Osallistuin toukokuussa 2024 insinöörialan IEEE Global Engineering Education Conference -konferenssiin Kos-saarella Kreikassa. Konferenssissa käsiteltiin paljon tekoälyä, siihen liittyviä haasteita ja hyötyjä (IEEE 2024). Kuulemani esitykset avasivat käsitystäni tekoälystä ja kyberturvallisuudesta sekä näiden aiheiden koulutuksesta monella eri tapaa. Konferenssissa aiheita oli paljon, mutta mielenkiintoni kohdistui etenkin kyberturvallisuuteen, koska työskentelemme Laureassa tällä hetkellä paljon sen parissa – niin tradenomikoulutuksessa kuin hankkeissakin. Tämä konferenssi avasi paljon silmiäni, miten paljon erityyppisiä kyberturvallisuuskoulutuksia Euroopassa on, ja miten tekoäly liittyy tähän kokonaisuuteen.
Kuva: Kossin auringonlasku (Timo Savolainen)
Monessa EDUCON 2024 konferenssin esityksessä pohdittiin vastausta muun muassa seuraaviin kysymyksiin: 1) Millaista kyberturvallisuussaamista tarvitaan tulevaisuudessa? 2) Mitä kyberturvallisuusosaamista korkeakouluissa tarvitaan? 3) Miten tekoälyä pystytään hyödyntämään kyberturvallisuudessa? Tässä keskustelunavauksessa tulen seuraavaksi käymään läpi itselleni mieleenpainuvimpia esityksien ja artikkeleiden pääkohtia, sekä oman paperini Liiketoiminnan jatkuvuuden hallinta kriittisissä infrastruktuureissa kyberturvallisuuden näkökulmasta (Business Continuity Management of Critical Infrastructures from the Cybersecurity Perspective) keskeisen sisällön, jonka esitin myös kyseisessä konferenssissa. Tuota paperia oli kirjoittamassa itseni lisäksi Laurean Harri Ruoslahti, sekä Karen Neville ja Nora McCarthy University College Corkista.
Liiketoiminnan jatkuvuuden hallinta kriittisissä infrastruktuureissa kyberturvallisuuden näkökulmasta
Minä, Harri, Nora ja Karen kirjoitimme artikkelin liiketoiminnan jatkuvuuden hallinnasta kriittisissä infrastruktuureissa kyberturvallisuuden näkökulmasta, koska nyky-yhteiskunnassa lähes kaikki prosessit ovat yhteydessä IT-järjestelmiin. Toisin sanoen, koska kaikki kriittisen infrastruktuurin tekijät (joita ovat mm. rahoituspalvelut, energia-, kuljetus-, liikenne-, tietoliikenne-, vesihuolto-, sosiaali- ja terveydenhuollon palvelut ) ovat yhteydessä IT-järjestelmiin, on erittäin tärkeää, että ne toimivat. Kriittisten infrastruktuurien resilienssiä on tärkeä kehittää etenkin kyberturvallisuuden näkökulmasta. Tämän takia ehdotammekin uutta käytännöllistä jatkuvuuden hallinnan BCM -resilienssikehystä , joka lisää olemassa oleviin malleihin ydinvaiheen ”opi ja sopeudu”, korostaen koulutuksen ja inhimillisten tekijöiden merkitystä. Tekoäly voi auttaa organisaatioita kyberturvallisuusongelmissa parantamalla uhan havaitsemista ja reagointiaikoja, koska se on parempi tunnistamaan kuvioita ja poikkeamia raakadatasta verrattuna perinteisiin menetelmiin. Tekoälyä voidaan käyttää myös koulutuksen tukena.
