Kyberstrategia selkokielisenä: vakoiluohjelmia ja sotilaallista lamauttamista

Suomen kyberstrategian esittelytilaisuus oli abstraktia poliittista retoriikkaa. Itse strategia sisältää järeitä ehdotuksia lainsäädännön muuttamiseksi ja viranomaisten toimivaltuuksien lisäämiseksi.

24.1.2013 17:04

Valtioneuvosto julkisti tänään kyberstrategiansa. Visiossa Suomesta halutaan tehdä ”edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa”.

Koska aihe on poliittisesti arka, tiedotustilaisuudessa tehtiin kapulakielen Suomen ennätys. Hyökkäys-sana esiintyi vain lisätietoja pyytäneiden toimittajien kysymyksissä. Itse strategiasta sitä on turha etsiä muuten kuin uhan muodossa.

Etukäteen oli tiedossa, että sosiaalidemokraatit suhtautuvat nurjasti hyökkäys-sanaan. HS:n mukaan strategian julkistus myöhästyi viikolla juuri hyökkäämiseen liittyvän debatin vuoksi.

Unohtakaa rajat ja poterot

Strategian poliittisesti sopivaan muotoiluun käytetty viikko oli turha. Keskustelu kulkee väärillä raiteilla. Termit ovat vanhasta maailmasta, mutta sotaa käydään uudessa.

Verkkoturvallisuus ei seuraa maan rajoja. Jos Tukholmassa olevaa, Suomeen liikennettä välittävää konesalia vastaan hyökätään, saako sitä täältä käsin puolustaa? Vai onko se sama kuin suomalaissotilaiden lähettäminen Afganistaniin?

Hyökkäyksen ja puolustamisen rajat ovat vielä epäselvemmät. Jos blokataan tietoliikennepaketit hyökkäävästä ip-avaruudesta, se on varmasti puolustuksellinen toimenpide. Mutta saako monikansallisesta bottiverkosta tehtävää palvelunestohyökkäystä torjuttaessa kaataa vain Suomen rajojen sisällä toimivat koneet ja jättää muut huomiotta?

Poliittinen retoriikka jättää paljon avoimeksi. Mutta strategian lukeminen tarkkaan vastaa kysymyksiin.

Mitä strategiassa oikeasti sanotaan?

Strategia koostuu kymmenestä linjauksesta. Osassa niistä on tehtävissä mielenkiintoisia huomioita.

Kohta 4:

Huolehditaan, että poliisilla on riittävät toimivaltuudet, resurssit sekä osaava ja motivoitunut henkilöstö, joka hoitaa kybertoimintaympäristöön kohdistuvien ja sitä hyödyntävien rikosten ennaltaehkäisemisen, taktisen esitutkinnan sekä digitaalisen todistusaineiston käsittelyn ja analysoinnin.

Toimivaltuudet ja ennaltaehkäisy on digimaailman vastine teleseurannalle. Tietokonemaailmassa se toteutetaan vakoiluohjelmilla.

Lisää löytyy kohdasta 5:

– Suorituskyvyn varmistamiseksi kehitetään [puolustusvoimien] tiedustelu- ja vaikuttamiskykyä kybertoimintaympäristössä osana muun sotilaallisen voimankäytön kehittämistä.

Tiedustelu kybertoimintaympäristössä on mielenkiintoinen ilmaus. Se voi tarkoittaa mitä tahansa uutisseurannasta tietoliikennepakettien kuunteluun ja porttiskannauksiin. Ainakaan jälkimmäisiä ei suljeta pois.

Lisäksi sotilasterminä vaikuttaminen voimankäytön osana tarkoittaa yleensä vihollisen lyömistä tai tuhoamista.

Nato-kortti puoliksi pelattuna

Kohtaan 6 liittyy myös mielenkiintoinen huomio:

– Euroopan unioni sekä monet kansainväliset järjestöt, kuten YK, ETYJ, Nato ja OECD, ovat Suomelle tärkeitä foorumeita kyberturvallisuutta kehitettäessä.

Nato löysi kuin löysikin lopulta tiensä strategiaan. Alkuperäinen poliittinen riita liittyi osittain juuri Nato-yhteistyöhön.

Verkkorikolliset toimivat yli rajojen. Myös tietoturvayhtiöt toimivat yli rajojen ja tekevät kansainvälistä yhteistyötä. Kansanvälinen yhteistyö on selviö myös kansallisen puolustuksen tasolla.

Tässä olisi ollut helppo jäädä kylmän sodan maailmasta tutun poteron pohjalle. Nyt näin ei ole tapahtunut.

…ja vielä lopuksi kohdasta 8:

– [Lainsäädännön] kartoituksen yhtenä tarkoituksena on se, että lainsäädäntö antaisi mahdollisuuden sekä riittävät keinot ja toimivaltuudet eri alojen toimivaltaisille viranomaisille sekä muille toimijoille toteuttaa yhteiskunnan elintärkeiden toimintojen ja erityisesti valtion turvallisuuden suojaamista kyberuhkia vastaan.

sekä

– Tietojen keräämistä ja muuta käsittelyä koskevassa tarkastelussa arvioitaisiin lisäksi sitä onko syytä vastuuviranomaisille luoda nykyistä paremmat mahdollisuudet ennalta kerätä, koota ja saada tietoa kyberuhista ja niiden aiheuttajista kiinnittämällä samalla huomiota perusoikeuksina olemassa oleviin yksityisyyden suojaan ja luottamuksellisen viestin suojaan.

Nyt mennään aroile alueille: yksityisyyteen ja rekisterien keräämiseen.

Odotettavissa on kiisteltyjä lakiehdotuksia siitä, millaisia tietoja viranomaiset saavat kerätä verkkorikollisista ja millaisia rekistereitä näistä saa luoda.

Uhka tarkoittaa toistaiseksi toteutumatonta riskiä. Ilmaus ”kyberuhan aiheuttaja” viittaa potentiaalisesti vaaralliseen – ei välttämättä ennalta tunnettuun rikoksentekijään. 

Mitä seuraavaksi tapahtuu?

Nyt esitellyssä strategiassa on kysymys suurista linjoista ja abstraktista kielestä. Konkreettiset toimenpiteet ovat eri asia. Niitäkin alkaa tulla.

Ensimmäisiin asioihin kuuluu Cert-fi:n muuttuminen kyberturvallisuuskeskukseksi. Sen ympärille kootaan virastojen, yritysten ja järjestöjen muodostama verkosto, jonka toiminta perustuu vapaaehtoisuuteen ja ilmaisuuteen.

Firmoja ei mainittu nimeltä, mutta F-Secure, Stonesoft ja Nixu ovat aika ilmeisiä arvauksia. Ihan varmasti niitä on muitakin.

Tätä pidetään strategiassa Suomen ainutlaatuisena vahvuutena: kehitetään nykyistä järjestelmää, joka on sekoitus yksityistä ja julkista sektoria ja joka ei perustu bisneksen tekoon.

Kutsutaanko tätä uutta vientituotetta vaikka digitaaliseksi suojeluskunnaksi?

Seuraa ja lue artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?