Tutkimus tuotti työkaluja elintarvikealan työturvallisuuden kehittämiseen

Viisi suomalaista elintarvikealan yritystä osallistui elintarvikealan työturvallisuutta kehittävään tutkimushankkeeseen. 

Viisi suomalaista elintarvikealan yritystä osallistui elintarvikealan työturvallisuutta kehittävään tutkimushankkeeseen. Työturvallisuutta tutkittiin turvallisuuskulttuurin ja tapaturmien kautta. Yrityksillä oli jo ennestään käytössä useita työturvallisuutta edistäviä toimintatapoja, joita koottiin yhteen. Yritykset kehittivät turvallisuutta myös hankkeen aikana kukin omalla tavallaan, minkä lisäksi tutkimuksessa kertyi useita kehittämisehdotuksia tulevaisuutta varten. Hankkeessa kehitetyt työkalut soveltuvat myös muille aloille.

Yritysten henkilöstö vastasi kaksi kertaa hankkeen aikana turvallisuuskulttuuria mittaavaan kyselyyn. Yritysten turvallisuuskulttuurin tilaa selvitettiin kyselyllä tutkimushankkeen alussa keväällä 2023. Toisen kerran kysely tehtiin syksyllä 2024, kun yrityksissä oli tehty työturvallisuuden kehittämistoimia. Keväällä 2023 kyselyyn vastasi 836 henkilöä ja syksyllä 2024 940 henkilöä.

Hankkeessa haastateltiin yritysten johtoa, esihenkilöitä ja työntekijöitä. Haastatteluihin osallistui yhteensä 89 henkilöä. Haastatteluilla kerättiin tietoa yrityksissä käytössä olevista työturvallisuuden ja turvallisuuskulttuurin toimintatavoista sekä kehitysehdotuksia ja -tarpeita. 

Lisäksi hankkeessa pidettiin sekä yrityskohtaisia että ohjausryhmän työpajoja. Yrityskohtaisissa työpajoissa suunniteltiin kehittämistoimenpiteitä kyselyn vastausten perusteella. Ohjausryhmän työpajoissa jaettiin tietoa ja keskusteltiin erilaisista työturvallisuuskäytännöistä.

Elintarviketeollisuuden tapaturmia tarkasteltiin sekä Tapaturmavakuutuskeskuksen tilastojen ja tapaturmakuvausten että osallistuvien yritysten tapaturmatietojen perusteella. Aineistosta tehtiin yhteenveto tapaturmien määrän kehityksestä, tapaturmataajuudesta, tapaturmia kuvaavista ESAW-muuttujista, tapaturmiin vaikuttaneista tekijöistä ja torjuntatoimenpiteistä.

Hankkeessa tehtiin myös kysely elintarvikealan opiskelijoiden turvallisuusnäkemyksistä. Siihen vastasi 34 opiskelijaa.

Hankkeessa kehitetyt työkalut

Turvallisuuskulttuurin kypsyysanalyysi -kysely

Turvallisuuskulttuurin kypsyyskyselyä käyttämällä yrityksillä on mahdollisuus saada hyvä käsitys niiden turvallisuuskulttuurin tilasta. Turvallisuuskulttuurin osa-alueet kyselyssä ovat: johdon ja esihenkilöiden sitoutuminen, viestintä, kouluttaminen, organisatorinen oppiminen sekä työntekijöiden sitoutuminen ja osallistuminen. Jokaisessa osa-alueessa on 3–7 kysymystä, jotka arvioidaan sanallisella kypsyysasteikolla. Vastaajaksi voidaan valita tietyt henkilöstöryhmät, tai kysely voidaan teettää koko henkilöstöllä ja analysoida erikseen eri organisaatiotasoilla. Kysely soveltuu käytettäväksi myös ryhmähaastatteluissa, työpajoissa ja auditoinneissa.  

Elintarviketeollisuuden työpaikkatapaturmat -julkaisu 

Tapaturma-analyysistä tehtiin julkaisu Elintarviketeollisuuden työpaikkatapaturmat. Se antaa kattavan kuvan elintarviketeollisuudessa sattuneista tapaturmista. Julkaisun liitteenä on viisi kuvausta elintarviketeollisuuden tyypillisistä tapaturmista. Jokaiseen niistä on koottu myös vinkkejä, miten vastaavia tapaturmia voisi torjua.

Tapauskuvaukset 

Jokaiselta yritykseltä valittiin yksi tai kaksi käytössä olevaa työturvallisuutta edistävää toimintatapaa, jotka esiteltiin 1–2 sivun mittaisina tapauskuvauksina. Tapauskuvaukset laadittiin päivittäisjohtamisesta, turvallisuuskoulutuksen järjestämisestä, kahdesta erilaisesta turvallisuuskävelystä, työtapaturmia havainnollistavista videoista ja turvavarteista. Tarkoituksena on, että muut yritykset voivat ottaa tapauskuvauksista vinkkiä oman yrityksensä työturvallisuustyöhön. Toimintatavan käyttöönotto yrityksessä voi vaatia henkilöstön kouluttamista ja tarkkaa ohjeistusta siitä, miten käytäntö saadaan omassa yrityksessä toimimaan.

Turvallisuuskulttuurin tasomalli ja toimintatapoja 

Turvallisuuskulttuurin kypsyyttä selvittävästä kyselystä tehtiin tasomalli. Sen avulla yritys voi arvioida turvallisuuskulttuurinsa tasoa ilman henkilöstölle suunnattua kyselyä. Malliin on tiivistetty kyselyssä esitetyt tasokuvaukset. Jokaisesta turvallisuuskulttuurin osa-alueesta on tehty tasojen I–IV lyhyt kuvaus. Lisäksi osa-alueita on kuvattu tarkemmin 3–5 alakohdan tasokuvauksilla. Esimerkiksi osa-alue viestintä on jaettu kolmeen alakohtaan: 1) esihenkilöiden kiinnostus viestiä turvallisuudesta työntekijöille, 2) organisaation tapa jakaa turvallisuuteen liittyvää tietoa ja 3) suhtautuminen turvallisuusviestintään. Näiden tasokuvausten avulla yritys voi arvioida oman turvallisuuskulttuurinsa kypsyystasoa. Mallissa on myös kirjallisuudesta poimittua tietoa osa-alueiden merkityksestä turvallisuuskulttuuriin sekä kirjallisuudesta ja haastatteluista kerättyjä vinkkejä ja esimerkkejä osa-alueeseen liittyvistä toimintatavoista.

Tietopaketti lyhyistä turvallisuuskulttuurikyselyistä 

Pakettiin on koottu tietoa erilaisista lyhyistä turvallisuuskulttuurikyselyistä, vastaajaryhmistä ja luotettavuudesta sekä muita lyhyen kyselyn käyttämisessä huomioitavia asioita. Lyhyelle kyselylle on tarvetta, koska aina ei ole mahdollista toteuttaa laajempaa turvallisuuskulttuurikyselyä tai -selvitystä.

Turvallisuusnäkemykset – Opiskelijakysely 

Opiskelijakysely on tarkoitettu opiskelijoiden ja nuorten työntekijöiden turvallisuusnäkemysten, -kokemusten ja -osaamisen selvittämiseen. Vastauksia voidaan käyttää oppilaitoksissa koulutuksen kehittämiseen. Työpaikoilla kyselyllä saadaan selville nuorten turvallisuuskäsityksiä ja -osaamista, minkä perusteella voidaan tarvittaessa täydentää perehdytystä. Esimerkiksi kesätyöntekijöiden turvallisuusosaamisessa voi olla suuriakin eroja. Kysely sisältää kuusi osa-aluetta: tapaturmat, turvallisuusohjeet, viestintä, turvallisuuden rooli, turvallisuusosaaminen ja -koulutus sekä turvallisuustoiminta. 

Toivomme, että mahdollisimman monelle yritykselle olisi apua näistä työkaluista turvallisuuden kehittämisessä. Materiaalit ovat ladattavissa hankkeen kotisivuilta ja niitä saa käyttää maksutta. 

Tutkimushanke toteutettiin Tampereen yliopiston tuotantotalouden yksikön turvallisuuden johtaminen ja suunnittelu -tutkimusryhmässä 1.9.2022-28.2.2025. Tutkimusta rahoittivat Työsuojelurahasto, osallistuvat yritykset ja Tampereen yliopisto. Osa työkaluista perustuu aiempien hankkeiden tuotoksiin, jotka myös on toteutettu turvallisuuden johtaminen ja suunnittelu -tutkimusryhmässä yhteistyössä yritysten kanssa ja Työsuojelurahaston tukemana.

Pomintoja tuloksista

Tutkimukseen osallistuneiden yritysten turvallisuuskulttuuri oli kohtalaisen hyvällä tasolla. Yritysten turvallisuuskulttuuripisteiden keskiarvo oli noin kolme asteikolla 1-4. Kaikki yritykset olivat suunnilleen samalla tasolla.

Kyselyiden välillä yrityksissä tehtiin turvallisuuskulttuuria kehittäviä toimenpiteitä, mutta niiden vaikutus ei vielä juurikaan näkynyt jälkimmäisen kyselyn tuloksissa. Ylimmän johdon arviot turvallisuuskulttuurista olivat muuttuneet hieman positiivisemmiksi. Yhdessä yrityksessä panostaminen koulutukseen näkyi kouluttamisen osa-alueen pisteiden vähäisenä nousuna. Muissa yrityksissä turvallisuuskulttuurin paraneminen näkyi vain yksittäisissä kysymyksissä.

Yrityksillä oli käytössä paljon erilaisia työturvallisuutta edistäviä toimintatapoja. Suuri osa niistä liittyi johdon ja esihenkilöiden sitoutumiseen. Esimerkiksi turvallisuuskierroksia tehtiin kaikissa yrityksissä, mutta niitä tehtiin eri tavoilla. Vaikka turvallisuutta edistettiin jo monin tavoin, haastatteluissa nostettiin esiin myös suuri määrä kehittämisehdotuksia ja -tarpeita. Monet niistä liittyivät koulutukseen ja perehdytykseen sekä johdon ja esihenkilöiden toimintaan, esimerkiksi johdon ja esihenkilöiden läsnäoloon tuotannossa.

Tapaturmataajuus elintarviketeollisuudessa oli suurempi kuin teollisuuden toimialalla keskimäärin. Työpaikkatapaturmien määrä on kuitenkin vähentynyt 2000-luvulla. Hyvän kehityksen taustalla on esimerkiksi tekniikan parantuminen, uudet suojaimet ja suojavälineet sekä suojainten ja suojavälineiden käytön lisääntyminen, parantuneet työtavat, työnopastus ja turvattomaan toimintaan puuttuminen. Viime vuosina työpaikkatapaturmia on sattunut eniten esineitä käsitellessä, henkilön liikkuessa ja taakkaa käsivoimin siirtäessä.

Elintarvikealan opiskelijoiden kyselyn mukaan opiskelijat yleensä pyrkivät oppimaan tapaturmista, noudattivat turvallisuusohjeita, huomioivat turvallisuuden päivittäisessä toiminnassa ja käyttivät ohjeiden edellyttämiä suojaimia. Suurin osa opiskelijoista ilmoitti koululla tai työpaikalla huomaamastaan vaarasta.

Lisätietoja hankkeesta
projects.tuni.fi/safefoodindustry

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Toimivaltuuksien haasteet sairaalavartioinnissa 

Vartijoista ja järjestyksenvalvojista on tullut pysyvä osa sairaaloiden henkilökuntaa.

Yksityisen turvallisuusalan ja sen yhteiskunnallisen merkityksen kasvaessa myös lainsäädännön tulisi vastata sitä todellisuutta, joka kentällä kohdataan. Vuonna 2017 voimaan tullut lakiuudistus (laki yksityisistä turvallisuuspalveluista 1085/2015, myöh. LYTP) toi mukanaan toivottuja uudistuksia, mutta alan toimijoiden ja tutkijoiden parissa siitä on löydetty myös puutteita ja parannettavaa. 

Oikeudellisesti kenties suurimpaan paitsioon jäi sairaaloissa tapahtuva vartiointi ja järjestyksenvalvonta. Laissa tai sen esitöissä ei tunnistettu niitä erityisominaisuuksia, jotka liittyvät näihin kohteisiin tai niissä oleviin henkilöihin. 

Vartijoista ja järjestyksenvalvojista on tullut pysyvä osa sairaaloiden henkilökuntaa, ja valitettava tosiasia on, että heitä tarvitaan jokaisessa suuremmassa sairaalassa päivittäin. Vartijoiden ja järjestyksenvalvojien lisääntyneestä tarpeesta huolimatta suomalaisessa oikeustieteessä ei ole aiemmin tutkittu sitä, miten vartijoiden ja järjestyksenvalvojien toimivaltuudet nykyisellään sopivat sairaalaympäristöön. 

Defensor Legisin artikkelissa ”Sairaalavartiointi ja yksityisen turvallisuusalan toimivaltuuksien haasteet” tutkimme sairaalavartiointia ilmiönä sekä sitä, miten vartijoiden ja järjestyksenvalvojien oikeudet, erityisesti poisto- ja kiinniotto-oikeus, soveltuvat käytettäväksi sairaaloissa. Tutkimuksen ulkopuolelle jätimme valtion sairaalat sekä psykiatriset sairaalat.

Lainsäädäntöä olisi uudistettava

Tutkimus osoitti varsin yksiselitteisesti, että yksityisen turvallisuusalan lainsäädäntö tarvitsee päivittämistä. Vaikka yhden tutkimuksen pohjalta ei pystytä tunnistamaan kaikkia tarvittavia päivitystarpeita, tunnistettiin tutkimuksessa joitain ongelmakohtia, jotka koskettavat sairaalassa työskenteleviä järjestyksenvalvojia. Näistä etenkin poisto- ja kiinniotto-oikeuden käyttämiseen liittyy sellaisia ongelmia, joita lainsäätäjän tulisi tarkastella ja päivittää vastaamaan paremmin nykytilan tarpeita.

Löydökset tukevat aiempia tutkimustuloksia. Esimerkiksi alan toimijoille teetetyssä kyselytutkimuksessa yhdeksi suurimmista kehityskohteista nousivat toimivaltuudet sekä nimenomaisesti sairaaloissa työskentelevien vartijoiden ja järjestyksenvalvojien toimivaltuuksien puutteet. 

Nykytilanne tiivistyy hyvin erääseen vastaukseen, jossa todettiin sairaalavartijana työskentelyn olevan ”täysin harmaata aluetta”. Nyt tehdyn tutkimuksen jälkeen tämä on helppo allekirjoittaa. Käytännössä pelkästään kumpaankin lakisääteiseen toimivaltuuteen, jolla järjestys pystytään toimialueelle palauttamaan, liittyy problematiikkaa.

Pelkkiä ongelmia lakiuudistus ei kuitenkaan tuonut. Lainsäätäjä on lain esitöissä perustellut sitä, miksi sairaalassa tulisi toimia LYTP:n 28 §:n tarkoittamana järjestyksenvalvojana eikä vartijana. Ottaen huomioon toimialueella oleva laaja, vaihtuva ihmisjoukko toimenkuva muodostuu tosiasiallisesti järjestyksenpidolliseksi. Näin ollen nykyistä kehitystä, jossa sairaalassa toimitaan yhä useammin LYTP:n 28 §:n tarkoittamana järjestyksenvalvojana, on pidettävä johdonmukaisena.

Toimivaltuuksien haasteet

Toimivaltuuksia on tarpeen päivittää vastaamaan sitä todellisuutta, jossa sairaalassa työskentelevät järjestyksenvalvovat toimivat.  Sairaalassa järjestyksenvalvojan poistamisoikeuteen liittyvät ongelmat linkittyvät pitkälti siihen tosiasiaan, että kenellä tahansa on oikeus tulla ja saada apua sairaalasta. 

LYTP ei kuitenkaan tunnista tätä, vaikka kyseessä on perustuslaissa säädetty oikeus. Näin ollen poistamisoikeus on olemassa myös sairaalassa, kohdehenkilöstä riippumatta. Tämä tarkoittaa, että laki mahdollistaa potilaan poistamisen, kun tilanne sitä vaatii. 

Tässä kohtaa järjestyksenvalvoja jää ikävään välikäteen. Toisaalta aggressiivinen potilas vaarantaa toimialueella muiden henkilöiden, eli toisten potilaiden ja hoitohenkilökunnan, turvallisuutta, mutta toisaalta järjestyksenvalvoja ei saa aiheuttaa suurempaa haittaa poistolla kuin sillä pyritään saavuttamaan. ”Suurempi haitta” voi olla mitä vain pitkittyneen hoitojakson tai jopa kuoleman välillä. 

Potilaan kiinniottamiseen puolestaan liittyy karkeasti kaksi ongelmaa. Näistä ensimmäinen liittyy toimenpiteen tehokkuuteen. Järjestyksenvalvoja voi ottaa henkilön kiinni, jos poistaminen on ilmeisen riittämätön toimenpide. Esimerkiksi hyvin aggressiivinen henkilö on todennäköisesti sellainen, johon kohdistetaan kiinniotto. 

Kiinniotettu on viipymättä luovutettava poliisille. Koska kiinniotettu on potilas, ei ole kovin todennäköistä, että poliisi lähtee kuljettamaan potilasta putkaan. Poliisilla ei mitä oletettavimmin ole putkatiloissa valmiuksia hoitaa potilasta vaaditulla tavalla. Näin ollen aggressiivinen potilas on järjestyksenvalvojan ”ongelma” myös kiinnioton jälkeen.

Toinen ongelma liittyy poliisille ilmoittamiseen. Potilastieto on salassapidettävä tieto. Näin ollen järjestyksenvalvoja ei lähtökohtaisesti edes saisi ilmoittaa kiinniotosta poliisille. Poliisille ei toki tarvitse kertoa kiinniotetun henkilöllisyyttä, mutta käytännössä paikalle tullessaan poliisi sen saa tietää. Näin järjestyksenvalvoja on tosiasiallisesti ilmoittanut salassapidettävän tiedon poliisille. 

Epäselvyyttä lisää LYTP:n 5 §, jonka mukaisesti vartioimisliiketoiminnassa ei saa vaikeuttaa muun muassa rikosten selvittämistä tai syyteharkintaan saattamista. Toisaalta siis järjestyksenvalvojalla on velvollisuus ilmoittaa, toisaalta ei.

Esimerkkitapaus 

Kiinniottoon liittyvää problematiikkaa lisää tuore korkeimman hallinto-oikeuden päätös KHO:2025:11. Tapauksessa oli kyse psykiatrisessa sairaalassa tapahtuneesta pahoinpitelystä. Oikeus katsoi, että hoitosuhde psykiatriseen sairaalaan on sellainen arkaluonteinen tieto, että poliisilla ei ole edes pahoinpitelyrikoksen selvittämiseksi oikeutta saada sairaalalta tällaista tietoa. Oikeus korosti tarvetta arvioida tapauskohtaisesti, onko tieto hoitosuhteesta sellaisenaan arkaluonteinen.

Järjestyksenvalvojalle tämä näyttäytyy tilanteena, jossa työtehtävää suorittamassa oleva järjestyksenvalvoja puuttuu potilaan pahoinpitelyyn, mutta ei voi saattaa asiaa poliisin tietoon, koska kyseessä on arkaluonteinen tieto. 

Vaihtoehtoisesti järjestyksenvalvoja tekee kiinnioton ja ilmoittaa asiasta poliisille ja asia ratkaistaan oikeudessa tapauskohtaisesti. Prosessiekonomisesti tämä ei ole kuitenkaan kovin kestävä ratkaisu, kun otetaan huomioon se, että väkivalta sairaaloissa ja hoitohenkilökuntaa kohtaan on lisääntynyt. 

Jotta sairaaloissa toimivat järjestyksenvalvojat voivat tehokkaasti turvata hoitohenkilökunnan työskentelyn, tarvitaan lainsäädäntöön tarkennuksia. Vaikka tutkimuksessa tarkasteltiin järjestyksenvalvojien oikeuksia, on tärkeä huomata, että heidän toimensa kohdistuvat sairaalassa myös potilaisiin. 

Epäselvät toimivaltuudet vaarantavat potilaiden oikeusturvan, koska järjestyksenvalvojien on hankala tai mahdoton tietää, mitkä toimivaltuudet soveltuvat tilanteeseen. Tämä jättää myös hoitohenkilökunnan hankalaan tilanteeseen, koska heidän pitäisi pystyä luottamaan siihen, että järjestyksenvalvoja kykenee turvaamaan heidän työnsä.   

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Kulunvalvontajärjestelmien kyberturvallisuus – haasteet ja ratkaisut 

Kulunvalvontajärjestelmät ovat keskeinen osa organisaatioiden fyysistä turvallisuutta, mutta niiden merkitys kyberturvallisuuden näkökulmasta on kasvanut huomattavasti digitalisaation myötä. 

Kävin vierailemassa Idesco Oy:n toimitiloissa Oulussa ja keskustelemassa myyntijohtaja Anu-Leena Arolan kanssa kulunvalvontajärjestelmien kyberturvallisuudesta. Kulunvalvontajärjestelmät ovat keskeinen osa organisaatioiden fyysistä turvallisuutta, mutta niiden merkitys kyberturvallisuuden näkökulmasta on kasvanut huomattavasti digitalisaation myötä. Perinteiset mekaaniset järjestelmät ovat muuttuneet älykkäiksi, verkkoon kytketyiksi ratkaisuiksi, jotka voivat altistua kyberuhille, kuten tietomurroille, väärennöksille ja haittaohjelmille.

Kulunvalvontajärjestelmien uhat ja haavoittuvuudet

Kulunvalvontajärjestelmien turvallisuuteen vaikuttavat monet tekijät, ja niiden uhat voivat kohdistua sekä fyysisiin että digitaalisiin osiin. Erityisen suurena riskinä ovat tietovuodot ja murrot, jotka voivat vaarantaa arkaluontoisen tiedon, kuten henkilöiden liikkeet ja tunnistetiedot. Jos järjestelmään murtaudutaan, luvattomat tahot voivat hyödyntää näitä tietoja esimerkiksi rikollisiin tarkoituksiin.

Identiteettivarkaudet ja väärennökset ovat toinen merkittävä uhka. Kortteja, RFID-tunnisteita ja biometrisiä tunnistimia voidaan kopioida tai manipuloida, mikä voi mahdollistaa luvattoman pääsyn suojattuihin tiloihin. Lisäksi haittaohjelmat ja palvelunestohyökkäykset ovat yleistyneet, erityisesti silloin, kun kulunvalvontajärjestelmät ovat yhteydessä muihin verkkoihin. Hyökkäykset voivat lamauttaa järjestelmät ja estää niiden normaalin toiminnan.

Arola korostaa, että monet riskit liittyvät myös tiedonsiirron suojaamattomuuteen. Heikko salaus tai sen puuttuminen voi mahdollistaa tietojen sieppauksen tai muokkaamisen. Inhimilliset virheet muodostavat myös merkittävän riskitekijän. Käyttäjien tietämättömyys turvallisuuskäytännöistä voi avata järjestelmään haavoittuvuuksia, esimerkiksi salasanojen huolimattoman käsittelyn tai haitallisten sähköpostien avaamisen kautta.

Kyberturvallisuuden parantaminen kulunvalvonnassa

Arola toteaa, että turvallisuuden varmistamiseksi on tärkeää ottaa käyttöön monitasoisia suojausratkaisuja. Yksi keskeinen toimenpide on käyttää tietoturvallisia laitteistoja ja ohjelmistoja.

Vahva salaus ja tietoturvallinen tiedonsiirto ovat olennaisia kulunvalvonnan kyberturvallisuudessa. Tiedonsiirrossa tulisi hyödyntää vahvoja salaustekniikoita. Salausavainten turvallinen hallinta ja säännöllinen päivittäminen vähentävät riskiä, että ulkopuoliset tahot voivat kaapata tai manipuloida tietoja.

Monivaiheinen tunnistautuminen parantaa järjestelmän turvallisuutta merkittävästi. Perinteisten kulkukorttien tai tunnistimien rinnalle voidaan ottaa käyttöön biometrisiä tunnisteita, kuten sormenjälkitunnistusta tai kasvojentunnistusta. Kaksivaiheinen tai monivaiheinen tunnistautuminen lisää suojausta erityisesti kriittisille järjestelmille ja rajoittaa mahdollisuuksia järjestelmän luvattomaan käyttöön.

Arola nostaa monivaiheisen tunnistautumisen osalta esille myös PIN-koodin käytön kulunvalvonnassa tunnisteen ohella, koska se on ratkaisuista helpoin ja sopivin enemmistöön eri kohteista. Biometrisillä menetelmillä on haasteensa esimerkiksi ulko-olosuhteissa.

Kulunvalvontajärjestelmien suojaamiseksi on tärkeää myös rajoittaa pääsyä järjestelmiin ja käyttää verkkoeristystä. Järjestelmien tulisi olla eristetty muista kriittisistä verkon osista ja suojattu asianmukaisesti palomuurien avulla. Vain valtuutetut käyttäjät ja laitteet voivat päästä järjestelmiin, mikä vähentää ulkopuolisten hyökkäysten riskiä.

Lokien kerääminen ja valvonta ovat keskeisiä tekijöitä kyberturvallisuuden ylläpitämisessä. Järjestelmiin tulisi sisällyttää riittävän kattava lokitus, joka mahdollistaa epäilyttävän toiminnan havaitsemisen ja reagoinnin mahdollisiin uhkiin. Tekoälyyn perustuvat ratkaisut voivat analysoida järjestelmän toimintaa ja tunnistaa poikkeavuuksia nopeasti.

Arola nostaa esille, että on tärkeää huomioida koko toimitusketju elinkaaren ajan. Pitää tietää, miksi, missä ja kuka kulunvalvontajärjestelmään liitettyjä laitteita käsittelee. Myös käyttäjien koulutuksella on suuri merkitys kulunvalvonnan turvallisuuden parantamisessa.

Henkilöstölle on järjestettävä säännöllisiä koulutuksia tietoturvakäytännöistä, kuten salasanojen hallinnasta, epäilyttävien sähköpostien tunnistamisesta ja turvallisista käyttömenetelmistä. Tietoturvatietoisuuden lisääminen organisaatioissa auttaa estämään monia inhimillisistä virheistä johtuvia riskejä.

Tulevaisuuden suuntaukset ja kehitys

Kulunvalvontajärjestelmien kyberturvallisuus kehittyy jatkuvasti uusien teknologioiden myötä. Yksi merkittävimmistä suuntauksista on tekoälyn ja koneoppimisen hyödyntäminen järjestelmien automaattisessa uhkien tunnistamisessa. Tekoäly voi analysoida käyttäytymismalleja ja havaita poikkeavuuksia nopeammin kuin perinteiset valvontamenetelmät.

Salausteknologiat kehittyvät vastaamaan tulevaisuuden haasteisiin, kuten kvanttitietokoneiden mahdollisiin uhkiin. Post-quantum-salausratkaisut ovat jo kehitteillä, ja ne tulevat tulevaisuudessa olemaan tärkeä osa tietoturvan varmistamista.

Zero Trust -malli yleistyy kulunvalvontajärjestelmissä. Tämä tarkoittaa sitä, että järjestelmään ei luoteta oletusarvoisesti, vaan jokainen yhteys ja käyttäjä validoidaan jatkuvasti. Tämä malli parantaa järjestelmien kyberturvallisuutta ja vähentää riskejä, jotka liittyvät sisäisiin ja ulkoisiin hyökkäyksiin.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Turvallisuusalan neuvottelupäivät – 40 vuotta suomalaisen turvallisuusalan yhdistäjänä 

Elinkeinoelämän keskusliitto (EK) ja sen tytäryhtiö EK-Tieto Oy järjestävät yhteistyössä 13.-15.5.2025 järjestyksessään jo 40:nnet Turvallisuusalan neuvottelupäivät m/s Silja Symphonylla.

Elinkeinoelämän keskusliitto (EK) ja sen tytäryhtiö EK-Tieto Oy järjestävät yhteistyössä 13.-15.5.2025 järjestyksessään jo 40:nnet Turvallisuusalan neuvottelupäivät m/s Silja Symphonylla. Neuvottelupäivät lienee pisimpään lähes yhtäjaksoisesti Suomessa järjestetty turvallisuusalaa laajasti yhteen kokoava tapahtuma. Se onkin mainio peilipinta kuvaamaan suomalaisen yritysturvallisuuskentän historiaa, kehitystä ja nykypäivää viimeisten vuosikymmenien aikana.

Neuvottelupäivien taustatoimijat ovat vaihtuneet työmarkkinakentän kehityksen myötä. Sen ohjelmasisältö on seurannut aina aikaansa. Konseptikin, laivaseminaarin Helsinki – Tukholma – Helsinki muodossa toteutettava läsnätapahtuma, on pitänyt pintansa hämmästyttävän hyvin, vaikka pitkäkestoisia, usean päivän mittaisia koulutustapahtumia järjestetään nykyään vähemmän. Osallistujien palaute paljastaa suosion syyksi myös sen, että pidempi kesto mahdollistaa verkostoitumisen tapahtuman aikana.

Sotien jälkeinen aika

Neuvottelupäivien tausta-ajatuksen, työpaikoilla järjestettävän laajemman ja työnantaja-aloitteisen turvallisuuskoulutuksen siemen kylvettiin alun perin sotien jälkeisinä vuosikymmeninä, ja sen tausta on väestönsuojelussa ja sotilaallisiin kriiseihin varautumisessa.

Suomessa oli ollut väestönsuojelulainsäädäntöä jo ennen sotia. Väestönsuojelulaki vuodelta 1939 edellytti teollisuus- ja muissa laitoksissa ”ryhdyttävän toimenpiteisiin laitoksissa ja niissä työskentelevien suojaamiseksi”. Suomen Väestönsuojelujärjestö puolestaan oli perustettu jo 1927. Sotien jälkeisenä aikana väestönsuojelu ei kuitenkaan poliittisista syistä ollut erityisen näkyvää.

Poliittisten olojen vakiinnuttua 1950-luvun puolivälistä lähtien väestönsuojelukin koki uuden tulemisen ja aktiviteetti kasvoi myös yksityisten työnantajien joukossa. Laitos- ja yrityssuojelu ja tähän liittyvä koulutus, julkisten ja yksityisten organisaatioiden suojelupäälliköille suunnatut suojelukurssit, käynnistyivät Väestönsuojelujärjestön toimesta vuosikymmenen lopulla.

Suomen Teollisuuden Keskusvaliokunta tarttui myös asiaan ja perusti vuonna 1959 Teollisuuden ja liike-elämän väestönsuojelun johtokunnan. Seuranneina vuosikymmeninä se tunnettiin Teli-suojelujohtokuntana ja edelleen Teli-johtokuntana. Johtokunta valitsi myös teollisuuden väestönsuojeluasiamiehen, jonka tehtävänä oli laatia teollisuuden yhdenmukainen väestönsuojeluohjelma ja johtaa sen toimeenpanoa. Keskeisin tiedonjaon väline koulutustilaisuuksien lisäksi oli Teli tiedottaa -lehti.

Voimakkaan kehityksen vuosikymmenet

1960- ja 1970-lukujen aikana suojelutyön käsite laajeni kokonaissuojelun käsitteeksi, jolla tarkoitettiin nykytermein varautumista myös normaaliaikojen häiriöihin ja poikkeustilanteisiin aiemman, selkeämmin poikkeusoloihin liittyneen suojelutyön lisäksi. Mukaan tuli sen myötä muun muassa palontorjuntaa, vartiointia, rikollisuuden torjuntaa ja työsuojelua.

Myös koulutusten sisällöt laajenivat vastaavasti, ja toisaalta koulutusten järjestäjät eriytyivät: normaaliaikojen varautumiskoulutuksesta vastasi Suomen Teollisuuden Keskusliitto STK:ssa toimiva Teli-johtokunnan toimisto ja poikkeusoloihin liittyvästä varautumisesta Suomen Väestönsuojelujärjestön Teli-osasto. Niiden tarjoaman turvallisuuskoulutuksen painopiste oli jatkossa niillä osa-alueilla, joilla yhteiskunnan toimesta koulutusta ei järjestetty.

