Onko hallituksen kyberturvallisuussuunnitelma tarkoituksenmukainen?

Kirjoittanut Phil Muncaster • 12 helmikuu 2026

Hallitus ei usein myönnä olleensa väärässä. Silti vuoden alussa meitä hemmoteltiin harvinaisella tavalla syyllisyytensätunnustus siitä, että aiempi tavoite tehdä Whitehallista kestävä kaikille tunnetuille haavoittuvuuksille ja hyökkäysmenetelmille ei olisi saavutettavissa vuoteen 2030 mennessä. Tämä tunnustus haudattiin tekstiin kybertoimintasuunnitelma (CAP), viimeisimmän hallinnon viimeisin pyrkimys parantaa keskushallinnon turvallisuustilannetta.

Se on yksityiskohtainen ja lupaava suunnitelma, jolla on vaikutuksia paljon julkista sektoria laajemmalle. Mutta onko se riittävä?

Miksi hallitus tarvitsee suunnitelman

On kiistatonta, että hallitus tarvitsee suunnitelman kyberuhkien sietokyvyn vahvistamiseksi. Hallituksen turvallisuusryhmän (GSG) vuosina 2023–24 tekemässä arvioinnissa todettiin, että 58 kriittisessä ministeriön IT-järjestelmässä oli ”merkittäviä” tietoturva-aukkoja, jotka loivat ”erittäin suuren” riskin. Erillinen kansallinen tarkastusvirasto (NAO) raportti viime vuonna tehdyssä tutkimuksessa havaittiin, että 28 prosentilla 228 vanhasta IT-järjestelmästä oli suuri todennäköisyys operatiivisten ja tietoturvariskien esiintymiselle. Tutkimuksen mukaan osaamisvaje ja rahoituspula ovat pahentaneet tilannetta.

Sen jälkeen on tapahtunut vakavia rikkomuksia Oikeusaputoimisto, afganistanilainen siirtokuntahanke mikä voisi tulla veronmaksajille kalliiksi satoja miljoonia puntia ja ainakin kaksi vakavaa turvallisuusvälikohtausta Puolustusministeriön urakoitsijatAikana, jolloin rahasta on pulaa ja julkiset palvelut heikkenevät, hallituksella ei ole varaa kalliimpiin tietomurtoihin ja kaikkeen muuhun, mikä vaarantaa kipeästi kaivatun digitaalisen muutoksen.

YMP viittaa useisiin puutteisiin:

Institutionalisoitu pirstaloituminen
Jatkuva perintö-, kyberturvallisuus- ja sietokykyriski
Siiloutunut data
Alidigitalisaatio
Epäjohdonmukainen johtajuus
Digitaalisten taitojen pula
Hajautettu ostovoima
Vanhentuneet rahoitusmallit

Mitä YMP sisältää?

Yhteistyösuunnitelma lupaa ”vahvan, keskitetyn lähestymistavan, jossa on selkeä suunta ja aktiivinen johtajuus”, joka asettaa selkeät odotukset siitä, miten osastojen tulisi hallita turvallisuutta ja sietokykyä mitattavissa olevien tavoitteiden ja tulosten avulla. Yleisenä tavoitteena on parantaa näkyvyyttä kyberriskiin ja tarjota vahvempia keskitettyjä toimia vaikeimpien haasteiden ratkaisemiseksi (joita osastot eivät pysty käsittelemään yksin). Se lupaa parantaa tietoturvaloukkausten nopeutta ja laatua sekä tarjota keskitettyä tukea vanhojen ongelmien korjaamiseen.

YMP:n tavoitteiden saavuttamiseksi siinä on kolme täytäntöönpanovaihetta:

Vaihe 1 (huhtikuuhun 2027 mennessä): Valtion kyberyksikön perustaminen, vastuuvelvollisuuskehysten käyttöönotto, hallinnonlaajuisen kyberammattilaisten houkuttelemiseksi, osaamisen kehittämiseksi ja pitämiseksi alan ammattilaisia sekä valtion kybertapahtumien reagointisuunnitelman julkaiseminen.

Vaihe 2 (huhtikuu 2027–2029): YMP:n laajentaminen datalähtöisen päätöksenteon avulla sekä kybertukipalveluiden tarjoaminen ja reagointikyvyn laajentaminen.

Vaihe 3 (huhtikuu 2029+): Jatkuva parantaminen jakamalla keskitettyjä datanäkemyksiä, tarjoamalla palveluita laaja-alaisesti, hyödyntämällä kyberammattia muutoksessa ja varmistamalla, että osastot varmistavat ennakoivasti kyberriskin koko toimitusketjussaan.

Hallitus väittää, että mahdollistamalla julkisten palvelujen turvallisen digitalisoinnin YMP voisi vapauttaa jopa 45 miljardin punnan tuottavuussäästöt. Silti se on osoittanut aloitteeseen vain 210 miljoonaa puntaa.

