Tietoturvaohjelman valmistelu Loppuraportti

Tietoturvaohjelman valmistelu Loppuraportti Liikenne- ja viestintäministeriö Marraskuu 2004

LOPPURAPORTTI Tietoturvaohjelman valmistelu Marraskuu 2004 Kimmo Lehtosalo Martti Malmivirta Jarkko Vesa EERA FINLAND OY Itämerenkatu 5 00180 Helsinki Puhelin 0201 588 588 Faksi 0201 588 500 i

t Tiivistelmä Tässä loppuraportissa esitellään vuoden 2005 alussa käynnistettävän tietoturvaohjelman tavoitteet, ohjelman eteneminen sekä ohjelman organisointi. Valmistelutyössä on ollut mukana pääosin kaupallisia toimijoita, suomalaisten tai Suomessa toimivien tieto- ja viestintäalan yritysten asiantuntijoita, liiketoiminnan kehittäjiä sekä yritysten johtohenkilöitä. Ohjelman valmistelun aikana käydyt keskustelut osoittavat, että kansallisella tasolla suurin tarve tietoturva-asioissa kohdistuu näkemyksellisyyden luomiseen eri toimialoilla tietoturvan roolista ja sen vaikutuksista tuote- ja palvelukehitykseen tulevaisuudessa. Tietoa ja näkemystä kaivataan siitä, millaisiin asioihin jatkossa joudutaan varautumaan. Ohjelman tavoitteena on turvallisten sähköisten asiointi-, hyöty- ja viihdepalveluiden tuotekehitystoiminnan tehostaminen ja sitä kautta yritysten toimintamahdollisuuksien kehittäminen. Ohjelman tavoitteena on edistää tiedonkulkua eri toimijoiden välillä ja erityisesti tuoda uutta näkökulmaa eri teknologioiden (internet, matkapuhelinpalvelut, digi-tv jne.) yhdistymisen luomista uusista haasteista. Tietoturvaa kehittäville yrityksille ja muille toimijoille ohjelma tarjoaa kanavan soveltaa tietoturvaratkaisuja käytännön hankkeissa. Ohjelma käynnistetään kaksivuotisena. Ohjelman pohjaksi arvioidaan konvergoituvien teknologiaalueiden (internet, mobiili, digi-tv) tulevaisuuden tietoturvariskejä erilaisten tulevaisuuden käyttöympäristöjen (koti, työympäristöt, terveydenhuolto jne.) näkökulmasta. Seuraavaksi ohjelman painopistealueiksi valitaan kehittämispotentiaalin kannalta tärkeimmät käyttöympäristöalueet. Tavoitteena on löytää keinoja, joilla näihin käyttöympäristöihin liittyvien turvallisten sähköisten palveluiden tuote- ja palvelukehitystä voidaan edistää. Ohjelman tavoitteena on löytää nopeassa aikataulussa kaupallisia pilottiprojekteja, joissa näitä tuotekehityksen ratkaisuja ja toimintamalleja päästään viemään käytännön hankkeiden kautta eteenpäin. Ohjelman keskeisimpinä toimijoina ovat tieto- ja viestintäalan yritykset ja niissä toimivat henkilöt. Ohjelmaan valitaan ohjausryhmä, jonka tehtävänä on olla asettamassa tavoitteita ja arvioimassa ohjelman onnistumista sekä toimia ohjaavana tahona ohjelman vetovastuussa oleville henkilöille. Ohjelmaan valitaan ohjelmapäällikkö, joka vastaa ohjelmaan liittyvistä koordinointitehtävistä ja ohjelman läpiviennistä. i

Sisällysluettelo TIIVISTELMÄ i 1. JOHDANTO 3 Tietoturvaohjelman esiselvityksen johtopäätökset 3 2. OHJELMAN TAVOITTEET 6 Mihin ohjelmaa tarvitaan? 6 Mitä ohjelman avulla pyritään saavuttamaan? 7 Mitä hyötyä ohjelmalla tuotetaan osallistujille? 8 3. OHJELMAN SISÄLTÖ 9 Mihin ohjelmassa keskitytään? 9 Ohjelman roadmap 9 4. OHJELMAN ORGANISOINTI 11 Ohjausryhmä 11 Ohjelmatoimisto 12 Teknologia-alueiden asiantuntijat 12 Tulevaisuuden käyttöympäristöryhmittymät 12 Tutkimus, koulutus, lainsäädäntö, muu julkinen sektori 12 Kotimaiset ja kansainväliset hankkeet 13 Ohjelman rakenne ja toimintatapa 13 5. OSALLISTUJAT 14 Kenelle ohjelma suunnataan? 14 Minkälaisissa rooleissa osallistujat voivat toimia? 14 Minkälaisia tasoja ohjelman sisälle rakennetaan? 15 6. OHJELMAN KÄYNNISTÄMINEN 16 Julkistaminen ja viestintä 16 Osallistujien kerääminen 17 ii