Kehityksen seurauksena turvallisuusalan käsitteiden käytöstä tuli epäyhtenäistä ja käytetyt käsitteet riippuivat pitkälti puhujan taustasta. 1980-luvulla käsitteistöä pyrittiinkin yhtenäistämään, ja vuosikymmenen loppupuolella alettiin puhua kokonaissuojelusta ja kokonaisturvallisuudesta. Vuosikymmenen vaihtuessa 1990-luvuksi alettiin lopulta puhua yritysturvallisuudesta.

1990-luvun alkupuolella kehitettiin ensimmäinen versio suomalaisesta yritysturvallisuusjohtamisen mallista, johon sekä security- että safety-turvallisuuden osa-alueet oli sisällytetty. Malli tunnetaan nykyisin EK:n yritysturvallisuusjohtamisen mallina.

1990-luvulla yritysturvallisuuden koulutustarjonta ja toimijoiden määrä kasvoi. Vuonna 1991 käynnistyi Teknillisen korkeakoulun täydennyskoulutuskeskuksessa turvallisuusjohdon koulutus. Työsuojelupäälliköt ry alkoi järjestää turvallisuuskursseja yhteistoiminnassa Teli-johtokunnan kanssa, joka puolestaan muutti nimensä Yritysturvallisuuden neuvottelukunnaksi.

Vuonna 1992 valmisteltiin palo-, pelastus- ja väestönsuojelualan järjestöjen yhdistymistä, ja tämän seurauksena aloitti toimintansa vuoden 1993 alussa perustettu Suomen Pelastusalan Keskusjärjestö ry (SPEK), josta tuli Yritysturvallisuuden neuvottelukunnan tärkeä yhteistyökumppani yrityksiin kohdistuvassa koulutus- ja kurssitoiminnassa. Vuosikymmenen loppupuolella, vuonna 1998 Laurea-ammattikorkeakoulussa käynnistettiin turvallisuusalan koulutusohjelma.

Yritysturvallisuus TT-PT Oy oli 1990-luvulla Teollisuuden ja Työnantajat TT:n sekä Palvelutyönantajat ry:n perustama koulutuspalveluja tuottava yhtiö. Se järjesti yritysturvallisuuden koulutustilaisuuksia, konsultoi yrityksiä turvallisuusasioissa ja harjoitti julkaisutoimintaa. Se järjesti myös vuosittain noin 20 turvallisuuden eri osa-alueisiin liittyvää koulutustilaisuutta ja seminaaria. Osa järjestettiin yhteistoiminnassa SPEKin kanssa. Koulutustilaisuuksista yksi oli Turvallisuusalan neuvottelupäivät -laivaseminaari, jonka vakiintunut reitti noista vuosista lähtien on ollut Helsinki – Tukholma – Helsinki. SPEK puolestaan järjesti vuosittaista Yrityssuojelun neuvottelupäivät -laivaseminaaria.

Tiedotuskanavana pitkään toiminut Teli tiedottaa -lehden nimi muutettiin vuonna 1992 Yritysturvallisuus-lehdeksi. Lehti päätettiin lakkauttaa vuonna 2001, ja tuon jälkeen tiedottamisessa käytettiin muun muassa Turvallisuus-lehteä.

1990-luvun lopulla Teollisuus ja Työnantajat TT:n ja SPEKin koulutusyhteistyö päättyi, kun TT:n yritysturvallisuuskoulutus siirtyi Johtamistaidon opistolle (JTO). Tämän jälkeenkin TT:n Yritysturvallisuuden neuvottelukunta järjesti edelleen yhdessä SPEKin kanssa vuosittaiset turvallisuusalan ja suojelualan neuvottelupäivät Ruotsin risteilyinä.

Kun EK oli merkitty yhdistysrekisteriin vuonna 2005, Yritysturvallisuus EK Oy rekisteröitiin vuoden lopussa ja Yritysturvallisuus TT-PT Oy muutettiin sen aputoiminimeksi. Se jatkoi Yritysturvallisuus TT-PT Oy:n maksullista koulutus- ja konsultointitoimintaa jäsenyrityksille aina 2010-luvun alkupuolelle saakka, jolloin Yritysturvallisuus EK Oy fuusioitiin EK:n muusta koulutustarjonnasta vastanneeseen EK-Tieto Oy:hyn.

Jo tätä ennen Yritysturvallisuus EK Oy ja SPEK olivat sopineet tehtävänjaosta niin, että pelastuspuoli jää pääsääntöisesti SPEKin hoidettavaksi EK:n vastatessa yritysturvallisuuden muista osa-alueista. Näin SPEK otti joulukuiset Pelastusalan neuvottelupäivät hoitaakseen ja EK vastasi toukokuisista Yritysturvallisuuden neuvottelupäivistä.

Nykyhetki

Pääosa edellä kerrotuista toimijoista ja koulutuskokonaisuuksista on yhä olemassa. Yritysturvallisuuden neuvottelukunta toimii edelleen EK:n yritysturvallisuustyön aktiivisena taustaryhmänä, mutta sillä ei enää ole vastuuta Turvallisuusalan neuvottelupäivien järjestelyistä. EK ja EK-Tieto Oy järjestävät vuosittain yhdessä Turvallisuusalan neuvottelupäiviä. Neuvottelupäivien ohjelma heijastelee kunkin ajan keskeisiä yritysturvallisuuden teemoja ja johtamisen trendejä, kuten se on tehnyt koko 40-vuotisen olemassaolonsa ajan.

Pelastusalan neuvottelupäivät tunnetaan nykyään Yritysturvallisuusfoorumina (YTF). Senkin toteutustapana on edelleen syksyinen ja jokavuotinen Ruotsin risteily, jonka järjestelyvastuu on nykyään yhteistyössä SPEKillä, Suomen Palopäällystöliitolla, Finnsecuritylla ja Suomen Paloinsinööriyhdistyksellä.

Teknillisen korkeakoulun täydennyskoulutuskeskuksessa aloitetusta turvallisuusjohdon koulutuksesta eli Turvallisuusjohdon koulutusohjelma TJK:sta vastaa nykyään AaltoEE. Laurea järjestää edelleen AMK-tasoista turvallisuusalan koulutusta, mutta AMK-tasoinen turvallisuuskoulutuksen tarjonta on laajentunut myös muihin ammattikorkeakouluihin.

Artikkelin historiatiedot perustuvat Ilkka Kourin vuonna 2016 kirjoittamaan historiikkiin ”Teli-suojelusta yritysturvallisuuteen 1956–2016. 

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Meksikon lukkosepät – perinteen ja teknologian risteyksessä 

Meksikossa lukkosepän ammatti elää murroskautta: perinteet siirtyvät sukupolvelta toiselle, mutta rinnalle on noussut moderni osaaminen.

Meksikossa lukkosepän ammatti elää murroskautta: perinteet siirtyvät sukupolvelta toiselle, mutta rinnalle on noussut moderni osaaminen, joka vaatii ymmärrystä autojen elektronisista järjestelmistä ja ohjelmoinnista.

Oaxacassa toimiva lukkoseppä Oscar Hernán Ruiz Gonzalez on erikoistunut autojen älyavaimiin, lukkojen ohjelmointiin ja GPS-järjestelmien asennukseen. Perinteinen avainkopiointi on yhä osa arkea, mutta yhä useammin asiakkaat tulevat korjauttamaan tai uusimaan elektronisia autonavaimia.

Oscar on itseoppinut, isänsä Daniel José Ruizin jalanjäljissä kulkenut lukkoseppä, joka rakensi liiketoimintansa alusta asti itse. Hän aloitti 20-vuotiaana ja siirtyi nopeasti vanhoista mekaanisista lukoista autojen ohjelmoinnin maailmaan. Virallista koulutusta ei maassa ole, mutta alan osaajat jakavat tietoaan kursseilla, usein verkossa.

”Opin parhaiten tekemällä itse, ja minun koulutukseni koostui siitä, että kokeilin ja testasin asioita omatoimisesti”, Oscar kertoo. Hänen mielestään tärkeintä on, että lukkoseppä on aktiivinen ja innokas oppimaan uutta.

Alan järjestäytyminen ja koulutus

Meksikossa ei ole virallista pätevöitymistä vaativaa koulutusta tai valvontaa, mutta Asociación Nacional de Cerrajeros México A.C. (ANACEM, kansallinen lukkoseppäyhdistys) pyrkii parantamaan ammatin osaamistasoa järjestämällä koulutuksia ja verkkoseminaareja. Yhteistyötä tehdään myös toisen merkittävän alan toimijan, Asociación de Cerrajeros Profesionales de la República Mexicanan (ACPRM) kanssa. Yhdessä ne tarjoavat jäsenilleen kahdesti kuukaudessa ajankohtaisia verkkokoulutuksia iltaisin klo 20.00–22.00.

”Autoihin liittyvä teknologia kehittyy nopeimmin, ja juuri se kiinnostaa jäseniämme eniten”, kertoo ANACEMin puheenjohtaja Genaro Mora Camacho. Hän korostaa jatkuvan kouluttautumisen merkitystä – erityisesti, kun yhä useampi lukkoseppä toimii myös ohjelmoijana.

Sekä Genaro että Oscar korostavat, että yksi tärkeimmistä ominaisuuksista lukkosepälle on oma-aloitteisuus ja kyky ratkaista ongelmia sekä pysyä kehityksen mukana.

Ammatti muutoksessa

Instituto Nacional de Estadística y Geografían (INEGI, Meksikon tilastokeskus) mukaan maassa oli noin 15 000 lukkoseppää kymmenen vuotta sitten, ja määrä on sittemmin kasvanut. ”Koska virallista lupaa ei vaadita eikä ole kansallista rekisteriä, tarkkaa lukua ei ole”, Genaro sanoo.

Aiemmin oli vielä tavallisempaa, että ammatti periytyi sukupolvelta toiselle. ”Viime vuosina yhä useammat, joilla ei ole lukkoseppätaustaa perheessä, ovat ryhtyneet alalle – minä mukaan lukien”, Genaro lisää. Hän aloitti yli 30 vuotta sitten oppipoikana lukkosepän apulaisena, minkä jälkeen hän aloitti omat työt.

”Nykyään meillä on hieman yli 400 jäsentä ANACEMissa. Kymmenen vuotta sitten meitä oli melkein kaksinkertainen määrä, mutta koronan ja nuoremman sukupolven vähäisemmän järjestäytymishalun myötä jäsenmäärä on laskenut. Järjestäytymisen sijaan yhä useampi luottaa kollegiaaliseen tukeen ja omatoimiseen oppimiseen”, Genaro toteaa. Vaikeissa tapauksissa ammattilaiset kysyvät neuvoja toisiltaan – ja tieto liikkuu verkostojen kautta.

Eroavaisuuksia Pohjois-Eurooppalaisiin kollegoihin löytyy aika lailla, mutta ainakin yksi asia on sama maasta, maanosasta tai vuosikymmenestä riippumatta: menestyäkseen lukkoseppänä tarvitaan intohimoa, kekseliäisyyttä ja halua kehittyä.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Euroopan tulevaisuuden ratkaisee kolme presidenttiä, eikä yksikään heistä ole eurooppalainen: Trump, Putin ja Xi

Suurin maailmanpoliittinen kamppailu käydään nyt Yhdysvaltojen ja Kiinan välillä. 

Kansainvälinen maailmanjärjestys on arvo- ja sopimuspohjainen. Nyt molempia periaatteita haastaa kolme maata: Venäjä, Kiina ja Yhdysvallat.

Suurin maailmanpoliittinen kamppailu käydään nyt Yhdysvaltojen ja Kiinan välillä. Siinä missä Yhdysvaltojen presidentti Donald Trump on aloittanut toisen kautensa impulsiivisesti ja liittolaisuuksia nakertaen, on Kiinaa toistakymmentä vuotta johtanut presidentti Xi Jinping keskittynyt rakentamaan liittolaisuuksia pitkällä aikavälillä, erityisesti liittyen kysymykseen Taiwanin asemasta.

Näiden kahden hyvin erilaisen johtamistyylin lisäksi soppaa hämmentää sotataloudessa elävä Venäjä, jota presidentti Vladimir Putin on johtanut vuosituhannen vaihteesta asti.

Kun Trumpin Kiina- ja Venäjä-politiikka vaikuttaa vielä suurelta arvoitukselta, on syytä tarkastella Kiinan ja Venäjän keskinäisiä suhteita ja valtatasapainoa. Niillä on sekä yhteisiä intressejä että isoja, historiallisia kipupisteitä. Länsimaissa Kiina tunnetaan vielä niin heikosti, että huomio Kiina-Venäjä -suhteissa kiinnittyy enemmän yhteistyöhön kuin pinnan alla kytevään tyytymättömyyteen. Siinä on omat riskinsä.

Hajanainen länsi on sekä Xin että Putinin tavoite: kumpikaan ei halua, että Yhdysvaltojen liittolaisuudet vahvistuvat, vaan päinvastoin rapautuvat. Molemmat haluavat nostaa oman maansa suurvallaksi, missä länsimaisen koalition riitely ja eripura on toimiva strategia.

Venäjän ja Kiinan yhteiset maantieteelliset intressit löytyvät moderneista silkkitie-hankkeista. Ensimmäinen niistä on ”jääsilkkitie”, mikä käytännössä tarkoittaa molempien maiden sotilaalliseen ja kaupalliseen yhteistyöhön tähtäävää infrastruktuurihanketta arktisella alueella.

Toinen hanke kulkee nimellä ”Vyö ja tie” ja tarkoittaa historiallisen silkkitien modernia versiota. Siinä Kiina investoi voimakkaasti Venäjän alueelle ja Keski-Aasiaan entisen Neuvostoliiton maihin. Päätepisteinä uudelle silkkitielle Kiina tavoittelee pääsyä Eurooppaan, Afrikkaan, Persianlahdelle, Intian valtamerelle sekä Etelä- ja Kaakkois-Aasiaan. Kartasta katsoen hankkeella on vaikutuksia koko Euraasian mantereelle, Afrikan itä- ja koillisosiin sekä Tyynenmeren saarivaltioihin, aina Australian mannerlaatalle asti. Kyseessä on valtava projekti.

Aasiassa ja Afrikassa maat ovat samalla myös strategisia kilpailijoita. Rajanaapureina kumpikaan ei ole riittävän vahva lähteäkseen mittavaan keskinäiseen konfliktiin, mutta toisaalta tarpeeksi vahvoja muodostaakseen molemminpuolisen pidäkkeen sellaisen syntymiseksi.

Afrikassa Kiina ja Venäjä ovat samasta syystä kuin Yhdysvallat Euroopassa: lujittaakseen liittolaisuuksia, rakentaakseen myös itseään hyödyttävää infrastruktuuria sekä vahvistaakseen strategisia alihankintaketjuja. Materiaaliomavaraisuuden merkitys kasvaa valtavaa vauhtia, mistä tuoreimpana osoituksena on Yhdysvaltojen ja Ukrainan välinen mineraalisopimus.

Kiinalla ja Venäjällä on kuitenkin pitkä ja riitaisa historia, mikä lännessä usein unohtuu. Kiinalaiset muistavat edelleen, kuinka tsaarin Venäjä varasti keisarilliselta Kiinalta merkittäviä osia Mantsuriasta. Muistissa on myös koko kylmän sodan kestänyt Kiinan ja Neuvostoliiton välirikko, joka saavutti huippunsa aseellisessa rajavälikohtauksessa vuonna 1969 – jälleen Mantsuriassa.

Kiinan ja Venäjän lämpimät välit, historia huomioiden, johtuvat pitkälti niiden valtionpäämiesten henkilökemioista. Molemmat ovat vallankahvassa riippuvia autoritaarisia johtajia, jotka ovat muuttaneet lakia mahdollistaakseen itselleen käytännössä elinikäisen johtajuuden. Ukrainan ja Euroopan kannalta tämä ei ole hyvä asia.

Ensinnäkin tämä tarkoittaa, ettei Kiinalla ole ”varaa” painostaa Venäjää lopettamaan sotaa Ukrainassa. Sillä on jo valmiiksi huonot välit yhteen ydinasesuurvaltaan, Yhdysvaltoihin, ja omalla mantereella rajan toisella puolella on toinen ydinasesuurvalta Venäjä.

Toiseksi tämä tarkoittaa, että maiden yhteistyö on kahden ikääntyvän johtajan kahdenvälisen yhteisymmärryksen varassa. Xi on 71-vuotias, Putin 72-vuotias. On perusteltua kysyä, kuinka pitkäaikainen tällainen henkilösuhteisiin perustuva järjestely voi olla. Sama kysymys suurvaltapolitiikan johdonmukaisuudesta täytyy esittää myös Trumpista, joka on nyt 78-vuotias ja vaalikautensa lopulla yli kahdeksankymppinen.

Kolmea presidenttiä yhdistää korkea ikä ja yksinvaltaiset otteet, mutta taktiikka heitä erottaa. Yksinkertaistaen voisi sanoa, että Xi rakentaa liittolaisuuksia, Trump murentaa niitä ja Putin pelaa niiden harvojen kanssa, jotka siihen enää suostuvat.

Suunta on joka tapauksessa selkeä: Yhdysvaltojen huomio siirtyy Aasiaan, Kiinan huomio laajenee Aasian ulkopuolelle ja Venäjä on ainakin toistaiseksi jumissa aloittamassaan sodassa Euroopassa. Jos ja kun Kiinan ja Venäjän väliset suhteet heikkenevät, tulee Yhdysvallat siirtämään painopistettä itään entistä nopeammalla tahdilla. Tästä seuraa kaksi kysymystä.

Ensinnäkin, kuinka nopeasti Yhdysvallat vähentää poliittista, sotilaallista ja taloudellista läsnäoloaan Euroopassa? Ja toiseksi, kun näin tapahtuu, onko Eurooppa ehtinyt vahvistaa itseään riittävästi?

Moni tekijä on nyt sattuman tai yksittäisten ihmisten terveydentilan armoilla, eikä Euroopalla ole enää aikaa vain ihmetellä. Toimia tarvitaan nyt.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2025.

Tilaa lehti! 

Kuka joutuu vankilaan? – Tutkimus vankien taustojen muutoksesta viime vuosikymmeninä

Tutkimus selvittää vankien sosioekonomisen taustan muutoksia ja niiden syitä Suomessa.

Vuonna 2016 silloinen Helsingin vankilan apulaisjohtaja Jyrki Heinonen kuvasi Ylen haastattelussa sitä, miten vankiloissa tehtävä työtoiminta ja sen edellytykset ovat hänen työuransa aikana muuttuneet. Haastattelun kiinnostavinta antia on kuvaus vankien ammattitaidon ja työmotivaation muutoksista viime vuosikymmeninä.

Heinosen mukaan vielä 1980-luvulla valtaosa oli elämässään töitä tehneitä ja jopa alojensa ammattilaisia, kun nykyvangeista isolla osalla ei ole käytännössä mitään työkokemusta. Samassa haastattelussa Pelson vankilan silloinen johtaja Ville-Veikko Pohjola totesi, että yleisesti havaittu trendi on, että perinteisten käsityöammattien taitajat ovat vähentyneet ja taidot kadonneet. Tilalle on tullut pelikonsolien taitajia.

Vankilanjohtajien näkemykset vankien taustojen muutoksista ovat tärkeitä myös pohdittaessa keinoja vaikuttaa uusintarikollisuuteen. Jos uusintarikollisuuden riskiä pyritään vähentämään vankeuden jälkeisen työllistymisen mahdollisuuksia parantamalla, muuttuu tavoitteen vaikeuskerroin huomattavasti, jos vankiloista vapautuu enenevässä määrin ihmisiä, joilla ei ole merkittävää työhistoriaa tai koulutusta.

Tutkimustietoa näistä muutoksista ei kuitenkaan ole juurikaan ollut saatavilla. Neljä kertaa toistettu vankien terveystutkimus kertoo, että vankipopulaatiossa on tapahtunut merkittäviä muutoksia 1980-luvun puolivälistä eteenpäin, mutta sosioekonomisen taustan muutoksia ei ollut aiemmin tarkasteltu systemaattisesti. Suomen Akatemian rahoittamassa CRIMCAR-hankkeessa (2018–2023) halusimme tarkastella kysymystä aiempaa perusteellisemmin.

Hyödynsimme tutkimuksessamme laajaa rekisteriaineistoa, joka sisälsi tiedot kaikista käräjäoikeudessa vankeuteen vuosina 1988–2019 tuomituista henkilöistä. Vertasimme näitä henkilöitä 16–64-vuotiaaseen väestöön ja lisäksi eräisiin muihin rikosseuraamuksiin tuomittuihin henkilöihin.

Vankeutta edeltäneen sosioekonomisen taustan mittaus perustui neljään muuttujaan: koulutustasoon, tuloihin, työssäkäyntiin ja toimeentulotuen saamiseen. Sosioekonomista taustaa mitattiin vankeustuomiota edeltäneeltä vuodelta, millä pyrittiin varmistamaan se, että esimerkiksi tutkintavankeus ei vaikuttaisi työssäkäyntihistorian mittaamiseen.

Suuret muutokset 1990-luvulla

Ensimmäisenä keskeisenä havaintona tutkimus antaa tukea ajatukselle siitä, että 1990-luvun lama ja sitä seuranneet työvoiman kysynnän muutokset ovat ainakin osasyy siihen, että vankien työmarkkinakytkös on aikaisempaa heikompi.

Vuonna 1988 vankilaan tuomituista 46 prosenttia oli töissä tuomiota edeltäneenä vuonna, mutta vuoteen 1994 mennessä osuus oli laskenut alle 10 prosenttiin. Myös muiden kuin tuomittujen keskuudessa lasku oli huomattavaa, noin 17 prosenttiyksikköä.

Kokonaisuutena näyttää kuitenkin siltä, että muutokset olivat suurempia rikoksista tuomittujen parissa. Tulokset ovat pitkälti samankaltaisia myös vaihtoehtoisilla sosioekonomisen aseman mittareilla.

Laman lisäksi toinen tärkeä selitystekijä vankien taustojen muutokselle 1990-luvulla on yhdyskuntapalvelun käyttöönotto. Rikokset, joista tuomittava ehdoton vankeusrangaistus olisi pituudeltaan korkeintaan kahdeksan kuukautta, voidaan muiden edellytysten täyttyessä tuomita yhdyskuntapalveluna. Yhdyskuntapalvelu otettiin Suomessa vaiheittain käyttöön 1990-luvun aikana, ja tähän seuraamukseen tuomittujen määrä oli suurimmillaan vuosituhannen taitteessa.

Koska yhdyskuntapalvelusta suoriutumisen edellytyksiä arvioidaan Rikosseuraamuslaitoksen toimesta ennen tuomitsemista, ei ole yllättävää, että seuraamukseen tuomitut ovat keskimäärin matalamman uusimisriskin henkilöitä kuin vankeuteen tuomitut.

Matalampi riski korreloi myös vankien sosioekonomisen taustan kanssa. Analyysimme osoittaa, että korkeammin koulutetut ja paremmin toimeentulevat, erityisesti rattijuopumuksista tuomitut henkilöt, tuomittiin todennäköisemmin yhdyskuntapalveluun, kun seuraamus tuli huhtikuussa 1994 käyttöön koko maassa. Vastaavia havaintoja on tehty muun muassa Tanskassa. Tämä valikoitumista koskeva tulos osoittaa myös sen, että naiivit seuraamusten väliset uusintarikollisuusastetta koskevat vertailut eivät kerro mitään seuraamusten vaikuttavuudesta.

Verrattain vakaa tilanne 2000-luvulla

2000-luvulla muutokset vankien taustoissa ovat olleet pienempiä. Koko väestössä työssäkäyntiaste palasi lähes 1980-luvun tasolle ennen 2008 alkanutta finanssikriisiä, mutta vankien sekä muihin rikosseuraamuksiin tuomittujen joukossa työssäkäyntiaste ei ole koskaan palannut tuolle tasolle. Parhaimmillaankin vangeista on ollut työssäkäyviä hieman alle 20 prosenttia.

Koulutustason osalta havaitaan, että samaan aikaan kun koko väestön koulutusaste on kohentunut, vankeuteen tuomittujen koulutusaste (vähintään toisen asteen koulutuksen suorittaneiden osuus) on jopa hieman laskenut. Samanlaista kehitystä nähdään myös tulojen osalta. Finanssikriisin jälkeen rikosseuraamuksiin tuomittujen työssäkäyntiaste on jälleen heikentynyt jonkin verran, mutta muutokset ovat toki selvästi 1990-luvun lamaa pienempiä.

Tilastotietojen ja aikaisemman tutkimuksen perusteella tiedämme, että tämän tutkimuksen seuranta-aikana sekä vankeuteen tuomittujen määrässä että vankiluvussa on tapahtunut kohtalaisen suuria muutoksia. Tuomittujen väestöön suhteutettu määrä oli vuonna 2019 laskenut lähes kolmannekseen vuoden 1987 tasosta.

Samalla aineistolla tehty toinen analyysimme osoittaa, että vuonna 1962 syntyneistä miehistä noin 1,5 prosenttia tuomittiin vankeuteen 25 ikävuoteen mennessä, kun vastaava osuus vuonna 1993 syntyneillä on noin 0,5 prosenttia.

Vankiluvussa tapahtuneet muutokset ovat pienempiä, mikä johtuu siitä, että vankilukuun vaikuttavat enemmän pitkiä tuomioita suorittavat henkilöt.

Tutkimustulosten perusteella vaikuttaa joka tapauksessa selvältä, että 199v0-luvun muutokset liittyvät laman lisäksi myös vankien määrän laskuun ja valikoitumismekanismien muutokseen, mutta 2000-luvulla muutokset eivät ole yhtä systemaattisia.

Katvealueita ja jatkotutkimuksen tarpeita

Tutkimuksemme kertoo osaltaan siitä, että tämän päivän vankien integroiminen työmarkkinoille on selvästi haastavampaa kuin aikaisemmin. Toisaalta voidaan ajatella, että tällä saralla on paljon voitettavaa, koska lähtötilanne on siinä määrin heikko.

Jatkotutkimuksen osalta keskeisenä tarpeena on rikosseuraamuksia ja vankeuden aikaisia toimia (esimerkiksi työtoiminta, ohjelmatoiminta ja päihdekuntoutus) koskeva menetelmällisesti korkeatasoinen vaikuttavuustutkimus suhteessa sekä uusintarikollisuuteen että muihin vankeuden jälkeisiin myönteisiin lopputulemiin.

Näiden toimien vaikuttavuudesta nimenomaan suomalaisessa kontekstissa ja vankipopulaatiossa ei ole vakuuttavaa näyttöä. Rikosseuraamusalan tiukassa resurssitilanteessa olisi suotavaa, että rahat käytettäisiin nimenomaan sellaisiin toimiin, joilla voidaan aidosti vähentää uusintarikollisuutta.

Tutkimuksemme eräänä puutteena on se, ettemme voi käytettävissä olevien aineistojen perusteella sanoa kovinkaan paljon siitä, millaisia muita laadullisia muutoksia vankipopulaatiossa on tänä aikana tapahtunut.

Vankeustuomioon johtaneiden rikosten jakaumassa on tapahtunut joitakin muutoksia, ja esimerkiksi huumausainerikoksista tuomittujen osuus on kasvanut selvästi, kun taas varkauksista ja rattijuopumuksista tuomittujen osuus on laskenut. Uusijoiden osuus on sen sijaan pysynyt melko lailla vakaana, ja vankeustuomio on varsin harvoin ensimmäinen tuomio. Niin sanotuista valkokaulusrikoksista vankeuteen tuomitut muodostavat vankipopulaatiosta siinä määrin pienen osuuden, etteivät he vaikuta kokonaiskuvaan merkittävällä tavalla.

Kun vankien määrä on vähentynyt, ja samaan aikaan järjestäytyneeseen rikollisuuteen ja rikollisverkostoihin kytkeytyvien vankien määrä on kasvanut erityisesti viime vuosina, saattavat löydöksemme osaltaan heijastella ammattimaisemman rikollisuuden merkityksen kasvua. Tällöin voisi ajatella, että vankeutta edeltävä heikko työmarkkinakytkös onkin pikemminkin seurausta rikollisesta elämäntavasta kuin toisin päin.

Toisaalta aiemman tutkimuksen perusteella tiedämme, että merkittävällä osalla vangeista on päihde- ja mielenterveysongelmia, ja monella lähtökohdat elämään ovat olleet haastavat. Rajoituksena on lisäksi mainittava se, että huumausaineiden maahantuontia ja kauppaa tai niin sanottuja hit-and-run-rikoksia tekevistä ulkomaalaisista tuomituista ja heidän sosioekonomisesta asemastaan ei rekisteritutkimuksella saa tietoa, koska he eivät ole asuneet Suomessa eikä heillä ole suomalaista henkilötunnusta. Ulkomaalaisten vankien osuus on ollut kasvussa koko 2000-luvun.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

EXIT-toiminta – rikollisryhmistä irtautumisen tukeminen 

Artikkeli käsittelee järjestäytyneeseen rikollisuuteen liittyvien vankien määrän kasvua ja rikollisryhmistä irtautumisen tukemista Suomessa.

Vankiloissa on tällä hetkellä noin 300 järjestäytyneeseen rikollisuuteen kiinnittynyttä vankia. Erityisesti niin sanottuihin katujengeihin ja kansainvälisiin rikollisverkostoihin kuuluvien vankien määrä on viime vuosina lisääntynyt merkittävästi. 

Rikollisryhmistä irtautumisen tukemista toteuttaa Suomessa systemaattisesti ja tiiviissä yhteistyössä kolme toimijaa: Rikosseuraamuslaitos, Keskusrikospoliisi ja kymmenellä paikkakunnalla toimiva Aggredi.

Järjestäytynyt rikollisuus ja rikollisryhmät 

Vuosituhannen vaihteessa Suomessa käydyssä keskustelussa järjestäytyneellä rikollisuudella viitattiin rikollisiin moottoripyöräjengeihin, kuten Hells Angels, Bandidos ja Cannonball. Myöhemmin mukaan tuli muita pelkästään rikolliseen toimintaan keskittyneitä ryhmiä, kuten Natural Born Killers, M.O.R.E ja Rogues Gallery. Nämä yhdistyivät vuonna 2010 United Brotherhoodiksi. 

Perinteisiä järjestäytyneitä rikollisryhmiä voidaan kutsua myös ”prosenttijengeiksi”, koska kyseiset ryhmät identifioivat itsensä liiveissään salmiakkikuvion sisällä olevalla prosenttimerkillä lain ulkopuolella toimiviksi.

Sittemmin järjestäytyneen rikollisuuden käsitettä on jouduttu laajentamaan rikollisuuden kansainvälistymisen, ammattimaistumisen ja monimuotoistumisen vuoksi. Nykyään järjestäytyneellä rikollisuudella viitataan prosenttijengien lisäksi alueellisiin katujengeihin, ketterästi muokkautuviin rikollisverkostoihin (esimerkiksi Foxtrot), klaanirikollisuuteen (esimerkiksi albaanit), rikollisen toiminnan mahdollistajiin (esimerkiksi rahoittajat, hakkerit ja muut rikollisten palvelujen tuottajat), kansainvälisiin omaisuusrikoksiin keskittyviin ryhmiin sekä muihin erityisiin rikostyyppeihin liittyvään järjestäytyneeseen rikollisuuteen (esimerkiksi seksuaalirikollisuus ja terrorismin rahoittaminen).

Järjestäytyneeseen rikollisuuteen liittyvä toimintaympäristö on siis muuttunut merkittävästi muun muassa ryhmien järjestäytymisen asteen ja sisäisen hierarkian suhteen. Vaikka rikollinen toiminta on monilta osin entistä järjestäytyneempää, yksittäisistä järjestäytyneistä rikollisryhmistä tai katujengeistä puhuminen ei enää tavoita ilmiön monimuotoisuutta. 

Kansainvälisessä keskustelussa, esimerkiksi katujengeihin viitattaessa, käytetäänkin nykyään yleisemmin termiä ”criminal network” eli rikollisverkosto, koska myös katujengien toiminta on rajat ylittävää kansainvälistä rikollisuutta.

Irtautumistyön tausta

Rikosseuraamuslaitoksessa havahduttiin 2010-luvun alussa järjestäytyneen rikollisuuden vankiloissa aiheuttamiin ongelmiin, minkä seurauksena järjestäytyneeseen rikollisuuteen kuuluvien vankien (JR-vanki) valvonnallisia olosuhteita kiristettiin, eikä heitä esimerkiksi enää sijoitettu avovankiloihin. 