Erikseen se lanseerasi uuden Ohjelmistoturvallisuuden lähettiläsohjelma edistääkseen ohjelmistojen tietoturvasäännöstön käyttöönottoa – vapaaehtoista aloitetta, jonka tavoitteena on minimoida ohjelmistojen toimitusketjun riskit ja häiriöt. Cisco, Palo Alto Networks, Sage, Santander, NCC Group ja muut ovat suostuneet toimimaan lähettiläinä. He ajavat säännöstöä eri sektoreilla, "esittelevät käytännön toteutusta ja antavat palautetta tulevien käytäntöjen parantamiseksi".

Toimittajat valokeilassa

Tristan Watkins, IT-palveluyritys Advania UK:n palveluinnovaatiojohtaja, suhtautuu yleisesti ottaen myönteisesti yhteiseen maatalouspolitiikkaan (CAP), koska se "perustautuu selkeisiin arvioihin nykyisistä perimmäisistä ongelmistamme". Hän väittää, että se tarkoittaa eri asioita eri toimittajille.

”Hallituksen ’strategisilla toimittajilla’ on kyberturvallisuus- ja sietokykyvaatimukset sisällytettynä sopimuksiinsa, joiden voimme odottaa tulevan voimaan maaliskuuhun 2027 mennessä”, hän kertoo IO:lle. ”Nämä yksityiskohdat ovat vielä auki. Muiden toimittajien osalta voimme odottaa selvyyttä huhtikuun 2027 jälkeen, joka on ensimmäinen virstanpylväs hallituksen kyberyksikön perustamisessa.”

Arctic Wolfin alueellinen ratkaisutekniikan varatoimitusjohtaja Nick Dyer väittää, että toimittajien odotetaan vähintäänkin suorittavan vuosittaiset Cyber Essentials -tarkastukset, jos he haluavat pysyä vaatimustenmukaisina. F5:n vanhempi ratkaisuarkkitehti Keiron Shepherd on samaa mieltä. ”Toimittajien tulisi olla valmiita perusteellisempiin arviointeihin ja tiukempiin raportointivaatimuksiin”, hän kertoo IO:lle. ”Tämä siirtyminen jatkuvaan varmuuteen on vahvempi lähestymistapa kuin nykyinen ajankohtainen vaatimustenmukaisuus.”

Keskeneräinen työ

Kumpikaan asiantuntija ei kuitenkaan usko ilmoitetun rahoituksen olevan riittävä. Arctic Wolfin Dyerin mukaan se "ei varmasti riitä" toivottujen tulosten saavuttamiseksi.

”Jatkuvat investoinnit ja hallituksen asettaman etenemissuunnitelman noudattaminen ovat ratkaisevan tärkeitä suunnitelman onnistumiselle”, hän kertoo IO:lle. ”Ehdotettu kolmivaiheinen lähestymistapa, joka johtaa täydelliseen täytäntöönpanoon vuoden 2027 alkuun mennessä, on käytännöllinen. Sen onnistuminen riippuu kuitenkin sitoutumisesta. Prioriteetit voivat muuttua ja olosuhteet voivat muuttua vuodessa, joten jatkuva valvonta on välttämätöntä sen varmistamiseksi, että suunnitelma saavuttaa halutut tulokset.”

Myös ohjelmistojen tietoturvalähettiläsohjelmaan liittyy kysymysmerkkejä. Advania UK:n Watkins suhtautuu aloitteeseen myönteisesti, mutta väittää, että organisaatioiden ei pitäisi pitää sitä merkkinä toimitusketjun riskienhallinnan höllentämisestä.

”Viime kädessä käytännesääntöjä ja järjestelmää tulisi pitää hyvinä vastineina uudelle CAP:lle ja kyberturvallisuus- ja kyberresilienssilakiehdotukselle, ja ne puuttuvat niihin liittyvään huolenaiheeseen ajoissa”, hän sanoo. ”Suosittelen kuitenkin, että organisaatiot keskittäisivät sisäiset turvallisuustoimensa ohjelmistojen toimitusketjun huolenaiheisiin, koska emme voi luottaa käytännesääntöjen täyttämiseen näiden tarpeiden täyttämiseksi.”

Arctic Wolfin Dyer menee pidemmälle ja varoittaa, että vapaaehtoisena ohjeistona se voi johtaa "epäjohdonmukaiseen käyttöönottoon" organisaatioiden välillä.

”Toisaalta koodin pakollinen säätäminen lisäisi käyttöönoton johdonmukaisuutta ja tekisi vastuullisuudesta mitattavaa”, hän lisää. ”Sen laillinen täytäntöönpano varmistaisi, että ohjelmistokehittäjät noudattavat keskeisiä tietoturvakäytäntöjä, mikä olisi luultavasti ollut tehokkaampi tapa suojata kriittisiä valtion järjestelmiä.”

F5:n Shepherd on samaa mieltä. ”Hakemus on rakentava, mutta jos tavoitteena on vähentää riskiä koko ohjelmistotoimitusketjussa, pelkät vapaaehtoiset toimenpiteet eivät riitä tähän”, hän päättelee. ”Pian saavutamme pisteen, jossa sisäänrakennetun turvallisuuden tyylistandardien pakollinen käyttöönotto on tehokkain tapa saavuttaa johdonmukaisuus ja paikata puutteita.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.