JOHDANTO 1 1. Johdanto Tietoturvaohjelman käynnistäminen perustuu vuoden 2003 syksyllä Valtioneuvoston periaatepäätöksellä hyväksyttyyn kansalliseen tietoturvastrategiaan ja siinä esitettyyn toiseen päätavoitteeseen: edistää kansallista kilpailukykyä ja suomalaisten tieto- ja viestintäalan yritysten toimintamahdollisuuksia. Tietoturva-strategian tärkeimpänä tehtävänä on rakentaa luottamusta ehkäisemällä tietoturvauhkia ja edistämällä turvallisten sähköisten palvelujen rakentamista. Tietoturvastrategian toista päätavoitetta lähdetään toteuttamaan: käynnistämällä turvallisten sähköisten palveluiden kehittämisohjelma yhteistyössä alan yritysten, Tekesin ja muiden toimijoiden kanssa kannustamalla uusien tietoturvallisuustuotteiden sekä helppokäyttöisten ja yhteensopivien suojausja tunnistamismenetelmien kehitystyötä Tämä loppuraportti esittelee vuoden 2005 alussa käynnistettävän tietoturvaohjelman päälinjaukset: tavoitteet, ohjelman sisällön, ohjelman organisoinnin ja ohjelman käynnistämisen ensiaskeleet. Valmistelun pohjaksi tehtiin esiselvitystyö vuoden 2003 syksyllä ja valmistelun aikana on käyty keskusteluja ohjelman piiriin mahdollisesti kuuluvien yritysten kanssa. Johdantoluku esittelee työn pohjaksi tehdyn esiselvityksen johtopäätökset. Tietoturvaohjelman esiselvityksen johtopäätökset Esiselvitystyö tehtiin kuulemalla tieto- ja viestintäalan yritysten johtoa sekä tietoturvaasiantuntijatehtävissä toimivia henkilöitä. Esiselvityksessä päädyttiin ehdottamaan tietoturvaohjelman käynnistämistä. Vaikka esiselvityksen mukaan haasteiden ja ongelmien lista tietoturva-alan ohjelman kehittämisessä on mittava, puolsi hankkeeseen ryhtymistä kuitenkin moni merkittävä asia: 1. Tietoturva-asia on kansallisesti iso ja jatkuvasti kasvava asia. 2. Nykyinen tietoturvakysymysten hoitamiseen ja kehittämiseen liittyvä toimintamalli on hajanainen ja luonnollisia yhteistyömahdollisuuksia alalla olevien toimijoiden kesken ei ole hyödynnetty. 3. Liiketoimintapotentiaali uusille turvallisemmille tieto- ja viestintäalan tuotteille on olemassa alan liikevaihdon uskotaan kasvavan nopeasti. 4. Tieto- ja viestintäalan klusterin hyvinvoinnilla on merkittäviä kerrannaisvaikutuksia kansantalouden kannalta. Kyseessä ei ole vain klusterissa toimivien yritysten taloudellisesta merkityksestä kansantaloudelle vaan erityisesti klusterissa kehitettävien ratkaisujen ja toimintatapojen vaikutuksista talouden ja yhteiskunnan toimintaedellytyksiin. Tietoturvaohjelmaa ei voida ajatella ainoastaan tietoturvayritysten ympärille muodostuvana ohjelmana, vaan tietoturvallisuus on käsitettävä laaja-alaisesti useampaan eri toimialaan tai klusteriin vaikuttavana asiana. Ohjelman toiminta-alueen on katettava mobiili, internet ja digi-tv -alueilla tuote- ja palvelukehityksessä mukana olevat toimijat (ks. kuva 1. seuraavalla sivulla). 3

JOHDANTO VERKOT INTERNET LAITTEET DIGITV Tietoturvaklusterin fokusalue MOBIILI PALVELUT SISÄLLÖT Kuva 1. Tietoturvaohjelman suunniteltu toimialue. Esiselvityksen perusteella ohjelman tulee alkuvaiheessa keskittyä kahteen keskeiseen osaalueeseen: 1. konvergenssiin liittyvän tietoturvallisuuden kehittämiseen, sekä 2. näkemyksellisyyden lisäämiseen tulevaisuuden riskeistä ja niihin liittyvistä ratkaisumahdollisuuksista. Muita esiselvityksessä esiin nousseita yritysten toimintamahdollisuuksien edistämisen ja kansallisen kilpailukyvyn kehittämisen kannalta keskeisiä tietoturvaohjelman piiriin kuuluvia toimenpidealueita ovat: 3. suomalaisen tietoturva-alan fokuksen tarkentaminen 4. palveluliiketoiminnan kehittäminen 5. vientitoiminnan edistäminen 6. johtamisen ja liiketoiminnan tukeminen 7. asiakastarpeen ymmärtäminen ja markkinatuntemuksen lisääminen 8. alihankintaverkostojen kehittäminen 9. valtionhallinnon toimijoiden vastuiden selkiyttäminen 10. tietoturvalainsäädännön kehittäminen (niiltä osin kun uudet asiat/puutteet tuodaan klusterin toimesta esille) 11. innovaatiotoiminnan kehittäminen 12. julkisrahoitteisen tutkimustoiminnan uudelleen suuntaaminen Esiselvityksessä todettiin, että viranomaisen roolina on käynnistää ohjelma ja luoda tälle toiminnalle toimintaedellytyksiä. Hankkeen alussa on keskityttävä tieto- ja viestintäalan yritysten saamiseen mukaan oikealla asenteella ja yhteistyövalmiudella. Haastatteluissa esiin nostetut ohjelmatoiminnan suuret haasteet täytyy kohdata riittävällä vakavuudella: Hankkeesta ei saa tulla liiaksi viranomaisvetoinen ja tutkimuspainotteinen. Mukaan tuleville yrityksille täytyy kyetä osoittamaan jo hankkeen käynnistysvaiheessa mitä konkreettista hyötyä osallistuminen voi heille tuottaa. 4

JOHDANTO Ohjelman yritysten yhteistyön lisäämisestä koituvat hyödyt on kyettävä esittelemään riittävän houkuttelevasti luonnollisen vastustuksen voittamiseksi ja yhteistyön edistämiselle luonnollisella tavalla on luotava konkreettisia edellytyksiä. Hankkeessa on näytettävä selkeä etenemispolku ja määriteltävä eri toimijoiden roolit ja heihin kohdistuvat odotukset. Ohjelmaan osallistumisesta ei saa tehdä liian monimutkaista ja kallista silti vapaamatkustaminen ja puolinainen sitoutuminen täytyy estää. Tietoturvaohjelman valmistelutyössä on lähdetty liikkeelle esiselvityksessä nostettujen asiakokonaisuuksien pohjalta. Tämä loppuraportti esittää tietoturvaohjelman tavoitteet (luku 2), keskeisen sisällön (luku 3), toiminnan organisoinnin (luku 4), osallistujat (luku 5) sekä ohjelman käynnistämisen tiekartan (luku 6). 5