Vuonna 2012 selvitimme Rikosseuraamuslaitoksen erikoistutkija Sasu Tynin kanssa JR-vankien rikosten aitoa uusimista vapautumista seuraavien kolmen vuoden kuluessa. Tulosten perusteella oli selvää, että vuoden 2006 vankeuslakiuudistuksen jälkeen käytössä olleet kuntouttavat menetelmät eivät toimineet tähän vankiryhmään: JR-vangeista 83,5 prosenttia joutui kolmen edellisestä vapautumisesta seuranneen vuoden aikana takaisin vankilaan uusista rikoksista tuomittuina. 

Luku oli 24 prosenttiyksikköä suurempi kuin muulla vankipopulaatiolla. Ruotsissa oli myös havahduttu asiaan, kun Ingvar Nilssonin ja Eva Lundmarkin raportin ”Vänd dem inte ryggen – Socioekonomisk analys av destruktiva subkulturer” johtopäätelmänä oli, että yhden jengiläisen elinkaarikustannukset yhteiskunnalle ovat 23 miljoonaa kruunua ja jengiin kuuluvat tekivät rikoksia 3-5 kertaa muita rikollisia enemmän.

Selvitysvaiheessa meidät yllätti se, ettei prosenttijengien jäseniin liittyvästä rikollisuudesta irrottautumisesta ollut juurikaan tutkimusta. Tuolloin Suomenlinnan avovankilassa työskennellyt Petri Nurmi sai idean Tanskassa ja Ruotsissa harjoitetun EXIT-toiminnan kaltaisen työskentelymallin tuomisesta Suomeen. 

Vierailimme yhdessä Keskusrikospoliisin edustajan kanssa Tanskassa ja Ruotsissa vuonna 2012, ja arvioimme vastaavalle työmuodolle olevan käyttöä myös Suomessa. Ryhdyimme kokeilemaan toimintaa Rikosseuraamuslaitoksessa epävirallisesti vuoden 2013 aikana. 

Vuonna 2015 toiminta virallistettiin Rikosseuraamuslaitoksessa. Keskusrikospoliisi tuli mukaan vuotta myöhemmin. Myös Aggredi aloitti irtautujatyön vuonna 2018 heidän muusta väkivaltatyöstään irrallisena toimintona. 

Aggredi on sittemmin palkannut entisiä irtautujia suunnittelemaan ja työskentelemään uusien asiakkaiden kanssa. Entisellä Cannonball -jäsenellä Miika Mehmetillä on ollut merkittävä rooli Aggredin irtautumisen tukemista koskevan työskentelymallin luomisessa.

Mitä irtautumisen tukeminen tarkoittaa?

Rikollisryhmästä irtautumisen tukeminen on niin sanotusti korjaavaa toimintaa, eli kohteena ovat ainoastaan syvällä rikollisessa alakulttuurissa toimineet henkilöt. Työskentelyn keskiössä on irtautujan ja rikollisryhmän välinen suhde sekä siitä aiheutuvat riskitekijät irtautujan hyvinvoinnille. 

Työskentelyn tavoitteena on motivoida ja alentaa kynnystä rikollisryhmästä irtautumiseen, tukea irtautujaa rikollisryhmästä irtautumiseen liittyvässä identiteetin muutoksessa, tarjota psykososiaalista tukea irtautumisprosessin aikana ja vähentää irtautumiseen liittyviä uhkatekijöitä. 

Työskentelyn päämääränä on asiakkaan tunnetasolla tapahtunut irtautuminen rikollisryhmästä, mihin liittyy muun muassa identiteetin ja sosiaalisten suhteiden rakentaminen uudelle pohjalle. 

Rikollisryhmässä toimivan tai toimineen henkilön irtautumiseen kuuluu erityisiä haasteita muihin rikollisiin verrattuna. Erityisesti prosenttijengien jäsenyyteen liittyy työsuhteeseen, perhesuhteeseen ja uskonnolliseen yhteisöön viittaavia piirteitä. Niissä on selkeä ja määritelty käskyvaltahierarkia: ylempiarvoisten upseerien käskyjä on aina toteltava rangaistuksen uhalla, vaikka käskyjen noudattaminen edellyttäisi rikollista toimintaa. Muut samaan jengiin kuuluvat ovat veljiä, ja ryhmän etu tulee ennen kaikkea muuta, jopa ennen oikeaa perhettä. 

Jäsenyyteen liittyy sakraaleja piirteitä ja riittejä, kuten jengin värien ja liivien pyhyys: liivejä tulee suojella tarvittaessa omalla hengellään, eikä niitä saa häpäistä missään tilanteessa. Kaikkien rikollisten moottoripyöräkerhojen jäsenten on osallistuttava tiettyihin ryhmäajoihin ja juhliin sekä hoidettava tietyt vaaditut säännölliset velvollisuudet jengin hyväksi.

Viranomaisjohtoinen irtautumisen tukeminen on ensisijaisesti turvallisuustoimintaa. Rikollisryhmästä irtautumiseen liittyy irtautujan näkökulmasta käytännössä aina merkittäviä henkeen ja terveyteen kohdistuvia riskitekijöitä. Rikollisryhmät eivät pääsääntöisesti hyväksy irtautumista viranomaistuen avulla, ja jäsenen omaehtoinen jengistä eroaminen on myös brändin kannalta erittäin negatiiviseksi koettu ilmiö. 

Tästä syystä rikollisryhmästä irtautuja joutuu usein väkivaltaisten kostotoimien uhriksi ja hänen sosiaalinen ympäristönsä pyritään ”myrkyttämään” mustamaalaamalla irtautujaa mahdollisimman kielteisillä tarinoilla hänen luonteestaan ja toiminnastaan. Irtautumisprosessiin liittyvä riskien hallinta ja turvallisuustekijöiden huomioiminen onkin ensisijaista muuhun kuntoutukseen nähden.

Joissakin tapauksissa vankilassa tapahtuva irtautumisen tukeminen onkin jouduttu keskeyttämään tai prosessia on ollut pakko siirtää turvallisuusriskien vuoksi. Irtautumisen tukemista leimataan rikollisryhmien taholta usein ”vasikoinniksi”, vaikka irtautujilta ei pyydetä eikä edes oteta vastaan rikollisuutta koskevaa tiedustelutietoa. Rikollisryhmien tarkoituksena on nostaa ryhmästä irtautumisen kynnystä ja aiheuttaa pelkoa.

Katujengeistä irtautuminen

Katujengiläisten tai rikollisverkostoissa toimivien irtautumisprosessi poikkeaa monilta osin prosenttijengiläisten vastaavasta. Katujengit ovat prosenttijengejä löyhemmin organisoituneita, eikä niissä yleensä ole kirjoitettua säännöstöä, jossa ryhmästä eroamista säädeltäisiin. 

Tästä syystä eroaminen on usein luonnollinen prosessi eikä herätä ryhmässä samanlaisia vastareaktioita kuin prosenttijengistä irtautuminen. Tämä luonnollisesti helpottaa katujengistä irtautumista verrattuna prosenttijengistä lähtemiseen, jossa irtautuminen on tarkasti säänneltyä ja johtaa usein rankaisutoimiin prosenttijengin taholta. 

Toisaalta katujengit koostuvat pääosin yhteisöllisistä kulttuureista tulevista maahanmuuttajataustaisista henkilöistä, jotka ovat kasvaneet samalla alueella muiden samaan jengiin kuuluvien henkilöiden kanssa. Myös irtautujien perheet ja sukulaiset asuvat usein edelleen kyseisen jengin toiminta-alueella. Tästä syystä katujengistä irtautuminen on sosiaaliset tekijät huomioiden kokonaisuudessaan yleensä huomattavasti vaikeampi prosessi kuin prosenttijengistä lähteminen. 

Prosenttijengiläisen irtautuessa hänen on verrattain helppoa katkaista suhteet entiseen rikollisryhmäänsä ja leikata jengikontaktit ja potentiaaliset kohtaamiset pois nykyisestä elinpiiristä. Tämä tapahtuu lopettamalla kerhon tapahtumissa ja juhlissa käyminen, katkaisemalla suhteet muihin jengiläisiin sosiaalisessa mediassa ja välttämällä jengitilojen ympäristössä ja tietyissä jengin suosimissa ravintoloissa liikkumista. Pahimmillaankin toiseen kaupunkiin muuttaminen yleensä riittää suhteiden katkaisemiseen. 

Katujengiläisen kohdalla jengiin sitovista sosiaalisista kontakteista irtautuminen sen sijaan edellyttäisi muuttamista pois vanhasta kasvuympäristöstä ja alueelta, jossa muu perhe, sukulaiset ja lapsuuden ystävät yleensä edelleen asuvat. Samalla on varottava, ettei uusi asuinpaikka sijaitse jonkin toisen katujengin toiminta-alueella, koska suhtautuminen toiseen jengiin liitettyyn henkilöön voi olla irtautumisesta huolimatta aggressiivista. 

Sekä Rikosseuraamuslaitoksen että poliisin EXIT-toiminnassa työskennellään myös katujengeistä ja rikollisverkostoista irtautuvien henkilöiden kanssa, mutta meidän ja muista Pohjoismaista saatujen kokemusten perusteella sosiaalisista kontakteista irtautuminen aiheuttaa usein vakavan esteen katujengiläisen irtautumisen onnistumiselle.

Toiminnan vaikuttavuus ja motivaatio

EXIT-toiminnan vaikuttavuutta ei ole Suomessa tutkittu. Rikosseuraamuslaitoksen tukemista irtautujista yli 80 prosenttia vaikuttaa lopettaneen vakavan rikollisuuden ja yhteistoiminnan järjestäytyneen rikollisuuden kanssa. Epäonnistumiset ilmenevät yleensä prosessin alkuvaiheessa. 

Huimasta onnistumisprosentista ei kuitenkaan voi suoraan päätellä toiminnan vaikuttavuutta, koska otanta on hyvin valikoitunut: asiakkuus edellyttää omaehtoista motivoitumista. Toisaalta irtautumista tukeva viranomaislähtöinen toiminta mahdollistaa monelle jengistä lähtemisen. Ilman tukea irtautumispäätöstä ei välttämättä uskallettaisi tehdä. Tämä kuitenkin edellyttää sitä, että toiminta koetaan ammatillisesti uskottavaksi ja turvalliseksi. 

Irtautumismotivaatiota arvioidaan alkuvaiheessa kolmesta näkökulmasta: mitkä ovat rikollisjärjestöstä pois työntävät tekijät, ulkopuolelta tulevat vetovoimatekijät ja rikollisryhmiin kiinnittävä ”liima”, joka vaikeuttaa irtautumispäätöksen tekemistä. Tunnetason irtautuminen tapahtuu vasta ajan kuluessa: motivaatio irtautumiseen kasvaa samalla, kun uudet mahdollisuudet toteuttaa itseään ja saada arvostusta muualta lisääntyvät.

Yleinen syy rikollisryhmästä irtautumiseen on ryhmän toimintaan pettyminen: irtautujat ovat lähes poikkeuksetta turhautuneita ja vihaisia ristiriidasta ryhmän ulospäin viestittämien veljeyteen liittyvien arvojen sekä todellisuudessa ilmenevän itsekkyyden ja muun hyväksi käyttämisen välillä.

Toinen keskeinen tekijä on ulkopuolisten asioiden, kuten perheen ja työelämän merkityksen kasvaminen: jengitoiminta vie paljon aikaa ja rahaa sekä altistaa pitkille vankeustuomioille, joten sen yhdistäminen normaaliin elämään on hyvin vaikeaa. 

Kolmantena motivaatiotekijänä on selvästi noussut rikollisen toiminnan kasvanut kiinni jäämisen riski, ankarammat rangaistukset esimerkiksi huumausainerikoksissa ja erityisesti valvonnallisesti tiukentuneet vankilaolosuhteet. Lisäksi salattujen viestintävälineiden haavoittuvuus ja jengirikollisten vaikutusvallan rajoittamistoimet vankiloissa nousevat selvästi rikollisryhmiin kuuluvien vankien irtautumismotivaation taustalla.  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

Tekoälyn ennusteet vuodelle 2025

Dan Karpati käsittelee tekoälyn nopeaa kehitystä ja sen vaikutuksia kyberturvallisuuteen, erityisesti energiankulutukseen, ohjelmistokehitykseen, rikollisten hyödyntämiin uhkiin sekä eettisiin ja sääntelyhaasteisiin.

Tekoälyn nopea kehitys muuttaa merkittävästi kyberturvallisuuden kenttää. Näen useita keskeisiä kehityskulkuja, jotka tulevat vaikuttamaan digitaaliseen maailmaamme.

Tekoälyn käytön lisääntyminen tuo laajoja vaikutuksia muun muassa energiankulutukseen, ohjelmistokehitykseen sekä eettisiin ja oikeudellisiin viitekehyksiin. Lisäksi kyberrikolliset ja valtiolliset toimijat hyödyntävät tekoälyteknologioita uusien ja vaikeasti torjuttavien uhkien luomisessa.

Tekoälyräjähdys

Tekoälyteknologioiden käyttöönotto kiihtyy ennennäkemättömällä vauhdilla. Esimerkiksi ChatGPT saavutti 100 miljoonan käyttäjän rajan vain 60 päivässä lanseerauksensa jälkeen ja houkuttelee nykyään yli kolme miljardia kuukausittaista käyttäjää.

Tämä räjähdysmäinen kasvu ei rajoitu vain ChatGPT:hen; myös muut tekoälymallit, kuten Claude, Gemini ja Midjourney, ovat saavuttaneet laajaa suosiota. Financial Times -lehden mukaan 92 prosenttia Fortune 500 -yrityksistä oli ottanut käyttöön generatiivista tekoälyä työprosesseissaan vuoden 2024 loppuun mennessä. Dimension Market Research ennustaa, että laajojen kielimallien (LLM) globaali markkina-arvo nousee 140,8 miljardiin dollariin vuoteen 2033 mennessä.

Tekoälyteknologiat vaativat valtavia määriä laskentatehoa, ja niiden nopea käyttöönotto lisää jo nyt merkittävästi maankäyttöön, veteen ja energiaan kohdistuvaa kuormitusta. Vuonna 2025 tämä tekoälyn aiheuttama rasitus luonnonvaroille tulee näkymään entistä selvemmin.

Energiankulutus ja tehokkuusinnovaatiot

Tekoälyn leviäminen aiheuttaa valtavaa painetta globaalille energiantuotannolle. Tekoälyn toiminnan peruspilareina toimivat datakeskukset lisääntyvät nopeasti. Datakeskukset kuluttavat maata, energiaa ja vettä – kolme jo ennestään niukkaa resurssia, joiden tarve kasvaa tekoälyn myötä.

McKinseyn mukaan datakeskusten määrä kaksinkertaistui vuoden 2015
3 500:sta 7 000:een vuoteen 2024 mennessä. Deloitten ennusteiden mukaan niiden energiankulutus kasvaa 508 TWh:sta vuonna 2024 huimaan 1 580 TWh:iin vuoteen 2034 mennessä – mikä vastaa koko Intian vuotuista energiankulutusta.

Deloitten mukaan nykyinen järjestelmä on nopeasti käymässä kestämättömäksi. Goldman Sachs Research arvioi, että datakeskusten energiantarve kasvaa 160 prosenttia vuoteen 2030 mennessä, ja tekoäly tulee edustamaan noin 19 prosenttia datakeskusten energiantarpeesta vuoteen 2028 mennessä.

Tämä ennennäkemätön energiantarve edellyttää siirtymistä kestävämpiin energianlähteisiin sekä innovatiivisia jäähdytysratkaisuja raskaille tekoälykuormille. Vaikka merkittävää kehitystä on jo saavutettu uusiutuvien energialähteiden hyödyntämisessä, ydinenergiaa tullaan todennäköisesti hyödyntämään tekoälyyn liittyvän energiankulutuksen kasvun tukemiseksi.

Laskentateknologia itsessään tulee myös tehostumaan sirujen suunnittelun ja työkuormien optimoinnin edistysaskelilla. Esimerkiksi compute-in-memory (CIM) -arkkitehtuuri, joka vähentää energiankulutusta datan siirrossa muistin ja prosessorien välillä, tulee olemaan keskeinen innovaatio. Tällaiset ja muut mullistavat teknologiat auttavat hallitsemaan kasvavia laskentatarpeita entistä energiatehokkaammin.

Vastuullinen tekoäly muuttaa ohjelmistokehitystä

Tekoäly mullistaa ohjelmistokehityksen. Olemme siirtymässä yksinkertaisista koodintäydennystyökaluista, kuten GitHub Copilotista, täysimittaisiin koodinluontialustoihin, kuten CursorAI ja Replit.com. Tämä kehitys lupaa merkittäviä tuottavuushyötyjä, mutta tuo mukanaan myös huomattavia turvallisuusriskejä.

Tekoäly mahdollistaa sen, että kuka tahansa kyberrikollinen voi luoda täysin toimivan haittaohjelman pelkällä yksinkertaisella kehotteella, mikä avaa ovet täysin uudenlaisten kyberuhkien aikakaudelle. Rikollisten kynnys aloittaa toimintansa katoaa, ja kyberrikollisuus muuttuu yhä kehittyneemmäksi ja laajamittaisemmaksi, mikä tekee digitaalisesta maailmastamme huomattavasti turvattomamman.

Tämä uhka vauhdittaa vastuullisen tekoälyn kehittymistä. Vastuullisella tekoälyllä tarkoitetaan käytäntöjä, joissa tekoälytoimittajat rakentavat suojamekanismeja estääkseen laajojen kielimalliensa haitallisen käytön.

Ohjelmistokehittäjien ja kyberturvallisuusyritysten tulisi tehdä yhteistyötä vastuullisen tekoälyn edistämiseksi. Turvallisuusalan toimijat omaavat syvällistä asiantuntemusta hyökkääjien toimintatavoista ja voivat simuloida ja ennakoida uusia hyökkäystekniikoita.

Penetraatiotestaajat, niin kutsutut ”valkohattuhakkerit” ja ”red teamit”, etsivät aktiivisesti ohjelmistojen haavoittuvuuksia ennen kuin hakkerit ehtivät hyödyntää niitä. Uusia vastuullisen tekoälyn kumppanuuksia ohjelmisto- ja kyberturvallisuusyritysten välillä tarvitaan varmistamaan LLM-mallien turvallisuus ja estämään niiden haitallinen käyttö.

Moniagenttiset tekoälyjärjestelmät

Vuonna 2025 moniagenttiset tekoälyjärjestelmät nousevat esiin sekä hyökkäyksissä että puolustuksessa. Tekoälyagentit ovat seuraava kehitysaskel tekoälyavustajista (copiloteista). Ne ovat autonomisia järjestelmiä, jotka tekevät päätöksiä, suorittavat tehtäviä ja vuorovaikuttavat ympäristöjen kanssa usein ihmisen puolesta. Ne toimivat vähäisellä ihmisen ohjauksella ja kommunikoivat muiden tekoälyagenttien, tietokantojen, antureiden, sovellusrajapintojen (API), sovellusten, verkkosivustojen ja sähköpostien kanssa sekä mukautuvat palautteen perusteella.

Hyökkääjät hyödyntävät näitä järjestelmiä koordinoiduissa ja vaikeasti havaittavissa hyökkäyksissä, kun taas puolustajat hyödyntävät niitä uhkien havaitsemiseen, reagointiin ja reaaliaikaiseen yhteistyöhön verkkojen ja laitteiden välillä. Moniagenttiset tekoälyjärjestelmät voivat puolustautua samanaikaisia hyökkäyksiä vastaan työskentelemällä yhdessä ja jakamalla reaaliaikaista uhkatietoa sekä koordinoimalla puolustustoimia tehokkaasti.

Eettiset ja sääntelyyn liittyvät haasteet

Tekoälyn yleistyessä kohtaamme kasvavia eettisiä ja sääntelyyn liittyviä haasteita. Kaksi merkittävää lakia tulee voimaan vuonna 2025. EU:n AI Act astuu voimaan 2. helmikuuta 2025, ja sen lisämääräykset seuraavat 2. elokuuta.

Yhdysvalloissa uuden tekoälysääntelykehyksen odotetaan tulevan voimaan National Defense Authorization Actin (NDAA) ja muiden lakiesitysten kautta, keskeisten määräysten astuessa voimaan vuoden 2025 alussa.

Nämä uudet lait pakottavat yritykset ottamaan tiukemman otteen tekoälysovellustensa hallinnasta. Samalla kehitetään uusia tekoälyn hallinta-alustoja, jotka vahvistavat luottamusta, läpinäkyvyyttä ja eettisiä periaatteita tekoälymalleissa. Vuonna 2025 alakohtaiset tekoälyä koskevat varmennuskehykset lisääntyvät, ja niiden tavoitteena on taata tekoälymallien luotettavuus, puolueettomuus ja turvallisuus.

Yhteenveto

Vuosi 2025 tulee olemaan käänteentekevä tekoälyn ja kyberturvallisuuden kannalta. Vaikka tekoäly tarjoaa ennennäkemättömiä mahdollisuuksia kehitykselle, se tuo mukanaan merkittäviä haasteita.

Tiivis yhteistyö kaupallisen sektorin, ohjelmisto- ja turvallisuusyritysten sekä hallitusten ja lainvalvontaviranomaisten välillä on välttämätöntä, jotta tämä voimakas ja nopeasti kehittyvä teknologia ei vaaranna digitaalista luottamusta tai fyysistä ympäristöämme.

Kyberturvallisuusammattilaisten on pysyttävä kehityksen kärjessä ja mukautettava strategioitaan hyödyntääkseen tekoälyn mahdollisuudet samalla sen riskejä minimoiden. Tulevaisuus riippuu siitä, kuinka onnistumme navigoimaan tässä monimutkaisessa tekoälyohjatussa toimintaympäristössä.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

Järjestäytynyt rikollisuus yritystoiminnassa

Verohallinto selvitti järjestäytyneen rikollisuuden kytköksiä suomalaiseen yritysmaailmaan, erityisesti harmaaseen talouteen ja talousrikollisuuteen.

Verohallinnon Harmaan talouden selvitysyksikkö julkaisi vuoden 2024 lopussa selvityksen, jossa tutkittiin järjestäytynyttä rikollisuutta suomalaisessa yrityskentässä. Suomessa järjestäytyneen rikollisuuden ilmenemismuodot ovat perinteisesti liittyneet moottoripyöräjengeihin, mutta nykyään ilmenemismuodot ovat laajentuneet ja monipuolistuneet koskemaan myös esimerkiksi yritysmaailmassa tapahtuvaa talousrikollisuutta.

Järjestäytyneellä rikollisryhmällä tarkoitetaan rikoslain mukaan vähintään kolmen henkilön muodostamaa tietyn ajan koossa pysyvää rakenteeltaan jäsentynyttä yhteenliittymää, joka toimii yhteistuumin tehdäkseen rikoksia, joista säädetty enimmäisrangaistus on vähintään neljä vuotta vankeutta.

Määritelmä sisältää viisi ehtoa järjestäytyneelle rikollisryhmälle: jäsenten lukumäärä, ajallinen kesto, organisoitunut rakenne, rikosten tekeminen yhdessä ja rikosten vakavuus.

Selvityksestä

Selvityksessä tutkittiin järjestäytyneen rikollisuuden kytköksiä yritystoimintaan, jonka kautta rikollisuus hyödyntää laillisia rakenteita muun muassa rahanpesuun ja harmaan talouden ylläpitoon. Ennen selvitystä ei ollut olemassa tarkkaa kuvaa siitä, kuinka laajasti järjestäytyneen rikollisuuden organisaatiot hyödyntävät yrityksiä ja minkälaisia järjestäytyneeseen rikollisuuteen kytköksissä olevat yritykset ovat.

Selvityksessä tutkittiin järjestäytyneeseen rikollisuuteen kytköksissä olevien henkilöiden Verohallinnon rekistereissä olevia toimivia yrityksiä. Yrityksistä tutkittiin esimerkiksi kyseisten henkilöiden yritysten liiketoiminnan laajuutta, velvoitteiden hoitoa ja taloutta.

Selvitys perustui Keskusrikospoliisin tuottamaan tiedusteluaineistoon, joka sisälsi tiedot 1 872 henkilöstä, joilla on havaittu kytkös järjestäytyneeseen rikollisuuteen ja jotka toimivat yritysten vastuuhenkilöinä. Näillä henkilöillä oli vuosina 2020–2022 nimenkirjoitusoikeudellinen vastuuasema suomalaisessa yrityksessä. Tällaisia yrityksiä oli aineistossa yhteensä 2 407, joista 2 000 oli aktiivisia vuonna 2022.

Tutkimuksessa hyödynnettiin kuvailevia menetelmiä, esimerkiksi esittämällä tulosten keskiarvoja ja osuuksia taulukoiden avulla. Kuvailevien tilastollisten menetelmien lisäksi tutkimuksessa hyödynnettiin ennustavan analytiikan sekä kausaali-mallinnuksen menetelmiä.

Keskeisiä tuloksia

Yritykset, joiden vastuuhenkilöllä on havaittu kytkös järjestäytyneeseen rikollisuuteen, keskittyvät pääosin Uudellemaalle ja toimivat erityisesti rakennus- ja kiinteistöalalla sekä autokaupan alalla. Rakennus- ja kiinteistöalat ovat perinteisiä harmaan talouden toimialoja, joilla on paljon alihankintaa ja pimeää työvoimaa. Autokaupan puolella on usein kyse rahanpesusta ja petoksista, kuten arvonlisäverokikkailusta.

Nämä yritykset ovat usein pieniä ja uudehkoja. Niiden kannattavuus ja maksuvalmius ovat merkittävästi alhaisempia kuin muilla yrityksillä. Niillä on myös huomattavasti enemmän vero- ja ulosottovelkaa sekä ilmoituspuutteita kuin muilla yrityksillä. Lisäksi näissä yrityksissä toimivat järjestäytyneeseen rikollisuuteen kytkeytyneet henkilöt ovat nuorempia kuin henkilöt muissa yrityksissä.

Järjestäytyneeseen rikollisuuteen kytköksissä olevat yritykset eivät ole laajasti kytkeytyneet toisiinsa yhteisten vastuuhenkilöiden kautta. Näillä yrityksillä on kuitenkin useammin kytkös ulkomaankauppaan kuin muilla yrityksillä. Niissä kansainväliset Euroopan sisäiset ostot painottuvat enemmän palveluihin kuin muissa yrityksissä, mikä voi viitata mahdollisiin arvonlisäveropetoksiin, koska olemattomia palveluja on paljon helpompaa väärentää kuin tavaroita.

Selvityksen kohteena olleiden yritysten aiheuttaman vuosittaisen verovajeen arvioitiin olevan noin 65 miljoonaa euroa, joista 25 miljoonaa euroa on havaittu verotarkastuksissa ja 40 miljoonaa euroa jää niin sanotusti piiloon.

Verrattaessa järjestäytyneeseen rikollisuuteen kytköksissä olevien yritysten liikevaihtoa esimerkiksi Ruotsin vastaavaan voidaan havaita, että se on huomattavasti alhaisempi. Suomessa liikevaihto oli vuonna 2022 kaikkiaan noin 1,5 miljardia euroa, kun taas Ruotsissa se oli 10–15 miljardia euroa.

Merkittävä vaikutus yrityskenttään

Järjestäytyneellä rikollisuudella on moninaiset vaikutukset suomalaiseen yrityskenttään. Yritykset, joilla on kytköksiä järjestäytyneeseen rikollisuuteen, heikentävät markkinoiden luotettavuutta ja aiheuttavat merkittävää taloudellista haittaa yhteiskunnalle, sillä niiden aiheuttama lasku yhteiskunnalle on niiden määrään nähden huomattava.

Nämä yritykset eroavat sen verran paljon muista yrityksistä, että ne voidaan melko hyvin tunnistaa kone­oppimismallilla niiden verotustietojen avulla.

Selvityksessä on todettu, että suomalaisella järjestäytyneellä rikollisuudella on selkeä jalansija suomalaisessa elinkeinoelämässä ja että järjestäytyneen rikollisuuden vastaisessa taistelussa ei voida jättää näitä yrityksiä huomioimatta.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

Tekoälyn hyödyntäminen riskienhallinnassa

Tekoälyn rooli riskienhallinnassa korostuu sen kyvyssä tunnistaa, analysoida ja hallita riskejä reaaliaikaisesti sekä optimoida päätöksentekoa ja resurssien kohdentamista.

Tekoäly on mullistanut tapaa, jolla organisaatiot voivat tunnistaa, analysoida ja hallita riskejä. Tekoälyn avulla voidaan analysoida suuria tietomääriä, tehdä tarkkoja ennusteita sekä reagoida nopeasti muuttuviin tilanteisiin.

Tekoäly tarjoaakin uusia mahdollisuuksia erityisesti riskien ennustamisessa ja tunnistamisessa, sillä se pystyy analysoimaan dataa ja tunnistamaan piileviä riskitekijöitä, jotka eivät ole ilmeisiä perinteisillä menetelmillä.

Poikkeamien havaitsemisessa tekoäly voi tunnistaa epänormaaleja trendejä esimerkiksi talousdatan, tuotantoprosessien tai ihmisten käyttäytymisen perusteella, mikä mahdollistaa nopean reagoinnin.

Reaaliaikainen riskien valvonta ja optimointi

Reaaliaikainen riskien valvonta on yksi tekoälyn merkittävistä eduista. Automaattisen tiedonkeruun ja analyysin avulla organisaatiot voivat seurata esimerkiksi markkinatrendejä, toimitusketjujen tietoja tai kyberturvallisuushälytyksiä ja saada välittömiä varoituksia mahdollisista muutoksista normaaliin toimintaan verrattuna.

Tekoälyn avulla voidaan myös luoda visuaalisia tilannekuvia riskeistä ja niiden mahdollisista vaikutuksista, mikä tukee päätöksentekoa ja auttaa riskienhallinnan kehittämisessä. Lisäksi tekoäly mahdollistaa riskien vaikutusten tarkemman arvioinnin, sillä monimutkaiset skenaariotarkastelut ja simulaatiot tarjoavat syvällistä tietoa riskien mahdollisista vaikutuksista ja todennäköisyyksistä. Tekoälyn avulla voidaan tehdä myös erilaisia kvantitatiivisia analyyseja esimerkiksi kustannuksista, joita riskit voivat aiheuttaa.

Riskienhallinnan optimointi on toinen tekoälyn keskeinen etu. Tekoälyn avulla resurssit voidaan kohdentaa tehokkaammin. Automaattiset päätöksentekojärjestelmät tukevat nopeaa ja tarkkaa toimintaa erityisesti poikkeamatilanteissa.

Riskienhallintaprosessin jatkuva parantaminen

Riskienhallintaprosessin tehostaminen ja riskien priorisointi ovat myös tekoälyn vahvuuksia. Tekoäly voi analysoida laajoja dokumentti- ja raporttimääriä, mikä nopeuttaa päätöksentekoa. Priorisointi auttaa organisaatioita keskittymään olennaisiin uhkiin ja varautumaan niihin paremmin.

Myös ympäristöriskien osalta tekoäly on osoittanut kyvykkyytensä. Ilmastomallinnusten ja sääennusteiden avulla se voi ennustaa esimerkiksi myrskyjä, maanjäristyksiä tai tulvia. Tekoäly auttaa myös arvioimaan, miten erilaiset ympäristöriskit voivat vaikuttaa toimintaympäristöön.

Maineenhallinta on tärkeä osa riskienhallintaa, ja tekoäly voi auttaa suojaamaan organisaation mainetta. Esimerkiksi sosiaalisen median analyysin avulla tekoäly voi seurata keskusteluja ja havaita mahdollisia maineeseen liittyviä riskejä. Sentimenttianalyysin avulla se voi arvioida julkista mielipidettä ja varoittaa organisaatiota negatiivisista trendeistä, jolloin tilanteisiin voidaan reagoida nopeasti.

Petosten ja väärinkäytösten ehkäisyssä tekoäly on myös tehokas työkalu. Se analysoi finanssi- ja liiketoimintadataa havaitakseen epäilyttävää toimintaa ja voi automatisoida tarkastusprosesseja, mikä vähentää inhimillisiä virheitä ja lisää prosessien tehokkuutta. Lisäksi jatkuva tarkastus parantaa organisaation sisäistä valvontaa.

