Tietoturvakatsausseminaari 2024 Kimmo Rousku
Tietoturva
Teksti: Jyri Paasonen ja Laura Paasonen

Tietoturvakatsaus 2024 -seminaarin antia

Tietoturva ry järjesti Tietoturvakatsaus 2024 -seminaarin Helsingissä 15.5.2024. Seminaarissa Suomen etu­rivin asiantuntijat ja ulkomaiset keynote-puhujat avasivat näkökulmia digitaalisen maailman tulevaisuuteen ja siihen liittyviin riskeihin. 

Tekoäly, robotisaatio, kyber­rikollisuus ja epävakaa globaali geopoliittinen tilanne vaikuttavat maailmaamme ennennäkemättömällä tavalla. Uudet teknologiat tuovat mukanaan valtavia mahdollisuuksia, mutta samalla ne luovat uusia uhkia kaikelle liiketoiminnalle ja turvallisuudelle.

Tietoturva ry järjesti Tietoturvakatsaus 2024 -seminaarin Helsingissä 15.5.2024. Seminaarissa Suomen etu­rivin asiantuntijat ja ulkomaiset keynote-
puhujat avasivat näkökulmia digitaalisen maailman tulevaisuuteen ja siihen liittyviin riskeihin. Seuraavassa käydään läpi osa seminaarin puhujien esityksistä.

Oppia hybridisodasta ja taistelusta kriittisen infrastruktuurin puolesta

Sarah Armstrong-Smith toimii Microsoftilla Chief Security Advisorina. Hän kertoi, kuinka kyberhyökkäykset ja kybervaikuttamistoiminta ovat olleet keskeisiä aiheita maailmanlaajuisesti viime vuosina. Niiden tavoitteena ei ole ainoastaan vahingoittaa teknologisia infrastruktuureja vaan myös vaikuttaa kansalaisten mielipiteisiin ja päätöksentekoon. 

Venäjän aggressiivinen lähestymistapa kyberhyökkäyksiin ja kyber­vaikuttamistoimintaan ennen hyökkäystä Ukrainaan ja sen jälkeen on herättänyt huolta kansainvälisellä tasolla. Teknologiayritykset ja tiedustelupalvelut ovat vastanneet näihin uhkiin tarjoamalla ennakkovaroituksia ja puolustuskeinoja.

Organisaatioiden ja valtioiden on oltava valmiita vastaamaan muuttuviin uhkiin ja kehittämään strategioitaan sekä kyvykkyyksiään vastatakseen kyberuhkiin tehokkaasti. Tiedonjakamisen ja yhteistyön lisääminen on tärkeää kyberhyökkäysten torjunnassa. 

Armstrong-Smith kertoo, kuinka Microsoftin aloitteet ja teknologian käyttö ovat olleet keskeisessä roolissa pyrittäessä suojelemaan valtioita ja organisaatioita kyberuhilta. Hän korostaa, että painopiste vakoilussa ja vaikuttamisoperaatioissa osoittaa laajemmat strategiset tavoitteet, jotka tähtäävät geopoliittisen dynamiikan vaikuttamiseen. Kyberhyökkäykset eivät enää ole pelkästään teknologisia haasteita, vaan ne ovat osa laajempaa strategista kokonaisuutta, jossa pyritään vaikuttamaan maailmanpolitiikkaan ja -talouteen sekä kansainvälisiin suhteisiin.

Geopoliittiset jännitteet ja kyberuhat

ICT- ja liiketoimintakonsultoinnin palveluita tarjoavan CGI:n kyberturvallisuusyksikön johtava tietoturva-
asiantuntija Ilmari Luoma puhui seminaarissa aiheesta ”Geopolitiikka ja turvallisuus: kyberuhkien kasvava rooli”. Hän kertoi, että nykyään Suomessa yritykset keskittyvät enemmänkin liiketoiminnan jatkuvuuden turvaamiseen kuin kasvun tavoitteluun, mikä heijastaa toimintaympäristön jatkuvaa muutosta ja nopeaa kiihtymistä. Yritysten toiminnan painopiste on siirtynyt kasvattamisesta ja kehittämisestä puolustamiseen ja tehostamiseen.

Vaikka kasvuodotukset ovat matalat, ei toimintaympäristö kuitenkaan pysähdy vaan jatkaa muuttumistaan kiihtyvässä tahdissa. Luoma toteaa, että yritysten on vastattava muutoksen haasteisiin pysyäkseen kilpailukykyisinä. Merkitystä olisikin annettava strategisille kumppanuuksille, investoinneille ja uudistumiselle samalla kun parannetaan tuottavuutta.

Geopoliittiset jännitteet ja kyberuhat ovat merkittäviä haasteita yritysten turvallisuudelle. Luoma toteaa, että kyberuhat eivät ole enää pelkästään tekninen ongelma vaan olennainen osa laajempaa geopoliittista turvallisuusympäristöä. Kyberturvallisuus ja geopolitiikka ovatkin kytkeytyneet erottamattomasti toisiinsa. 

Pilvipalvelut hyökkäyksen kohteena

Kyberturvallisuusteknologiayritys CrowdStriken Security Engineer Bastian Jacobsson kertoi seminaarissa heidän julkaisemansa vuoden 2024 CrowdStrike Global Threat Report -raportin tuloksista. Niiden mukaan hyökkääjät käyttävät varastettuja henkilöllisyys­todistuksia hyväkseen pilviympäristöissä. 

Hyökkääjät pyrkivät maksimoimaan kyberhyökkäysten nopeuden ja vaikutuksen. Tulokset osoittavatkin, että hyökkäysnopeus on kasvanut merkittävästi. Keskimääräinen murtautumisaika on laskenut 62 minuuttiin, kun se oli edellisvuonna 84 minuuttia. 

Kyberyökkäykset ovat myös lisääntyneet, koska viime vuonna pilvipalveluihin tunkeutuminen lisääntyi 75 prosentilla ja niihin kohdistuvat hyökkäykset lisääntyivät 110 prosenttia edellis­vuodesta. Jacobsson suosittelee kiinnittämään huomiota tekoälyn lisääntyvään hyödyntämiseen hyökkäyksissä, mutta seminaarissa nousi hyvin esille myös se, että meidän tulee kyetä hyödyntämään sitä entistä tehokkaammin myös suojautumisessa. 

Mitkä ovat tärkeimmät opetukset tietomurtojen estämiseksi ja niistä selviytymiseksi?

Kyberturvallisuusyritys Truesecin perustaja Marcus Murray korosti, että on ensinnäkin tärkeää ymmärtää, että tietomurrot eivät ole enää ”jos” vaan ”kun” -kysymys. Tällöin varautuminen ja nopea reagointi ovat avainasemassa. He tutkivat ja auttavat vuosittain sadoissa tietomurroissa organisaatioita Pohjoismaissa.

Murray nostaa esiin keskeisimmät opit, jotka organisaatioissa tulisi huomioida. Hän korostaa, että tietoisuutta tulee lisätä, koska erityisesti johdon tulisi ymmärtää kyberuhat ja niiden vaikutukset. Lisäksi henkilöstölle tulisi järjestää säännöllisesti koulutuksia ja tietoisuuskampanjoita, jotta he osaavat tunnistaa huijausyritykset ja tieto­murron merkit.

Murray ihmettelee, että vieläkin liian usein organisaatioissa on parannettavaa vahvojen salasanakäytänteiden ja monivaiheisen tunnistautumisen pakottamisessa kaikille käyttäjille. Samoin käyttöoikeuksien hallintaa sekä pääsyä eri järjestelmiin ja tietoihin pitäisi parantaa. 

Teknisestä näkökulmasta hän pitää tärkeänä käyttää nykyaikaisia uhkien havaitsemis- ja seurantatyökaluja, jotka voivat tunnistaa epäilyttävän toiminnan, koska niihin pitää pystyä reagoimaan nopeasti. Samoin varmuus­kopioinnin ja palautumissuunnitelman merkitys on olennainen, jos tietomurto tapahtuu. Varmuuskopiojärjestelyt on pidettävä suojattuna täysin erillään muusta toimintaympäristöstä.

Murray korostaa myös auditointien ja testauksien merkitystä, koska vain siten voidaan varmistaa, että organisaation suojaustoimenpiteet ovat ajan tasalla ja tehokkaita. Tärkeää on myös tehdä tiivistä yhteistyötä sidosryhmien kanssa, koska tiedon jakaminen ja yhteiset ponnistelut voivat auttaa kaikkia osapuolia torjumaan kyberuhkia tehokkaammin.

Murray tiivistää lopuksi, että kyberriskienhallinnassa on tärkeää olla jatkuvasti kehittyvä ja oppiva. Seuraamalla alan parhaita käytäntöjä ja pysymällä ajan tasalla uusimmista uhkista voi parantaa organisaation tietoturvaa sekä pienentää riskejä.

Digitaalinen työntekijäkokemus kunniaan

Ohjelmistoyritys Applixuren toimitusjohtaja Harri Turtiainen puhui digitaalisesta työntekijäkokemuksesta tieto­turvallisuuden näkökulmasta. Hän kertoi, että palveluiden ja palvelinten siirtyessä pilveen on hyökkääjien ja sitä kautta puolustajien huomio siirtymässä työasemiin. Samalla niiden tietoturva on tärkeä osa digitaalista työntekijäkokemusta, jolla tarkoitetaan, kuinka hyvin tietotekniikka palvelee työntekijää tehtävänsä suorittamisessa ja tavoitteisiinsa pääsemisessä.

Monesti tietoturvallisuus ja sen vaatimukset nähdään ulkoa tai ylhäältä annettuina. Jos työntekijä epäilee käyttämänsä tietotekniikan tai oman toimintansa tietoturvallisuutta, myös tuottavuus ja tyytyväisyys kärsivät. Lisäksi useat työntekijät kokevat tieto­turvan työtä hankaloittavaksi. Parhaimmillaan tietoturvallisuus onkin sujuvaa ja näkymätöntä. 

Turtiainen huomauttaa, että tietoturvassa on nykyään ollut pakko siirtyä avoimeen yhteiskuntaan, jossa joudutaan suojautumaan sisältäpäin, kun monet työntekijöistä työskentelevät etänä. Hän kuvailee tilannetta siten, että kun esimerkiksi keskiajalla kaupungit pyrkivät suojautumaan muureilla hyökkääjiä vastaan, niin muurien sisällä suojaus ei ollutkaan kummoinen. Nykyään lähtökohtana on, että työasema on jatkuvasti avoimessa verkossa hyökkääjien saavutettavissa. Enää ei voida tuudittautua muurin suojaan.

Turtiainen muistuttaa, että on erityisen tärkeää, että päivitysten asentumista valvotaan erikseen. Tärkeää on huolehtia myös, että koneissa on Bitlocker tai Filevault -salausohjelma varmasti päällä eikä käyttäjillä ole admin-oikeuksia, jotka pitäisi olla vain hyvin harvoilla ja valituilla. Jokaisen tulisi myös muistaa, että mitä enemmän on ohjelmistoja, sitä enemmän on hyökkäyspintaa ja päivitettävää. Tilannetta tulisikin hallita aktiivisesti eli tuoda uutuuksia ja tarjota vaihtoehtoja, mutta samalla siivota vähän käytettäviä pois.

Työaseman tietoturvallisuuden perusta onkin oikein konfiguroitu ja päivitetty päätelaite, jossa on kaikki se, mitä työntekijä tarvitsee, muttei mitään turhaa. Turtiainen toteaa, että tähän päästään, kun IT:llä on ajantasainen tilannekuva.

Kyberturvallisuuteen kannattaa investoida

Marja Dunderfelt, Huawein kyberturvallisuus- ja tietosuojajohtaja, tarkasteli kyberturvallisuutta investoinnin näkökulmasta. Hän kertoi, että maailman digitalisoituessa uudet digitaaliset palvelut ovat hyödyllisiä vain, jos niihin voidaan aina luottaa. Tämä edellyttää kyberturvallisuuden ja käytettävyyden huomioimista jo palveluita suunniteltaessa.

Dunderfelt korostaa, että palvelun riittävä turvallisuus saavutetaan huomioimalla kyberturvallisuus ja tietosuoja palvelun kehityksen jokaisessa vaiheessa. Kyberturvallisuuden potentiaali myynninedistäjänä kannattaa myös huomioida, mikä onnistuu tekemällä palvelusta riittävän tietoturvallinen ja käyttämällä riittävän näkyvää viestintää.

Kyberturvallisuus onkin tärkeä osa liiketoiminnan jatkuvuutta ja elinvoimaisuutta. Dunderfelt muistuttaa, että kyberturvallisuuden suojaamiseen tarkoitetun budjetin tulisi oltava riittävä ja toiminnalle olisi hyvä nimetä vastuuhenkilö, jonka olisi pystyttävä viestimään johdolle kyberturvallisuudesta selkokielellä ja niin, että johto ymmärtää, millaiset vaikutukset kyberturvallisuuden varmistamistoimilla on myös taloudellisesta näkökulmasta.

Hyvin meidän käy

Kansanedustaja ja kyberturvallisuuden työelämäprofessori Jarno Limnéll kertoi, että tänä päivänä maailmassa, jossa teknologia ja kyberturvallisuus ovat keskeisessä roolissa, Suomen asema on korostunut entisestään. Viimeaikaiset tapahtumat, kuten keskustelut Yhdysvalloissa ja Natossa sekä uudet solmitut yhteistyösopimukset, kertovat Suomen vahvasta osaamisesta, arvostuksesta ja asemasta turvallisuuspolitiikassa.

Limnéll toteaa, että kyberturvallisuus ei ole enää vain IT-asia, vaan on olennainen osa turvallisuuspolitiikkaa ja kokonaisturvallisuutta. Erityisesti kiinnostusta herättää Suomen kokonaisturvallisuusmalli, joka on saanut huomiota ja kiitosta kansainvälisiltä kumppaneilta. 

Tämä korostaa tarvetta kasvattaa osaamista ja vahvistaa kansainvälisiä kumppanuuksia kyberturvallisuuden varmistamiseksi.

Limnéll kertoo, että keskusteluissa Naton kanssa korostuu teknologisten innovaatioiden merkitys turvallisuudelle. Suomen on tärkeää harkita, mihin teknologioihin se haluaa panostaa ja millä tavoin se voi tuoda lisäarvoa kansainväliselle yhteisölle. 

Hän korostaa, että vaikka maailman turvallisuustilanne on haastava ja epävarma, on tärkeää tuoda esiin myös positiivisia viestejä ja korostaa Suomen vahvuuksia. Yhteistyö Yhdysvaltojen ja muiden kumppanimaiden kanssa on merkki siitä, että Suomen osaamista arvostetaan kansainvälisesti. Suomi on vahvemmassa asemassa kuin koskaan aiemmin, joten hyvin meidän käy.

Kvanttilaskenta, robotisaatio ja tekoäly 

Seminaarissa järjestettiin lopuksi paneelikeskustelu ja iltaohjelmaa, jossa pohdittiin, millainen tulevaisuus meitä odottaa ja miten meidän tulisi siihen varautua. Tietoturva ry:n varapuheenjohtaja Kimmo Rousku oli tuonut demonstraatiolaitteita, joilla hän havainnollisti kvanttilaskennan toimintaa. 

Hän kertoi, että voimme verrata kvanttilaskentaa varhaisiin tietokoneisiin, kuten ENIACiin (Electronic Numerical Integrator and Computer), joka otettiin käyttöön 1940-luvulla. Se koostui noin 47 000 radioputkesta ja kulutti valtavasti sähköä; huhujen mukaan sitä käynnistettäessä jopa Philadelphian valot himmenivät. Sieltä peräisin on myös termi ”bugi”, koska koneen toimintahäiriöt johtuivat usein sen sisälle lentäneistä hyönteisistä. ENIACin käytettävyysaste oli hyvin alhainen muun muassa näiden ”bugien” takia.

Kun transistorit korvasivat radioputket, tietotekniikka kehittyi merkittävästi. Ensimmäinen Intelin prosessori 4004 julkaistiin vuonna 1972, ja se sisälsi 2 300 transistoria. Tämä oli valtava parannus verrattuna radioputkiin perustuvaan teknologiaan. Nykyisissä prosessoreissa, kuten muutaman vuoden vanhassa palvelinprosessorissa, on jo 6 miljardia transistoria. Nämä prosessorit laskevat edelleen nollilla ja ykkösillä, mutta valtavan laskentatehon ansiosta ne voivat saavuttaa merkittäviä tuloksia.

Rousku muistuttaa, että kvanttitietokoneissa taas voidaan hyödyntää tiloja, jotka ovat jotain nollan ja ykkösen väliltä, ja jopa lähes ääretöntä määrää muita tiloja. Tämä tekee niiden laskentatehosta lähes rajattoman tietyissä sovelluksissa. Kvanttitietokoneiden vaikutus kyberturvallisuuteen on merkittävä, sillä ne voivat helposti murtaa nykyisin käytössä olevia salausalgoritmeja. Tämä asettaa uusia haasteita kyberturvallisuudelle, mutta myös mahdollisuuksia kehittää entistä vahvempia salausmenetelmiä. 

Kvanttitietokoneiden kehityksen myötä joudumme päivittämään tieto­turvakäytäntöjä ja ottamaan huomioon uudenlaiset uhat sekä mahdollisuudet. Sama asia koskee myös robotisaatiota ja tekoälyä. Rouskun hauskat hahmot AI-Kimmo (hyvis) ja AI-Kammo (pahis) näyttivät vielä käytännön vinkkejä, mihin ja miten tekoälyä voidaan hyödyntää.

Rousku kertoi seminaarin lopuksi, että seuraava Tietoturvakatsaus 2024 -seminaari järjestetään Helsingin Ritari­huoneella ennen Finnish Security Awardsia 14.11.2024, joten päivämäärä kannattaa laittaa jo kalenteriin ylös.

Seminaari on suunnattu kaikille, jotka ovat kiinnostuneita digitaalisen maailman tulevaisuudesta ja turvallisuudesta. Seminaari on erinomainen tilaisuus oppia uutta ja verkostoitua alan ammattilaisten kanssa.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Kyberturvallisuus
Teksti: Laura Paasonen ja Jyri Paasonen

DNV panostaa kyberturvallisuusliiketoimintaan 

DNV osti suomalaisen kyberturvayhtiö Nixu Oyj:n. Tämä tuo yhteen yli 500 kyberturvallisuusalan ammattilaista tarjoamaan laajan valikoiman konsultointi- ja hallinnointipalveluita kyberriskien hallitsemiseksi. 

Det Norske Veritas (DNV) on varmennuksen ja riskienhallinnan tarjoaja, joka osti suomalaisen kyberturvayhtiö Nixu Oyj:n. Yritysoston myötä yli 500 kyberturvallisuusalan ammattilaista yhdistää voimansa tarjotakseen kattavia palveluja kyberriskien hallintaan. Samalla yritykset yhdistävät myös sertifiointiliiketoimintansa.

”Kyberriskeillä voi olla valtavia vaikutuksia turvallisuuteen, luotettavuuteen, ympäristöön ja talouteen, ja näin ne voivat uhata yhteiskuntiemme toimintaa. Siksi on välttämätöntä, että organisaatiot suojaavat IT-ympäristöjään ja teollisuusautomaatiojärjestelmiään tehokkaasti ja kattavasti”, sanoo DNV Business Assurance Finland Oy Ab:n Area Manager Anders Lindgren.

Kaikki alkaa merestä

DNV on perustettu Oslossa vuonna 1864. Silloin yrityksen tavoitteena oli luoda yhdenmukaiset säännöt ja menettelyt alusten kunnon ja merikelpoisuuden arvioimiseksi, jotta riskejä voitiin hallita ja määrittää oikea vakuutusmaksu aluksille ja niiden lastille. 

DNV oli vuonna 1914 mukana Titanicin uppoamisen seurauksena pidetyssä kokouksessa, jonka tuloksena syntyi kansainvälinen sopimus ihmishenkien turvaamisesta merellä.

Vuonna 1969 yritys osti Norjan suurimman tietokoneen ja kehitti ensimmäisen ohjelmistoratkaisun laivojen ja offshore-rakenteiden suunnittelua ja optimointia varten. 

Seuraavana vuonna Pohjanmereltä löydettiin öljyä ja kaasua, jolloin yrityksen osaamiselle oli entistä enemmän tarvetta. Yritykselle annettiin tehtäväksi suurin osa Norjan mannerjalustan rakennusvalvonnasta ja -tarkastuksista. 

DNV julkaisi vuonna 1976 maailman ensimmäiset putkistosäännöt, ja vuoteen 2008 mennessä 65 prosenttia kaikista maailman offshore-putkijohdoista oli rakennettu yrityksen standardien mukaisesti. 

Noin kymmenen vuotta myöhemmin, vuonna 1987, ISO 9000 -laadunhallintastandardit otettiin käyttöön ja DNV:stä tuli yksi johtavista yrityksistä, jotka sertifioivat johtamisjärjestelmiä. Tämä laajensi yrityksen toimintaa maailmanlaajuisesti vieden sen monille eri teollisuudenaloille.

DNV on vuosien varrella myös esimerkiksi aloittanut lääkinnällisten laitteiden sertifioinnin EU:ssa ja laatustandardien sertifioinnin yhdysvaltalaisissa sairaaloissa. Vuonna 2012, erään yrityskaupan myötä, DNV:stä tuli lisäksi maailmanlaajuisesti johtava neuvonantaja ja sertifioija puhtaamman energian, sähköntuotannon, -siirron ja -jakelun alalla. 

Koronapandemian jälkeen yritys on laajentanut digitaalisia palveluitaan, etätarkastuksia, drone-tarkastuksia ja tekoälyvalmiuksia. 

Tänä päivänä

DNV on nykyään maailman johtava luokituslaitos ja meriteollisuuden tunnustettu neuvonantaja. Yritys tarjoaa testaus-, sertifiointi- ja teknisiä neuvontapalveluja energia-alan arvoketjulle, ja se on yksi maailman johtavista johtamisjärjestelmien sertifiointielimistä. DNV:llä on yli 15 000 työntekijää ja toimintaa yli 100 maassa.

DNV tarjoaa riskienhallintaan sekä turvallisuuden ja omaisuuden suorituskyvyn parantamiseen tarkoitettuja digitaalisia ratkaisuja laivoihin, putkistoihin, jalostuslaitoksiin, offshore-rakenteisiin, sähköverkkoihin, älykkäisiin kaupunkeihin ja muihin kohteisiin.

DNV auttaakin yrityksiä liiketoiminnassaan, olipa kyse sitten meriturvallisuuden arvioinnista, energiahankkeisiin liittyvästä neuvonnasta, toimitusketjujen sertifioinnista, elintarviketurvallisuuden edistämisestä, potilaiden hoidon parantamisesta tai kyberriskien hallinnasta.

Suomessa DNV:llä on yli kolmen vuosikymmenen mittainen historia sertifiointipalvelujen tarjoajana. Yritys tarjoaa sertifiointi- ja asiantuntijakoulutuspalveluita useille eri sektoreille ja teollisuudenaloille.

Sertifiointipalveluista ISO 9001-standardi on yhä hallintajärjestelmistä suosituin, mutta sen rinnalle ovat nousseet myös ISO 14001, ISO 45001 ja ISO 27001. DNV jatkaa toimintaansa standardien kehittämisessä ja ratkaisujen etsimisessä maailmanlaajuisiin haasteisiin. Yrityksen globaalista liikevaihdosta 5 prosenttia investoidaan tutkimus- ja kehitysohjelmiin. 

Mitä yhdistyminen tuo tulleessaan?

DNV on luonut yhden Euroopan nopeimmin kasvavista kyberturvallisuuspalveluyrityksistä yhdistämällä olemassa olevan kyberturvallisuusliiketoimintansa ja kaksi hiljattain ostettua yritystä: Nixun ja Applied Riskin. Yhdistymisen myötä kyberturvallisuuden asiantuntijat suojaavat vaativia IT- ja teollisuuden ohjausjärjestelmäympäristöjä useilla eri toimialoilla. 

Nixu on Helsingissä vuonna 1988 perustettu kyberturvayhtiö. Yrityksen perusti Pekka Nikander. Yrityksen nimi ”Nixu” on johdettu perustajansa sukunimestä, Unix-käyttöjärjestelmästä ja tietokonelaboratoriosta nimeltä ”Niksula”, jossa Nikander työskenteli opiskelijana.

Nixu tarjoaa ratkaisuja liiketoiminnan jatkuvuuden, digitaalisten palvelujen helpon saatavuuden ja tietoturvallisuuden varmistamiseksi. Se työllistää noin 400 alan asiantuntijaa Suomessa, Ruotsissa, Alankomaissa, Tanskassa ja Romaniassa. 

Nixun tytäryhtiö Nixu Certification Oy toimii Traficomin hyväksymänä ja FINASin akkreditoimana virallisena kansallisen tietoturvallisuuden arviointilaitoksena. 

Nixun, Applied Riskin ja DNV:n yhdistymisen myötä Nixun toimitusjohtaja Teemu Salmi nimitettiin johtamaan yhdistettyä liiketoimintaa, joka alkaa toimia nimen DNV Cyber alla vuoden 2025 alusta alkaen. Hän toimiikin jatkossa uuden kyberturvallisuuspalveluyksikön toimitusjohtajana. 

