Kyberturvakonsultoinnin pariin päätymiseni oli pitkä ja kivinen prosessi. Opiskelu ja työnteko ovat vuosien saatossa limittyneet yhteen, ja niiden ytimessä on aina ollut tekniikka ja turvallisuus, mutta tuon punaisen langan pään löytäminen otti aikansa.
Oman paikan hakemista
Ehdin lukea kemiantekniikkaa vuoden ennen inttiin menoa. Varusmiespalvelus käynnisti koko urapolkuni pisimmät opinnot ja työrupeaman. Reserviupseerikurssin aikana Maanpuolustuskorkeakouluun tehdyllä vierailulla vakuutuin rekrytointiupseerin puheista niin, että insinööriopinnot jäivät sikseen ja aloitin seuraavana syksynä kadettikurssin.
Mielestäni monessa asiassa kannattaa muistaa, ettet voi tietää ennen kuin olet kokeillut. Voit oppia vähintään sen, mitä et ainakaan halua. Sotilasurani aikana tajusin vähitellen sen, etten halua olla varusmiesten kouluttaja, enkä yksikön päällikkö isona.
Aloin etsiä uutta polkua lisäopintojen kautta. Ensin otin tavallaan taukoa töistä, kun kävin sotatieteen maisterikurssin. Epäilykset tulevaisuuden suhteen vahvistuivat töihin palattuani ja sain päähäni, että mitäs jos alkaisinkin kyberin asiantuntijaksi. Kiinnostukseni aiheeseen oli näkynyt jo upseeriopintojeni tutkimuksissa, joissa käsittelin verkko-operaatioita tietoverkkosodankäynnissä ja taisteluosastoon kohdistuvia kyberuhkia. Halusin suorittaa toisen tutkinnon töiden ohella, jotta voisin erikoistua kyberin pariin, enkä ollut aikeissa lähteä Puolustusvoimista.
Jo hieman ennen valmistumista Jyväskylän yliopiston kyberturvallisuuden maisteriohjelmasta pääsin Maavoimien esikuntaan kyberupseeriksi. Siellä sain erilaisia työtehtäviä tietoturvallisuuden ja kyberturvallisuuden alalta. Se kolahti ja oloni helpotti. Osallistuin CSOC-kyvykkyyden kehittämiseen, kybervalvontaan, sen tekniikan ja prosessien kehittämiseen sekä hankkeiden tietoturvallisuuden tehtäviin.
Tykkäsin työstäni mutta epäilyksen siemenet itivät jälleen. Minua on nuoresta asti kiinnostanut erilaiset järjestelmät: olen purkanut ja tutkinut kaikenlaista elektroniikkaa ja erityisesti tietokoneiden kanssa näppäily on kehittynyt harrastukseksi. Eteen tuli upseerin työuran ja järjestelmä- ja tietokonekiinnostukseni yhteensovittamisen hankaluus. Koin, että upseerin ura on suunniteltu siten, että pitäisi edetä, saada ylennyksiä, johtaa hallinnoivassa roolissa ja sen kautta väistämättä joutua hitaasti kauemmas käytännön työtehtävistä. Tulevaisuus näytti siltä, etten lopulta saisi olla tekemisissä sen kanssa, mitä halusin tehdä, olla se kuka olen.
Kyberkonsultaatiosta löytyi oma juttu
Löysin polullani oikeaan paikkaan, kun tulin Installe kyberturvallisuuden konsultointityöhön 2021 loppukesästä. Pääsen tekemään sitä, mistä sytyn, enkä pelkää menettäväni kosketusta konkretiaan tulevaisuudessakaan. Työni pitää sisällään asiakkaasta ja tilauksesta riippuen vaikkapa uhkamallinnuksia, tietoturvallisuuden hallintajärjestelmien tarkastelua tai rakentamista ja nykytilan kartoituksia. Teen myös tietoturvapäällikön tehtäviä palveluna.
Yhä useampi organisaatio haluaa kartoittaa järjestelmiensä vankkuuden ja harjoitella erilaisia uhkia varten. Siihen tarkoitukseen järjestämme työpajoja, joissa konsultin johdolla tutustutaan yrityksen järjestelmän rakenteeseen ja mihin kaikkialle se vaikuttaa. Miksi joku haluaisi sinne? Minkälaisia uhkat olisivat? Miten ne tapahtuisivat? Mitä ne aiheuttaisivat? Lopputulemana tarkastellaan, onko uhkia vastaan jo tehty jotain toimenpiteitä ja mitä vielä pitäisi tehdä.
Työpäiväni sisältö voi olla ihan mitä vaan: töitä asiakkaiden kanssa, sisäisiä kokouksia tai jonkin työntekoa hyödyttävän asian opiskelua. Tällä hetkellä työtilanne ei jätä aikaa suoranaiselle asioiden opiskelulle, mutta monipuolisten työtehtävien myötä tutuksi tulevat paraikaa muun muassa ISO27001, GDPR, PiTuKri ja monet muut tietoturvallisuutta ja tietosuojaa ohjaavat dokumentit. Ei tarvitse miettiä, että joutuisi toistamaan samaa tehtävää päivästä toiseen.
Työympäristö on hyvin joustava ja työajat on aika vapaasti päätettävissä sen mukaan, mikä sopii omaan työrytmiin ja mitä päivän aikana tarvitsee tehdä. Asun Mikkelissä, eikä se ole ollut ongelma vaikkei Installa täällä konttoria olekaan. Toimistolla tai asiakkailla käydään tarpeen mukaan.
Nykyisessäkin hommassa joudun miettimään turvaluokituksia: miten jokin asia on luokiteltu, kenelle siitä saa puhua, saako siitä puhua? Nyt pystyn kuitenkin puhumaan joistakin asioista vaikka puhelimessa. Keskustelukulttuurimme on muuten hyvin avoin, kaikkien kanssa voi puhua, riippumatta roolista tai asemasta. Minun ei tarvitse viedä asioita väliportaiden kautta eteenpäin vaan voin keskustella niiden kanssa, kenelle on tarve keskustella. Meillä on töissä myös tosi erilaisia ihmisiä, mikä on mielestäni hieno asia.
Olen aina tykännyt oppia ja Instassa minulla on mahdollisuus laajentaa ja syventää osaamistani erikoistumisalueellani. Toisena vaihtoehtona on suunnata eri osa-alueelle sikäli kuin se on mahdollista. Jos minusta ei esimerkiksi tulekaan uhkamallintajaa, ehkä haluankin käsitellä vaikkapa tietosuojaa? Täällä tietty rooli ja tehtävät eivät ole niin kiveen hakattuja kuin linjaorganisaatiossa: on väljyyttä kasvaa sopivaan suuntaan. Jonain päivänä uskon tuottavani väitöskirjan kyberalaan liittyen, mutta se ei ole lyhyen aikavälin tavoite. Sen sijaan seuraavana tavoitteena olisi saavuttaa tarvittava kyvykkyys erilaisten auditointien suorittamiseen, ja siihen Insta tarjoaa paljon mahdollisuuksia niin kurssien kuin sertifiointien muodossa.
Haluaisitko tietää tarkemmin, mitä kyberkonsultin roolissa tehdään? Lue lisää Villen näkemyksiä esimerkiksi Kybermittarin hyödyntämisestä Instan asiantuntijablogeista:
AsiantuntijablogitLue lisää kyberin uramahdollisuuksista:
Kurota kohti kyberturvan kärkiosaajuutta
Ville Rantamäki
Kirjoittaja työskentelee Instassa kyberturvallisuuskonsulttina.
