Muut mantereet käyttävät kybersotakoneistoaan, EU-maat eivät pysty edes tiedonvaihtoon

Kyberympäristöstä on tullut geopoliittisen kilpailun ja sodankäynnin päänäyttämö. Parantaakseen kyberturvallisuutta, EU on julkistanut tukun aloitteita. Unionilta puuttuu kuitenkin valta, jäsenmailta tahto ja Euroopasta alan isot yritykset. Siksi tekoja ei kuulu.

Teksti: Heli Satuli/ MustRead

Kyberhyökkäyksistä on tullut jokapäiväinen piina EU-maissa. Euroopan komission kyselyssä 80 prosenttia yrityksistä ilmoittaa joutuneensa viime vuonna kyberiskun kohteeksi.

”On vaikea miettiä, mikä voisi olla kyberhyökkäyksiä tuhoisampi realistinen uhka Euroopassa”, kiteyttää Tanja Drca salattuun mobiiliviestintään erikoistuneesta, suomalaisesta Necunos tietoturvayrityksestä.

Iskuilla voidaan paitsi varastaa dataa, rahaa ja estää palveluiden toiminta, myös aiheuttaa tuhoa yhteiskunnan kannalta kriittisissä kohteissa kuten ydinvoimaloissa, sairaaloissa ja vedenpuhdistamoissa.

”Kyberhyökkäykset eivät ole mikään uusi ilmiö, valtiot ovat tehneet niitä jo kolme vuosikymmentä”, muistuttaa Brysselissä toimivan European Policy Centre (EPC) -tutkimuskeskuksen Senior Policy Analyst Paul Ivan.

Moni suomalainen muistaa Virossa vuonna 2007 tapahtuneet kyberhyökkäykset. Venäjän masinoimien iskujen taustalla oli Viron ja Venäjän kiista neuvostoaikaisen pronssisoturipatsaan sijoituspaikasta.

Päivittelyn aika on ohi

EU:n agendalle kyberturvallisuus nousi voimalla kuitenkin vasta vuosikymmen myöhemmin, kun useat jäsenmaat joutuivat massiivisten WannaCry- ja NotPetya -haittaohjelmien uhreiksi. Iskut osoittivat, kuinka tuhoisia taloudellisia ja yhteiskunnallisia vaikutuksia kyberhyökkäyksillä voi olla.

Pohjoiskorealainen WannaCry iski Windows-tietokoneisiin ja salasi käyttäjän tiedostot. Satoihin tuhansiin tietokoneisiin iskenyt virus lamaannutti esimerkiksi Britannian julkista terveydenhuoltoa. Venäläinen NotPetya puolestaan pyyhki dataa yritysten ja valtioiden tietokoneilta ja aiheutti pelkästään logistiikkajätti Maerskille 300 miljoonan dollarin laskun.

Näiden iskujen jälkeen kyberturvallisuudesta on tullut vakioaihe. Nyt EU-maat kohisevat kiinalaisvalmistaja Huaweista, jonka laitteiden väitetään aiheuttavan kyberturvallisuusuhan.

Brysselin asiantuntijoiden mukaan päivittelyä on kuunneltu jo ihan tarpeeksi.

Nyt olisi jo aika lopettaa vaahtoaminen kyberuhien kamaluudesta ja ryhdyttävä käytännön töihin”, kommentoi kyberturvallisuuden parissa työskentelevä EU-virkamies.

EU-tasolla ei tosin ole seisty viime vuodet tumput suorassa. Herääminen kyberturvallisuuden suhteen on virkamiesten mukaan yksi merkittävimmistä asioista, mitä komissio on saanut aikaan turvallisuuspolitiikan saralla tällä vaalikaudella.

Vuonna 2016 EU:ssa hyväksyttiin niin sanottu kyberturvallisuusdirektiivi eli verkko- ja tietoturvadirektiivi NIS. Sillä pyritään varmistamaan korkeatasoinen verkko- ja tietojärjestelmien turvallisuus joka jäsenmaassa. Vuotta myöhemmin komissio julkisti laajan kyberturvallisuuspaketin.

EU-instituutiot pääsivät viime joulukuussa poliittiseen sopuun myös kyberturvallisuusasetuksesta. Sen myötä Eurooppa on saamassa laitteita ja ohjelmistoja koskevan kyberturvallisuussertifikaatin ja EU:n verkko- ja tietoturvavirasto ENISAsta tulee EU:n pysyvä kyberturvallisuusvirasto.

Kybervirastomanian pauloissa

Osana kyberturvallisuuspakettia Eurooppaan puuhataan myös teollisuus-, teknologia- ja tutkimusalan kyberturvallisuutta käsittelevän osaamiskeskuksen perustamista sekä kansallisten koordinointikeskusten verkoston luomista. Komission puheenjohtaja Jean-Claude Juncker on visioinut keskukselle kasan tehtäviä ja mandaatteja.