Yhdistetty kyberturvapalveluliiketoiminta tekee yhteistyötä asiakkaiden ja tietoturvayhteisön kanssa innovoinnin ja alan parhaiden käytäntöjen edistämiseksi. Se hyötyy DNV:n pitkäaikaisesta sitoutumisesta tutkimukseen ja innovointiin.

Tietoturvauhkiin liittyvä kasvanut tietoisuus on nostanut tietoturvaan liittyvien palveluiden kysyntää vauhdikkaasti. DNV:n muutaman vuoden takaisesta Viewpoint-tutkimuksesta selvisi, että yritykset pyrkivät hallitsemaan tietoturvariskejä muun muassa osallistamalla asianmukaisen henkilöstön tietoturvan hallintaan, laatimalla tietoturvapolitiikan, jolla on ylimmän johdon hyväksyntä, sekä kouluttamalla henkilöstöään. 

Tutkimus osoittaa, että osaamisen, oikeanlaatuisten resurssien ja yleisen tietoisuuden tarve lisääntyy kaikkien organisaatiossa työskentelevien kohdalla. Tämä heijastaa uusien teknologioiden käyttöönottoa ja lisääntyneitä kyberriskejä. Myös NIS2-direktiivi ja muu kansainvälinen sääntely vauhdittavat yritysten hakeutumista tietoturvan hallintaan liittyvien palveluiden piiriin.

”Yhdistetty liiketoimintamme tarjoaa asiakkaillemme laajan ja syvällisen kyberturvallisuuden asiantuntijuuden, joka kattaa sekä johtamisjärjestelmät, IT-ympäristöt että teollisuusautomaatiojärjestelmät. Jatkossa voimme luoda aivan uusia synergioita ja mahdollistaa osaamisen jakamista eri toimialojen välillä, mikä parantaa asiakkaidemme kyberturvallisuuden tasoa ja laatua”, kertoo Lindgren.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Kyberturvallisuus
Teksti: Martti Lehto, Piia Perälä ja Karo Saharinen

Jyväskylästä kyberturvallisuuden osaamiskeskittymä vahvistamaan kansallisia tavoitteita

Jyväskylän yliopisto ja Jyväs­kylän ammattikorkeakoulu muodostivat maaliskuussa 2023 Suomen kyberosaamiskeskuksen (Finnish Center of Expertise for Cybersecurity, FICEC), jonka tarkoituksena on kyberturvallisuuden huippu­tutkimuksen ja -osaamisen vahvistaminen valtakunnallisesti.

Jyväskylän yliopisto ja Jyväs­kylän ammattikorkeakoulu muodostivat maaliskuussa 2023 Suomen kyberosaamiskeskuksen (Finnish Center of Expertise for Cybersecurity, FICEC), jonka tarkoituksena on kyberturvallisuuden huippu­tutkimuksen ja -osaamisen vahvistaminen valtakunnallisesti. 

Suomen kyberosaamiskeskuksen visiona on kehittyä huippuluokan kansainväliseksi kyberturvallisuuden tutkimus- ja koulutuskeskukseksi, joka vahvistaa alueen ja koko Suomen kyberturvallisuusbrändiä. Osaamiskeskuksessa yhdistyy vahva yhteistyö elinkeinoelämän ja muun yhteiskunnan kanssa, kyky uusimman teknologian soveltamiseen sekä organisaatioiden vahva sitoutuminen toimintaan. Toiminnallaan osaamiskeskus luo tulevaisuuden osaamista ja kestäviä ratkaisuja yhteiskunnan kyberturvallisuuden haasteisiin niin julkisella kuin yksityisellä sektorilla sekä edistää taloudellista kasvua tukemalla ja vahvistamalla yritysten liiketoimintamahdollisuuksia.

Osaamiskeskuksen taustalla on vahva kyberturvallisuusosaaminen Jyväskylässä. Molemmat korkeakoulut, yliopisto ja ammattikorkeakoulu, tarjoavat kyberturvallisuusalan tutkintoon johtavaa korkeakoulutusta. 

Jyväskylän yliopiston kyberturvallisuuden profiloituminen aloitettiin vuonna 2009. Kyberturvallisuusalan opetus aloitettiin vuonna 2011, ja ylempään korkeakoulututkintoon tähtäävä maisteriohjelma käynnistyi vuonna 2015 informaatioteknologian tiedekunnassa. 

Jyväskylän yliopistossa kyberturvallisuuden tutkimus on laaja-alaista ja monitieteistä, jonka huippututkimuksen keskeisiä aloja ovat muun muassa kriittisen infrastruktuurin suojaaminen, kyberturvallisuuden johtaminen, kyberturvallisuuskäyttäytyminen, kyberturvallisuuden teknologiset ratkaisut sekä kyberrikollisuus ja kyberpuolustus. 

Jyväskylän ammattikorkeakoulussa kyberturvallisuuden opetus alkoi vuonna 2013, ja siellä voi suorittaa kyberturvallisuuden insinööri (AMK)- ja insinööri (YAMK)-tutkinnon. JYVSECTEC (Jyväskylä Security Technology) on JAMK:iin kuuluva kyberturvallisuuteen ja tekoäly­kehitykseen keskittynyt tutkimus-, koulutus- ja kehityskeskus. Se tarjoaa kyberturvallisuuskoulutuksia ja -harjoituksia yrityksille ja julkisille toimijoille. 

JYVSECTEC on kehittänyt Suomen kansallisen Cyber Range -kyber­harjoitusympäristön ja on järjestänyt vuodesta 2013 kansallisia kyberturvallisuusharjoituksia esimerkiksi turvallisuusviranomaisille, valtionhallinnolle, terveydenhuollolle sekä kuntasektoriin että kriittiseen infrastruktuuriin.

Kyberturvallisuuden koulutustarpeita tutkittiin vuonna 2022

Valtion kyberturvallisuusjohtajan johdolla laaditussa kyberturvallisuuden kehittämisohjelmassa (2021) määritettiin keskeiset toimenpiteet kyberturvallisuuden parantamiseksi koko yhteiskunnassa. Siinä kuvattiin kyberturvallisuuden kehittämisen lyhyen ja pitkän aikavälin tavoitteita (2021–2030) ja painopistealueita. Sen mukaan vahva kansallinen kyberturvallisuus edellyttää tarvittavaa osaamista ja laajaa osallistumista yhteiskunnan kaikilla eri tasoilla, tiivistä yhteistyötä erityisesti julkishallinnon ja elinkeinoelämän välillä sekä vahvaa kotimaista kyberturvallisuusteollisuutta, joka luo kyvykkyyksiä digitaalisen yhteis­kunnan palveluiden turvaamiselle. Lisäksi tarvitaan eri viranomaisten kyberturvallisuuskyvykkyyksiä luomaan pohjaa koko yhteiskunnan turvalliselle toiminnalle.

Osana kyberturvallisuuden kehittämisohjelmaa Jyväskylän yliopisto, Jyväskylän ammattikorkeakoulu ja Turun ammattikorkeakoulu selvittivät vuonna 2022 laaja-alaisesti kyberturvallisuuteen liittyvän osaamisen määrällistä ja laadullista kehittämistä perusopetuksessa, toisen asteen koulutuksessa sekä yliopistoissa ja ammattikorkeakouluissa. Tutkimuksessa kartoitettiin kyberammattilaisten tarvetta sekä esitettiin kehittämislinjauksia eri koulutusasteille. 

Tutkimuksessa todettiin, että osaamispohjan vahvistaminen ja kyber­turvallisuusteollisuuden toimintaedellytysten parantaminen ovat ensiarvoisen tärkeitä paitsi elinkeinopoliittisesti myös kansallisen turvallisuuden näkökulmasta. Suomessa tulee tehdä huomattavia lisäpanostuksia alan koulutuksen lisäämiseen, investointeihin sekä tutkimus- ja tuotekehityshankkeiden käynnistämiseen ja niiden tulosten markkinoille saamiseen. Osaajapula haittaa jo nykyisellään alan kehitystä ja yritysten menestymismahdollisuuksia. 

Käynnissä oleva teknologiamurros (tekoäly, kvantti) ja digitalisaatio tulevat entisestään kasvattamaan kyber­turvallisuusalan osaamispulaa, siksi koulutusmahdollisuuksia tulee lisätä sekä työelämässä että eri koulutusasteillakin. Tutkimus osoitti, että kansallisen kyberturvallisuuden huippuosaamisen kehittäminen edellyttää riittävän osaamiskeskittymän muodostumista. 

Jyväskylä koordinoi kansallisen kyberturvallisuuskoulutusverkoston kehittämistä

Merkittävä askel kyberturvallisuuden kehitystyössä otettiin loppuvuodesta 2022, kun opetus- ja kulttuuriministeriö myönsi Jyväskylän yliopistolle ja Jyväskylän ammattikorkeakoululle rahoituksen kyberturvallisuusalan koulutuksen kehittämiseen. Jyväskylän yliopisto koordinoi yhdeksän yliopiston muodostamaa verkostoa ja Jyväskylän ammattikorkeakoulu vastaavasti 14 ammattikorkeakoulun verkostoa. Koulutuksen kehittämistyössä on vahvasti myös mukana tekniikan alan verkostoyliopisto FITech (Finnish Institute of Technology).

Hankkeessa kootaan kyberturvallisuusalan korkeakoulutusta tutkimusperusteisesti kehittävä, koordinoiva ja tarjoava verkosto, jonka avulla pystytään vahvistamaan ja laajentamaan Suomessa tarjottavaa kyberturvallisuuden korkeakoulutusta. Ensisijaisena tavoitteena on varmistaa laaja-alainen ja jatkuva kyberturvallisuuden erityisosaamisen koulutus. 

Kyberturvallisuuden korkeakoulutusta kehitetään, tuotetaan ja jaetaan koulutusverkoston yhteistyönä. Kehittämisen painopiste on kyberturvallisuuden erityisosaamisen koulutuksen vahvistamisessa korkeakouluissa. Keskeisenä tavoitteena on vastata kyberturvallisuuden osaajapulaan lisäämällä koulutusta alueille, joilla on kriittistä koulutuskysyntää ja hyvät työllistymismahdollisuudet. Lisäksi hanke pyrkii varmistamaan riittävän tason kyberturvallisuuden perusosaamisessa laaja-alaisesti korkeakouluopiskelijoille. 

Hankkeen aikana tuotetaan perusosaamista lisääviä alempaan korkeakoulututkintoon sopivia kursseja ja erityisosaamista tuottavia ylemmän korkeakoulututkinnon kursseja. Opetusta avataan myös työelämässä jo oleville. Korkeakoulujen vuorovaikutusta vahvistetaan teollisuuden ja julkisen sektorin kanssa tutkinto-
opetuksen ja työelämässä olevien kyberturvallisuusosaamisen kehittämiseksi. 

Kyberturvallisuuden koulutusta pyritään tarjoamaan laaja-
alaisesti eri opiskelijaryhmille yli korkeakoulurajojen sekä työelämässä oleville, esimerkiksi tarjoamalla avoimia verkossa olevia kursseja. Kyberturvallisuuden perusosaamista parannetaan ja laajennetaan luomalla opetusta, joka skaalautuu suurelle opiskelijamäärälle ja jota jaetaan verkossa tai kampuksella useille korkeakouluille sekä elin­ikäisille oppijoille. 

Sellaisten opintokokonaisuuksien tarjoaminen, jotka koostuvat usean yliopiston ja ammattikorkeakoulun kursseista, nähdään yhtenä keinona kyberturvallisuuden erityisosaajien määrän lisäämiseen. Hankkeessa täsmennetään koulutustarpeita ja koordinoidaan korkeakoulujen välistä opetustarjontaa vastaamaan tarpeeseen.

Yhdessä enemmän

Kyberturvallisuuden osaamiselle ja opetukselle on laajentuvaa tarvetta, eikä alan opetuksessa ole aikaisemmin ollut riittävästi korkeakoulujen välistä yhteistyötä. Vaikka yliopistot ja ammattikorkeakoulut ovat rekrytoineet alan opettajia ja tutkijoita, yksittäisillä korkeakouluilla ei ole riittäviä resursseja kasvattaa merkittävästi kyberturvallisuuden opetusta. Kyberturvallisuuden koulutuksen kehittämiseen ja laajentamiseen tarvitaan entistä vahvempaa yhteistyötä.

Suomen kyberosaamiskeskus vahvistaa kansallista kyberturvalli­suutta tuomalla laajasti yhteen eri toimijoita korkeakoulusektorilta, julkishallinnosta ja yrityssektorilta. Tämän avulla voidaan muodostaa ja käynnistää teollisuuden sekä muun elinkeino­-
elämän ja toimintaympäristön tarpeisiin perustuvia, digitaalisuutta edistäviä ja kyberresilienssiä vahvistavia tutkimus- ja kehittämiskokonaisuuksia. 

Kyberosaamiskeskukselle rakentuu merkittävä kansallinen rooli kyberturvallisuustietoisuuden edistämisessä sekä kyberturvallisuusosaamisen kehittämisessä ja sen
koordinoinnissa kaikilla kouluasteilla. 

Kyberosaamiskeskus osallistuu myös aktiivisena toimijana kansallisen kyberturvallisuuden resilienssin vahvistamiseen ja tekee siihen liittyvää suunnitelmallista yhteistyötä viranomaisten, muiden julkisen sektorin toimijoiden sekä yksityisen sektorin kanssa. Siten kyberosaamiskeskus yhdessä verkostonsa kanssa luo vahvan kansallisen kyberturvallisuusyhteisön.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Lainsäädäntö
Teksti: Laura Paasonen ja Jyri Paasonen

Maailman ensimmäiset tekoälyä koskevat säännökset tulevat EU:sta

Euroopan parlamentti hyväksyi maaliskuussa 2024 kaikkien aikojen ensimmäisen tekoälyä koskevan säädöksen, AI Actin.

Euroopan parlamentti hyväksyi maaliskuussa 2024 kaikkien aikojen ensimmäisen tekoälyä koskevan säädöksen, AI Actin. EU:n neuvoston on vielä hyväksyttävä se.

AI Actissa on keskitytty rajoittamaan tekoälyyn liittyviä riskejä, erityisesti erittäin tehokkaiden ja vaikuttavien tekoälyjärjestelmien riskejä. Sillä pyritäänkin takaamaan ihmisten ja yritysten turvallisuus ja perusoikeudet tekoälyyn liittyen.  

Säädöksen tavoitteena on tarjota tekoälyn kehittäjille ja käyttöönottajille selkeät vaatimukset ja velvoitteet koskien tekoälyn tiettyjä käyttötapoja. Sillä pyritään myös samalla vähentämään yritysten, erityisesti pk-yritysten, hallinnollista ja taloudellista rasitusta.

Säädöksellä pyritään lisäksi vahvistamaan tekoälyn käyttöönottoa, investointeja ja innovaatioita kaikkialla EU:ssa ja myös sen ulkopuolella. Säädöstä ei sovelleta muun muassa tekoälyjärjestelmiin, joita käytetään ainoastaan tutkimus- ja innovointitarkoituksiin, sotilaallisiin tai puolustustarkoituksiin eikä henkilöihin, jotka käyttävät tekoälyjärjestelmiä pelkästään henkilökohtaisessa, muussa kuin ammattitoiminnassa.

Suuririskisiä tekoälyjärjestelmiä säännellään tiukemmin

Tekoälyjärjestelmiltä tullaan vaatimaan avoimuutta, sillä yleiskäyttöisten tekoälyjärjestelmien ja niiden perustana olevien mallien on täytettävä tietyt avoimuusvaatimukset ja noudatettava EU:n tekijänoikeuslainsäädäntöä, kun malleja koulutetaan. Keinotekoisesti tuotettu tai manipuloitu kuva-, ääni- tai video­sisältö (”syväväärennös”) on esimerkiksi merkittävä selkeästi sellaiseksi.

Jos yleiskäyttöinen tekoälyjärjestelmämalli on tehokkaampi ja voi aiheuttaa järjestelmäriskejä, kohdistuu siihen lisävaatimuksia, kuten mallien arviointia, järjestelmäriskien arviointia ja lieventämistä sekä raportointia vaaratilanteista.

Suuririskisiä tekoälyjärjestelmiä tulevat koskemaan myös erityiset velvoitteet. Tekoälyn käyttöön liittyy suuria riskejä, kun kyseessä ovat kriittinen infrastruktuuri, koulutus, työllisyys, keskeiset yksityiset ja julkiset palvelut (muun muassa terveydenhuolto ja pankkitoiminta), tietyt lainvalvonta-, maahanmuutto- ja rajavalvontajärjestelmät sekä oikeudelliset ja demokraattiset prosessit. 

Järjestelmillä onkin arvioitava ja vähennettävä riskejä, ylläpidettävä käyttölokeja ja varmistettava ihmisen suorittama valvonta. Järjestelmien tulee myös olla läpinäkyviä ja täsmällisiä. 

Kansalaisilla tulee olemaan oikeus tehdä tekoälyjärjestelmistä valituksia ja saada selvityksiä suuririskisiin tekoälyjärjestelmiin perustuvista päätöksistä, jotka vaikuttavat heidän oikeuksiinsa.

Säädöksessä tulee olemaan myös lista kielletyistä tekoälyyn liittyvistä käytännöistä. Kiellettyjä tulevat olemaan esimerkiksi tekoälysovellukset, joiden voidaan katsoa uhkaavan kansalaisten oikeuksia, kuten arkaluonteisiin ominaisuuksiin perustuvat biometriset luokittelujärjestelmät ja kasvokuvien kohdentamaton haravointi internetistä tai valvontakamerakuvista kasvojentunnistustietokantojen luomiseksi. 

Kiellettyjä tulevat olemaan lisäksi esimerkiksi sosiaalinen pisteytys, ennakoiva poliisi­toiminta (kun se perustuu yksinomaan henkilön profilointiin tai heidän ominaisuuksiensa arviointiin) ja tekoäly, joka manipuloi ihmisen käyttäytymistä tai hyödyntää ihmisten haavoittuvuuksia.

Lainvalvonnassa biometristen tunnistus­järjestelmien käyttö tulee olemaan pääsääntöisesti kiellettyä. Niitä voidaan käyttää kuitenkin esimerkiksi, jos noudatetaan tiukkoja suojatoimia, kuten rajoitetaan niiden käyttöä ajallisesti ja maantieteellisesti sekä edellytetään ennakolta erityistä oikeudellista tai hallinnollista lupaa. Kyseisiä käyttötarkoituksia voivat olla muun muassa kadonneen henkilön kohdennettu etsintä tai terrori-iskun estäminen.

Säädöksessä tulee olemaan oma lukunsa innovoinnin tukemista koskien. Sääntelyllä tuetaankin myös innovaatioita ja pk-yrityksiä, sillä kansallisella tasolla on perustettava sääntelyn testiympäristöjä ja suoritettava testausta todellisissa olosuhteissa. Nämä on lisäksi saatettava pk-yritysten ja uusien yritysten saataville, jotta innovatiivista tekoälyä voidaan kehittää ja kouluttaa.

Valvonta ja voimaantulo

AI Actin täytäntöönpanoa jäsenvaltioiden kanssa valvoo helmikuussa 2024 perustettu Euroopan tekoälytoimisto, jonka tavoitteena on luoda ympäristö, jossa tekoälyteknologiat kunnioittavat ihmisarvoa, oikeuksia ja luottamusta. 

Tekoälytoimisto edistää myös yhteistyötä, innovaatioita ja tekoälytutkimusta eri sidosryhmien kesken. Se käy lisäksi kansainvälistä vuoropuhelua tekoälykysymyksissä. AI Actin rikkomisesta voidaan määrätä säädöksessä määritelty sakko.

Kun AI Act tulee voimaan, sovelletaan sitä kahden vuoden kuluttua sen voimaantulosta. Poikkeuksen tähän muodostavat kiellettyjä käytäntöjä koskevat kiellot (sovelletaan kuuden kuukauden kuluttua voimaantulosta), käytännesäännöt (sovelletaan yhdeksän kuukauden kuluttua voimaantulosta), yleiskäyttöisiä tekoälyjärjestelmiä ja hallintoa koskevat säännöt (sovelletaan vuoden kuluttua voimaantulosta) ja suuririskisiä järjestelmiä koskevat velvoitteet (sovelletaan kolmen vuoden kuluttua voimaantulosta).  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Riskienhallinta
Teksti: Jyri Paasonen ja Lassi Väisänen

Standardien hyödyntämisestä kyberturvallisuuden riskienhallinnassa

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Säädöksiin ei yleensä voida kirjata esimerkiksi kaikkia vaatimuksia tarkasti, koska säädökset koskevat usein hyvin laajasti erilaisia tuotteita tai toimintaa ja sääntelyyn pitää toisaalta jättää myös väljyyttä asioiden moninaisuudelle ja muuttumiselle tässä alati muuttuvassa maailmassa. Säädöksiä täydentämään EU pyytääkin usein standardointijärjestöjä laatimaan yksityiskohtaisia standardeja ja toimii läheisessä yhteistyössä eurooppalaisten standardointijärjestöjen kanssa.

Standardien roolista

Standardit eivät ole säädöksiä täydentävästä luonteestaan huolimatta velvoittavia, vaan vapaaehtoisia. Jos tuote tai toiminta poikkeaa standardista, valmistajan tai toiminnasta vastuussa olevan on pystyttävä muulla tavoin osoittamaan, että se täyttää säädöksissä esitetyt olennaiset vaatimukset. 

Usein koetaan kuitenkin helpommaksi ja hyödyllisemmäksi käyttää standardeja, koska tuotteiden tai toiminnan katsotaan täyttävän säädösten vaatimukset, kun ne on tehty säädöksissä viitattujen standardien mukaan. 

Standardien merkitystä voidaan havainnollistaa muun muassa siten, että jotta digitaalinen elämämme voi toimia niin kuin sen on tarkoitettu toimivan, tulee yhteiskunnassa olla luottamus IT-tuotteiden ja -palveluiden kyberturvallisuuteen. Tässä auttaa se, että esimerkiksi organisaatio on sertifioitu kyberturvallisuusstandardien mukaisesti.

Standardien merkitys säädösten toimeenpanossa on huomioitu suoraan eri säädöksissä. Esimerkiksi NIS2-direktiivin 25 artiklassa on säädetty, että jäsenvaltioiden on 21 artiklan 1 ja 2 kohdan yhdenmukaisen täytäntöönpanon edistämiseksi kannustettava käyttämään verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia ja kansainvälisiä standardeja ja teknisiä eritelmiä ilman, että ne määräävät käyttämään jotain tiettyä teknologiaa tai harjoittavat syrjintää jonkin tietyn teknologian käytön suosimiseksi. 

Esimerkkinä NIS2 ja DORA-direktiivit

NIS2-direktiivi liittyy läheisesti CER-direktiiviin ja finanssialan digitaalista häiriönsietokykyä koskevaan DORA-asetukseen (Digital Operational Resilience Act). DORA tuli voimaan tammikuussa 2023, ja sitä sovelletaan 17.1.2025 alkaen. 

DORA:n tavoitteena on vahvistaa rahoituslaitosten, kuten pankkien ja vakuutusyhtiöiden, tietoturvaa ja varmistaa, että Euroopan rahoitusala pystyy pysymään joustavana vakavien toimintahäiriöiden sattuessa. Rahoitusala onkin yhä riippuvaisempi teknologiasta ja teknologiayrityksistä rahoituspalvelujen tarjoamisessa, mikä altistaa rahoituslaitokset kyberhyökkäyksille.

Vaikka DORA koskeekin pääasiassa rahoitusalan toimijoita, tulee kuitenkin muistaa, että jos tieto- ja viestintäteknisiä riskejä ei hallita asianmukaisesti, voivat ne johtaa rajat ylittävien rahoituspalvelujen häiriöihin, mikä voi vaikuttaa myös muihin yrityksiin ja toimialoihin.

Tällä hetkellä valmisteilla olevaan NIS2-direktiiviin liittyvään kansalliseen kyberturvallisuuden riskienhallinnasta annettavan lain soveltamisalaan ei ehdoteta sisällytettävän finanssialan toimijoita, mitä Finanssiala ry pitää johdonmukaisena, koska DORA on NIS2-direktiiviin nähden erityislainsäädäntöä. Lisäksi se asettaa finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.

Kyberturvallisuuden riskienhallinta

NIS2-direktiivin perusteella toimijoilla, joita se koskee, tulee olla ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. 

Direktiivin 21 artiklan mukaan toimijoiden tulee toteuttaa asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.

Direktiivin 21 artiklassa on myös todettu, että kun otetaan huomioon tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, tulee verkko- ja tietojärjestelmien turvallisuuden tason olla oikeassa suhteessa riskeihin. Oikeasuhtaisuutta arvioitaessa on otettava huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys sekä niiden vakavuus. 

