Kansallinen kyberturvallisuus totuusperustalle
Valtioneuvosto hyväksyi kolme vuotta sitten tammikuussa 2013 Suomen kyberturvallisuusstrategian kansallisine toimeenpano-ohjelmineen. Asiakirjassa luetellaan ilman sen syvempää analyysia erilaisia kehittämistoimia. Tietoverkkorikokset, identiteettivarkaudet, palvelunestohyökkäykset ynnä muut olivat olleet olemassa vakavana riskinä yli kymmenen vuotta, ennen kuin hallitus, korkeimmat virkamiehet ja poliittiset päättäjät äkkäsivät tarttua asiaan.
Vastuunkantaja oli selvillä: sisäministeriö vastaa ”oman toimialansa osalta kansalliseen toimeenpano-ohjelmaan sisältyvien toimenpiteiden toteuttamisesta”. Hyvä.
Kun päästään jyvälle eilispäivästä, painaa jo huominen päälle.
Julkisuudessa on kärkevästikin keskusteltu, onko meillä kansakuntana ymmärrystä siitä, kuinka infrastruktuurimme on varmistettu ulkoista uhkaa vastaan.
Eipä taida olla kummoisesti suojattu. Taannoin ulkoministeriön sisäisen verkon korkkaamisessa käytetyt menetelmät, joilla rootkitit ujutettiin työkoneille, kuulostavat suorastaan naiiveilta. Tietoverkkorikoksien torjuntaa painotetaan osana järjestäytyneen rikollisuuden vastaista toimintaa, mutta tämän pidemmälle ei ole edes sanallisesti rohjettu vuonna 2013 mennä. Nyt ympärillämme roihuaa hybridisota, jossa suurvallat hahmottavat etupiirijakojensa rajoja. Ja kas kummaa, puolueeton Suomikin on maailmankartalla idän ja lännen rajalla. Tämän takia Suomi on tutkijoiden mukaan ollut vakoilun luvattu maa läpi viime vuosisadan.
Sisäministeriön vasta julkaisemassa lisäasiakirjassa kansallisesta riskiarviosta kuvataan nyt skenaario, jossa Suomen yhteiskunta pyrittäisiin lamauttamaan kyberiskulla. Suomen valtioon kohdistuvassa kyberiskussa olisi riskiarvion mukaan todennäköisesti kyse vieraan valtion tai muun toimijan laajemmasta operaatiosta, jonka taustalla olisi kuukausia tai jopa vuosia kestänyt suunnittelu kehityskulku. Suomen poliittisiin päättäjiin ja valtiojohtoon saatetaan yrittää vaikuttaa tiettyjen tavoitteiden saavuttamiseksi. Jos pehmeämmät keinot eivät auta, kohdistetaan ”kybervaikuttaminen yhteiskunnan elintärkeisiin toimintoihin, kuten päätöksenteko- ja johtamisjärjestelmiin sekä kriittisen infrastruktuurin kohteisiin”.
Sisäministeriön uhka-arviossa tällöin tullaan tilanteeseen, jossa yhteiskunnan eri tietojärjestelmille, palveluille ja tietovarannoille saatetaan aiheuttaa sellaista vahinkoa, joka merkittävästi lamauttaa yhteiskunnan toimintoja ja valtion johtamiskykyä. Ulkoa tulevaa poliittista painostusta tehostetaan kybertoimintaympäristön kautta. Näin toteaa siis yleensä varovainen sisäministeriö. Silloin jos noin käy, kyse on hybridisodasta – ja lienee määrittelykysymys, olemmeko siinä nyt jo. Ei tilanne vielä kovin paha ole, mutta kuka uskaltaa luvata, että tällä tasolla mennään lähitulevaisuudessa.
Kun totuus tunnustetaan, olemme terveellä pohjalla, josta voimme jatkaa. Nyt on tehtävä kaikki, mitä on tehtävissä sen varalta, että maailmanpoliittinen ilmapiiri vielä kiristyy.
Kyberturvallisuusstrategiaan voit tutustua osoitteessa www.yhteiskunnanturvallisuus.fi