Tukee koulutusta ja oppimista

Tekoäly tukee koulutusta ja oppimista riskienhallinnassa. Esimerkiksi interaktiiviset riskisimulaatiot mahdollistavat harjoittelun. Tekoäly voi analysoida ja tiivistää uusinta tieteellistä tutkimusta sekä parhaita käytäntöjä, jotka tukevat riskienhallinnan jatkuvaa parantamista.

Tekoäly tarjoaakin monia konkreettisia etuja riskienhallinnassa, mutta se ei poista inhimillisen arvioinnin ja päätöksenteon merkitystä. Sen sijaan se toimii tehokkaana työkaluna, joka parantaa riskien tunnistamista, analysointia ja hallintaa.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

Tiedustelu oikeusvaltiossa – kuka vahtii vahteja?

Vuonna 2019 Suomessa tuli voimaan laaja tiedustelulainsäädännön kokonaisuus, joka sisälsi siviilitiedustelua, sotilastiedustelua, tietoliikennetiedustelua siviilitiedustelussa ja tiedustelun valvontaa koskevaa sääntelyä.

Tiedustelulainsäädännön kokonaisuuteen kuului myös olennaisena osana perustuslain yksityisyyden suojaa koskevan 10 §:n muuttaminen. Tämän muutoksen myötä kansallinen turvallisuus lisättiin luottamuksellisen viestin salaisuuden suojan hyväksyttäväksi rajoitusperusteeksi.

Perustuslain perusoikeuspykälän muuttamisen lisäksi vuoden 2019 tiedustelulainsäädännön oikeudellista merkitystä korostaa se, että siinä oli kyse ensimmäisestä varsinaisesta tiedustelulainsäädännöstä suomalaisessa oikeusjärjestelmässä.

Tiedustelulainsäädännön tarpeellisuutta perusteltiin Suomen muuttuneella turvallisuusympäristöllä ja tarpeella kehittää Suomen kykyä vastata kyber- ja hybridiuhkiin. Tiedustelun kehitys länsimaissa onkin kylmän sodan jälkeen kytkeytynyt vahvasti teknologian kehitykseen ja yksittäisiin tapahtumiin, erityisesti 2000-luvun alun terrori-iskuihin Yhdysvalloissa ja Euroopassa. Nämä ei-valtiollisten toimijoiden suorittamat tuhoisat iskut muuttivat käsitystä valtioiden turvallisuusympäristöstä ja turvallisuusympäristön toimijoista.

Kansallisen turvallisuuden uhkiin varautuminen ja niiden torjunta edellyttää usein onnistunutta ennakointia, ja tiedustelu on väline ennakkotiedon keräämiseksi valtion ylimmän johdon ja kansallisesta turvallisuudesta vastaavien viranomaisten päätöksenteon tueksi. Samalla tiedusteluun kuitenkin sisältyy merkittäviä valtiosääntöoikeudellisia kysymyksiä liittyen perus- ja ihmisoikeuksiin ja demokraattiseen vallanjakoon.

Tutkimuksesta

Tiedustelua koskevaa oikeudellista tutkimusta on tehty Suomessa vielä melko vähän, ja tiedustelulainsäädännön säätämisen myötä oikeudellisen tutkimuksen kentälle muodostui huomattava tutkimusaukko. Väitöskirjani ”Tiedustelu oikeusvaltiossa” syntyi osaltaan paikkaamaan tätä tutkimusaukkoa sekä alustamaan myöhempää oikeudellista tiedustelun tutkimusta Suomessa. Väitöskirjani väitöstilaisuus pidettiin 28.11.2024 Vaasan yliopistossa.

Viidestä artikkelista ja yhteenveto-osasta koostuvassa väitöstutkimuksessani oli kaksi päätutkimuskysymystä: millaisia oikeudellisia kriteereitä demokraattisesti ja oikeusvaltiollisesti legitiimi tiedustelu vaatii ja miten Suomen voimassa oleva tiedustelulainsäädäntö turvaa perus- ja ihmisoikeuksien ja oikeusvaltion periaatteiden toteutumisen tiedustelutoiminnassa?

Tutkimuksen perustana on tiedusteluun oikeusvaltiossa sisältyvä keskeinen jännite, joka vallitsee kansallisen turvallisuuden intressistä johdettavan valtion tiedontarpeen ja yksilön perusvapauksien välillä. Taustaoletuksena on toiminut ajatus siitä, että tiedustelun ja oikeusvaltion välillä vallitsee luontainen epäyhteensopivuus, joka on ratkaistava.

Tutkimukseni ensimmäisenä tavoitteena oli kartoittaa oikeudellistunutta tiedustelua ja selvittää, millä kriteerein tiedustelu saadaan yhteensopivaksi demokraattisen oikeusvaltion arvojen ja periaatteiden kanssa. Toisena keskeisenä tavoitteena oli analysoida tiedustelun keskeisiä oikeudellisia käsitteitä.

Tutkimuksen menetelmissä painottuvat lainoppi ja oikeusfilosofinen oikeusvaltiotarkastelu. Tutkimukseen sisältyy myös oikeusvertailua: kohdemaina ovat olleet muut Pohjoismaat ja Saksa sekä pienessä mittakaavassa myös Yhdysvallat.

Tiedustelun demokratisoituminen

Väitöskirjan johtopäätökset painottavat tiedustelun demokratisoitumisen merkitystä tiedustelun ja oikeusvaltion yhteensovittamisessa. Tiedustelun erityispiirteitä ovat salassa toimiminen, läpinäkyvyyden puute sekä vastuullisuuteen ja valvontaan liittyvät erityiset haasteet suhteessa muihin hallinnon osa-alueisiin.

Demokraattisen oikeusvaltion perusarvoihin kuuluvat avoimuus, ennakoitavuus ja vastuullisuus. Ristiriita tiedustelun ja oikeusvaltion välillä on siis ilmeinen. Demokratiassakin on mahdollista hyväksyä tietty määrä salaisuutta hallinnossa, mikäli taustalla on hyväksyttävä peruste. Kysymykseksi nousee tämän sallittavan salaisuuden kynnyksen määrittely.

Tiedustelun hyväksyttävän salaisuuden taustalla on kansallinen turvallisuus. Kansallisen turvallisuuden käsitteen keskiössä on valtion elintärkeiden etujen ja keskeisten arvojen suojaaminen. Kansallinen turvallisuus on juuriltaan poliittinen käsite ja sen poliittinen ulottuvuus on edelleen vahva.

Viimeistään tiedustelulainsäädännön myötä kansalliselle turvallisuudelle syntyi Suomessa myös oikeudellinen ulottuvuus. Tiedustelu vaatii salaisuuden ohella myös turvallisuuden ja vapauden punnintaa. Suomessa tiedustelulainsäädännön säätämiseen sisältyi aiemmin mainittu perustuslain 10 §:n muuttaminen, mikä tarkoitti käytännössä yksityisyyden suojan heikentämistä kansallisen turvallisuuden nojalla.

Suomen tiedustelulainsäädännön synty voidaan yhdistää länsimaiseen tiedustelun demokratisoitumiskehitykseen. Tiedustelun demokratisoitumisessa on kyse tiedustelun yhteensovittamisesta demokraattisen oikeusvaltion kanssa. Demokratisoituminen on monivaiheinen prosessi, jonka päämääränä on tiedustelun demokraattinen kontrolli. Kyse on jatkuvassa liikkeessä olevasta prosessista, jossa myös taantuminen on mahdollista.

Historiallisesti tarkasteltuna tiedustelupalvelut olivat pitkään salassa toimivia salaisia organisaatioita, mutta tiedustelun muuttuminen sääntelyperusteiseksi toiminnoksi – tiedustelun oikeudellistuminen – muuntaa tiedustelun näkyväksi osaksi hallintoa.

Sääntelyn puuttuminen ei Suomessakaan tarkoittanut sitä, että Suomessa ei olisi ollut tiedustelutoimintaa harjoittavia viranomaisia. Oikeusvaltiossa puuttuva tiedustelumenetelmien ja -toimivaltuuksien sääntelyperusta tarkoittaa, että tiedustelutoimintaa voidaan harjoittaa vain hyvin rajatusti, keskittyen muun muassa avoimien lähteiden tiedusteluun. Toinen vaihtoehto olisi täysin salassa tapahtuva perus- ja ihmisoikeuksia rajoittava tiedustelutoiminta, joka ei demokraattisen oikeusvaltion puitteissa olisi hyväksyttävä vaihtoehto.

Sääntelyperusta osoittaa tiedusteluviranomaiset ja niiden tiedusteluvaltuudet sekä niitä valvovat toimielimet. Vapaassa yhteiskunnassa kansalaisten tulee kyetä tietää, mitkä viranomaiset harjoittavat tiedustelutoimintaa ja millaisin valtuuksin. Tiedustelun oikeudellistuminen luo samalla edellytykset turvallisuuden ja vapauden välisen punninnan suorittamiselle ja niiden välisen tasapainon säilyttämiselle sekä tiedustelun tehokkaalle valvonnalle.

Tiedustelun valvonta

Demokratisoitumisen peruspilareihin kuulu tiedustelun oikeudellistumisen ohella tiedustelun itsenäinen ja ulkoinen valvonta. Tiedustelupalveluiden valvonta tulee järjestää tavalla, joka varmistaa tiedustelun lainmukaisuuden, suhteellisuuden ja tarkoituksenmukaisuuden toteutumisen heikentämättä tiedustelutoiminnan tarkoitusta ja tehokkuutta.

Valvonta kytkeytyy läheisesti oikeudellistumiseen, sillä tiedustelun lakiperustan luomiseen kuuluu valvontajärjestelmästä säätäminen. Valvonnan keskeisiä osa-alueita ovat laillisuusvalvonta, parlamentaarinen valvonta ja sisäinen valvonta. Tiedustelun valvontaa voidaan myös luokitella sen ajankohdan perusteella ennakolliseen valvontaan, reaaliaikaiseen valvontaan ja jälkikäteiseen valvontaan. Myös yksilön oikeusturvatakeet kuuluvat laajempaan tiedustelun hallinnan kokonaisuuteen, ja ne ovat tärkeä osa tiedustelun legitimiteettiä oikeusvaltiossa.

Tutkimuksen tuloksista käy ilmi, että hyvä tiedustelun valvontajärjestelmä rakentuu useasta, toisiaan täydentävästä osasta. Asiantuntijavalvontaelimet ovat usein toimintaedellytyksiltään vakaampia ja kykenevämpiä aktiivisempaan valvontaan kuin vaalisykliin sidotut parlamentaariset valvontaelimet. Parlamentaarisilla valvontaelimillä on taas etuna niiden parlamentaarisesta asemasta johdettava suora parlamentaarinen legitimiteetti.

Myös sisäisen valvonnan rooli tiedustelun valvonnassa on tärkeä, vaikka väitöskirjassani keskityinkin ulkoisen valvonnan arviointiin. Tehokas sisäinen valvonta sekä oikeusvaltion ja demokratian näkökulmasta terve tiedustelukulttuuri tiedustelupalveluiden sisällä ovat tärkeitä tiedustelulle ominaisesta salaisuudesta johtuen.

Tehokkainkaan ulkoinen valvonta ei kykene täysin läpäisemään tiedustelun salaisuuden verhoa, joten sitoutuminen oikeusvaltion arvoihin ja periaatteisiin täytyy olla sisäänrakennettua tiedustelupalveluissa vallitsevaan toimintakulttuuriin.

Suomessa tiedustelun ulkoinen valvonta muodostuu tiedusteluvalvontavaltuutetun harjoittamasta laillisuusvalvonnasta sekä eduskunnan tiedusteluvalvontavaliokunnan harjoittamasta parlamentaarisesta valvonnasta. Molemmat valvontaelimet ovat itsenäisiä ulkoisia tiedustelun valvontaelimiä, ja niiden valvontatehtävissä on osittaista päällekkäisyyttä. Suomen tiedustelun valvontajärjestelmän päämääränä on luoda uskottava ja tehokas ulkoisen valvonnan kokonaisuus, jossa valvontaelimet myös kommunikoivat keskenään.

Tiedustelukulttuuri ja -yhteistyö

Onnistunut tiedustelulainsäädäntö, tasapainoinen valvontamandaatti ja laajat resurssit ovat tehokkaan valvonnan edellytyksiä, mutta eivät vielä sen tae. Tiedustelun valvonnassa voidaan puhua valvontakulttuurista, peilaten tiedustelupalvelujen sisäisen tiedustelukulttuurin käsitettä. Terveeseen tiedustelun valvontakulttuuriin kuuluu halukkuus ja kyky – niin toimivaltuuksien kuin riittävän asiantuntemuksen muodossa – valvoa tiedustelutoimintaa sekä valvontaelimien ja tiedustelupalvelujen välillä vallitseva yhteistyökykyinen ilmapiiri.

Tiedustelun valvonta on keskiössä, kun sovitetaan yhteen tiedustelua ja oikeusvaltiota. Demokraattisten valtioiden on säilytettävä kontrolli tiedustelupalveluistaan. Väitöskirjan johtopäätöksissä olen todennut Suomen tiedustelulainsäädännön, valvonta mukaan lukien, olevan eurooppalaisten kriteerien mukainen. Tämä ei tarkoita, etteikö näissä eurooppalaisissa kriteereissä itsessään olisi kehitettävää tai että Suomen tiedustelulainsäädäntö olisi täysin ongelmaton.

Suurimpana kehityskohteena valvonnan osalta voidaan pitää kansainvälisen tiedusteluyhteistyön valvontaa. Kansainvälisen tiedusteluyhteistyön valvonnan erityisen haasteellisuuden takana voidaan tunnistaa olevan tiedonvaihdon luottamusperiaate sekä vielä kehittymättömällä tasolla oleva tiedustelun valvonnan kansainvälinen yhteistyö.

Niinpä kansainvälisen tiedusteluyhteistyön osalta valvonta nojaa edelleen vahvasti ilmiantajiin (whistleblower) tiedusteluyhteisön sisältä sekä median ja kansalaisjärjestöjen suorittamaan valvontaan. Tätä tilannetta ei voi pitää oikeusvaltion kannalta hyväksyttävänä.

Yhteensovittaminen on tasapainoilua

Tutkimukseni tuloksissa korostuu turvallisuuden ja vapauden välinen jännitteinen, mutta myös toisiaan täydentävä suhde. Turvallisuus ja vapaus ovat erillisiä arvoja, mutta demokraattisessa oikeusvaltiossa turvallisuuden suojaamisintresseihin tulee kuulua oikeusvaltion arvot ja periaatteet, perus- ja ihmisoikeuksista alkaen.

Niinpä turvallisuuden ja vapauden välinen suhde ei ole nollasummapeli, mutta turvallisuuden ja vapauden on oltava tasapainossa ja tätä tasapainoa on aktiivisesti pidettävä yllä. Akuutit turvallisuusintressit saattavat johtaa painottamaan subjektiivisen turvallisuuden kokemuksia ja järkyttää tätä tasapainoa. Tällainen kehityskulku voitiin havaita esimerkiksi Yhdysvalloissa 9/11 -terrori-iskujen jälkeen ja niitä seuranneissa lainsäädäntötoimenpiteissä, joihin sisältyi lukuisia yksityisyyden suojan kannalta ongelmallisia osa-alueita.

Turvallisuuden voimistaminen, joka saavutetaan oikeusvaltiota murentaen, ei ole tavoittelemisen arvoista. Tämä ei tarkoita, etteikö esimerkiksi kansallisen turvallisuuden työkaluja tule kehittää vastaamaan alati kehittyvää turvallisuusympäristöä. Jaottelu, jossa turvallisuus on kovaa realismia ja perus- ja ihmisoikeudet pehmeää idealismia, on fiktiivinen ja oikeusvaltion kannalta vaarallinen. Turvallisuutta kehitettäessä on pidettävä mielessä, mitä ollaan turvaamassa.

Tutkimustuloksien valossa tiedustelun yhteensovittaminen oikeusvaltion kanssa perustuu turvallisuuden ja vapauden välisen suhteen oikeanlaiseen hahmottamiseen, tiedustelun demokratisoitumisen pitkälle toteutuneeseen tasoon ja sen ylläpitämiseen, kansallisen turvallisuuden käsitteen oikeudellisen ulottuvuuden mahdollisimman täsmälliseen määrittelyyn sekä kattavaan tiedustelun valvontaan.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 1/2025.

Tilaa lehti! 

Positiivinen luottotietorekisteri – työkalu riskienhallintaan

Laki positiivisesta luottotietorekisteristä (739/2022) tuli voimaan 1.8.2022. Sen perusteella rakennettiin luottotietorekisteri, josta hyötyvät myös yksityishenkilöt.

Positiivinen luottotietorekisteri on rekisteri, johon on koottu tiedot yksityishenkilöiden luotoista ja tuloista. Se otettiin käyttöön 1.4.2024. Rekisteri antaa luoton­antajille paremmat mahdollisuudet arvioida luotonhakijoiden maksukykyä, viranomaisille uusia keinoja seurata ja valvoa rahoitusmarkkinoita sekä yksityishenkilöille kokonaiskuvan omista luotoistaan, kuten asuntolainoista, autolainoista ja kulutusluotoista.

Positiivisen luottotietorekisterin käyttöönottoon kuuluu myös toinen vaihe, sillä 1.12.2025 alkaen luotonantajat alkavat ilmoittaa muille yksityishenkilöille kuin kuluttajille myönnettyjä luottoja. Käytännössä tämä tarkoittaa, että rekisteriin tullaan jatkossa sisällyttämään myös kaikki yksityiseen elinkeinotoimintaan liittyvät luotot.

Rekisteristä hyötyvät myös yksityishenkilöt

Kävin haastattelemassa Hypon riskienhallintajohtajaa Elli Reunasta positiiviseen luottotietorekisteriin liittyen. Reunanen kokee, että rekisteri on nimensä mukaisesti positiivinen asia, sillä nyt luotonantajat voivat varmentaa yksityis­henkilöasiakkaan taloudellista asemaa luotettavasta lähteestä.

”Positiivisen luottotietorekisterin eli ammattislangilla POREn myötä saimme käyttöömme merkittävän työkalun, joka ei ainoastaan tue pankkia riskienhallinnassa, vaan myös auttaa asiakasta hallitsemaan omia taloudellisia riskejään”, toteaa Reunanen.

Reunanen muistuttaa, että kaikki asiakkaat eivät välttämättä hahmota tai avaa taloutensa kokonaistilannetta, kun hakevat lainaa. Rekisteri auttaakin sekä luotonantajaa että asiakasta, sillä nyt yksityishenkilöt voivat tarkastaa omien luottosopimuksiin perustuvien vastuidensa määrän verottajan sivuilta löytyvässä palvelussa.

”Monet kuluttajat ymmärtävät asuntolainan olevan velkaa, mutta luottokorttien ja kulutusluottojen kuukausittaiset maksut eivät aina tunnu samanlaiselta velvoitteelta. Nyt kuluttajallekin on tarjolla mobiili- ja verkkopankkien työkalujen rinnalla laajempi vastuiden rekisteri, joka tukee taloudellisten päätösten tekemisessä”, toteaa Reunanen.

Luotonantajille ja viranomaisille arvokas työkalu

”Päivittäinen työni koostuu pankin ja sen asiakkaiden riskien arvioinnista. On selvää, että asiakkaiden kyvyllä hallita omaa talouttaan on suora vaikutus myös pankin riskeihin”, muistuttaa Reunanen.

Reunanen tietää kertoa, että positiivisen luottotietorekisterin luomisprosessi oli pitkä ja vaativa. Hän huomauttaa, että Hypo esitti positiivisen luottotietorekisterin luomista jo 20 vuotta sitten, mutta suomalainen pankkisektori ei ollut vielä tuolloin valmis uudistukseen. Myös esimerkiksi rahoitusvakautta valvovat viranomaiset ovat jo vuosien ajan nähneet positiivisen luottotietorekisterin tehokkaana välineenä kotitalouksien velkaantumisen hillitsemisessä.

Rekisteriin on kuitenkin myös liittynyt huolia jo sen perustamisvaiheesta lähtien, muun muassa tietosuojaan, kattavuuteen ja kustannustehokkuuteen liittyen. ”Vaikka rekisteri ei olekaan täydellinen, se merkitsee merkittävää parannusta vastuullisen luotonannon toteuttamisessa”, huomauttaa Reunanen.

”Positiivinen luottotietorekisteri ei ainoastaan toimi keinona ehkäistä ylivelkaantumista, vaan myös edistää yleistä taloudellista ymmärrystä ja taloudenhallintaa, mikä on hyödyksi kaikille osapuolille”, toteaa Reunanen lopuksi.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

Sähköautojen kyberturvallisuudesta huolehtiminen on tätä päivää – hävittäjissä on autoja vähemmän ohjelmistokoodeja

Sähköautoihin kohdistuvat kyberhyökkäykset ovat todellisuutta niin Euroopassa kuin Suomessakin.

Sähköautoihin kohdistuvat kyberhyökkäykset ovat todellisuutta niin Euroopassa kuin Suomessakin. Työsuhdeautoilla ajavien tulee olla erityisen tarkkoja siitä, mitä sovelluksia ja salasanoja he syöttävät auton datajärjestelmään. Uudessa EU:n turvallisuusasetuksessa edellytetään, että kyberturvallisuus on otettu huomioon myös kaikissa uusissa autoissa.

Sähköautoihin liittyvä kyber­turvallisuus tiedostetaan Check Point Software Technologies -tietoturvayhtiön tietoturva-asiantuntija Jarno Ahlströmin mukaan jo melko hyvin, ja se on ollut viime aikoina paljon esillä myös julkisuudessa. Uusien autojen ja varsinkin sähköautojen tekniikka kehittyy vauhdilla. Uusi teknologia lisää myös tietoturvallisuusriskejä.

”Pitää muistaa, että auto on tietokone. Tavallisessa autossa on pitkälti toistasataa elektronista hallintapiiriä ja pari sataa miljoonaa riviä ohjelmistokoodia. F-35 hävittäjässä on ohjelmistokoodia yli neljä kertaa vähemmän. Esimerkiksi kaasupolkimen painallus ei aiheuta nykyään vaijerin vetämistä, vaan kiihdytys toimii auton tietojärjestelmän kautta”, Ahlström kertoo.

Autojen kyberturvallisuuteen liittyvät ongelmat eivät ole vain teoreettisia, vaan ne tulevat Ahlströmin mielestä toteutumaan sataprosenttisesti. Auton turvallisuussuojaus on yhtä tärkeää kuin kodin ja työpaikan tietokoneidenkin.

EU:n heinäkuussa voimaan tullut uusi turvallisuusasetus kattaa myös sähköautojen kyberturvallisuus­huomiot. Uusissa, EU:n alueella käyttöön otettavissa autoissa ja järjestelmissä tulee olla esimerkiksi taustajärjestelmien suojaus ja hyökkäyksien tunnistus. ”Regulaatiossa kyberturvallisuus on nyt hyvällä mallilla, mutta käytännön toteutuksiin menee vielä aikaa”, Ahlström toteaa.

Haavoittuvuus on suurin kyberturvallisuuden riskitekijä

Sähköautojen kyberturvallisuuteen liitetään usein kolme pääriskiä eli signaalisieppaus, haavoittuvuus ja lataamisen riskit. Signaalisieppaukset ovat yhdistyneet jo esimerkiksi avaimettoman käynnistyksen avaimiin, koska avaimen signaali on ollut helppo kaapata. Ahlström kertoo, että autonvalmistajat ovat korjanneet ongelmaa muun muassa sillä, että paikallaan ollessa avain ei lähetä signaalia. ”Autonavain kannattaa siis pitää kotona vaikka pöydällä eikä taskussa, ettei se liiku”, Ahlström vinkkaa.

Jos auton tietojärjestelmään pääsee haittaohjelma, voi sillä pahimmillaan ottaa auton ohjauksen käyttöön. Ahlström selventää, ettei toistaiseksi ole havaittu sähköautoihin erikseen suunnattua haittaohjelmaa. Kyberrikolliset kehittävät järjestelmällisesti haitta­ohjelmia, joten on vain ajan kysymys, milloin sellainen havaitaan.

Haavoittuvuudet voivat olla fyysisiä tai ohjelmistovirheistä johtuvia. Fyysistä haavoittuvuutta edusti tapaus, jossa etuvalon kautta pääsi käsiksi auton sähköjärjestelmään ja ohjelmointiin.

Kyberriskejä liittyy myös lataukseen. Ahlström toteaa latausasemienkin olevan tietokoneita, jotka ovat yhteydessä internetiin. Ne välittävät ainakin laskutukseen liittyviä tietoja lataajasta keskusjärjestelmään. Energiayhtiöt ovat kuitenkin suojanneet omat väylänsä, joten riski ei ole kovin suuri. Tästä huolimatta on parasta ladata luotettavilla latausasemilla. Maailmalta on jo esimerkkejä, joissa latausaseman langaton yhteys on avannut pääsyn auton käyttäjän profiiliin.

”Haavoittuvuus on suurin uhkatekijä. Sähköautojen valmistajat ovat tietoisia riskeistä, ja heiltä tulee elektronisia takaisinkutsuja ja ohjelmapäivityksiä, joissa haavoittuvuuksia korjataan. Aina, kun autoihin kehitetään jotain uusia ominaisuuksia, on haavoittuvuusriski myös olemassa. Valmistajien pitää olla hereillä ja huolehtia, että päivitykset tulevat ajallaan ja riittävän laajasti”, Ahlström tiivistää.

Autokannan suojaus on osa yrityksen tietoturvallisuutta

Työsuhdeautoissa kyberturvallisuusriskeiltä suojautuminen on osa yrityksen tietoturvallisuutta. Paras lääke on pitää yllä yrityksessä yleistä tietoturvallisuusajattelua, joka kattaa myös autot.

Myös Drivalia Lease Finlandin Commercial  Director Vesa Kalske ko­rostaa, että työsuhdeautoilijoiden tulee muistaa tehdä ohjelmistopäivitykset ja maahantuojien takaisinkutsut ajoissa. ”Drivalia neuvoo asiakkaitaan mahdollisissa merkkikohtaisissa kysymyksissä yhdessä laajan maahantuoja- ja autoliikekumppaniverkostonsa kanssa”, Kalske toteaa.

”Kun ei tee tyhmiä asioita, niin ei joudu ongelmiin. Työsuhdeautoilijoiden ja yritysten tulee kiinnittää huomio siihen, millaisia digitaalisia palveluja ja sovelluksia autoissa käytetään ja millä tunnuksilla. Vaikka autoilija voi tehdä itse aika vähän, on omalla toiminnalla merkitystä”, Ahlström sanoo.

Hän ennakoi, että hyvinkin nopealla aikataululla on mahdollista liittää sähkö­posti auton tietojärjestelmän näytölle. Tällöin salasanojen kanssa tulee olla erityisen tarkkana, eikä samoja salasanoja saa käyttää. ”Varsinkin työpaikan sähköpostin käyttäminen auton tietokoneen näytöltä vaatii yrityksessä uutta keskustelua turvallisuuspolitiikasta”, sanoo Ahlström.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

Tietoturvakatsauksen antia Ritarihuoneelta 

Tietoturva ry järjesti viidennen Tietoturvakatsaus-seminaarin Finnish Security Awards -gaalaillan yhteydessä Helsingin Ritarihuoneella 14.11.2024. 

Tietoturva ry järjesti viidennen Tietoturvakatsaus-seminaarin Finnish Security Awards -gaalaillan yhteydessä Helsingin Ritarihuoneella 14.11.2024. Tapahtumassa käsiteltiin ajankohtaisia kyberturvallisuuden ja geopolitiikan aiheita, ja mukana oli useita asiantuntijoita eri organisaatioista.

Kansanedustaja Jarno Limnéll korosti Suomen aktiivista roolia kyberturvallisuuden kehittämisessä, erityisesti kvanttisalauksen ja kyberpuolustuksen alueilla. Hän mainitsi myös, että Suomen hallitus valmistelee ensimmäistä kyberpuolustuksen doktriinia. Suomi on valmis puolustamaan itseään kyberuhkia vastaan ja vaikuttamaan tarvittaessa. Tämä korostaa myös yksilön vastuuta kansallisessa turvallisuudessa ja kyberympäristössä.

Yhdysvaltojen presidentinvaalien tuloksella voi olla vaikutuksia geopolitiikkaan ja kyberpolitiikkaan. Suomen linja on kuitenkin se, että Suomi tulee toimeen Yhdysvaltojen hallinnon kanssa riippumatta siitä, kuka on presidentti.

Limnéll muistutti myös, että turvallisuus on kokonaisuus, joka sisältää sekä teknisiä että inhimillisiä ulottuvuuksia. Teknologinen kehitys, yhteisöllisyys ja henkinen hyvinvointi ovat avainasemassa muuttuvaan maailmaan sopeuduttaessa.

SFS:n johtava asiantuntija Janne Kalli puhui tietoturvallisuuden ja riskienhallinnan standardoinnista sekä niiden hyödyntämisestä organisaatioiden toiminnan kehittämisessä ja lainsäädännön vaatimusten täyttämisessä. Hän mainitsi kansainväliset standardit, kuten ISO 27001 ja ISO 22301, jotka tarjoavat selkeät ohjeet, joiden avulla organisaatiot voivat täyttää lainsäädännön vaatimuksia ja parantaa tietoturvallisuustoimintaa systemaattisesti.

Riskienhallinnan periaatteet, kuten ISO 31000 -standardi korostaa, että riskienhallinta ei ole pelkästään haitallisten tapahtumien estämistä, vaan myös organisaation arvon luomista ja säilyttämistä. Riskienhallinta onkin keskeinen elementti organisaation toiminnan kehittämisessä ja jatkuvuuden varmistamisessa.

SOC-ratkaisut ja pilvipalveluiden tietoturvallisuus

Antti Lehtonen, Senior Manager Palo Alto Networks, toi esille nykyisten SOC-ratkaisujen haasteet, kuten tiedon siiloutumisen ja sirpaleisen datan. Hän korosti automaation ja tekoälyn merkitystä kyberuhkien tunnistamisessa ja reagoinnissa, mikä vähentää ihmisten työkuormaa ja parantaa turvallisuuden hallintaa.

SOC-toimintaa pitäisi muuttaa niin, että dataa kerätään yhteen paikkaan ja sitä analysoidaan automaattisesti tekoälyn avulla. Automaation avulla olisi mahdollista yhdistää hälytykset ja rajata ne niihin, jotka ovat todella merkityksellisiä.

Muutos vaatisi strategista pohdintaa ja organisaatiotason investointeja. Ilman tietoista päätöstä siirtyä kohti modernia ja automaattista kyberturvaratkaisua, organisaatiot jäävät jälkeen jatkuvasti kehittyvässä uhkakentässä.

Oraclen teknologiajohtaja Jaripetri Kalske puhui pilvipalveluiden turvallisuudesta. Hän korosti infrastruktuurin eriyttämistä, monivaiheista tunnistautumista ja jatkuvaa valvontaa, jotka ovat keskeisiä pilvipalveluiden turvallisuuden varmistamisessa.

Pilvi itsessään ei ole mitään maagista, vaan yksinkertaisesti vain ulkoistettu datakeskus, jossa peruslaitteet ja palvelimet sijaitsevat. Tärkeimpänä turvallisuusnäkökulmana on infrastruktuurin eriyttäminen asiakaskoodista ja palvelimista. Arkkitehtuuri tulisi olla sellainen, jossa koodi ei koskaan ole asiakaslaitteissa ja asiakas voi käyttää täysin puhtaita palvelimia.

Pilvipalveluiden turvallisuus ei ole vain yksittäisten laitteiden tai ohjelmistojen varassa, vaan se on kokonaisvaltaista ja perustuu eristämiseen, automaatioon ja jatkuvaan valvontaan.

Tekoälystä ja luottamuksen merkityksestä

Laurent Strauss, Cyber Security Strategist OpenText, puhui tekoälyn sääntelystä ja automaation merkityksestä. Hän mainitsi EU:n sääntelyn, kuten Cyber Resilience Act ja Digital Operational Resilience Act, jotka parantavat digitaalisten järjestelmien resilienssiä ja varmistavat toimitusketjujen sekä infrastruktuurien turvallisuuden.