OHJELMAN TAVOITTEET 2 2. Ohjelman tavoitteet Mihin ohjelmaa tarvitaan? Suomalaisten tieto- ja viestintäalan yritysten takavuosien menestys ja suomalaisten yritysten tunnettuus alan kehityksen suunnannäyttäjinä oli seurausta kansainvälisesti pienten yritysten rohkeasta innovaatiotyöstä. Samanaikaisesti Suomi on niittänyt mainetta maailmalla kehittyneenä tietoyhteiskuntana. Tämä on ollut seurausta pienen maan joustavasta tavasta kehittää toimintaympäristöä, rakentaa yritysten ja valtion organisaatioiden välisiä verkostoja sekä vastata yritysten tarpeisiin lainsäädännön kehittämisessä sekä tutkimus- ja koulutustoiminnan suuntaamisessa. Alan kehityksen kova vauhti ja suurten kansainvälisten yritysten kovat panostukset ovat kuitenkin tiputtaneet suomalaiset aivan kärkimaiden joukosta. Viranomaisen roolina on olla luomassa toimintaedellytyksiä yritysten kehittymiselle ja kehittämässä suomalaista innovaatioympäristöä suomalaisten yritysten kilpailukyvyn kehittämiseksi. Viranomaisen toimenpiteitä voivat olla mm. toimivan kilpailuympäristön luominen kilpailun rajoituksia poistamalla, koulutusjärjestelmän kehittäminen sekä tutkimus- ja kehitystyön suuntaaminen ja tukeminen. Liikenneja viestintäministeriö on rakentamassa tietoturvaohjelmaa luodakseen edellytyksiä turvallisten sähköisten palvelujen kehittymiselle ja on tätä kautta avaamassa mahdollisuuksia uusien kaupallisten tuotteiden ja palveluiden syntymiselle. Toiminnan fokus on suomalaisten yritysten toimintaedellytysten kehittämisessä ja tukemisessa. Tietoturvaohjelman tarpeellisuutta arvioinut esiselvitystyö sekä ohjelman valmistelun aikana käydyt keskustelut osoittavat, että kansallisella tasolla suurin tarve tietoturva-asioissa kohdistuu näkemyksellisyyden luomiseen eri toimialoilla tietoturvan roolista ja sen vaikutuksista tuote- ja palvelukehitykseen tulevaisuudessa. Tietoa ja näkemystä kaivataan siitä, millaisiin asioihin jatkossa joudutaan varautumaan. Valmistelutyön aikana käydyt keskustelut osoittavat, että yksi suurimmista sähköisten palvelujen yleistymisen haasteista on luottamuksen rakentaminen palveluiden käyttäjien ja tuottajien välille. Näkemystä tarvitaan erityisesti tietoturvallisuuden haasteista ja uhkista tulevaisuudessa. Työn pohjaksi on kuitenkin muodostettava ensin näkemys tulevaisuuden asioinnin ja palveluiden käytön tilanteista eri toimialoilla (kts. kuva 2 seuraavalla sivulla). Tieto- ja viestintäalan yritysten sekä palvelun- ja sisällöntuottajien kanssa käytyjen keskustelujen perusteella kiinnostusta yhteistyöhön löytyy sekä yleisellä vuorovaikuttamisen tasolla että erityisesti konkreettisten kaupallisten hankkeiden muodossa. Tietoturvan kehittämiseen käytännön palveluiden ja käyttötilanteiden kautta suhtaudutaan haastatteluiden perusteella myönteisemmin kuin tietoturvan kehittämiseen erilliskysymyksenä (ts. yksittäisten teknisten ratkaisujen ja sovellusten kehittäminen). Haastatellut ovat korostaneet, että keskustelu tietoturvakysymyksistä toimii Suomessa jo nykyisellään varsin hyvin erilaisissa yhteistyöforumeissa. Keskustelu ja tiedonvaihto on kuitenkin hyvin pirstaleista. 6