Kyberturvallisuuden riskienhallinnan toimintamallin tulee direktiivin 21 artiklan mukaan pitää sisällään vähintään seuraavat kymmenen asiaa: 

  1. riskianalyysejä ja tietojäjestelmien turvallisuutta koskevat politiikat
  2. poikkeamien käsittely
  3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  5. verkko- ja tietojärjestemien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Toimijoilla tulee myös olemaan ilmoitus­velvollisuus merkittävistä poikkeamista direktiivin 23 artiklan mukaan. Merkittävällä poikkeamalla tarkoitetaan direktiivissä poikkeamaa, joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellista tappiota taikka poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Toimijan on ilmoitettava viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. Tämä tarkoittaa sitä, että toimijan on toimitettava ennakko­varoitus valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ja poikkeamailmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamatilanteen päätyttyä valvovalle viranomaiselle on vielä toimitettava loppuraportti.

Toimijan on myös tarvittaessa ilmoitettava ilman aiheetonta viivytystä palvelujensa vastaanottajille merkittävästä poikkeamasta, joka todennäköisesti vaikuttaa haitallisesti kyseisten palvelujen tarjoamiseen.

Kyberturvallisuuskeskuksessa on valmisteilla suositus valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteiksi. Suositus julkaistaan lainsäädännön hyväksymisen jälkeen.   


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Suomen Standardisoimisliitto SFS
Teksti: Janne Kalli

Kansainvälinen standardointi on osa maailmanpolitiikkaa

Kansallisesti järjestäytyneen standardoinnin voidaan katsoa alkaneen 1900-luvun alussa. Suomalainen standardointi alkoi vuonna 1924. Näinä aikoina standardeja laadittiin alueellisesti maittain, ja tämä tyydytti tarpeet. 

Kansallisesti järjestäytyneen standardoinnin voidaan katsoa alkaneen 1900-luvun alussa. Ison-Britannian kansallinen järjestö perustettiin ensimmäisten joukossa vuonna 1901. Suomalainen standardointi alkoi vuonna 1924. Näinä aikoina standardeja laadittiin alueellisesti maittain, ja tämä tyydytti tarpeet. 

Toisen maailmansodan jälkeen huomattiin, että kansallisten standardien sijaan tarvittiin enenevässä määrin myös kansainvälisiä standardeja. Kansainvälinen standardointijärjestö (ISO) perustettiin kansallisten standardointijärjestöjen toimesta vuonna 1947. Vielä vuosikymmeniä tämän jälkeen standardointia tehtiin suurimmaksi osaksi kansallisesti – muutoksen siemenet oli kuitenkin kylvetty. 

Nykyään lähes kaikki standardit laaditaan kansainvälisenä yhteistyönä. Vain poikkeuksellisissa yksittäistapauksissa päädytään laatimaan kansallinen standardi. Pelikenttänä ja markkinapaikkana on usein koko maailma. On tyypillistä, että isot maat ovat aktiivisia kansainvälisessä standardoinnissa. Esimerkiksi Yhdysvallat, Ranska, Saksa, Kiina, Japani, Kanada ja Iso-Britannia vaikuttavat kansallisten järjestöjensä kautta kansainvälisissä standardointijärjestöissä. Näiden maiden edustajia löytyy usein ISOn sadoista eri aihealueita standardoivista komiteoista ja niiden työryhmistä. 

Aktiivisuus ja panostaminen ovat viime vuosina merkittävästi lisääntyneet, mikä on seurausta maailman­politiikan kiristymisestä. Maat pyrkivät edistämään omia etujaan ja varmistamaan, että niiden käytännöt ja ratkaisut ovat edustettuina kansainvälisissä standardeissa. Määrätietoisten panostusten takia Kiina on kasvanut 20 vuodessa standardoinnin pienestä maasta sen suurvallaksi. Kansainvälisen standardoinnin perinteiset suurmaat Euroopassa sekä Yhdysvallat ovat vastanneet tilanteeseen panostuksiaan lisäämällä.

Ruotsi panostaa turvallisuusjohtamisen standardien laadintaan

Koska pienemmillä mailla on muita vähemmän resursseja, on niiden harkittava isoja tarkemmin, mihin osallistutaan eli panostetaan ja millaisin tavoittein. On mielenkiintoista, että naapurimaamme Ruotsi on päättänyt panostaa erityisesti juuri turvallisuusjohtamista koskevien kansainvälisten standardien laadintaan.

Ruotsin kansallisella standardointijärjestöllä (SIS) on vetovastuu kansainvälisiä yhteiskunnan turvallisuutta koskevia standardeja laativassa teknisessä komiteassa (ISO/TC 292 Security and resilience). Ruotsin turvallisuusvirastolla (MSB, Swedish Civil Contingencies Agency) on merkittävä rooli komitean toiminnassa ja johtamisessa. MSB:n edustaja toimii komitean puheenjohtajana. Lisäksi virasto osallistuu aktiivisesti komitean useisiin työryhmiin, joissa määritetään muun muassa kriisinhallinnan, kriisinkestävyyden, väestön­suojelun ja toiminnan jatkuvuudenhallinnan ISO-standardit.

Pitkäjänteinen panostaminen tuo hyötyjä ja vaikutuksia

Otin yhteyttä MSB-kontaktiini, Stefan Tangeniin, selvittääkseni, miksi MSB haluaa panostaa yleisesti turvallisuusalan ja erityisesti turvallisuusjohtamisen standardointiin. Kävi ilmi, että MSB osallistuu standardointiin suunnitelmallisesti ja laaja-alaisesti. Turvallisuusjohtamisen standardien lisäksi MSB:n huomio on laaja-alaisesti kaikessa turvallisuutta koskevassa kansainvälisessä standardoinnissa. Tämä pitää sisällään muun muassa paloalan ja vaarallisten kemikaalien kuljetuksen. 

Tangen korostaa, että standardit täydentävät ruotsalaista lainsäädäntöä ja viranomaismääräyksiä. ”Sen sijaan, että keksisimme kaiken itse, voimme asettaa turvallisuustasot kansallisten sääntöjemme mukaisesti, mutta viittaamme erilaisiin standardeihin, jotka kertovat, miten vaatimukset voidaan käytännössä täyttää”, toteaa Tangen.  

Suomessa tällä tavoin toimii ainakin TUKES. Virasto ylläpitää listoja standardeista, joita noudattamalla erinäisten laitteiden ja tuotteiden turvallisuutta ja turvallista käyttöä koskevat vaatimukset tulevat täytetyiksi.

Omasta näkökulmastani voin todeta, että ruotsalaisten esimerkillinen toiminta ja hyvä johtaminen ISOn turvallisuuskomiteassa (ISO/TC 292) on kantanut hedelmää. Komiteasta on kasvanut oma turvallisuusklusterinsa, johon kerääntyy alan ammattilaisia ympäri maailmaa.

Maantieteellisten, kulttuuristen tai muiden syiden vuoksi osa maista saattaa keskittyä enemmän tsunamivaroitusjärjestelmien standardointiin, toiset panostavat väestönsuojia koskevaan aihepiiriin ja osa on kiinnostunut kriisin­kestävyydestä yleisesti. 

Yhtä kaikki, tämä johtaa ja on johtanut siihen, että turvallisuusalan ammattilaisilla on nykyisin käytössään lukuisia kansainvälisiä ISO-standardeja, joita voidaan hyödyntää ja soveltaa tapauskohtaisesti, kun halutaan johtaa ja hallita turvallisuutta eri tilanteissa, ympäristöissä, tarpeissa ja organisaatioissa. 

Emme siis puhu ainoastaan laitteista tai tuotteista vaan turvallisuusjohtamisesta. Jää nähtäväksi, nousevatko tällaiset astetta abstraktimmat vaatimukset ja ohjeistukset vielä jonain päivänä viranomaisten ylläpitämiin listoihin. Toisaalta oleellista on se, että turvallisuusalan asiantuntijat ovat tietoisia kyseisistä standardeista ja pääsevät niihin halutessaan käsiksi. Tämä onnistuu jo tänään.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Nato ja turvallisuusyritykset
Nato
Teksti: Matti Valli

Nato-jäsenyys avaa mahdollisuuksia elinkeinoelämälle

Kun Suomi liittyi Natoon, ovet avautuivat myös yrityksille. Jäsenyys poistaa muodolliset esteet, joita kaupankäynnin tiellä on ollut – kuten sen, että jäsenmaat mielellään tekevät puolustukseen liittyviä hankintoja vain toisista jäsenmaista. 

Naton kokonaisbudjetti on tänä vuonna noin 3,7 miljardia euroa, ja sen on suunniteltu kasvavan tulevina vuosina. Teollisuutta ja hankintoja koskeva päätöksenteko tapahtuu pääosin Naton siviilirakenteissa. Naton sotilaallinen rakenne suunnittelee joukkojen sijoittelua ja sotilasoperaatioita.  

Nato-kauppoja tehdään ennen kaikkea kahden yhteishankintaorganisaation kautta. Ne ovat NATO Support and Procurement Agency (NSPA) ja NATO Communications and Information (NCIA). Nato organisaationa ostaa yllättävän vähän itselleen. Naton omat hankinnat ovat lähinnä johtamisjärjestelmiä, joita se ostaa NCIA:n kautta.  

Jäsenmaiden puolustusvoimat voivat käyttää hankinnoissaan NSPA:ta, jota voidaan verrata suomalaiseen Hanseliin. NSPA:ssa on tarjouspyyntöjä aurinkolaseista suksiin, suojanaamareista veneisiin, lentokoneisiin, ammuksiin ja ohjuksiin, eli kaikkea mitä sotajoukot tarvitsevat. Eri maiden puolustusvoimat tekevät NSPA:n kautta myös suorahankintoja yritysten palvelu- ja tuotetarjonnasta.   

NSPA:n hankintapolitiikkaan kuuluu ajoittain tarkistaa, onko jokin Nato-maa saanut sen kautta riittävästi kauppaa. Jos ei ole, NSPA voi ohjata hankintoja tällaisen maan teollisuudelle. Kyse on tasoittamisen politiikasta, josta pääsevät osallisiksi vain Naton jäsenet. Nato-kumppaneilta tämä mahdollisuus on suljettu. 

Tarpeita laidasta laitaan 

Puolustus- ja Ilmailuteollisuus PIA ry:n pääsihteeri Tuija Karanko on toiminut Naton teollisuusryhmän, NATO Industrial Advisory Group (NIAG), ensimmäisenä varapuheenjohtajana maaliskuun alusta alkaen. 

”Ryhmässä on edustettuina kaikkien Nato- ja kumppanimaiden teollisuuden johto, yhteensä yli 100 delegaattia. Ryhmä on osa Naton siviilirakennetta, ja se raportoi puolustusinvestoinneista vastaavalle Naton apulaispääsihteerille. Natolla on tarpeita laidasta laitaan, eivätkä hankinnat koske vain puolustusteknologiaa- tai teollisuutta vaan myös esimerkiksi kulutustarvikkeita ja eri palveluita”, Karanko kertoo. 

Nato on monisyinen ja kerroksellinen julkinen hankintaorganisaatio, jonka toimintatavat ja säännöt vaihtelevat organisaation osien kesken. Suhteessa järjestön jäsenmaihin Naton roolina on yhteisen puolustuksen suunnittelu, ja jäsenmailta edellytetään muun muassa yhteensopivuuden edistämistä.  

”Yhteisten standardien perusteella teollisuus voi rakentaa yhteentoimivia tuotteita ja palveluita koko organisaation käyttöön. On tutkimusyhteistyötä ja innovaatioiden edistämistä. Halutessaan jäsenmaat pääsevät mukaan erilaisiin yhteisprojekteihin”, Karanko toteaa.

Menettelytapojen ja sääntöjen viidakko  

Kuten kaikissa julkisissa hankinnoissa, myös Naton hankinnoissa sääntöjen noudattaminen on erityisen tärkeää.  Danske Bankin helmikuussa pidetyssä webinaarissa asianajotoimisto Hannes Snellmannin julkisiin hankintoihin erikoistunut asianajaja Outi Jousi kertoi, että mitään yhteistä hankintasääntöä tai -lakia Natossa ei ole, vaan erilaisia sääntöjä ja menettelytapoja on useita. Noudatettavat menettelyt ja säännöt riippuvat muun muassa hankkivasta virastosta.  

”Hankintoja ei ole keskitetty esimerkiksi yhteen virastoon, vaan useat erilaiset organisaatiot ja virastot tekevät eri alojen hankintoja. Hankinnoissa noudatettavat säännöt vaihtelevat muun muassa hankkivan tahon, rahoituslähteen sekä hankinnan arvon mukaan”, Jousi totesi. 

Tarjousten vertailussa saatetaan huomioida tarjouspyynnössä ilmoitettujen kriteerien lisäksi myös kunkin jäsenmaan teollinen tuottoaste eli kuinka paljon maahan on tehty sopimuksia suhteessa maahan tehtyihin myynteihin.  

Sopimusten kesto on yleensä, optiot mukaan lukien, maksimissaan viisi vuotta. Sopimuksissa käytetään tavallisesti vakioehtoja. Myös alihankinta Naton jäsenmaassa sijaitsevalta yritykseltä on mahdollista, mikä voi avata liiketoimintamahdollisuuksia pienemmillekin toimijoille.  

Jousi kertoo, että hankintamenettelyt eivät yleensä sisällä neuvotteluja ja kilpailutukset ratkaistaan usein hinnan perusteella. Kuitenkin osa menettelyistä mahdollistaa neuvottelut, ja osa taas mahdollistaa hankinnan jopa ilman tarjouskilpailua. Kulloisenkin hankinnan säännöt on luettava tarkasti, ja niitä on myös noudatettava tarkasti. Sopimuksissa noudatetaan hankintamaan lakia.  

”Muutoksenhakumahdollisuudet vaihtelevat sen mukaan, millaista hankintamenettelyä on noudatettu ja mikä on rahoituslähde. Nato ei kuulu minkään valtion lainkäyttövallan alle, joten Naton hankintaprosesseja koskevat riidat käsitellään soveltuvassa Naton virastossa”, Jousi sanoo.  

Mutta miten päästä mukaan? Jousi neuvoo, että ainakin on seurattava aktiivisesti sivustoja, joilla Naton virastot ja muut hankkivat tahot ilmoittavat tarjouskilpailuista. 

Soveltuvuustodistus logistiikkalaitokselta   

”On myös rekisteröidyttävä hankinta- ja toimittajarekistereihin, jollainen on esimerkiksi NCIA:n Neo eProcurement, ja ilmoittauduttava mukaan sopiviin puitejärjestelyihin. Kilpailutuksiin osallistuminen edellyttää soveltuvuustodistuksen (Declaration of Eligibility, DoE) hankkimista. Suomessa niitä myöntää puolustusvoimain logistiikkalaitos”, Jousi selventää. 

DoE on soveltuvuustodistus, jolla yritys todistaa, että sillä on riittävät tekniset, ammatilliset ja taloudelliset voimavarat hankinnan toteuttamiseen. Hankintaorganisaatio NSPA tarkastaa yrityksen taustat, rahoituksen ja omistajasuhteet ennen kuin yritys hyväksytään NSPA:n jäseneksi.  

”Jäsenet pääsevät mukaan NSPA:n sähköiseen hankintaprosessiin ja
-portaaliin, jossa ne voivat esitellä palvelujaan ja tuotteitaan sekä nähdä tarjouspyyntöjä”, Jousi kertoo. 

Jokaiseen hankintaan tarvitaan uusi soveltuvuustodistus, paitsi tietyissä puitejärjestelyissä, joissa hankittu todistus on voimassa kaikissa kyseisen puitesopimuksen alaisissa tarjouksissa. 

Tarjouskilpailuissa tarvitaan myös Natossa käytössä oleva organisaatiokoodi, NCAGE-koodi, joka vastaa suomalaista Y-tunnusta. Hakemuksen voi tehdä kätevästi verkossa.  

Millainen sitten on hyvä tarjous? Jousi kertaa perussäännöt ja painottaa, että ohjeet on luettava huolellisesti ja että tarjous sisältää kaiken tarvittavan. Kysymys-vastaus -vaiheessa voidaan esittää kysymyksiä ja huomioita. Tarjouspyynnön ehtoihin ei pidä tehdä varaumia. On tarjottava vain sitä, mitä on pyydetty, ja tarjous on jätettävä ajoissa.  

”Tarjoustoimintaa helpottaakseen Naton virastot järjestävät tapahtumia, kuten “Industry Days” ja hankintaseminaarit, joissa on mahdollista esimerkiksi saada tietoa oman alan hankintoihin liittyvistä tulevista vaatimuksista”, Jousi kertoo.

Avainsanana yhteiskäyttöisyys    

Tampereen Kauppakamari -lehdessä Patrian varatoimitusjohtaja Reima Kuutsa nostaa esiin sen, että yksi mahdollisuus tehdä kauppaa on lähteä mukaan yhteenliittymänä ison yrityksen, kuten juuri Patrian, sateenvarjon alla.  

Kuutsan mukaan teollisuuden on rakennettava tuotteita ja palveluja, jotka sopivat yhteen kattavasti kaikilla aloilla. Ei kannata kehittää esimerkiksi vain yhdelle puolustushaaralle sopivaa satelliittijärjestelmää. 

Kuutsa kehuu Naton verkkosivuja, ja ylipäätään Nato jakaa tietoa itsestään varsin avoimesti nettisivuillaan ja omissa tilaisuuksissaan – on vain tiedettävä, mitä hakee. Jokaisessa huippukokouksessa julkaistaan julkilausuma, jossa esitellään tavoitteet tulevasta teknologisesta suunnasta ja painotuksista. Myös Puolustus- ja ilmailuteollisuus PIA ry ja Teknologiateollisuus ry pitävät jäsenilleen Nato-infoja. Tietoa voi etsiä myös puolustusministeriön kotisivuilta.  

”Kun alkaa seurata Natoa, on ehdottomasti selvitettävä siviiliorganisaation rakenne ja tunnistettava paikat, joissa teollisuus voi olla mukana ja missä voi pyrkiä vaikuttamaan. Teollisuuden kannattaa selvittää Naton joukkorakennetta, koska se kertoo, minkälaisia Nato-joukkoja on eri maissa ja millä tavoin niitä varustetaan”, Kuutsa mainitsee. 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Turvallisuustekniikka
Teksti: Jyri Paasonen ja Laura Paasonen

Mirasys – suomalaista VMS-osaamista maailmalla 

Mirasys on suomalainen videonhallintaohjelmistojen pioneeri, joka toimii  jo yli 40 maassa. Ohjelmistokehitys tehdään edelleenkin Suomessa.

Kävin vierailemassa Mirasys Oy:n toimitiloissa Espoon Otaniemessä, kun yrityksen toimitusjohtaja Carl Raubenheimer oli käymässä Suomessa. Paikalla oli myös yrityksen hallituksen puheenjohtaja Hannu Kankkunen. 

Raubenheimer kertoo omasta taustastaan, että hän kasvoi Etelä-Afrikassa ja meni siellä turvallisuusalalle töihin armeijapalveluksensa jälkeen. Hän muutti vuonna 2000 vaimonsa kanssa Yhdysvaltoihin, jossa hän on työskennellyt kameravalvonnan parissa. 

Raubenheimer meni töihin Mirasys Oy:hyn vuonna 2014, kun Video Managament System (VMS) -markkinoiden voimakas kasvu alkoi Yhdysvalloissa. Hän kertookin, että on nähnyt uransa aikana kameravalvonnan kehityksen analogisesta IP:hen.  

Mirasys Oy on suomalainen videonhallintaohjelmistojen pioneeri, joka on perustettu vuonna 1997. Yritys toimii jo yli 40 maassa. Ohjelmistokehitys tehdään edelleenkin Suomessa.   

Tekoäly tulee vaikuttamaan alalla valtavasti   

Raubenheimer toteaa, että olemme käymässä turvallisuusalalla läpi uutta kasvuvaihetta IP:stä tekoälyyn ja sitä, miten tekoäly pystyy tarjoamaan lisäarvoa kameravalvontaan. Hän mainitsee esimerkkinä Yhdysvaltojen kouluampumiset ja niihin liittyvät aseiden havaitsemiseen kohdistuvat kehittämistarpeet. Aiheesta on puhuttu jo pitkään, mutta vasta nyt on realistista, että kohtuullisella investoinnilla saa kouluun aseiden havaitsemisjärjestelmän, mikä ei ollut ennen mahdollista.   

Raubenheimerin mielestä tekoälyn hyödyntäminen ja VMS:n mahdollisuudet on vasta nyt ymmärretty eri toimialoilla. Hän korostaakin, että Mirasysin menestyksen avain on juuri siinä, että se ei kehitä omia kameroita, omaa suljettua verkkoa tai arkkitehtuuria.  

Hän näkee, että avoin arkkitehtuuri on heidän suurin vahvuutensa alalla. Esimerkiksi Yhdysvalloissa kasinoalan asiakkaille hän kertoo aina, että he voivat itse valita, mitkä kamerat he vain haluavat, niin Mirasys tarjoaa VMS:n.

Kasinojen turvallisuus ja tiukka sääntely Yhdysvalloissa 

Raubenheimer muistelee, että Mirasysin ensimmäinen kasinoasiakas oli Desert Diamond -kasino, jonka järjestelmässä oli noin 300 kameraa hyvin pienessä valvomossa. He eivät edes käyttäneet joystick-ohjaimia, vaan ainoastaan näppäimistöä ja hiirtä.  

Hän kertoo, että kasinomarkkinat ovat Yhdysvalloissa yksi säännellyimmistä toimialoista. Kasinoiden valvontaan liittyen säännökset sisältävät muun muassa kameravalvonnan kattavuuden sekä tallenteiden asianmukaisen säilyttämisen ja laadukkuuden mahdollista rikosteknistä analysointia varten.  

Raubenheimer toteaakin, että paljon on tapahtunut kehitystä vanhoista ajoista ja he ovat saaneet tehtyä myyntiä, sillä nykyään maailman suurimpiin kasinoihinkin on asennettu Mirasysin VMS, kuten Caesars Palaceen Las Vegasissa. 

Kasinoiden osalta merkittävää on sääntelyn velvoitteiden lisäksi, että valvomossa pitää pystyä tehokkaasti käyttämään kameravalvontaa reaaliaikaisten tapahtumien seuraamiseksi. Lisäksi pitää pystyä nopeasti hakemaan tallennetut tiedot, joten käyttämisen pitää olla helppoa.  

Raubenheimer kertoo, että tämä on ollut heidän yksi vahvuutensa, koska käyttäjät oppivat Mirasysin VMS:n käytön muutaman tunnin koulutuksen aikana. Heidän VMS on asennettu 52:een eri kasinoon, ja se asennetaan vielä kymmeneen uuteen kasinoon vuoden 2024 aikana.  

Esimerkkinä Seneca Nationin kohteet

Raubenheimer kertoo asiakasesimerkin siitä, kuinka heidän VMS:ää voidaan hyödyntää monipuolisesti. Seneca Nation ylläpitää lomakeskus- ja kasinokiinteistöjä New Yorkin osavaltiossa. He halusivat kehittää kiinteistöjensä turvallisuusjärjestelmiä, ja tehtävään valittiin turvallisuusjärjestelmäintegraattori Surveillance Systems Inc.  

Osana kehittämistä etsittiin VMS-kumppania, joka oli avoin ja antoi heille mahdollisuuden työskennellä minkä tahansa saatavilla olevan kolmannen osapuolen laitteiston tai ohjelmiston kanssa. Mirasys kävi heidän kanssaan yhteistyökeskusteluja ja pyysi heitä laatimaan listan ominaisuuksista, jotka he halusivat nähdä järjestelmässä ja joita ei tällä hetkellä ollut.  

Mirasys tarjosi tähän etenemissuunnitelman jokaisen asiakkaan haluaman ominaisuuden integroimiseksi. Asiakas oli erittäin tyytyväinen ja valitsi Mirasysin VMS:n toimittajaksi. 

Kehitystyö sisälsi laajoja päivityksiä, ja yli tuhat kameraa siirrettiin Mirasys VMS:ään. Raubenheimer korostaa, että samalla kun asennettiin uusia turvallisuusjärjestelmiä ja kameroita, oli tärkeää, että vanhat järjestelmät pystyivät toimimaan normaalisti rinnalla. Kasinon oli oltava koko uudistuksen ajan auki valtavien rahallisten tappioiden välttämiseksi.  

Asiakas ja integraattori olivat erittäin tyytyväisiä lopputulokseen, koska uudistuksen myötä VMS:n ominaisuudet auttavat tekemään nopeampia tarkastuksia, jotka puolestaan helpottavat valvontahenkilöstön työtä saada rikoksentekijät kiinni sekä auttavat lainvalvontaviranomaisia ​​ja kasinoa pitämään tietyt henkilöt poissa kiinteistöstä. 

Raubenheimer kertoo, että kasinoilla on olemassa luettelo, joka sisältää tunnetut huijarit ja ongelmapelaajat. New Yorkin osavaltio vaatiikin kasinoita pitämään listaa peliriippuvaisista henkilöistä. Jos henkilö tulee kasinolle, on hänet lain mukaan saatettava sieltä pois. 

Mitä tulevaisuus tuo tullessaan? 

Raubenheimer näkee, että Mirasysillä on tällä hetkellä erittäin hyvä kasvumahdollisuus. Uudistuksiakin organisaatiossa on tehty, joiden myötä myös johto on vaihtunut. Hän toteaa, että yritys on oppinut virheistään ja menee vauhdilla eteenpäin. 

