Toiminnan vaikuttavuuden tiivistäminen euroihin tai prosentteihin on hankalaa, eivätkä luvut ikinä kerro koko totuutta. Miten mitataan esimerkiksi yhteiskunnan päätöksenteon toimivuutta tai kansalaisten perusoikeuksien toteutumista, pohtii Traficomin Kyberturvallisuuskeskuksen johtaja Pekka Jokinen.
Traficomin Kyberturvallisuuskeskuksen taloudellista vaikuttavuutta on haastavaa arvioida. On tärkeä huomata, että merkittävimmät Kyberturvallisuuskeskuksen vaikutukset ovat luonteeltaan paljon perustavanlaatuisempia: asioita, joita ei voida kuvata tai palauttaa euromääräisiksi arvioiksi. Keskus on toiminnallaan turvaamassa demokraattisen yhteiskunnan perusprosessien ja päätöksenteon toimivuutta ja turvallisuutta, kansalaisten perusoikeuksien toteutumista ja viime kädessä koko valtion olemassaoloa. Näitä asioita ei edes periaatteessa ole mielekästä pyrkiä kuvaamaan taloudellisella vaikutusarvioinnilla euromääräisesti.
Kyberturvallisuuskeskuksen toiminnan merkittävimmät taloudelliset vaikutukset syntyvät kansantalouden tasolla. Eri tehtävät ja toimenpiteet vaikuttavat tähän tavoitteeseen eri tavoin ja keskenään dynaamisesti. Taloudellinen arvo syntyy siitä, että kyberhyökkäyksen todennäköisyyttä pystytään vähentämään. Kaikki Kyberturvallisuuskeskuksen toimenpiteet vaikuttavat osaltaan tähän tavoitteeseen, ja millä tahansa yksittäisellä toimenpiteellä voi lopulta olla ratkaiseva suora tai välillinen vaikutus siihen, ettei vakava kyberhyökkäys toteudu.
Eri toimintojen merkitys taloudellisen hyödyn muodostumiselle riippuu a) miten laajasti toiminto vähentää hyökkäyksen todennäköisyyttä ja b) miten suuren osa resursseista toiminto kuluttaa suhteutettuna kohtaan a. Lähtökohtaisesti näiden osalta pyritään tasapainoon eli resursseja ohjataan vaikuttavimpiin toimintoihin.
Yksittäisten toimintojen merkitys hyökkäyksen todennäköisyyteen riippuu erilaisten uhkien esiintymistodennäköisyydestä tiettynä ajankohtana. Tilanne kuitenkin muuttuu jatkuvasti ja Kyberturvallisuuskeskuksen toiminnan on jatkuvasti pystyttävä ehkäisemään erityyppisiä uhkia eri toimijoille. Tästä näkökulmasta pitkälle viety analyysi yksittäisten toimintojen tai tehtävien merkityksestä ei ole perusteltua, sillä se ei välttämättä ole ajankohtainen enää seuraavana vuonna uhkatilanteen muuttuessa.
Eri toimintojen merkitystä taloudellisen hyödyn syntymiseen olisi mahdollista lähestyä karkeasti myös resurssien jakautumisen kautta: toimenpiteet, joihin kohdennetaan tällä hetkellä enemmän resursseja, myös vaikuttaisivat vahvemmin hyödyn syntymiseen. Käytännössä eri toimintojen vaikutuslogiikat ovat kuitenkin niin erilaisia, ettei niiden keskinäinen vertailu ole mahdollista tai mielekästä.
Sääntely muodostaa viitekehyksen, jonka puitteissa tietojen vaihtoa ja toimenpiteitä ylipäätään voidaan toteuttaa. Kokonaisuudessa oleellista on, että esimerkiksi tilannekuvaa tukevat suoraan useat eri Kyberturvallisuuskeskuksen toimista.
Hyödyn vahvistamisen näkökulmasta oikea kysymys olisi: muuttuuko kyberhyökkäyksen todennäköisyys merkittävästi, jos siihen vaikuttavia toimenpiteitä vähennetään tai lisätään nykyisestä. Vastaavasti osalle toimenpiteistä olisi mahdollista löytää jokin muu luonteva toteuttaja ilman, että kokonaisuus merkittävästi muuttuu.
Vertailua eri toimenpiteiden välillä on mahdollista tehdä tehtävien sisällä. Esimerkiksi tilannekuvatuotteiden osalta on tarkoituksenmukaista tarkastella jatkuvasti, miten laajasti kutakin yksittäistä tuotetta hyödynnetään suhteessa sen ylläpitämiseen tarvittaviin resursseihin. Vastaavasti tulisi arvioida, mikä on kunkin verkoston merkitys ja lisäarvo.