OHJELMAN TAVOITTEET Turvallisten sähköisten palvelujen käytön yleistyminen Turvallisten sähköisten palvelujen kehittäminen Näkemyksellisyyden luominen tulevaisuuden tietoturvahaasteista ja uhkista Luottamuksen rakentaminen Tulevaisuuden käyttötilanteiden tunnistaminen Kuva 2. Tarve ohjelmalle ja pitkän aikavälin etenemispolku ylätasolla. Haastatteluiden perusteella yritykset eivät tyypillisesti näe toimintaansa liittyvän kovin suuria tietoturvauhkia ainakaan toimialoilla, joilla sähköisten kanavien (internet, mobiili ja digi-tv) kautta ei liiku suoranaisesti rahaan liittyviä transaktioita. Näissä yrityksissä tietoturvauhkat tarkoittavat lähinnä haitantekoa yritykselle tai online -palveluiden käyttäjille. Valtaosalle yrityksistä tietoturva on välttämätön paha, joka on pakko hoitaa liiketoimintaan liittyvien riskien hallitsemiseksi. Tieto- ja viestintäalan yrityksille tietoturva on kuitenkin erottamaton osa yritysten tarjoamia tuotteita ja palveluita ja tietoturvaan liittyvien kysymysten ratkaisu asiakkaiden kannalta helpolla ja luottamusta herättävällä tavalla on keskeinen edellytys liiketoiminnan kasvattamiselle. Mitä ohjelman avulla pyritään saavuttamaan? Ohjelman keskeisenä tavoitteena on edistää suomalaisten tieto- ja viestintäalan yritysten toimintaedellytyksiä. Ohjelma keskittyy turvallisten sähköisten asiointi-, hyöty- ja viihdepalveluiden tuotekehitystoiminnan tehostamiseen ja sitä kautta yritysten toimintamahdollisuuksien kehittämiseen. Ohjelman tavoitteena on edistää tiedonkulkua eri toimijoiden välillä ja erityisesti tuoda uutta näkökulmaa eri teknologioiden (internet, matkapuhelinpalvelut, digi-tv jne.) yhdistymisen luomista uusista haasteista. Tietoturvaa kehittäville yrityksille ja muille toimijoille ohjelma tarjoaa kanavan soveltaa tietoturvaratkaisuja käytännön hankkeissa. Pitkällä aikavälillä ohjelman avulla pyritään: edistämään turvallisten sähköisten palveluiden kehitystyötä lisäämään kuluttajien luottamusta sähköisten palveluiden käyttöön tietoturvaan liittyvissä kysymyksissä parantamaan suomalaisten yritysten kilpailukykyä kehittämällä innovaatioympäristöä edistämään yritysten välistä kansainvälistä verkostoitumista ja yritysten välistä tuotekehitystä, parantamaan suomalaisten yritysten ja suomalaisen yhteiskunnan tunnettuutta maailmalla tietoturvan edelläkävijöinä, kehittämään tuote- ja palvelukehityksen proaktiivisuutta, edistämään regulaation ja lainsäädännön kehittymistä. 7

OHJELMAN TAVOITTEET Pitkän aikavälin tavoitteiden toteutumista on mitattava ohjelman alusta alkaen tunnistamalla näille tavoitteille sopivia mittareita. Käytettäviä mittareita voivat olla esim. ohjelmaan osallistuneiden yritysten määrä, käynnissä olevien projektien lukumäärä ja laajuus, uusien innovaatioiden syntyminen, kaupallistettujen tuotteiden lukumäärä, palveluiden käytön kehittyminen, aihealueella tehtävä tutkimustyö ja sen tulokset, lainsäädännön kehittyminen. Tietoturvaohjelman mittaristoa luotaessa on mietittävä mitä ohjelmatoiminnalla kyetään realistisesti saavuttamaan. Tärkeintä on luoda sellaisia konkreettisia aikaan sidottuja tavoitteellisia mittareita joiden avulla voidaan oppia ja jatkuvasti kehittää ohjelmatoimintaa. Mitä hyötyä ohjelmalla tuotetaan osallistujille? Tietoturvaohjelmaan liittyvän yhteistyön välittömiä hyötyjä mukana oleville yrityksille ovat: tietämyksen lisääntyminen sekä tämän hetken että tulevaisuuden tietoturvauhkista ajan säästäminen omilta resursseilta, kun näkemystä luodaan eri yrityksistä ja asiantuntijatahoista kootuilla ryhmittymillä uusien kontaktien syntyminen alan keskeisiin toimijoihin sekä verkoston kehittyminen kotimaan rajojen ulkopuolelle mahdollisuus osallistua oman toimialan tietoturvan kehittämiseen käyttötilanteesta lähtevien palvelukonseptien kautta saada uusia ajatuksia tuote- ja palvelukehitykseen ja/tai uusi näkökulma tietoturvaan olla mukana luomassa täysin uusia palveluita eri toimialoille, joiden uutuusarvo kasvattaa yritysten kansainvälistä tunnettuutta Hankkeen välillisiä hyötyjä ovat: tietoturvaan liittyvän tietoisuuden lisääntyminen yrityksissä ohjelman kautta yritykset pystyvät yhdessä esittämään toiveitaan lainsäätäjille ja regulaattorille tietoturvaan liittyvän lainsäädännön kehittämiseksi (yhdessä toimien ääni saadaan kuulumaan paremmin ja toisaalta lainsäätäjän työ helpottuu, jos saadaan selkeitä kannanottoja) yhteistyön kautta voidaan vauhdittaa kaikille hyödyllisten mahdollistavien teknologioiden ja palveluiden leviämistä (varmenteet, HST jne.). Yrityksille ja muille osallistujille syntyy mahdollisuus olla mukana arvioimassa sekä oman toimialan tietoturvahaasteita että muiden itselle vieraampien toimialojen käytäntöjä ja kehittymistä (benchmarking). 8

