Suomi on varautunut kyberuhkiin, mutta kyberturvallisuusstrategian vaikuttavuus vaatii toimenpiteitä
Eetu Kukila | 26.09.2021
Kyberuhkia on luonnehdittu lähitulevaisuuden suurimmaksi turvallisuushaasteeksi. Suomessa asiaan on viime vuosikymmenellä havahduttu. Uhat ovat laadultaan moninaisia, ja vuoden 2019 kyberturvallisuusstrategia linjaa niiden torjumiskeinoja.
Teknologian huiman kehitysvauhdin myötä yhteiskunnat ovat aiempaa tiiviimmin kytkeytyneet kyberavaruuteen. Toisiinsa linkittyneistä tietoverkoista koostuva kyberavaruus tarjoaakin nopean tiedonvälityksen internetin ja sovellusten muodostamassa viidakossa. Valtionhallinto ja tavallinen arki pohjautuvat yhä enemmän verkon tarjoamaan kriittiseen infrastruktuuriin, joka on haavoittuva erilaisille kyberuhille.
Kehittyvää teknologiaa ja niin kutsuttua esineiden internetiä on myös alettu tarkastella osana erilaisia turvallisuuskysymyksiä. Esineiden internetillä tarkoitetaan fyysisen ja virtuaalisen maailman yhdistymistä, jossa esineet ja laitteet ovat kytkeytyneinä toisiinsa. Esimerkiksi älykello ja itseajava auto sisältävät antureita, jotka vahvistavat fyysisen maailman ja kyberavaruuden välistä riippuvuutta. Täten kaikki on enenevässä määrin verkossa ja kyberavaruus osa arkitodellisuutta.
Vaikka internetin laaja-alainen hyöty onkin mahdollistanut uusia sovelluksia ja tehokkaamman kommunikaation globaalilla tasolla, kasvanut digitaalisuus on luonut myös uudenlaisia haavoittuvuuksia. Erityisesti palvelunesto- ja kiristyshyökkäykset ovat lisääntyneet maailmalla ja Suomessa. Teknologian nopea muutosvauhti jättää lainsäädännön jälkeensä ja tekee aukkoja turvallisuuden tunteeseen. Suomen kyberturvallisuusstrategia tarjoaakin erään vastauksen tarpeeseen täyttää kyberavaruuden luomat aukot.
Täten kaikki on enenevässä määrin verkossa ja kyberavaruus osa arkitodellisuutta
Klikkaa twiitataksesi.
Kyberturvallisuusstrategian taustat ja kansainvälinen kaiku
Suomen herääminen kyberuhkiin ei ole tapahtunut itsestään vaan on seurausta kansainvälisistä tapahtumista. Vuosina 2007 ja 2010 maailmalta kantautuivat uutiset Viroon kohdistuneesta kyberhyökkäyksestä ja Iranin ydinohjelmaa häirinneestä Stuxnet-madosta. Tapaukset osoittivat uuden aikakauden alkaneen kyberturvallisuuden osalta. Tuolloin Suomessa havahduttiin puutteeseen omassa kyberturvallisuudessa.
Hyökkäys Viron verkkoinfrastruktuuria vastaan osoitti jo yli kymmenen vuotta sitten maan digitaalisen riippuvuuden. Koko Viron kriittistä infrastruktuuria ravisuttanut palvelunestohyökkäys ajoi kaikkien maassa toimivien pankkien, valtakunnallisten medioiden sekä valtion nettisivut verkkopalveluineen alas. Kommunikaatiokatkos vaikutti niin valtion hallinnolliseen toimintaan kuin kansalaisten arkeen, kun pankkiautomaateista ei enää saanut rahaa. Kyberavaruudessa on myös vaikeaa saada tekijä tietoon. Palvelunestohyökkäyksen tekijää ei ole virallisesti saatu kiinni, vaikkakin taustalla olevat venäläismieliset toimijat viittaavat hyökkäyksen tulleen Venäjän suunnalta.