Kyberturvallisuuskoulutuksen arviointia
Furnell and Stavrovin (2024) esitelmä ja artikkeli nimeltään Assessing the consistency of cyber security education (suom. Kyberturvallisuus koulutuksen arviointia) käsitteli kyseisen koulutuksen monimuotoisuutta. Kyberturvallisuus on vakiintunut kansainvälisesti omaksi linjakseen korkeakoulutuksessa. Kuitenkin, vaikka tarjolla on useita tutkintoja aina toiselta asteelta korkeakouluun, tuleville opiskelijoille ja työnantajille voi olla haastavaa ymmärtää, mitä opintoja tutkinnon nimike pitää sisällään. Toisin sanoen ongelmana on se, että ei ole suoraan nähtävissä mihin kyberturvallisuuden osa-alueisiin valmistunut on tutustunut. Heidän artikkelinsa havainnollistaa tämän haasteen tarkastelemalla kymmenen eri kyberturvallisuuden maisteriohjelman sisältöä. Kaikki ohjelmat on nimetty ”MSc Cyber Security”, ja ne näyttävät käsittelevän päällisin puoli samaa aihetta. Kuitenkin opetussuunnitelmien tarkempi arviointi paljastaa, että opetussuunnitelmat sisältävät merkittäviä eroja niin sanottujen kyber- ja ei-kyberaiheiden kattavuuden sekä teknisen ja ei-teknisen sisällön jakautumisen suhteen. Paperissa myös pohditaan, miten ohjelmien todellinen sisältö voidaan esittää ja vertailla informatiivisemmalla tavalla esimerkiksi näyttämällä piirakkamallilla kuinka paljon tutkinto sisältää teknillistä, ei-teknillistä ja ei-kyberopintoja.
Ammattilaisten voimaannuttaminen: Generatiivinen tekoäly lähestymistapana henkilökohtaistettuun kyberturvallisuusoppimiseen
Kallonaksen, Pikin ja Stavroun (2024) artikkeli Empowering Professionals: A Generative AI Approach to Personalized Cybersecurity (suom. Learning Ammattilaisten voimaannuttaminen: Generatiivinen tekoäly lähestymistapana henkilökohtaistettuun kyberturvallisuusoppimiseen) käsitteli kasvavaa kyberturvallisuuden ja tekoälyn osaamisen tarvetta. He sanovat, että taitojen päivittämiseksi ja uudelleenkouluttamiseksi järjestetyt kyberturvallisuuskoulutukset ovat joko tehottomia vaadittujen taitojen kehittämisessä tai ne eivät eivät motivoi osallistujia oppimaan ja kehittämään kyberturvallisuusosaamistaan. Ongelmana on perinteisten koulutuslähestymistapojen käyttö. Heidän mukaansa oppiminen tulisi räätälöidä yksilöllisten oppijoiden tarpeiden mukaan. Tärkeää on löytää uusia tapoja motivoida ja sitouttaa oppijoita sekä edistää elinikäistä oppimista, joka on olennaista etenkin kyberturvallisuuden ammattilaiselle. Tässä työssä käsiteltiin, kuinka generatiivista tekoälyä (ChatGPT) voidaan hyödyntää ammattilaisten voimaannuttamiseksi ottamaan vastuu oppimisestaan auttamalla heitä luomaan henkilökohtainen kyberturvallisuuden opiskelusuunnitelma.
Tulevaisuuden kyberturvallisuustaidot
Strukova ym. (2024) kirjoittivat artikkelin nimeltään Bridging the Gap: Cyber Defence Skills for the Future (suom. tulevaisuuden kyberturvallisuustaidot), ja pitivät siitä samalla esitelmän. Heidän monitieteellisen työnsä keskeisin sisältö korostaa tarvetta kehittyneemmille kyberturvallisuuden koulutusohjelmille. Se keskittyy kyberturvallisuuden koulutusaloitteisiin, digitaalisiin taitoihin, teknologisiin mahdollistajiin ja eettisiin näkökohtiin. Artikkelissa painotetaan standardoitujen koulutusmoduulien merkitystä, eettisten ja laillisten ohjeiden tarpeellisuutta sekä dynaamisten opetussuunnitelmien tärkeyttä. Heidän mukaansa opetussuunnitelmien tulisi sisältää teknisiä, juridisia ja pehmeitä taitoja. Tämän lisäksi suunnitelmiin pitäisi lisätä käytännön koulutusta simulaatioiden kautta. Huolenaiheena on muun muassa eettisten ja oikeudellisten ohjeiden puutteellisuus, erityisesti yksityisyys ja puolueellisen tiedon tuottaminen tekoälypohjaisissa opetustyökaluissa. Artikkelin tavoitteena on toisin sanoen luoda akateemikoille, alan ammattilaisille ja päätöksentekijöille, jotka ovat kiinnostuneita nostamaan kyberturvallisuuskoulutuksen standardeja ja tehokkuutta, pohjaa tarjoten ideoita erikoistuneemmista, mukautuvammista ja eettisesti vastuullisemmista kyberturvallisuusohjelmista.