Raubenheimer kertoo, että tämän vuoden aikana otetaan käyttöön VMS:n versio 10. Lisäksi käyttöön tulee Mirasysin kehittämä tekoäly. Kilpailua alalla on, mutta he ovat menestyneet hyvin eri toimialoilla ja eri maissa.  

Avoimen arkkitehtuurin lisäksi Raubenheimer pitää menestyksen avaimena heidän kustannustehokkuuttaan ja joustavuuttaan, koska monet kilpailijat ovat paljon kalliimpia. Lisäksi useampi kilpailija velvoittaa sopimuksissaan uudempien versioiden päivitykseen nostaen samalla hintoja. Mirasysin VMS:n vanhoista versioista voi puolestaan olla aina tekniseen tukeen yhteydessä. 

Kankkunen kertoo, että Mirasysin osalta on mielenkiintoista, että monesti jokin yritys voi olla Suomessa menestyvä, mutta ei kansainvälisesti. Mirasys on puolestaan kasvanut enemmän ulkomailla kuin Suomessa. Mirasysillä on liiketoimintaa Euroopassa, Yhdysvalloissa ja Aasiassa, kuten Intiassa, Singaporessa ja Thaimaassa. Raubenheimer toteaa, että Aasiassa on menossa isoja projekteja ja myös Etelä-Amerikkaan ollaan panostamassa. Heillä onkin jo yksi toimisto Brasiliassa.  

Tulevaisuus näyttää siis hyvin positiiviselta. Raubenheimer kertoo, että hän rakastaa Suomea ja on aina mukava tulla käymään täällä. Hän myös kertoo aina asiakkaille, että Mirasys on Suomesta ja siellä kannattaa käydä, koska se on erittäin kaunis maa. Kankkunen nauraa ja toteaa, että valtion pitäisi palkata Raubenheimer Suomen viennin edistäjäksi maailmalle.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Tukes prosessiturvallisuus
Prosessiturvallisuus
Teksti: Veikko Kujala ja Sari Tappura

Tukesin uusi prosessiturvallisuusjärjestelmä tukee yritysten turvallisuustyötä

Tukesin uusi prosessiturvallisuusjärjestelmän malli on tarkoitettu erityisesti Tukesin valvomien vaarallisia kemikaaleja laajamittaisesti käsittelevien ja varastoivien tuotantolaitosten turvallisuustyön tueksi.

Prosessiturvallisuus on prosessien ja kemikaalien vaarojen hallintaa. Prosessiturvallisuusriskit ovat luonteeltaan akuutteja poikkeamia, kuten räjähdyksiä, tulipaloja ja terveydelle tai ympäristölle vaarallisten aineiden vuotoja. Ne voivat johtaa vakaviin seurauksiin, jotka liittyvät ihmisten terveyteen, ympäristöön tai omaisuuteen. 

Yrityksillä on oltava prosessiturvallisuuden hallintaan systemaattiset ja dokumentoidut menettelytavat, joihin koko organisaation on sitouduttava.    

Suomessa toimivissa teollisuuslaitoksissa prosessiturvallisuus huomioidaan yleisesti hyvin laitosten suunnitteluvaiheessa. Prosessivaarat osataan tunnistaa ja riskit arvioida. Hyvä suunnittelu onkin keskeisessä roolissa prosessiturvallisuuden hallinnassa.  

Prosessiturvallisuus ei kuitenkaan näy tuotantolaitosten turvallisuusjohtamisjärjestelmän keskeisenä tekijänä, joka on välttämätön laitoksen turvallisen operoinnin ja muutostilanteiden näkökulmasta.  

Kansainvälisesti prosessiturvallisuuden tärkeys osana toimivaa turvallisuusjohtamisjärjestelmää on tunnistettu – useat organisaatiot ovat määrittäneet menettelytapoja ja standardeja prosessiturvallisuuden hallintaan.  

Tukes julkaisi joulukuussa 2023 prosessiturvallisuusjärjestelmän mallin, joka on ensimmäisiä Suomessa julkaistuja prosessiturvallisuuden kokonaisuuksia turvallisuusjohtamisjärjestelmän näkökulmasta.  

Prosessiturvallisuus osana johtamisjärjestelmää 

Prosessiturvallisuusjärjestelmä on johtamisjärjestelmän kokonaisuus, joka keskittyy kemikaaleista ja prosesseista aiheutuvien riskien hallintaan. Prosessiturvallisuusjärjestelmä voi olla integroitu yrityksen yleiseen johtamisjärjestelmään, tai se voi olla erillinen kokonaisuus, joka otetaan huomioon prosessiturvallisuusvaaroja omaavissa toiminnoissa. Sen tavoitteena on ehkäistä henkilö-, ympäristö- ja omaisuusvahinkoja sekä varmistaa toiminnan häiriöttömyys. 

Prosessiturvallisuusjärjestelmää tarvitaan, sillä perinteiset turvallisuusjohtamisjärjestelmät (esimerkiksi ISO 45001 -standardi) eivät kata riittävästi prosessiturvallisuusnäkökulmia. Prosessi- ja työturvallisuusriskit eroavat toisistaan sekä todennäköisyyden että seurausten vakavuuden näkökulmasta. 

Prosessiturvallisuustapahtumat ovat tyypillisesti todennäköisyydeltään pienempiä mutta seurauksiltaan vakavampia kuin työturvallisuuteen liittyvät vahingot. 
Tukesin prosessiturvallisuusjärjestelmän mallin tarkoituksena ei ole korvata tai kattaa koko johtamisjärjestelmää. Se tuo prosessiturvallisuusnäkökulmat huomioitavaksi johtamisjärjestelmään oleellisin osin. Malli on suunniteltu auttamaan yrityksiä kemikaaleista ja prosesseista aiheutuvien riskien hallinnassa. 

Mallissa kuvataan vaatimusten lisäksi hyväksytyt menettelytavat niiden noudattamiseksi. Tukesin prosessiturvallisuusjärjestelmän malli perustuu kemikaaliturvallisuussäännöksiin, Seveso III -direktiivin pohjalta laadittuihin ohjeisiin sekä Tukesin asiantuntijoiden arvioihin.  

Prosessiturvallisuusjärjestelmän vaatimukset selkeyttävät ja yhdenmukaistavat Tukesin tekemää kemikaaliturvallisuuslainsäädännön tulkintaa, sekä tuovat sen näkyväksi yrityksille. Prosessiturvallisuusjärjestelmän vaatimukset koskevat Tukesin valvomia, laajamittaisesti vaarallisia kemikaaleja käsitteleviä tai varastoivia tuotantolaitoksia. Mallia voidaan hyödyntää myös muissa prosessilaitoksissa ja toimialoilla, joissa on prosessivaaroja.   

Prosessiturvallisuusjärjestelmän osa-alueet   

Tukesin prosessiturvallisuusjärjestelmän malli koostuu useista osa-alueista ja elementeistä, jotka yhdessä muodostavat kattavan kokonaisuuden prosessiturvallisuuden hallintaan. Jokaiselle vaatimukselle on tunnistettu myös hyväksytty menettelytapa, joka kuvaa Tukesin tunnistamaa tapaa täyttää vaatimus – myös muita tapoja vaatimuksen täyttämiseksi voi olla.  

Toteutusratkaisut ja toimenpiteet vaatimusten täyttämiseksi voivat olla erilaisia tuotantolaitoksen riskeistä, toiminnan laajuudesta ja organisaation rakenteesta riippuen. Vaatimukset ja hyväksytyt menettelytavat on esitetty yksityiskohtaisesti Tukesin verkkosivuilla. Tukesissa on tehty myös asiakkaiden käytettäväksi arviointityökalu, jonka avulla yritys voi arvioida turvallisuusjohtamisjärjestelmänsä kattavuutta prosessiturvallisuusjärjestelmän vaatimuksiin verrattuna.

 

Prosessiturvallisuusjärjestelmän hyödyntäminen   

Prosessiturvallisuusjärjestelmä on keskeisessä osassa Tukesin tekemää kemikaalilaitosten valvontaa. Laaditun vaatimuskokonaisuuden ja arviointityökalun avulla yritykset voivat tunnistaa kehityskohteita turvallisuusjohtamisjärjestelmässään.    

Tukes opastaa asiakkaitaan prosessiturvallisuusjärjestelmän arvioimisessa ja kehittämisessä. Jatkossa prosessiturvallisuusjärjestelmän vaatimuksia hyödynnetään Tukesin valvomien kemikaalilaitosten lupien käsittelyssä ja valvonnassa sekä Tukesin toiminnan kehittämisessä.   

Tutustu lisää

Tukesin prosessiturvallisuusjärjestelmä

Tukesin avoin oppimisympäristö

 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Lappia turvallisuuskoulutus
Koulutus
Teksti: Jyri Paasonen ja Laura Paasonen

Monipuolinen yhteistyöverkosto on turvallisuusalan koulutuksen elinehto

Ammattiopisto Lappian toiminta-alue kattaa 30 prosenttia Suomen pinta-alasta, mikä tarjoaa laaja-alaisen toimintakentän Lappian turvallisuusalalle.

Työelämäyhteistyö on tärkeä osa ammatillista koulutusta, ja sillä varmistetaan opiskelijoille hyvät valmiudet siirtyä työelämään. Työpaikat puolestaan saavat ammattitaitoista työvoimaa ja voivat vaikuttaa koulutuksen sisältöön vastaamaan heidän tarpeitaan. Turvallisuusalalle tulee opiskelijoita myös Lapin TE-toimiston kautta.  

Lappia tekee yhteistyötä Lapin alueella toimivien tapahtumien, festivaalien ja messujen järjestäjien kanssa, esimerkiksi WorldCup Levi -maailmancup-tapahtumassa. Tapahtumien ja yksittäisten yritysten kanssa tehtäviin yhteistyömuotoihin kuuluvat järjestyksenvalvonnan lisäksi pelastussuunnitelmien ja turvallisuusasiakirjojen laatiminen sekä niihin liittyvien perehdytysten ja harjoitusten toteuttaminen henkilökunnalle. 

Securitas Oy:n Lapin yksikön päällikön Eino Yrityksen mielestä yhteistyössä on erityisen tärkeää huomioida työelämän muuttuvat osaamistarpeet ja kehittää koulutusta vastaamaan niitä. Lappia ja Securitas käyvätkin tiivistä vuoropuhelua alasta ja sen koulutuksesta. Työpaikkaohjaajat osallistuvat aktiivisesti opiskelijoiden työelämän ohjaukseen ja seuraavat tulevaisuuden työntekijöiden kehittymistä. 

”Securitas Oy tarjoaa Lappian turvallisuusalan opiskelijoille mahdollisuuden päästä tekemään käytännössä turvallisuusalan työtehtäviä ympäri Lappia. Kymmenet valmistuneet opiskelijat ovat saaneet myös yrityksestämme työpaikan”, kertoo Yritys. 

Sammutinhuolto Redi Oy:ssä on ollut noin 20 vuoden aikana useita kymmeniä turvallisuusalan opiskelijoita työharjoittelussa Lappiasta. 

”Yrityksemme tarjoaa opiskelijoille monipuolisia sammutinhuoltoon ja alkusammutuskoulutuksiin liittyviä työtehtäviä useilla paikkakunnilla. Monipuoliset asiakaspalvelutehtävät erilaisissa ympäristöissä ovat tarjonneet opiskelijoille kokemuksia, jotka he tulevat muistamaan pitkään. Yrityksemme on ollut pitkään mukana työelämän edustajana turvallisuusalan koulutuksen kehitystyössä. Olemme todella tyytyväisiä siihen, että voimme osaltamme tukea ja kannustaa nuoria turvallisuusalan työtehtävissä”, toteaa Sammutinhuolto Redi Oy:n toimitusjohtaja Kimmo Heikka.   

Turvallisuusala monipuolisesti mukana myös hanketoiminnassa 

Hankkeisiin osallistumisen keskeisinä tavoitteina ovat verkostoituminen eri toimijoiden kanssa sekä uusien opetus- ja oppimismenetelmien kehittäminen Lapin alueen eri koulutusasteiden välillä. 

”Turvallisuusalan opettajat ja opiskelijat ovat osallistuneet kolmeen hankkeeseen viimeisten kolmen lukuvuoden aikana. Lapin eAmis -hankkeessa kehitettiin opiskelijoille tarjottavia digitaalisia opetus- ja ohjauspalveluja sekä edistettiin opettajien, opiskelijoiden ja työelämän digiosaamista. Living Lab Pruntsi – Älykkään asumisen kehittämis- ja oppimisympäristön toimintamalli -kehittämishankkeessa päätavoitteena oli suunnitella Kemiin eri toimijoiden käyttöön soveltuva älykkään asumisen kehittämis- ja oppimisympäristö”, kertoo turvallisuusalan osaamisalavastaava, opettaja Matti Heikkilä. 

Tällä hetkellä Lappian turvallisuusala on mukana syksyllä 2023 alkaneessa VAHVA – Turvallinen ja hyvinvoiva oppilaitosarki -hankkeessa. Hanke toteutetaan Rovaniemen koulutuskuntayhtymä REDUn ja Lappian yhteistyönä. 

”VAHVA-hanke on Opetushallituksen rahoittama projekti, jossa edistetään oppilaitoshenkilöstön turvallisuus- ja hyvinvointiosaamista, tuetaan ennakoivan turvallisuuskulttuurin luomista oppilaitoksiin sekä tiivistetään moniammatillista viranomais- ja verkostoyhteistyötä erilaisissa kriisi-, poikkeus-, väkivalta- ja uhkatilanteissa. Hanke sisältää henkilöstön täydennyskoulutuksia sekä tukimateriaalien ja toimintamallien luomista”, kertoo Sanna Hiltunen, VAHVA-hankkeen projektipäällikkö, Rovaniemen koulutuskuntayhtymä REDUsta. 

Hankkeen tuottamissa täydennyskoulutuksissa hyödynnetään Lappian turvallisuusalan erityisosaamista. Luonteva tapa tehdä yhteistyötä oli suunnitella yhdessä Lappian turvallisuusalan opettajien kanssa koulutuskokonaisuudet, jotka vastaavat juuri oppilaitoshenkilöstön tarpeeseen. Lappian henkilöstö tuntee hyvin ammatillisen koulutuksen erityispiirteet sekä on hyvin perillä siitä, millaisia haasteita ja tarpeita juuri toisen asteen oppilaitoksissa on turvallisuuteen liittyen. Koulutukset toteutetaan koko henkilöstölle pienryhmissä. Ne ovat toiminallisia ja perustuvat henkilöstön kuvaamiin potentiaalisiin uhkiin ja riskeihin. 

Osaamisalojen yhteistyöllä kehitetään tutkintojen sisältöjä 

Hyvä esimerkki osaamisalojen yhteistyöstä on Lappian turvallisuusalan ja liiketoiminta-alan yhteistyönä toteutettu ”Palveluvartija-kokonaisuus”. Tarve yhteisprojektiin tuli Kemi-Tornion alueen kauppiailta ja Securitas Oy:ltä.  

Projektissa tarjottiin liiketoiminnan ja turvallisuusalan opiskelijoille yhteinen opintokokonaisuus. Liiketoiminnan opettajat opettivat kauppaympäristössä vaadittavaa asiakaspalveluosaamista suomen kielen lisäksi ruotsin ja englannin kielellä. Turvallisuusalan opettajat puolestaan kouluttivat ryhmälle vartijan ja järjestyksenvalvojan koulutukset. Yhteistyöyritykset tarjosivat teoriakoulutuksen jälkeen heti työelämässä oppimispaikat, joissa opiskelijat suorittivat myös näytöt.

”Tämä oli todella mielenkiintoinen koulutusalojen rajat ylittävä yhteistyö. Turvallisuusalan opiskelijoille se avasi uusia näkökulmia tulevaan työhön. Liiketoiminnassa turvallisuusalan opinnot täydentävät hyvin myyntityöhön suuntaavien merkonomiopiskelijoiden osaamista”, toteavat liiketoiminnan alan opettajat Päivi Innala ja Heikki Tirinen. 

Turvallisuusalan koulutuspäällikkö Jani Harju on erittäin tyytyväinen ammattiopiston osaamisalojen ja konsernin sisäisten toimijoiden yhteistyöhön, jota tehdään myös konsernin omassa Lappia koulutus Oy:ssä, joka hyödyntää Lappian turvallisuusalan opettajien ammattitaitoa.  

Lappia koulutus Oy:n toiminta-alueena on koko Suomi, mutta pääpaino turvallisuusalan koulutuksissa on Lapissa. Koulutusvalikoimaan kuuluvat korttikoulutukset ja yrityksien tilauskoulutukset. Viime aikoina kysyntää on ollut ”Lappian mallilla”, jossa uhkakoulutuksen painopisteenä on itsetuntemuksen ja tilannetajun kehittäminen. 

Lappia koulutus Oy:n toimitusjohtaja Jari Iisakka kehuu yhteistyötä turvallisuusalan kanssa. Yhteistyön toimivuus sekä uusien koulutustuotteiden kehittäminen on tärkeää, ja siinä turvallisuusala on onnistunut hyvin.  

”Koulutusten kehittäminen ja tason ylläpitäminen vaatii osaamista, ja onneksi sitä Lapista löytyy. Yhteiskunnalliset sekä maailman muutokset haastavat meitä, ja turvallisuusympäristö tulee muuttumaan Lapissa erityisesti sen jälkeen, kun esimerkiksi kaikki puolustusliiton toiminnot eri alueilla ovat valmiita”, pohtii tulevaisuutta koulutuspäällikkö Harju.  


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Turvallisuus
Teksti: Mika Aintila

Valheenpaljastaminen

Yksityisetsivä- ja Lakitoimistoliitto järjesti valheenpaljastuskoulutusta. Aiheina olivat non-instrumentaalinen valheenpaljastus ja oikeudellinen käsialavertailu. 

Yksityisetsivä- ja Lakitoimistoliitto järjesti valheenpaljastuskoulutusta. Aiheina olivat non-instrumentaalinen valheenpaljastus ja oikeudellinen käsialavertailu. Koska valheenpaljastamisen aihe on laaja, osallistui osa koulutukseen osallistuneista myös myöhemmin Yksityisetsivä- ja Lakitoimistoliiton kunniapuheenjohtajan Lassi Rytkösen järjestämään workshoppiin, jossa teoriaa päästiin harjoittelemaan käytännössä pienessä ryhmässä. 

Käsialavertailusta luennoi Leena Toivonen. Toivonen on suorittanut opintoja Espanjassa Centro de Estudios Sócrates -oppilaitoksessa kriminologian ja käsialaväärennöksien linjalla. Hän on pätevä yksityisalalla toimiva käsialantutkija, käsialaväärennösten ja asiakirjaväärennösten asiantuntija. 

Non-instrumentaalisen valheenpaljastamisen kouluttajana toimi puolestaan Rytkönen. Hänellä on pitkä kokemus valheenpaljastamisesta ja valheenpaljastustesteistä. 

Molemmat koulutukset olivat koko päivän mittaisia. Koulutuksissa käytiin läpi lyhyesti myös instrumentaalisen- ja non-instrumentaalisen valheenpaljastamisen eroja. Instrumentaalinen valheenpaljastus tapahtuu laitteistoja ja analysointi-ohjelmistoja apuna käyttäen.  

Tunnetuin laite on polygrafi. Maailmalla on käytössä myös esimerkiksi ohjelmisto, joka perustuu ihmisen puheäänen analysointiin. Non-instrumentaalista valheenpaljastusta tekevät puolestaan kaikki ihmiset intuitiivisesti jollain tasolla, mutta asiaa voi myös opiskella ja harjoitella. 

Milloin valheenpaljastuskoulutuksesta on hyötyä? Ihmiset kohtaavat jokapäiväisessä elämässään valehtelua. Valheen tunnistamisesta hyötyvät niin lääkäri, opettaja kuin työnantajakin. Valheen tunnistaminen on tärkeää ihmissuhteissa, selvitettäessä väärinkäytöstä tai vaikka liikeneuvottelussa. 

Valheelle on monia syitä 

Henkilö voi valehdella antaakseen halutun kuvan itsestään tai toisesta, saadakseen suosiota, edun, tilaisuuden tai palkinnon tai saadakseen toiset toimimaan haluamallaan tavalla. Valhetta käytetään myös epämiellyttävän tilanteen, rangaistuksen tai häpeän välttämiseen tai toisten ihmisten vahingoittamiseen.  

Kyky valehteluun voidaan jakaa eri tasoihin. Valehteluun kyvykkäin on erittäin vahvalla tasolla. Tämän tason henkilöillä on kokemusta valehtelusta kanssa käymisessä valheenpaljastusasiantuntijoiden kanssa, esimerkiksi poliisikuulusteluissa, valheenpaljastustutkimuksissa tai kriminaalipsykiatrin vastaanotolla. Nämä ihmiset myös yleensä nauttivat valehtelemisen onnistumisesta. 

Koulutuksessa käytiin läpi myös sukupuolen, kulttuurin ja temperamentin vaikutusta valehteluun, ”vaikeampien persoonallisuuksien” profilointia sekä itse valheenpaljastamista: valehtelua indikoivien signaalien havaitseminen sanattomassa viestinnässä sekä kertomuksen analysointi kysymyksenasettelutekniikoiden ja -taktiikoiden avulla. 

Institutionaalinen kuuleminen   

Esimerkiksi poliisikuulusteluissa tai työntekijöiden kuulemistilaisuuksissa tilanne on erilainen kuin jokapäiväisen elämän tapahtumissa, koska kuultava on velvollinen olemaan paikalla tilaisuudessa.  

Yrityksissä työntekijää saatetaan kuulla henkilösuhteisiin liittyvissä ongelmissa tai väärinkäytösepäilyissä. Asiasta riippuen paikalla on esihenkilön ja kuultavan lisäksi usein muita henkilöitä, kuten luottamusmies tai työsuojelupäällikkö. 

Silloin kun työntekijää kuullaan väärinkäytösepäilyn vuoksi, tavoitteena voi olla irtisanominen ja mahdollinen rikosilmoitus, jos asiasta on varma näyttö. Jos asiasta on vain varteenotettava epäilys, on seurauksena tavallisesti varoitus. Tavoitteena on tällöin väärän toiminnan lopettaminen ja mahdollisesti saatu tunnustus. Jos väärinkäytöksestä on kameratallenne tai todistajia, myöntää kuultava syyllisyytensä todennäköisesti. Jos näyttö on epävarmaa, on ”seinä-kiiston” todennäköisyys suuri. 

Valheenpaljastuksen näkökulmasta olisi hyvä, jos paikalla olisi yksi henkilö, joka olisi perehtynyt henkilökuulemisiin ja jonka tehtävänä on vain seurata kuultavan reaktioita. Myös kysymysten esittäjien tulisi olla tilanteessa joustavia ja tuntea tehtävänsä, sillä valheenpaljastus perustuu osaltaan dynamiikkaan kysymysten ja reaktioiden välillä.  

Huomioon tulee kuitenkin ottaa, ettei mikään yksittäinen reaktio ole riittävä markkeri valheesta. Huolellinen perehtyminen tapaukseen etukäteen mahdollistaa oikeiden kysymysten asettelun, oikealla hetkellä. 

Henkilö ei välttämättä valehtele, vaikka hänen kertomansa ei vastaa todellisuutta. Kuultava saattaa muistaa väärin, tai hänellä on asiasta virheellinen käsitys. Tällöin henkilölle esitetään vaihtoehtoinen tapahtumankulku ja tarkkaillaan sen jälkeen, miten henkilö reagoi omassa kertomuksessaan. Mikäli henkilöllä on ollut vain erilainen käsitys asiasta, hän saattaa alkaa kyseenalaistamaan omaa subjektiivista käsitystään.   

Simulaatioharjoittelua 

Valheenpaljastuskoulutuksen erillisessä workshopissa simulaatioharjoitukset olivat rakennettu niin, että ne voisivat vastata esimerkiksi työntekijän kuulemista. Simulaatiossa harjoittelijoiden reaktiot olivat aitoja ja kuultavan totuudessa pysymistä voitiin oikeasti arvioida. 

Väärinkäytöstapauksissa kuultavaa henkilöä voidaan kysymyksillä ja hänen reaktioillansa niihin johdattaa kohti tunnustamista tai kuulemista voidaan käyttää tutkinnan suunnan löytämiseen. 

Kuten poliisikuulusteluissa ja muissa institutionaalisissa kuulemistilaisuuksissa, näissä harjoituksissakin annettiin ensin kuultavan kertoa tietonsa asiasta vapaana kerrontana, minkä jälkeen siirryttiin etukäteen laadittuihin, tavoitteiden mukaisiin kysymyksiin. 

Kaikki osallistujat pääsivät harjoittelemaan kaikissa rooleissa ja jokainen skenaario käytiin läpi kunkin harjoitteen jälkeen. Koulutukseen osallistuneet arvioivat, että koulutuksesta olisi riittänyt asiaa useammallekin päivälle tietosisältönsä ja tiiviytensä puolesta. 

