Asiantuntijat näkevät Suomen hajanaisessa kyberpuolustuksessa Vastaamon kaltaisia aukkoja suurillekin iskuille – "Seuraava WTC-isku tapahtuu tietoverkoissa"

Puolassa annettiin valheellinen ilmoitus radioaktiivisesta uhasta, kun ydinturvallisuusviranomaisten nettisivut hakkeroitiin. Hakkerit varastivat Euroopan lääkevirastosta asiakirjoja koronarokotteisiin liittyen.

Nämä ovat pari esimerkkiä pelkästään tänä vuonna maailmalla tapahtuneista kyberiskuista. Vaikka kyberturvallisuudesta on puhuttu laajalti Suomessa viime vuosina, osa asiantuntijoista katsoo, että Suomen kyky varautua laaja-alaisiin kyberiskuihin on puutteellinen.

Näin näkee esimerkiksi Jyväskylän yliopiston kyber- ja hybridiuhkien opettaja Martti J. Kari, joka on toiminut aiemmin muun muassa Viestikoelaitoksen johtajana.

Karin mukaan eri tietoturvajärjestelmiä kyllä löytyy, mutta ne ovat hyvin hajautettuja. Esimerkiksi yrityksillä on omat järjestelmänsä, joilla ne valvovat verkon toimintaa. Kyberturvallisuuskeskus on valtakunnallinen elin, joka osin valvoo kriittisen infrastruktuurin kohteita. Puolustusvoimat vastaa taas vain omien verkkojensa suojauksesta.

–  Meiltä puuttuu elin, joka suojaisi valtakuntaa kyberympäristössä, Kari sanoo.

Pääesikunnan johtamispäällikkö, prikaatikenraali Jarmo Vähätiitto näkee samankaltaisia ongelmia.

–  Suomessa on erittäin korkeatasoista tietoturvaosaamista korkeakouluissa, yrityskentässä ja viranomaisissa. Haasteena on se, että kenttä on hajanainen.

Sekä Vähätiiton että Karin mielestä tärkeintä olisi uudistaa lainsäädäntöä.

–  Lainsäädäntö rajoittaa ja osittain ei tue sellaista tiedonvaihtoa, jota tarvittaisiin nopeasti kehittyvissä ja laaja-alaisissa tilanteissa. Esimerkiksi tilannekuvan muodostaminen, vastatoimet ja johtaminen ovat tästä johtuen ongelmallista, Vähätiitto sanoo.

Kari näkee, että kyberturvallisuuteen liittyvää lainsäädäntöä tulisi uudistaa samanlaisen prosessin kautta kuin tiedustelulakeja.

–  Tästä pitäisi tehdä mietintö, jonka laatimiseen osallistuvat ministeriöt, liike-elämä että akatemia. Nythän me teemme strategioita, mutta niiden jalkautuminen on vajavaista, koska meillä on puutteellinen lainsäädäntö.

–  Nyt ei voida esimerkiksi määrätä, että kaikkien yritysten tulee ottaa tietyntasoinen tietoturva käyttöön. Jos yrityksen johtaja kieltäytyy asiasta, koska se maksaa, suositus jää vain ”olisi kiva” -tason suositukseksi.

Tästä yksi esimerkki on psykoterapiakeskus Vastaamon tietovuoto. Tietojärjestelmä oli yrityksen itsensä kehittämä, ja siinä oli merkittäviä puutteita.

–  Jos laissa sanottaisiin, että tietyn kokoiset firmat ovat velvollisia ottamaan tämän järjestelmän tai valtio maksaa kulut, se olisi aika selkeä ratkaisu.

Kyberturvallisuusjohtaja Rauli Paananen ei näe, että Suomi ei pystyisi varautumaan laajamittaiseen kyberiskuun.

–  Tässä ei ehkä tunneta kaikkea nykyistä viranomaisten toimivaltaa. Toimivaltaisten viranomaisten välinen yhteistyö toimii erinomaisesti, hän sanoo. Lisäksi viranomaisten yhteistyötä pyritään entisestään parantamaan tuoreessa kyberturvallisuuden kehittämisohjelmassa.

Ministeriö julkaisi tällä viikolla myös toisen ohjelman, joka koskee tietoturvan ja tietosuojan parantamista yhteiskunnan kriittisillä toimialoilla.

Liikenne- ja viestintäministeri Timo Harakan (sd.) mukaan sen tavoitteena on, että Suomessa päästään samantasoiseen tietoturvaan kaikilla kriittisillä toimialoilla. Tällä halutaan varmistaa, etteivät Vastaamon kaltaiset tapaukset toistu.

Kyberiskut aiheuttavat pahimmillaan tuhoja, jotka voivat vaikeuttaa kansalaisten ja yhteiskunnan toimintakykyä dramaattisesti.

Usein uhkaskenaarioissa nostetaan esille esimerkiksi sähköjen laajamittainen katkaisu, mikä tapahtui esimerkiksi Ukrainaan kohdistuneessa kyberiskussa joulukuussa 2015. Myös psykoterapiakeskus Vastaamon kaltaiset, ihmisten arkaluontoisten yksityisasioiden vuodot voivat olla äärimmäisen haitallisia.

Ongelma on kuitenkin se, että tuhoisaa kyberiskua voi olla mahdotonta ennakoida.

–  Sanon aina oppilailleni, että seuraavat WTC-iskut tapahtuvat tietoverkoissa. Ei WTC-iskujakaan osattu ennakoida ja arvata, että matkustajakoneella saisi aikaan sellaista tuhoja, Martti Kari Jyväskylän yliopistosta sanoo.

–  Pahinta ei välttämättä ole se, että jonkin järjestelmää häiritään. Sen sijaan yksi paha skenaario voisi olla se, että meidän tietojamme manipuloidaan emmekä huomaisi, että niitä on manipuloitu. Mitä esimerkiksi tapahtuisi, jos kaikkien suomalaisten sosiaaliturvatunnuksia hieman muutettaisiin? Kari kysyy.

Jos tietoverkoissa manipuloitaisiin sosiaaliturvatunnuksia, se voisi aiheuttaa laajoja häiriöitä lähes kaikilla yhteiskunnan toiminta-aloilla. Juuri kykyä varautua tällaisiin laajoihin, kaikkiin toimialoihin kohdistuviin iskuihin Kari toivoisi.

–  Jos ajatellaan ulkopoliittisesti, meidän pitäisi näyttää ulospäin, että laitamme myös meidän kyberpuolustustamme kuntoon. Hyökkääjähän tulee sisään sieltä, mikä on kaikkein heikoin puolustuksen osa.

Karin mukaan kybermaailma on siitä mielenkiintoinen, että tietoverkoissa voidaan käydä sotaa myös rauhan aikana.