OHJELMAN SISÄLTÖ 3 3. Ohjelman sisältö Mihin ohjelmassa keskitytään? Ohjelmassa edistetään julkisten ja kaupallisten sähköisten palveluiden tietoturvallisuutta. Painopiste on tietoturvateknologian ja osaamisen soveltamisessa sekä erityisesti tietoturvallisten kaupallisten sähköisten asiointi- ja palvelutuotteiden kehittämisessä. Hankkeen uskotaan edistävän myös julkisten asiointipalveluiden turvallisuutta sekä tietoturva-alan yritysten tuote- ja palvelukehitystä. Erityispiirteenä ohjelmassa on digitaalisen konvergenssin vaikutusten analysointi päätelaitteiden, verkkojen ja palveluiden tasolla. Digitaalinen konvergenssi tuo mukanaan uuden aallon tuote- ja palvelukehitykseen sekä mukanaan uusia haasteita tietoturva-asioiden hoitamisessa. Sen sijaan, että tarkasteltaisiin yksittäisen teknologian tai kanavan tietoturvaa (esim. digi-tv:n tietoturvariskit ), pyritään ohjelmassa luomaan näkemystä digitalisoitumisen ja IP-teknologian leviämisen yhteisvaikutuksesta. Ohjelmassa on lisäksi vahva fokus eri käyttötilanteisiin (esimerkkeinä keskusteluissa esiin nousseet käyttöympäristöt: tulevaisuuden vähittäiskauppa, tulevaisuuden terveydenhuolto, tulevaisuuden kodin viihde-elektroniikka jne.) tietoturvan näkökulmasta liittyvissä erityiskysymyksissä (esim. virusten torjuminen digi-tv vastaanottimessa, jossa yhdistyy sekä digisovitin että laajakaistayhteys). Ohjelman roadmap Ohjelmassa on viisi päävaihetta joiden ohjauksesta ja seurannasta vastaa ohjelmatoimisto, joka raportoi tuloksista ohjausryhmälle (kuva 3 seuraavalla sivulla): 1. Ohjelman käynnistäminen Ohjelman käynnistää ohjelmatoimisto, jonka tehtävänä on käynnistysvaiheessa huolehtia ohjelman projektien suunnittelusta, viestinnästä ja ensimmäisten projektien käynnistämisestä. Ohjelmatoimiston vetäjän tueksi mukaan valjastetaan viestintätoimisto, joka suunnittelee ja toteuttaa ohjelman yhdenmukaisen viestinnän. Ohjelmalle luodaan myös verkkosivusto, kohtaamispaikka osallistujille ja aiheesta kiinnostuneille. 2. Taustaselvitykset Ia, Ib, Ic Vuoden 2005 alkupuoliskolla käynnistetään uudet taustaselvitykset (tai päivitetään olemassaolevia) konvergenssialueilla. Taustaselvityksissä lähtökohtana on teknologiaalue ja ennen kaikkea tulevaisuuden käyttöympäristöt sekä niiden kautta havaittavat tietoturvariskit. Töiden tuloksia tullaan jatkojalostamaan digitaalisen konvergenssin tietoturvanäkymiä luodattaessa. 3. Workshopit; konvergenssiin liittyvä tietoturva ja sen kehittäminen Taustaselvitysten tuloksista kootaan workshop aineisto, jota lähdetään purkamaan ja jatkojalostamaan asiantuntijoiden tietoturvapäivillä (näitä voidaan järjestää useampia). 4. Tulevaisuus workshopit I V Näkemyksellisyyttä lähdetään muodostamaan alustavasti viidellä osa-alueella: tulevaisuuden vähittäiskauppa, tulevaisuuden viihdeympäristö, tulevaisuuden terveydenhuolto, tulevaisuuden pankkipalvelut sekä tulevaisuuden työympäristöt. Tämän vaiheen eteneminen projektoidaan erikseen ja siihen saattaa liittyä erilaisten tutkimushankkeiden käynnistäminen esim. Tekesin tutkimusohjelmien puitteissa. 9

OHJELMAN SISÄLTÖ 5. Pilottihankkeiden käynnistäminen Ohjelman tulosten perusteella valitaan 1-3 pilottihanketta, joihin ohjelman tuloksia lähdetään soveltamaan verkoston toimesta. Pilottihankkeet Käytännön pilottihankkeiden rakentamienn Workshop ryhmät I - V Näkemyksellisyyden luominen tulevaisuuden käyttötilanteista ja tietoturvahaasteista Tulevaisuuden työympäristöt Tulevaisuuden pankkipalvelut Tulevaisuuden terveydenhuolto Tulevaisuuden viihdeympäristö Tulevaisuuden vähittäiskauppa Workshop Digitalisoitumisen ja IP-teknologian leviämisen yhteisvaikutukset tietoturvaan Taustaselvitykset Ia, Ib, Ic Konvergoituvien alueiden tietoturvariskit Käynnistäminen Internet Mobiili DigiTv 2005 2006 = ohjausryhmän kokoontuminen = tulosten purku ja johtopäätöksien jalostaminen Kuva 3. Tietoturvaohjelman roadmap. 10

OHJELMAN ORGANISOINTI 4 4. Ohjelman organisointi Tietoturvaohjelman alustava rakenne on kuvattu kuvassa 4. Konvergenssin vaikutukset Teknologia-alueiden asiantuntijat: Internet-teknologiat Mobiiliteknologiat DigiTV-teknologiat Tulevaisuuden vähittäiskauppa Ohjausryhmä Ohjelmatoimisto Tulevaisuuden viihdeympäristö Tulevaisuuden terveydenhuolto Tulevaisuuden pankkipalvelut Tulevaisuuden työympäristöt Tutkimus, koulutus, lainsäädäntö, muu julkinen sektori Kotimaiset ja kansainväliset hankkeet (kaupalliset hankkeet, yritysten tutkimushankkeet) Kuva 4. Tietoturvaohjelman organisointi ja rakenne. Ohjausryhmä Tietoturvaohjelman toiminnan päälinjat määrittelee ohjausryhmä, joka muodostuu LVM:n, yritysten ja muiden keskeisten toimijoiden edustajista. Ohjausryhmä toimii myös linkkinä ohjelman ja tärkeiden sidosryhmien (mm. kv-verkostot, lainsäätäjät, regulaattorit sekä tutkimuslaitokset, korkeakoulut ja yliopistot) välillä. Ohjausryhmässä on edustus sekä kaupallisten että julkisen sektorin toimijoista. Ohjausryhmä toimii ohjelmatoimiston ja ohjelmaa vetävien henkilöiden neuvonantajana ja luo edellytyksiä ohjelman onnistumiselle (esim. nopeuttaa ohjelmasta syntyvien kaupallisten projektien hankkeistamista, välittää tietoa tutkimukseen ja koulutukseen sekä toimii ohjelmatoimiston mentorina). Ohjelman ohjausryhmän tehtävänä on määrittää pitkän sekä lyhyen aikavälin tavoitteet ja niille sopivat mittarit sekä mittaamisen aikaväli ja toteutustapa. Lisäksi ohjausryhmä raportoi säännöllisesti ohjelman tuloksista tietoturvallisuusasioiden neuvottelukunnalle. 11