Vuonna 2010 lehtien otsikot täytti uusi kyberhyökkäys. Iranin väitettyyn ydinaseohjelmaan soluttautunut ja siellä tuhoja tehneen Stuxnet-madon vaikutus oli lamauttava ydinaseprojektille. Haittaohjelma osoittautui kehittyneemmäksi kuin aikaisemmin oli koettu, mikä viittasi sen tekemisen vaatineen mittavia resursseja. Se juonsi juurensa Yhdysvaltojen ja Israelin yhteistyöhön.
Kyberhyökkäysten variaatiot ovat laajoja sekä toimintaperiaatteiltaan, toimijoiltaan että tavoitteiltaan
Klikkaa twiitataksesi.
Edellä mainittuja kyberhyökkäyksiä voidaan käyttää paitsi valtioita myös yrityksiä vastaan. Kyberhyökkäysten variaatiot ovat laajoja sekä toimintaperiaatteiltaan, toimijoiltaan että tavoitteiltaan. Sähköverkkojen ja kommunikaatiokanavien merkitys yhteiskunnallisesti kriittisenä infrastruktuurina on siten kasvanut entisestään. Samoin varautuminen yhä moninaisempiin kyberhyökkäyksiin on tullut entistä ajankohtaisemmaksi.
Tietoturvauhasta poliittisiin botteihin
Kysyttäessä minkälaisia uhkia kyberavaruudessa oikein onkaan ja mitä kaikkea ne koskettavat, vastaus on laaja ja koskee kaikkia yhteiskunnan sektoreita. Suomen vuoden 2017 kyberturvallisuusselvityksessä mainitaan merkittävimpinä uhkina kiristyshaittaohjelmat, laitteistoihin liittyvät uhat sekä liiketoimintaan ja henkilötietojen varastamiseen kohdistuneet hyökkäykset.
Yksikään yhteiskunnan osa-alue ei ole täysin turvassa mahdollisilta kyberhyökkäyksiltä. Nimittäin niin terveysala kuin julkishallinto ja pankkitoimintakin ovat valtioneuvoston selvityksen mukaan sellaisia kohteita, joihin on eniten kohdistunut kyberhyökkäyksiä maailmalla. Esimerkiksi kuluvana vuonna hakkeriryhmä hyökkäsi Irlannin terveysministeriötä vastaan ja onnistui asentamaan kiristyshaittaohjelman viranomaisten tietojärjestelmiin. Vastaavanlainen tapaus on koettu Suomessa psykoterapiakeskus Vastaamoon kohdistuneessa tietomurrossa. Kiristyshuijausten lisäksi Kyberturvallisuuskeskuksen kybersää listaa pankkikalastelun toiseksi aktiiviseksi kyberuhaksi vuoden 2021 toisella neljänneksellä.
Kyberuhat näkyvät myös päivittäisessä sosiaalisen median käytössä. Laskennallinen propaganda ja viime vuosikymmenellä julkiseen tietoisuuteen nousseet poliittiset botit ovat nykypäivänä vaaleihin vaikuttamisen käsikirjan ykköstoimia. Myös niin kutsutut trollitehtaat ja valeuutisia suoltavat sosiaalisen median valetilit vaikuttavat rapauttavasti demokraattisen yhteiskunnan kivijalkoihin.
Suomikaan ei ole ollut turvassa kyberuhilta. Vuonna 2020 Supo havaitsi Kiinan yrityksen saada haltuunsa tietoja Suomen eduskunnan tietojärjestelmiin kohdistuneessa hyökkäyksessä. Tunkeutuja oli päässyt sisälle järjestelmään. Tapaus oli konkreettinen esimerkki hyökkäysten taituruudesta ja silloisen puolustuksen heikkoudesta. Niinpä eduskunta vahvisti tietoturvaansa entisestään.
Suomen kyberturvallisuusstrategiat
Maailmalla ilmenneet kyberhyökkäykset noteerattiin myös Suomessa. Vuonna 2011 tasavallan presidentti ja valtioneuvosto päättivät yhdessä käynnistää kansallisen kyberturvallisuusstrategian laatimisen osana yhteiskunnan turvallisuusstrategian toimeenpanoa.
