Suomi on tehnyt paljon kyberturvallisuuden kehittämiseksi suojautumisen ja varautumisen alalla. Nyt olisi myös määritettävä, mitä Suomen suvereniteetin puolustaminen kyberavaruudessa tarkoittaa. Suomessa on pitkät perinteet viranomaisyhteistoiminnasta sekä yksityisen ja julkisen sektorin yhteistyöstä. Tätä vahvuutta pitää vaalia ja kehittää eteenpäin myös kyberpuolustuksen saralla.
Suomen puolustuspolitiikan perusperiaate on, että koko Suomea puolustetaan maalla, merellä ja ilmassa. Mutta entä kyberavaruudessa? Puolustusvoimien ensimmäinen tehtävä on Suomen sotilaallinen puolustaminen, mutta toiminta rajoittuu täysmääräisesti vain maa-, meri- ja ilmaulottuvuuksiin. Kyberpuolustuksen osalta Puolustusvoimien tehtäviin kuuluu kyllä tiedustelu, vaikuttaminen ja suojautuminen, mutta suojautuminen tarkoittaa tässä viitekehyksessä lähinnä puolustusvoimien oman toiminnan suojaamista.
Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin vuonna 2013 ja päivitettiin 2019. Strategisissa linjauksissa korostetaan muun muassa yhteiskunnan eri tahojen yhteistoimintaa, tilanneymmärrystä, eri viranomaisten vastuualueita, lainsäädännön kehittämisen tarvetta, sekä kansainvälisen yhteistyön merkitystä. Strategian toimeenpanon osalta on tehty paljon hyvää. Suomi on panostanut vahvasti suojautumiseen ja varautumiseen. Kansallinen kyberturvallisuuskeskus on perustettu, tiedustelulainsäädäntö on kehitetty ja kansallisia kyberharjoituksia on järjestetty jo useampia. Huoltovarmuuskeskus tekee kiitettävää työtä kansallisen yhteistoiminnan eteen muun muassa poolitoiminnan kautta sekä tukemalla sektorikohtaisia harjoituksia ja yhteishankkeita.
Sen sijaan laajempi turvallisuuspoliittinen näkökulma, johon kuuluvat puolustuspoliittiset aspektit, on jäänyt kyberturvallisuusstrategiassa käsittelemättä. Ulkoministeriö julkaisi Suomen näkemykset kansainvälisestä oikeudesta kyberympäristössä lokakuussa 2020. Suomen näkemykset seuraavat kansainvälisestikin vallitsevia käsityksiä siitä, että kyberhyökkäys voidaan rinnastaa aseelliseen hyökkäykseen, jos se mittakaavaltaan ja vaikutuksiltaan on verrattavissa aseelliseen hyökkäykseen (asevoiman käyttöön). Tällöin valtiolla on oikeus puolustautua. Lisäksi valtiolla on velvollisuus olla sallimatta sitä, että sen aluetta käytetään tavalla, joka aiheuttaa merkittävää haittaa muiden maiden oikeuksille.
Turvallisuus- ja puolustuspoliittinen näkökulma kyberulottuvuuteen on keskeinen. Kriittinen infrastruktuuri on yleensä kybervaikuttamisen ensisijainen kohde, sillä yhteiskunnan toiminta on pitkälti riippuvainen siitä, että nämä kriittiset palvelut ovat saatavilla. Kriittiseen infrastruktuuriin kuuluvat muun muassa sähkö, tietoliikenne, finanssisektori, ruoka- ja vesihuolto, logistiikka, terveydenhuolto sekä viranomaistoiminta. Mikäli näihin kohdistuisi perinteistä sotilaallista vaikuttamista, tunnistaisimme sen välittömästi aseelliseksi hyökkäykseksi – mutta mikäli vihamielinen valtio (esimerkiksi Venäjä, jonka doktriiniin tällainen vaikuttaminen kuuluu) saisi aikaan samanlaista tai vastaavaa vaikutusta kyberhyökkäyksellä, vastaavaa tulkintaa ei välttämättä tehtäisi.
Tilanne on onneksi muuttumassa nykyisen hallitusohjelman myötä, jossa Suomen suvereniteetin puolustamiseen myös kyberavaruudessa on otettu kantaa. Hallitusohjelma linjaa, että kansallista kyberturvallisuusstrategiaa tulee uudistaa vastaamaan muuttunutta toimintaympäristöä. Lisäksi hallitus aikoo laatia kyberpuolustusdoktriinin sekä selkeyttää ja tarkentaa Puolustusvoimien roolia kyberpuolustuksessa.
Kuva: Sina Schuldt / DPA / Lehtikuva
Suomen puolustaminen kyberavaruudessa edellyttää seuraavia asioita:
Attribuutiokykyä: Attribuutio tarkoittaa käytännössä sitä, että on tekninen kyky osoittaa, kuka oli hyökkäyksen takana sekä poliittinen tahto ilmaista tätä. Esimerkiksi Norja attribuoi Venäjää vuonna 2020 sähköpostimurtojen ja Kiinaa vuonna 2021 tietomurtojen takia. Lähimmäksi attribuutiota Suomi on päässyt, kun Suojelupoliisi osoitti eduskuntaan kohdistuneen tiedusteluoperaation jälkeen tekijäksi APT31:n, joka on Kiinan valtion tukema ryhmä. Tämä osoitti teknistä kykyä, mutta ei poliittista tahtoa.
Vastatoimet: Vastatoimet voivat olla kaikkea diplomatiasta sotilaalliseen voimankäyttöön; suurvallat ovat ilmaisseet, että ne voivat vastata myös ydinasein. Tämän tavoitteena on luoda eräänlainen pelote hyökkäyskynnyksen nostamiseksi. Tällöin vihamielisesti toimiva valtio joutuu arvioimaan, kannattaako hyökkäykseen sijoittaa resursseja (ja mainetta). Pelotevaikutus ei tosin ole kyberulottuvuudessa osoittautunut riittäväksi, joskin tilanne voi tulevaisuudessa muuttua, kun kyberpuolustuksen konsepti kehittyy.
Tilannekuva: Suomella pitää olla kyky tuottaa kansallista tilannekuvaa, joka kattaa myös muun muassa kriittisen infrastruktuurin.
Operatiivinen johtaminen: Operatiivisten vastuiden ja johtosuhteiden tulee olla selkeästi määritelty ja harjoiteltu.
Lainsäädäntö: Sekä valmiuslaki että aluevalvontalaki edellyttävät tarkastelua. Hybridioperaatioita, kuten kyber- ja informaatio-operaatioita, toteutetaan jo rauhan aikana, pitkään ennen poikkeusoloja tai mahdollista sotatilaa. Nykyistä lainsäädäntöä pitää päivittää siten, että viranomaisilla on tarvittavat toimivaltuudet hybridioperaatioiden torjuntaan jo rauhan aikana.
Kuva: Sina Schuldt / DPA / Lehtikuva
Yksi konkreettinen toimenpide voisi olla viranomaisten – mukaan lukien Puolustusvoimien – ja kriittisen infrastruktuurin omistajien välisen yhteistoiminnan ja tiedonvaihdon konkretisoiminen. Esimerkiksi laki sotilastiedustelusta §74 mahdollistaa jo nyt sen, että sotilastiedusteluviranomainen voisi luovuttaa tietoja suoraan yritykselle: ”Sotilastiedusteluviranomainen saa salassapitosäännösten estämättä luovuttaa tietoliikennetiedustelun avulla hankittuja tietoja haitallisesta tietokoneohjelmasta ja sen toiminnasta yritykselle, yhteisölle tai viranomaiselle, jos tietojen luovuttaminen on tarpeen sotilaallisen maanpuolustuksen kannalta, kansallisen turvallisuuden suojaamiseksi tai yrityksen tai yhteisön etujen turvaamiseksi.” Vastaavasti yritykset voisivat täydentää kansallista tilannekuvaa oman, muun muassa avoimiin lähteisiin perustuvan uhkatiedustelun osalta, joka on luonteeltaan sektorispesifisempää.
Kyberpuolustuksessa tulee huomioida myös kansainvälisiä näkökulmia sekä tunnistaa roolimme sekä EU:n että Naton jäsenenä.
Kyberpuolustus kuuluu Naton kollektiiviseen puolustukseen. Käytännössä tämä tarkoittaa sitä, että liittolainen voi vedota artiklaan 5 joutuessaan kyberhyökkäyksen kohteeksi. Tällöin Suomella on velvollisuus avustaa hyökkäyksen kohteeksi joutunutta liittolaista. Tämä edellyttää, että itsekin ymmärrämme, mitä aiemmin listatut toimet tarkoittavat. Vuoden 2021 Nato-huippukokouksessa liittolaiset hyväksyivät kattavan kyberpuolustuspolitiikan, joka tukee Naton kolmea keskeistä tehtävää sekä sen yleistä pelotetta ja puolustusasemaa. Liittolaiset vahvistavat Naton puolustuksellista tehtävää ja sitoutuivat aktiivisesti torjumaan, puolustautumaan ja vastustamaan kaikkia kyberuhkia koko ajan. Tämä tapahtuu harkitsemalla yhteisiä vastauksia ja käyttämällä koko Naton työkalupakettia, mukaan lukien poliittiset, diplomaattiset ja sotilaalliset keinot. Huomattavaa on, että laajamittaisen hyökkäyksen lisäksi merkittävien haitallisten kumulatiivisten kyberaktiviteettien vaikutus voi tietyissä olosuhteissa tulla katsotuksi aseelliseksi hyökkäykseksi, mikä voisi johtaa Pohjois-Atlantin neuvoston koolle kutsumiseksi 5. artiklan nojalla.
Naton jäsenenä Suomi voi sekä nojata liittokunnan kyberpuolustuspolitiikan periaatteisiin että olla mukana vaikuttamassa niiden kehittämiseen ja toimeenpanoon tulevaisuudessa. Vahvuutemme tässä ovat tiivis viranomaisyhteistoiminta sekä sotilas-siviiliyhteisön maanläheinen yhteistyö. Naton mottoa mukaillen: olkaamme vahvempia yhdessä!
Kirjoittaja
Tekniikan tohtori Catharina Candolin toimii tällä hetkellä SSH Communications Security Oyj:n hallituksen jäsenenä sekä päivätyössään OP Ryhmässä kyberturvallisuuden ja varautumisen parissa. Aiemmin hän teki pitkän uran Puolustusvoimissa eri tehtävissä, muun muassa kyberpuolustussektorin johtajana sekä poliittisena neuvonantajana Naton päämajassa Brysselissä.