Strauss muistutti, että valtaosa tietoturvaloukkauksista (95 %) johtuu inhimillisistä virheistä. Näitä virheitä voidaan vähentää koulutuksen, automaation ja tekoälyn avulla. Tekoälyyn liittyvät investoinnit kyberturvallisuuden alalla ovat kasvussa, ja niiden odotetaan ylittävän 135 miljardia dollaria vuoteen 2030 mennessä. Tämä voi tarkoittaa yhä älykkäämpiä ratkaisuja, mutta myös entistä monimutkaisempia kyberuhkia.

Jimmy Ek, Nordic Sales Manager Axis Communications, korosti luottamuksen merkitystä kyberturvallisuudessa. Hän mainitsi, että he investoivat paljon tutkimukseen ja kehitykseen, koska heidän tuotteensa, kuten kameravalvontajärjestelmät, ovat kriittisiä järjestelmiä, joiden kyberturvallisuus on äärimmäisen tärkeää.

Nykyään kameravalvontajärjestelmät eivät enää pelkästään kerro, mitä on tapahtunut, vaan ne toimivat älykkäinä hälytysjärjestelminä. Erilaiset kamerat ja tutkat voivat korvata perinteiset hälytysjärjestelmät tulevaisuudessa. Nykyisin käytetään myös monenlaista analytiikkaa, esimerkiksi kaupunkivalvonnassa kamerat voivat havaita ääniä, kuten laukauksia tai huutoja.

Kehitystä ja kasvua keskellä Ukrainan sotaa

Anzhela Stankevice, Channel Manager, ja Michael Hygild, Sales Director Nordics, Ajax Systemsiltä kertoivat yrityksensä kehityksestä ja kasvusta Ukrainassa. He kertoivat, että Ukrainan sodan alkaessa yritys keskittyi työntekijöiden turvallisuuteen, yrityksen suojaamiseen ja markkinoille viestimiseen.

Ajax Systems siirsi tuotantonsa nopeasti uuteen tehtaaseen ja keskittyi myös humanitaariseen apuun, kuten ilmaiskujen varoitusjärjestelmän kehittämiseen. Kyseinen sovellus, joka toimii hälytysjärjestelmänä ilmaiskujen varalta, otettiin käyttöön koko Ukrainassa. Sitä on ladattu kymmeniä miljoonia kertaa, ja sen arvioidaan pelastaneen lukemattomia ihmishenkiä.

Näyttelijä Mark Hamill (Star Wars, Luke Skywalker) lainasi ääntään sovellukselle, joka varoittaa englanninkielisiä käyttäjiä pommitusten uhasta. Tämä on hyvä esimerkki ukrainalaisesta huumorista ja ironian kulttuurista, joka näkyy jopa vaikeina aikoina.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

Turvallisuusjärjestelmien tarjouspyyntöjen ja suunnitelmien laadussa on edelleen parannettavaa

Turvalaitehankinnoissa laadukas suunnittelu ja asiakastarpeiden oikea määrittely ovat ratkaisevan tärkeitä onnistuneelle hankinnalle. Valitettavasti hankintojen kilpailuttamisessa kehitys ei ole ollut yhtä nopeaa kuin teknologiassa.

Turvaurakoitsijalle on taloudellisesti tehotonta ja turhauttavaa, että useissa urakkalaskennoissa jokainen tarjoaja laskee erikseen suunnitelmien pohjakuvista tarjottavien laitteiden määriä. Tämä voitaisiin välttää siten, että tarjouspyynnön lähettäjä ajaa laitteiden määrät suunnitteluohjelmalla ennen tarjouspyynnön lähettämistä ja lisää nämä tiedot massalistoina osaksi tarjouspyyntöä. On myös tarjouspyynnön tekijän etu, että tämä saa tarjoukset samoilla massoilla, jolloin tarjoukset ovat helpommin vertailtavissa.

Suurin osa julkisista tarjouspyynnöistä täytetään portaaleissa, mutta edelleenkin näkee turvasuunnittelijoiden lähettämiä, käsin täytettäviä lomakkeita. Turvaurakoitsijat toivovatkin pikaista siirtymistä Excel-taulukoihin käsin täytettävien lomakkeiden sijaan.

Tarjouksia ei sentään enää tarvitse toimittaa kirjekuoressa kilpailuttajalle. Tarjouspyynnöissä voi esiintyä monenlaisia epäkohtia, jotka vaikuttavat hankintaprosessin onnistumiseen. Alla on esitetty yleisimpiä epäkohtia sekä ratkaisuja niihin.

Epäselvät vaatimukset

Jos tarjouspyynnössä ei ole selkeästi määritelty tarvittavia tuotteita tai palveluita, tarjoajat voivat tehdä erilaisia tulkintoja, mikä vaikeuttaa tarjousten vertailua. Lähes poikkeuksetta tarjouspyynnöissä on ristiriitaisuuksia laitevaatimuksissa tai urakkarajoista löytyy selkeitä virheitä.

Usein julkisissa hankinnoissa tarjoajien kysymyksiin vastataan kootusti, mikä monesti tarkoittaa sitä, että tarjouksen laskeminen voidaan aloittaa vasta, kun kaikkiin esitettyihin kysymyksiin on saatu vastaukset. Tämä puolestaan johtaa usein siihen, että tarjousten jättämisessä tulee kiire.

Kilpailutuksia myös keskeytetään virheellisten tarjouspyyntöjen takia. Vaikka lähtökohtana on tarjouspyyntöjen ja tarjousten lopullisuus, tarjousajan voimassa ollessa tarjouspyyntöihin voidaan kuitenkin tehdä pieniä korjauksia. Myös tarjousten täsmentäminen ja täydentäminen on sallittua, jos kysymys on epäolennaisesta virheestä.

Teknisten määrittelyjen virheet

Teknisissä määrittelyissä voi esiintyä vaatimuksia, jotka perustuvat vanhentuneeseen tekniikkaan. Pyydetään esimerkiksi HD-tason kameroita, vaikka nykyinen alaraja kameraresoluutiolle on Full HD. Usein näkee asiakkaiden tai turvallisuuskonsulttien myös asettavan epärealistisia vaatimuksia yhdistelemällä usean eri laitteen ominaisuuksia. Saatetaan esimerkiksi pyytää laajakulmakameraa, jossa on 360 asteen säädettävä linssi.

Teknisten vaatimusten määrittely on monimutkaista ja vaatii pienten nyanssien tuntemusta. Tekniikka kehittyy jatkuvasti, ja suunnittelijoiden tulisi päivittää sähköselostuksiaan vastaamaan nykyisiä tekniikkavaatimuksia sen sijaan, että käyttävät vuosien takaisia mallipohjia.

Liian tiukat ehdot

Tarjouspyyntöjen liian rajoittavat ehdot voivat estää potentiaalisia tarjoajia osallistumasta kilpailutukseen, mikä vähentää kilpailua ja mahdollisesti myös nostaa hintoja. Esimerkiksi valtionhallinnon tarjouspyynnöissä matkakulut määritellään usein valtion matkustussääntöjen mukaan, mikä ei vastaa esimerkiksi yksityisten toimittajien huoltoautojen kuluja ja on siksi kohtuuton vaatimus. Valtion matkustussääntöjä ei tule soveltaa yksityisten toimittajien ehtoina, vaan tulisi käyttää vapaata matkakuluhinnoittelua osana kilpailutuksia.

Kilpailutuksissa pääkaupunkiseudulla tehtävistä matkoista ei usein saa veloittaa mitään. Nämä matkat ovat nykyisin kuitenkin usein varsin aikaa vieviä ja aiheuttavat merkittäviä kustannuksia, kuten pysäköintimaksuja. Siksi pitäisi sallia vapaa matkakuluhinnoittelu, jotta toimittajat eivät joutuisi sisällyttämään matkakuluja tuote- tai asennushintoihin.

Hinnoittelu

Pitkäaikaisissa, esimerkiksi nelivuotisissa, sopimuksissa maksimissaan 10 prosentin hinnankorotus ei ole kohtuullinen, sillä se ei vastaa nykyisiä todellisia vuosittaisia hinnankorotuksia. Hinnankorotukset tulisi sitoa todellisiin laitevalmistajan hinnanmuutoksiin, jolloin toimittajan hankintahinnan muutokset voidaan todentaa ja siirtää sellaisenaan sopimushintoihin.

Jos tarjouspyyntö keskittyy liikaa hintaan laadun kustannuksella, voi lopputuloksena olla heikkolaatuisia tuotteita tai palveluita. Hankintalain vaatimukset johtavat usein siihen, että kilpailutuksessa saadaan huonompia tuotteita kuin mitä asiakas todellisuudessa haluaisi. Siksi hankinnoissa tulisi huomioida muutkin tekijät kuin pelkkä hinta.

Aikatauluongelmat

Liian tiukat aikataulut voivat johtaa siihen, että tarjoajat eivät ehdi valmistella laadukkaita tarjouksia, mikä voi vaikuttaa hankinnan lopputulokseen. Tällä hetkellä on useita yhtäaikaisia kulunvalvonnan päivitysprojekteja, koska usean kulunvalvontajärjestelmän tuki on päättymässä. Käytännössä tämä tarkoittaa sitä, että toimittaja ei voi tehdä tarjousta, koska toteutusaika on liian tiukka. Asiakkaiden tulisikin osata ennakoida nykyistä paremmin järjestelmäuusinnat PTS-suunnitelmissaan.

Luvanvaraiset työt

Tarjouspyynnöissä tulee huomioida vaatimukset, jotka laki edellyttää toimittajilta. Turvallisuusalan elinkeinolupa vaaditaan kaikilta, jotka asentavat, huoltavat tai muuttavat kulunvalvonta-, murtoilmaisu- tai lukitusjärjestelmiä. Edelleen kuitenkin näkee tarjouspyyntöjä, joissa elinkeinolupaa ei ole vaadittu. Voimassa olevien turvallisuusalan elinkeinolupien luetteloa ylläpidetään poliisi.fi-sivustolla.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

Sammutinhuoltoliikkeen vastuuhenkilö Anssi Halonen

Ammattina turvallisuus -sarjassa esittelyssä EST Paloturvan Anssi Halonen.

Olen 39-vuotias mikkeliläinen ja työskentelen EST Paloturvassa sammutin­huoltoliikkeen vastuuhenkilönä. Työtehtävät kattavat sammuttimien ja palopostien tarkastukset sekä väestönsuojiin liittyvät tehtävät. Lisäksi pidän erilaisia koulutuksia ja harjoituksia.

Olen toiminut aiemmin rakennusalalla parikymmentä vuotta. Olen ollut mukana myös VPK-toiminnassa pitkään. Rakennusalan työkokemus on antanut hyvän pohjan teknisiin asioihin, kuten mekaniikkaan, korjaamiseen ja määräysten tuntemukseen. Paloturvallisuus­puolella olen toiminut kouluttajana Maan­puolustuskoulutusyhdistyksessä, jossa olen kouluttanut muun muassa väestönsuojan ja -suojelun alueilla.

Turvallisuus on ollut itselleni lähellä sydäntä jo pitkään, ja olen päässyt näkemään sen toteutumista sekä kotimaassa että ulkomailla. Olen ollut mukana myös kriisinhallintatehtävissä, mikä on antanut laajan näkemyksen turvallisuuden kentästä.

Työni on tällä hetkellä vaihtelevaa ja mielenkiintoista. Se on vapaata siinä mielessä, että liikun paljon asiakkaiden luona ja tapaan heitä päivittäin. Se, että voin auttaa asiakkaita ratkaisemaan heidän ongelmansa, on työni parasta antia. On palkitsevaa varmistaa, että paloturvallisuusasiat ovat kunnossa, kuten sammutin on oikeassa paikassa, kunnossa ja sopiva sen käyttötarkoitukseen.

Väestönsuojien puolella on näkynyt muutoksia, kun Ukrainan sota alkoi. Taloyhtiöt ovat heränneet huomaamaan, etteivät väestönsuojat ole hyvässä kunnossa. Korjauskuormaa on siis paljon, ja vaikka osa suojista on erittäin hyvässä kunnossa, osa taas on huonossa kunnossa. On väestönsuojia, jotka on rakennettu 1960-luvulla ja ovat lähes priimakunnossa, mutta on myös väestönsuojia, jotka ovat valmistuneet vasta muutama vuosi sitten ja ovat jo huonossa kunnossa. Korjausvelkaa on siis laidasta laitaan. Väestönsuojien käyttöön liittyvää koulutusta on myös järjestetty.

Suosittelen paloturvallisuuspuolen tehtäviä myös muille, koska ne ovat monella tavalla palkitsevia. Alalle tulee aina uusia sääntöjä, määräyksiä ja tuotteita, kuten sammutinpuolella erityisesti PFAS-vapaat tuotteet ovat nyt ajankohtaisia. Myös palovaroittimien uusimiset ja huollot taloyhtiöissä ovat näkyneet syksyn aikana, kun lainsäädäntöä uudistettiin. Tämän takia alalla on tärkeää pysyä ajan hermolla ja varmistaa, että kaikki on asiakkailla kunnossa. Tämä työ on tärkeä osa siten myös kokonaisturvallisuutta, ja sen merkitys on korostunut.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

Kokonaisturvallisuusmessuja tarvitaan nyt ja tulevaisuudessa

Messujen päätarkoitus on saada kansalaiset ymmärtämään, mitä kokonaisturvallisuus tarkoittaa ja mistä se muodostuu. 

Teollisuusneuvos Erkko Kajander on tehnyt monipuolisen uran teollisuuden eri johtotehtävissä. Hän on ollut aktiivisesti myös mukana vuosi­kymmenet erilaisissa luottamustehtävissä, kuten maanpuolustusjärjestöissä.

Tänäkin päivänä Kajander on mukana useissa eri järjestöissä ja hankkeissa, jotka liittyvät kokonaisturvallisuuteen. Hän kertoo, että hänen pääharrastuksenaan on ollut kokonaisturvallisuus ja erityisesti kokonaismaanpuolustuksen edistäminen.

Kajander kertoo, että Joensuussa 4.– 5.10.2024 järjestetyt kokonais­turvallisuusmessut olivat vuorossaan kymmenennet. Ensimmäiset messut järjestettiin vuonna 1992 Helsingin jäähallissa. Silloin ne järjestettiin nimellä maanpuolustusmessut. Niiden priimus­moottorina toimi entinen pääesikunnan päällikkö, kenraaliluutnantti Ermei Kanninen. Kajander oli tuolloin mukana Maanpuolustuskiltojen liiton hallituksessa.

Kajander muistelee, että kun messut oli pidetty ja purkutilaisuus järjestettiin, totesi Kanninen: ”Älkää sitten unohtako näitä messuja.” Hänen ajatuksenaan oli, että messuja järjestettäisiin jatkossakin.

Seuraavat messut päätettiin järjestää Helsingin Messukeskuksessa vuonna 1997. ”Silloinen Maanpuolustuskiltojen liiton puheenjohtaja Pentti Kivinen, joka toimi myös Suomen Messujen toimitusjohtajana, ei kuitenkaan voinut ottaa vetovastuuta tilaisuudesta, koska messut pidettiin hänen omassa toimipaikassaan. Niinpä, kun messuja alettiin valmistella vuosina 1994–1995, minusta tuli järjestelytoimikunnan puheenjohtaja. Siitä lähtien olen johtanut näitä messuja”, toteaa Kajander.

”Vuoden 1997 messut olivat myös sillä tavalla merkityksellinen tapahtuma, että meillä oli tärkeitä vieraita paikalla. Saman pöydän äärellä istuivat puolustusministeri Anneli Taina, kauppaneuvos Pentti Kivinen, kenraali Adolf Ehrnrooth, tasavallan presidentti Martti Ahtisaari ja amiraali Jan Klenberg. Olin arvovaltaisen joukon isäntä”, lisää Kajander.

Messuja eri paikkakunnilla

Helsingin lisäksi kokonaisturvallisuusmessuja on järjestetty Jyväskylässä, Tampereella, Lahdessa ja nyt ensimmäistä kertaa Joensuussa. Kajander toteaa, että tämä on merkittävä askel, sillä aikaisemmin kokonaisturvallisuusmessuja ei ole järjestetty Itä-Suomessa.

”Messuja on yleensä pidetty 2–3 vuoden välein, ja jos resursseja olisi riittävästi, kahden vuoden väli olisi hyvä. Kolme vuotta on hieman pitkä aika, mutta tällaisessa mittakaavassa se on toisaalta ymmärrettävää”, huomauttaa Kajander.

Kajander haluaa muistuttaa, että jo ensimmäisillä messuilla vuonna 1992 oli mukana muutakin kuin vain Puolustusvoimat ja viranomaisia. Messut ovat vuosikymmenten aikana kasvaneet ja monipuolistuneet huomattavasti. Näytteilleasettajien määrä ja kirjo on laajentunut, ja messuilla on paljon muutakin kuin pelkästään viranomaisten edustusta.

Messujen tarkoitus oli alusta alkaen tukea laajaa kokonaismaanpuolustusta ja sitten kokonaisturvallisuutta. Vuosikymmenten aikana messut ovat kehittyneet samoin kuin Suomen kokonaisturvallisuusajattelu.

Messujen teemat ovat seuranneet Suomen turvallisuuskäsityksen kehittymistä. ”Tämän vuoden messutapahtumassa järjestettiin torstaina 3.10. seminaari, jonka aiheena oli ”Suomen kokonaisturvallisuus – kriisinkestävä yhteiskunta”. Ensimmäisen puheenvuoron otsake oli ”Totaalisesta sodasta kokonaisturvallisuuteen”. Tämä kuvastaa hyvin kehitystä, joka on tapahtunut Suomessa viime vuosikymmeninä”,
kertoo Kajander.

Tänä vuonna messujen otsikko oli ”Kokonaisturvallisuus 2024 ja osaaminen”. ”Tämä oli ensimmäinen kerta, kun osaaminen tuotiin esille näin vahvasti, ja siinä oli kaksi ulottuvuutta”, mainitsee Kajander.

Osaaminen voidaan ymmärtää sekä akateemisena koulutuksena että käytännön osaamisena kokonaisturvallisuuden alueella. Itä-Suomen yliopisto, Riveria ja Karelia-ammattikorkeakoulu olivat mukana näytteilleasettajina messuilla, mikä osoittaa koulutuksen merkityksen. Toinen tärkeä ulottuvuus on kokonaisturvallisuuteen liittyvä osaaminen, joka käsittää ymmärtämisen, tiedon välittämisen ja jaksamisen.

Joensuun messuilla elinkeinoelämä hyvin mukana

Kokonaisturvallisuus käsittää seitsemän elintärkeää toimintoa, ja messuilla oli pyritty siihen, että jokainen niistä olisi edustettuna tavalla tai toisella. Viranomaispuoli oli tietysti mukana, ja tärkeitä näytteilleasettajia olivat Rajavartiolaitos, Tulli, poliisi, pelastuslaitos ja Puolustusvoimat. Puolustusvoimat oli esillä sekä sisätiloissa että ulkona laajan materiaaliesittelynsä kautta.

Kajander kertoo, että viranomaisten lisäksi kokonaisturvallisuusajattelussa merkittävässä roolissa ovat järjestöt. Maanpuolustusjärjestöt ovat olleet mukana alusta asti, ja tänä vuonna esimerkiksi Karjalan Poikien Kilta ja Maanpuolustuskoulutusyhdistys olivat paikalla.

Yksi haaste on aiempina vuosina usein ollut elinkeinoelämän mukaan saaminen. ”Tänä vuonna onnistuimme siinä kuitenkin hyvin. Pohjois-Karjalaisia yrityksiä oli hyvin mukana messuilla. Tästä olen iloinen. Suurin näytteilleasettaja yrityksistä oli Saab Finland, joka toi messuille laajan valikoiman tuotteita ja ratkaisuja. He toivat messuille muun muassa hävittäjäsimulaattorin, joka on kehitetty Suomessa. Olen itse lentänyt sillä kerran, ja se oli todella mielenkiintoinen ja upea kokemus”, kertoo Kajander innoissaan.

Messujen tulevaisuudesta

Kajander korostaa, että messujen päätarkoitus on saada kansalaiset ymmärtämään, mitä kokonaisturvallisuus tarkoittaa ja mistä se muodostuu. Toisena tarkoituksena on saada kansalaiset välittämään siitä. Kolmas ulottuvuus on jaksaminen, eli se, että kansalaiset jaksavat pitää kokonaisturvallisuudesta huolta ja toimia sen edistämiseksi.

”Tämä muistuttaa presidentti Alexander Stubbin ”3 pointtia” -ajattelua: ymmärrä, välitä ja jaksa.

Valitettavasti yhteiskunnassa on vielä pitkä matka siihen, että ihmiset todella ymmärtäisivät, että heidän pitää itse tehdä jotain kokonaisturvallisuuden eteen ja löytää roolinsa kokonaisturvallisuudessa. Monille saattaa tulla yllätyksenä, että apua ei välttämättä tule heti, vaan jokaisen on varauduttava esimerkiksi 72 tunnin ajaksi. Tämä on tärkeä osa-alue, joka kaipaa vielä kehitystä niin, että kokonaisturvallisuudesta jonain päivänä muodostuisi osa meidän jokapäiväistä turvallisuudesta välittämisen kulttuuria”, muistuttaa Kajander.

Kajander toteaa myös, että yrityksille suunnattuun tiedotukseen ja koulutukseen pitäisi panostaa enemmän, sillä yrityksillä ei aina välttämättä ole ymmärrystä kokonaisturvallisuuden merkityksestä. Tämänkin takia messut ovat tärkeät.

Todella tärkeää on ollut, että messuille on saatu tukea useilta tahoilta, yhteisöiltä ja yrityksiltä. Tämä on mahdollistanut messujen järjestämisen. Tulevaisuuden osalta Kajander toivoo, että messut voitaisiin järjestää joka toinen vuosi, mikä olisi hyvä rytmi kehittää ja ylläpitää kokonaisturvallisuuteen liittyvää tietoisuutta ja yhteistyötä.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2024.

Tilaa lehti! 

VR – Turvallisuuskulttuuria kehittämässä

VR on jo pitkään kehittänyt turvallisuuttaan systemaattisesti ja huomioinut myös niin sanotut inhimilliset tekijät turvallisuusjohtamisjärjestelmässään.

Euroopan unionin rautatieviraston (ERA) mukaan turvallisuuskulttuurilla tarkoitetaan sitä, miten ihmiset asenteidensa, arvojensa ja uskomustensa perusteella ymmärtävät turvallisuusjohtamisjärjestelmän vaatimukset, ja mitä he käytännössä tekevät ja päättävät. Hyvälle turvallisuuskulttuurille on ominaista johtajien ja yksilöiden yhteinen sitoutuminen turvalliseen toimimiseen kaikissa tilanteissa, erityisesti silloin kun vastassa on kilpailevia tavoitteita.

Turvallisuuskulttuuriin perehtynyt psykologian tohtori Teemu Reiman teki Traficomille vuonna 2023 julkaistun selvityksen, jonka päätavoitteena oli tuottaa rautatieliikenteen harjoittajille ja rataverkon haltijoille tietoa siitä, miten turvallisuuskulttuurin kehittäminen ja seuranta voidaan integroida osaksi turvallisuusjohtamisjärjestelmää.

Tämän selvityksen innoittamana VR halusi tutkia ja selvittää VR-Yhtymän turvallisuuskulttuurin nykytilaa. Tätä pidettiin tärkeänä, koska heidän toimintansa on turvallisuuskriittistä ja VR haluaa olla edelläkävijä turvallisuudessa.

VR on jo pitkään kehittänyt turvallisuuttaan systemaattisesti ja huomioinut myös niin sanotut inhimilliset tekijät turvallisuusjohtamisjärjestelmässään. VR:n riskienhallintajohtaja Anna Melleri toteaa, että VR halusi nyt ottaa seuraavan askeleen turvallisuusmatkallaan ja systematisoida myös turvallisuuskulttuurin seurannan ja kehittämisen. Hän myös toteaa, että VR halusi ulkopuolisen näkemyksen turvallisuuskulttuuriinsa eräänlaisena ”lähtötason mittauksena” ennen kuin turvallisuuskulttuurin kehittämistä ja seurantaa aloitetaan systemaattisesti.

VR-Yhtymän turvallisuuskulttuurin arviointi julkaistiin keväällä 2024. Arvioinnin toteuttivat Reiman ja Jesse Hakala. VR:n Ruotsin toimintojen osalta tehtiin yhteistyötä ruotsalaisen MTO Säkerhet
-yrityksen kanssa. Nykytilan arvioinnin lisäksi projektin tavoitteena oli luoda VR:lle turvallisuuskulttuurin jatkuvan parantamisen ja systemaattisen seurannan malli.

Turvallisuuskulttuurin arvioinnissa on hyödynnetty eri menetelmiä

Arviointi toteutettiin työpajojen, yksilö- ja ryhmähaastatteluiden sekä henkilöstökyselyn avulla. Työpajoja järjestettiin yhteensä kahdeksan ja niihin osallistui liiketoimintojen johtoryhmien jäseniä, asiantuntijoita sekä henkilöstön edustajia.

Haastatteluissa keskusteltiin yhteensä yli 100 VR:läisen kanssa, jotka edustivat eri yksiköitä, henkilöstöryhmiä ja rooleja. 33 kysymystä sisältävään turvallisuuskulttuurikyselyyn saatiin vastauksia 4 600 VR:läiseltä (54 prosenttia henkilöstöstä), ja näistä lähes 1 000 kirjoitti myös omia näkemyksiään kyselyn avoimeen kysymykseen numeeristen vastausten lisäksi.

Tämä kaikki toteutettiin vuoden 2023 aikana. Vuoden 2024 alussa tulokset käytiin läpi kaikkien liiketoiminta-alueiden johtoryhmissä keskustellen myös keskeisistä toimenpiteistä.

Arvioinnin perusteella turvallisuuskulttuuri on VR:llä viime vuosina parantunut erityisesti Suomen toiminnoissa. Esimerkiksi turvallisuusjohtamiseen on kiinnitetty entistä enemmän huomiota, inhimilliset tekijät otetaan paremmin huomioon, turvavarusteet ovat parantuneet ja moneen yksikköön on onnistuttu luomaan avoimen turvallisuuskulttuurin ilmapiiri.

Kehitettävää kuitenkin myös riittää. Haastateltavat muun muassa totesivat, että suunta on oikea ja että on hyvä, että turvallisuudesta puhutaan enemmän, mutta myös tekoja kaivattiin lisää. Arvioinnissa havaittiin, että tehtävien, paikkakuntien ja liiketoiminta-alueiden välillä oli suuria eroja kulttuurin eri piirteiden suhteen.

Turvallisuuskulttuuriarviointi kannatti tehdä

Mellerin mukaan VR:n turvallisuuskulttuuriarviointi onnistui hyvin. Arviointityö jo itsessään nosti turvallisuuskulttuurin VR:n sisäiseen keskusteluun eri organisaatiotasoille.

Johdon työpajoissa keskusteltiin turvallisuuskulttuurin lisäksi VR:n arvoista, johtamisesta ja turvallisuuden toimintamallien kehitystarpeista, mitä harvemmin näin laajasti saa toteutettua. Tulosten käsittely jokaisessa liiketoiminnan johtoryhmässä oli hedelmällistä ulkopuolisen asiantuntijan johdattelemana.

Asiantuntija auttoi tulosten tulkinnassa ja keskeisten toimenpiteiden ideoinnissa tuoden myös sopivasti hyviä käytäntöjä muista yksiköistä, yrityksistä ja turvallisuuskriittisiltä toimialoilta. Mellerin mukaan yllättävintä oli se, että varsin moni tutkimuksen havainto oli jo sisäisesti tunnistettu, mutta niiden vaikutusta turvallisuuskulttuuriin ei ollut hahmotettu.

Ulkopuolisen näkemyksen etuna oli tulosten objektiivinen tulkinta ja yksikkökohtaisiin havaintoihin pureutuminen sekä yksiköiden keskinäinen vertailu samoilla turvallisuuskulttuurimääritelmillä. Sisäisesti toteutettuna tämä olisi ollut haasteellista.

Jatkuva kehittäminen

VR hyödyntää arvioinnin tuloksia osana liiketoiminta-alueiden kehittämisohjelmia. Melleri kertoo, että arviointi nosti esille tärkeimpiä kehittämisen painopisteitä, joita VR:llä ovat tällä hetkellä muun muassa turvallisuusviestintä, esihenkilöiden turvallisuusjohtamisen ja -osaamisen kehittäminen sekä turvallisuuspalkitsemisen kehittäminen.

Suunnitelmissa on myös, että turvallisuuskulttuurin kehitystä tullaan seuraamaan tiivistetyllä kyselyllä osana vuosittaista henkilöstötutkimusta. Laajemman ulkopuolisen asiantuntijan suorittaman turvallisuuskulttuuriarvioinnin toteutus voisi olla seuraavan kerran mahdollista 4-5 vuoden päästä. Melleri korostaa, että turvallisuuskulttuurin arviointi vaatii organisaation sitoutumista. Onnistuminen edellyttää suunnittelu- ja valmistelutyötä turvallisuuspuolelta, jotta projekti saadaan toteutettua siten, että se tuottaa yritykselle kehittämisen kannalta arvokasta tietoa.

Reiman muistuttaa, että turvallisuuskulttuurin kehittämisen tulee olla ennakoivaa. Turvallisuustaso ei säily, ellei sitä aktiivisesti ylläpidetä ja kehitetä. Organisaatioiden kulttuureilla on taipumus rämettyä, jollei niistä huolehdita. Turvallisuuskulttuurin kehittäminen tuleekin olla aktiivista toimintaa, jossa ylläpidetään näkemystä nykyisestä kulttuurista samalla kun heikkouksiin pyritään puuttumaan. Yhtä tärkeää on tunnistaa toiminnan vahvuudet ja huolehtia näiden säilymisestä.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

Loomis  –  kultaryntäyksestä kansainväliseksi rahahuoltoalan  yritykseksi 

Loomis on kansainvälinen rahahuoltoalan yritys, joka tarjoaa asiakkailleen käteiseen rahaan liittyviä palveluita, kuten rahankuljetuksia, laskentapalveluita (pankeille alihankintana).

Kävin kesällä keskustelemassa Loomis Suomi Oy:n toimitusjohtajan Harri Veijolan kanssa. Loomis on kansainvälinen rahahuoltoalan yritys, joka tarjoaa asiakkailleen käteiseen rahaan liittyviä palveluita, kuten rahankuljetuksia, laskentapalveluita (pankeille alihankintana), Otto-automaattien hoitoa, yösäilöjä, rahankierrätysjärjestelmiä, valuuttapalveluita, arvotavarankuljetuksia (kotimaassa ja ulkomailla) sekä erilaisia käteiseen liittyviä teknisiä ratkaisuja.

Kansainvälinen Loomis toimii Suomessa kahden yhtiön, rahankäsittelyyn keskittyvän Loomis Suomen ja automaattitoiminnasta vastaavan Loomis Automatian voimin. Tänä päivänä yrityksellä on toimintaa 23 maassa
työllistäen yli 22 000 ihmistä. Veijola kertoo, että Loomis Suomi Oy toimii koko valtakunnan alueella mainoslauseensa mukaisesti: ”Hangosta-Ivaloon välillä räätälöityä käteisturvaa.”

Suomessa yritys on alan markkinajohtaja. Alalla toimivat myös norjalaiset Nokas Finland ja automaattitoimija Nokas CMS sekä S-ryhmän Reila Palvelut Oy. Loomis Suomen asiakkaita ovat pankit, isot vähittäiskaupan ketjut sekä myös muut yritykset ja julkishallinto. Automatian kautta yritys näkyy myös kuluttaja-asiakkaiden suuntaan. ”Loomiksella on siis erittäin merkittävä rooli käteisen logistiikassa ja käsittelyssä Suomessa”, toteaa Veijola.

Kultaryntäyksestä kaikki alkoi

Loomiksen yli 170-vuotinen historia ylettyy kauas Yhdysvaltojen kultaryntäyksen ajalle. Vuonna 1852 Wells Fargo & Co. aloitti rahahuoltopalvelut Yhdysvalloissa, kun se perustettiin Henry Wellsin ja William G.
Fargon toimesta. Yritys perustettiin Kalifornian kultaryntäyksen aikaan, jolloin oli suuri tarve luotettaville pankki- ja kuljetuspalveluille.

Wells ja Fargo olivat jo yrityksen perustaessaan menestyksekkäitä liikemiehiä, jotka olivat perustaneet yhdessä myös American Expressin. He näkivät mahdollisuuden tarjota pankki- ja kuljetuspalveluja länteen muuttaville ihmisille ja yrityksille, jotka tarvitsivat turvallisia ja luotettavia tapoja kuljettaa rahaa ja muita arvotavaroita.