Valheenpaljastaminen ei perustu pseudotieteisiin, vaan taustalla on filosofiaa, biologiaa ja psykologiaa – tieteellistä tietoa. Valheenpaljastaminen vaatii paljon harjoittelua ja harjaantumista. Yksityisetsiville koulutus oli ehdottomasti hyödyllinen, ja allekirjoittanut aikoo osallistua harjoituspäiviin myös jatkossa. 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Tietoturva
Teksti: Jyri Paasonen

Pois pois postin tieltä, posti se kulkee keskellä tietä

Posti Group Oyj (Posti) on ollut esillä henkilötietojen käsittelyyn liittyen, kun tietosuojavaltuutetun toimistoon tehtiin kahdeksan kantelua koskien Postin muuttoilmoitustietoja aikavälillä 24.2.2017–15.1.2020.

Otsikon hokema on historiaa siitä, että postitorven käyttäjille piti antaa vapaa kulku teillä. Postitorven käyttöön liittyi muitakin etuuksia, kuten lauttureiden piti kuljettaa posti maksutta jokien yli ja kaupunkien portit piti avata postinkuljettajille öisinkin. 

Posti Group Oyj (Posti) on ollut esillä henkilötietojen käsittelyyn liittyen, kun tietosuojavaltuutetun toimistoon tehtiin kahdeksan kantelua koskien Postin muuttoilmoitustietoja aikavälillä 24.2.2017–15.1.2020. Näistä asioista kuusi on saatettu vireille henkilötietolain voimassaoloaikana ja kaksi yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen.  

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Tietosuojarikkomukseksi katsottiin vuosina 2017–2019 tehdyt osoitteenmuutosilmoitukset, joiden aikana rekisteröidyille ei ollut informoitu tuote-ehtoja eivätkä ne tulleet aidosti rekisteröidyn hyväksyttäväksi, koska rekisteröidyt eivät tienneet oikeudesta kieltää tietojensa luovuttamista.  

Apulaistietosuojavaltuutettu ja seuraamuskollegio antoivat vuonna 2020 Postille 100 000 euron hallinnollisen seuraamusmaksun osoitetietojen automaattisesta luovuttamisesta ostopalveluna suoramarkkinointiyrityksille.  

Hallinto-oikeuden päätös 

Posti valitti päätöksestä hallinto-oikeuteen. Helsingin hallinto-oikeus on antamallaan päätöksellä 2.11.2021 (nro H5413/2021) hylännyt Postin valituksen apulaistietosuojavaltuutetun päätöksestä ja kumonnut yhtiön valituksen seuraamuskollegion päätöksen hallinnollisen seuraamusmaksun määräämisestä.  

Hallinto-oikeuden päätöksen perusteluissa on seuraamusmaksua koskevan ratkaisun osalta todettu, että kyseessä oleva rikkominen on koskenut suurta määrää rekisteröityjä ja jatkunut varsin pitkään. Hallinto-oikeus on kuitenkin päätöksessä kuvatulla tavalla todennut kyseessä olevan rikkomisen olleen osin tulkinnanvarainen.  

Hallinto-oikeuden mukaan seuraamusmaksun määrääminen Postille annetun huomautuksen lisäksi oli tehokasta ja varoittavaa. Hallinto-oikeus on päätöksessä kuvattujen seikkojen punninnan perusteella kuitenkin katsonut, että seuraamusmaksun määräämistä ei rikkomisen laatu ja sen rekisteröityihin kohdistuvat vaikutukset huomioiden kokonaisuutenakaan arvioiden voida pitää oikeasuhteisena seuraamuksena.  

Tähän nähden hallinto-oikeus on katsonut yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohtien perusteella, että seuraamuskollegiolla ei ole tässä tapauksessa ollut perusteita määrätä Postille seuraamusmaksua.

Korkeimman hallinto-oikeuden päätös 

Tietosuojavaltuutettu pyysi korkeimmalta hallinto-oikeudelta lupaa valittaa Helsingin hallinto-oikeuden päätöksestä. Tietosuojavaltuutettu vaati valituksessaan, että hallinto-oikeuden päätös kumotaan siltä osin kuin seuraamuskollegion päätös seuraamusmaksun määräämisestä on kumottu ja seuraamuskollegion päätös saatetaan voimaan.  

Korkein hallinto-oikeus myönsi valitusluvan ja antoi päätöksensä 12.9.2023 (KHO:2023:81). Korkein hallinto-oikeus katsoi, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa ja 13 artiklan 1 ja 2 kohdassa, joissa käytetään ilmaisua ”tietojen toimittaminen”, edellytettiin rekisterinpitäjältä aktiivisia toimenpiteitä sanotuissa kohdissa tarkoitettujen tietojen saattamiseksi rekisteröityjen tietoon.  

Postin ei ole voitu katsoa saattaneen tietoja edellä tarkoitetusta tietojen luovuttamisesta tietyille organisaatioille ja oikeudesta kieltää mainittu yhteystietojen luovuttaminen aktiivisin toimenpitein selkeästi niille sähköisen muuttoilmoituksen tehneille henkilöille, jotka eivät olleet saaneet postinohjauspalveluiden tuote-ehtoja hyväksyttäväkseen.  

Korkein hallinto-oikeus katsoi lisäksi, että seuraamuskollegio oli yleisen tietosuoja-asetuksen rikkomisen takia voinut määrätä Postille 100 000 euron suuruisen hallinnollisen seuraamusmaksun. Korkein hallinto-oikeus korosti seuraamusmaksun edellytysten arvioinnissaan, että Postin sähköisellä osoitteenmuutospalvelulla oli erittäin paljon käyttäjiä, joiden tietotekniset valmiudet vaihtelivat.

Hallinnolliset seuraamusmaksut herättävät keskustelua 

Hallinnolliset seuraamusmaksut ovat olleet viime vuosien aikana vilkkaan akateemisen tarkastelun kohteena. Eräs keskeinen impulssi tähän keskusteluun on ollut muun muassa Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytäntö koskien ne bis in idem -kieltoa (”ei kahdesti samassa asiassa”) tilanteessa, jossa sopimusvaltiossa on määrätty rikosoikeudellisen seuraamuksen ohella jokin muu seuraamus, jota valtion sisäisessä oikeudessa on pidetty muuna kuin rikosoikeudellisena seuraamuksena.  

Ne bis in idem -kiellon soveltamisala ei rajoitu vain rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös rangaistusluonteisiin hallinnollisiin seuraamuksiin. 

Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhtaista ja varoittavaa.  

Artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti. Tämän takia on tärkeää, että päätöksistä valitetaan ja saadaan ennakkopäätöksiä, kuten Postin tapauksessa. 

Euroopan tietosuojaneuvostossa on tunnistettu haasteet, kun seuraamusmaksujen määräämiskäytäntö ei ole ollut yhdenmukaista. Tämän takia he ovat laatineet muun muassa ohjeen hallinnollisten seuraamusmaksujen laskemiseen, jonka tarkoituksena on yhdenmukaistaa kansallisten tietosuojaviranomaisten tapoja tietosuoja-asetuksen perusteella määrättyjen seuraamusmaksujen suuruuden laskennassa.  

Ylipäätään Euroopassa tietosuojavalvontaviranomaiset ovat määränneet entistä enemmän seuraamusmaksuja, kun niiden kokonaismäärä on kasvanut 50 prosentin vuositasolla. Tämä on herättänyt keskustelua useissa valtioissa siitä, että organisaatiot ovat yhä varovaisempia ilmoittamaan tietosuojarikkomuksesta, koska pelkäävät sakkoja ja korvausvaatimuksia.  

Tietosuojan kannalta tietoturvallisuuden kontrollien tehokkuudella sekä organisaatioiden riskienhallinnan sekä sääntelyn toimivuudella on merkitystä, jotta henkilötietoja voidaan suojata tehokkaasti. Tietorikoksilla voidaankin vahingoittaa laajasti yhteiskuntaa, kuten Psykoterapiakeskus Vastaamon tapaus osoittaa. 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Samuli Hiekkilä Jensen Hughes Suomen toimitusjohtaja
Turvallisuussuunnittelu
Teksti: Jyri Paasonen ja Laura Paasonen

Jensen Hughes – monipuolista kansainvälistä turvallisuussuunnitteluosaamista

Jensen Hughesilla on maailman suurimpana paloturvallisuuden, yritysturvallisuuden ja riskienhallinnan suunnittelutoimistona suomalaista vahvistusta riveissään, sillä entinen L2 Paloturvallisuus Oy on nykyisin osa Jensen Hughesia.

Jensen Hughesin Suomen toimitusjohtajana toimii Samuli Heikkilä. Hänen vastuualueelleen kuuluu Suomen toiminnot sekä kotimaassa että ulkomailla. Heikkilä kuuluu myös Jensen Hughesin Euroopan johtoryhmään. Heikkilä kertoo, että heillä on Suomessa töissä 44 henkilöä, joista noin puolet on töissä Kampin toimistolla. Loput henkilöstöstä jakaantuvat Tampereen, Turun, Kuopion ja Oulun toimistojen kesken.

Heikkilä korostaa myös heidän kansainvälistä puoltaan. ”Osa nykyisistä työntekijöistä tekee ulkomaan projekteja kokoaikaisesti, ja olemme toimineet niin ikään välittäjänä uusille rekrytoinneille. Meillä on myös tällä hetkellä kaksi työntekijää komennuksella ulkomailla, jotka ovat Suomen palkkalistoilla, ja kolmas on lähdössä komennukselle maaliskuun lopulla”, Heikkilä toteaa.

Jensen Hughes onkin markkinoinut Suomessa henkilöstölle myös ulkomaan työtehtäviä. Yrityksessä harkitaan tilanteen mukaan se, palkataanko henkilö Suomeen ja tehdään sisäisillä järjestelyillä siirto vai palkataanko henkilö suoraan ulkomaille.

Jensen Hughesilla on onnistuttu tekemään suunnittelu- ja konsultointipalveluista, suomalaisesta huippuosaamisesta, vientituote, joka on aika harvinaista. ”Viennillä tarkoitan sekä Suomesta käsin tehtyjä ulkomaanprojekteja että komennuksia. Näin voimme tarjota työntekijöille kansainvälisiä urapolkuja, ja usealla suomalaisella työntekijällä onkin Euroopan laajuinen vastuualue tai rooli”, toteaa Heikkilä ylpeänä.

Kansainvälisyys toimii myös toisinpäin, sillä Jensen Hughes on saanut myös ulkomailta tuoreita kokemuksia ja huippuosaamista suomalaisten hankkeiden käyttöön, joten kansainvälisyys on ollut erinomainen asia monelta kantilta katsottuna.

Monipuolisia tehtäviä

Heikkilä toteaa, että ylipäätään paloturvallisuuskonsultointi on aika monisyinen kokonaisuus. Palotekninen suunnittelija kokoaa paloturvallisuuteen liittyvät asiat arkkitehti-, sähkö-, LVI- ja rakennesuunnittelupuolelta yhteen sekä toimii näiden kaikkien konsulttina.

Heikkilä korostaa, että tämän takia asiakkaat monesti haluavat käyttää kyseistä palvelua, vaikka se ei lakisääteinen tehtävä rakennushankkeessa olekaan. Hän toteaa, että tehtävä halutaan antaa jollekin, joka koordinoi kokonaisuutta ja hoitaa dokumentoinnin alusta loppuun aina viranomaisneuvotteluineen.

On tietysti myös asiakkaita, jotka eivät valitse kokonaispalvelua, vaan jonkun yhden pienemmän yksittäisen suunnittelutehtävän. Tällöin riskinä on, että kokonaisuutta ei tule huomioitua riittävässä laajuudessa, vaan keskitytään liiaksi vain siihen yksittäiseen asiaan.

Heikkilä nostaa positiivisena asiana, että osa asiakkaista käyttää paloturvallisuuskonsulttia myös käytön aikana kaikissa pienissä muutoksissa mukana. Tämä on pieni kustannus kokonaiskustannuksissa, ja sillä saadaan varmistettua, että palotekniset asiat pysyvät turvallisena myös muutostöiden yhteydessä.

Paloturvallisuuden ja turvallisuustekniikan suunnittelun yhteistyön tiivistäminen

Heikkilän mielestä paloturvallisuuden ja turvallisuustekniikan suunnittelua tulisi tiivistää keskenään, koska entistä enemmän tehdään integroituja ja kokonaisvaltaisempia järjestelmiä.

Hän toteaa, että paloturvallisuuskonsultti ja turvallisuuskonsultti ovat molemmat vähän sellaisia ulkopuolisia rooleja rakennushankkeessa, jolloin on heidän keskinäisestä aktiivisuudestaan kiinni, kuinka aktiivisesti he ovat yhteydessä hankkeen muihin sidosryhmiin.

Heikkilällä on myös omakohtaista kokemusta tilanteista, joissa hän kommunikoi hankkeen läpi viikoittain turvallisuuskonsultin kanssa, ja sitten on ollut myös hankkeita, joissa hän ei ole edes kuullut turvallisuuskonsultin nimeä ennen tupareita.

Hänen mielestään tämä ei saisi perustua vain oma-aloitteiseen aktiivisuuteen. Tiiviimmälle yhteistyölle olisi siten tarvetta. Heikkilä korostaa, että tämä tulee erityisesti kyseeseen monimutkaisemmissa ja isommissa hankkeissa, kuten teollisuudessa, kauppakeskuksissa, hotelleissa ja sairaaloissa, joissa on havaittu toimivaksi tavaksi konsultin mukanaolo koko hankkeen ajan.

Yhteistyö näkyy parhaiten erilaisissa harjoituksissa ja testauksissa, kuten blackout-testeissä. Heikkilä kertoo, että näissä mukana oleminen on vähän muuttanut konsultin työnkuvaa. Henkilökuntaa on välillä töissä öisinkin, milloin missäkin testailemassa järjestelmiä ja toteuttamassa harjoituksia.

Maailman turvallisuustilanne on siinä mielessä vaikuttanut positiivisesti organisaatioihin, että viime aikoina on tarkasteltu jatkuvuuden hallintaa ja kriittisiä järjestelmiä on ruvettu testaamaan aktiivisemmin kuin aiemmin, samoin kuin suuremmissa julkisissa rakennushankkeissa on mietitty myös kriisiajan käyttöä.


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

Axis toimitusjohtaja Ray Mauritsson
Turvallisuustekniikka
Teksti: Jyri Paasonen ja Laura Paasonen

AXIS – maailman ensimmäisen verkkokameran kehittäjä

Axis Communications AB (Axis) on ruotsalainen vuonna 1984 perustettu kameravalvonta-, kulunvalvonta-, sisäpuhelin- ja äänijärjestelmiä tarjoava yritys.

Axisilla työskentelee yli 4 000 työntekijää yli 50 maassa, ja pääkonttori sijaitsee Ruotsin Lundissa. Kävin vierailemassa Lundin pääkonttorilla Jouni Virran johdolla, joka työskentelee Suomessa Axisen Key Account Managerina. 

Lund on yksi Ruotsin vanhimmista kaupungeista, joka juontaa juurensa 990-luvulle. Lundissa sijaitsee yliopisto, joka perustettiin vuonna 1666. Yliopisto sijoittuu jatkuvasti maailman 100 parhaan yliopiston joukkoon kansainvälisissä arvioinneissa. Axis tekee tiivistä yhteistyötä yliopiston kanssa, ja sieltä valmistuukin heille jatkuvasti uusia työntekijöitä. 

Lundin pääkonttorissa sijaitsee modernien toimitilojen lisäksi eri ratkaisuiden suunnittelu- ja kehitysosastot sekä testauslaboratoriot. Pääsin vierailemaan eri tiloissa ja keskustelemaan vastuuhenkilöiden kanssa. 

Tapasin myös toimitusjohtaja Ray Mauritssonin, joka on toiminut tehtävässään vuodesta 2003 alkaen. Hän on saanut lukuisia tunnustuksia työstään, kuten turvallisuusalaan ja johtamiseen liittyviä palkintoja. 

Mistä kaikki lähti liikkeelle? 

Mauritsson haluaa kertoa aluksi yrityksen historiasta, koska hän itsekin aloitti työt Axisella jo vuonna 1995. Axisin perustivat Mikael Karlsson, Martin Gren ja Keith Bloodworth, joiden tavoitteena oli muuttaa ihmisten tapaa käyttää digitaalisia laitteita ja ajatella niistä.  

Silloin ajatus verkkotekniikan käyttämisestä laitteiden (alun perin verkkotulostus-, tallennus- ja skanneripalvelimien) yhdistämiseen ja niiden älykkääksi muuttamiseen oli uusi. Alun perin tätä kutsuttiin ThinServer Technologyksi, ja nykyään se tunnetaan nimellä Internet of Things (IoT). 

Jo varhaisessa vaiheessa yrityksessä päätettiin työskennellä vain avoimien standardien kanssa skaalautuvuuden lisäämiseksi sekä säästämiseksi sähkönkulutuksessa ja laitekustannuksissa. Yrityksessä ymmärrettiin jo silloin, että kaksitasoinen jakelumalli on parempi innovaatioiden skaalaamiseksi ja monimutkaisten haasteiden ratkaisemiseksi. 

Mauritsson korostaa, että sinänsä vuosikymmenien aikana perusajatus ei ole muuttunut mihinkään, vaikka teknologia on kehittynyt ja omistuspohja on muuttunut. Axis on vuodesta 2015 alkaen ollut osa Canon Groupia. 

Maailman ensimmäinen verkkokamera ja ARTPEC SoC  

Mauritsson aloitti itse työt juuri kameravalvonnan parissa. Hän kertoo, että Axisilla oli saatu idea yhdistää kamera verkkoon. Vuonna 1996 se toi markkinoille maailman ensimmäisen verkkokameran, AXIS Neteye 200:n. Tämä mahdollisti sen, että ihmiset, joilla oli internetyhteys, pystyivät seuraamaan tapahtumia mistä päin maailmaa tahansa.  

Niille, joilla oli jo laajat analogiset kameravalvontajärjestelmät, luotiin dekooderi, jotta he pystyivät myös käyttämään uusinta IP-tekniikkaa. 

Mauritsson muistelee, että Neteye 200:n kehittämisen jälkeen Axisilla huomattiin, että saatavilla olleet SoC:t (System on Chip) eivät pystyneet tarjoamaan jatkossa toivottua suorituskykyä. Tämä sai aikaan ensimmäisen ARTPEC SoC:n kehittämisen. 

Vuonna 1999 julkaistiin ensimmäiset tuotteet, kuten AXIS 2100, joissa oli Axisin ensimmäinen ARTPEC SoC. Mauritsson kertoo ylpeänä, että nykyään on käytössä SoC:n kahdeksas versio, joka on monen vuoden kokemuksen, tiedon ja intohimon työn tulos sekä tärkeä osa Axisin historiaa. 

ARTPEC SoC on Axisin tuotteiden tärkeä osa, koska se tarjoaa perustan kuvanlaadulle ja analytiikkaominaisuuksille sekä tietoturvalle. Se on olennainen osa yrityksen verkkokameroita. Vaikka ominaisuudet ovat vuosien varrella kehittyneet, ovat koko, energiankulutus ja hinta pysyneet lähes ennallaan. 

Axisin Senior Expert Engineer Stefan Lundberg kertoo, että ARTPEC SoC mahdollisti täysin uusien teknologioiden kehittämisen, kuten Axis Forensic Wide Dynamic Rangen (WDR) ja Axis Zipstream -tiedonpakkaustekniikan.  

Mitä tulevaisuus tuo tullessaan? 

Axis pystyy ARTPEC SoC:in avulla luomaan innovatiivisia tuotteita ja vastaamaan asiakkaidensa tarpeisiin. Tässä auttaa se, että yritys suunnittelee ARTPEC SoC:in itse ja valvoo sen valmistusta. 

Lundberg toteaa, että vuosien aikana eniten kehittyneet ominaisuudet ovat kuvanlaatu ja kyky analysoida, kuten syväoppimiseen perustuva analytiikka. Ne molemmat ovat ja tulevat olemaan merkittäviä tekijöitä tulevaisuudessa. 

Mauritsson korostaa, että muutosvauhti alalla on viime vuosina ollut poikkeuksellista. Axisilla on huomattu, että teknologiset innovaatiot luovat valtavia mahdollisuuksia, mutta toisaalta aiheuttavat myös monimutkaisia haasteita. Tämä kaikki vaatii keskittymistä, energiaa ja jatkuvaa kehittämistä, sillä muutosvauhti ei ole hidastumassa. 

Järjestelmien kokonaisvaltainen huomioon ottaminen onkin välttämätöntä tänä päivänä, kun toimittajien ja asiakkaiden on seurattava, mitattava ja raportoitava monenlaisista tekijöistä, kuten  vastuullisuusasioista. Esimerkiksi jos tarkastellaan energiankulutusta, niin kamera itsessään kuluttaa melko vähän energiaa, mutta kun otetaan vielä huomioon palvelimet, kytkimet, keskittimet ja reitittimet, joiden kautta dataa siirretään, on tilanne aivan toinen.  

Tällainen kokonaisvaltainen näkökulma on hyödyllinen, koska se johtaa innovaatioihin uusissa teknologioissa ja kameroissa. Hyvä esimerkki ovat kamerat, jotka vähentävät bittinopeutta, tallennustilaa ja palvelimen kuormitusta tarkoituksenaan vähentää palvelimen jäähdytysvaatimuksia.  

Äänijärjestelmien Product Manager Adam Boren kertoo, kuinka IP-pohjaiset ääniratkaisut tukevat älykästä kameravalvontaa, kun voidaan esimekiksi automaattisesti käynnistää haluttu ääniviesti, kun henkilö oleskelee alueella luvattomasti tai liikkuu väärässä tilassa. Hän kertoo lukuisia esimerkkejä eri toimialoilta, kuinka valvontaa, turvallisuutta ja liiketoimintaa on kehitetty ääni- ja kuvaratkaisuiden yhdistämisellä.  

Kaupan alalta hän kertoo esimerkin, jossa kameran analytiikkaa hyödynnetään siten, että se antaa hälytyksen henkilöstölle, jos asiakas käyttäytyy epäilyttävällä tavalla tiettyjen tuotteiden läheisyydessä, jotka ovat suosittuja varkauden kohteita.  

Näiden tuotteiden luona on kaiutin, joka kamerahälytyksen yhteydessä toistaa automaattisesti viestin, kuinka voimme auttaa teitä ja myyjä on tulossa avustamaan teitä. Näin potentiaalinen rikoksentekijä yleensä luopuu teostaan ja poistuu paikalta. Oikeasti apua tarvitseva asiakas saa puolestaan hyvää palvelua.  

Mauritsson kertoo, että tässä on oikeastaan heidän liiketoimintansa ydin tiiviisti kuvattuna, koska näin pystytään yhdistämään Axisen laajaa ja älykästä tuotevalikoimaa yhteen ohjelmistoon, joka on helppokäyttöinen ja monipuolinen. Lisäksi heillä on tarjolla työkalut, joiden avulla voi suunnitella sopivat ratkaisut eri toimintaympäristöihin ja käyttötarkoituksiin. Tätä kehitystyötä on tehty jo vuosikymmeniä yhdessä kumppaneiden kanssa.  

 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

SIA Turvallisuuden megatrendit 2024
Digitalisaatio
Teksti: Laura Paasonen ja Jyri Paasonen

Turvallisuuden megatrendit 2024

Security Industry Association (SIA) järjestää vuosittain Securing New Ground -tapahtuman, jossa teollisuuden johtajat ja talouskumppanit kokoontuvat. Tapahtumassa keskustellaan alan trendeistä ja ideoita jaetaan avoimesti.  

Ennen tapahtumaa SIA selvitti kyselyn avulla jäseniltään, mitkä tekijät vaikuttivat heidän liiketoimintapäätöksiinsä ja mitä trendejä he seurasivat. SIA kysyi myös, mitkä aiemmat trendit olivat edelleen merkityksellisiä, mitkä trendit eivät enää olleet niin vaikuttavia ja mitä trendejä SIA:n julkaisemaan vuosittaiseen raporttiin voitaisiin lisätä.  Tämän kaiken perusteella SIA muodosti raportin vuoden 2024 turvallisuuden megatrendeistä.

1. Tekoälyn turvallisuus 

Tekoälyn turvallisuutta voidaan arvioida kolmen kysymyksen avulla: 1) miten voimme luottaa tekoälyyn, 2) miten varmistetaan tekoälyn eettinen soveltaminen ja 3) miten varmistetaan tekoälyn kyberturvallisuus?  

Tekoälyn käytön lisääntymisen myötä kaikenkokoisten organisaatioiden on tarpeellista panostaa kattavaan ja ennakoivaan turvallisuuteen, erityisesti kyberturvallisuuteen, jolloin organisaatiot voivat suunnitella, kehittää ja ottaa käyttöön koneoppimismalleja mahdollisimman turvallisesti.  

Erilaiset tekoälyn käytön turvallisuuteen liittyvät työkalut ja alustat ovat olennaisia, koska ilman niitä on vain ajan kysymys, milloin organisaatio joutuu tietoturvaloukkauksen kohteeksi. 

2. Tekoäly: ei pelkästään kameravalvontaa, vaan visuaalista älyä  

Tekoäly on muuttamassa pysyvästi kameravalvontaa. Se on muuttumassa visuaaliseksi älyksi. 

Kameravalvonnasta on tulossa nopeasti kaikenkattava työkalu turvallisuusalalle. Se on muuttumassa tallentavasta työkalusta joksikin aivan muuksi.  