Seuraava askel oli vuonna 2013, jolloin julkaistiin Suomen ensimmäinen kyberturvallisuusstrategia. Siinä tunnistetaan uhkien muodostuneen entistä ammattimaisemmiksi, mikä kävi toteen samaisen vuoden puolella Supon kertoessa ulkoministeriöön tehdyistä kahdesta tietomurrosta. Suomen kyberturvallisuusstrategiaan sisältyvätkin sisäisen turvallisuuden ja puolustuskyvyn lisäksi taloudellisen kestävyyden, väestön toimeentuloturvan ja kansainvälisen toiminnan ulottuvuudet. Monipuolinen ulottuvuuksien huomioiminen vahvistaa strategian uskottavuutta.
Uusin vuonna 2019 laadittu kyberturvallisuusstrategia nojautuu paljolti vuoden 2013 yleisiin periaatteisiin. Päivittämistarpeeseen ovat vaikuttaneet ensisijaisesti kansainvälisen toimintaympäristön muutokset. Näistä mainitaan niin alustatalouteen liittyvät ulottuvuudet kuin perinteisemmätkin riskit, kuten valtiollinen tiedustelu ja kyberrikollisuus. Etenkin kyberrikollisuuden määrän huomattava kasvu viimeisen vuosikymmenen aikana riittää alleviivaamaan päivittämisen merkitystä.
Strategioissa mainitaan Suomen vaikuttavan kansainväliseen kyberturvallisuusagendaan aktiivisesti kansainvälisten järjestöjen kautta. Näihin lukeutuvat niin YK, Nato-kumppanuus kuin ETYJ. EU:ssa Suomi on mukana kehittämässä kyberturvallisuuteen liittyvää unionin yhteistä ulko- ja turvallisuuspolitiikkaa. Kansallisella tasolla vaikutus näkyy etenkin EU:n verkko- ja tietoturvadirektiivin (NIS) kaltaisten lainsäädäntöhankkeiden muodossa.
Kansainvälisissä yhteistyökuvioissa toimiminen on hyödyksi, sillä useat kyberturvallisuuden häiriöt ovat valtioiden rajat ylittäviä. Ilman yhteistä sääntelyä uhkien torjunta valuu yksittäisen kansallisvaltion ulottumattomiin. Sama periaate pätee myös yhteiskunnan eri sektorien yhteistyöhön, sillä yksittäinen sektori ei kykene yksin vastaamaan kyberavaruuden haasteisiin.
Ilman yhteistä sääntelyä uhkien torjunta valuu yksittäisen kansallisvaltion ulottumattomiin
Klikkaa twiitataksesi.
Kyberturvallisuusstrategiassa katsotaan myös kohti tulevaa ja siinä pyritään ennakoimaan lähitulevaisuuden muutoksia. Hallituskausien yli ulottuva jatkuvuus painottaa strategian luomaa kivijalkaa kansallisessa kyberturvallisuudessa. Myös viimeisimmässä valtioneuvoston vuoden 2021 puolustuspoliittisessa selonteossa mainitaan uuden teknologian olevan hyödynnettävissä kyberpuolustuksessa esimerkiksi järjestelmien kyberhäiriöiden sietokyvyn vahvistamisessa, tilannekuvan muodostamisessa ja informaation käsittelyssä. Kyberturvallisuuden kannalta on siis hyvä, että strategia ja selonteko tukevat toisiaan.
Strategia on kunnianhimoinen mutta ei maailman kärkeä
Vuoden 2019 kyberturvallisuusstrategia perustuu hallitusohjelmakirjaukseen ja pohjautuu aiempaan, vuonna 2013 laadittuun kyberturvallisuusstrategiaan. Strategioita on päivitettävä vastaamaan kehittyvän teknologian vauhtia. Esimerkiksi vuoden 2013 jälkeen esiin nousseet ulkovaltojen pyrkimykset vaikuttaa vaaleihin bottiarmadan kautta vaatii uusia toimia vaalien legitimiteetin suojaksi. Myös erinäiset valtioiden palkkaamat hakkeriryhmät ovat tulleet julki vasta vuoden 2013 laaditun strategian jälkeen.
Kunnianhimon puutteesta uusinta kyberturvallisuusstrategiaa ei voi moittia. Siinä lausutaan Suomen pyrkivän olemaan globaali kyberturvallisuuden edelläkävijä. Suomen osaaminen on myös huomattu ulkomailla. Poliittiselta arvoasteikoltaan kenties merkittävintä kansainvälistä huomiota tuli vuonna 2019, kun presidentti Sauli Niinistö vieraili Valkoisessa talossa ja Donald Trump kehui Suomen kyberturvallisuusosaamista.
Samana vuonna ilmoitettiin Ouluun perustettavasta kyberturvallisuuden tutkimuskeskuksesta nimeltä Cyber Security and Software Engineering Research Site. Taustalla on suomalaisten ja yhdysvaltalaisten yhteistyö, ja keskuksen kerrotaan olevan avoin kaikille suomalaisille yliopistoille ja tutkimuslaitoksille. Sitä ennen Jyväskylän yliopistossa aloitettiin vuonna 2015 kyberturvallisuuden maisteriohjelma, joka on alalla ensimmäinen Suomessa yliopistotason tutkintoon tähtäävä koulutusohjelma.
Kunnianhimon puutteesta uusinta kyberturvallisuusstrategiaa ei voi moittia
Klikkaa twiitataksesi.
Vielä vuonna 2017 Suomi sijoittui kymmenen kärkeen, kun arvioitiin valtioiden kykyjä kyberturvallisuuden valmiuden ja toimeenpanon edistymisessä. Viime vuosina Suomi ei ole kuitenkaan lunastanut edelläkävijyyden tavoitetta, sillä tämän hetkinen sijoitus on 22:s Global Cybersecurity Index -mittauksessa. Syitä edelläkävijyyden lunastamattomuudelle Digibarometri listaa muun muassa kyberturva-alan osaajien puutteen sekä kasvaneet tietovuodot.
Tarvitaan yhteistyötä ja lisää tietämystä
Kunnianhimosta huolimatta kyberturvallisuusstrategia ei yksistään ole kaikenkattava vastaus kyberavaruuden uhkiin. Elinkeinoelämän tutkimuslaitos nostaa ongelmaksi sen, ettei kaikkien yritysten kyberturvasta tiedetä tarpeeksi. Toimintaympäristön muutos ja sen vaatimukset aiheuttavat kysymyksiä ja vaatimuksia, joihin strategia ei välttämättä osaa vastata perusteellisesti. Kybertoimintaympäristö ei ole vain yhden maan sisällä vaan se on aina globaalin mittakaavan toimintaa. Siksi kansallinen kyberturva ei ole riittävä, vaan vaaditaan rajat ylittävää perspektiiviä.
Kyberturvallisuusuhat ovat nousseet varteenotettavien turvallisuusuhkien joukkoon viime vuosikymmenellä. Maailmalta kantautuneet uutiset palvelunestohyökkäyksistä aina koko valtionhallinnon toiminnan lamauttamiseen kertovat uudenlaisesta uhasta. Uhkakuvista huolimatta tietämys kyberavaruuden toimintaperiaatteista saattaa usein jäädä pimentoon, mistä kertoo se, kuinka kansanedustajat eivät ole varmoja kenen on vastuu Suomen puolustamisesta kyberympäristössä.
Kysymykseksi jää, kuinka kansalliset toimet kyberturvallisuuden parissa riittävät vastaamaan globaaleihin uhkakuviin ja niiden monialaisuuteen. Vaikka valtion ylimmällä tasolla tiedostetaan rajat ylittävän yhteistyön merkitys, saattaa tietämys valvontavastuista kyberavaruudessa jäädä epäselväksi. Yhteistyö on kuitenkin keskeinen strategiassa mainittu keino. Sitä ei tule laiminlyödä.
Kirjoittaja: Eetu Kukila
Editointi: Hannu Salomaa, Tony Salminen ja Henri Jokinen
Kielenhuolto: Matti Marjamäki
Lisättävää?
Ylläpito tarkistaa kommentit ennen julkaisua. Sähköpostiosoitettasi ei julkaista.