Viikolla 21 The Ulkopolitistissa vietetään uhkakuvaviikkoa. Viikon aikana käsitellään Suomeen kohdistuvia turvallisuuspoliittisia uhkia sekä huoltovarmuuteen liittyviä kysymyksiä.

Äitienpäiväviikolla Euroopassa toteutettiin ”ennennäkemätön” tai ainakin harvinaisen laaja kyberhyökkäys, joka iski etenkin Britannian terveydenhuollon sektorille ja vaaransi tuhansia ihmishenkiä. Hyökkääjät hyödynsivät Windows-käyttöjärjestelmän eri versioissa olleita haavoittuvuuksia. Asiantuntija-arvioiden mukaan isku ei ollut erityisen kehittynyt, ja se olisi suhteellisen helppoa kopioida, kuten jo onkin tapahtunut.

Suomen joutuminen erilaisten kriittisiin tietoverkkoihin kohdistuvien iskujen kohteeksi ei ole sekään kaukaa haettua. Myös toukokuun hyökkäys saastutti joitakin kymmeniä suomalaiskoneita. On vaikeaa edes kuvitella, mitä kohdistettu ja eri kriittisiä osatekijöitä yhdistävä kyberhyökkäys pahimmillaan merkitsisi yhteiskunnallemme. Kuinka kauan pärjäisimme vaikkapa ilman sähkökatkon vuoksi keskeytynyttä vedenjakelua, jäteveden poistoa, lämmitystä ja viestintäkanavia? Entä minkälaista tuhoa kesäkuumalla aiheuttaisi kauppojen ja varastojen kylmäjärjestelmien häiriö? Sähköinen junaliikenne ohjausjärjestelmineen olisi kaaoksessa. Sairaaloiden ja hätäkeskuksen järjestelmät poissa pelistä.

Yksilöiden kannalta eräs toinen kriittinen ja nykypäivänä valitettavan todennäköinen uhkakuva on yksityisyydensuojan vaarantuminen. Sosiaalisen median ja verkkopalveluiden myötä suuri osa henkilökohtaisista tiedoistamme aina lapsuudenystävyyksiä ja pankkikortin numeroa myöten on verkossa. Mutta entä väestötietokanta ja terveystietorekisteri? Entäpä yksityisten toimijoiden hallinnoimat pankki-, rahoitus- ja vakuutustiedot ja niihin kytkeytyvä tietosabotaasin mahdollisuus?

Kyberhyökkäysten taustalla on niin taloudellista hyötyä tavoittelevaa rikollisuutta kuin myös vieraiden valtioiden toimintaa joko suoraan tai välikäsien kautta. Toisinaan nämä tavoitteet liittyvät yhteen. Suojelupoliisi nimeää vuosikertomuksessaan julkisuudessa Venäjään liitetyn APT28-ryhmittymän yhtenä Suomen intressejä uhkaavana toimijana.

Valitut keinot – esimerkiksi kybervakoilu, väärän tiedon levittäminen tai palvelunestohyökkäykset – riippuvat iskun kohteesta ja tavoitteista. Pyrkimys voi olla kerätä tietoa esimerkiksi oman valtion yritysten liiketoiminnan edistämiseksi, toisinaan halutaan saada aikaan fyysistä vahinkoa, joka voi edistää poliittisia päämääriä, ja joskus on edullista pyrkiä esimerkiksi sisäpiiriläisten käyttämiseen tai psykologiseen vaikuttamiseen. Kohteeksi voivat siis päätyä niin yksilöt kuin erilaiset yhteisötkin.

Miten kyberuhkiin sitten oikein varaudutaan? Hallitus on asettanut tavoitteeksi, että Suomi olisi kyberuhkiin varautumisessa maailmanlaajuinen edelläkävijä vuoteen 2020 mennessä. Valtioneuvoston tuoreen selvityksen mukaan kuulumme jo kansainväliseen kärkikymmenikköön.

Kybertoimintaympäristö on lähtökohtaisesti globaali, maantieteelliset ja lainsäädännön rajat ylittävä ympäristö. Tästä huolimatta toimintaa voidaan muiden kriittisten toimintojen tapaan myös kyberympäristössä pyrkiä turvaamaan lainsäädännöllä ja sanktioilla. Ääriesimerkkejä kansallisen suvereniteetin ulottamisesta kybertoimintaympäristöön ovat autoritaariset valtiot. Tavoitteena voi olla kansalaisten tehokas valvonta ja kansainvälisten uutislähteiden tai palveluiden estäminen.

Myös Suomessa ja EU-tasolla lainsäädäntöä ollaan joiltain osin uudistamassa. Merkittävä ero on siinä, että avoimessa demokraattisessa yhteiskunnassa varautumisen perimmäinen tarkoitus on varmistaa yhteiskunnan mahdollisuudet hyödyntää täysimittaisesti digitalisaation tuomat edut. Kyberturvallisuus hyödyttää siten kaikkia yksittäisistä kansalaisista aina koko yhteiskunnan tasolle.

Keskeistä Suomelle kyberuhkiin varautumisessa on vapaaehtoinen yhteistyö yritysten sekä samanmielisten maiden kanssa. Jotta osaamme aidosti tunnistaa uhkia ja vastata niihin, meidän on tukeuduttava kansainväliseen osaamiseen ja tiedonvaihtoon. Kriittisten yritysten omalla varautumistoiminnalla taas on koko yhteiskuntaa vakauttava vaikutus. Siksi Suomelle on tärkeää, että meillä on kansainvälisiä kyberalan yrityksiä, joiden kautta saamme kansainvälistä tietotaitoa myös kansalliseen käyttöömme.

Juttua varten on haastateltu Huoltovarmuuskeskuksen Digipoolin poolisihteeriä, Teknologiateollisuus ry:ssä valmiuspäällikkönä työskentelevää Pasi Erosta.