sunnuntai 17. helmikuuta 2019

Digitaalisen Suomen puolustamisesta

Kuva: Free World Photo Files VIII Stock Photo

Koko Suomen alueen puolustaminen on lähtökohta maanpuolustuksessa. Se ei tarkoita sitä, että rajojen kohdille kaivetaan taisteluhaudat, joihin pureudutaan. Se tarkoittaa sitä, että rajan ylittäjä kokee aina vastarintaa, tuli rajan yli mistä tahansa. Maantieteellisesti tämä on helppo käsittää, mutta digitalisoituminen on lisännyt elinympäristöömme uuden ulottuvuuden. Digitaalinen ulottuvuus on ihan samalla tavalla olennainen osa elinympäristöämme ja elämäntapaamme kuin tiet, rakennukset ja instituutiot.

Olennainen osa maanpuolustusta on aina myös kriittisen infrastruktuurin suojelu. Kriittinen infrastruktuuri tarkoittaa rakenteita, jotka ovat edellytys yhteiskunnan toimimiselle. Yhä keskeisempi osa näitä rakenteita ovat yhteydet ja verkot, joiden avulla digitaalinen tieto liikkuu ja säilyy. Kriittinen informaatioinfrastruktuuri (tästä eteenpäin yleensä KII) määritellään Suomen kyberturvallisuusstrategiassa, että sillä ”tarkoitetaan yhteiskunnan elintärkeiden toimintojen tietojärjestelmien perustana olevia rakenteita ja toimintoja, joiden tehtävänä on sähköisessä muodossa olevan informaation (tiedon) lähettäminen, siirto, vastaanotto, varastointi tai muu käsittely.”

Kansallinen riskiarvio 2018 naulaa, että "Digitaalisten palveluiden ja järjestelmien luotettavuuden, tietoturvallisuuden ja tietosuojan merkitys korostuukin yhä merkittävämmin yhteiskunnan häiriöttömän toiminnan varmistamisessa." Sama riskiarvio myös nostaa esiin keskinäisriippuvaisen maailman luonteen: "Digitaalisten palveluiden toimivuus on myös vahvasti riippuvaista toimivista kansainvälisistä yhteyksistä. Monet tietotekniset palvelut ovat riippuvaisia ulkomaisista palvelinkeskuksista. Näin koko yhteiskunta on riippuvainen kansainvälisistä tietoliikenneyhteyksistä ja sen infrastruktuurista."

Viime vuonna ilmestyi valtioneuvoston selvitys- ja tutkimustoiminnan tilaama raportti "Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi" ja sen mukaan "riippuvuus infromaatioteknologiasta kasvaa edelleen ja siihen liittyvän huoltovarmuuden kanssa tehdään paljon työtä. Kuitenkin sääntely- ja vaikuttamismahdollisuudet valuvat kansallisten toimien ulottumattomiin, koska kriittinen verkkoinfrastruktuuri on enenevässä määrin ulkomaalaisomisteisilla toimijoilla. Lisäksi yrityskentässä on edelleen puutteita riskienhallinnassa ja kyvykkyydessä ottaa käyttöön olemassa olevia turvallisuusratkaisuja ja -toimintatapoja."

Samassa raportissa kritisoidaan myös vahvasti sitä, ettei Suomessa ole määritelty omavaraisuutta KII:n kohdalla. Käytännössä ohjelmistopåuolella ja erilaissa alustoissa on yhdysvaltalaisilla tuotteilla määräävä asema. Edes eurooppalaisella, saatikka suomalaisella tasolla ei ole tarjolla juurikaan vaihtoehtoja otettavaksi käyttöön.

Vielä suurempaa kritiikkiä saa osakseen johtamisen puutteet: "(nykyisen) Mallin heikkoutena on epävarma kyky reagoida riittävän nopeasti laajamittaiseen kyberhyökkäykseen tai häiriötilanteeseen sekä tuottaa alati muuttuviin kyberuhkiin varautumisen kannalta välttämätöntä ennakoivaa strategista analyysitietoa. Nykyistä johtamisrakennetta ei voi pitää varautumisen yhteensovittamisen, strategisten tavoitteiden tunnistamisen tai kansallisen kyberturvallisuusidentiteetin vahvistamisen kannalta optimaalisena. Nykymalli ei ohjaa riittävästi hallinnonalojen, elinkeinoelämän ja kolmannen sektorin kyberturvallisuusvarautumista eikä muodosta riittävän keskitettyä strategista analysointikykyä tilannetietoisuuden tuottamisen tueksi. Kyberturvallisuuden kansallisen omavaraisuuden tunnistaminen ja kehittäminen jäävät nykymallissa puutteelliseksi. Kansainvälisissä vertailuissa korostunut kyberturvallisuuden strategisen johtamisen läheisen yhteyden tarpeellisuus poliittiseen päätöksentekoon ei näyttäydy selkeänä."

Euroopan unionin verkko- ja tietoturvavirasto (ENISA) nostaa vuosiraportissaan esiin huolen erilaisten bottiverkkojen hyökkäyskyvyn kehittymisestä. Tämä tekee puolustautumisesta entistä hankalampaa, koska hyökkäykset ovat nopeampia ja massiivisempia.

Koska kyberulottuvuuden uhat muiden hybridiuhkien tapaan yritetään pitää matalana uhkakokemuksena ja ettei suurempia tai dramaattisempia toimia tohdita poliittisten syiden tai juridisten esteiden takia käynnistää, on yksityisten yritysten tai jopa osaajien kytkeminen osaksi kyberpuolustusta hankala tehtävä. Toki valtio voi aina ostaa yrityksiltä palveluja. Silloin saatetaan joissain tilanteessa käytännössä siirtyä rajusti kasvavan kaupallisen sotilaspalvelualan puolelle. Juridisesti tällainen tilanne on nykyisen lainsäädännön pohjalta vähintäänkin epäselvä. Epäselvyyttä lisää, että vastassakin saattaa olla jonkin valtiollisen toimijan rekrytoima yksityinen yritys. Ylipäätään tässä hybridivaikuttamisen kokonaisuudessa myös laki ja sen noudattaminen voivat olla yksi tapa luoda painetta tai jopa hyökätä.

Vastikään ilmestyneessä Ruotuväen haastattelussa nosti kenraaliluutnantti ja Puolustusvoimain strategiapäällikkö Kim Jäämeri puolustusvoimien toimintakyvyn parantamisessa esiin kolme uutta kokonaisuutta: digitalisaation ja datan uuden käytön, avaruuden suorituskyvyt ja autonomiset laitteet "Joudumme valmistautumaan siihen, että digitalisaatio tuo tilannekuvan muodostamiseen ja tilanteen arvioimiseen piirteitä, joita ei vielä tunneta. Datan uusi käyttö, koneoppiminen ja tekoälysovellukset voivat tuoda suorituskykyhyppyjä, joissa pääsemme hyvän loikan eteenpäin. Mutta ympäristössä voi myös tapahtua vastaava muutos, johon meidän on reagoitava nopeasti, ettei jäädä jälkeen."

Suojelupoliisin vuoden 2018 kansallisen turvallisuuden katsauksessa lausutaan, että "Valtiolliset toimijat ovat entistä valmiimpia käyttämään pitkällekin meneviä vaikuttamistoiminnan keinoja. Suomeen kohdistuvia vaikuttamiskeinoja ovat tai saattaisivat olla esimerkiksi informaatiokampanjat, poliittinen painostus, rajavakauden horjuttaminen, taloudellisen vaikutusvallan kasvattaminen ja talouselämän kielteisten ilmiöiden hyväksikäyttö sekä infrastruktuurihankkeiden kautta vaikuttaminen samoin kuin kyberoperaatiot ja sotilaallinen voimannäyttö." Supon arvion mukaan valtiollisten toimijoiden valmius käyttää voimakkaitakin vaikuttamiskeinoja tavoitteidensa edistämiseen säilyy korkeana.

Kuvaavaa kyberhyökkäyksen potentiaalisesta vaarallisuudesta on se, että NATO rinnastaa jäsenmaahansa kohdistuneen kyberhyökkäyksen aseelliseen hyökkäykseen ja katsoo sen olevan kykenevä laukaisemaan kollektiivisen puolustuksen artikla 5:n.

Yhdysvaltain tiedustelupalvelujen tuoreessa uhka-arviossa on ensimmäisenä globaaleista uhista mainittu kyberin kautta tapahtuvat vahingonteko. Yhdysvallat katsoo Kiinan, Venäjän, Iranin ja Pohjois-Korean uhkaavan sen ja liittolaistensa kyberturvallisuutta. Uhiksi mainotaan tietojen varastaminen, kansalaisiin kohdistuva informaatiovaikuttaminen ja kriittisen infrastruktuurin häirintä.

Jos nämä edellä mainitut asiat vetää yhteen niin:

1. Kriittinen informaatioinfrastruktuuri on elintärkeä osa yhteiskuntaa
2. KII on sidoksissa kansainvälisiin rakenteisiin
3. Merkittävä osa KII:sta on yksityisen sektorin hallussa ja siellä turvallisuus ei välttämättä ole ensisijainen asia
4. Aseellinen maanpuolustus nojaa yhä enemmän digitaaliseen ulottuvuuteen.
5. Riski hyökkäyksestä kriittisen informaatioinfrastruktuurin kimppuun on olemassa
6. Hyökkäysteknologiat kehittyvät jatkuvasti ja nopeasti
7. Kellään Suomessa ei tällä ole riittävää kykyä ja ymmärrystä johtaa KII:n puolustamista laajemman hyökkäyksen tapahtuessa.


Merkittävin uhka Suomelle tässäkin suhteessa on Venäjä. Se toteutti Pronssisoturi-kiistan yhteydessä ensimmäisen valtiollisen kyberhyökkäyksen toista valtiota vastaan. Ukrainaa vastaan käymässään näännytyssodassa Venäjä on käyttänyt myös tuhoisia kyberhyökkäyksiä mm. sähkönjakelun lamauttaen. Ylipäätään Venäjää vastaan on esitetty lukuisia syytöksiä erilaisista verkkohyökkäyksistä.

Tunnetuimpia Venäjän verkkohyökkäyksistä on Venäjän sotilastiedustelun suorittama demokraattisen puolueen sähköpostien hakkerointi ja niiden vuotaminen vaikuttamaan Yhdysvaltain presidentinvaaleihin 2016. Myös erilaiset kansainväliset järjestöt, kuten kemiallisten aseiden kieltojärjestö OPCW, Kansainvälinen jalkapalloliitto Fifa ja Maailman antidopingtoimisto Wada ovat joutuneet Venäjän hakkerointiyritysten kohteiksi. Myös Suomen ulkoministeriö on joutunut venäläisten hakkeroimaksi.

Koska Venäjä käyttää todistetusti hyvin laajalti verkkohyökkäyksiä, voi sen omasta suojautumisesta päätellä, minkä se katsoo kokemustensa perusteella tarvittavaksi suojaksi. Keinot eivät ole välttämättä tuotavissa suoraan, sillä Venäjällä valtion kyky pakottaa yrityksiä ja ihmisiä toimimaan on ihan eri luokkaa kuin länsimaisissa oikeusvaltioissa. Lähtökohta joka tapauksessa on, että Venäjä näkee itsensä myös kyberulottuvuudessa piiritetyksi linnakkeeksi. Tätä kuvaa erinomaisesti se, että voimassaoleva laki edellyttää operaattoreilta Venäjän sisäisen verkon toimimista myös siinä tapauksessa, että sillä ei olisi yhteyttä internetiin. Tätä irrottamista aiotaan kokeilla  lähitulevaisuudessa. Venäjällä yritykset ovat myös velvollisia asentamaan itse laitteiston, jolla FSB pystyy tarkkailemaan tietoliikennettä verkkohyökkäyksien varalta. Lain säätämminen ja voimaan saaminen kesti 11 vuotta. Tämä johtui osin itse haasteen valtavuudesta ja monimutkaisuudesta ja toisaalta elinkeinoelämän vastarinnasta.

Venäjän valtio haluaa myös taata viranomaisille vapaan pääsyn lukemaan sisältöjä. VKontakte vaihtoi omistajaa, koska ei alkuperäinen ei halunnut päästää valtiota järjestelmään. Pikaviestipalvelu Telegram koki myös kovia. Verkon anpnyymi käyttö halutaan myös estää.

Kuten on nähtävissä, niin verkon vapaus, yksityisomaisuuden suoja ja perusoikeudet ovat asioita, jotka estävät toimimasta samoin kuin Venäjä. Joka tapauksessa Suomen olisi pystyttävä luomaan keinoja vahvistaa kriittisen informaatioinfrastruktuurinsa kykyä kestää hyökkäyksiä. Kuten maanpuolustuksessa yleensäkin, heikkous vetää hyökkäyksiä puoleensa ja siksikin vahvistaminen kannattaa.

Kyseessä on iso poliittinen, organisatorinen ja juridinen haaste, jota ei ratkaista hetkessä. Mutta työ pitää käynnistää heti. Siksi toivon ja uskon, että seuraavan hallituksen hallitusohjelmassa kriittisen informaatioinfrastruktuurin suojaamisen kehittämien saisi maininnan ja sitä kautta tarpeelliset resurssit. Luvassa on mittava urakka, jossa on sovitettava yhteen teknologiaa, toimintatapoja, liiketoimintaa, juridiikkaa ja turvallisuusnäkökulmaa. Projektin vetäjien on ansaittava luottamus hyvin laajalti sekä pystyttävä yhdistämään hyvin erilaisia näkökulmia yhteen.

Kokonaisturvallisuuden ja huoltovarmuuden rakentamisessa tehty työ on avuksi tässä ja myös EU:n suunnasta voi olla mahdollista saada institutionaalista tukea työhön. Tämä tilanne kun ei tosiaankaan koske vain meitä.

Kriittinen informaatioinfrastruktuuri on olennainen osa tämän päivän Suomea ja suomalaisten arkea. Siksi se tarvitsee ja ansaitsee puolustuksensa.










4 kommenttia:

  1. "3. Merkittävä osa KII:sta on yksityisen sektorin hallussa ja siellä turvallisuus ei välttämättä ole ensisijainen asia."

    "7. Kellään Suomessa ei tällä ole riittävää kykyä ja ymmärrystä johtaa KII:n puolustamista laajemman hyökkäyksen tapahtuessa."

    Jos järjestelmiä ei ole alunperin rakennettu ennalta määritellyn turvallisuustason mukaisiksi, hyökkäyksen sattuessa ollaan melko kädettömiä.

    Täydellistä turvaa ei ole olemassa, joten se mikä on riittävä turvallisuuden taso missäkin tapauksessa on väistämättä suhteellista.

    Yritykset suojaavat lähtökohtaisesti omaa liiketoimintaansa ja varautuvat liiketoimintaan kohdistuviin riskeihin. Niiden moittiminen kansallisen turvallisuuden huomiotta jättämisestä on - etenkin kun kukaan ei ole esittänyt niille lakiin perustuvia vaatimuksia tai edes suosituksia - melko täydellinen harhalaukaus.

    Uskaltaisin väittää, että kellään Suomessa ei ole kattavaa kuvaa siitä, mitä kriittisiä järjestelmiä meillä on, kuka niitä operoi puhumattakaan siitä mitä riskejä niihin kohdistuu ja kuinka niiden suojaus tulisi järjestää.

    Ensiksi pitäisi määritellä mitä kriittisellä infralla tarkalleenottaen tarkoitetaan. Tarvitaan kriteerit. Kaikki infra ei tarvitse samantasoista suojausta. Siksi tarvitaan myös kriittisyysluokitus ja kullekin luokalle pitäisi määritellä pakollinen / suositeltava suojaustaso ja menettely (esim. sertifiointi) jolla järjestelmän vaatimustenmukaisuus voidaan puolueettomasti todentaa.

    Ilman tällaista perustaa kukaan ei edes tiedä, hankkiiko, myykö operoiko, ylläpitääkö tai valmistaako organisaatio kriittiseksi luettavia järjestelmiä ja mitä toimenpiteitä niiltä tulisi tällöin edellyttää.

    Ilman lakiin kirjattuja vaatimuksia on turha kuvitella, että organisaatiot - yksityiset tai julkiset - varautuisivat riskeihin muutoin kuin oman toimintansa näkökulmasta.

    Liikkeelle voisi lähteä kriittisten järjestelmien luokituksesta ja siihen perustuvista suosituksista. Organisaatioilla olisi tällöin edes jotain minkä pohjalta arvioida toimintaansa ja kriittisiin järjestelmiin liittyviä päätöksiä.

    VastaaPoista
  2. En lähtisi ihan noin perusteista. Kriteerit ovat olemassa. KATAKRI on hyvä työkalu, joka toimii ihan kohtuullisesti myös tuotannon tietojärjestelmien suojauksen mittarina, vaikka niissä tarvitaan joitain lisäjekkuja. Kriteerit siis on.

    Myös tilannekuva on. Viestintävirasto ja huoltovarmuuskeskus ovat tehneet jo yli vuosikymmenen ajan töitä yritysten tietoturvan parantamiseksi, ja niille on muodostunut uskoakseni erittäin hyvä kuva maan kriittisistä tietojärjestelmistä. Jos lukee kansallisen riskiarvion ja kokonaisturvallisuusstrategian, tajuaa kyllä, miten valtavan vahvaan tietopohjaan nämä julkiset dokumentit perustuvat.

    VastaaPoista
  3. Erastotenes,

    "Katakri on viranomaisten auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa."

    Suurta osaa yhteiskunnan toiminnan kannalta kriittisistä järjestelmistä operoi kuitenkin muu kuin viranomaistaho eikä niissä käsitellä viranomaisen salassapidettävää tietoa. Vaikka ao. järjestelmien kehittäjät / operoijat käyttäisivätkin KATAKRIa taustapaperina (mikä on luultavasti harvinaista), niillä ei ole mitään intressiä huomioida KATAKRIa siltä osin kuin sen vaatimukset ylittävät organisaation oman arvion riskeistä ja niihin varautumisen tärkeydestä.

    KATAKRI ei myöskään kata esim. uhkien havaitsemista tai järjestelmän toiminnan varmistamista sen ollessa hyökkäyksen kohteena. Ts. KATAKRI ei riitä, vaikka olenkin samaa mieltä siitä, että tilanne on nykyään parempi ja esim. viestintävirasto on tehnyt hyvää työtä.

    Mikäli todella otamme kansallisesti kriittisen infran suojaamisen vakavasti ja haluamme varmistaa minimitason toiminnan myös poikkeusoloissa, vaaditaan kokonaan toista luokkaa olevia panostuksia.

    Nykytilanne on (karrikoidusti) hieman sama kuin jos aseellinen maanpuolustus olisi hajautettu itsenäisesti toimiville kunnille ja kuvitteellinen puolustusvirasto olisi ohjeistanut niitä vain siinä, kuinka ase- ja ammusvarikot pitää rakentaa (=KATAKRI) jotta tavarat eivät joudu vääriin käsiin. Kuntia ei velvoiteta varustamaan omaa armeijaa ja mikäli ne sellaisen varustavat, puolustusvirasto jättää kuntien itsensä päätettäväksi itse mitä uhkia (jos mitään) varten kunnallinen armeija mitoitetaan, mikä on sen tehtävä, kuinka paljon miehistön koulutukseen panostetaan ja mikä on koulutuksen sisältö, missä tilanteessa kunnallinen armeija saa valtuudet ryhtyä toimimaan ja kuinka sen toimintaa koordinoidaan naapurikuntien tai puolustusviraston kanssa.

    VastaaPoista
  4. Blogin hallinnoija on poistanut tämän kommentin.

    VastaaPoista