Puolassa annettiin valheellinen ilmoitus radioaktiivisesta uhasta, kun ydinturvallisuusviranomaisten nettisivut hakkeroitiin. Hakkerit varastivat Euroopan lääkevirastosta asiakirjoja koronarokotteisiin ja -lääkkeisiin liittyen. Halpalentoyhtiöiden varausjärjestelmä kaadettiin kyberiskulla.
Tässä on pieni listaus pelkästään tänä vuonna maailmalla tapahtuneista kyberiskuista . Vaikka kyberturvallisuudesta on puhuttu laajalti Suomessakin viime vuosina, osa asiantuntijoista katsoo, että Suomen kyky varautua laaja-alaisiin kyberiskuihin on puutteellinen.
Asian nosti esille Ulkopolitiikka-lehden haastattelussa Suomen sotilasedustaja EU:ssa ja Natossa, kenraalimajuri Mikko Heiskanen. Hän totesi pitävänsä Suomen tilannetta "epätoivoisena", koska kyberpuolustus on hajautettu.
Kokonaisvaltaista tietoa suunniteltujen ja toteutettujen iskujen määrästä tai vaarallisuudesta ei tällä hetkellä ole kellään. Suomella ei ole siten Heiskasen mukaan ole myöskään malleja vastata laajamittaiseen kyberhyökkäykseen.
Jyväskylän yliopiston kyber- ja hybridiuhkien opettaja Martti J. Kari sanoo STT:lle, että on samaa mieltä asiasta. Karilla on pitkä kokemus tiedustelumaailmasta. Hän on toiminut aiemmin muun muassa Viestikoelaitoksen johtajana ja Pääesikunnan apulaistiedustelupäällikkönä, ja ollut mukana myös valmistelemassa tiedustelulakeja.
Karin mukaan ongelman ytimessä on se, että erilaisia tietoturvajärjestelmiä kyllä löytyy, mutta ne ovat hyvin hajautettuja.
– Ongelmamme on se, että kyberpuolustusmaailma on hyvin jäsentymätön, hän sanoo.
Jos suomalaista kyberturvallisuutta tarkastelee rautalankamallista väännettynä, niin kansalaiset – toivottavasti – suojaavat oman tietokoneensa suojausjärjestelmillä, joita tietoturvatalot tuottavat. Yrityksillä on taas omat järjestelmänsä, joilla ne valvovat verkon toimintaa. Kyberturvallisuuskeskus on taas valtakunnallinen elin, joka osin valvoo kriittisen infrastruktuurin kohteita. Vastoin yleisiä mielikuvia Puolustusvoimat vastaavat omien verkkojensa suojauksesta.
– Meiltä puuttuu elin, joka suojaisi valtakuntaa kyberympäristössä. Siitä ei ole kauheasti keskusteltu, koska tietoturvatalot eivät ole asiasta hirveän innoissaan. Sama ilmiö nähtiin tiedustelulakia valmistaessa. Törmäsimme silloin siihen, että tietoturvayritykset olivat äärimmäisen herkkinä, koska he pelkäsivät, että sotaväki tulee heidän tontilleen ja rupeaa toimimaan tietoverkoissa, Kari sanoo.
Myös pääesikunnan johtamispäällikkö, prikaatikenraali Jarmo Vähätiitto näkee samankaltaisia ongelmia.
– Suomessa on erittäin korkeatasoista tietoturvaosaamista korkeakouluissa, yrityskentässä ja viranomaisissa. Haasteena on se, että kenttä on hajanainen.
"Lainsäädäntö tulisi uudistaa kokonaisvaltaisesti tiedustelulakien mallilla"
Sekä Vähätiiton että Karin mielestä tärkeintä olisi uudistaa lainsäädäntöä.
– Lainsäädäntö rajoittaa ja osittain ei tue sellaista tiedonvaihtoa, jota tarvittaisiin nopeasti kehittyvissä ja laaja-alaisissa tilanteissa. Tilannekuvan muodostaminen, asioiden koordinointi, vastatoimet ja johtaminen ovat tästä johtuen ongelmallista, Vähätiitto sanoo.
Kari näkee, että kyberturvallisuuteen liittyvää lainsäädäntöä tulisi uudistaa samanlaisen prosessin kautta kuin tiedustelulakeja rakennettiin.
– Tästä pitäisi tehdä mietintö, jonka laatimiseen osallistuvat sekä kaikki ministeriöt, joiden tontille asia kuuluu, että liike-elämä ja akatemia, hän sanoo.
Tämän jälkeen uudistus etenisi normaalin lainsäädäntöprosessin mukaisesti.
