistoimilla voidaan huolehtia riittävästä turvallisuudesta. Ja siitä huolimatta on syytä varautua yllätyksiin ja odottamattomiin tilanteisiin. Digitalisaatio tai siihen liittyvä tiedon käsittelyn automaatio ei missään vaiheessa voi kokonaan selvittää eikä estää vaaratilanteita. Terä- ja ampuma-aseet sekä räjähteet eivät yleensä edellytä digitaalisia yhteyksiä yhtään mihinkään, ajoneuvolla esim. alkoholin tai huumeiden vaikutuksen alaisena tai muutoin vaarallisesti ajaminen on ainakin toistaiseksi varsin huonosti estettävissä digitaalisella tiedolla tai siihen kytketyllä automaatiolla. Sen sijaan jo nyt pystytään kytkemään varsin vähäisistä digitaalisista tiedonjyvistä asioita toisiinsa ja löytämään potentiaalisia syy-seuraussuhteita, mutta se kuitenkaan ei toimi pelkän automaation varassa ainakaan kovin pitkälle.

Vanha sanonta on, että säännöt ovat vain rehellisiä varten, jonka vuoksi tulisikin kiinnittää enemmän huomiota erilaisten turvallisuutta vaarantaviin riskeihin (niin security kuin safety ja niihin liittyviä digi-, kyber-, tietoturva- ja tietosuojauhkia unohtamatta) ja ennen kaikkea siihen, miten erinäisiä suojaustoimia voidaan kiertää ja miten eri järjestelmiä huijata. Ns. ATK:n kaikkivoipaisuutta pitäisi osata kyseenalaistaa oikealla tavalla, vaikka tietojärjestelmistä ja digitaalisesta viestinnästä itsestään normaalitilanteissa syntyy valtavia kustannusten ja ajan säästöjä. Myös siitä tulisi ainakin päättäjä- ja asiantuntijapiireissä käydä laajempaa keskustelua, miten suuria vaikutuksia voidaan saada aikaan esimerkiksi digitaalisten järjestelmien ja niihin liittyvän tiedonsaannin tai tiedonkäsittelyn lamaannuttamisella. Ja mikä on esimerkiksi energian (sähkö) merkitys tässä kokonaisuudessa, miten varaudutaan erilaisiin uhkakuviin niin, että tilanteiden hallinta on mahdollista – hätiköimätöntä, mutta määrätietoisesti turvallisuutta lisäävää.

Kirjoittaja Arto Kangas on Finnsecurity ry:n hallituksen puheenjohtaja ja toimii konsulttina Netum Oy:ssä.