OHJELMAN ORGANISOINTI Ohjelmatoimisto Toimintaa koordinoi ohjelmatoimistossa työskentelevä ohjelman vetäjä. Ohjelmatoimiston tehtävänä on valmistella yksityiskohtainen ohjelman läpivientisuunnitelma, koota yhteen eri teknologioiden ja käyttöympäristöjen osaajia, edistää tiedon leviämistä verkostoissa, huomioida erityisesti tarvittavat kansainväliset verkostot, auttaa tutkimusrahoituksen hankkimisessa ohjelman piirissä tehtäville kehittämis- ja tutkimushankkeille sekä edustaa tietoturvaohjelmaa operatiivisissa kysymyksissä ohjelman sidosryhmiin päin. Ohjelmatoimisto raportoi ohjelman edistymisestä ohjausryhmälle ja markkinoi resurssien puitteissa hanketta potentiaalisille ohjelmaan haalittaville yrityksille ja muille kumppaneille. Ohjelmatoimisto on organisaatioltaan hyvin pieni. Teknologia-alueiden asiantuntijat Käytännön työskentely tapahtuu aktiviteettikentässä, jonka horisontaalisen ulottuvuuden muodostavat mm. eri teknologia-alueiden tietoturvateknologioihin ja kysymyksiin perehtyneet asiantuntijaryhmät. Esimerkkeinä substanssialueista on kuvassa 4 listattu mm. internet-teknologiat, mobiili- ja langattomat teknologiat (GSM, GPRS, UMTS, WLAN, Bluetooth, RFID jne.) sekä digi-tv-teknologiat (mm. DVB- ja MHP-standardit). Teknologia-alueiden asiantuntijoita käytetään tulevaisuuden käyttöympäristöt ryhmittymien työn alustukseen (taustaselvitysten tekeminen) sekä työn aikana syntyvien erityiskysymysten selvittämiseen. Tulevaisuuden käyttöympäristöryhmittymät Tietoturvaohjelman käytännön työskentelyn toisen ulottuvuuden muodostavat tulevaisuuden käyttöympäristön ja tilanteen pohjalta konseptoitavat vertikaaliset sovellutusalueet. Näistä esimerkkeinä on mainittu tulevaisuuden viihdeympäristöt, tulevaisuuden vähittäiskauppa, tulevaisuuden terveydenhuolto, tulevaisuuden pankkipalvelut sekä tulevaisuuden työympäristöt. Tulevaisuuden käyttöympäristöt kokoavat luontevasti yhteen kyseisen sovellus- ja teknologia-alueen erikoisosaajat, liiketoiminnan kehittäjät, tutkijat sekä liiketoiminnan kehittämistä tukevat tahot. Tavoitteena on päästä soveltamaan tietoturvateknologiaa ja osaamista käytännön työssä. Kuten kuva 4. osoittaa, eri teknologia-alueiden substanssiosaajien verkostot ulottuvat myös ohjelman ulkopuolelle esimerkiksi tutkimus- ja opetusmaailmaan sekä erilaisiin viranomaistahoihin. Tässä yhteydessä on tärkeä korostaa, että useilla horisontaalisilla osaamisalueilla on jo käynnissä tiivistä yhteistyötä. Tällainen käynnissä oleva työ nopeuttaa tietoturvaohjelman liikkeelle lähtöä sekä kokoaa alan osaamista ja käytännön hankkeita yhteen kansallisella tasolla. Tutkimus, koulutus, lainsäädäntö, muu julkinen sektori Ohjelma tuottaa näkemystä ja tietoa siitä, miten tutkimusta ja koulutusta tulisi suunnata Suomessa. Tutkimus- ja koulutustahot osallistuvat ohjelman aikana pidettäviin seminaareihin ja näihin tahoihin muodostetaan luonteva keskusteluyhteys ohjelmatoimiston toimesta. Ohjelma toimii tiedontuottajana erityisesti toimintaympäristön kehittämisestä vastaaville tahoille, kuten lainsäädäntöön vaikuttajille ja muille julkisen sektorin toimijoille. Teknologia-alueiden asiantuntijoiden sekä erityisesti tulevaisuuden käyttöympäristöryhmittymien tehtävänä on tunnistaa lainsäädännön pullonkauloja ja olla luomassa toimintamallia yritysten ja lainsäätäjien välille tällaisten pullonkaulojen puhkomiseksi. 12