– Korostan, että prosessi olisi pitkä ja tulisi tehdä kunnolla, mutta se tulee tehdä. Kuten tiedustelulaki, se pitää alistaa kansalaiskeskustelulle. Se on tärkeää, koska kansalaisilla on hyviä ajatuksia ja jotta kansalaiset samalla ymmärtävät, mitä tehdään ja miksi.
Tämän jälkeen asia pitäisi Karin mukaan saada hallitusohjelmaan, jotta siitä tulisi laki. Laki antaa mandaatin ja voiman ja se kertoo myös, kuka maksaa. Niin kauan kuin lainsäädäntö ei anna mandaattia toiminnolle, monet asiat vaikeutuvat, Kari sanoo.
– Nythän me teemme strategioita, mutta niiden jalkautuminen on vajavaista, koska meillä on puutteellinen lainsäädäntö. Ei auta, että pikkaisen korjaamme jotain, vaan asia pitäisi laittaa kuntoon kerralla.
Esimerkkinä Kari nostaa yritykset.
– Nyt ei voida esimerkiksi määrätä, että kaikkien yritysten tulee ottaa tietyntasoinen tietoturva käyttöön. Jos yrityksen johtaja kieltäytyy asiasta, koska se maksaa, suositus jää vain "olisi kiva" -tason suositukseksi.
Tästä yksi katastrofaalinen esimerkki on psykoterapiakeskus Vastaamon tietovuoto. Tietojärjestelmä oli yrityksen itsensä kehittämä, ja siinä oli merkittäviä puutteita.
– Jos laissa sanottaisiin, että tietyn kokoiset firmat ovat velvollisia ottamaan tämän järjestelmän tai valtio maksaa kulut, se olisi aika selkeä ratkaisu, Kari pohtii.
Mallia Ruotsista?
Vähätiitto näkee lainsäädännön kehittämisessä olennaisena tilannekuvan ja -ymmärryksen kehittämisen.
– Elämme niin laaja-alaisten uhkaskenaarioiden aikaa, että varautuminen ei ole vain puolustusvoimien asia, vaan ennaltaehkäisyyn vaaditaan kaikkien hallinnonalojen toimenpiteitä, hän sanoo.
Myös tiedonvaihtoa ja siihen liittyvää lainsäädäntöä tulisi kehittää.
– Kansallisesti olisi hyvä tunnistaa myös laajamittaisten kyberhyökkäysten johtamiskeskusmalli. Tästähän on esimerkkejä ulkomailta. Esimerkiksi Ruotsiin ollaan perustamassa kyberturvallisuuskeskus, jossa kaikki keskeiset turvallisuusviranomaiset voivat toimia, hän sanoo.
Kyberturvallisuusjohtajan mukaan Suomi on varautunut hyvin
Valtion kyberturvallisuusjohtaja Rauli Paananen ei taas näe, että Suomi ei pystyisi varautumaan laajamittaiseen kyberiskuun.
– Tässä ei ehkä tunneta kaikkea nykyistä viranomaisten toimivaltaa. Niiden viranomaisten, joilla on toimivalta, välinen yhteistyö toimii erinomaisesti, hän sanoo.
Myöskään liikenne- ja viestintäministeri Timo Harakka (sd.) ei näe Suomen varautumiskykyä ongelmana. Hän kuitenkin toteaa, että lainsäädännön tulisi olla yhdenmukainen.
– On mielestäni näköharha, että viranomaiset eivät tekisi keskitetysti yhteistyötä.
Harakka myös katsoo, että yritysten tulee itse vastata omasta tietoturvastaan.
– Kyberturvallisuuskeskus on kiintopiste alalla, ja se on tietenkin käytössä apuna ja palvelemaan yrityksiä ja myös kansalaisia – minusta yhteiskunnan tehtävä on tarjota nopea tieto ja varoitukset, joita Kyberturvallisuuskeskus julkaisee päivittäin, hän sanoo.
Kyberturvallisuuttta pyritään parantamaan uudessa kehitysohjelmassa
Paanasen mukaan viranomaisten yhteistyötä pyritään myös parantamaan tuoreessa kyberturvallisuuden kehittämisohjelma ssa, josta annettiin tällä viikolla valtioneuvoston periaatepäätös. Se on suunnitelma kyberturvallisuuden parantamisen toimenpiteiksi vuosille 2021–2030.
– Se on hallituskausien yli ulottuva ohjelma, jonka kautta kehitetään suomalaista kyberturvallisuutta ja rakennetaan sille toimintamalli, Paananen sanoo.
– Siihen on myös kirjattu hanke, jossa sisä- ja puolustusministeriön johdolla käynnistetään selvitystyö. Siinä arvioidaan viranomaisten toimintaedellytykset kansallisen kyberturvallisuuden varmistamisessa, kyberrikollisuuden torjunnassa ja kyberpuolustuksessa. Selvitystyön perusteella määritetään käynnistettävät toimenpiteet ja aloitetaan tarvittaessa säädösvalmistelu.
Lisäksi tarkoituksena on lisätä osaamista, julkishallinnon ja elinkeinoelämän yhteistyötä ja luoda myös vahvaa kotimaista kyberteollisuutta. Tarkoituksena on lisätä alan työllisyyttä ja saada myös vientimahdollisuuksia osaamiselle.
Vastaamon kaltaisia tapauksia yritetään estää uudella säännöksellä
Toinen tällä viikolla annettu valtioneuvoston periaatepäätös koskee tietoturvan ja tietosuojan parantamista yhteiskunnan kriittisillä toimialoilla. Se on tarkoitettu nimenomaan Vastaamon kaltaisiin tapauksiin, joissa yrityksen tietoturva ei ole riittävällä tasolla.
Tarkoituksena on tulevina vuosina muun muassa määrittää kriittisille aloille selkeät ja oikeasuhtaiset tietoturvavaatimukset lainsäädännössä.
– Tarkoituksena on harmonisoida tietoturvavaatimuksia kriittisillä toimialoilla, Paananen sanoo.
Liikenne- ja viestintäministeri Harakan mukaan tavoitteena olisi, että Suomessa päästään samantasoiseen tietoturvaan kaikilla kriittisillä toimialoilla.
– Velvoitteiden tulee olla tiukempia kuin mitä näimme Vastaamon yhteydessä, jossa oli todella arkaluontoinen ala, mutta samalla oltiin aivan liian vaatimattoman tietoturvan varassa. Tasoksi pitää ottaa ne alat, joissa tämä toimii kaikkein luotettavimmin, kuten finanssisektori.
Selvittelyn sijasta toimia
Vähätiitto muistuttaa, että ensimmäinen kyberturvallisuusstrategia laadittiin jo vuonna 2013. Jo silloin strategiaan kirjattiin muun muassa lainsäädännön tarkastelu, mutta asian kokonaisvaltainen tarkastelu ja toimenpiteet eivät käynnistyneet.
Seuraava strategia laadittiin vuonna 2019. Siihen kirjattiin samat asiat ja toistettiin kokonaisvaltaisen kyberturvallisuuden toimenpiteitä.
– Ja nyt on tämä kyberturvallisuuden kehittämisohjelma, joka pyrkii jalkauttamaan vuoden 2019 strategiassa olevia asioita. Tähän ohjelmaan on kirjattu jälleen sama asia: eli se, että täytyy määritellä kehityskohteet ja tehdä laaja-alainen tarkastelu lainsäädännöstä ja käynnistää tarvittava lainsäädösvalmistelu.
– Selvitystyö ja niiden käynnistettävien toimenpiteiden määritys on tietenkin tärkeää. Mutta olennaisinta ja tärkeintä olisi käynnistää ne toimenpiteet, muuten olemme yhä vuoden 2013 tilassa, hän lisää.
"Seuraava WTC-isku tapahtuu tietoverkoissa"
Mitä Suomen tulevaisuuden kyberuhkat sitten voisivat olla? Usein nostetaan esille sähköverkkojen lamauttaminen tai pankkien kaataminen. Myös Vastaamon kaltaiset, ihmisten arkaluontoisten yksityisasioiden vuodot voivat olla äärimmäisen haitallisia.
Ongelma on kuitenkin se, että kaikkea on mahdotonta ennakoida.
– Sanon aina oppilailleni, että seuraavat WTC-iskut tapahtuvat tietoverkoissa. Ei WTC-iskujakaan osattu ennakoida ja arvata, että matkustajakoneella saisi aikaan sellaista tuhoja, Kari sanoo.
– Pahinta ei välttämättä ole se, että jonkin järjestelmää häiritään. Sen sijaan yksi paha skenaario voisi olla se, että meidän tietojamme manipuloidaan emmekä huomaisi, että niitä on manipuloitu. Mitä esimerkiksi tapahtuisi, jos kaikkien suomalaisten sosiaaliturvatunnuksia hieman muutettaisiin? Kari kysyy.
Jos tietoverkoissa manipuloitaisiin sosiaaliturvatunnuksia, se voisi aiheuttaa laajoja häiriöitä lähes kaikilla yhteiskunnan toiminta-aloilla. Juuri kykyä varautua tällaisiin laajoihin, kaikkiin toimialoihin kohdistuviin iskuihin Kari toivoisi.
– Jos ajatellaan ulkopoliittisesti, meidän pitäisi näyttää ulospäin, että laitamme myös meidän kyberpuolustustamme kuntoon. Hyökkääjähän tulee sisään sieltä, mikä on kaikkein heikoin puolustuksen osa.
Karin mukaan kybermaailma on siitä mielenkiintoinen, että tietoverkoissa voidaan käydä sotaa myös rauhan aikana.