Uhkan ja riskin rajamailla: Kyberturvallisuuden politiikka Suomessa

Abstract

Tutkielma tarkastelee, miten kybertoimintaympäristön uhkia ja riskejä käsitellään Suomen turvallisuuspoliittisissa dokumenteissa. Tutkimuksen kohteena ovat Suomen kansalliset riskiarviot ja kyberturvallisuusstrategiat vuosilta 2013–2023. Tutkielma pyrkii selvittämään, millaisia kyberuhkia ja - riskejä dokumenteissa nostetaan esiin, miten niitä jäsennetään turvallistamisen ja riskiyttämisen kautta, ja millaisia merkityksiä tällä on Suomen kyberturvallisuuspolitiikan kehittymiselle. Tavoitteena on ymmärtää, miten uhkien ja riskien käsittely vaikuttaa siihen, miten kybertoimintaympäristöä määritellään ja turvataan osana Suomen turvallisuuspolitiikkaa. Tutkielman teoreettisena viitekehyksenä toimii Kööpenhaminan koulukunnan turvallistamisteoria, jota täydennetään Olaf Corryn riskiyttämisen käsitteellä. Turvallistamisteoria auttaa tunnistamaan, miten kyberilmiöitä määritellään eksistentiaalisiksi uhkiksi, jotka oikeuttavat poikkeukselliset toimenpiteet. Riskiyttämisen avulla analysoidaan puolestaan sitä, miten ennakoivaa hallintaa ja resilienssiä painotetaan kyberturvallisuustoimissa. Aineistona käytetään Suomen kolmea kansallista riskiarviota vuosilta 2015, 2018 ja 2023 sekä kahta kyberturvallisuusstrategiaa vuosilta 2013 ja 2019. Analyysissa havaitaan, että Suomen turvallisuuspoliittisissa dokumenteissa kyberuhkia esitetään vakavina uhkina, jotka voivat uhata koko yhteiskunnan toimintaa. Näiden uhkien torjumiseksi painotetaan erityisesti valtion ja yhteiskunnan kykyä selviytyä häiriöistä eli resilienssiä. Samaan aikaan dokumenteissa näkyy myös riskiajattelu, jossa korostetaan tarvetta ennakoida ja hallita erityisesti teknologisia ja sosiaalisia haavoittuvuuksia. Turvallistaminen näkyy siinä, miten kyberuhkat tuodaan osaksi arkipäiväistä turvallisuutta ja liitetään laajempiin yhteiskunnan toimivuuden kysymyksiin. Riskienhallinnassa taas korostuvat jatkuva varautuminen ja ennaltaehkäisy, jotta vakavia häiriöitä voidaan välttää. Tutkielman johtopäätökset osoittavat, että kyberturvallisuuden uhkia ja riskejä käsitellään Suomen turvallisuuspoliittisissa dokumenteissa toisiaan täydentävinä ilmiöinä. Turvallistaminen nostaa uhkia yhteiskunnallisiksi ja poliittisiksi kysymyksiksi, kun taas riskiyttäminen painottuu konkreettiseen haavoittuvuuksien hallintaan ja resilienssin vahvistamiseen. Uhkien ja riskien rinnakkainen tarkastelu on tärkeää, sillä se auttaa tunnistamaan sekä akuutit, ulkoisista toimijoista johtuvat uhat että järjestelmien sisäiset, hitaammin vaikuttavat riskit. Tutkimus osoittaa, että kyberturvallisuus kytkeytyy tiiviisti yhteiskunnallisiin rakenteisiin ja vaatii kokonaisvaltaista lähestymistapaa, jossa tekniset, sosiaaliset ja poliittiset näkökulmat huomioidaan yhdessä. Tulevaisuudessa on tärkeää kehittää sekä ennaltaehkäiseviä että reagoivia hallintakeinoja ja vahvistaa yhteiskunnallista resilienssiä, jotta kybertoimintaympäristön monimutkaisiin ja jatkuvasti muuttuviin uhkiin ja riskeihin voidaan vastata kestävästi.