Wells Fargo & Co. aloitti toimintansa San Franciscossa ja tarjosi aluksi pankkipalveluita, kuten talletuksia, lainoja ja valuutanvaihtoa. Lisäksi yritys tarjosi arvokuljetuspalveluita, joilla kuljetettiin kultaa, rahaa ja muita arvotavaroita turvallisesti eri puolille Kaliforniaa ja muualle Yhdysvaltoihin.

Yritys laajensi nopeasti toimintaansa kattamaan koko Yhdysvaltojen länsiosan ja tuli tunnetuksi luotettavista hevosvaunuillaan suoritetuista arvokuljetuksista. Wells Fargon ikoniset vaunut ja niihin liittyvät palvelut tulivat olemaan olennainen osa Yhdysvaltojen lännen historiaa. Vuosien kuluessa Wells Fargo laajensi palvelujaan ja kehittyi merkittäväksi finanssilaitokseksi.

Old Number One

Veijola kertoo, että nykyisen Loomiksen kannalta toinen merkittävä alkusysäys tapahtui vuonna 1905, kun Lee Loomis perusti Cleary Creek Commercial Companyn. Loomis toimitti koiravaljakon avulla Alaskan kaivostyöläisille päivittäistavaroita ja varusteita sekä palasi kullan kanssa. Tämän jälkeen meni 20 vuotta, kunnes hän perusti Loomis Armored Car Servicen.

Loomis valmisti ja otti käyttöön ensimmäisen mittatilaustyönä valmistetun turvallisen panssaroidun kuljetusajoneuvon, jota myöhemmin kutsuttiin nimellä ”Old Number One”. Yritys laajensi liiketoimintaansa Yhdysvaltojen länsiosiin ja Kanadaan.

Vuonna 1997 kaksi johtavaa rahahuoltoalan yritystä, Loomis Armored Inc. ja Wells Fargo Armored Service Corporation, yhdistyivät. Tämän myötä syntyi yksi maailman suurimmista rahahuoltopalveluiden tarjoajista: Loomis, Fargo & Co.

Vuonna 2001 ruotsalainen Securitas AB osti Loomis, Farco & Co:n ja yhdisti sen Securitas Cash Handling Services -yksikköön. Vuonna 2006 Securitas puolestaan ilmoitti aikovansa jakaa liiketoimintansa erillisiksi, erikoistuneiksi turvallisuusyrityksiksi. Securitas Cash Handling Servicestä tuli Loomis.

Vuonna 2008 Loomis listattiin Tukholman pörssiin, ja Loomis AB on sittemmin kasvanut ja laajentunut globaalisti sekä sillä on toimintaa monissa maissa ympäri maailmaa.

Työn riskit – arvokuljetusryöstöt

Arvokuljetusryöstöjen määrä maailmalla vaihtelee vuosittain ja alueittain. Yleisesti ottaen arvokuljetusryöstöt ovat kuitenkin melko harvinaisia, mutta kun niitä tapahtuu, ne voivat olla erittäin väkivaltaisia ja hyvin suunniteltuja.
Useimmat arvokuljetusyritykset ja turvallisuuspalvelut pyrkivätkin jatkuvasti parantamaan menetelmiään ja teknologioitaan ryöstöjen estämiseksi.

Tarkkoja tilastoja arvokuljetusryöstöistä on vaikea saada, koska kaikki eivät välttämättä tule julkisuuteen ja eri maat raportoivat niistä eri tavoin. Esimerkiksi Yhdysvalloissa arvokuljetusryöstöjä tapahtuu vuosittain useita kymmeniä, mutta niiden määrä on suhteellisen alhainen maan laajuuteen ja väestöön suhteutettuna.

Latinalaisessa Amerikassa, erityisesti Brasiliassa ja Meksikossa, arvokuljetusryöstöt ovat yleistyneet viime vuosina. Näillä alueilla on tapahtunut useita väkivaltaisia ryöstöjä, joissa on käytetty raskasta aseistusta ja räjähteitä. Aasiassa ja Afrikassa arvokuljetusryöstöjen määrä on puolestaan yleensä alhaisempi, vaikkakin esimerkiksi Etelä-Afrikassa on tapahtunut useita arvokuljetusryöstöjä viime vuosina.

Euroopassa tilanne vaihtelee maittain. Ruotsissa ja Saksassa on ollut merkittäviä arvokuljetusryöstöjä. Suomessa on tapahtunut arvokuljetusryöstöjä, mutta ne ovat kuitenkin melko harvinaisia. Esimerkiksi Salossa vuonna 2016 G4S:n arvokuljetusauto pysäytettiin moottoritielle ja aseistetut ryöstäjät pakottivat autossa yksin olleen kuljettajan ulos autosta. Ryöstäjät olivat aseistautuneet konetuliaseilla ja ampuivat useita laukauksia.

Salon tapaus ei suinkaan ole ainoa arvokuljetusryöstö, joka on tapahtunut viimeisen kymmenen vuoden aikana. Monessa tapauksessa tekijänä on ollut ruotsalaisia.

Riskienhallinta ja työturvallisuus

Veijola toteaa, että arvokuljetusryöstöjen estämiseksi Loomis ja poliisi tekevät Suomessa tiivistä yhteistyötä. Erilaiset turvallisuustoimenpiteet ovatkin auttaneet vähentämään ryöstöjen määrää ja vaikeuttaneet niiden toteuttamista.

Arvokuljetuksia suojataan nykyään useilla edistyksellisillä menetelmillä ja teknologioilla. Arvokuljetuksissa käytetään esimerkiksi vahvasti panssaroituja ajoneuvoja, jotka on suojattu luodeilta, räjähteiltä ja muilta uhilta. Lisäksi ne on varustettu vahvoilla lukitusjärjestelmillä.

Ajoneuvoissa on asennettuna kameroita, jotka tallentavat kaiken toiminnan ajoneuvon sisällä ja sen ympärillä, sekä hälytysjärjestelmiä, jotka aktivoituvat, jos ajoneuvoon murtaudutaan tai jos hätätilanne havaitaan.

Lisäksi ajoneuvoissa on seurantalaitteet, jotka mahdollistavat reaaliaikaisen seurannan. Hälytysjärjestelmät aktivoituvat, jos ajoneuvo poikkeaa suunnitellulta reitiltä.

Kuljetusten turvallisuus pyritään varmistamaan myös reittien ja aikataulujen vaihtelulla. Ajoneuvot eivät kulje aina samoja reittejä tai samoihin aikoihin. Tämä vaikeuttaa rikollisten mahdollisuuksia suunnitella hyökkäyksiä.

Henkilökunnan merkitystä arvokuljetusten turvallisuudessa ei voi vähätellä. Hyvin koulutettu henkilökunta on olennaista. Turvallisuuden lisäämiseksi kuljetusastioihin ja ajoneuvoihin voidaan asentaa elektronisia sinettejä ja sensoreita, jotka ilmoittavat, jos astiat avataan ilman valtuutusta tai jos ajoneuvoon kohdistuu fyysinen hyökkäys. Samoin arvotavaroiden säilytysastiat ja lukot on usein suojattu monimutkaisilla turvakoodeilla ja salausmenetelmillä.

Käteisen rooli nyt ja tulevaisuudessa

Käteisen käytön väheneminen on tiedostettu myös Loomiksella viimeisien vuosien aikana. ”Toisaalta nykyinen epävakaa maailmantilanne on ollut tietynlainen muistutus kaikille käteisen tarpeellisuudesta osana maksamista. Koko maksuliikennejärjestelmä ei voi olla pelkän korttimaksamisen takana”, muistuttaa Veijola.

Käteisinfrastruktuuria ei voi myöskään luoda yhtäkkiä, vaan sitä on pidettävä jatkuvasti yllä. Kriisitilanteen aikana käteistä ei voida käyttää varajärjestelmänä, jos sitä ei muuten käytetä.

”Moni ajattelee, että käteistä käytetään nykyisin todella vähän. Todellisuudessa euroseteleitä on liikkeellä enemmän kuin koskaan. Euroopassa käteinen on monelle edelleen pääasiallinen maksuväline ja Suomessakin se on sitä noin 10 prosentille kuluttajista”, sanoo Veijola.

Käteisen käytön puolesta puhuu myös sen konkreettisuus: esimerkiksi taloudenhallinnassa tai lapsille rahan arvon opettamisessa käteinen on ylivoimainen. Loomiksella nähdäänkin, että käteiselle on paikka myös tulevaisuudessa.

Käteisen käyttö vähenee, mutta aiempaa hitaammassa tahdissa. Tähän myös ohjaa valmistelussa oleva lainsäädäntö, joka velvoittaisi toimijoita vastaanottamaan ja luovuttamaan käteistä.

Loomiksen tavoitteena on tulevaisuudessa pitää käteinen valtakunnallisesti saatavilla olevana ja kustannustehokkaana vaihtoehtona sekä luoda konsepteja, joilla käteisen rahan vastaanottaminen on helppoa ja kannattavaa. Yksi innovaatioista on Loomis Pay, jonka avulla yrityksen maksuliikenne voidaan yhdistää maksuvälineestä riippumatta yhdeksi palveluksi.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

Salto  – Baskimaan ylpeys

Salto Systems on espanjalainen elektronisiin lukitusjärjestelmiin erikoistunut yritys, jonka perusti ryhmä espanjalaisia alan toimijoita vuonna 2001.

Salto Systems on espanjalainen elektronisiin lukitusjärjestelmiin erikoistunut yritys, jonka perusti ryhmä espanjalaisia alan toimijoita vuonna 2001. He halusivat kehittää paremman ja joustavamman lukitusjärjestelmän kuin perinteiset mekaaniset lukot, ja heidän ideanaan oli kehittää kulunhallintajärjestelmä, jossa liikutetaan kulkutunnisteella tietoa.

Salto on nykyään tunnettu innovatiivisista ratkaisuistaan, ja siitä on kehittynyt yksi johtavista valmistajista maailmassa. Saltolla on yli 40 toimistoa ympäri maailmaa, projekteja yli 90 maassa ja työntekijöitä yli 1 700. Suomessa Salto on toiminut vuodesta 2007 lähtien.

Salton tehdas sijaitsee San Sebastiánissa eli Donostiassa. Se on Gipuzkoan maakunnan pääkaupunki Baskimaan itsehallintoalueella Pohjois-Espanjassa. Kaupungin asukasluku on noin 190 000. Donostia sijaitsee Biskajanlahden rannalla lähellä Ranskan rajaa. Donostiasta on kotoisin jalkapallojoukkue Real Sociedad, jonka hyökkääjä Mikel Oyarzabal teki voittomaalin jalkapallon EM-finaalissa.

Kävin vierailemassa Salton tehtaalla ja tutustumassa heidän ratkaisuihinsa sekä tehtaan tuotantoon.

Monipuolinen tuotevalikoima

Salton ensimmäinen tuote oli Salto Virtual Network (SVN) -järjestelmä, joka mahdollisti offline-lukkojen yhdistämisen verkkoon ilman kaapelointia tai langattomia yhteyksiä. Tämä puolestaan mahdollisti lukitusjärjestelmän päivittämisen ja hallinnan keskitetysti.

Nykyään Salton tuotevalikoimaan kuuluu muun muassa älylukot, elektroniset sylinterit, kulunvalvontajärjestelmät ja mobiiliratkaisut. Tuotteita käytetään hotelleissa, yliopistoissa, toimistorakennuksissa, terveyden-
huoltolaitoksissa ja muissa tiloissa, joissa tarvitaan edistyneitä ja luotettavia lukitusratkaisuja.

Salto erottuu kilpailijoistaan muun muassa innovatiivisen teknologian, laajan tuotevalikoiman ja korkean turvallisuustason kautta. Se panostaakin voimakkaasti tuotteidensa turvallisuuteen, mikä tekee heidän
järjestelmistään erityisen houkuttelevia asiakkaille, jotka tarvitsevat korkeaa turvallisuustasoa.

Tuotteet ovat myös helppokäyttöisiä ja helposti hallittavia. Ne ovat tunnettuja lisäksi kestävyydestään ja luotettavuudestaan, mikä on erityisen tärkeää ympäristöissä, joissa lukkojen on kestettävä jatkuvaa käyttöä ja vaativia olosuhteita.

Lean-tuotanto

Kuten monella muullakin tehtaalla, niin tuotannon kasvaessa seinät tulevat vastaan. Salton tehtaalla ei ollut mahdollisuutta enää laajentaa tontin rajoitteiden takia. Sen vuoksi he uudistivat koko tuotantoprosessin pari vuotta sitten.

Muutos kohti Lean-tuotantotapaa oli aluksi haastavaa, mutta kokonaistehokkuuden kannalta erittäin kannattavaa. Suurin muutos oli koko logistiikan ja tuotannon muutos.

Ennen tehtiin vaiheittain eri tuotteita perinteisesti linjassa, kun nyt samassa työpisteessä tehdään koko tuote alusta loppuun. Näin voidaan tuotekohtaisesti reagoida vaihteluun ja lisätä tarvittaessa virtausta.

Samalla kehitettiin päivittäisjohtamista (Shop Floor Management, SFM). Tämä näkyy vuoropalavereissa yhteisen infotaulun äärellä, jossa seurataan tuotantoa päivätasolla. Samalla poikkeamat analysoidaan ja tarvittavista jatkotoimenpiteistä päätetään välittömästi. Kaikki muu siirretään erillisen ongelmanratkaisuryhmän käsiteltäväksi ja ratkottavaksi.

Turvallisuusasiat vahvasti esillä tuotannossa

Turvallisuusasiat ovat esimerkillisesti esillä päivittäisessä työssä ja taulupalavereissa. Kaikki läheltä piti -tilanteet ja tapaturmat käsitellään päivittäin sekä havaintoja tehdään aktiivisesti. Turvallisuustavoitteet ja -mittarit ovat osana tuotannon raportointia. Johto tekee myös aktiivisesti turvallisuuskierroksia tuotannossa.

Usein sanotaan, että suutarin lapsella ei ole kenkiä. Tällä tarkoitetaan sitä, että alan ammattilaiselta puuttuvat ne tiedot ja taidot, jotka ammattilainen hallitsee työssään hyvin. Tässä tapauksessa Baskimaan ylpeys voi olla hyvin ylpeä myös tehtaan turvallisuuskulttuurista.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

Koneasetus tuo digitaalisuuden mukaan koneiden turvallisuuteen

Digitaalisuus on jo pitkään ollut koneiden dokumentoinnissa, mutta nyt tämä huomioidaan ensimmäistä kertaa EU:n koneasetuksessa.

Euroopan unionin koneasetus (2023/1230/EU) julkaistiin vuonna 2023, mutta sitä sovelletaan vuodesta 2027 alkaen, jolloin se korvaa konedirektiivin (2006/42/EY). Asetuksessa on yhtenä isona muutoksena digitaalisuuden mukaan ottaminen koneen teknisessä dokumentoinnissa.

Digitaalisuus on jo pitkään ollut koneiden dokumentoinnissa, mutta nyt tämä huomioidaan ensimmäistä kertaa koneasetuksessa. Asetuksessa myös kerrotaan, mitä asioita on otettava huomioon koneasetuksen mukaisissa teknisissä asiakirjoissa, kun ne ovat yksinomaan digitaalisessa muodossa.

Komissio tavoittelee saavuttavansa tällä uudistuksella useiden satojen miljoonien eurojen vuosittaisia säästöjä sekä uusia innovaatioita, joten ihan pienestä asiasta ei ole kysymys. Kun puhutaan pelkistä säästöistä konevalmistajille, arvion suuruusluokka voi olla oikean suuntainen.

Digitaalisuus tuo myös uusia mahdollisuuksia tehdä laadukkaampaa koneiden turvallisuutta tehokkaimmilla prosesseilla. Vastuullisin konevalmistaja pystyy tarjoamaan uusia palveluita olemalla työnantajan kumppani myös koneen turvallisuudessa, vieläpä koko koneen elinkaaren ajan.

Ymmärretäänkö koneiden teknisen turvallisuuden kokonaisuus riittävästi?

Koneiden turvallisuus tehdään tekniikalla ja teknologialla. Tämän turvallisuuden tekee koneen valmistaja, ja koneen turvallisuuden pitää täyttää koneasetuksen asettamat turvallisuuden minimivaatimukset.

Työympäristön turvallisuuden ja koneasetuksen kohdalla yrityksillä on haastetta nähdä koneasetuksen tuomia hyötyjä yrityksen turvallisuuden hallintaan. Kaikkien toimijoiden tavoite tulisi olla, että työnantajan koneet ovat turvallisia. Tämä sama tavoite tulee olla koneiden valmistajilla ja modernisoijilla; osoitetaan, että toimitaan vastuullisesti ja laadukkaasti.

Kun olemme tekemässä teknistä turvallisuutta työnantajalle, työsuojelutoiminta on ratkaisevassa roolissa. Joissain yrityksissä, varsinkin projektitoiminnan aikana (uusi kone), yrityksen teknisen osaston rooli voi ulottua kenttätason yläpuolelle (työsuojelutoiminta).

Koneiden teknistä turvallisuutta on toteuttamassa suuri määrä henkilöitä. He ovat usein eri yrityksistä ja alihankintaketjuista. Heidän lähtökohtansa teknisen turvallisuuden tekemiseen vaihtelevat, ja heidän tuottamansa dokumentaatio vaihtelee.

Yhtenäinen ja selkeä toimintatapa puuttuu, vaikka koneasetus ja koneiden turvallisuuden standardit määrittävät minimivaatimukset koneen turvallisuudelle. Kaikkien yhteinen tavoite tulisi olla, että työpaikan koneet ovat turvallisia.

Työnantajan haasteena on erittäin laaja ja pirstaleinen toimintaympäristö, joka vaikeuttaa työsuojelutoimintaa ja lisää kustannuksia. Yrityksissä ei saada turvallistamistoimenpiteitä käynnistettyä.

Koneasetus ja merkittävä muutos

Koneasetukseen on otettu ensimmäistä kertaa mukaan koneen merkittävän muutoksen määritelmä. Merkittävällä muutoksella on haluttu selkeyttää toimimista koneen muutoksissa, jotka liittyvät koneen turvallisuuteen, sääntelyn selkeyteen ja oikeudenmukaisuuteen. Tässä muutamia keskeisiä syitä:

Turvallisuuden varmistaminen: Koneiden merkittävät muutokset voivat vaikuttaa niiden turvallisuuteen. Määrittelemällä, mitä pidetään merkittävänä muutoksena, voidaan varmistaa, että tällaiset muutokset arvioidaan asianmukaisesti ja että koneiden turvallisuusstandardit täyttyvät myös muutosten jälkeen.

Dokumentoinnin ja raportoinnin parantaminen: Kun merkittävä muutos määritellään selkeästi, yritykset tietävät, milloin heidän tulee päivittää koneiden turvallisuusdokumentaatio. Tämä parantaa kokonaisvaltaista turvallisuustiedon hallintaa ja mahdollistaa uudenlaisien turvallisuuden hallintaan liittyvien mittareiden kehittämisen (tilannekuva).

Teknologian ja innovaatioiden huomioiminen: Teknologian kehitys ja innovaatiot voivat johtaa uusiin käyttötapoihin ja muutostarpeisiin koneissa. Määritelmä merkittävälle muutokselle auttaa varmistamaan, että uudet teknologiat otetaan huomioon turvallisuusvaatimuksissa ja että innovaatiot eivät vaaranna käyttäjien turvallisuutta.

Oikeudenmukaisuus ja yhdenmukaisuus: Yhtenäinen määritelmä varmistaa, että kaikki toimijat EU:n alueella noudattavat samoja vaatimuksia. Tämä luo tasavertaiset kilpailuolosuhteet ja estää tilannetta, jossa jotkut yritykset voisivat hyötyä löyhemmistä tulkinnoista.

Vastuu ja jäljitettävyys: Selkeä määritelmä merkittävälle muutokselle auttaa määrittämään vastuualueet koneiden turvallisuuden suhteen. Jos koneessa tapahtuu onnettomuus merkittävän muutoksen jälkeen, voidaan helpommin jäljittää, onko muutos tehty sääntöjen mukaisesti ja kuka on vastuussa.

Sääntelyn selkeys: Selkeä määritelmä merkittävälle muutokselle auttaa yrityksiä ja valmistajia ymmärtämään, milloin heidän tulee noudattaa uusia sääntelyvaatimuksia. Tämä vähentää epäselvyyksiä ja auttaa yrityksiä toimimaan sääntöjen mukaisesti.

Riippumatta siitä, onko koneeseen tehtävä muutos koneasetuksen mukainen merkittävä muutos vai ei, on työnantajan velvollisuus pitää kone ajankohdan turvallisuusvaatimusten mukaisena (käyttöasetus).

Merkittävä muutos tarkoittaa, että käynnistämme uuden vaatimustenmukaisuuden arvioinnin.  Koneasetuksessa todetaan seuraavasti: ”Jotta vältetään tarpeeton ja kohtuuton rasite, ei pitäisi edellyttää, että merkittävän muutoksen tekevä henkilö toistaa testejä ja laatii uusia asiakirjoja sellaisille koneille tai vastaaville tuotteille, jotka ovat osa koneyhdistelmää ja joihin muutos ei vaikuta.”

Koneen tekniset asiakirjat tekee ja kokoaa koneen valmistaja, ja näiden asiakirjojen ylläpito tulee tehdä ja organisoida koko koneen elinkaaren ajan. Vaikka tekisimmekin muutoksia ja merkittäviäkin muutoksia, on työmäärä huomattavasti pienempi ja kustannustehokkaammin toteutettu.

Vielä kun kaikkien osapuolien toimintatapa on samankaltainen tai he käyttävät koneasetuksen mukaista palvelua, helpottuu asia olennaisesti. Teknisestä turvallisuudesta vastaaville tulee yhtenäinen ”kieli”, ja yritys rutinoituu tuottamaan turvallisia koneita.

Ajatusta vielä pidemmälle vietynä tulisi osapuolilla olla alkuperäisen koneen valmistajan tekemät koneen turvallisuuteen liittyvät asiakirjat, joita päivitetään muutoksien/modernisointien yhteydessä (esimerkiksi riskien arviointi).

Standardit ovat hyvä apu vaatimustenmukaisuuden osoittamisessa. Yritys oppii ja kehittyy, kun sillä on yhtenäinen toimintatapa. Jotta pystyy vertailemaan eri toimijoita keskenään (kustannusvaikutus), on hyvä, että kaikki tekevät saman tavan mukaisesti (koneasetus). Näin he ovat yhdenvertaisia kilpailutuksessa sekä toiminta on vastuullista ja läpinäkyvää.

Riskienhallintaa tukevat työvälineet koneturvallisuudessa

Vaikka meillä on käytössä koneasetus ja koneiden turvallisuuden standardointi, hallinnoimme ja teemme koneiden turvallisuutta yksittäisten asiakirjojen avulla – jokainen toimija omalla tavallaan, omin ilmaisuin ja sanoin. Tällainen toiminta ei ole tehokasta.

On hyvä tiedostaa, että kaupalliset työturvallisuuden sovellukset eivät käsittele koneiden teknistä turvallisuutta koneasetuksen ja koneiden turvallisuuden standardoinnin mukaisesti, vaikka myös koneiden riskilähteet niihin syötetäänkin.

Uudistuvan koneasetuksen myötä meillä on mahdollisuus kehittää uusia digitaalisia palvelukokonaisuuksia, jotka mahdollistavat koneiden teknisen turvallisuuden hallinnan alkaen koneen valmistuksesta, jatkuen koneen koko elinkaaren ajan, koneen käytöstä poistoon asti. Näin kone on koko elinkaarensa ajan vähintään koneasetuksen minimivaatimusten mukainen.

Digitaalisilla työvälineillä kaikkien koneiden turvallisuuteen liittyvä tieto on samassa paikassa. Myös asiantuntijaneuvoja, ohjeita ja palveluita on helppoa sekä kustannustehokasta jakaa digitaalisen palvelun kautta.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

Vaaralliset kemikaalit  yrityksissä

Yritysten on huolehdittava henkilöstön vastuualueista, arvioitava kemikaalien riskit sekä ylläpidettävä kemikaaliluetteloa ja käyttöturvallisuustiedotteita.

Teollisuudessa yritykset säilyttävät, varastoivat, käyttävät, käsittelevät ja mahdollisesti valmistavat toimintaansa liittyen useitakin eri vaaraominaisuuksien kemikaaleja.

Vaaralliset kemikaalit ovat aineita, jotka voivat aiheuttaa vahinkoa ihmisille, ympäristölle tai omaisuudelle. Ne voivat olla syttyviä, räjähtäviä, myrkyllisiä, syövyttäviä, reaktiivisia sekä terveydelle ja ympäristölle vaarallisia. Olomuodoltaan ne voivat olla nestettä, kaasua, aerosolia, kiinteää, jauhetta, hyytelöä, seosta sekä olla pakattaessa tai prosessissa eri paineissa ja eri lämpötiloissa.

Vaaralliset kemikaalit ovat aineita, jotka voivat aiheuttaa vahinkoa ihmisille, ympäristölle tai omaisuudelle. Ne voivat olla syttyviä, räjähtäviä, myrkyllisiä, syövyttäviä, reaktiivisia sekä terveydelle ja ympäristölle vaarallisia. Olomuodoltaan ne voivat olla nestettä, kaasua, aerosolia, kiinteää, jauhetta, hyytelöä, seosta sekä olla pakattaessa tai prosessissa eri paineissa ja eri lämpötiloissa.

Yrityksissä käytetään monenlaisia vaarallisia kemikaaleja, kuten liuottimia, hapettimia, syövyttäviä aineita sekä syttyviä ja myrkyllisiä nesteitä ja -kaasuja. Yritysten on huolehdittava henkilöstön vastuualueista, arvioitava kemikaalien riskit sekä ylläpidettävä kemikaaliluetteloa ja käyttöturvallisuustiedotteita.

Lisäksi tulee asentaa varoitusmerkkejä, huolehtia rakenteiden/laitteiden turvallisuudesta, laatia käyttö-, työ- ja häiriötilanneohjeet sekä kouluttaa työntekijät, jotta kemikaalien käsittely on turvallista.

Kemikaalilainsäädännön lisäksi yritysten tulee ottaa huomioon vaarallisten aineiden kuljetussäännökset. Niissä on säännelty esimerkiksi erilainen aineiden luokittelu ja varoitusmerkit, jotka yrityksen henkilökunnan tulee tunnistaa. Kaikkia kemikaaleja ei luokitella kuljetuksessa vaarallisiksi (esimerkiksi pesuaineita), tai vastaavasti kaikki vaaralliset aineet kuljetuksessa eivät ole kemikaaleja
(esimerkiksi inertit kaasut ja radioaktiiviset aineet).

Kemikaalien reititys on oltava suunnitelmallista niiden saapuessa yrityksen lastauslaiturille ja siitä varaston kautta tuotannon käyttöön. Prosessissa mahdollisesti muodostuva ongelmajäte tulee asianmukaisesti ja suunnitelmallisesti hävittää.

Kemikaalien kokonaismäärä ja viranomaisvalvonta

Kemikaalien kokonaismäärä ratkaisee sen, onko kyseessä:

1. Kemikaalin säilytys, jolloin viranomaisena toimii pelastusviranomainen, joka valvontasuunnitelmansa (pelastuslaki) riskien arvioinnin pohjalta määrittelee kohteen palotarkastusvälin.
2. Vähäinen teollinen käsittely ja varastointi, jolloin viranomaisena toimii kemikaalilainsäädännön mukaisesti pelastusviranomainen. Toiminnanharjoittajan on tehtävä ilmoitus liitteineen paikalliselle pelastusviranomaiselle. Ilmoituslomake löytyy esimerkiksi pelastuslaitosten kumppanuusverkoston sivuilta.
3. Laajamittainen teollinen käsittely ja varastointi, jolloin viranomaisena toimii Turvallisuus- ja kemikaalivirasto (Tukes), jolle lupahakemus liitteineen on toimitettava hyvissä ajoin. Toiminnanharjoittajalla on oltava kemikaalien käytönvalvoja(t) sekä laadittava kemikaalilainsäädännön mukainen sisäinen pelastussuunnitelma, joka on päivitettävä kolmen vuoden välein. Harjoituksia tulee myös pitää säännöllisesti.
4. Toimintaperiaateasiakirja, jolloin lupa- ja valvontaviranomaisena toimii Tukes. Asiakirjassa tulee muun muassa ottaa huomioon kohteen suuronnettomuus- ja muu onnettomuusvaara sekä turvallisuus-
   johtamisjärjestelmä. Asiakirja tulee tarkastaa vähintään joka viides vuosi.
5. Turvallisuusselvitys, jolloin lupa- ja valvontaviranomaisena toimii Tukes. Turvallisuusselvitys sisältää kuvaukset tuotantolaitoksesta ja sen ympäristöstä, turvallisuusjohtamisjärjestelmästä, toiminnan vaaroista, vaarojen hallinnasta sekä toimenpiteistä onnettomuuksien seurausten rajoittamiseksi. Turvallisuusselvitys tulee pitää ajan tasalla ja tarkastaa vähintään joka viides vuosi.

KemiDigin suhdelukulaskurin hyödyntäminen

Tukes ylläpitää KemiDigi-palvelua, jossa on suhdelukulaskuri. Sen avulla yritys voi määrittää kemikaaliturvallisuuslain mukaisen ilmoitus- tai lupatarpeen kirjautumatta KemiDigiin. Laskuriin kirjataan kaikki yrityksen kemikaalit, ja suhdelukulaskennan tulos erittelee aineiden terveysvaarat, ympäristövaarat, fysikaaliset vaarat ja muut vaarat.

Laskurissa on valmiina valittavaksi useita aineita tai aineryhmiä, jotka antavat myös luokitustietoja. Tietojen oikeellisuuden vuoksi yrityksen tulisi tarkastaa kaikkien aineiden käyttöturvallisuustiedotteista laskuriin oikeat luokitustiedot (muun muassa aineseokset ja pitoisuudet).

Myös alle ilmoitus- ja luparajojen olevan yrityksen on perusteltua käyttää KemiDigiä dokumentoidakseen ja ylläpitääkseen kemikaaliluetteloa, jonka pohjaksi laskennan tuloksen saa ladattua Exceliin.

Mikäli aine luokitellaan myös kuljetuksessa vaaralliseksi, on yrityksen täydennettävä kemikaaliluetteloa myös vaarallisten aineiden kuljetustiedoilla (aineen virallinen nimi, UN-numero, vaaraluokka(t) ja pakkausryhmä).

Kemikaaliturvallisuuden kouluttaminen

Yritysten tulee varmistaa, että työntekijät saavat asianmukaista koulutusta vaarallisten kemikaalien käsittelyyn. Koulutuksen tulisi kattaa kemikaalien tunnisteet, luokittelun, ominaisuudet, vaarat, tiedostot, säilytyksen ja varastoinnin, turvalliset käsittelymenetelmät, turvallisuusjärjestelmät, suojaimet ja toimintaohjeet onnettomuustilanteissa.

Riskien arviointi on keskeinen osa kemikaaliturvallisuutta. Se auttaa tunnistamaan ja arvioimaan kemikaalien käyttöön ja kuljetukseen liittyviä riskejä, jotta voidaan kehittää tehokkaita turvallisuustoimenpiteitä.

Henkilökunnan kemikaaliturvallisuuskoulutus tulisi räätälöidä yrityksen toimintaympäristöön ottamalla huomioon siellä olevat kemikaalit ja työmenetelmät. Koulutuksen tulee sisältää teoriaosuus ja käytännön harjoituksia. Harjoitusosuudessa on hyvä keskittyä kohteen toimintaympäristöön ja siellä oleviin vaarallisiin kemikaaleihin.

Harjoitusosuuteen tulisi kuulua esimerkiksi vaarallisten kemikaalien turvallisuuskävely, torjuntakalusto, tekniset ja rakenteelliset turvallisuusjärjestelmät, henkilösuojaimet ja niiden käyttö sekä toimintaharjoitus (toimintaohjeet, suojautuminen, pelastaminen, vaara-alue, alueen eristäminen, alkutoimet ja opastus).