Nyt EU-tasolla riidellään siitä, millaisia valtuuksia uudelle keskukselle annetaan, mihin se sijoitetaan, mistä rahat tulevat ja saako se virasto-statuksen. Ranskan presidentti Emmanuel Macron ehdotti äskettäin EU:lle vielä kolmatta kyberturvallisuusvirastoa, joka keskittyisi demokratian puolustamiseen.

Kaikki eivät ole Brysselissä virastomaniasta innoissaan.
”Tämänkin ajan ja resurssit voisi käyttää tehokkaammin. Tuloksena on vain lisää byrokratiaa ja odotuksia, joita EU ei voi täyttää”, toteaa eräs komission virkamies.

Mutta eivät EU-tason suunnitelmat tähän jää. Kesäkuussa 2017 EU-maat sopivat kyberdiplomatian työkalupakista. Sen tarkoituksena on auttaa EU:ta reagoimaan yhtenäisellä äänellä isoihin kyberiskuihin.

”EU-maat eivät pysty edes keskustelemaan”

Tilanne on siis hallussa?
”Se, mitä Euroopassa on toistaiseksi saatu aikaan on täysin riittämätöntä”, tyrmää F-Securen tietoturvajohtaja Erka Koivunen.

Yhdysvalloista löytyy jo oma ”Cyber Command”, joka suunnittelee, koordinoi ja ohjaa puolustushallinnon tietoverkkojen toimintaa ja puolustusta. Venäjä puolestaan rakentaa omaa internetiä varmistaakseen haavoittumattomuutensa.

Venäjä kokee Koivusen mukaan olevansa uhattuna. Ulkomainen verkkoteknologia tekee heistä altavastaajia. Siksi Venäjän strategiana on iskuin hyväksikäyttää ulkomaisia järjestelmiä ja Euroopan kyvyttömyyttä puuttua tähän toimintaan.

Koivunen huomauttaa, että Suomessakin on keskusteltu huoltovarmuuden näkökulmasta, että meillä pitäisi olla internetistä kansallinen käyttökopio. Jos kriittisen tärkeät sivustot kaapataan, käyttökopion avulla voitaisiin palauttaa viimeinen toimiva versio.

”Tällaisesta ei edes käydä keskustelua Euroopassa, vaikka EU olisi juuri se oikea foorumi”, toteaa Koivunen.

EPC:n kyberturvallisuustutkija Paul Ivan harmittelee samaa.
”EU:lla on vaikeuksia nimetä edes kyberhyökkäyksen tekijöitä.”

EU ei ole kyennyt tuomitsemaan yhdenkään viimeaikaisen kyberiskun tekijätahoa, eikä unioni ole toistaiseksi toteuttanut mitään tekijöihin kohdistuvia vastatoimia. Ivan huomauttaa, että yksittäiset jäsenmaat ovat kyllä tuominneet iskut. Britannia ja Tanska yhdessä USAn ja Australian kanssa nimesivät julkisesti Venäjän syylliseksi tuhoisaan NotPetya-hyökkäykseen. Suomi ja muut Pohjoismaat sekä Baltian maat ilmaisivat tukensa lausunnolle.

Kasa esteitä yhteistyön tiellä

Kyberdiplomatian työkalupakki ei Ivanin mukaan auta ratkaisemaan yhtäkään niistä esteitä, jotka estävät EU:ta toimimaan yhtenäisesti.

Niitä esteitä riittää. Yksi ongelma ovat isot erot jäsenmaiden välillä. Vain muutamilla jäsenmailla on riittävät kyber- ja tiedustelukyvykkyydet sekä tarvittavat poliittiset ja hallinnolliset prosessit kyberiskuihin vastaamiseen. Suurten jäsenmaiden eli Britannian, Ranskan ja Saksan ohella valmiudet löytyvät Ivanin mukaan Suomelta, Hollannilta, Tanskalta ja Ruotsilta.

Myös toiminnan perustana oleva tilannekuva eroaa maasta toiseen. Toisille suurin uhka on terrorismi, toisille Venäjä tai Turkki ja eräille sisäinen separatismi. Iso ongelma on myös vaatimus yksimielisistä päätöksistä.

”Aina löytyy ainakin yksi jäsenmaa, jolla on vahvoja siteitä iskun tehneeseen valtioon. Italia on torpannut viime aikoina kaikki Kiinan ja Venäjän vastaiset toimet”, huomauttaa Ivan.

Mutta kaikista suurin syy siihen, miksi sanoista ei päästä tekoihin, on vallan puute.