Johtopäätökset
Esitysten jälkeisissä keskusteluissa ilmeni ja varmistui, että monipuoliselle kyberosaamiselle on tarvetta nyky-yhteiskunnissa Euroopassa ja koko maailmassa. Tärkeää olisi, opiskelijan hakiessa korkeakouluun opiskelemaan, että hän tietäisi onko kyseinen koulutusohjelma enemmän tekniikkapainotteiden vai keskittyykö se enemmän hallinnolliseen tietoturvaan. Molemmille osaajille tuntuu olevan suuri tarve ja tällä hetkellä Euroopassa eri korkeakoulut tarjoavat tätä kaikkea – ongelmana vaan on, että tuleville opiskelijoille ja työnantajille ei ole läpinäkyvästi selitetty, millaista koulutusta kyseiset kyberturvallisuustutkinnot todellisuudessa pitävät sisällään.
Tekoäly tekee tuloaan kovaa vauhtia. Se auttaa rikollisia tekemään uskottavampia huijaussivustoja, luomaan uusia haittaohjelmia muun muassa tekemällä valmista Python koodia, mutta samalla se myös tehostaa opiskelijoiden oppimista ja antaa lisää tilaa luovuudelle. Turvallisuusalan lehtorina näen, että kyberturvallisuus ja tekoäly ovat aiheina sellaisia – joita jokaisen meistä tulee seurata, sillä ne vaikuttavat kokonaisturvallisuuteen, niin yksilön, organisaation, ympäristön kuin valtion johdon tasolla.
Kirjoittajatiedot
Turvallisuusjohtamisen (YAMK) Tradenomi ja väitöskirjatutkija Timo Savolainen toimii Laurea-ammattikorkeakoulussa lehtorina. Hän opettaa turvallisuus- ja riskienhallinnan AMK-koulutuksessa mm. markkinointia liiketoiminnan jatkuvuuden varmistamista, turvallisuusjohtamista ja sekä toimii asiantuntijana erilaisissa turvallisuushankkeissa.
Lähteet
- Educon. 2024. IEEE Global Engineering Education Conference 2024.
- Furnell, S., & Stavrou, E. 2024. Assessing the consistency of cyber security education. In 2024 IEEE Global Engineering Education Conference (EDUCON) Proceedings. IEEE.
- Kallonas, C., Piki, A., & Stavrou, E. 2024. Empowering professionals: A generative AI approach to personalized cybersecurity learning. In 2024 IEEE Global Engineering Education Conference (EDUCON) Proceedings. IEEE.
- Savolainen, T., Ruoslahti, H., McCarthy, N., & Neville, K. 2024. Business continuity management of critical infrastructures from the cybersecurity perspective. In 2024 IEEE Global Engineering Education Conference (EDUCON) Proceedings. IEEE.
- Strukova, S., Albaladejo-González, M., Bozhilova, M., Campos Fuentes, A., Lenti, S., Martínez Perez, G., Navarro Martínez, D., Nespoli, P., Santucci, G., Sotelo-Monge, M. A., Stoianov, N., Viesca Revuelta, E., & Ruipérez-Valiente, J. A. 2024. Bridging the gap: Cyber defence skills for the future. In 2024 IEEE Global Engineering Education Conference (EDUCON) Proceedings. IEEE.