Kamerat ovat alustoja useille tunnistimille, kuten ääni-, kemikaali- ja lämpötilatunnistimille. Tekoäly ja kameroiden tunnistimiin sovellettu analytiikka tekevät kameroista moninkertaisesti arvokkaampia käyttäjille kuin pelkät kamerat ovat.  

Visuaalisen älyn kyvyt kehittyvät, ja organisaatiot alkavat luoda visuaalisen älyn infrastruktuuria. Turvallisuusalan perushaaste on se, tuleeko se johtamaan tällä kasvualueella, kun kameravalvonnasta tulee visuaalista älyä.  

3. Generatiivinen tekoäly 

Generatiivinen tekoäly ja laajat kielimallit ovat tulleet maailmalla viime aikoina yhä tunnetummiksi. Nykyään on olemassa lukuisia tekoälysovelluksia, jotka voivat auttaa erilaisissa työtehtävissä, kuten ohjelmoijia koodin kirjoittamisessa. 

Näiden teknologioiden kehittyessä ja käyttöönoton laajetessa ne tulevat vaikuttamaan turvallisuusalaan
kolmella ensisijaisella alueella:

1) laajoja kielimallisovelluksia tullaan soveltamaan turvallisuusjärjestelmien dataan,

2) generatiivista tekoälyä tullaan käyttämään sisällön tuottamiseen ja

3) generatiivisia tekoälysovelluksia tullaan soveltamaan liiketoiminnan toiminnallisten haasteiden ratkaisemiseen.

4. Tekoälyn sääntely 

Tekoäly tulee muuttamaan voimakkaasti turvallisuusalaa, minkä myötä tulee myös sitä koskevaa sääntelyä, joka luo puitteet tekoälylle. Sääntely lisää luottamusta ja läpinäkyvyyttä tekoälyn käyttöön. 

Monet uskovat, että sääntely tulee toisaalta myös nopeuttamaan tekoälyteknologian kehittämistä. Sääntelyn myötä tekoälytulevaisuus tulee edellyttämään enemmän vaatimustenmukaisuuden noudattamista, tietosuojaa ja todennäköisesti vielä enemmän avoimuutta sekä läpinäkyvyyttä algoritmeihin liittyen.

5. Enemmän vastinetta turvallisuusinvestoinneille

Turvallisuusjärjestelmät ja -ratkaisut tulevat tarjoamaan yhä enemmän vastinetta turvallisuusinvestoinneille. Ne tarjoavat liiketoiminta-arvoa ydinturvallisuustarpeen yli.  

Kun turvallisuusjärjestelmät ja -ratkaisut tuottavat yli perustuoton, tulee näistä ratkaisuista entistä välttämättömämpiä alan toimijoille ja yritysten omistajille. Välttämättömyys on tulossa hyvin näkyväksi erityisesti kulunvalvontasektorilla.  

Jos jollakin tämän luettelon trendillä on suuri vaikutus turvallisuusalan toimijaan, se on tämä. Turvallisuusalan toimijoiden on aina tarvinnut osoittaa turvallisuusinvestoinnin kannattavuus sitä hankkivalle taholle, että investointi vähentää kalliita turvallisuuspoikkeamia. Turvallisuus näyttääkin arvonsa, kun mitään ei tapahdu!  

6. SaaS-palvelut muokkaavat liiketoimintamalleja

Kun turvallisuusmarkkinoilla siirrytään voimakkaasti SaaS-palveluihin ja palveluiden toimitusmalleihin, merkitsee tämä laajoja muutoksia integraattoreiden liiketoiminnalle ja myös koko turvallisuusalalle.  

Perinteiset paikan päällä toteutettavat laitepohjaiset ratkaisut antavat periksi mallille, jossa turvallisuusratkaisuja myydään tilauksina, jotka on sidottu yritysasiakkaiden liiketoiminnan tulokseen. Turvallisuusalan on navigoitava tässä kehityksessä samalla, kun on myös tuettava vanhoja järjestelmiä. 

7. Teknologiajättiläisten vaikutus turvallisuusalaan 

Teknologiajättiläisten, kuten Applen, Googlen, Metan, Microsoftin ja Amazonin, markkina-aseman vuoksi niiden on mahdollista vaikuttaa nopeasti kokonaisiin toimialoihin, myös turvallisuusalaan. Pelkästään jo niiden kyky toimittaa massiiviselle asiakaskunnalleen laitteistoa ja pilviratkaisuja (usein uusinta tekoälyä käyttäen) antaa niille valtavan vaikuttamismahdollisuuden.  

Teknologiajättiläiset pystyvät myös muuttamaan ihmisten odotuksia. Esimerkiksi Yhdysvalloissa henkilö voi mennä Home Depotiin, valita laadukkaan älylukon ja tunnin sisällä saada sen asennetuksi, wifiin yhdistetyksi, etäkäytön otettua käyttöön, iPhone tai Android -ohjauksen mahdollistettua, käyttöoikeudet määriteltyä ja rekisteröidä useita käyttäjiä.  

Teknologiajättiläiset nostavat asiakaskokemuksen rimaa ja tekevät mahdolliseksi palveluiden sekä teknologioiden integraation saumattomuuden.  

8. Pilvipalvelut keskittyvät entistä enemmän 

Tämä trendi on kuin arvoitus: on pilvinen päivä, mutta taivaalla on vain muutama pilvi.  Pilvipalveluiden lujittaminen ja hallitsevien pilvipalveluiden tarjoajien suuremman vaikutusvallan haaliminen ovat yhteydessä teknologiajättiläisten vaikutusta koskevaan trendiin, koska ne hallitsevat pilvimarkkinoita. 

Vain muutama yritys hallitsee pilvipalveluita, sillä Amazon Web Services (AWS), Google Cloud ja Microsoft Azure omistavat yhdessä kaksi kolmasosaa markkinoista. Monille turvallisuusalan toimijoille, jotka ajattelevat turvallisuusalan tulevaisuutta, tämä aiheuttaa levottomuutta.  

Turvallisuusratkaisut ovat hyvin marginaalinen osa teknologiajättiläisten tulovirtaa pilvipalveluissa. Lisäksi asiakkaat voivat keskittää omat pilvipalvelunsa yhdelle toimijalle, jolloin he haluavat saada kaikki samaan pilveen. Tämä voi aiheuttaa puolestaan haasteita turvallisuusalan toimijoille, jos he ovat keskittäneet omat ratkaisunsa yhteen pilvipalveluun. 

9. Kiinteistömarkkinoiden uudelleenoptimointi 

Viime vuodet ovat olleet haastavia kiinteistömarkkinoille, erityisesti toimistorakennuksille. Etätyön lisääntyminen vähensi toimistorakennusten käyttötarvetta. Samaan aikaan korot nousivat tasaisesti. Moniperheasuntojen vuokrien kasvuvauhti hidastui tai tasaantui, ja kaupallisten toimistotilojen vuokrahinnat putosivat.  

Tämä on pakottanut vuokranantajat harkitsemaan uudelleen teknologiakustannuksia ja rauhoittamaan kiinteistöteknologiamarkkinoita. Tämä tulee johtamaan toimistojen muuntamiseen asunnoiksi ja rakennusjärjestelmien yhteenliittämiseen (myös turvallisuuden) toiminnan tehokkuuden lisäämiseksi.  

Tämä suuntaus voi kuitenkin luoda mahdollisuuksia turvallisuusalalle. Tärkeää olisi pystyä yhdistämään turvallisuustekniset järjestelmät kiinteistöteknisiin järjestelmiin. Asiakkaat haluavat jatkuvasti seurata muun muassa kulunvalvontajärjestelmien tietoa toimitilojen käytöstä ja hyödyntää niitä tehokkaammin. 

10. IT:n ja OT:n lähentyminen 

Tietotekniikka (IT) ja operatiivinen teknologia (OT) lähentyvät nopeasti toisiaan. Lisäksi OT-järjestelmät integroituvat organisaation tietoympäristöön.  

Tämä lähentyminen vaatii laajempien ja monimutkaisempien ratkaisuiden luomista, mikä lisää riskejä, mikä puolestaan luo mahdollisuuksia turvallisuusalalle. IT:n ja OT:n lähentyminen luo myös tarpeen standardeille yhteentoimivuuden ja kyberturvallisuuden vuoksi. 

Artikkelin kuva: Axis.


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

Tutkimus
Teksti: Laura Paasonen

Talousrikokset: uhka vai mahdollisuus?

Laura Paasosen väitöskirjatutkimus valottaa talousrikollisuutta ja niiden tuomioita. Erityisesti teknologian kehitys on mahdollistanut talousrikollisuudessa erilaiset rikosten tekotavat ja yhdistänyt rikosten tekijät ympäri maailmaa.

Rikollisuus muuttaa jatkuvasti muotoaan yhteiskunnassa tapahtuvien muutosten myötä. Muutoksiin on vaikuttanut erityisesti teknologian kehitys, koska se on mahdollistanut esimerkiksi talousrikollisuudessa erilaiset rikosten tekotavat ja yhdistänyt rikosten tekijät ympäri maailmaa. Talousrikoksista koituukin tänä päivänä huomattavia vahinkoja muun muassa yhteiskunnalle ja yrityksille. Kyse on hyvin merkittävästä rikollisuuden muodosta.  

Talousrikollisuutta koskeva tutkimus on kuitenkin hyvin vähäistä verrattuna massarikollisuutta koskevaan tutkimukseen. Tätä tilannetta paikkaamaan tein oikeustieteellisen ja kriminologisen väitöskirjatutkimuksen otsikolla ”Talousrikokset: uhka vai mahdollisuus? – Empiirisiä oikeustutkimuksia talousrikoksista”. Tutkimuksen väitöstilaisuus pidettiin Itä-Suomen yliopistossa 15.12.2023. 

Väitöskirja: Talousrikokset - uhka vai-mahdollisuus Laura Paasonen

Tutkimuksen ensimmäisenä tavoitteena oli paikata mainittua tietovajetta analysoimalla empiirisesti talousrikosten trendejä, rangaistuksia ja rikosprosessia sekä luoda kattava kokonaiskuva rikosprosessiin päätyvistä talousrikoksista Suomessa. Väitöskirjan toisena tavoitteena oli tuottaa uutta empiirisesti tutkittua tietoa talousrikoksista talousrikostorjunnan kehittämiseksi. 

Tutkimuksen päätutkimuskysymyksenä oli, millaisena nykyaikainen talousrikollisuus näyttäytyy tuoreen oikeuskäytännön perusteella, ja millaisia johtopäätöksiä sen torjunnan tehostamisesta voidaan tämän analyysin perusteella tehdä. 

Tutkimusaineistona toimi vuoden 2019 käräjäoikeuksien tuomiot käsittävä aineisto niistä tapauksista, jotka poliisi oli luokitellut talousrikoksiksi, eli ratkaisu oli merkitty talousrikoskoodilla. Aineistossa oli yhteensä 851 ratkaisua.  

Tutkimuksessa käytettiin myös Tilastokeskuksen tilastoja vuosilta 2010–2019. Vuosi 2019 valittiin tutkimukseen, koska siihen haluttiin saada mahdollisimman tuoretta tietoa, mutta kuitenkin rajoittaa tutkimus aikaan ennen koronapandemiaa mahdollisten pandemiasta johtuvien vaikutusten vuoksi.  

Talousrikokset kasvussa, mutta tuomioiden määrät kuitenkin maltillisia 

Tutkimustulosten mukaan talousrikoksia tehdään yhteiskunnassa yhä enemmän poliisin tietoon tulleiden tapausten perusteella. Esimerkiksi pelkkiä törkeitä rahanpesurikoksia tai törkeitä velallisen epärehellisyysrikoksia tehtiin eniten juuri vuonna 2019. 

Vaikka esimerkiksi yrityssalaisuuden rikkomista ja väärinkäyttöä koskevia tapauksia vaikuttaa poliisin tietoon tulleiden tapausten perusteella tapahtuvan melko vähän, on erittäin todennäköistä, että sekä niitä että muita talousrikoksia tehdään yritysmaailmassa paljon. Esimerkiksi kansainvälisyys, työntekijöiden vaihtuvuus ja erityisesti tiedon siirron sekä tallentamisen helppous teknologian avulla luovat otollisia tilaisuuksia rikosten tekemiseen.  Yritykset eivät myöskään välttämättä halua tuoda tapauksia yleiseen tietoon erityisesti maineriskien vuoksi. 

Vaikka talousrikoksia tulee poliisin tietoon yhä enemmän, ei se näy rikostuomioiden määrissä. Tutkimustulosten mukaan talousrikostuomioiden määrät ovatkin maltillisia. Käräjäoikeudessa sekä päärikoksena rangaistukseen tuomittujen että syyksi luettujen rikosten kokonaismäärät ovat pysyneet melko tasaisina vuosina 2010–2019.  

Päärikoksena rangaistukseen tuomittujen ja syyksi luettujen rikosten määrät ovat olleet monissa talousrikoksissa melko alhaiset suhteessa poliisin tietoon tulleisiin tapausmääriin. Suhteellisesti alhaiset määrät saattavat selittyä esimerkiksi sillä, että valtaosa rikosepäilyistä päättyy joko esitutkintaan tai syyteharkintaan. 

Huomionarvoista on myös, että talousrikosten törkeitä tekomuotoja, esimerkiksi törkeitä veropetoksia, on tietyissä rikoksissa määrällisesti enemmän kuin perusmuotoisia tekomuotoja poliisin tietoon tulleissa rikoksissa, päärikoksena rangaistukseen tuomituissa tai syyksi luetuissa rikoksissa.  

Tämä voi selittyä esimerkiksi sillä, että kyseisissä talousrikoksissa rikollinen toiminta on ollut järjestelmällistä (suunniteltua) ja esimerkiksi kestänyt jo pidemmän aikaa ennen kuin toiminta tulee ilmi, mikä voidaan katsoa monissa talousrikossäännöksissä edellytetyksi suunnitelmallisuudeksi. 

Talousrikoksista tuomitut rangaistukset kevyitä 

Tutkimustulosten mukaan rangaistusten ”keveys” saattaa houkutella koulutetumpia ja varakkaampia rikoksentekijöitä. Käsiteltävänä olevan tutkimuksen tulosten, kuten myös monien kansainvälisten tutkimusten mukaan talousrikolliset ovatkin usein koulutetumpia, vanhempia ja parempituloisia kuin muiden rikosten tekijät. 

Perusmuotoisista talousrikoksista voidaan pääsääntöisesti tuomita sakkoa tai vankeutta enintään kaksi vuotta. Törkeistä tekomuodoista voidaan puolestaan tuomita pääsääntöisesti neljästä kuukaudesta aina neljään vuotta vankeutta. 

Tutkimustulosten mukaan talousrikoksista tuomituista rangaistuksista suuri osa on ehdollisia vankeusrangaistuksia. Tätä voi selittää se, että moni rikoksentekijä on niin sanotusti ensikertalainen.    

Yleensä rangaistus on muutamien kuukausien ehdollinen vankeusrangaistus tai pieni sakko. Talousrikosten tekijät voivat kuitenkin saada esimerkiksi itselleen tai yritykselleen suurenkin taloudellisen hyödyn melko pienillä toimilla. Kansainvälistymisen ja teknologian kehittymisen myötä myös rikollinen toiminta on helpottunut, vaikka tosin erilaisista toimista voi myös jäädä jälkiä.  

Kun rangaistukset ovat lieviä suhteessa rikoksesta saatavaan hyötyyn nähden, voidaan esittää rikoskäyttäytymisen suhteellisen houkuttelevuuden lisääntyvän. Henkilön toimintaan vaikuttaakin hyötyjen ja haittojen punninta.  

Rikosoikeudellisen seuraamusjärjestelmän avulla pyritään vähentämään haitallisesta toiminnasta aiheutuneita kustannuksia. Haittaa aiheutuu rikoksen uhrien lisäksi muille ihmisille, esimerkiksi rikollinen teko vaikuttaa uhrin lisäksi muiden kokemaan turvallisuuden tunteeseen.  

Haittaa aiheutuu myös esimerkiksi markkinataloudelle ja kilpailulle, jos osa toimijoista toimii erilaisten ”pelisääntöjen” mukaan. Myöskään ainoastaan vahingonkorvausten avulla ei saada rikoksentekijälle tuomittua riittäviä seuraamuksia hänen toiminnastaan. 

Vaikka, kuten Yhdysvalloissa on havaittavissa, kovat rangaistukset eivät yksistään vähennä rikollisuutta, rangaistustason nostaminen lisäisi todennäköisesti erityisesti talousrikosten kohdalla pelotevaikutusta.  

Tätä ajatusta voidaan perustella sillä, että talousrikosten tekemisessä hyötyjen ja haittojen punninta on koko ajan läsnä, ja siten haittojen lisäämisen vaikutus voi olla tehokkaampi kuin impulsiivisessa rikollisuudessa, kuten väkivaltarikoksissa.  

Talousrikosprosessit ovat aivan liian pitkiä ja tutkintaa pitäisi tehostaa 

Tutkimustulosten mukaan talousrikosprosessit ovat aivan liian pitkiä. Pitkä kesto syntyy pääosin kuitenkin käräjäoikeuden ulkopuolella ja muodostuu ajasta ennen vireille tuloa.  

Kun talousrikosprosessin pitkä kesto kohdistuu asian selvittelyyn ennen käräjäoikeuskäsittelyä sinänsä yksinkertaisissakin tapauksissa, liittyvät ongelmat muiden viranomaisten toimintaan ennen käräjäoikeutta. Huomiota tulisikin kiinnittää viranomaisten, kuten poliisin, verottajan, syyttäjien ja tuomioistuinten resursseihin, yhteistyöhön ja toimintaedellytyksiin. 

Vuoden 2019 tilastoaineiston perusteella talousrikosprosessien keskimääräiset kestot (rikosilmoituksesta käräjäoikeuden tuomioon) ovat pidempiä kuin kaikkien rikosasioiden keskimääräinen kesto. Prosessit ovat pisimpiä velallisen rikoksissa ja kirjanpitorikoksissa.  

Tutkimuksessa käytetyn käräjäoikeustuomioaineiston perusteella vuonna 2019 käräjäoikeuskäsittelyn keston (vireille tulosta ratkaisuun) keskiarvo oli noin kahdeksan kuukautta. Tarkasteltaessa puolestaan kestoa rikoksen päättymispäivämäärästä vireille tuloon käräjäoikeudessa havaittiin, että kyseinen aikaväli on yleisesti ottaen talousrikoksissa pitkä: keskiarvo oli noin kolme vuotta. Keskimääräinen kokonaiskesto viimeisestä rikoksesta käräjäoikeuden ratkaisuun oli reilu kolme ja puoli vuotta, josta käräjäoikeuden käsittelyä edeltävä aika kattoi noin 80 prosenttia.  

Kesto vastaa veropetosta ja/tai kirjanpitorikosta tai niiden törkeitä tekomuotoja koskevia kokonaiskestoja, koska niissä kokonaiskesto oli keskimäärin reilu kolme vuotta. Mikäli aika rikoksesta tuomioon lasketaan rikoksen ensimmäisestä tekoajasta, oli keskimääräinen kesto kyseisissä tuomioissa noin kuusi ja puoli vuotta ja törkeissä tekomuodoissa noin vuoden lievempiä rikoksia pidempi. Esimerkiksi tämä osoittaa hyvin sen, että talousrikoksia saatetaan tehdä pidemmän aikaa ennen kuin niistä jää kiinni. 

Talousrikosten tutkintaa tulisi tehostaa, koska pitkät prosessit vaarantavat sekä rikosvastuun toteutumisen että syyttömien oikeusturvan. Lainsäädännöllisille toimille saattaisi olla myös tarvetta rangaistustason tarkistamiseksi.  

Talousrikosten lisätutkimukselle on myös olemassa valtava tarve. Väitöstutkimuksessa havaittiin kuitenkin, että talousrikosten monimuotoisuus vaikeuttaa niiden mittaamista ja tutkimusta. Talousrikosympäristössä tapahtuvien muutosten tuottamiin haasteisiin pitäisi pystyä vastaamaan, jotta talousrikoksista ei tule mahdollisuutta.

 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

Imatran vesivoimalaitos. SFS standardit kriittinen-infra ja turvallisuus.
Suomen Standardisoimisliitto SFS
Teksti: Janne Kalli ja Jyri Paasonen

Standardien hyödyntäminen direktiivien täytäntöönpanotyössä

SFS/SR 211 – yhteiskunnan turvallisuuden standardointiryhmän tammikuun kokouksen agendalla oli normaaliin tapaan lukuisia äänestyskohteita, kuten eri mailta tulleita työkohdealoitteita uusiksi tulevaisuuden standardeiksi.  

Agendalla oli näiden niin sanottujen juoksevien asioiden lisäksi asiaa Euroopan unionin CER-direktiiviä ja sen kansallista toimeenpanotyötä koskien. Ryhmämme on ollut direktiivistä kiinnostunut, sillä sen artikla 16 linjaa kunkin jäsenmaan velvollisuudeksi hyödyntää direktiivin täytäntöönpanotyössä olennaisia eurooppalaisia ja kansainvälisiä standardeja, mikäli ne koetaan hyödyllisiksi. 

Kokouksessa jatkettiin jo aiemmassa aloitettua työtä ja käytiin lävitse kymmenittäin direktiivin tavoitteiden kannalta relevantteja, eli kriittisen infrastruktuurin häiriön- ja kriisinsietokyvyn vahvistamisessa hyödyllisiä, standardeja. Työn tuloksena ryhmässä saavutettiin yhteisymmärrys oleellisista standardeista, joita direktiivin toimeenpanotyössä olisi mielekästä hyödyntää.  

Lista standardeista ei ole pitkä – se sisältää yhteensä 14 standardia. Nämä antavat ohjeita ja vaatimuksia muun muassa jatkuvuudenhallintaan, vaikutusten arviointiin, kriisinhallintaan sekä riskienhallintaan. Lisäksi niissä asetetaan yhteinen terminologia ja periaatteet siitä, mistä kriisinsietokyvyssä ja sen vahvistamisessa on kyse. 

Hyödyllisestä ja relevantista informaatiosta huolimatta kaikki tunnistetut standardit eivät olleet suomalaisia SFS-standardeja, ja tästä syystä ryhmä pyysi SFS:ää käynnistämään aiheesta prosessin, jotta kaikki 14 standardia sisällytettäisiin osaksi suomalaista standardikokoelmaa, eli ne saisivat suomalaisen SFS-standardin aseman.  

SFS-standardiksi vahvistaminen kuvastaa standardin oleellisuutta suomalaisessa toimintaympäristössä. Kaikkia jo olemassa olevia standardeja (maailmanlaajuiset ISO-standardit) ei siis lähtökohtaisesti tule vahvistaa suomalaisiksi SFS-standardeiksi.  

Asia hahmottuu hyvin seuraavan esimerkin kautta. Yhteiskunnan turvallisuuden alaa koskien on laadittu standardit esimerkiksi tsunamien hälytysjärjestelmien vaatimuksille. Nämä ovat hyödyllisiä ja tärkeitä standardeja, mutta eivät relevantteja Suomessa. Tästä syystä näitä standardeja ryhmämme ei ole esittänyt vahvistettavaksi suomalaisiksi SFS-standardeiksi. Thaimaa ja Japani ovat päätyneet toimimaan asiassa toisin.

Voit tutustua standardeihin, jotka ryhmämme on tunnistanut direktiivin tavoitteiden kannalta relevanteiksi, ja esittää SFS-vahvistettavaksi suuntaamalla SFS:n lausuntopyyntöpalveluun. Löydät kohteet hakutoiminnolla hakemalla niiden tunnuksia tai nimiä, jotka ovat seuraavat: 

ISO 22316 Security and resilience – Organizational resilience – Principles and attributes.

ISO 22393 Security and resilience – Community resilience – Guidelines for planning recovery and renewal.

ISO 22396 Security and resilience – Community resilience – Guidelines for information exchange between organizations. 

Lausuntopyyntöpalvelussa voit ilmaista oman kantasi siihen, onko standardien sisältö kannatettavaa ja tulisiko standardi vahvistaa suomalaiseksi standardiksi.  

 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

Sampo Jokinen, Turva-alan yrittäjät
Turvallisuustekniikka
Teksti: Sampo Jokinen

3G-verkko poistuu käytöstä – entä sitten?

Suomalaiset verkko-operaattorit ovat aloittaneet 3G-verkkojensa alasajon viime vuonna. Loputkin 3G-verkot tullaan suunnitelmien mukaan sulkemaan tänä vuonna. Tämä on luonnollista kehitystä, näin vapautetaan radiotaajuuksia uudemmille ja tehokkaammille verkkoratkaisuille.

Useimmilla meillä on matkapuhelimissamme tuki 2G, 3G ja 4G-verkoille sekä monilla myös 5G-verkoille. Yhden verkkoteknologian poistuminen vaikuttaa siis puhelimiemme toimintaan yleisesti ottaen melko vähän. Ja jos jotain outoa sattuisikin, huomaamme sen kyllä nopeasti ja hoidamme asian kuntoon tarvittaessa puhelinkauppiaan tai palveluntarjoajan avustuksella.

Tilanne on hiukan toinen kiinteistöihin asennettujen valvonta- ja ohjauslaitteiden suhteen. Mikäli ne on toimitettu ”asenna ja unohda” -mentaliteetilla, saattaa kestää kauankin ennen kuin niiden toimimattomuus huomataan. Ja vian huomaamisesta sen korjaamiseen saattaa kestää kauemmin kuin kohtuudella voisi odottaa.

Takavuosina lankapuhelinverkot poistettiin suurimmalta osin käytöstä. Perinteisiä robottipuhelimia ja kiinteitä yhteyksiä hyödyntäviä valvottuja yhteyksiä korvattiin erilaisilla mobiiliverkon ratkaisuilla. Nyt osa näistä mobiiliratkaisuista alkaa puolestaan vaatia uusimista. Lähivuosina myös 2G-verkot ajetaan alas. Tämä viimeistään tulee vaatimaan vanhimpien mobiilisiirtolaitteiden uusimista.

Kuten edellä on todettu, erilaisten verkkoratkaisujen poistuminen ja uusien verkkojen käyttöönotto on normaalia kehitystä. Lankapuhelinverkkojen poistumisesta selvittiin, vanhimpien mobiiliverkkojen sulkeutumisesta tullaan selviämään. Tämä vaatii tietenkin tiedottamista ja vaikutusten ymmärtämistä. On helppoa unohtaa ne pienet hiljaiset laitteet, jotka ovat vuosia vain toimineet.

Kaikkien verkkoja hyödyntävien järjestelmien toimintaa on valvottava. Valvonta voidaan järjestää eri tavoin riippuen järjestelmän kriittisyydestä. Vikoja voi esiintyä, vaikka verkot toimisivatkin suunnitellusti.

Valvonnan lisäksi tulee olla määritelty taho, joka vastaa vian selvittämisestä ja korjaamisesta. Erityisesti kriittisten hälytysyhteyksien tapauksessa tämä on ensiarvoisen tärkeää. Ketjusta ja sen lenkeistä kertova vanha sanonta on edelleen ajankohtainen.   

 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2024.

Tilaa lehti! 


 

Anna Katariina Wisakanto
Turvallisuusjohtaminen
Teksti: Jyri Paasonen

Tekoälyn hyödyntäminen johtamisessa ja päätöksenteossa

Tekoäly on ollut kuuma puheenaihe, kun OpenAI lanseerasi ChatGPT:n. Chattibottia on helppo käyttää, ja se onkin yllättänyt monet käyttäjät positiivisesti. Samaan aikaan on myös muita tekoälyä käyttäviä palveluita tullut paljon markkinoille. 

Algoritmit vaikuttavat arjessamme osana erilaisia tekoälyjärjestelmiä. Esimerkiksi hakukoneet, verkkokaupat ja sosiaalinen media toimivat algoritmeilla. Tekoäly leviääkin tällä hetkellä vauhdilla laaja-alaisesti ja moninaisesti, kun datan keruuta kehitetään jatkuvasti. 

Tekoälyn tuomiin mahdollisuuksiin kohdistuu tällä hetkellä paljon odotuksia. Useassa organisaatiossa pohditaankin parhaillaan, miten tekoälyä voitaisiin hyödyntää omassa toiminnassa. Tekoälyn hyödyntämisestä herää myös kysymyksiä, kuten kuka vastaa koneen tekemistä päätöksistä, järjestelmien virheistä tai ennakoimattomista seurauksista. 

Kävin keskustelemassa McKinsey & Companyn Anna Katariina Wisakannon kanssa tekoälystä heidän toimistollaan Helsingissä. Wisakanto on ollut vuosia maailmalla työskentelemässä tekoälyyn liittyvissä erilaisissa tutkimus- ja kehittämistehtävissä. Nykyään hän auttaa asiakkaita hyödyntämään tekoälyä.

Tekoäly ei ole uusi keksintö 

Wisakanto korostaa aluksi, että vaikka tekoälystä puhutaan nyt paljon, niin kyseessä ei ole mikään uusi keksintö. Tekoälyn kehitys kytkeytyy osaksi tietotekniikan kehitystä. Tekoälyn kehitys voidaan katsoa alkaneen neuroverkkojen tutkimuksesta 1940-luvulla. Teuvo Kohonen (1934–2021) oli yksi kansainvälisesti tunnetuimpia neuroverkkojen kehittäjiä. 

Varsinaisesti tekoäly-termi syntyi Dartmouthin konferenssissa vuonna 1956. Tämän jälkeen tehtiinkin paljon erilaisia tekoälykokeiluita 1960-luvulla, joista merkittävimpiä olivat erilaiset haku- ja suunnittelumenetelmät sekä pelit. Tekoälykehitys kukoisti, vaikka tietokoneiden rajallinen muisti ja heikko teho hankaloittivat kehittämistä. 

Ensimmäiset mikroprosessorit keksittiin 1970-luvulla. Tämän myötä ruvettiin kehittämään asiantuntijajärjestelmiä. Syväoppiminen alkoi kehittyä ja kasvattaa suosiotaan 1980-luvulla, mikä rakensi pohjaa koneoppimiselle. IBM:n tietokone Deep Blue voitti silloisen maailmanmestarin Garry Kasparovin shakissa vuonna 1997. 

Wisakanto toteaa, että tekoälyn kehittäminen on pitänyt sisällään suvantovaiheita, joista käytetään nimitystä tekoälyn talvi. Tekoälyn kehitys ei edennyt esimerkiksi rahoituksen puutteen vuoksi, ja sitä hidasti tietokoneiden heikko kapasiteetti.  

Nykyisten tietokoneiden tehokkuus ja saatavilla olevan datan määrä ovat avaintekijöitä tekoälyn nopeutuneessa kehityksessä ja käytössä viime vuosien aikana. ChatGPT:n kaltaiset tekoälysovellukset ovatkin hyvin yleiskäyttöisiä ja helposti hyödynnettävissä, kun aiemmin käyttö perustui etukäteen luokitellun aineiston tilastolliseen käsittelyyn koneoppimismenetelmin. 

Tekoälyn hyödyntäminen käytännössä 

Wisakanto pitää positiivisena asiana, että organisaatioissa on kehitetty viime vuosina tiedonhallintaa ja siirrytty pilvipalveluihin sekä huomioitu entistä paremmin datan hyödyntämistä osana johtamisen sekä liiketoiminnan kehittämistä. Hän toteaakin, että silloin on helppoa ryhtyä tekoälyn käyttöönotossa tuumasta toimeen, kun on valmiiksi jo käytössä esimerkiksi Microsoftin tai Googlen työkaluja. 

Hän neuvoo, ettei kannata ruveta aluksi tekemään mitään suurta ja raskasta varsinaista tekoälyprojektia, koska nämä etenevät hitaasti aina kaiken muun kiireen keskellä. Hän suosittelee nopeaa tekoälyn rajattua testaamista, koska silloin muutamissa viikoissa saadaan kokemuksia ja nähdään tuloksia. Samalla lisääntyy ymmärrys hyödyistä ja mahdollisuuksista. Tällöin voidaan kustannustehokkaasti hyödyntää myös ulkopuolista asiantuntijaa. 

Wisakanto kertoo, että he ovat monesti avustamassa asiakkaita juuri alkutaipaleella, koska voivat kertoa esimerkkejä ratkaisuvaihtoehdoista ja toteutuksista eri toimialoille ympäri maailmaa. Yhtenä esimerkkinä hän kertoo, kuinka kiinteistöpalveluita tarjoavalle organisaatiolle toteutettiin huoltopalveluihin liittyvä tekoälyratkaisu. Käytännössä koottiin asiakkaiden eri järjestelmien ja laitteiden käyttöoppaat, huoltokirjat ja ohjeet yhteen tietokantaan. 

Näin pystytään helposti ja nopeasti hakemaan tarvittavat tiedot työtehtävissä, jolloin laatu ja kustannustehokkuus paranevat. Tekoälyn avulla pystytään ennustamaan ja ennakoimaan myös palvelutarpeita, kun dataa hyödynnetään monipuolisesti. Tämä auttaa puolestaan johtamisessa ja liiketoiminnan kehittämisessä. 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

Turvallisuusjohtaminen
Teksti: Jani Jumppanen

Turvallisuusjohtamisen kehittäminen on käytännön tekoja

Osa yrityksistä näkee turvallisuuden kuuluvan olennaisena osana menestyvään yritystoimintaan, ja osa kokee sen olevan vain lakisääteinen pakko.

Suomalaisten yrityksien suhtautuminen turvallisuuteen vaihtelee suuresti. Osa yrityksistä näkee turvallisuuden kuuluvan olennaisena osana menestyvään yritystoimintaan, ja osa kokee sen olevan vain lakisääteinen pakko. Kun turvallisuuden näkee vain minimivaatimusten täyttämisenä, liiketoimintaa ja tuottavuutta rajoittavana taakkana, menettää mahdollisuuden kehittyä. 

Lähihistoriaan ei tarvitse mennä tarpeettoman kauas nähdäkseen kuinka vähän esimerkiksi työturvallisuutta arvostettiin. Ikävä kyllä useissa yrityksissä työturvallisuus nähtiin juuri äsken kuvattuna taakkana, jossa työsuojelupäällikön tehtävää hoidettiin vain sivuvirkana. Yrityksissä pyrittiin hoitamaan vain lakisääteinen minimi, ja yrityksen kehittäminen oli aina tuotannon kehittämistä. Pahimmissa tapauksissa yrityksen työsuojelupäällikkyys nähtiin jäähyttelyvirkana. Virkana, johon laitettiin heidät, joiden kyvykkyydet eivät olleet parhaimmillaan tuotannossa. 

Erään tehtaan tapaturmaluvut vuosituhannen vaihteesta ovat hyvä esimerkki muuttuneista asenteista. Tehtaassa sattui vuosittain yli 40 työtapaturmaa, kun niitä tänä vuonna on ollut tasan nolla. Jotain on alkanut tapahtua asenteissa turvallisuutta kohtaan.  Suuri muutos on onneksi alkanut jo jonkin aikaa sitten. Turvallisuutta arvostetaan, koska yrityksissä nähdään sen vaikutukset työntekijöiden hyvinvointiin.

Mikään työyhteisö ei pidemmän päälle kestä sitä, että heidän jäseniään loukkaantuu liian usein vakavasti työtapaturmissa. Vakava tapaturma muuttaa työyhteisöjä. Osa työkavereista ei enää kykene jatkamaan työtään vanhalla osastollaan. Etenkään, mikäli he kokevat olleensa jotenkin osallisena tapaturman syntymiseen.  Toiset työyhteisöt vahvistuvat vakavien tapaturmien jälkeen. He ikään kuin päättävät, että nyt asiat muutetaan turvallisiksi. Eräs työyhteisö on ollut vuosikausia ilman pienintäkään tapaturmaa tällaisen historian takia. He eivät enää hyväksy välinpitämättömyyttä turvallisuutta kohtaan. 

Turvallisuuden kehittämisessä on se hyvä puoli, että se ei kilpaile muiden osa-alueiden kanssa. Korkean turvallisuuden yritys on käytännössä aina myös tehokas.  Turvalliseksi organisaatioksi voi lyhyeksi aikaa päästä myös onnella, mutta todellinen turvallisuus merkitsee perusasioiden kuntoon laittamista. Se tarkoittaa, että kuntoon on laitettava muun muassa työympäristö, kone- ja laiteturvallisuus, työprosessit ja -menetelmät sekä henkilöstön toiminta ja ajattelumallit. Tämä käytännössä selittää sen, miksi turvalliset organisaatiot ovat myös tehokkaita. Kun perusasiat ovat kunnossa, henkilöstö tietää mitä tekee ja koneet sekä laitteet toimivat. Sellaiset organisaatiot ovat yleensä hyvin toimivia ja tehokkaita.  

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

turvallisuustilannekuva valvontahuone
Turvallisuusjohtaminen
Teksti: Jyri Paasonen ja Laura Paasonen

Turvallisuustilannekuva johtamisen tukena

Eri organisaatiot, niin julkiset kuin yksityiset, tarvitsevat nykyään entistä enemmän tietoa turvallisuusympäristöstään, turvallisuusympäristön tapahtumista sekä niiden vaikutuksesta heidän toimintaansa. Kaikkeen tähän tarvitaan tilannekuvaa.

Organisaatioiden tilannetietoisuuden merkitystä ei voi liioitella vallitsevan maailmantilanteen takia. Tilannetietoisuuden merkitys korostuukin erityisesti erilaisissa häiriötilanteissa, jolloin joudutaan nopealla aikataululla tekemään jopa hyvin laaja-alaisestikin vaikuttavia päätöksiä. Tällöin tarvitaan mahdollisimman ajantasaista tietoa.  

Viime vuosien aikana on pyritty kehittämään monialaisia tilannekuvajärjestelyjä, joilla tilannetietoisuuden muodostamista on pyritty tukemaan. Tilannekuvalle ei ole olemassa yksiselitteistä määritelmää, vaan se vaihtelee jonkin verran riippuen asiasta, johon se liittyy.  

Yleisesti voidaan sanoa, että tilannekuvalla tarkoitetaan eri asiantuntijoiden kokoamaa kuvausta vallitsevista olosuhteista ja toimintavalmiuksista, häiriötilanteen synnyttäneistä tapahtumista, taustatiedoista sekä tilanteen kehittymistä koskevista arvioista. Siihen liittyy myös usein tietojen analysointiin perustuvia toiminta- ja kehittämissuosituksia.  

Strateginen ja operatiivinen tilannekuva 

Nykyään organisaation kaikilla toiminnan tasoilla on oltava riittävä tilannetietoisuus, joka puolestaan edellyttää yhteistoimintaa ja osaamista. Päätöksentekijöiden tuleekin tietää päätöstensä perusta ja seuraukset, miten niihin reagoidaan sekä mitä riskejä päätöksiin sisältyy. 

Tilannetietoisuuden saavuttamiseksi tarvitaan tilannekuvaa, joka muodostetaan eri organisaatioissa eri tavoilla riippuen toiminnasta ja sen merkityksestä kokonaisuudelle. Laatimisprosessi muodostuu joka tapauksessa tiedon keräämisestä, kokoamisesta, luokittelusta ja analysoinnista sekä analysoidun tiedon jakamisesta sitä tarvitseville.  

Monissa organisaatioissa on käytössä strateginen ja operatiivinen tilannekuva. Strateginen turvallisuustilannekuva on määräajoin laadittu yleisarvio tai ajankohtaisen aiheen yksityiskohtaisempi analyysi, jossa arvioidaan tapahtumia ja niiden vaikutuksia. Strategisia turvallisuustilannekuvia voidaan antaa päätöksentekijöille säännöllisin väliajoin, esimerkiksi kuukausittain tai kvartaaleittain.  

Operatiivista turvallisuustilannekuvaa puolestaan muodostetaan ja päivitetään mahdollisimman reaaliaikaisena, esimerkiksi häiriötilanteen aikana. Se antaa kuvan tapahtumien kehityksestä ja mahdollistaa näin tilanteen hallinnan sekä tilanteen selvittämisen edellyttämän johtamistoiminnan. Operatiivisen turvallisuustilannekuvan tietoja voidaan toki käyttää myös myöhemmin erilaisissa raporteissa. 

Yleinen turvallisuustilannekuva puuttuu Suomesta 

Hyvä turvallisuustietoisuus vaatii perustakseen kokonaisvaltaisen toimintaympäristön seurannan, tiedon analysoinnin, kokoamisen, jakamisen ja tutkimustarpeiden tunnistamisen sekä verkostojen hallinnan. Organisaatioissa on kuitenkin usein ongelmana se, ettei niillä ole riittävää osaamista tai resursseja turvallisuustietoisuuden parantamiseksi ja laadukkaiden turvallisuustilannekuvien tuottamiseksi. Erityisesti ulkoista tietoa hyödynnetään monesti hyvin rajallisesti, vaikka sitä olisi avoimesti tarjolla.

Suomessa ei ole tarjolla yleistä turvallisuustilannekuvaa, jota sekä julkinen että yksityinen sektori voisi hyödyntää. Kyberturvallisuuskeskuksen kybersääkooste on hyvä esimerkki, joka kertoo kuluneen kuukauden merkittävistä tietoturvapoikkeamista ja -ilmiöistä. Se on enemmän laadullinen kuin tilastollinen tilannekuva, joka on suunnattu tietoturvasta vastaaville henkilöille. Kybersäästä saa nopean kokonaiskuvan siitä, mitä kyberturvallisuuskentällä on kuukauden aikana tapahtunut.

Yleinen turvallisuustilannekuva voisi olla ”turvasää”. Siinä kannattaisi painottaa kuitenkin enemmän tilastollista tilannekuvaa kuin laadullista. Päivitystahti voisi olla kvartaalitasoinen, koska tätä tiiviimmällä tahdilla tilastojen kokoaminen alkaa työllistää liikaa.

Tiedon hyödyntäminen olisi hyvä järjestää puolestaan siten, että yleinen turvallisuustilannekuva olisi kaikkien käytettävissä ilman erillisiä ohjelmistoratkaisuja. Yhteinen portaali voisi olla hyvä ja tarkoituksenmukainen ratkaisu tiedon tuottamiseen ja välittämiseen. Portaalista voisi suodattaa tilastoja ja poimia organisaation omaan tilannekuvaan sekä raportointiin organisaation haluamia tilastoja.

Tiedon välittäminen ja jakaminen tapahtuisivat parhaiten siten, että tiedon tuottajat ja asiantuntijat esittelisivät webinaarissa kvartaaleittain yleisen turvallisuustilannekuvan ja tekisivät sieltä yksittäisiä nostoja ajankohtaisista aiheista. Tällöin myös laajempi yhteinen turvallisuustilannetietoisuus saataisiin parhaiten muodostettua sekä yksityiselle että julkiselle sektorille.

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

Digitaalisen kaksosen valvomo Metsä Groupin tehtaalla Äänekoskella.
Turvallisuusjohtaminen
Teksti ja kuva: Reijo Holopainen

Digitaalinen kaksonen johtamisen tukena tulkitsemassa todellisuutta ja hallitsemassa riskejä

Digitaalinen mallintamistekniikka on kohonnut tasolle, jossa se toimii dynaamisena, alati kohteensa kanssa mukana elävänä virtuaalisena toisintona, kaksosena. Käyttömahdollisuudet liittyvät muun muassa reaaliaikaiseen turvallisuustekniikkaan ja anturoinnin ansiosta riskien ennakointiin.

Digitaalisen mallin ja digitaalisen kaksosen ero on siinä, että digitaaliseen kaksoseen on aina yhdistetty kohteen reaaliaikainen datavirta. Digitaalinen kaksonen -termiä on käytetty välillä väärin koskien tavallista stabiilien aineistojen kanssa mallintamista ymmärtämättä käsitteen todellista merkitystä täydellisenä, digitaalisena toisintona, jossa tarvitaan tekoälyä ja oppivaa algoritmia. Tämän kaksisuuntaisen dynaamisen raportoinnin alku sijoittuu 1990-luvun jälkipuoliskolle. Etäohjauksen ja ajantasaisen valvonnan mahdollisuudet havaittiin jo lähes 30 vuotta sitten metsäkoneiden etädiagnostiikan kanssa: Lapissa toimineen koneen tila näkyi päätteellä Helsingissä. 

Valmet Automotiven strategia- ja kehitysjohtaja Antti Havola on innostunut hahmottamaan digitaalisen kaksosen kehityksen eräänlaisena suuren kehitystrendin täydentymänä. Paitsi että moottorin dynaamisen mallinnuksen kautta pystyttiin etänä määrittelemään sen vikaantunut toiminto, sen kautta pystyttiin satelliittiyhteyden avulla tekemään etäsäätöjä esimerkiksi pakkasessa yskivän raskaskoneen tyhjäkäyntiin. Reaaliaikaisia säätöjä ja vikadiagnostiikkaa tehtiin satelliittiyhteyden kautta, koska langaton internet oli vasta suunnitteilla. Silloin ei ollut myöskään vielä nykyisen kaltaista 3D-mallia kohteesta. Laitetehot tietokoneissa ja datayhteyksissä eivät olisi siihen edes riittäneet. 

Ilman reaaliaikaisuutta kyseessä on pelkkä digitaalinen malli. Reaaliaikainen datavirtakaan ei vielä tee 3D-rakenteesta kohteensa kaksosta, jos se on yksisuuntainen. ”Yksisuuntaisuudesta datavirrassa puhutaan myös digitaalisena varojana”, sanoo tiiminvetäjä Matti Kutila VTT:ltä. Kaupunkien liikenteen valvonnassa esimerkiksi hyödynnetään monipuolisesti dataa. ”Havaitsemalla ongelmat ajoissa digital shadow -tason järjestelmä voi lisätä turvallisuutta ja auttaa vähentämään kustannuksia osoittamalla edeltä näkymättömissä olevat liikenteen ongelmat”, Kutila lisää. 

Digitaaliseen kaksoseen liitettävä terminologia tuntee käsitteen ”ennakoiva ylläpito”, joka tarkoittaa analyysimenetelmiä ja uudenlaisten riskienhallinnan työkalujen käyttöä erityisesti teollisuudessa. Esimerkiksi ydinvoimaloissa digitaaliset kaksoset ovat toimineet jo pitkään, mutta niitä ei vieläkään käytetä etänä turvallisuussyistä.  Digitaalisen kaksosen myötä massiivisista automaatiojärjestelmistä saadaan käyttötietoa. Digitaalinen kaksonen spesifissä merkityksessä päivittyy sekunnin tai useammin jo sitäkin pienemmän aikayksikön latenssilla reaalimaailman kohteensa kanssa mitaten fyysisen vastineensa suorituskykyominaisuudet. Tästä on merkittävä hyöty riskienhallintaan. 

Digitaalinen kaksonen tuottaa lähtötietojen avulla ennusteita tai simulaatioita siitä, kuinka ajatellut syötteet vaikuttavat kyseiseen fyysiseen kohteeseen tai järjestelmään. Tarkat digitaaliset kaksoismallit keräävät oivalluksia turvallisella etäisyydellä kohteesta ja mahdollistavat signaalitietojen analysoinnin ennen kuin häiriöitä välttämättä edes ehtii ilmetä.  

Suomessa Metsä Fibren teknologiajohtaja Matti Toivonen arvioi, että teollisuudessa automaatioteknologian, jota kutsutaan digitaaliseksi kaksoseksi, merkitys prosessin hallinnassa on merkittävä. Näin edelläkävijöille tarjoutuu valvonnan käyttöön uusia, ennen tuntemattomia työvälineitä. Tuhansien anturien ansiosta koko riskienhallintaprosessi voi toimia reaaliajassa, mutta myös simuloida erilaisia säätöjä, ”entä jos” -malleja.  Automaation älykäs optimointi virtaa toisiinsa yhdistettyihin järjestelmiin, kuten huolto-ohjelmiin ja koko tuotantolaitokseen. ”Häiriöilmoitukset ovat yksi tärkeä toiminto, koska ne tulevat valvomoon reaaliaikaisesti ja ovat heti paikannettavissa”, Toivonen toteaa. 

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

9.11. kaksoistornien isku ja Rick Rescorla
Turvallisuusjohtaminen
Teksti: Elina Hiltunen

Rick Rescorla – miten turvallisuusuhkien ennakointi ja mielikuvituksen käyttö säästi 2 687 henkeä?

Jos Hippokrates on lääkärikunnan arvostettu esikuva, niin turvallisuusalan vastaava esikuva voisi olla Cyril Rickhard ”Rick”Rescorla. Tuntuuko nimi kenties tutulta? Jos ei, niin otetaan pieni kertaus. 

Rescorla syntyi vuonna 1939 Hayleyn kaupungissa Isossa-Britanniassa. Pienen pojan lapsuuteen kuului toisen maailmansodan katsominen vierestä. Hän suorastaan fanitti sotilaita, erityisesti Yhdysvaltojen armeijan, jotka vierailivat myös hänen kotikaupungissaan toisen maailmansodan loppumetreillä. Rescorla päätti alkaa sotilaaksi ja liittyi 16-vuotiaana brittiarmeijaan. Hän toimi tätä kautta muun muassa tiedusteluyksikössä Kyproksen kriisissä.

Erilaisten vaiheiden jälkeen Rescorla päätyi Yhdysvaltoihin, liittyi siellä armeijaan ja taisteli Vietnamin sodassa.  Armeijapalveluksen jälkeen Rescorla päätyi Yhdysvalloissa opiskelemaan muun muassa kirjallisuutta ja lakia. Hän toimi myös opettajana. Lopulta hän siirtyi turvallisuusalalle paremman toimeentulon perässä. Hän päätyi turvallisuusjohtajaksi Dean Witter -yritykseen, joka toimi New Yorkin World Trade Centerissä (WTC). 

Vuonna 1988 Frankfurtista Detroitiin matkalla olleella Pan Amin lennolla 103 räjähti terroristien pommi Lockerbien kaupungin yläpuolella Skotlannissa. Lentokone matkustajineen ja miehistöineen tuhoutui täysin. Iskussa kuoli myös kaupunkilaisia. Yhteensä 270 ihmistä menehtyi kyseisessä iskussa. Tapahtuma sai Rescorlan pohtimaan sitä mahdollisuutta, että WTC-torneihin tehtäisiin myös terrori-isku.