OHJELMAN ORGANISOINTI Kotimaiset ja kansainväliset hankkeet Ohjelmatoimiston ja aktiviteettikentän ryhmien mahdollisuutena on myös hyödyntää yritysten käynnissä olevien hankkeiden ja ohjelmien projekteja sekä osaamista. Tietoturvaohjelman valmistelussa on otettu huomioon suurten suomalaisten ja Suomessa toimivien digitaalisen viestinnän ja palvelutuotannon kenttään liittyvien yritysten suunnittelema klusterihanke, jossa keskitytään todellisten tulevaisuuden käyttöympäristöjen luomiseen. Tavoitteena on, että ohjelmassa mukana olevat yritykset voivat parhaassa tapauksessa päästä nopeasti mukaan soveltamaan osaamistaan käytännön kaupallisten ja julkisten hankkeiden yhteydessä. Ohjelman rakenne ja toimintatapa Lyhyesti ohjelman rakenteen vaikutuksista käytännön toimintaan: Ohjausryhmä hyväksyy ohjelmalle asetetut tavoitteet ja ohjelmatoimiston (ohjelmapäällikön) esittämän ohjelman läpivientisuunnitelman. Ohjelmapäällikön tehtävänä on käynnistää suunnitellut projektit ja löytää oikeat tahot oikeisiin hankkeisiin. Ohjelmapäällikkö on verkoston tiedonkulun edistäjä ja huolehtii mukaan otettavan viestintätoimiston kanssa riittävästä ja oikein kohdennetusta tiedottamisesta. Ohjelmapäällikkö organisoi myös kaikkia ohjelmaan liittyvät käytännönjärjestelyt (seminaarit, yritysten väliset tapaamiset jne.) Ohjelmapäällikkö rakentaa systemaattiset toimintatavat ja keinot, joilla tutkimuslaitokset ja tarvittavat julkishallinnon tahot kytketään mukaan ohjelmaan. Ohjelmapäällikkö varmistaa, että tieto ohjelman tuloksista kulkee näille tahoille ja että oikeat julkissektorin toimijat ovat osallistujien käytettävissä. Teknologia-alueiden asiantuntijat kerää ohjelmatoimisto. Osa-alueiden koordinoinnista ja verkoston resurssien hyödyntämisestä voi vastata mm. taustaselvitysten tekijä. Jokaiselle tulevaisuuden käyttöympäristöt alueelle valitaan veturiyritys ja hankkeen vetäjä. Hankkeen vetäjästä tulee ohjelmapäällikön vastinpari ja viestintäkanava hankkeeseen. Hankkeen vetäjä saa tuekseen ohjelmatoimiston ja sen osoittamat resurssit. 13

OSALLISTUJAT 5 5. Osallistujat Kenelle ohjelma suunnataan? Ohjelma keskittyy laaja-alaisesti tietoturvallisuuteen huomioiden eri toimialoilla tapahtuvan palvelukehityksen ja toimialoja kohtaavat tietoturvahaasteet. Teknologian substanssialueilla, kuten erillisissä valmistelevissa tutkimusohjelmissa käytetään alan asiantuntemusta ja parhaita osaajia sekä Suomesta että mahdollisesti ulkomailta. Hanke on tarkoitettu tieto- ja viestintäalan yritysten liiketoiminnan kehittämiseen sekä tuote- ja palvelukehitykseen osallistuville henkilöille (konseptoinnista, teknologiasta, testauksesta ja käyttöönotosta vastaavat henkilöt), tietoturva-asiantuntijoille, tutkijoille sekä ohjelmassa käsiteltävien toimialojen asiantuntijoille. Mukaan ohjelman eri vaiheisiin kootaan ryhmittymiä seuraavista toimijoista: tieto- ja viestintäalan yritykset sisällöntuottajat palveluiden tarjoajat palvelu- ja verkko-operaattorit tietoturva-alan keskeiset yritykset tutkimuslaitokset korkeakoulut ja yliopistot tarvittavat viranomaistahot lainsäätäjät ja regulaattorit Minkälaisissa rooleissa osallistujat voivat toimia? Yritykset voivat osallistuu tietoturvayhteistyöhön useilla eri tavoilla: verkoston ytimessä ns. veturiyrityksinä (veturiyritykset valitaan toimialakohtaisesti erityisesti, kun lähdetään luomaan näkemystä tulevaisuuden käyttötilanteista ja tietoturvahaasteista). kaupallisissa hankkeissa tietoturvaratkaisuiden kehittäjinä tai hyödyntäjinä (mukana olo paitsi pilottihakkeissa, niin myös ohjelman aikana syntyvissä kärkihankkeissa). osallistumalla ohjelman puitteissa järjestettyihin keskustelu-, koulutus- tai muihin tilaisuuksiin (tulosten purkutilaisuudet, työstöpalaverit, skenariotyöskentely). Hankkeessa keskitytään uusimman tietoturva-asioihin liittyvän tiedon tehokkaaseen jakamiseen ja analysointiin sekä asiantuntijoiden (tutkijat, lainsäätäjät, tietoturvayhtiöiden asiantuntijat) ja palveluiden kehittäjien (julkiset palvelut, kaupalliset palvelut) verkottumisen edistämiseen. Ohjelman käynnistysvaiheessa tavoitteena on tarjota joustavasti erilaisia osallistumismuotoja, jotta yritykset ja muut toimijat löytävät luontevan roolin olla mukana kehittämässä tietoturvallisia palveluita. 14

OSALLISTUJAT Ohjelman vaiheet suunnitellaan tarkasti etukäteen, jolloin myös kuvataan minkälaisia rooleja eri vaiheissa on mahdollista hakea: Käynnistämisvaiheessa muodostetaan ohjelman ohjausryhmä, valitaan ohjelmatoimiston vetäjä sekä valjastetaan mukaan tarvittavat tukitoimijat (mm. viestintätoimisto). Alkuvaiheen tutkimusohjelmissa on hyödynnettävä suomalaisten yritysten asiantuntijoiden osaamista ja tietämystä mm. ostamalla tutkimuksista osakokonaisuuksia suoraan yrityksiltä. Tähän osaamistaan voivat tarjota alan yritykset ja asiantuntijat. Tutkimusohjelmista järjestettäviä tietoturvapäiviä voidaan alustaa pienillä yritysten rakentamilla alustustöillä (syntyy samalla luonteva tapa valita tietoturvapäivien puheenjohtaja). Tulevaisuustyöryhmistä löytyy erilaisia rooleja: veturiyritykset, aktiiviryhmät, aktiiviparit, asiantuntijat. Minkälaisia tasoja ohjelman sisälle rakennetaan? Tietoturvaohjelma pidetään mahdollisimman suurelta osin maksuttomana. Ohjelma kannattaa kuitenkin rakentaa kaksitasoiseksi, jotta varmistetaan riittävä sitoutuminen työskentelyyn keskeisillä osa-alueilla. Näitä ovat mm. työskentely alueilla, joilla mietitään ohjelmien tuottamien tulosten soveltamista kaupallisiksi mahdollisuuksiksi. Ohjelmaan liittymisen tasot ovat seuraavat: Ohjelman yleisjäsenyys (maksuton) Yritys pääsee mukaan ohjelmaan ja saa käyttöönsä ohjelman tuottamaa informaatiota sekä mahdollisuuden osallistua seminaareihin ja erilaisiin yleisiin työryhmiin. Ohjelman aktiivijäsenyys (maksullinen) Yritys pääsee mukaan ohjelmaan ja saa käyttöönsä ohjelman tuottamaa informaatiota sekä mahdollisuuden osallistua seminaareihin ja erilaisiin yleisiin työryhmiin. Ohjelmatoimiston tehtävänä on koota yritysten käyttöön asiantuntijaosaamista ja tukea tuote- ja palveluideoiden jatkojalostamisessa. Aiheesta voidaan järjestää suunnitteluseminaareja, keskustelutilaisuuksia ja parhaimmillaan ohjelma tukee yrityksiä tuoteideoiden kaupallistamisessa. Ohjelmaan liittymisessä voidaan käyttää NAVI-ohjelmassa käytetynlaista mallia. Ohjelmapäällikkö määrittelee tarkemmin liittymistasot ja valmistelee ohjelmaan liittymissopimukset. Malli hyväksytetään ohjausryhmällä ohjelman käynnistämisvaiheessa. 15

OHJELMAN KÄYNNISTÄMINEN 6 6. Ohjelman käynnistäminen Tietoturvaohjelma on suunniteltu ensimmäisessä, käynnistämisvaiheessa kaksivuotiseksi ja sen toiminta käynnistyy vuoden 2005 alussa. Kaksivuotisen ohjelman päättymishetkellä ohjelman tulokset arvioidaan ja suunnitellaan mahdollinen ohjelman jatkoeteneminen. Vuoden 2004 aikana on aloitettava seuraavalla etenemisellä: Ohjelman käynnistyminen Taustaselvitysten käynnistäminen Ohjausryhmän kokoaminen Ohjelmatoimiston vetäjän valinta Ohjelman hyväksyminen MARRASKUU JOULUKUU TAMMIKUU Kuva 5. Tietoturvaohjelman käynnistäminen. Ohjelman käynnistämisen eteneminen: 1. Ohjelman tavoitteiden, sisällön, rakenteen ja etenemistavan hyväksyttäminen tietoturvallisuusasioiden neuvottelukunnassa. 2. Ohjelmatoimiston vetäjän sekä mukaan tarvittavan viestintätoimiston valintaprosessi. 3. Ohjausryhmän kokoaminen (5-7 jäsentä) ja ensimmäisen tapaamisen järjestäminen. 4. Ensimmäisten selvitystöiden kilpailutuksen käynnistäminen. 5. Vetovastuun siirtäminen ohjelmatoimistolle. Ohjelman käynnistysvaiheessa liikkeellelähtö tapahtuu samanaikaisesti useilla rintamilla. Matriisimaisen toimintamallin mukaisesti ohjelmatoimisto ryhtyy kokoamaan yhteen sekä eri substanssialueiden (internet-, mobiili-, digi-tv jne. alueiden osaajia) sekä eri käyttötilanteiden (esim. terveydenhuollon tai viihdepalveluiden tietoturvakysymykset) keskeisiä toimijoita ja mahdollisia veturiyrityksiä. Tavoitteena on löytää nopeasti alalla arvostettuja ja aktiivisia henkilöitä eri fokusryhmien vetäjiksi, jotta ohjelmatoimisto pääsee keskittymään koko ohjelman ylivoimaisen toimintaympäristön rakentamiseen. Julkistaminen ja viestintä Hankkeen käynnistysvaiheessa laaditaan erillinen viestintäsuunnitelma, jolla varmistetaan, että jo liikkeellelähtövaiheessa eri sidosryhmille muodostuu oikea kuva hankkeen tavoitteista ja luonteesta. Viestinnällä on myös keskeinen rooli hankkeen mahdollisuuksissa vaikuttaa kuluttajien luottamukseen sähköisten palvelujen tietoturvakysymyksissä. 16

OHJELMAN KÄYNNISTÄMINEN Osallistujien kerääminen Ohjelman myymisessä tietoturvaa kehittäville ja hyödyntäville yrityksille on tärkeää painottaa ohjelman soveltavaa luonnetta. Tietoturva yksinään on niin pienen joukon liiketoimintaa Suomessa tänä päivänä (joidenkin alalla pitkään toimineiden haastateltujen näkemys), että pelkästään tietoturvaratkaisujen kehittäjien kokoaminen yhteen ei luo verkoston kaipaamaan kriittistä massaa. Haastatteluissa todettiin myös, että alan johtavat yritykset maailmassa tulevat muualta kuin Suomessa ( jos joku tekee rahaa tietoturvalla, niin se ei ole kyllä lähtökohtaisesti suomalaiset, totesi eräs haastateltava). Sen sijaan soveltava lähestymistapa tietoturvaan, eli miten eri toimialoilla ja käyttötilanteissa tietoturva-asiat huomioidaan toimivalla ja tehokkaalla tavalla jo tuotekehitys- ja suunnitteluvaiheessa, sai hyvän vastaanoton haastateltujen keskuudessa. 17