Kriittisen infrastruktuurin suojaaminen Suomessa

Abstract

Tämän kirjallisuuskatsauksena toteutetun kandidaatin tutkielman tavoitteena oli ottaa selvää suomalaisen kriittisen infrastruktuurin vastuista, kattavuudesta ja kyberturvallisuuden suojaustoimista. Tutkimuksen taustalla vallitsi epäselvyys suomalaisen kriittisen infrastruktuurin sektoreista ja niihin liittyvistä julkisen ja yksityisen sektorin vastuista. Kyberturvallisuuden näkökulma kriittiseen infrastruktuuriin perusteltiin sillä, että yhteiskunnan kriittiset palvelut ovat yhä yleistyvämmissä määrin yhteydessä yrityksen tai julkiseen verkkoon, mikä altistaa ne kyberhyökkäyksille. Tutkimuksen myötä selvisi yleisimmät kriittisen infrastruktuurin sektorit ja niihin liittyvät vastuut, suojattavat kohteet ja kyberturvallisuuden suojaustoimet. Tutkimuksessa selvinneet suojaustoimet voidaan luokitella ei-teknisiin poikkisektorillisiin suojaustoimiin, teollisuuden ohjausjärjestelmien suojaustoimiin sekä sektorikohtaisiin suojaustoimiin. Lisäksi saatuja tutkimustuloksia peilataan siihen, miten ne edesauttavat resilienssiä, pelotetta ja puolustusta, jotka ovat Euroopan komission asettamia kehitysalueita valtioiden kyberturvallisuudelle. Tutkimus tarjoaa varsin yleismaailmallisen kuvan siitä, mitä kriittinen infrastruktuuri pitää sisällään ja miten siihen liittyvät vastuut jakautuvat Suomessa, mutta nykyisen laajalle hajautuneen mallin tehokkuutta ja soveltuvuutta yhteistyötä ja avoimuutta korostavassa toimintaympäristössä voisi tutkia vielä tarkemmin.

The purpose of this bachelor's thesis, executed as a literature review, was to find out the responsibilities, coverage and cyber security practices of the Finnish critical infrastructure. The background to the study was the lack of clarity about the Finnish critical infrastructure sectors and both public and private sector responsibilities related to them. The cyber security perspective on critical infrastructure was justified by the fact that critical services of society are increasingly connected to a company or public network, which exposes them to cyber attacks. The study revealed the most common critical infrastructure sectors and their responsibilities, the objects to be protected and the practices to protect cyber security. The practices that have emerged in the study can be categorized as non-technical cross-sectoral practices, industrial control systems practices, and sector-specific practices. In addition, the results will be mirrored in their contribution to resilience, deterrence, and defence, which have been identified as a development area for European cyber security. The study provides a quite general picture of what the critical infrastructure contains and how responsibilities are distributed in Finland. Nevertheless, the effectiveness and suitability of the current widely dispersed model could be explored even further, as the environment values cooperation and openness in an increasing manner.