Euromääräinen vaikuttavuus
Vakavien kyberhyökkäysten vaikutuksista BKT:hen on 2000-luvulla tehty useita eri metodologioihin (kuten IO- ja CGE-malleihin) perustuvia tutkimuksia. Esimerkiksi yhdysvaltalainen RAND-tutkimuslaitos on kehittänyt yleisen panos-tuotos-malliin nojaavan metodologian vaikutusten arvioimiseksi (Ulkoinen linkki) ja tuoreessa, vuoden 2024, Risk Analysis lehden numerossa esitetään CGE-malliin perustuva simulaatio kyberhyökkäysten vaikutuksista talouteen (Osman, R., & El-Gendy, S. 2024).
Vaikka tutkimukset perustuvat hyvin erilaisiin lähtöoletuksiin ja teoreettisiin malleihin, tuoreimmat arviot päätyvät hyvin samanlaisiin tuloksiin. Osassa tutkimuksia vaikutuksia on tarkasteltu EU:n talousalueella (ja muilla talousalueilla) ja osassa on tehty maakohtaisia tarkasteluja. Kun tarkastellaan EU-tason ja Länsi-Euroopan maista tehtyjä tutkimuksia ja arvioita, on arvioissa päädytty varsin yhdenmukaisiin arvioihin (muun muassa edellä mainitut tutkimukset). Vakavien iskujen vaikutus BKT:hen on noin -1,3–1,5 %. Myös hyvin spesifit mallinnukset tietyn tyyppisistä vakavista iskuista ovat päätyneet suunnilleen vastaaviin arvioihin. Esimerkiksi Englannissa vakavan sähköinfrastruktuuriin tehdyn iskun mallinnuksessa (Ulkoinen linkki) iskun BKT-vaikutukseksi on arvioitu -1,6 % .
Kyberturvallisuuskeskuksella on nettopositiivinen vaikutus, jos se pystyy pienentämään vakavan iskun todennäköisyyttä 0,8 %. Suomen bruttokansantuote oli vuonna 2023 yhteensä 274,9 miljardia euroa (Tilastokeskus 19.6.2024). Jos edellä mainittujen mallinnusten tuloksia sovelletaan Suomeen varovaisuusperiaatetta noudattaen, vakavan tietoturvaloukkauksen potentiaalinen BKT-vaikutus olisi noin 3,6 miljardia euroa (-1,3 %). Kyberturvallisuuskeskuksen toimintamenojen ollessa noin 28 miljoonaa euroa, Kyberturvallisuuskeskuksella voidaan todeta olevan nettopositiivinen vaikutus, jos se pystyy pienentämään vakavan iskun todennäköisyyttä 0,8 %.
Jotta Kyberturvallisuuskeskuksen taloudellisia vaikutuksia voitaisiin arvioida, tulisi edellä mainitun BKT-vaikutuksen ohella pystyä arvioimaa vakavan kyberiskun riskin todennäköisyyttä ja Kyberturvallisuuskeskuksen toiminnan vaikutusta iskun todennäköisyyteen (ja sen vaikutusten laajuuteen). Kyberiskujen todennäköisyydestä organisaatiotasolla on tehty paljon tutkimuksia. Sen sijaan kysymys yhteiskunnallisesti vakavan iskun todennäköisyydestä on hankalampi. Vaikka iskun vaikutukset BKT:hen riippuvat paljon muun muassa maan talouden rakenteesta, niin iskun todennäköisyys on siinä mielessä yleisempi, että isku voi tapahtua esimerkiksi koko talousalueen tasolla eikä se tunne maarajoja. Iso-Britannia on kansallisessa riskiarvioinnissa (Ulkoinen linkki) arvioinut vakavan infrastruktuuriin kohdistuvan kyberiskun todennäköisyyden tasolle 4 käytetyllä 5-portaisella asteikolla. Tasolla 4 riskin todennäköisyys on 5–25 % ja tasolla 5 >25 %. Minimissään riski on siis 5 % ja maksimisissaan 25 %. Tätä voidaan käyttää myös perusteena Kyberturvallisuuskeskuksen potentiaalisen vaikuttavuuden arvioinnissa.
Perustuen saatavilla olevaan dataan, aikaisempiin tutkimuksiin ja niiden pohjalta tehtyihin arvioihin, Kyberturvallisuuskeskuksen kokonaisvaikuttavuuden voidaan edellä sanotun perusteella arvioida olevan noin 200–900 miljoonaa euroa. Tässä on huomioitu sekä arvio vakavan iskun potentiaalisesta vaikutuksesta BKT:hen, sen todennäköisyys ja keskuksen mahdollisuudet vaikuttaa siihen.
Pekka Jokinen
Johtaja
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus