Valtiolliset tiedustelupalvelut ovat Ukrainan sodan, geopoliittisen tilanteen ja suurvaltakilpailun takia erityisen kiinnostuneita yritysten ja valtioiden välisestä yhteistyöstä, erityisesti kriittiseen infrastruktuuriin, teknologiseen kehitykseen ja puolustusteollisuuteen liittyen. Vakoilua ja vaikuttamista ei välttämättä kohdisteta suoranaisesti yrityksiin, vaan sillä pyritään pääsemään käsiksi yrityksen tieto- ja osaamispääomaan. Kohteena ei välttämättä ole suoranaisesti se, mikä on yritykselle arvokasta, vaan se, mikä johtaa kansallisen turvallisuuden näkökulmasta arvokkaaseen tietoon.

Ukrainan sodan ja siitä seuranneen ulkopoliittisen tilanteen seurauksena perinteisen henkilötiedustelun tehokkuus on heikentynyt merkittävästi. Tästä johtuen valtiolliset tiedustelupalvelut ovat ohjanneet resurssejaan yhä enemmän erilaisten sijaistoimijoiden käsiin. Venäjä on kehittänyt laajan ja monimutkaisen kybertoimijoiden ekosysteemin, jossa valtion tiedustelupalvelut ohjaavat erilaisia yksityisiä toimijoita tai hakkeriryhmiä, jotka tuottavat yhdessä kyber- ja tiedustelukyvykkyyksiä.

Ekosysteemiä hyödyntämällä pyritään keräämään massoittain yksittäisiä tietopalasia, joita yhdistelemällä voidaan muodostaa kriittisiä tietokokonaisuuksia valtioiden poliittisesta tilanteesta, teknologisesta kehityksestä tai puolustuskyvystä. Tiedustelun kohteina eivät ole ainoastaan korkeissa asemissa työskentelevät henkilöt tai valtiota lähellä toimivat yritykset, vaan tiedonhankintaa kohdistetaan yhtä lailla yksittäisiin henkilöihin sekä yritysten alihankinta- ja toimitusketjuihin.

Nykyisessä toimintaympäristössä yritysten sisäisen turvallisuuden ja tietoturvallisuuden merkitys korostuu myös osana varautumista ja kansallista turvallisuutta. Merkittävä osa valtioiden kriittisestä osaamisesta, teknologiasta ja innovaatiokyvykkyydestä on nimenomaan yrityksissä, mikä vastaavasti tekee yritysten turvallisuuden hallinnasta keskeisen mekanismin osana kybervaikuttamiselta ja -vakoilulta suojautumista. Tiedon suojaaminen ei siis ole merkittävää ainoastaan yrityksen liiketoiminnan jatkuvuuden kannalta, vaan se on myös olennainen osa kansallista turvallisuutta.

Tiedustelupalvelut ovat aktiivisia ja kiinnostuneita yritysten toiminnasta

Verkkovakoilua kohdistetaan valtionhallinnon toimijoiden lisäksi hyvin laajasti eri toimialoilla toimiviin yrityksiin. Tiedonhankinnan pääasiallinen kohde ei välttämättä nykyisessä toimintaympäristössä ole kohdistettu suoranaisesti yhteen yritykseen, vaan yritystä voidaan käyttää vakoilun välillisenä kohteena verkostomaisen toimintaympäristön vuoksi. Yritysten toimitusketjut muodostavat verkoston toimittajista, alihankkijoista ja tuotannosta, jotka ovat kiinteä osa yrityksen liiketoimintaa ja joiden pohjalta palveluita tuotetaan loppuasiakkaalle.

Yksi suurimmista toimitusketjuihin kohdistuneista hyökkäyksistä tapahtui vuonna 2020, jolloin SolarWinds-yritykseen kohdistunut toimitusketjuhyökkäys vaikutti maailmanlaajuisesti yli 18 000 organisaatioon, muun muassa valtion virastoihin ja teknologia-, energia- sekä turvallisuus- ja puolustustoimialan yrityksiin. Hyökkäyksessä onnistuttiin lisäämään haittaohjelma Orion-yrityksen IT-valvontasovelluksen päivitykseen, jonka myös yrityksen asiakkaat latasivat automaattisesti omiin ympäristöihinsä. Päivityksen mukana tulleen takaportin mahdollistamana Venäjän ulkomaantiedustelu SVR:ään yhdistetty hyökkääjä pystyi valikoimaan intressiensä mukaisesti kiinnostavat kohteet ja hiljaisesti vakoilemaan niitä. 

Venäjä ja Kiina ovat keskittäneet määrätietoisesti resurssejaan tietoliikenne- ja verkkotiedusteluun, jota molemmat ovat jo aiemmin käyttäneet osana vaikuttamiskeinojaan länttä vastaan. Kiina on ollut jo pitkään kiinnostunut länsimaisesta huipputeknologiasta, ja Venäjää kiinnostaa erityisesti länsimaiden puolustuskyvykkyydet.

Venäjään yhdistetyt toimijat ovat kybervakoilun avulla onnistuneet saamaan haltuunsa länsimaissa toimivien teknologiayritysten kriittistä tietoa sekä länsimaisten valtioiden salassapidettävää tietoa. Vastaavasti Kiinaan yhdistetyt toimijat ovat kohdistaneet kybervakoiluoperaatioita Euroopassa toimiviin puolustus- ja ilmailualan sekä teknologia-alan yrityksiin. 

Läntisen puolustusteollisuuden ja huipputeknologioiden parissa toimivilta yrityksiltä vakoilun keinoin saatuja tiedonpalasia yhdistelemällä voidaan muodostaa suurempia tietokokonaisuuksia, jotka voivat olla kansallisen turvallisuuden, puolustuskyvyn tai teknologisen kehityksen näkökulmasta merkityksellisiä. Siinä missä yrityksiin kohdistetaan vakoilua, jonka tavoitteena on saavuttaa suurempiin kokonaisuuksiin liittyvää tietoa, vastaavasti kybervakoilua kohdistetan myös kriittisillä toimialoilla operoivien yritysten toimitusketjuihin.

Suojelupoliisin kansallisen turvallisuuden katsauksen mukaan Venäjän ja Kiinan kaltaisten autoritaaristen valtioiden tiedustelukoneistot ovat huomanneet suomalaisyritysten kansainvälisen menestyksen. Supon tietoon on viime vuosina tullut lukuisia kybervakoilutapauksia, joissa valtiolliset toimijat ovat onnistuneet tunkeutumaan suomalaisten pienyritysten järjestelmiin.

Teknologisen kehityksen myötä yhä verkottuneemmat alihankinta- ja toimitusketjut laajentavat kansallisen turvallisuuden ja puolustuksen uhkavektoria, jolla tarkoitetaan kaikkia avautuvia reittejä tai keinoja, joiden kautta uhkat voivat kohdistua valtioon. Tämä voi johtaa esimerkiksi murroksellisen teknologian vuotamiseen, heikentää kilpailukykyä tai paljastaa kriittisiä puolustuskyvykkyyteen liittyviä salassapidettäviä tietoja. Pienyritykset voivat olla helppo kohde verkkovakoilulle, sillä näillä yrityksillä ei tyypillisesti ole samanlaisia resursseja panostaa yritysturvallisuuteen kuin suuremmilla yrityksillä.

Yritykset ovat merkittävä osa kansallista turvallisuutta

Kansallisen turvallisuuden näkökulmasta keskeisiä yrityksiä ei ole täysin perusteltua luonnehtia pelkästään palveluntuottajiksi, vaan ovat ne yhä verkottuneemmassa ja kerroksellisessa toimintaympäristössä kiinteä osa kansallisen turvallisuuden infrastruktuuria. Yrityksillä on yhä keskeisempi rooli esimerkiksi kriittisen infrastruktuurin, huoltovarmuuden sekä puolustusteollisuuden näkökulmasta. Viranomaisjohtoisesti, yhteistyössä yritysten kanssa, on eri toimintamalleja, verkostoja ja ekosysteemejä kansallisen turvallisuuden ylläpitoon ja kehitykseen.

Yhteiskunnan turvallisuuden kannalta merkittävä on kokonaisturvallisuuden toimintamalli, jossa yhteiskunnan elintärkeistä toiminnoista huolehditaan viranomaisten, elinkeinoelämän, järjestöjen ja kansalaisten yhteistoimintana. Vastaavasti kansallisen turvallisuuden näkökulmasta myös Huoltovarmuusorganisaatio on rakennettu verkostomaisesti. Huoltovarmuusorganisaatiossa tehdään laajasti yhteistyötä julkisen sektorin, satojen eri yritysten, järjestöjen ja muiden kolmannen sektorin toimijoiden kanssa.

Myös suomalainen puolustusteollisuus toimii kerroksellisena toimitusketjuna, jossa valtio-omisteiset päätoimijat tekevät laajasti yhteistyötä sekä puolustushallinnon että alihankintaketjujen, teknologiayritysten ja eri tutkimusorganisaatioiden kanssa. Näiden lisäksi puolustusteollisuuden ympärille on rakentunut vahvoja ekosysteemimalleja, joissa yritykset tekevät laajasti yhteistyötä toisten yritysten kanssa tavoitteenaan kehittää puolustusteollisuutta ja osallistaa pien- ja startup-yrityksiä mukaan.

 

Kansallinen turvallisuus edellyttää panostuksia turvallisuuden hallintaan

Vihamielisten valtioiden tiedustelu ja verkkovakoilu ei nykyisessä verkottuneessa toimintaympäristössä kohdistu enään suoranaisesti yksittäisiin toimijoihin, vaan systemaattisesti toimitaverkostoihin, joita pyritään käyttämään välillisenä kohteena tiedonhankinnalle. Yritysten hallussa oleva tieto tai osaaminen ei yksittäin ole vielä välttämättä merkittävää, mutta systemaattisen tiedonkeruun ja analysoinnin jälkeen se voi olla mertkittävää kansallisen turvallisuuden, puolustuskyvykkyyden tai teknologisen kehityksen näkökulmasta.

Siinä missä kansalliseen turvallisuuteen liitännäiset yritykset ovat kriittinen osa toimintamalleja ja verkostoja, tulisi myös yritysten turvallisuudenhallintaan ja tietoturvallisuuden kypsyystasoon suhtautua osana kansallisen turvallisuuden infrastruktuuria. Näin toki tehdäänkin, sillä esimerkiksi turvallisuuskriittisten palveluiden tuottaminen valtionhallinnolle tyypillisesti edellyttää erilaisia turvallisuustason arviointeja osana hankintamenettelyä, ja vastaavasti NIS2-direktiivi edellyttää yrityksiltä panostuksia toimitusketjujen turvallisuuteen.

Tästä huolimatta toimitusketjujen moniulotteisuus tekee turvallisuudenhallinnasta pirstaloitua verkostomaisessa toimintaympäristössä, jossa vastuukysymykset loppukäyttäjän, palveluntuottajan ja sen toimitusketjujen välillä saattavat hämärtyä. 

Yritysten hallussa oleva tietopääoma voi olla suoraan kytköksissä teknologisen kehitykseen, varautumiseen tai puolustuskykyihin, jolloin tietoturvapoikkeamia tulisi kriittisillä toimialoilla tulkita kansallisen turvallisuuden näkökulmasta automaattisesti vakavina. 

Yritysten puutteellinen turvallisuustaso ei ole ainoastaan liiketoiminnan jatkuvuuden riski, vaan myös kansallisen turvallisuuden näkökulmasta haavoittuvuus. Onkin siis erityisen tärkeää, että turvallisuuskriittisillä toimialoilla toimiville yrityksille, etenkin pienille ja keskisuurille sekä startup-yrityksille, joilla ei välttämättä ole tarvittavaa osaamista tai resursseja, tarjotaan riittävää tukea turvallisuuden kehittämiseen. Sitäkin tärkeämpää on, että yritykset tekevät merkittäviä panostuksia omaan turvallisuudenhallintaansa ja vastaavasti tukevat myös alihankinta- ja toimitusketjuissaan toimivia pienyrityksiä turvallisuustason kehittämisessä. 

Turvallisuuteen ja sen kehittämiseen tulisi suhtautua jatkuvana prosessina, kuten mihin tahansa liiketoimintaa edistävään osa-alueeseen, joka vaatii sille osoitettuja resursseja.