Kevyttä keskustelua vai tiivistä tietojen vaihtoa? : tietoverkkorikollisuuden tilannetietoisuuden jakaminen luottamusverkostossa

Abstract

Räjähdysmäisesti lisääntyneiden kyberrikosten taloudellisten vaikutusten arvioidaan olevan merkittäviä, mutta silti ilmoituskynnys rikoksista on korkea. Viranomaiset pystyvät puuttumaan tapauksiin vain rajallisesti, koska suuri osa teoista ei näy rikostilastoissa. Tästä syystä julkisen ja yksityisen sektorin yhteistyö onkin elintärkeää kyberrikollisuuden torjumisessa. Yksi rakenne yhteistyöhön on luotettu foorumi, jossa elinkeinoelämän harjoittajat ja viranomaiset voivat kokoontua keskustelemaan asioista epävirallisesti. Tässä tutkimuksessa tunnistettiin seikat, jotka vaikuttavat tietoverkkorikollisuuden tilannetietoisuuden jakamiseen tietoturvayritysten ja viranomaisten välisessä luottamusverkostossa. Puolistrukturoitujen asiantuntijahaastatteluiden avulla selvitettiin, millaista tietojenvaihtoa luottamusverkoston toimijat toivovat sekä mitä haasteita he tunnistavat tietojen jakamiseen liittyen. Pehmeää systeemimetodologian avulla vastauksista muodostettiin määrämuotoinen kehitysprosessi siten, että luottamusverkoston toiminnan kehittämiseen voidaan ryhtyä järjestelmällisesti. Tutkimustulosten perusteella tietoverkkorikollisuuden tilannetietoisuuden jakamisen tulisi palvella niin viranomaisten tarvetta kehittää konkreettista tilannetietoisuusnäkymää tapahtuviin rikoksiin, kuin myös lisätä yritysten edustajien ymmärrystä tietoverkkorikoksista sekä niiden taustalla vaikuttavista ilmiöistä. Jaettavan tiedon tulisi olla sellaista, minkä tietäminen olisi tarpeellista kaikille luottamusverkoston toimijoille ja sen avulla saavutettavan ymmärryksen tulisi mahdollistaa tilannetietoisuuden käyttäminen päätöksenteon apuna. Edellytyksenä tietoisuuden jakamiselle koettiin, että yhteistyön tulisi olla salassapitovelvollisuuksien puitteissa mahdollisimman avointa, vastavuoroista, noudattaa ryhmässä vallitsevia normeja ja perustua muuhun kuin pelkkiin fyysisiin tapaamisiin. Tietoisuuden jakamista edesauttaisi, mikäli luottamusverkostolla olisi yhteiset tavoitteet, taloudellisia kannustimia tehdä yhteistyötä sekä tehokkaat kommunikointikanavat tai jaettu tilannetietoisuusnäkymä. Tilannetietoisuuden jakamista puolestaan haittaisivat vapaamatkustajailmiö, luottamuksen puute ryhmän jäsenten kesken sekä saavutetun tilannetietoisuuden tulkintaan käytettävän yhtenevän sisäisen mallin puuttuminen. Kyberturvallisuuskeskus koettiin luontevimmaksi tahoksi koordinoimaan tällaista yhteistyötä, koska verkoston toimijoilla on jo ennestään toimiviksi koetut suhteet keskuksen kanssa.

The cost of cybercrime to societies has risen as cybercrime activity has grown explosively. Despite significant economic impacts, the police-recorded cybercrime rates do not represent a sound basis for statistics. Often the activity is not reported to the police altogether resulting in an inadequate situational awareness and limited capability to act against the criminals. Thus, public-private partnerships and information sharing is vital in the fight against cybercrime. One potential structure to facilitate this sharing is a trusted forum or platform where private sector entities and authorities can meet face-to-face at regular intervals and hold informal, un-attributable discussions. This study identified the issues that affect information sharing on network crime in a trusted forum consisting of Finnish information security companies and authorities. Members of the forum were given an opportunity to express their wishes for the cooperation in semi-structured interviews as well as to call out identified challenges in the information sharing. Based on the interview results, a formal development process for the cooperation was formed by leveraging soft system methodology. The study results show that the information sharing should contribute to building tangible situational awareness of network crime for the authorities but also serve private sector members by revealing potential actors behind the activity and shedding light on their attack patterns. The shared information should serve all members of the forum while the gained situational awareness should enable better dynamic decision making. A precondition for any kind of information sharing is that the sharing complies with group norms, is reciprocal and as overt as possible considering the non-disclosure obligations of the members. In addition, the sharing would benefit from jointly defined goals and from economic incentives to participate. To gain the most out of cooperation, sharing should not be based only on face-to-face meetings. Effective communication methods or a shared situational awareness display would promote the cooperation. The cooperation would suffer if members attempt to free ride in the forum, do not trust each other or lack shared mental models to interpret the results of the shared situational awareness. The National Cyber Security Centre Finland (NCSC-FI) at the Finnish Communications Regulatory Authority was seen as the suitable owner and coordinator for this information sharing since the members have working relations with the centre.