Rescorla perusti epävirallisen tiimin, team Rescorlan, joka pohti WTC-tornien turvallisuutta. Tiimiin kuului muun muassa terrorismiasiantuntija Daniel Hillin ja Rescorlan ystävä Fred McBee. Tiimi huomasi, että WTC-tornien parkkihallin suojaus oli olematon. Terroristien olisi mahdollista ajaa kuorma-autolla lasti räjähdettä sisälle kellarikerroksen parkkihalliin tukipilareiden läheisyyteen ja aiheuttaa isku. Rescorlan tiimi teki aiheesta raportin vuonna 1990 ja luovutti sen WTC-tornit omistaneelle taholle. Parkkihallin suojauksen parantamista pidettiin kuitenkin liian kalliina, joten mitään ei tehty asian eteen. 

Ensimmäinen isku WTC-torneihin tehtiin 26.2.1993. Muslimiterroristit ajoivat parkkihalliin räjähteillä lastatun pakettiauton. Tavoitteena oli saada koko pohjoistorni sortumaan ja samalla kaatamaan etelätorni. Isku ei onnistunut laajoissa tavoitteissaan, mutta kuusi ihmistä kuoli ja yli tuhat loukkaantui. Isku oli luonnollisesti shokki. Rescorla oli tuolloin töissä ja hoiti evakuointitoimenpiteitä. Hän oli varma, että lisää ongelmia oli tiedossa.  

Kun Dean Witter fuusioitui vuonna 1997 investointipankki Morgan Stanley kanssa, Rescorlasta tuli Morgan Stanleyn turvallisuusjohtaja. Fuusiossa Morgan Stanley sai peräti 22 kerrosta eteläisestä WTC-tornista.  Rescorla oli yhä huolissaan WTC-tornien tulevaisuudesta ja mietti uusia turvallisuusuhkia epävirallisen tiiminsä kanssa. He päätyivät skenaarioon, että seuraava isku WTC-torneihin tulisi taivaalta. Heidän skenaariossaan kemiallisia tai biologisia aineita täynnä oleva rahtikone törmäisi torneihin. Rescorla piti uhkaa niin mahdollisena, että hän yritti suostutella Morgan Stanleyn johtajat siihen, että yritys siirtäisi toimitilansa New Jerseyhyn, olihan siellä toimistotilat myös edullisemmat.  

Johto ei kuitenkaan taipunut Rescorlan toiveisiin, koska vuokrasopimusta oli vielä jäljellä. Niinpä Rescorla teki sen, mikä tilanteessa oli mahdollista. Hän järjesti tasaisin väliajoin evakuointiharjoituksia työntekijöille aina kiireisintä johtoa myöten. Harjoitukset olivat kaikkea muuta kuin suosittuja: ne keskeyttivät ikävästi työpäivän ja työtehtävät. Rescorla ei kuitenkaan suostunut joustamaan tässä asiassa. 

Syyskuun 11. päivä vuonna 2001 Rescorlan piti olla lomalla, mutta kohtalon oikusta hän meni tuuraamaan kollegaansa työpaikalle WTC-torniin. Ensimmäinen lentokone iskeytyi klo 8.46 ensimmäiseen torniin. Rakennusviranomaiset komensivat kakkostornin väkeä pysyttelemään paikoillaan, mutta Rescorla käynnisti välittömästi evakuointioperaation Morgan Stanleyssä. Rescorla ohjasi liki 2 700 WTC2-tornissa ollutta työntekijää ulos rakennuksesta juuri ennen kuin toinen lentokone iskeytyi tähän torniin. Näistä 2 700 työntekijästä vain 13 kuoli tornien sortumisessa. Valitettavasti Rescorla menetti henkensä iskussa. Hän pystytteli rakennuksessa viimeiseen asti auttaen ihmisiä pakenemaan sieltä.  

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

riskienhallinta ISO 31000 standardi
Riskienhallinta
Teksti: Lassi Väisänen ja Jyri Paasonen

Mihin suuntaan riskienhallinta kehittyy?

Riskienhallintaympäristö on merkittävästi muuttunut 2000-luvun aikana. Samalla ovat muuttuneet myös riskienhallinnalle kohdistetut odotukset.

2000-luvulla sisältyy merkittäviä tapahtumia maailmassa, kuten finanssikriisi, pakolaiskriisi, Venäjän Krimin miehitys ja hyökkäys Ukrainaan, koronapandemia, energiakriisi, digitalisaation, kyberrikollisuuden kasvu ja tekoälyn käytön yleistyminen. Yllä mainitut esimerkit poikkesivat monilta osin perinteisistä riskienhallinnan oppikirjojen mukaisista tapahtumista. Näissä riskienhallinnan tarkastelu laajeni perinteisistä osa-alueista syvälle organisaation keskeisiin tavoitteisiin ja prosesseihin. Miten erilaiset sisäiset ja ulkoiset muutostrendit aiheuttavat haasteita organisaation olemassaolon tai organisaation tavoitteiden saavuttamiselle? Organisaatioissa on tarkasteltu viime vuosina, kuinka riskienhallinta tulisi voida integroida paremmin organisaation johtamiseen perinteisten vuosittaisten riskien arviointien lisäksi.

ISO 31000 on kansainvälisen standardisointijärjestön ISOn keskeisin riskienhallintastandardi, joka tarjoaa laajan viitekehyksen riskienhallintaan. Standardi on lyhyt ja ytimekäs, minkä takia se soveltuu kaikille organisaatioille riskienhallinnan suunnittelun ja toteuttamisen tueksi sekä ohjeeksi. Suomen Standardisoimisliitto SFS on julkaissut käsikirjan (18:2021) organisaatioiden riskienhallinnasta ja toiminnan jatkuvuudenhallinnasta, jossa monia näkökulmia pyritään avaamaan yksinkertaisten esimerkkien avulla helposti ymmärrettäviksi asiakokonaisuuksiksi.  ISO 31000 -standardi julkaistiin vuonna 2009, eli sen voidaan katsoa olevan jo rippikouluiässä. Vuosien saatossa ISO 31000 -standardi on ollut yksi myydyimpiä ISOn tuotteita. 

Suomen Riskienhallintayhdistys teki vuosien 2021–2022 aikana selvityksen siitä, mitä riskienhallinta voisi olla 2030-luvulla. Selvitys tehtiin yhteistyössä Deloitten kanssa.  Selvityksessä nousi esiin neljä kokonaisuutta: organisaation strategiaa tukeva (alignment with strategy), hyvä hallinto ja organisaation toimintakulttuuri (governance and culture), organisaation toimintamalliin tukeutuva (operating model) sekä organisaation raportoinnin tuki ja menetelmät, mallit sekä teknologiat (reporting and technology). Kaikki nämä osa-alueet ovat isoja kokonaisuuksia. Riskienhallintayhdistyksessä on pidetty workshop tänä vuonna, jossa käytiin eri aihealueita läpi. Tavoitteena oli löytää sekä kuluvalle että tuleville vuosille yhdistyksen toiminnan kannalta painopistealueita, jotka palvelevat jäsenistön tarpeita seminaarien ja muiden aktiviteettien osalta. 

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 6/2023.

Tilaa lehti! 


 

Turvallisuuspolitiikka
Teksti: Jarno Limnéll

Suomi tarvitsee kokonaisturvallisuusuudistuksen ja Nato-strategian

Kansanedustaja Jarno Limnéll käsittelee ajankohtaisia turvallisuuspoliittisia kysymyksiä.

Kokonaisturvallisuus. Kyberturvallisuus. Informaatiopuolustus. Kolme suomalaisten arjen turvallisuuteen hyvin vahvasti vaikuttavaa asiaa, joita on nyt kehitettävä – tai ainakin niitä tulisi määrätietoisesti kehittää konkreettisin teoin. Turvallisuutemme takia.

Hallitusohjelmassa on linjattu kaksi tärkeää asiaa. Ensinnäkin kokonais- ja kyberturvallisuuden johtamisrakenne uudistetaan. Samalla huomioidaan informaatiopuolustus osana uudistettavaa kyberturvallisuusstrategiaa. Suuria otsikoita tästä ei ole kirjoitettu, sillä ylätason käsitteiden vaikutus ihmisten arkeen saattaa tuntua etäiseltä. Nämä linjaukset ovat kuitenkin oikeasti tärkeitä ja tulevat Suomelle eteen jo tänä syksynä. Turvallisuusympäristömme on voimakkaan ja jatkuvan muutoksen keskellä ja edellyttää meiltä uudistumiskykyä.

Ensinnäkin Venäjän tilanteen kehittyminen vaikuttaa myös meihin. Suomen tulee kehittää kokonaisturvallisuuttaan varautuen kaikkiin mahdollisiin skenaarioihin itänaapurissa. Ennemmin tai myöhemmin siellä valta vaihtuu, eikä se tarkoita välttämättä pelkästään positiivisia kehityssuuntia. Ainakin informaatiovaikuttamista ja kyberoperaatioita tullaan varmasti näkemään kiihtyvään tahtiin tammikuun presidentinvaalien lähestyessä. Myöskään rajaturvallisuuden vahvistaminen ei ole lainkaan liioiteltua tilanteessa, jossa kutsunnoista kieltäytyvien nuorten miesten elämästä pyritään rajan takana tekemään mahdollisimman tukalaa.

Toiseksi Suomi on nyt Naton jäsen, mutta työ on vasta alkanut. Suomen sijoitus Naton komentorakenteissa on vielä ratkaisematta, samoin kuin kysymykset siitä, minkälaista profiilia lähdemme Natossa rakentamaan ja kuinka Suomi sisäisesti päättää suuntalinjoistaan. Kuinka varmistamme sen, että meillä on riittävästi osaavia ja motivoituneita upseereita, kun heitä tullaan jatkossa tarvitsemaan Nato-esikunnissa? Suomi tarvitsee Nato-strategian.

Kolmas konkreettinen kokonaisturvallisuuskysymys on kansakunnan yhtenäisyyden ja yhteishengen ylläpitäminen. Hallitusohjelman mukaisesti ”Hallitus huomioi disinformaation torjunnassa molemmat kansalliskielet sekä muunkielisen viestinnän. Opettajien valmiuksia kasvattaa oppilaita kriittiseen medialukutaitoon sekä tietoisuuteen kyberriskeistä vahvistetaan laajan yhteiskunnallisen resilienssin lujittamiseksi.” Tämä jos mikä on käsinkosketeltavaa arjen turvallisuutta.

Teknologia kehittyy kiihtyvään tahtiin, samoin sen mukanaan tuomat uhkat ja mahdollisuudet. Venäjä miehittää Ukrainaa jo kymmenettä vuotta. Kiinan rooli maailmanpolitiikassa kasvaa, Afrikasta evakuoidaan länsimaiden kansalaisia vallankaappausten keskeltä ja globaaleja kriisejä puhkeaa maailmalla jatkuvasti. Juuri tässä hetkessä meidän tulee pitää silmällä Venäjää, laatia Nato-strategia ja ennen kaikkea huolehtia omasta yhtenäisyydestämme, sillä se on varmin tie säilyttää resilienssimme ja suvereniteettimme.

Suomi on maa, joka pärjää ainoastaan yhdessä tekemällä. Siksi näitä hallitusohjelman kirjauksia on syytä alkaa edistää niin pian kuin mahdollista.

 


Turvallisuus & Riskienhallinta -lehden numero 4-5/2023.

Tilaa lehti! 


 

Viron entisen presidentin Toomas Hendrik Ilves
Digitalisaatio
Teksti: Jyri Paasonen

Kuinka Virosta tuli maailman kärkimaa digitalisaatiossa?

Viro on viimeisten vuosikymmenien aikana kehittynyt entisestä neuvostomaasta kansakunnaksi, joka on keskittynyt digitaalisen yhteiskunnan kehittämiseen. Muutos on ollut seurausta teknologian kehittymisestä, mutta Viro on ollut etulinjassa toteuttamassa sitä.

Suomen tietoturvakentän veteraanit Mikko Hyppönen ja Tomi Tuominen keskustelivat Viron entisen presidentin Toomas Hendrik Ilveksen kanssa maan digitaalisen edistyksen salaisuuksista ja vahvan kyberpuolustuksen rakentamisesta.

Ilves, joka kasvoi Yhdysvalloissa virolaispakolaisperheessä, palasi Viroon Neuvostoliiton hajottua ja toimi ulkoministerinä, suurlähettiläänä sekä presidenttinä. Hän korostaa digitaalisen infrastruktuurin ja koulutuksen merkitystä digitalisaation kehittämisessä.

Virossa panostettiin tietokoneisiin, internet-yhteyksiin ja kouluissa osaamisen kehittämiseen, mikä loi pohjan menestyvälle startup-kulttuurille ja teknologiayrityksille. Nykyään virolaisilla on käytössään mittava valikoima digitaalisia palveluita. Viron sähköinen infrastruktuuri on avoin palveluväylä, jonka avulla voidaan siirtää tietoa eri järjestelmien välillä turvallisesti ja yhtenäisellä tavalla.

Ilves on nähnyt ja pohtinut työurallaan paljon turvallisuuteen liittyviä kysymyksiä. Hän korostaa kyberpuolustuksen osalta, että on tärkeää ymmärtää jatkumoa. Kun tarkastellaan esimerkiksi venäläisiä ja kiinalaisia, niin heidän toimintansa on jatkumoa.

Hänen mukaansa yksi suuri kompastuskivi monille kyberturvallisuuskysymyksille on, ettemme ymmärrä, missä kilpailu on teknologian osalta tulevaisuudessa. Lisäksi hän korostaa lainsäädännön haasteita, koska kyberpuolutus riippuu ihan liikaa sääntelystä. Tämän takia Euroopan unionin pitäisi tehdä lainsäädäntökehys aidon kyberpuolustuksen luomiseksi.

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2023.

Tilaa lehti! 


 

Messut
Teksti: Joona Vuorenpää

FinnSec-messujen teemana turvallisempi tulevaisuus

FinnSec on jo neljästoista kertaan järjestettävä turvallisuusteknologian ja -palveluiden tapahtuma, joka tarjoaa mahdollisuuden alan ammattilaisille päivittää tietonsa, verkostoitua ja kuulla huippupuhujia.

FinnSec kokoaa turvallisuusalan ammattilaiset ja yritysjohdon tutustumaan alan uusiin trendeihin ja ​teknologisiin ratkaisuihin, päivittämään tietonsa sekä kohtaamaan. FinnSec onkin Pohjoismaiden merkittävin turvallisuusteknologian ja ​-palveluiden tapahtuma, joka järjestetään nyt jo neljännentoista kerran Helsingin Messukeskuksessa 11.-12.10.2023.

FinnSecissä kuulet puheenvuoroja alan ajankohtaisista aiheista alan huippunimiltä ja verkostoidut tehokkaasti. Tapahtuman järjestää Messukeskus Finnsecurityn toimeksiannosta. Messujen alateemoina ovat digitalisaation kautta kasvuun, varautuminen ja riskienhallinta sekä tulevaisuuden työnantaja. 

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2023.

Tilaa lehti! 


 

Turvallisuusalan digitaalinen tulevaisuus-Pekka Haavisto
Teknologia
Teksti: Jyri Paasonen ja Laura Paasonen

Turvallisuusalan digitaalinen tulevaisuus

Turvaurakoitsijat ry järjesti Euroopan Lukkoseppäliitto ELF:n vuotuisen lukitus- ja turvallisuusjärjestelmiin keskittyvän tapahtuman 8.–10.6.2023 Helsingissä.

Tapahtuman kohokohtana oli lukitus- ja turvallisuusalan tulevaisuutta käsitellyt seminaari: ”The Future of Smart Security”. Seminaarin avauspuheenvuoron piti kansanedustaja ja edellisen hallituksen ulkoministeri Pekka Haavisto. Seminaarin puhujina olivat Assa Abloyn EMEIA:n johtaja Neil Vann, Dormakaban EMEA:n johtaja Steve Bewick, iLOQ:n toimitusjohtaja Heikki Hiltunen ja yhdysvaltalainen kulunvalvonta-asiantuntija Lee Odess.

Seminaarissa käytiin läpi maailmantilanteen kehitystä ja sen vaikutuksia turvallisuusalaan, erityisesti kaupungistumisen ja digitaalisen muutoksen osalta. Kaupungistuminen ennustetaan lisääntyvän dramaattisesti seuraavien 20 vuoden aikana, muuttaen rakennuksia ja niiden käyttötarkoituksia. Digitalisaation vallankumous vaikuttaa kaikkiin toimialoihin.

Muutokset tarjoavat turvallisuusalan liiketoimintamahdollisuuksia, mutta myös perinteiset toimijat kohtaavat uusia haasteita digitalisaation myötä. Startup-yritykset tuovat uutta näkökulmaa turvallisuuteen, painottaen helppoutta ja mukavuutta. Teknologiajätit ovat kiinnostuneita turvallisuusalasta ja voivat vaikuttaa alan kehitykseen voimakkaasti.

Turvallisuuden lainalaisuudet eivät tule poistumaan, koska jatkossakin tullaan tarvitsemaan lukkoseppiä ja vartijoita. Erityisen tärkeää on tarkastella fyysisen ja digitaalisen turvallisuuden konvergenssia. Perinteisen osaamisen lisäksi pitää hallita entistä enemmän tietotekniikkaa ja ymmärtää eri vaatimuksia sekä standardeja. Tämän takia tarvitsemme alalle lisää eri asiantuntijoita, ja yhteistyötä on tehtävä entistä avoimemmin eri toimijoiden kanssa.

On välttämätöntä uudistua ja nähdä pidemmälle tulevaisuuteen, koska muuten emme pärjää. Turvallisuusalan pitääkin osata paremmin tehdä arvonluontia, koska turvallisuusalan tulevaisuus on digitaalinen. Kysyntä ja tarve on olemassa markkinoilla, joten tämä on ennen kaikkea turvallisuusalalle mahdollisuus.

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2023.

Tilaa lehti! 


 

Rikollinen hyödyntää tekoälyä
Kyberturvallisuus
Teksti: Laura Paasonen ja Jyri Paasonen

Tekoälyn hyödyntäminen rikollisessa toiminnassa

Tekoälyä kehitetään jatkuvasti ympäri maailmaa. Euroopassa on havaittu tekoälyn hyödyntäminen rikollisessa toiminnassa, ja siihen halutaan puuttua tehokkaasti.

Tekoäly, joka mahdollistaa koneiden älykkyyden ja tekstintuoton, kehittyy nopeasti globaalisti, ja sen vaikutus ihmisten elämään kasvaa merkittävästi. Euroopan unioni on vastaamassa tähän haasteeseen sääntelyllä, mutta samalla on tärkeää tunnistaa tekoälyn mahdolliset väärinkäyttötarkoitukset, erityisesti rikollisessa toiminnassa.

Euroopassa Europol Innovation Lab on kiinnittänyt huomiota tekoälyn mahdollisiin rikollisiin sovelluksiin ja järjestänyt aiheeseen liittyviä työpajoja asiantuntijoiden kanssa. Tämän seurauksena on tullut ilmi, kuinka laajoja kielimalleja, kuten ChatGPT, voidaan väärinkäyttää erilaisissa rikollisissa tarkoituksissa. Näihin kuuluvat muun muassa tietojenkalastelu, verkkopetokset, sosiaalinen manipulointi, propaganda ja terrorismin edistäminen.

Vaikka näihin tekoälymalleihin on lisätty turvaominaisuuksia, jotka pyrkivät estämään haitallisen sisällön tuottamisen, ne voivat silti olla suhteellisen helppoja kiertää. Kielimallien kehitys mahdollistaa myös entistä monimutkaisemmat ja realistisemmat rikokset. Tekoälyssä piileekin huomattava potentiaali rikollisten hyödyntämiseksi, erityisesti ilman teknistä osaamista.

Tekoälyä koskevaa lainsäädäntöä ja valvontaa on tehostettava vastaamaan teknologisen kehityksen haasteisiin. On tärkeää lisätä tietoisuutta tekoälyn mahdollisista väärinkäyttötarkoituksista, valmistella lainvalvontaviranomaisia ennakoimaan ja torjumaan rikoksia sekä ylläpitää yhteistyötä teknologiayritysten kanssa turvatoimenpiteiden parantamiseksi. Tekoälyn käyttöä rikollisiin tarkoituksiin on seurattava tiiviisti, ja tarvittaessa on reagoitava nopeasti mahdollisten uhkien torjumiseksi.

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2023.

Tilaa lehti! 


 

Supertietokone Lumi Kajaanissa
Teknologia
Teksti: Laura Paasonen ja Jyri Paasonen

Supertietokone LUMI

Kajaanissa, reilun 36 000 asukkaan kaupungissa Itä-Suomessa, jonka Pietari Brahe perusti vuonna 1651, sijaitsee maailman kolmanneksi nopein ja Euroopan tehokkain supertietokone LUMI. Miten tähän on päädytty?

Maailma pyörii yhä vahvemmin datan ympärillä, ja sen merkitys eri aloilla, kuten lääketieteessä, ilmastotieteessä ja tekoälyssä, kasvaa jatkuvasti. Tiedon kerääminen ja sen hyödyntäminen ennustamiseen ja päätöksentekoon on tullut keskeiseksi osaksi yhteiskuntaa. Tämä vaatii äärimmäisen tehokkaita tietokoneita, joita kutsutaan supertietokoneiksi.

Supertietokoneet ovat huipputehokkaita laskentajärjestelmiä, joilla on useita keskusyksiköitä (CPU), mikä mahdollistaa valtavan laskentatehon ja nopeuden. Historiallisesti supertietokoneita kehitettiin alun perin kansalliseen turvallisuuteen liittyviin tarkoituksiin, kuten ydinaseiden simulointiin. Ne saivat alkunsa 1960-luvulla, ja eri yritykset, kuten UNIVAC, IBM ja Control Data Corporation, kilpailivat niiden kehittämisessä.

Supertietokoneiden historiaan liittyy tunnettuja nimiä, kuten IBM 7030 (Stretch) ja Seymour Crayn suunnittelema CDC 6600, joka hallitsi markkinoita pitkään. Nykyään supertietokoneet ovat yksilöllisiä tilaustöitä, ja perinteiset tietotekniikkayritykset, kuten IBM ja HP, valmistavat niitä.

Euroopassa LUMI (Large Unified Modern Infrastructure) on huippuluokan supertietokone, joka on Euroopan tehokkain ja kolmanneksi nopein maailmassa. Se sijaitsee Suomen Kajaanissa CSC:n datakeskuksessa.

LUMI tarjoaa valtavan laskentatehon, joka mahdollistaa nopeamman ongelmien ratkaisemisen ja uusien monitieteellisten tutkimusongelmien käsittelyn. Lisäksi se on edistynyt tekoälyn alusta, joka yhdistää syväoppimisen, simulaatiot ja datan analytiikan. LUMI tukee tutkimusta monilla aloilla, kuten ilmastotieteessä, lääketieteessä, ja se voi auttaa pandemioiden tutkimuksessa.

LUMI on avoin eurooppalaisille tutkijoille ja yrityksille, mikä tukee innovaatioita ja uusia datapohjaisia liiketoimintamalleja. Se on merkittävä voimavara korkeakouluille ja tutkimuslaitoksille sekä kansainvälisissä että kansallisissa tutkimushankkeissa.

Samalla se hyödyntää ekologista sähköntuotantoa ja vähentää Kajaanin hiilijalanjälkeä hukkalämmön tehokkaalla hyödyntämisellä. LUMI on paitsi huippuluokan tietotekniikan ihme myös esimerkki siitä, miten teknologia ja ympäristöystävällisyys voivat yhdistyä menestyksekkäästi.

 


Lue koko artikkeli Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2023.

Tilaa lehti! 


 

Tietoturvakatsaus 2024 -seminaarin antia

Tietoturva ry järjesti Tietoturvakatsaus 2024 -seminaarin Helsingissä 15.5.2024. Seminaarissa Suomen etu­rivin asiantuntijat ja ulkomaiset keynote-puhujat avasivat näkökulmia digitaalisen maailman tulevaisuuteen ja siihen liittyviin riskeihin. 

DNV panostaa kyberturvallisuusliiketoimintaan 

DNV osti suomalaisen kyberturvayhtiö Nixu Oyj:n. Tämä tuo yhteen yli 500 kyberturvallisuusalan ammattilaista tarjoamaan laajan valikoiman konsultointi- ja hallinnointipalveluita kyberriskien hallitsemiseksi. 

Kansainvälinen standardointi on osa maailmanpolitiikkaa

Kansallisesti järjestäytyneen standardoinnin voidaan katsoa alkaneen 1900-luvun alussa. Suomalainen standardointi alkoi vuonna 1924. Näinä aikoina standardeja laadittiin alueellisesti maittain, ja tämä tyydytti tarpeet. 

Nato-jäsenyys avaa mahdollisuuksia elinkeinoelämälle

Kun Suomi liittyi Natoon, ovet avautuivat myös yrityksille. Jäsenyys poistaa muodolliset esteet, joita kaupankäynnin tiellä on ollut – kuten sen, että jäsenmaat mielellään tekevät puolustukseen liittyviä hankintoja vain toisista jäsenmaista. 

Pysy ajan tasalla turvallisuudesta ja riskienhallinnasta.

Tilaa uutiskirje