Maailma on rikki. Tai ainakin siitä on tullut entistä haavoittuvaisempi. Kriittinen infrastruktuurimme on nimittäin täysin riippuvainen digitaalisesta maailmasta. Kybertäsmäisku sähköyhtiöön pimentäisi koko Suomen. Isku pankkiin voisi rampauttaa taloutemme useiksi vuosiksi. Kybervakoilu puolestaan murentaa yritystemme kilpailukykyä.
Belgian maaliskuisten terrori-iskujen jälkeen kyberturvallisuuspiireissä haukotaan taas henkeä. Siellä mietitään, voisiko sekasortoa ja vihaa kylvävällä terroristijärjestö Isisillä olla vahvan motivaation lisäksi myös kyky tehdä kyberiskuja läntisten valtioiden kriittiseen infrastruktuuriin.
Kyberiskujen uhka tiedostetaan hyvin maailmalla. Yhdysvaltojen tiedustelupalvelut ovat jo kolmena vuonna sijoittaneet kyberuhat ensimmäiseksi uhaksi maan kansalliselle turvallisuudelle – siis ohi terrorismin, joukkotuhoaseiden ja kansainvälisen järjestäytyneen terrorismin.
Mutta ei Yhdysvallatkaan ole aivan pulmunen.
Vuonna 2010 yhdysvaltalaisten ja israelilaisten yhteistyössä rakentama Stuxnet-tietokonemato pääsi saastuneen usb-tikun kautta Iranin Natanzin-kaupungin uraanirikastamoon. Madon oli tarkoitus sabotoida Iranin ydinohjelmaa muuntamalla kierrosnopeuksia sentrifugeissa, joita käytetään uraanin rikastamisessa. Se on tiettävästi ensimmäinen mato, joka vakoilee ja uudelleenohjelmoi teollisuusjärjestelmiä.
Epäillään, että Iran kosti muutamaa vuotta myöhemmin. Se hakkeroitui New Yorkin lähellä sijaitsevan tulvapadon hallintajärjestelmään sekä verkkoon, jota käyttää 18 osavaltiossa toimiva sähköyritys.
23.12.2015 maailma puolestaan todisti mitä todennäköisimmin ensimmäistä sähkökatkosta, joka toteutettiin puhtaasti kyberiskulla. Tuolloin länsiukrainalaisen Ivano-Frankivskin kaupungin 80 000 kotia pimeni useiksi tunneiksi. Sähköyhtiön verkosta löytyi haittaohjelma, jonka masinoimisesta Ukraina syyttää Sandworm-nimellä tunnettua venäläistä hakkeriryhmää.
Nämä tapaukset huolettavat Aalto-yliopiston kyberturvallisuuden professori Jarno Limnélliä. Hän on aktiivisena tviittaajana ja kommentoijana eräs suomalaisen kyberturvallisuuskeskustelun johtohahmoista. Limnéll julistaa usein lehtijutuissa ja Iltalehden blogissaan, ettei kyberturvallisuus ole leikin asia.
Eikä ihme.
Digitaaliset tietojärjestelmät ohjaavat käytännössä kaiken sen liikuttelua, mikä on tärkeää toimivassa yhteiskunnassa: rahan, ihmisten, ruuan, tiedon ja energian. Kun näitä säätelevään infrastruktuuriin tehdään kyberhyökkäys, väestö kärsii seuraukset fyysisesti. Sähköt katkeavat, ruuan jakelu häiriintyy, liikenne on kaaoksessa.
Digitaalinen riippuvuus on tehnyt yhteiskunnistamme yhä haavoittuvaisempia. Siksi Limnéllin viesti on tämä: viimeistään nyt olisi korkea aika luopua turhanpäiväisestä futuristisesta jargonista ja pelkistävästä teknologiatulokulmasta ja alkaa hahmottaa kyberturvallisuuteen liittyvää laajempaa kuvaa.
”Minulta kysytään usein, mitä suomalaiselle kyberturvallisuudelle pitäisi tehdä. Vastaukseni on jo pitkään ollut sama: asia pitäisi popularisoida ja demystifioida. Jokaisen pitäisi olla tietoinen kyberturvallisuuden perusasioista, koska lopulta heikoin lenkki on ihminen.”
Käynnissä on hyökkääjän ja puolustajan välinen kilpajuoksu, Limnéll sanoo. Valtiot ja yritykset palkkaavat hakkereita riveihinsä, ja toisaalta kyberrikollisuus ammattimaistuu.
Viimeisen viiden vuoden aikana valtiot ovat kehittäneet kyberkykyjään jättisummilla. Samalla kyberrikollisuudesta on tullut maailman nopeimmin kasvava rikollisuuden ala.
Käytännössä sekä hyökkääjän että puolustajan taidot ja resurssit kehittyvät. Kilpailu on pelottavan tasainen.
Digitalisoituvassa maailmassa Suomi ei enää olekaan turvallinen lintukoto. Tavallista verkkorikollista motivoi raha ja heikot kohteet, joista sitä saa helposti. Silloin on yhdentekevää, onko huijattava ihminen Suomesta, Ruotsista vai Venäjältä, Limnéll muistuttaa.
Kyberhyökkäykset näkyvät Suomenkin tilastoissa lisääntyvinä. Viestintäviraston Kyberturvallisuuskeskuksen mukaan valtionhallintoon ja yrityksiin kohdistui viime vuonna tuplamäärä verkkohyökkäyksiä vuoteen 2014 verrattuna. Pahimpina aikoina keskus käsitteli lähes sata murrettua suomalaista sivustoa viikossa. Palvelunestohyökkäykset ovat koetelleet alkuvuonna useita ministeriöitä ja valtion virastoja.
Rahan lisäksi myös tieto on siirtynyt kokonaan digitaaliseen maailmaan. Samaan aikaan tiedosta itsestään on tulossa maailmanvaluuttaa, Limnéll painottaa. Yritykset voivat saada huomattavia kilpailuetuja manipuloimalla ja vakoilemalla kilpailijoidensa tietoja. Jos Suomen ulko- ja turvallisuuspolitiikkaan liittyviä tietoja sen sijaan varastettaisiin, turvallisuutemme voisi kärsiä huomattavasti.
Limnéllin mukaan kybervakoilu on suomalaiselle yhteiskunnalle hyvin merkittävä, mutta harmillisen aliarvioitu, uhka.
Suomessa kyberturvallisuutta voi opiskella seitsemässä yliopistossa ja seitsemässä ammattikorkeakoulussa. Niistä vain kahdessa, Jyväskylän ja Turun yliopistoissa, voi valita kyberturvallisuuden koulutusohjelman. Muissa on tarjolla joko sivuaineopetusta, kuten Aallossa, tai muihin opintoihin sisältyviä yksittäisiä kursseja.
Samaan aikaan osaajista on huutava pula. Monet alan suomalaisyritykset kamppailevat rekrytointivaikeuksien kanssa. Osaavan työvoiman puutteen nähdään myös heikentävän yritysten kasvuvalmiutta, selviää kyberturvallisuusalaa käsittelevästä raportista, jonka Teknologian tutkimuskeskus VTT julkaisi helmikuussa. On arvioitu, että maailmaa koettelee seuraavan viiden vuoden aikana peräti 1,5 miljoonan kyberturvallisuusosaajan vaje (Frost & Sullivan 2015).
”Jollain aikavälillä Aallon on mietittävä digitaalisen turvallisuuden maisteriohjelman sisällyttämistä tutkintorakenteisiin. Yhteiskuntamme digitalisoituu voimakkaasti, ja osaajien tarve kasvaa koko ajan. Myös Aallon on seurattava tätä kehitystä”, Limnéll sanoo.
Kun digitaalisen turvallisuuden merkitys korostuu, myös kyberturvallisuuden markkinat kasvavat voimakkaasti. Siksi Limnéll puhuisi ennemmin alan mahdollisuuksista kuin uhista. On ennustettu, että toimiala paisuu vuoteen 2020 asti vuosittain keskimäärin 12 prosentilla maailmanlaajuisesti. Limnéll toivoo, että suomalaisyritykset saavat tästä siivusta mahdollisimman suuren potin.
Valtion vuoden 2013 kyberturvallisuusstrategiassa visioitiin lennokkaasti, että Suomi olisi kyberturvallisuuden edelläkävijämaa vuoteen 2016 mennessä. Tavoite ei ole toteutunut. Limnéll pitää sitä kuitenkin jollain aikavälillä realistisena. Ennen kaikkea Suomessa tarvitaan nyt poliittista tahtotilaa.
”Poliittisen tahdon ja strategioiden pitää ohjata sitä, mitä käytännön tasolla tehdään. Turvallisuusasioiden kehittämiseen pitäisi suunnata nykyistä enemmän resursseja. Lisäksi suomalainen kyberturvallisuus kaipaa vahvaa verkostojohtajaa, jolla olisi alasta selkeä visio.”
Limnéll kuitenkin kiittää, että viime vuosina Suomessa on valveudettu kyberasioissa sekä yksityisellä että julkisella puolella. Viestintävirastoon on perustettu Kyberturvallisuuskeskus, ja vuodesta 2015 lähtien varusmiespalvelussa on annettu kyberalan koulutusta. Suunnitteilla on myös erillinen kyberasepalvelus. Lisäksi monet yritykset ovat alkaneet tarjota kyberturvallisuuskoulutusta työntekijöilleen.
”Turvallisuuden kolikon toisella puolella on aina luottamus, ja Suomella on vahva luottamuspääoma turvallisuusasioissa. Sen huomaa maailmalla liikkuessa, kun yhä enemmän kysytään, kehen ja mihin voi luottaa digitaalisissa turvallisuusratkaisuissa. Silloin on ihan kiva sanoa, että tulee Suomesta.”
Bittien aikakaudella fyysisen maailman supervallat eivät hallitse maailmaa niin kuin ennen. Sen sijaan Suomen kaltaisilla pienillä mutta teknologisesti edistyneillä kansoilla voi olla etumatkaa. Tätä pitäisi vain osata hyödyntää.
KUVITUS Antti Kekki