Väitös: 18.4.2023 Kyberturvallisuuden koulutuksessa tulisi panostaa turvalliseen tuotekehitykseen ja järjestelmien hallintaan

Karo Saharinen tutki väitöskirjassaan kyberturvallisuuden opetuksen järjestämistä korkeakouluissa kansallisesti ja kansainvälisesti. Väitöskirjan artikkeleissa tutkittiin kyberturvallisuuden opetussuunnitelmien sisältöjä Suomessa ja ulkomailla, työnantajien tarpeita rekrytoitavien työntekijöiden osaamisesta sekä sitä minkälaisiin tehtäviin valmistuneet olivat päätyneet.

– Kun aloitin tekemään väitöskirjaa, niin kyberturvallisuudesta ei ollut hirveästi olemassa kansallisia tai kansainvälisiä standardeja siitä, mitä osaajille pitäisi kouluttaa. Nyt asia on enemmän pinnalla ja erilaisia standardeja on tullut paljon lisää esimerkiksi EU-tasolla, Saharinen kertoo.

Saharinen sanoo, että opetussuunnitelmien sisältöjä suunnitellessa on tärkeää ottaa huomioon sekä yhteiskunnan että teollisuuden tarpeet.

– Tavoitteena on, että valmistuneilla olisi työssä tarvittava osaaminen ja isossa kuvassa myös, että koko kybertoimintaympäristö pysyisi luotettavana. Koko IT-alalle tarjottavasta kyberturvallisuuden koulutuksesta olisi hyötyä, ettei esimerkiksi Vastaamon tyylisiä tapauksia pääsisi sattumaan. On vieläkin tutkinto-ohjelmia joissa kyberturvallisuus ei ole pakollisena aiheena, Saharinen sanoo.

Tällä hetkellä Suomessa on puhtaasti kyberturvallisuuteen painottuvia tutkinto-ohjelmia yliopistoissa ja ammattikorkeakouluissa. Saharisen mukaan niissä on kuitenkin aloituspaikkoja turhan vähän suhteessa hakijoiden lukumäärään.

– Hakijoiden määräkin kertoo kyberturvallisuusalan tutkinnon tarpeellisuudesta teollisuudessa, Saharinen toteaa.

Saharisen mukaan tilannetta parantaa kyberturvallisuusalan koulutuksen ja informaatiopsykologisen tutkimuksen vuoden 2022 lopulla saama lisärahoitus, jossa kehitetään avoimia opintokokonaisuuksia ja tarkemmin eri aloille soveltuvia opintojaksoja kyberturvallisuudesta.

Kyberturvallisuus tulisi ottaa alusta alkaen mukaan tuotekehitysprosessiin

Tutkimuksen johtopäätöksenä kyberturvallisuuden korkeakoulututkinnoissa tulisi panostaa turvalliseen tuotekehitykseen, järjestelmien ylläpitoon ja kyberturvallisuuden hallinnointiin. Saharisen mukaan näille osa-alueille oli selkeästi kysyntää työnantajien keskuudessa.

Turvallisella tuotekehityksellä tarkoitetaan prosessia, jossa kuluttajille tarkoitettu tuote tai palvelu pystytään kehittämään alusta asti tietoturvalliseksi ja toimivaksi.

– Kuluttajille tarjotaan koko ajan entistä enemmän esimerkiksi puhelinsovelluksia ja muita helppoja sähköisen asioinnin menetelmiä. Ihanteellista olisi saada kyberturvallisuus osaksi näiden tuotteiden ja niiden taustajärjestelmien kehitystä mahdollisimman aikaisessa vaiheessa ja siksi aiheet pitäisi huomioida entistä paremmin jo kouluttautumisvaiheessa, Saharinen sanoo.

Saharinen kertoo, että turvallisen tuotekehityksen tuloksena syntyneen järjestelmän ylläpitäminen, käyttäminen ja suojeleminen on helpompaa. Järjestelmät on helpompi pitää päivitettyinä ja tietoturvallisina.

– Työllistyneitä tutkiessa oli ilahduttavaa nähdä työtehtävien sijoittuvan kybertoimintaympäristön ylläpitämiseen, suojeluun ja puolustamiseen. Näitä taitoja voi harjoitella esimerkiksi opintojaksoilla, joissa osallistutaan kyberharjoituksiin, Saharinen mainitsee.

Järjestelmien turvallisen kehittämisen ja ylläpidon lisäksi koulutuksessa olisi hyvä panostaa myös kyberturvallisuuden hallinnointiin, jotta yrityksissä pysyisi yllä riittävä tietotaito ja osaaminen yritykseen kohdistuvien tietoteknisten riskien ja uhkakuvien arviointiin.

– Kun yritykseen kohdistuvat riskit pystytään arvioimaan oikein, niin silloin myös resurssit osataan kohdentaa oikein. Koulutetaanko esimerkiksi henkilöstöä, hankitaanko lisää teknisiä suojausmenetelmiä vai panostetaanko vain ylläpitoon ja valvontaan, Saharinen kertoo.

Kyberturvallisuuden hallinnointi liittyy Saharisen mukaan erityisesti ylemmän korkeakoulutason tutkinto-ohjelmiin.

Tietoteknisten haavoittuvuuksien löytämisestä on tullut yhteiskunnassa arkipäivää ja suomalaiset ovat joutuneet kokemaan kyberhyökkäyksiä niin terveydenhuollossa, pankkisektorilla, korkeakouluissa kuin kunnissakin. Tästä syystä digitaalisten palveluiden katkeamattoman tarjoamisen varmistamiseksi on kyberturvallisuuden ammattilaisten tarve kasvanut työelämässä.

– Väitöstutkimuksen esitetyillä tuloksilla opetusta järjestävät organisaatiot voivat tarkastella omaa opetustarjontaansa tutkittuun tietoon perustuen ja pystyä paremmin vastaamaan siihen kyberturvallisuusosaajien kysyntään, jota meillä yhteiskunnassa tällä hetkellä on, Saharinen sanoo.

Insinööri (YAMK) Karo Saharisen ohjelmisto- ja tietoliikennetekniikan väitöskirjan "Research into the Aspects of Cybersecurity Education in Higher Education" tarkastustilaisuus järjestetään tiistaina 18.4. klo 12. Yleisö voi seurata väitöstilaisuutta salissa Agora Auditorio 2, tai verkkovälitteisesti. Linkki Moniviestimen suoraan lähetykseen: https://r.jyu.fi/dissertation-saharinen-180423

Vastaväittäjänä toimii apulaisprofessori Mikko-Jussi Laakso (Turun yliopisto) ja kustoksena professori Timo Hämäläinen (Jyväskylän yliopisto). Väitöstilaisuuden kieli on suomi.

Karo Saharinen on valmistunut insinööri AMK (2008) ja YAMK tutkinto-ohjelmista (2013) Jyväskylän ammattikorkeakoulusta. Työurallaan hän on työskennellyt muun muassa puhelinyhtiön tietoliikenneasentajana, ilmavoimissa suojaustasollisten tietoverkkojen insinöörinä ja lehtorina Jyväskylän ammattikorkeakoulussa. Jamkissa hän on ollut tutkintovastaavana kyberturvallisuuden AMK-tutkinto-ohjelmassa 2015–2017 ja YAMK-tutkinto-ohjelmassa vuodesta 2018 lähtien.

Väitöskirja on julkaistu verkkojulkaisusarjassa ja se on luettavissa JYX-julkaisuarkistossa: http://urn.fi/URN:ISBN:978-951-39-9511-9.