Erityistehtävien tai vastuiden mukaisesti esimerkiksi kemikaalien käytönvalvoja- ja ATEX-koulutus tulisi järjestää omana koulutuksenaan.

Yritysten on panostettava koulutukseen, turvallisuustoimenpiteisiin, riskien arviointiin, dokumentointiin, kemikaalien hallintaan ja viranomaisvalvontaan varmistaakseen, että kemikaaleja käsitellään turvallisesti ja vastuullisesti. Näin voidaan suojella sekä työntekijöitä että ympäristöä ja minimoida mahdolliset vahingot.

On varmistettava, että työntekijät saavat säännöllisesti asianmukaista koulutusta vaarallisten kemikaalien käsittelyyn ja kuljetukseen. Lisäksi on tärkeää, että yrityksillä on selkeät toimintasuunnitelmat onnettomuustilanteita varten sekä kemikaaliluettelo ja käyttöturvallisuustiedotteet aina ajan tasalla.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

PFAS-yhdisteiden riskeistä ja haasteista palontorjunnassa

PFAS-yhdisteiden eli niin sanottujen ikuisuuskemikaalien käyttöä ollaan rajoittamassa niiden haitallisten ympäristö- ja terveysvaikutusten vuoksi. 

PFAS-yhdisteet ovat perfluorattuja alkyyliyhdisteitä. Ne ovat hiilivetyketjuja, joissa osa vetyatomeista tai kaikki niistä on korvattu fluorilla. PFAS-yhdisteitä on olemassa paljon: niihin luetaan muun muassa perfluorioktaanisulfonihappo (PFOS), perfluorioktaanihappo (PFOA), perfluorinonaanihappo (PFNA) ja perfluoriheksaanisulfonihappo (PFHxS).

Kyseisiä yhdisteitä kehitettiin ensimmäisen  kerran 1940-luvulla, ja niitä käytetään niiden vettä, likaa ja rasvaa hylkivien ominaisuuksien vuoksi monissa tuotteissa, kuten kosmetiikassa, sisustustekstiileissä, pinnoitetuissa paistinpannuissa, vettähylkivissä teknisissä vaatteissa ja suksivoiteissa. Niitä käytetään myös esimerkiksi sammutusvaahdoissa ja hyönteismyrkyissä.

Vaarallisiksi katsottujen PFAS-yhdisteiden käyttöä on yritetty rajoittaa. Esimerkiksi PFOS:n käytölle 2000-luvun alussa asetettujen käyttörajoitusten jälkeen se korvattiin turvallisiksi ajatelluilla muilla PFAS-yhdisteillä. Ainakin osa näistä muista yhdisteistä on todettu haitallisiksi sekä ympäristölle että ihmisille. Niiden kaikkia terveysvaikutuksia ei kuitenkaan täysin vielä tunneta.

Euroopan unionissa on nyt havahduttu todenteolla PFAS-yhdisteiden haitallisuuteen, ja niiden valmistusta, markkinoille saattamista ja käyttöä ollaan laajasti rajoittamassa.

Vaikutukset ympäristöön ja ihmisiin

Koska PFAS-yhdisteitä käytetään yhteiskunnassamme paljon, leviävät ne myös ympäristöön. Niitä esiintyy Suomessa yleisesti kaikkialla ja ympäri maailmaa.

PFAS-yhdisteet hajoavat ympäristössä erittäin hitaasti. Ei siis ihme, että niitä kutsutaan ikuisuuskemikaaleiksi.

PFAS-yhdisteiden hitaan hajoamisen vuoksi ne kertyvät ympäristöön. Tämä on aiheuttanut ja aiheuttaa huomattavia haittoja, kuten maaperän ja pohja- ja juomavesien saastumista. Ne kertyvät myös eliöihin.

Ympäristön saastuttamisen lisäksi PFAS-yhdisteet aiheuttavat haittoja ihmisille. Yhdisteet kertyvät elimistössä veren proteiineihin, munuaisiin ja maksaan, ja niille altistutaan pääasiassa ravinnon kautta, mutta myös kulutustuotteiden ja ympäristön kautta.

Yhdisteet ovat vaarallisia erityisesti siksi, että ne ovat hajuttomia, mauttomia ja värittömiä, joten niitä on mahdotonta havaita, kun ne jo valahtavat kurkusta alas.

Haasteena palontorjunnassa

Tutkimuksissa on havaittu kohonneita PFAS-pitoisuuksia muun muassa paloharjoittelualueiden pohjavesissä. Tämä ei sinänsä ole yllättävää, koska monet perinteiset vaahtosammuttimet ja sammutusnesteet sisältävät PFAS-yhdisteitä. Niitä käytetään siten myös tulipalojen sammutukseen. PFAS-yhdisteiden käyttö onkin yleistä palontorjunnassa.

Palontorjunnan parissa työskentelevät henkilöt altistuvatkin helposti PFAS-yhdisteille. Myös ympäristölle aiheutuu tulipalojen sammutuksesta vakavaa haittaa, koska ne ovat erittäin vaikeasti hajoavia.

PFAS-yhdisteitä käytetään palontorjunnassa paremman sammutustehon saavuttamiseksi. Euroopan kemikaalivirasto (ECHA) on kuitenkin ehdottanut vakavien haittojen torjumiseksi kaikkien PFAS-yhdisteiden kieltoa sammutusvaahdoissa. Markkinoille tuleekin koko ajan lisää PFAS-yhdisteistä vapaita, tehokkaita sammuttimia.

Kaikki perinteiset vaahtosammuttimet tai sammutusnesteet, joissa on AB-luokitus, sisältävät PFAS-yhdisteitä, jollei toisin ole mainittu. Yhdisteet antavat AB-luokan vaahtosammuttimelle B-teholuokan. A-teholuokan sammutin on tarkoitettu kiinteille, tavallisesti orgaanisille aineille, joiden palamisen yhteydessä muodostuu hehkuva hiillos, kuten puulle, paperille, tekstiileille ja hiilelle, kun taas B-teholuokan sammutin on tarkoitettu nesteiden tai nestemäisten aineiden, kuten bensiinin, öljyn, steariinin ja lakkojen sammuttamiseen.

Kun PFAS-yhdisteet jätetään pois sammuttimista, vaikuttaa se sammuttimen teholuokkaan ja soveltumiseen palavien nesteiden paloihin. PFAS-yhdisteitä koskevilla rajoituksilla tulisi olemaan suuri vaikutus vaahtosammuttimien korkeimpiin B-teholuokkiin. PFAS-yhdisteistä vapaissa sammuttimissa tuleekin vaihtoehtoina olemaan sammuttimet, joissa on hyvä A-teholuokka ja matalampi B-teholuokka, tai toisin päin. Tämän takia
sammuttimia hankkiessa tulee miettiä nykyistä tarkemmin, minkälaisten palojen sammuttamiseen sitä tarvitaan.

Uusi vihreä sammutinvalikoima

Vaikka lainsäädäntö ei ole vielä astunut voimaan, on jo olemassa PFAS-vapaita sammuttimia. Esimerkiksi GPBM Nordicin Juha Mäkinen toteaa, että yritys haluaa kuulua siihen joukkoon, joka vie vihreää kehitystä eteenpäin ja koko toimialaa kohti kestävämpää tulevaisuutta.

GPBM Nordic onkin päättänyt luopua kaikista PFAS:ia sisältävistä sammutusaineista korvatakseen ne 100-prosenttisesti PFAS-vapaalla ja vihreällä valikoimalla. Yritys on liittynyt ChemSecin aloitteeseen ”Ei PFAS:lle” ja toivoo, että useat alan yritykset päättävät seurata heidän esimerkkiään.

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2024.

Tilaa lehti! 

Tietoturvakatsaus 2024 -seminaarin antia

Tietoturva ry järjesti Tietoturvakatsaus 2024 -seminaarin Helsingissä 15.5.2024. Seminaarissa Suomen etu­rivin asiantuntijat ja ulkomaiset keynote-puhujat avasivat näkökulmia digitaalisen maailman tulevaisuuteen ja siihen liittyviin riskeihin. 

Tekoäly, robotisaatio, kyber­rikollisuus ja epävakaa globaali geopoliittinen tilanne vaikuttavat maailmaamme ennennäkemättömällä tavalla. Uudet teknologiat tuovat mukanaan valtavia mahdollisuuksia, mutta samalla ne luovat uusia uhkia kaikelle liiketoiminnalle ja turvallisuudelle.

Tietoturva ry järjesti Tietoturvakatsaus 2024 -seminaarin Helsingissä 15.5.2024. Seminaarissa Suomen etu­rivin asiantuntijat ja ulkomaiset keynote-puhujat avasivat näkökulmia digitaalisen maailman tulevaisuuteen ja siihen liittyviin riskeihin. Seuraavassa käydään läpi osa seminaarin puhujien esityksistä.

Oppia hybridisodasta ja taistelusta kriittisen infrastruktuurin puolesta

Sarah Armstrong-Smith toimii Microsoftilla Chief Security Advisorina. Hän kertoi, kuinka kyberhyökkäykset ja kybervaikuttamistoiminta ovat olleet keskeisiä aiheita maailmanlaajuisesti viime vuosina. Niiden tavoitteena ei ole ainoastaan vahingoittaa teknologisia infrastruktuureja vaan myös vaikuttaa kansalaisten mielipiteisiin ja päätöksentekoon. 

Venäjän aggressiivinen lähestymistapa kyberhyökkäyksiin ja kyber­vaikuttamistoimintaan ennen hyökkäystä Ukrainaan ja sen jälkeen on herättänyt huolta kansainvälisellä tasolla. Teknologiayritykset ja tiedustelupalvelut ovat vastanneet näihin uhkiin tarjoamalla ennakkovaroituksia ja puolustuskeinoja.

Organisaatioiden ja valtioiden on oltava valmiita vastaamaan muuttuviin uhkiin ja kehittämään strategioitaan sekä kyvykkyyksiään vastatakseen kyberuhkiin tehokkaasti. Tiedonjakamisen ja yhteistyön lisääminen on tärkeää kyberhyökkäysten torjunnassa. 

Armstrong-Smith kertoo, kuinka Microsoftin aloitteet ja teknologian käyttö ovat olleet keskeisessä roolissa pyrittäessä suojelemaan valtioita ja organisaatioita kyberuhilta. Hän korostaa, että painopiste vakoilussa ja vaikuttamisoperaatioissa osoittaa laajemmat strategiset tavoitteet, jotka tähtäävät geopoliittisen dynamiikan vaikuttamiseen. Kyberhyökkäykset eivät enää ole pelkästään teknologisia haasteita, vaan ne ovat osa laajempaa strategista kokonaisuutta, jossa pyritään vaikuttamaan maailmanpolitiikkaan ja -talouteen sekä kansainvälisiin suhteisiin.

Geopoliittiset jännitteet ja kyberuhat

ICT- ja liiketoimintakonsultoinnin palveluita tarjoavan CGI:n kyberturvallisuusyksikön johtava tietoturva-asiantuntija Ilmari Luoma puhui seminaarissa aiheesta ”Geopolitiikka ja turvallisuus: kyberuhkien kasvava rooli”. Hän kertoi, että nykyään Suomessa yritykset keskittyvät enemmänkin liiketoiminnan jatkuvuuden turvaamiseen kuin kasvun tavoitteluun, mikä heijastaa toimintaympäristön jatkuvaa muutosta ja nopeaa kiihtymistä. Yritysten toiminnan painopiste on siirtynyt kasvattamisesta ja kehittämisestä puolustamiseen ja tehostamiseen.

Vaikka kasvuodotukset ovat matalat, ei toimintaympäristö kuitenkaan pysähdy vaan jatkaa muuttumistaan kiihtyvässä tahdissa. Luoma toteaa, että yritysten on vastattava muutoksen haasteisiin pysyäkseen kilpailukykyisinä. Merkitystä olisikin annettava strategisille kumppanuuksille, investoinneille ja uudistumiselle samalla kun parannetaan tuottavuutta.

Geopoliittiset jännitteet ja kyberuhat ovat merkittäviä haasteita yritysten turvallisuudelle. Luoma toteaa, että kyberuhat eivät ole enää pelkästään tekninen ongelma vaan olennainen osa laajempaa geopoliittista turvallisuusympäristöä. Kyberturvallisuus ja geopolitiikka ovatkin kytkeytyneet erottamattomasti toisiinsa. 

Pilvipalvelut hyökkäyksen kohteena

Kyberturvallisuusteknologiayritys CrowdStriken Security Engineer Bastian Jacobsson kertoi seminaarissa heidän julkaisemansa vuoden 2024 CrowdStrike Global Threat Report -raportin tuloksista. Niiden mukaan hyökkääjät käyttävät varastettuja henkilöllisyys­todistuksia hyväkseen pilviympäristöissä. 

Hyökkääjät pyrkivät maksimoimaan kyberhyökkäysten nopeuden ja vaikutuksen. Tulokset osoittavatkin, että hyökkäysnopeus on kasvanut merkittävästi. Keskimääräinen murtautumisaika on laskenut 62 minuuttiin, kun se oli edellisvuonna 84 minuuttia. 

Kyberyökkäykset ovat myös lisääntyneet, koska viime vuonna pilvipalveluihin tunkeutuminen lisääntyi 75 prosentilla ja niihin kohdistuvat hyökkäykset lisääntyivät 110 prosenttia edellis­vuodesta. Jacobsson suosittelee kiinnittämään huomiota tekoälyn lisääntyvään hyödyntämiseen hyökkäyksissä, mutta seminaarissa nousi hyvin esille myös se, että meidän tulee kyetä hyödyntämään sitä entistä tehokkaammin myös suojautumisessa. 

Mitkä ovat tärkeimmät opetukset tietomurtojen estämiseksi ja niistä selviytymiseksi?

Kyberturvallisuusyritys Truesecin perustaja Marcus Murray korosti, että on ensinnäkin tärkeää ymmärtää, että tietomurrot eivät ole enää ”jos” vaan ”kun” -kysymys. Tällöin varautuminen ja nopea reagointi ovat avainasemassa. He tutkivat ja auttavat vuosittain sadoissa tietomurroissa organisaatioita Pohjoismaissa.

Murray nostaa esiin keskeisimmät opit, jotka organisaatioissa tulisi huomioida. Hän korostaa, että tietoisuutta tulee lisätä, koska erityisesti johdon tulisi ymmärtää kyberuhat ja niiden vaikutukset. Lisäksi henkilöstölle tulisi järjestää säännöllisesti koulutuksia ja tietoisuuskampanjoita, jotta he osaavat tunnistaa huijausyritykset ja tieto­murron merkit.

Murray ihmettelee, että vieläkin liian usein organisaatioissa on parannettavaa vahvojen salasanakäytänteiden ja monivaiheisen tunnistautumisen pakottamisessa kaikille käyttäjille. Samoin käyttöoikeuksien hallintaa sekä pääsyä eri järjestelmiin ja tietoihin pitäisi parantaa. 

Teknisestä näkökulmasta hän pitää tärkeänä käyttää nykyaikaisia uhkien havaitsemis- ja seurantatyökaluja, jotka voivat tunnistaa epäilyttävän toiminnan, koska niihin pitää pystyä reagoimaan nopeasti. Samoin varmuus­kopioinnin ja palautumissuunnitelman merkitys on olennainen, jos tietomurto tapahtuu. Varmuuskopiojärjestelyt on pidettävä suojattuna täysin erillään muusta toimintaympäristöstä.

Murray korostaa myös auditointien ja testauksien merkitystä, koska vain siten voidaan varmistaa, että organisaation suojaustoimenpiteet ovat ajan tasalla ja tehokkaita. Tärkeää on myös tehdä tiivistä yhteistyötä sidosryhmien kanssa, koska tiedon jakaminen ja yhteiset ponnistelut voivat auttaa kaikkia osapuolia torjumaan kyberuhkia tehokkaammin.

Murray tiivistää lopuksi, että kyberriskienhallinnassa on tärkeää olla jatkuvasti kehittyvä ja oppiva. Seuraamalla alan parhaita käytäntöjä ja pysymällä ajan tasalla uusimmista uhkista voi parantaa organisaation tietoturvaa sekä pienentää riskejä.

Digitaalinen työntekijäkokemus kunniaan

Ohjelmistoyritys Applixuren toimitusjohtaja Harri Turtiainen puhui digitaalisesta työntekijäkokemuksesta tieto­turvallisuuden näkökulmasta. Hän kertoi, että palveluiden ja palvelinten siirtyessä pilveen on hyökkääjien ja sitä kautta puolustajien huomio siirtymässä työasemiin. Samalla niiden tietoturva on tärkeä osa digitaalista työntekijäkokemusta, jolla tarkoitetaan, kuinka hyvin tietotekniikka palvelee työntekijää tehtävänsä suorittamisessa ja tavoitteisiinsa pääsemisessä.

Monesti tietoturvallisuus ja sen vaatimukset nähdään ulkoa tai ylhäältä annettuina. Jos työntekijä epäilee käyttämänsä tietotekniikan tai oman toimintansa tietoturvallisuutta, myös tuottavuus ja tyytyväisyys kärsivät. Lisäksi useat työntekijät kokevat tieto­turvan työtä hankaloittavaksi. Parhaimmillaan tietoturvallisuus onkin sujuvaa ja näkymätöntä. 

Turtiainen huomauttaa, että tietoturvassa on nykyään ollut pakko siirtyä avoimeen yhteiskuntaan, jossa joudutaan suojautumaan sisältäpäin, kun monet työntekijöistä työskentelevät etänä. Hän kuvailee tilannetta siten, että kun esimerkiksi keskiajalla kaupungit pyrkivät suojautumaan muureilla hyökkääjiä vastaan, niin muurien sisällä suojaus ei ollutkaan kummoinen. Nykyään lähtökohtana on, että työasema on jatkuvasti avoimessa verkossa hyökkääjien saavutettavissa. Enää ei voida tuudittautua muurin suojaan.

Turtiainen muistuttaa, että on erityisen tärkeää, että päivitysten asentumista valvotaan erikseen. Tärkeää on huolehtia myös, että koneissa on Bitlocker tai Filevault -salausohjelma varmasti päällä eikä käyttäjillä ole admin-oikeuksia, jotka pitäisi olla vain hyvin harvoilla ja valituilla. Jokaisen tulisi myös muistaa, että mitä enemmän on ohjelmistoja, sitä enemmän on hyökkäyspintaa ja päivitettävää. Tilannetta tulisikin hallita aktiivisesti eli tuoda uutuuksia ja tarjota vaihtoehtoja, mutta samalla siivota vähän käytettäviä pois.

Työaseman tietoturvallisuuden perusta onkin oikein konfiguroitu ja päivitetty päätelaite, jossa on kaikki se, mitä työntekijä tarvitsee, muttei mitään turhaa. Turtiainen toteaa, että tähän päästään, kun IT:llä on ajantasainen tilannekuva.

Kyberturvallisuuteen kannattaa investoida

Marja Dunderfelt, Huawein kyberturvallisuus- ja tietosuojajohtaja, tarkasteli kyberturvallisuutta investoinnin näkökulmasta. Hän kertoi, että maailman digitalisoituessa uudet digitaaliset palvelut ovat hyödyllisiä vain, jos niihin voidaan aina luottaa. Tämä edellyttää kyberturvallisuuden ja käytettävyyden huomioimista jo palveluita suunniteltaessa.

Dunderfelt korostaa, että palvelun riittävä turvallisuus saavutetaan huomioimalla kyberturvallisuus ja tietosuoja palvelun kehityksen jokaisessa vaiheessa. Kyberturvallisuuden potentiaali myynninedistäjänä kannattaa myös huomioida, mikä onnistuu tekemällä palvelusta riittävän tietoturvallinen ja käyttämällä riittävän näkyvää viestintää.

Kyberturvallisuus onkin tärkeä osa liiketoiminnan jatkuvuutta ja elinvoimaisuutta. Dunderfelt muistuttaa, että kyberturvallisuuden suojaamiseen tarkoitetun budjetin tulisi oltava riittävä ja toiminnalle olisi hyvä nimetä vastuuhenkilö, jonka olisi pystyttävä viestimään johdolle kyberturvallisuudesta selkokielellä ja niin, että johto ymmärtää, millaiset vaikutukset kyberturvallisuuden varmistamistoimilla on myös taloudellisesta näkökulmasta.

Hyvin meidän käy

Kansanedustaja ja kyberturvallisuuden työelämäprofessori Jarno Limnéll kertoi, että tänä päivänä maailmassa, jossa teknologia ja kyberturvallisuus ovat keskeisessä roolissa, Suomen asema on korostunut entisestään. Viimeaikaiset tapahtumat, kuten keskustelut Yhdysvalloissa ja Natossa sekä uudet solmitut yhteistyösopimukset, kertovat Suomen vahvasta osaamisesta, arvostuksesta ja asemasta turvallisuuspolitiikassa.

Limnéll toteaa, että kyberturvallisuus ei ole enää vain IT-asia, vaan on olennainen osa turvallisuuspolitiikkaa ja kokonaisturvallisuutta. Erityisesti kiinnostusta herättää Suomen kokonaisturvallisuusmalli, joka on saanut huomiota ja kiitosta kansainvälisiltä kumppaneilta. 

Tämä korostaa tarvetta kasvattaa osaamista ja vahvistaa kansainvälisiä kumppanuuksia kyberturvallisuuden varmistamiseksi.

Limnéll kertoo, että keskusteluissa Naton kanssa korostuu teknologisten innovaatioiden merkitys turvallisuudelle. Suomen on tärkeää harkita, mihin teknologioihin se haluaa panostaa ja millä tavoin se voi tuoda lisäarvoa kansainväliselle yhteisölle. 

Hän korostaa, että vaikka maailman turvallisuustilanne on haastava ja epävarma, on tärkeää tuoda esiin myös positiivisia viestejä ja korostaa Suomen vahvuuksia. Yhteistyö Yhdysvaltojen ja muiden kumppanimaiden kanssa on merkki siitä, että Suomen osaamista arvostetaan kansainvälisesti. Suomi on vahvemmassa asemassa kuin koskaan aiemmin, joten hyvin meidän käy.

Kvanttilaskenta, robotisaatio ja tekoäly 

Seminaarissa järjestettiin lopuksi paneelikeskustelu ja iltaohjelmaa, jossa pohdittiin, millainen tulevaisuus meitä odottaa ja miten meidän tulisi siihen varautua. Tietoturva ry:n varapuheenjohtaja Kimmo Rousku oli tuonut demonstraatiolaitteita, joilla hän havainnollisti kvanttilaskennan toimintaa. 

Hän kertoi, että voimme verrata kvanttilaskentaa varhaisiin tietokoneisiin, kuten ENIACiin (Electronic Numerical Integrator and Computer), joka otettiin käyttöön 1940-luvulla. Se koostui noin 47 000 radioputkesta ja kulutti valtavasti sähköä; huhujen mukaan sitä käynnistettäessä jopa Philadelphian valot himmenivät. Sieltä peräisin on myös termi ”bugi”, koska koneen toimintahäiriöt johtuivat usein sen sisälle lentäneistä hyönteisistä. ENIACin käytettävyysaste oli hyvin alhainen muun muassa näiden ”bugien” takia.

Kun transistorit korvasivat radioputket, tietotekniikka kehittyi merkittävästi. Ensimmäinen Intelin prosessori 4004 julkaistiin vuonna 1972, ja se sisälsi 2 300 transistoria. Tämä oli valtava parannus verrattuna radioputkiin perustuvaan teknologiaan. Nykyisissä prosessoreissa, kuten muutaman vuoden vanhassa palvelinprosessorissa, on jo 6 miljardia transistoria. Nämä prosessorit laskevat edelleen nollilla ja ykkösillä, mutta valtavan laskentatehon ansiosta ne voivat saavuttaa merkittäviä tuloksia.

Rousku muistuttaa, että kvanttitietokoneissa taas voidaan hyödyntää tiloja, jotka ovat jotain nollan ja ykkösen väliltä, ja jopa lähes ääretöntä määrää muita tiloja. Tämä tekee niiden laskentatehosta lähes rajattoman tietyissä sovelluksissa. Kvanttitietokoneiden vaikutus kyberturvallisuuteen on merkittävä, sillä ne voivat helposti murtaa nykyisin käytössä olevia salausalgoritmeja. Tämä asettaa uusia haasteita kyberturvallisuudelle, mutta myös mahdollisuuksia kehittää entistä vahvempia salausmenetelmiä. 

Kvanttitietokoneiden kehityksen myötä joudumme päivittämään tieto­turvakäytäntöjä ja ottamaan huomioon uudenlaiset uhat sekä mahdollisuudet. Sama asia koskee myös robotisaatiota ja tekoälyä. Rouskun hauskat hahmot AI-Kimmo (hyvis) ja AI-Kammo (pahis) näyttivät vielä käytännön vinkkejä, mihin ja miten tekoälyä voidaan hyödyntää.

Rousku kertoi seminaarin lopuksi, että seuraava Tietoturvakatsaus 2024 -seminaari järjestetään Helsingin Ritari­huoneella ennen Finnish Security Awardsia 14.11.2024, joten päivämäärä kannattaa laittaa jo kalenteriin ylös.

Seminaari on suunnattu kaikille, jotka ovat kiinnostuneita digitaalisen maailman tulevaisuudesta ja turvallisuudesta. Seminaari on erinomainen tilaisuus oppia uutta ja verkostoitua alan ammattilaisten kanssa.  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 

DNV panostaa kyberturvallisuusliiketoimintaan 

DNV osti suomalaisen kyberturvayhtiö Nixu Oyj:n. Tämä tuo yhteen yli 500 kyberturvallisuusalan ammattilaista tarjoamaan laajan valikoiman konsultointi- ja hallinnointipalveluita kyberriskien hallitsemiseksi. 

Det Norske Veritas (DNV) on varmennuksen ja riskienhallinnan tarjoaja, joka osti suomalaisen kyberturvayhtiö Nixu Oyj:n. Yritysoston myötä yli 500 kyberturvallisuusalan ammattilaista yhdistää voimansa tarjotakseen kattavia palveluja kyberriskien hallintaan. Samalla yritykset yhdistävät myös sertifiointiliiketoimintansa.

”Kyberriskeillä voi olla valtavia vaikutuksia turvallisuuteen, luotettavuuteen, ympäristöön ja talouteen, ja näin ne voivat uhata yhteiskuntiemme toimintaa. Siksi on välttämätöntä, että organisaatiot suojaavat IT-ympäristöjään ja teollisuusautomaatiojärjestelmiään tehokkaasti ja kattavasti”, sanoo DNV Business Assurance Finland Oy Ab:n Area Manager Anders Lindgren.

Kaikki alkaa merestä

DNV on perustettu Oslossa vuonna 1864. Silloin yrityksen tavoitteena oli luoda yhdenmukaiset säännöt ja menettelyt alusten kunnon ja merikelpoisuuden arvioimiseksi, jotta riskejä voitiin hallita ja määrittää oikea vakuutusmaksu aluksille ja niiden lastille. 

DNV oli vuonna 1914 mukana Titanicin uppoamisen seurauksena pidetyssä kokouksessa, jonka tuloksena syntyi kansainvälinen sopimus ihmishenkien turvaamisesta merellä.

Vuonna 1969 yritys osti Norjan suurimman tietokoneen ja kehitti ensimmäisen ohjelmistoratkaisun laivojen ja offshore-rakenteiden suunnittelua ja optimointia varten. 

Seuraavana vuonna Pohjanmereltä löydettiin öljyä ja kaasua, jolloin yrityksen osaamiselle oli entistä enemmän tarvetta. Yritykselle annettiin tehtäväksi suurin osa Norjan mannerjalustan rakennusvalvonnasta ja -tarkastuksista. 

DNV julkaisi vuonna 1976 maailman ensimmäiset putkistosäännöt, ja vuoteen 2008 mennessä 65 prosenttia kaikista maailman offshore-putkijohdoista oli rakennettu yrityksen standardien mukaisesti. 

Noin kymmenen vuotta myöhemmin, vuonna 1987, ISO 9000 -laadunhallintastandardit otettiin käyttöön ja DNV:stä tuli yksi johtavista yrityksistä, jotka sertifioivat johtamisjärjestelmiä. Tämä laajensi yrityksen toimintaa maailmanlaajuisesti vieden sen monille eri teollisuudenaloille.

DNV on vuosien varrella myös esimerkiksi aloittanut lääkinnällisten laitteiden sertifioinnin EU:ssa ja laatustandardien sertifioinnin yhdysvaltalaisissa sairaaloissa. Vuonna 2012, erään yrityskaupan myötä, DNV:stä tuli lisäksi maailmanlaajuisesti johtava neuvonantaja ja sertifioija puhtaamman energian, sähköntuotannon, -siirron ja -jakelun alalla. 

Koronapandemian jälkeen yritys on laajentanut digitaalisia palveluitaan, etätarkastuksia, drone-tarkastuksia ja tekoälyvalmiuksia. 

Tänä päivänä

DNV on nykyään maailman johtava luokituslaitos ja meriteollisuuden tunnustettu neuvonantaja. Yritys tarjoaa testaus-, sertifiointi- ja teknisiä neuvontapalveluja energia-alan arvoketjulle, ja se on yksi maailman johtavista johtamisjärjestelmien sertifiointielimistä. DNV:llä on yli 15 000 työntekijää ja toimintaa yli 100 maassa.

DNV tarjoaa riskienhallintaan sekä turvallisuuden ja omaisuuden suorituskyvyn parantamiseen tarkoitettuja digitaalisia ratkaisuja laivoihin, putkistoihin, jalostuslaitoksiin, offshore-rakenteisiin, sähköverkkoihin, älykkäisiin kaupunkeihin ja muihin kohteisiin.

DNV auttaakin yrityksiä liiketoiminnassaan, olipa kyse sitten meriturvallisuuden arvioinnista, energiahankkeisiin liittyvästä neuvonnasta, toimitusketjujen sertifioinnista, elintarviketurvallisuuden edistämisestä, potilaiden hoidon parantamisesta tai kyberriskien hallinnasta.

Suomessa DNV:llä on yli kolmen vuosikymmenen mittainen historia sertifiointipalvelujen tarjoajana. Yritys tarjoaa sertifiointi- ja asiantuntijakoulutuspalveluita useille eri sektoreille ja teollisuudenaloille.

Sertifiointipalveluista ISO 9001-standardi on yhä hallintajärjestelmistä suosituin, mutta sen rinnalle ovat nousseet myös ISO 14001, ISO 45001 ja ISO 27001. DNV jatkaa toimintaansa standardien kehittämisessä ja ratkaisujen etsimisessä maailmanlaajuisiin haasteisiin. Yrityksen globaalista liikevaihdosta 5 prosenttia investoidaan tutkimus- ja kehitysohjelmiin. 

Mitä yhdistyminen tuo tulleessaan?

DNV on luonut yhden Euroopan nopeimmin kasvavista kyberturvallisuuspalveluyrityksistä yhdistämällä olemassa olevan kyberturvallisuusliiketoimintansa ja kaksi hiljattain ostettua yritystä: Nixun ja Applied Riskin. Yhdistymisen myötä kyberturvallisuuden asiantuntijat suojaavat vaativia IT- ja teollisuuden ohjausjärjestelmäympäristöjä useilla eri toimialoilla. 

Nixu on Helsingissä vuonna 1988 perustettu kyberturvayhtiö. Yrityksen perusti Pekka Nikander. Yrityksen nimi ”Nixu” on johdettu perustajansa sukunimestä, Unix-käyttöjärjestelmästä ja tietokonelaboratoriosta nimeltä ”Niksula”, jossa Nikander työskenteli opiskelijana.

Nixu tarjoaa ratkaisuja liiketoiminnan jatkuvuuden, digitaalisten palvelujen helpon saatavuuden ja tietoturvallisuuden varmistamiseksi. Se työllistää noin 400 alan asiantuntijaa Suomessa, Ruotsissa, Alankomaissa, Tanskassa ja Romaniassa. 

Nixun tytäryhtiö Nixu Certification Oy toimii Traficomin hyväksymänä ja FINASin akkreditoimana virallisena kansallisen tietoturvallisuuden arviointilaitoksena. 

Nixun, Applied Riskin ja DNV:n yhdistymisen myötä Nixun toimitusjohtaja Teemu Salmi nimitettiin johtamaan yhdistettyä liiketoimintaa, joka alkaa toimia nimen DNV Cyber alla vuoden 2025 alusta alkaen. Hän toimiikin jatkossa uuden kyberturvallisuuspalveluyksikön toimitusjohtajana. 

Yhdistetty kyberturvapalveluliiketoiminta tekee yhteistyötä asiakkaiden ja tietoturvayhteisön kanssa innovoinnin ja alan parhaiden käytäntöjen edistämiseksi. Se hyötyy DNV:n pitkäaikaisesta sitoutumisesta tutkimukseen ja innovointiin.

Tietoturvauhkiin liittyvä kasvanut tietoisuus on nostanut tietoturvaan liittyvien palveluiden kysyntää vauhdikkaasti. DNV:n muutaman vuoden takaisesta Viewpoint-tutkimuksesta selvisi, että yritykset pyrkivät hallitsemaan tietoturvariskejä muun muassa osallistamalla asianmukaisen henkilöstön tietoturvan hallintaan, laatimalla tietoturvapolitiikan, jolla on ylimmän johdon hyväksyntä, sekä kouluttamalla henkilöstöään. 

Tutkimus osoittaa, että osaamisen, oikeanlaatuisten resurssien ja yleisen tietoisuuden tarve lisääntyy kaikkien organisaatiossa työskentelevien kohdalla. Tämä heijastaa uusien teknologioiden käyttöönottoa ja lisääntyneitä kyberriskejä. Myös NIS2-direktiivi ja muu kansainvälinen sääntely vauhdittavat yritysten hakeutumista tietoturvan hallintaan liittyvien palveluiden piiriin.

”Yhdistetty liiketoimintamme tarjoaa asiakkaillemme laajan ja syvällisen kyberturvallisuuden asiantuntijuuden, joka kattaa sekä johtamisjärjestelmät, IT-ympäristöt että teollisuusautomaatiojärjestelmät. Jatkossa voimme luoda aivan uusia synergioita ja mahdollistaa osaamisen jakamista eri toimialojen välillä, mikä parantaa asiakkaidemme kyberturvallisuuden tasoa ja laatua”, kertoo Lindgren.  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 

Jyväskylästä kyberturvallisuuden osaamiskeskittymä vahvistamaan kansallisia tavoitteita

Jyväskylän yliopisto ja Jyväs­kylän ammattikorkeakoulu muodostivat maaliskuussa 2023 Suomen kyberosaamiskeskuksen (Finnish Center of Expertise for Cybersecurity, FICEC), jonka tarkoituksena on kyberturvallisuuden huippu­tutkimuksen ja -osaamisen vahvistaminen valtakunnallisesti.

Jyväskylän yliopisto ja Jyväs­kylän ammattikorkeakoulu muodostivat maaliskuussa 2023 Suomen kyberosaamiskeskuksen (Finnish Center of Expertise for Cybersecurity, FICEC), jonka tarkoituksena on kyberturvallisuuden huippu­tutkimuksen ja -osaamisen vahvistaminen valtakunnallisesti. 

Suomen kyberosaamiskeskuksen visiona on kehittyä huippuluokan kansainväliseksi kyberturvallisuuden tutkimus- ja koulutuskeskukseksi, joka vahvistaa alueen ja koko Suomen kyberturvallisuusbrändiä. Osaamiskeskuksessa yhdistyy vahva yhteistyö elinkeinoelämän ja muun yhteiskunnan kanssa, kyky uusimman teknologian soveltamiseen sekä organisaatioiden vahva sitoutuminen toimintaan. Toiminnallaan osaamiskeskus luo tulevaisuuden osaamista ja kestäviä ratkaisuja yhteiskunnan kyberturvallisuuden haasteisiin niin julkisella kuin yksityisellä sektorilla sekä edistää taloudellista kasvua tukemalla ja vahvistamalla yritysten liiketoimintamahdollisuuksia.

Osaamiskeskuksen taustalla on vahva kyberturvallisuusosaaminen Jyväskylässä. Molemmat korkeakoulut, yliopisto ja ammattikorkeakoulu, tarjoavat kyberturvallisuusalan tutkintoon johtavaa korkeakoulutusta. 

Jyväskylän yliopiston kyberturvallisuuden profiloituminen aloitettiin vuonna 2009. Kyberturvallisuusalan opetus aloitettiin vuonna 2011, ja ylempään korkeakoulututkintoon tähtäävä maisteriohjelma käynnistyi vuonna 2015 informaatioteknologian tiedekunnassa. 

Jyväskylän yliopistossa kyberturvallisuuden tutkimus on laaja-alaista ja monitieteistä, jonka huippututkimuksen keskeisiä aloja ovat muun muassa kriittisen infrastruktuurin suojaaminen, kyberturvallisuuden johtaminen, kyberturvallisuuskäyttäytyminen, kyberturvallisuuden teknologiset ratkaisut sekä kyberrikollisuus ja kyberpuolustus. 

Jyväskylän ammattikorkeakoulussa kyberturvallisuuden opetus alkoi vuonna 2013, ja siellä voi suorittaa kyberturvallisuuden insinööri (AMK)- ja insinööri (YAMK)-tutkinnon. JYVSECTEC (Jyväskylä Security Technology) on JAMK:iin kuuluva kyberturvallisuuteen ja tekoäly­kehitykseen keskittynyt tutkimus-, koulutus- ja kehityskeskus. Se tarjoaa kyberturvallisuuskoulutuksia ja -harjoituksia yrityksille ja julkisille toimijoille. 

JYVSECTEC on kehittänyt Suomen kansallisen Cyber Range -kyber­harjoitusympäristön ja on järjestänyt vuodesta 2013 kansallisia kyberturvallisuusharjoituksia esimerkiksi turvallisuusviranomaisille, valtionhallinnolle, terveydenhuollolle sekä kuntasektoriin että kriittiseen infrastruktuuriin.

Kyberturvallisuuden koulutustarpeita tutkittiin vuonna 2022

Valtion kyberturvallisuusjohtajan johdolla laaditussa kyberturvallisuuden kehittämisohjelmassa (2021) määritettiin keskeiset toimenpiteet kyberturvallisuuden parantamiseksi koko yhteiskunnassa. Siinä kuvattiin kyberturvallisuuden kehittämisen lyhyen ja pitkän aikavälin tavoitteita (2021–2030) ja painopistealueita. Sen mukaan vahva kansallinen kyberturvallisuus edellyttää tarvittavaa osaamista ja laajaa osallistumista yhteiskunnan kaikilla eri tasoilla, tiivistä yhteistyötä erityisesti julkishallinnon ja elinkeinoelämän välillä sekä vahvaa kotimaista kyberturvallisuusteollisuutta, joka luo kyvykkyyksiä digitaalisen yhteis­kunnan palveluiden turvaamiselle. Lisäksi tarvitaan eri viranomaisten kyberturvallisuuskyvykkyyksiä luomaan pohjaa koko yhteiskunnan turvalliselle toiminnalle.

Osana kyberturvallisuuden kehittämisohjelmaa Jyväskylän yliopisto, Jyväskylän ammattikorkeakoulu ja Turun ammattikorkeakoulu selvittivät vuonna 2022 laaja-alaisesti kyberturvallisuuteen liittyvän osaamisen määrällistä ja laadullista kehittämistä perusopetuksessa, toisen asteen koulutuksessa sekä yliopistoissa ja ammattikorkeakouluissa. Tutkimuksessa kartoitettiin kyberammattilaisten tarvetta sekä esitettiin kehittämislinjauksia eri koulutusasteille. 

Tutkimuksessa todettiin, että osaamispohjan vahvistaminen ja kyber­turvallisuusteollisuuden toimintaedellytysten parantaminen ovat ensiarvoisen tärkeitä paitsi elinkeinopoliittisesti myös kansallisen turvallisuuden näkökulmasta. Suomessa tulee tehdä huomattavia lisäpanostuksia alan koulutuksen lisäämiseen, investointeihin sekä tutkimus- ja tuotekehityshankkeiden käynnistämiseen ja niiden tulosten markkinoille saamiseen. Osaajapula haittaa jo nykyisellään alan kehitystä ja yritysten menestymismahdollisuuksia. 

Käynnissä oleva teknologiamurros (tekoäly, kvantti) ja digitalisaatio tulevat entisestään kasvattamaan kyber­turvallisuusalan osaamispulaa, siksi koulutusmahdollisuuksia tulee lisätä sekä työelämässä että eri koulutusasteillakin. Tutkimus osoitti, että kansallisen kyberturvallisuuden huippuosaamisen kehittäminen edellyttää riittävän osaamiskeskittymän muodostumista. 

Jyväskylä koordinoi kansallisen kyberturvallisuuskoulutusverkoston kehittämistä

Merkittävä askel kyberturvallisuuden kehitystyössä otettiin loppuvuodesta 2022, kun opetus- ja kulttuuriministeriö myönsi Jyväskylän yliopistolle ja Jyväskylän ammattikorkeakoululle rahoituksen kyberturvallisuusalan koulutuksen kehittämiseen. Jyväskylän yliopisto koordinoi yhdeksän yliopiston muodostamaa verkostoa ja Jyväskylän ammattikorkeakoulu vastaavasti 14 ammattikorkeakoulun verkostoa. Koulutuksen kehittämistyössä on vahvasti myös mukana tekniikan alan verkostoyliopisto FITech (Finnish Institute of Technology).

Hankkeessa kootaan kyberturvallisuusalan korkeakoulutusta tutkimusperusteisesti kehittävä, koordinoiva ja tarjoava verkosto, jonka avulla pystytään vahvistamaan ja laajentamaan Suomessa tarjottavaa kyberturvallisuuden korkeakoulutusta. Ensisijaisena tavoitteena on varmistaa laaja-alainen ja jatkuva kyberturvallisuuden erityisosaamisen koulutus. 

Kyberturvallisuuden korkeakoulutusta kehitetään, tuotetaan ja jaetaan koulutusverkoston yhteistyönä. Kehittämisen painopiste on kyberturvallisuuden erityisosaamisen koulutuksen vahvistamisessa korkeakouluissa. Keskeisenä tavoitteena on vastata kyberturvallisuuden osaajapulaan lisäämällä koulutusta alueille, joilla on kriittistä koulutuskysyntää ja hyvät työllistymismahdollisuudet. Lisäksi hanke pyrkii varmistamaan riittävän tason kyberturvallisuuden perusosaamisessa laaja-alaisesti korkeakouluopiskelijoille. 

Hankkeen aikana tuotetaan perusosaamista lisääviä alempaan korkeakoulututkintoon sopivia kursseja ja erityisosaamista tuottavia ylemmän korkeakoulututkinnon kursseja. Opetusta avataan myös työelämässä jo oleville. Korkeakoulujen vuorovaikutusta vahvistetaan teollisuuden ja julkisen sektorin kanssa tutkinto-
opetuksen ja työelämässä olevien kyberturvallisuusosaamisen kehittämiseksi. 

Kyberturvallisuuden koulutusta pyritään tarjoamaan laaja-
alaisesti eri opiskelijaryhmille yli korkeakoulurajojen sekä työelämässä oleville, esimerkiksi tarjoamalla avoimia verkossa olevia kursseja. Kyberturvallisuuden perusosaamista parannetaan ja laajennetaan luomalla opetusta, joka skaalautuu suurelle opiskelijamäärälle ja jota jaetaan verkossa tai kampuksella useille korkeakouluille sekä elin­ikäisille oppijoille. 

Sellaisten opintokokonaisuuksien tarjoaminen, jotka koostuvat usean yliopiston ja ammattikorkeakoulun kursseista, nähdään yhtenä keinona kyberturvallisuuden erityisosaajien määrän lisäämiseen. Hankkeessa täsmennetään koulutustarpeita ja koordinoidaan korkeakoulujen välistä opetustarjontaa vastaamaan tarpeeseen.

Yhdessä enemmän

Kyberturvallisuuden osaamiselle ja opetukselle on laajentuvaa tarvetta, eikä alan opetuksessa ole aikaisemmin ollut riittävästi korkeakoulujen välistä yhteistyötä. Vaikka yliopistot ja ammattikorkeakoulut ovat rekrytoineet alan opettajia ja tutkijoita, yksittäisillä korkeakouluilla ei ole riittäviä resursseja kasvattaa merkittävästi kyberturvallisuuden opetusta. Kyberturvallisuuden koulutuksen kehittämiseen ja laajentamiseen tarvitaan entistä vahvempaa yhteistyötä.

Suomen kyberosaamiskeskus vahvistaa kansallista kyberturvalli­suutta tuomalla laajasti yhteen eri toimijoita korkeakoulusektorilta, julkishallinnosta ja yrityssektorilta. Tämän avulla voidaan muodostaa ja käynnistää teollisuuden sekä muun elinkeino­-
elämän ja toimintaympäristön tarpeisiin perustuvia, digitaalisuutta edistäviä ja kyberresilienssiä vahvistavia tutkimus- ja kehittämiskokonaisuuksia. 

Kyberosaamiskeskukselle rakentuu merkittävä kansallinen rooli kyberturvallisuustietoisuuden edistämisessä sekä kyberturvallisuusosaamisen kehittämisessä ja sen
koordinoinnissa kaikilla kouluasteilla. 

Kyberosaamiskeskus osallistuu myös aktiivisena toimijana kansallisen kyberturvallisuuden resilienssin vahvistamiseen ja tekee siihen liittyvää suunnitelmallista yhteistyötä viranomaisten, muiden julkisen sektorin toimijoiden sekä yksityisen sektorin kanssa. Siten kyberosaamiskeskus yhdessä verkostonsa kanssa luo vahvan kansallisen kyberturvallisuusyhteisön.  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 

Maailman ensimmäiset tekoälyä koskevat säännökset tulevat EU:sta

Euroopan parlamentti hyväksyi maaliskuussa 2024 kaikkien aikojen ensimmäisen tekoälyä koskevan säädöksen, AI Actin.

Euroopan parlamentti hyväksyi maaliskuussa 2024 kaikkien aikojen ensimmäisen tekoälyä koskevan säädöksen, AI Actin. EU:n neuvoston on vielä hyväksyttävä se.

AI Actissa on keskitytty rajoittamaan tekoälyyn liittyviä riskejä, erityisesti erittäin tehokkaiden ja vaikuttavien tekoälyjärjestelmien riskejä. Sillä pyritäänkin takaamaan ihmisten ja yritysten turvallisuus ja perusoikeudet tekoälyyn liittyen.  

Säädöksen tavoitteena on tarjota tekoälyn kehittäjille ja käyttöönottajille selkeät vaatimukset ja velvoitteet koskien tekoälyn tiettyjä käyttötapoja. Sillä pyritään myös samalla vähentämään yritysten, erityisesti pk-yritysten, hallinnollista ja taloudellista rasitusta.

Säädöksellä pyritään lisäksi vahvistamaan tekoälyn käyttöönottoa, investointeja ja innovaatioita kaikkialla EU:ssa ja myös sen ulkopuolella. Säädöstä ei sovelleta muun muassa tekoälyjärjestelmiin, joita käytetään ainoastaan tutkimus- ja innovointitarkoituksiin, sotilaallisiin tai puolustustarkoituksiin eikä henkilöihin, jotka käyttävät tekoälyjärjestelmiä pelkästään henkilökohtaisessa, muussa kuin ammattitoiminnassa.

Suuririskisiä tekoälyjärjestelmiä säännellään tiukemmin

Tekoälyjärjestelmiltä tullaan vaatimaan avoimuutta, sillä yleiskäyttöisten tekoälyjärjestelmien ja niiden perustana olevien mallien on täytettävä tietyt avoimuusvaatimukset ja noudatettava EU:n tekijänoikeuslainsäädäntöä, kun malleja koulutetaan. Keinotekoisesti tuotettu tai manipuloitu kuva-, ääni- tai video­sisältö (”syväväärennös”) on esimerkiksi merkittävä selkeästi sellaiseksi.

Jos yleiskäyttöinen tekoälyjärjestelmämalli on tehokkaampi ja voi aiheuttaa järjestelmäriskejä, kohdistuu siihen lisävaatimuksia, kuten mallien arviointia, järjestelmäriskien arviointia ja lieventämistä sekä raportointia vaaratilanteista.

Suuririskisiä tekoälyjärjestelmiä tulevat koskemaan myös erityiset velvoitteet. Tekoälyn käyttöön liittyy suuria riskejä, kun kyseessä ovat kriittinen infrastruktuuri, koulutus, työllisyys, keskeiset yksityiset ja julkiset palvelut (muun muassa terveydenhuolto ja pankkitoiminta), tietyt lainvalvonta-, maahanmuutto- ja rajavalvontajärjestelmät sekä oikeudelliset ja demokraattiset prosessit. 

Järjestelmillä onkin arvioitava ja vähennettävä riskejä, ylläpidettävä käyttölokeja ja varmistettava ihmisen suorittama valvonta. Järjestelmien tulee myös olla läpinäkyviä ja täsmällisiä. 

Kansalaisilla tulee olemaan oikeus tehdä tekoälyjärjestelmistä valituksia ja saada selvityksiä suuririskisiin tekoälyjärjestelmiin perustuvista päätöksistä, jotka vaikuttavat heidän oikeuksiinsa.

Säädöksessä tulee olemaan myös lista kielletyistä tekoälyyn liittyvistä käytännöistä. Kiellettyjä tulevat olemaan esimerkiksi tekoälysovellukset, joiden voidaan katsoa uhkaavan kansalaisten oikeuksia, kuten arkaluonteisiin ominaisuuksiin perustuvat biometriset luokittelujärjestelmät ja kasvokuvien kohdentamaton haravointi internetistä tai valvontakamerakuvista kasvojentunnistustietokantojen luomiseksi. 

Kiellettyjä tulevat olemaan lisäksi esimerkiksi sosiaalinen pisteytys, ennakoiva poliisi­toiminta (kun se perustuu yksinomaan henkilön profilointiin tai heidän ominaisuuksiensa arviointiin) ja tekoäly, joka manipuloi ihmisen käyttäytymistä tai hyödyntää ihmisten haavoittuvuuksia.

Lainvalvonnassa biometristen tunnistus­järjestelmien käyttö tulee olemaan pääsääntöisesti kiellettyä. Niitä voidaan käyttää kuitenkin esimerkiksi, jos noudatetaan tiukkoja suojatoimia, kuten rajoitetaan niiden käyttöä ajallisesti ja maantieteellisesti sekä edellytetään ennakolta erityistä oikeudellista tai hallinnollista lupaa. Kyseisiä käyttötarkoituksia voivat olla muun muassa kadonneen henkilön kohdennettu etsintä tai terrori-iskun estäminen.

Säädöksessä tulee olemaan oma lukunsa innovoinnin tukemista koskien. Sääntelyllä tuetaankin myös innovaatioita ja pk-yrityksiä, sillä kansallisella tasolla on perustettava sääntelyn testiympäristöjä ja suoritettava testausta todellisissa olosuhteissa. Nämä on lisäksi saatettava pk-yritysten ja uusien yritysten saataville, jotta innovatiivista tekoälyä voidaan kehittää ja kouluttaa.

Valvonta ja voimaantulo

AI Actin täytäntöönpanoa jäsenvaltioiden kanssa valvoo helmikuussa 2024 perustettu Euroopan tekoälytoimisto, jonka tavoitteena on luoda ympäristö, jossa tekoälyteknologiat kunnioittavat ihmisarvoa, oikeuksia ja luottamusta. 

Tekoälytoimisto edistää myös yhteistyötä, innovaatioita ja tekoälytutkimusta eri sidosryhmien kesken. Se käy lisäksi kansainvälistä vuoropuhelua tekoälykysymyksissä. AI Actin rikkomisesta voidaan määrätä säädöksessä määritelty sakko.

Kun AI Act tulee voimaan, sovelletaan sitä kahden vuoden kuluttua sen voimaantulosta. Poikkeuksen tähän muodostavat kiellettyjä käytäntöjä koskevat kiellot (sovelletaan kuuden kuukauden kuluttua voimaantulosta), käytännesäännöt (sovelletaan yhdeksän kuukauden kuluttua voimaantulosta), yleiskäyttöisiä tekoälyjärjestelmiä ja hallintoa koskevat säännöt (sovelletaan vuoden kuluttua voimaantulosta) ja suuririskisiä järjestelmiä koskevat velvoitteet (sovelletaan kolmen vuoden kuluttua voimaantulosta).  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 

Standardien hyödyntämisestä kyberturvallisuuden riskienhallinnassa

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Säädöksiin ei yleensä voida kirjata esimerkiksi kaikkia vaatimuksia tarkasti, koska säädökset koskevat usein hyvin laajasti erilaisia tuotteita tai toimintaa ja sääntelyyn pitää toisaalta jättää myös väljyyttä asioiden moninaisuudelle ja muuttumiselle tässä alati muuttuvassa maailmassa. Säädöksiä täydentämään EU pyytääkin usein standardointijärjestöjä laatimaan yksityiskohtaisia standardeja ja toimii läheisessä yhteistyössä eurooppalaisten standardointijärjestöjen kanssa.

Standardien roolista

Standardit eivät ole säädöksiä täydentävästä luonteestaan huolimatta velvoittavia, vaan vapaaehtoisia. Jos tuote tai toiminta poikkeaa standardista, valmistajan tai toiminnasta vastuussa olevan on pystyttävä muulla tavoin osoittamaan, että se täyttää säädöksissä esitetyt olennaiset vaatimukset. 

Usein koetaan kuitenkin helpommaksi ja hyödyllisemmäksi käyttää standardeja, koska tuotteiden tai toiminnan katsotaan täyttävän säädösten vaatimukset, kun ne on tehty säädöksissä viitattujen standardien mukaan. 

Standardien merkitystä voidaan havainnollistaa muun muassa siten, että jotta digitaalinen elämämme voi toimia niin kuin sen on tarkoitettu toimivan, tulee yhteiskunnassa olla luottamus IT-tuotteiden ja -palveluiden kyberturvallisuuteen. Tässä auttaa se, että esimerkiksi organisaatio on sertifioitu kyberturvallisuusstandardien mukaisesti.

Standardien merkitys säädösten toimeenpanossa on huomioitu suoraan eri säädöksissä. Esimerkiksi NIS2-direktiivin 25 artiklassa on säädetty, että jäsenvaltioiden on 21 artiklan 1 ja 2 kohdan yhdenmukaisen täytäntöönpanon edistämiseksi kannustettava käyttämään verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia ja kansainvälisiä standardeja ja teknisiä eritelmiä ilman, että ne määräävät käyttämään jotain tiettyä teknologiaa tai harjoittavat syrjintää jonkin tietyn teknologian käytön suosimiseksi. 

Esimerkkinä NIS2 ja DORA-direktiivit

NIS2-direktiivi liittyy läheisesti CER-direktiiviin ja finanssialan digitaalista häiriönsietokykyä koskevaan DORA-asetukseen (Digital Operational Resilience Act). DORA tuli voimaan tammikuussa 2023, ja sitä sovelletaan 17.1.2025 alkaen. 

DORA:n tavoitteena on vahvistaa rahoituslaitosten, kuten pankkien ja vakuutusyhtiöiden, tietoturvaa ja varmistaa, että Euroopan rahoitusala pystyy pysymään joustavana vakavien toimintahäiriöiden sattuessa. Rahoitusala onkin yhä riippuvaisempi teknologiasta ja teknologiayrityksistä rahoituspalvelujen tarjoamisessa, mikä altistaa rahoituslaitokset kyberhyökkäyksille.

Vaikka DORA koskeekin pääasiassa rahoitusalan toimijoita, tulee kuitenkin muistaa, että jos tieto- ja viestintäteknisiä riskejä ei hallita asianmukaisesti, voivat ne johtaa rajat ylittävien rahoituspalvelujen häiriöihin, mikä voi vaikuttaa myös muihin yrityksiin ja toimialoihin.

Tällä hetkellä valmisteilla olevaan NIS2-direktiiviin liittyvään kansalliseen kyberturvallisuuden riskienhallinnasta annettavan lain soveltamisalaan ei ehdoteta sisällytettävän finanssialan toimijoita, mitä Finanssiala ry pitää johdonmukaisena, koska DORA on NIS2-direktiiviin nähden erityislainsäädäntöä. Lisäksi se asettaa finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.

Kyberturvallisuuden riskienhallinta

NIS2-direktiivin perusteella toimijoilla, joita se koskee, tulee olla ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. 

Direktiivin 21 artiklan mukaan toimijoiden tulee toteuttaa asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.

Direktiivin 21 artiklassa on myös todettu, että kun otetaan huomioon tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, tulee verkko- ja tietojärjestelmien turvallisuuden tason olla oikeassa suhteessa riskeihin. Oikeasuhtaisuutta arvioitaessa on otettava huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys sekä niiden vakavuus. 

Kyberturvallisuuden riskienhallinnan toimintamallin tulee direktiivin 21 artiklan mukaan pitää sisällään vähintään seuraavat kymmenen asiaa: 

1. riskianalyysejä ja tietojäjestelmien turvallisuutta koskevat politiikat
2. poikkeamien käsittely
3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
5. verkko- ja tietojärjestemien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Toimijoilla tulee myös olemaan ilmoitus­velvollisuus merkittävistä poikkeamista direktiivin 23 artiklan mukaan. Merkittävällä poikkeamalla tarkoitetaan direktiivissä poikkeamaa, joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellista tappiota taikka poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Toimijan on ilmoitettava viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. Tämä tarkoittaa sitä, että toimijan on toimitettava ennakko­varoitus valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ja poikkeamailmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamatilanteen päätyttyä valvovalle viranomaiselle on vielä toimitettava loppuraportti.

Toimijan on myös tarvittaessa ilmoitettava ilman aiheetonta viivytystä palvelujensa vastaanottajille merkittävästä poikkeamasta, joka todennäköisesti vaikuttaa haitallisesti kyseisten palvelujen tarjoamiseen.

Kyberturvallisuuskeskuksessa on valmisteilla suositus valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteiksi. Suositus julkaistaan lainsäädännön hyväksymisen jälkeen.   

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 

Kansainvälinen standardointi on osa maailmanpolitiikkaa

Kansallisesti järjestäytyneen standardoinnin voidaan katsoa alkaneen 1900-luvun alussa. Suomalainen standardointi alkoi vuonna 1924. Näinä aikoina standardeja laadittiin alueellisesti maittain, ja tämä tyydytti tarpeet. 

Kansallisesti järjestäytyneen standardoinnin voidaan katsoa alkaneen 1900-luvun alussa. Ison-Britannian kansallinen järjestö perustettiin ensimmäisten joukossa vuonna 1901. Suomalainen standardointi alkoi vuonna 1924. Näinä aikoina standardeja laadittiin alueellisesti maittain, ja tämä tyydytti tarpeet. 

Toisen maailmansodan jälkeen huomattiin, että kansallisten standardien sijaan tarvittiin enenevässä määrin myös kansainvälisiä standardeja. Kansainvälinen standardointijärjestö (ISO) perustettiin kansallisten standardointijärjestöjen toimesta vuonna 1947. Vielä vuosikymmeniä tämän jälkeen standardointia tehtiin suurimmaksi osaksi kansallisesti – muutoksen siemenet oli kuitenkin kylvetty. 

Nykyään lähes kaikki standardit laaditaan kansainvälisenä yhteistyönä. Vain poikkeuksellisissa yksittäistapauksissa päädytään laatimaan kansallinen standardi. Pelikenttänä ja markkinapaikkana on usein koko maailma. On tyypillistä, että isot maat ovat aktiivisia kansainvälisessä standardoinnissa. Esimerkiksi Yhdysvallat, Ranska, Saksa, Kiina, Japani, Kanada ja Iso-Britannia vaikuttavat kansallisten järjestöjensä kautta kansainvälisissä standardointijärjestöissä. Näiden maiden edustajia löytyy usein ISOn sadoista eri aihealueita standardoivista komiteoista ja niiden työryhmistä. 

Aktiivisuus ja panostaminen ovat viime vuosina merkittävästi lisääntyneet, mikä on seurausta maailman­politiikan kiristymisestä. Maat pyrkivät edistämään omia etujaan ja varmistamaan, että niiden käytännöt ja ratkaisut ovat edustettuina kansainvälisissä standardeissa. Määrätietoisten panostusten takia Kiina on kasvanut 20 vuodessa standardoinnin pienestä maasta sen suurvallaksi. Kansainvälisen standardoinnin perinteiset suurmaat Euroopassa sekä Yhdysvallat ovat vastanneet tilanteeseen panostuksiaan lisäämällä.

Ruotsi panostaa turvallisuusjohtamisen standardien laadintaan

Koska pienemmillä mailla on muita vähemmän resursseja, on niiden harkittava isoja tarkemmin, mihin osallistutaan eli panostetaan ja millaisin tavoittein. On mielenkiintoista, että naapurimaamme Ruotsi on päättänyt panostaa erityisesti juuri turvallisuusjohtamista koskevien kansainvälisten standardien laadintaan.

Ruotsin kansallisella standardointijärjestöllä (SIS) on vetovastuu kansainvälisiä yhteiskunnan turvallisuutta koskevia standardeja laativassa teknisessä komiteassa (ISO/TC 292 Security and resilience). Ruotsin turvallisuusvirastolla (MSB, Swedish Civil Contingencies Agency) on merkittävä rooli komitean toiminnassa ja johtamisessa. MSB:n edustaja toimii komitean puheenjohtajana. Lisäksi virasto osallistuu aktiivisesti komitean useisiin työryhmiin, joissa määritetään muun muassa kriisinhallinnan, kriisinkestävyyden, väestön­suojelun ja toiminnan jatkuvuudenhallinnan ISO-standardit.

Pitkäjänteinen panostaminen tuo hyötyjä ja vaikutuksia

Otin yhteyttä MSB-kontaktiini, Stefan Tangeniin, selvittääkseni, miksi MSB haluaa panostaa yleisesti turvallisuusalan ja erityisesti turvallisuusjohtamisen standardointiin. Kävi ilmi, että MSB osallistuu standardointiin suunnitelmallisesti ja laaja-alaisesti. Turvallisuusjohtamisen standardien lisäksi MSB:n huomio on laaja-alaisesti kaikessa turvallisuutta koskevassa kansainvälisessä standardoinnissa. Tämä pitää sisällään muun muassa paloalan ja vaarallisten kemikaalien kuljetuksen. 

Tangen korostaa, että standardit täydentävät ruotsalaista lainsäädäntöä ja viranomaismääräyksiä. ”Sen sijaan, että keksisimme kaiken itse, voimme asettaa turvallisuustasot kansallisten sääntöjemme mukaisesti, mutta viittaamme erilaisiin standardeihin, jotka kertovat, miten vaatimukset voidaan käytännössä täyttää”, toteaa Tangen.  

Suomessa tällä tavoin toimii ainakin TUKES. Virasto ylläpitää listoja standardeista, joita noudattamalla erinäisten laitteiden ja tuotteiden turvallisuutta ja turvallista käyttöä koskevat vaatimukset tulevat täytetyiksi.

Omasta näkökulmastani voin todeta, että ruotsalaisten esimerkillinen toiminta ja hyvä johtaminen ISOn turvallisuuskomiteassa (ISO/TC 292) on kantanut hedelmää. Komiteasta on kasvanut oma turvallisuusklusterinsa, johon kerääntyy alan ammattilaisia ympäri maailmaa.

Maantieteellisten, kulttuuristen tai muiden syiden vuoksi osa maista saattaa keskittyä enemmän tsunamivaroitusjärjestelmien standardointiin, toiset panostavat väestönsuojia koskevaan aihepiiriin ja osa on kiinnostunut kriisin­kestävyydestä yleisesti. 

Yhtä kaikki, tämä johtaa ja on johtanut siihen, että turvallisuusalan ammattilaisilla on nykyisin käytössään lukuisia kansainvälisiä ISO-standardeja, joita voidaan hyödyntää ja soveltaa tapauskohtaisesti, kun halutaan johtaa ja hallita turvallisuutta eri tilanteissa, ympäristöissä, tarpeissa ja organisaatioissa. 

Emme siis puhu ainoastaan laitteista tai tuotteista vaan turvallisuusjohtamisesta. Jää nähtäväksi, nousevatko tällaiset astetta abstraktimmat vaatimukset ja ohjeistukset vielä jonain päivänä viranomaisten ylläpitämiin listoihin. Toisaalta oleellista on se, että turvallisuusalan asiantuntijat ovat tietoisia kyseisistä standardeista ja pääsevät niihin halutessaan käsiksi. Tämä onnistuu jo tänään.  

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti!