sunnuntai 24. helmikuuta 2019

Venäläinen raha demokratiaa syövyttämässä




Ranskalainen äärioikeistopuolue Kansallinen rintama sai melkein kymmenen miljoonan euron lainan Venäjältä presidentinvaalikampanjointiin. Lainan myöntänyt pankki on sittemmin suljettu ja lainan myöhemmät vaiheet ovat olleet lievästi sanottuna sekavia.

Arron Banks laittoi miljoonia Leave-kampanjaan brexit-kansanäänestyksessä. Parhaillaan tutkitaan tulivatko ne rahat oikeastaan Venäjällä tehdyistä kaivoskaupoista. Banks sai myös yhdessä Leave-kampanjan kanssa sakot rikottuaan vaalilakeja yhdistäessään yrityksen tietoja vaalikampanjointiin.  Leave-kampanajan keskeinen poliittinen hahmo, Nigel Farage, on noussut esille myös erikoissyyttäjä Muellerin tutkimuksissa Yhdysvalloissa.

Yhdysvaltain presidentti Donald Trumpin kiinteistöbisnekset hankkivat vuosia lainansa venäläisistä pankeista, koska eivät saaneet muualta. Venäläisillä raharikkailla on myös huomattavia omistuksia Trumpin kiinteistöissä. On pidetty myös hyvin mahdollisena, että rahanpesu nousee esiin Trumpiin nyt kohdistuvissa tutkimuksissa.

Italian varapääministeri Matteo Salvinin on nyt julkaistujen tietojen mukaan ainakin yrittänyt ohjata miljoonia dollareita Venäjän valtiolta öljykauppojen kautta oman puolueensa EU-vaalikampanjaan.

Venäjä on pitkään rakentanut tiiviitä yhteyksiä läntisen Euroopan äärioikeistolaisiin puolueisiin. Ei niiden nousu yksin Venäjän syytä ole todellakaan, mutta se on tukenut itseellen myonteisiä toimijoita, jotka heikentävät EU:ta. Palkinnoksi tästä työstä on esimerkiksi odotettavissa entistä suurempi EU-vastainen europarlamenttiryhmä vaalien jälkeen ja muutama EU-vastainen komissaarikin. Varsinkin jos nämä psytyvät yhteistyöhön, ne voivat heikentää EU:n muutenkin huonossa tilanteessa olevaa yhtenäisyyttä ja toimintakykyä merkittävästi lisää.

Venäjän nykyinen suurlähettiläs Suomessa, Pavel Kuznetsov, oli aiemmin suurlähettiläänä Slovakiassa. Nyt kolmatta kertaa Suomessa diplomaattina  palvelevan Kuznetsovin taustaksi arvellaan KGB:ta, joka sittemmin muutti nimensä Neuvostoliiton romahtamisen myötä FSB:ksi.

Kesältä 2014 on peräisin mielenkiintoinen haastattelu, jonka Kuznetsov antoi äärioikeiston Zem a Vek -lehdelle. Lehti hyökkää muun muassa läntisiä arvoja, juutalaisia, seksuaalivähemmistöjä, Yhdysvaltoja ja globalisaatiota vastaan. Haastattelussa hän oli pettynyt siihen, että Venäjälle suopeita puolueita tuettiin enää vain poliittisesti, muttei niinkään taloudellisesti. Hän tosin uskoi, että Venäjä tulee palaamaan vanhaan käytäntöön eli tarjoamaan taloudellista tukea liittolaisilleen.

Slovakian komennuksen jälkeen Kuznetsov työskenteli vuosina 2014-2017 Venäjän Ulkoasiainministeriön pääsihteeristön päällikkönä. On hyvin oletettavaa, että tuollaisessa asemassa olisi mahdollisuus ajaa eteenpäin niitä ajatuksia, joita hän oli Venäjän ulkopolitiikan tekotavoista esitellyt. Yhtä oletettavaa on, että hän nykyisessä toimessaan pyrkii samaan.

Edellä esitettyjen esimerkkien valossa on selvää, että Venäjä käyttää pimeää rahaa hyväkseen ostaakseen ja tukeakseen ystäviä ja vaikutusvaltaa. Maan korruptoitunut rakenne mahdollistaa tämän, sillä taloudellinen valta on tiukasti alistettu poliittiselle vallalle. Korruptio yrittää luikerrella myös länteen, esimerkkeinä Danske Bankin valtava rahanpesu ja Lontooseen kertyneet valtavat määrät venäläistä rahaa, joka pyrkii peseytymään siellä parhaansa mukaan.

Lupa rikastua tulee Kremlistä ja sen luvan pitäminen voimassa edellyttää osallistumista yhteisiin valtapoliittisiin ponnistuksiin. Tämän takia niin suuri osa Venäjän elinkeinoelämän kermaa on joutunut lännen pakotelistoille, koska he ovat osallistuneet muun muassa Krimin valtaukseen ja miehittämiseen, hyökkäykseen Ukrainaa vastaan ja vaalihäirintään lännessä.

Venäjä käyttää vaikuttamistoiminnassan hyväksi länsimaisen demokratian piirteitä. Se itse tukahduttaa sananvapauden, mutta käyttää sitä hyväkseen lännessä saadakseen valheensa kuuluville. Se yllyttää kansanryhmiä vaatimaan poliittisten vapauksien avulla itsenäisyyttä, mutta on itse kieltänyt laissaan separatismin. Venäjä ylipäätään vaatii itseään kohdeltavan lakien ja määräysten mukaan, mutta itse toimii haluamallaan tavalla, jos katsoo sen tarpeelliseksi.

Yksi hyväksikäytettävä lännen piirre on yksityisomaisuuden suoja. Omistusta vastaan on melkeinpä mahdotonta käydä ja taloudellinen tulos on arjessa usein se ylin rationaliteetti. Tämän tietävät paitsi venäläiset, myös kiinalaiset. Mutta jos se raha syövyttää demokratiaamme ja oikeusvaltiotamme, niin sitä vastaan on pystyvä toimimaan.

Yksi tapa on niin sanottu Magnitski-laki. Nimensä se on saanut vankilassa tapetulta kirjanpitäjä Sergei Magnitskilta. Magnitski-lait määräisivät matkustuskieltoja ja omaisuuden jäädyttämisiä ihmisoikeuksien loukkaajille. Puuttuminen rikkojien ulkomaisiin varoihin ja heidän matkusteluunsa on tehokas tapa aiheuttaa seurauksia ihmisoikeuksia rikkoville tahoille. Tämä ei siis koske vain Venäjää, vaan vaikkapa toimittajia murhannutta ja feministejä kiduttanutta Saudi-Arabiaa. Magnitski-lain säätämistä EU:n tasolla ovat jo aiemmin vaatineet joukko europarlamentaarikkoja, joukossa Petri Sarvamaa (kok/EPP).

Magnitski-laki on voimassa Kanadassa, Yhdysvalloissa, Isossa-Britanniassa ja Virossa.  Lain hyväksymisen jälkeen Kanada asetti pakotteet kolmellekymmenelle venäläiselle, yhdeksälletoista venezuelalaiselle (ml. presidentti  Maduro) ja kolmelle eteläsudanilaiselle henkilölle.

Yksin laki ei kuitenkaan auta. Raha ei itsessään ole hyvä tai paha, mutta sitä voi käyttää kumpaankin. Loppujen lopuksi kysymys on monista pienistä ratkaisuista, joita itse kukin teemme omissa toimissamme.

sunnuntai 17. helmikuuta 2019

Digitaalisen Suomen puolustamisesta

Kuva: Free World Photo Files VIII Stock Photo

Koko Suomen alueen puolustaminen on lähtökohta maanpuolustuksessa. Se ei tarkoita sitä, että rajojen kohdille kaivetaan taisteluhaudat, joihin pureudutaan. Se tarkoittaa sitä, että rajan ylittäjä kokee aina vastarintaa, tuli rajan yli mistä tahansa. Maantieteellisesti tämä on helppo käsittää, mutta digitalisoituminen on lisännyt elinympäristöömme uuden ulottuvuuden. Digitaalinen ulottuvuus on ihan samalla tavalla olennainen osa elinympäristöämme ja elämäntapaamme kuin tiet, rakennukset ja instituutiot.

Olennainen osa maanpuolustusta on aina myös kriittisen infrastruktuurin suojelu. Kriittinen infrastruktuuri tarkoittaa rakenteita, jotka ovat edellytys yhteiskunnan toimimiselle. Yhä keskeisempi osa näitä rakenteita ovat yhteydet ja verkot, joiden avulla digitaalinen tieto liikkuu ja säilyy. Kriittinen informaatioinfrastruktuuri (tästä eteenpäin yleensä KII) määritellään Suomen kyberturvallisuusstrategiassa, että sillä ”tarkoitetaan yhteiskunnan elintärkeiden toimintojen tietojärjestelmien perustana olevia rakenteita ja toimintoja, joiden tehtävänä on sähköisessä muodossa olevan informaation (tiedon) lähettäminen, siirto, vastaanotto, varastointi tai muu käsittely.”

Kansallinen riskiarvio 2018 naulaa, että "Digitaalisten palveluiden ja järjestelmien luotettavuuden, tietoturvallisuuden ja tietosuojan merkitys korostuukin yhä merkittävämmin yhteiskunnan häiriöttömän toiminnan varmistamisessa." Sama riskiarvio myös nostaa esiin keskinäisriippuvaisen maailman luonteen: "Digitaalisten palveluiden toimivuus on myös vahvasti riippuvaista toimivista kansainvälisistä yhteyksistä. Monet tietotekniset palvelut ovat riippuvaisia ulkomaisista palvelinkeskuksista. Näin koko yhteiskunta on riippuvainen kansainvälisistä tietoliikenneyhteyksistä ja sen infrastruktuurista."

Viime vuonna ilmestyi valtioneuvoston selvitys- ja tutkimustoiminnan tilaama raportti "Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi" ja sen mukaan "riippuvuus infromaatioteknologiasta kasvaa edelleen ja siihen liittyvän huoltovarmuuden kanssa tehdään paljon työtä. Kuitenkin sääntely- ja vaikuttamismahdollisuudet valuvat kansallisten toimien ulottumattomiin, koska kriittinen verkkoinfrastruktuuri on enenevässä määrin ulkomaalaisomisteisilla toimijoilla. Lisäksi yrityskentässä on edelleen puutteita riskienhallinnassa ja kyvykkyydessä ottaa käyttöön olemassa olevia turvallisuusratkaisuja ja -toimintatapoja."

Samassa raportissa kritisoidaan myös vahvasti sitä, ettei Suomessa ole määritelty omavaraisuutta KII:n kohdalla. Käytännössä ohjelmistopåuolella ja erilaissa alustoissa on yhdysvaltalaisilla tuotteilla määräävä asema. Edes eurooppalaisella, saatikka suomalaisella tasolla ei ole tarjolla juurikaan vaihtoehtoja otettavaksi käyttöön.

Vielä suurempaa kritiikkiä saa osakseen johtamisen puutteet: "(nykyisen) Mallin heikkoutena on epävarma kyky reagoida riittävän nopeasti laajamittaiseen kyberhyökkäykseen tai häiriötilanteeseen sekä tuottaa alati muuttuviin kyberuhkiin varautumisen kannalta välttämätöntä ennakoivaa strategista analyysitietoa. Nykyistä johtamisrakennetta ei voi pitää varautumisen yhteensovittamisen, strategisten tavoitteiden tunnistamisen tai kansallisen kyberturvallisuusidentiteetin vahvistamisen kannalta optimaalisena. Nykymalli ei ohjaa riittävästi hallinnonalojen, elinkeinoelämän ja kolmannen sektorin kyberturvallisuusvarautumista eikä muodosta riittävän keskitettyä strategista analysointikykyä tilannetietoisuuden tuottamisen tueksi. Kyberturvallisuuden kansallisen omavaraisuuden tunnistaminen ja kehittäminen jäävät nykymallissa puutteelliseksi. Kansainvälisissä vertailuissa korostunut kyberturvallisuuden strategisen johtamisen läheisen yhteyden tarpeellisuus poliittiseen päätöksentekoon ei näyttäydy selkeänä."

Euroopan unionin verkko- ja tietoturvavirasto (ENISA) nostaa vuosiraportissaan esiin huolen erilaisten bottiverkkojen hyökkäyskyvyn kehittymisestä. Tämä tekee puolustautumisesta entistä hankalampaa, koska hyökkäykset ovat nopeampia ja massiivisempia.

Koska kyberulottuvuuden uhat muiden hybridiuhkien tapaan yritetään pitää matalana uhkakokemuksena ja ettei suurempia tai dramaattisempia toimia tohdita poliittisten syiden tai juridisten esteiden takia käynnistää, on yksityisten yritysten tai jopa osaajien kytkeminen osaksi kyberpuolustusta hankala tehtävä. Toki valtio voi aina ostaa yrityksiltä palveluja. Silloin saatetaan joissain tilanteessa käytännössä siirtyä rajusti kasvavan kaupallisen sotilaspalvelualan puolelle. Juridisesti tällainen tilanne on nykyisen lainsäädännön pohjalta vähintäänkin epäselvä. Epäselvyyttä lisää, että vastassakin saattaa olla jonkin valtiollisen toimijan rekrytoima yksityinen yritys. Ylipäätään tässä hybridivaikuttamisen kokonaisuudessa myös laki ja sen noudattaminen voivat olla yksi tapa luoda painetta tai jopa hyökätä.

Vastikään ilmestyneessä Ruotuväen haastattelussa nosti kenraaliluutnantti ja Puolustusvoimain strategiapäällikkö Kim Jäämeri puolustusvoimien toimintakyvyn parantamisessa esiin kolme uutta kokonaisuutta: digitalisaation ja datan uuden käytön, avaruuden suorituskyvyt ja autonomiset laitteet "Joudumme valmistautumaan siihen, että digitalisaatio tuo tilannekuvan muodostamiseen ja tilanteen arvioimiseen piirteitä, joita ei vielä tunneta. Datan uusi käyttö, koneoppiminen ja tekoälysovellukset voivat tuoda suorituskykyhyppyjä, joissa pääsemme hyvän loikan eteenpäin. Mutta ympäristössä voi myös tapahtua vastaava muutos, johon meidän on reagoitava nopeasti, ettei jäädä jälkeen."

Suojelupoliisin vuoden 2018 kansallisen turvallisuuden katsauksessa lausutaan, että "Valtiolliset toimijat ovat entistä valmiimpia käyttämään pitkällekin meneviä vaikuttamistoiminnan keinoja. Suomeen kohdistuvia vaikuttamiskeinoja ovat tai saattaisivat olla esimerkiksi informaatiokampanjat, poliittinen painostus, rajavakauden horjuttaminen, taloudellisen vaikutusvallan kasvattaminen ja talouselämän kielteisten ilmiöiden hyväksikäyttö sekä infrastruktuurihankkeiden kautta vaikuttaminen samoin kuin kyberoperaatiot ja sotilaallinen voimannäyttö." Supon arvion mukaan valtiollisten toimijoiden valmius käyttää voimakkaitakin vaikuttamiskeinoja tavoitteidensa edistämiseen säilyy korkeana.

Kuvaavaa kyberhyökkäyksen potentiaalisesta vaarallisuudesta on se, että NATO rinnastaa jäsenmaahansa kohdistuneen kyberhyökkäyksen aseelliseen hyökkäykseen ja katsoo sen olevan kykenevä laukaisemaan kollektiivisen puolustuksen artikla 5:n.

Yhdysvaltain tiedustelupalvelujen tuoreessa uhka-arviossa on ensimmäisenä globaaleista uhista mainittu kyberin kautta tapahtuvat vahingonteko. Yhdysvallat katsoo Kiinan, Venäjän, Iranin ja Pohjois-Korean uhkaavan sen ja liittolaistensa kyberturvallisuutta. Uhiksi mainotaan tietojen varastaminen, kansalaisiin kohdistuva informaatiovaikuttaminen ja kriittisen infrastruktuurin häirintä.

Jos nämä edellä mainitut asiat vetää yhteen niin:

1. Kriittinen informaatioinfrastruktuuri on elintärkeä osa yhteiskuntaa
2. KII on sidoksissa kansainvälisiin rakenteisiin
3. Merkittävä osa KII:sta on yksityisen sektorin hallussa ja siellä turvallisuus ei välttämättä ole ensisijainen asia
4. Aseellinen maanpuolustus nojaa yhä enemmän digitaaliseen ulottuvuuteen.
5. Riski hyökkäyksestä kriittisen informaatioinfrastruktuurin kimppuun on olemassa
6. Hyökkäysteknologiat kehittyvät jatkuvasti ja nopeasti
7. Kellään Suomessa ei tällä ole riittävää kykyä ja ymmärrystä johtaa KII:n puolustamista laajemman hyökkäyksen tapahtuessa.


Merkittävin uhka Suomelle tässäkin suhteessa on Venäjä. Se toteutti Pronssisoturi-kiistan yhteydessä ensimmäisen valtiollisen kyberhyökkäyksen toista valtiota vastaan. Ukrainaa vastaan käymässään näännytyssodassa Venäjä on käyttänyt myös tuhoisia kyberhyökkäyksiä mm. sähkönjakelun lamauttaen. Ylipäätään Venäjää vastaan on esitetty lukuisia syytöksiä erilaisista verkkohyökkäyksistä.

Tunnetuimpia Venäjän verkkohyökkäyksistä on Venäjän sotilastiedustelun suorittama demokraattisen puolueen sähköpostien hakkerointi ja niiden vuotaminen vaikuttamaan Yhdysvaltain presidentinvaaleihin 2016. Myös erilaiset kansainväliset järjestöt, kuten kemiallisten aseiden kieltojärjestö OPCW, Kansainvälinen jalkapalloliitto Fifa ja Maailman antidopingtoimisto Wada ovat joutuneet Venäjän hakkerointiyritysten kohteiksi. Myös Suomen ulkoministeriö on joutunut venäläisten hakkeroimaksi.

Koska Venäjä käyttää todistetusti hyvin laajalti verkkohyökkäyksiä, voi sen omasta suojautumisesta päätellä, minkä se katsoo kokemustensa perusteella tarvittavaksi suojaksi. Keinot eivät ole välttämättä tuotavissa suoraan, sillä Venäjällä valtion kyky pakottaa yrityksiä ja ihmisiä toimimaan on ihan eri luokkaa kuin länsimaisissa oikeusvaltioissa. Lähtökohta joka tapauksessa on, että Venäjä näkee itsensä myös kyberulottuvuudessa piiritetyksi linnakkeeksi. Tätä kuvaa erinomaisesti se, että voimassaoleva laki edellyttää operaattoreilta Venäjän sisäisen verkon toimimista myös siinä tapauksessa, että sillä ei olisi yhteyttä internetiin. Tätä irrottamista aiotaan kokeilla  lähitulevaisuudessa. Venäjällä yritykset ovat myös velvollisia asentamaan itse laitteiston, jolla FSB pystyy tarkkailemaan tietoliikennettä verkkohyökkäyksien varalta. Lain säätämminen ja voimaan saaminen kesti 11 vuotta. Tämä johtui osin itse haasteen valtavuudesta ja monimutkaisuudesta ja toisaalta elinkeinoelämän vastarinnasta.

Venäjän valtio haluaa myös taata viranomaisille vapaan pääsyn lukemaan sisältöjä. VKontakte vaihtoi omistajaa, koska ei alkuperäinen ei halunnut päästää valtiota järjestelmään. Pikaviestipalvelu Telegram koki myös kovia. Verkon anpnyymi käyttö halutaan myös estää.

Kuten on nähtävissä, niin verkon vapaus, yksityisomaisuuden suoja ja perusoikeudet ovat asioita, jotka estävät toimimasta samoin kuin Venäjä. Joka tapauksessa Suomen olisi pystyttävä luomaan keinoja vahvistaa kriittisen informaatioinfrastruktuurinsa kykyä kestää hyökkäyksiä. Kuten maanpuolustuksessa yleensäkin, heikkous vetää hyökkäyksiä puoleensa ja siksikin vahvistaminen kannattaa.

Kyseessä on iso poliittinen, organisatorinen ja juridinen haaste, jota ei ratkaista hetkessä. Mutta työ pitää käynnistää heti. Siksi toivon ja uskon, että seuraavan hallituksen hallitusohjelmassa kriittisen informaatioinfrastruktuurin suojaamisen kehittämien saisi maininnan ja sitä kautta tarpeelliset resurssit. Luvassa on mittava urakka, jossa on sovitettava yhteen teknologiaa, toimintatapoja, liiketoimintaa, juridiikkaa ja turvallisuusnäkökulmaa. Projektin vetäjien on ansaittava luottamus hyvin laajalti sekä pystyttävä yhdistämään hyvin erilaisia näkökulmia yhteen.

Kokonaisturvallisuuden ja huoltovarmuuden rakentamisessa tehty työ on avuksi tässä ja myös EU:n suunnasta voi olla mahdollista saada institutionaalista tukea työhön. Tämä tilanne kun ei tosiaankaan koske vain meitä.

Kriittinen informaatioinfrastruktuuri on olennainen osa tämän päivän Suomea ja suomalaisten arkea. Siksi se tarvitsee ja ansaitsee puolustuksensa.