”Kyberasiat ovat osa turvallisuuspolitiikkaa ja se on pitkälti jäsenmaiden omassa kompetenssissa. Jokainen maa pitää kyberturvallisuudestaan huolta osana kansallista puolustusta”, toteaa komission puheenjohtajan kyberturvallisuuden erityisneuvonantaja Aura Salla.

Siksi yhteistyö perustuu nyt käytännössä tietojen ja parhaiden käytäntöjen vaihtoon. Tosin kaikki jäsenmaat eivät jaa tietoa ja toisten kohdalla lainsäädäntö ei anna siihen edes mahdollisuutta.

https://s3-eu-west-1.amazonaws.com/mustread/2019/03/19193346/Aura-Salla.jpg

”Suomi on Euroopan kärkeä kaikessa mikä liittyy kyberturvallisuuteen ja hybridiuhkiin”, toteaa komission puheenjohtajan kyberturvallisuudesta vastaava neuvonantaja Aura Salla.

Pakotteista pelotekeino

Mutta EPC:n Ivan huomauttaa, että nykyiselläkin toimivallalla voidaan saada aikaan tuloksia. Pelkkä tiedonvaihto jäsenmaiden välillä on arvokasta. Jos esimerkiksi Romaniaan kohdistuu hyökkäys, kaikki jäsenmaat saavat siitä heti tiedon, EU voi tehdä hyökkäyksestä analyysin ja jakaa sen kaikille.

EU-tasolla tulisi tutkijan mukaan keskittyä vahvistamaan välttämättömiä kyberturvallisuuskyvykkyyksiä. Se tarkoittaa investointeja sekä teknologiaan että ihmisten osaamiseen. Ivan toivoo, että seuraavalla EU:n rahoituskaudella tähän saadaan kanavoitua rahoitusta Horisontti ja Digital Europe -ohjelmien kautta.

Lisäksi sisäisiä prosesseja pitää kehittää niin, että kyberturvallisuuden asiantuntijoiden työ ruokkii suoraan päätöksentekoa.

Myös yhteistyötä yksityisen sektorin kanssa ja kansainvälisellä tasolla on tiivistettävä. Samoin on parannettava EU:n ja Naton välistä yhteistyötä niin, ettei päällekkäisyyksiä synny. Niillä iskut tuomitsevilla EU:n yhteisillä lausunnoillakin olisi Ivanin mukaan merkitystä. Hyökkäyksen tekijöiden motiivina on kylvää hajaannusta ja ajaa EU-maat toisiaan vastaan, joten yhteinen lausunto osoittaa jäsenmaiden yhtenäisyyttä.

”Rankaisematta jättäminen on aina huonompi vaihtoehto. Se rohkaisee hyökkääjää uusimaan tekonsa ja aiheuttamaan entistä suurempaa tuhoa,” painottaa Ivan.

Mutta ainoa nykyisellä toimivallalla käytettävissä oleva keino, jolla on pelotevaikutusta ovat pakotteet. Osana kyberdiplomatian työkalupakkia EU voi määrätä iskun tekijätaholle pakotteita kuten varojen jäädytystä ja matkustuskieltoja. Esitys on parhaillaan jäsenmaiden käsiteltävänä. Ivan toivoo, että pakotejärjestelmästä löydettäisiin sopu.

Vaikeuksista huolimatta EU-tason yhteistyö on ainoa mahdollinen vaihtoehto. Tutkija muistuttaa, että edes isojen jäsenmaiden kansalliset toimet eivät ole johtaneet tuloksiin. Britannia on yrittänyt jo pitkään painostaa Kiinaa, mutta Aasian jätin masinoimat kyberhyökkäykset ovat jatkuneet. Bilateraaliset neuvottelut Venäjän ja useiden jäsenmaiden kesken eivät ole nekään purreet.

Toiminen yhdessä lähettää vahvemman peloteviestin maailmalle.

”EU-maat pystyvät paremmin puolustamaan kansallista turvallisuuttaan, poliittisia ja taloudellisia intressejään sekä vahvistavat samalla unionin uskottavuutta kansainvälisenä toimijana.”

https://s3-eu-west-1.amazonaws.com/mustread/2019/03/19200832/Erka_Koivunen4891.jpg

F-Securen Erka Koivusen mukaan EU-tasolla unohtuu, että kyberturvallisuus ja digitaaliset sisämarkkinat liittyvät kiinteästi yhteen.

Siilopolitiikan malliesimerkki

F-Securen Koivunen huomauttaa, että kaiken keskellä EU-tasolla tuntuu nyt unohtuvan, että kyberturvallisuus ja digitaaliset sisämarkkinat liittyvät kiinteästi yhteen:

Jos Eurooppa haluaa ottaa kyberturvallisuuden aidosti haltuun, kauppapolitiikasta, innovaatioista ja turvallisuudesta päättävien pitää liittää päänsä yhteen.”

Kyberturvallisuus onkin Koivusen mukaan jälleen yksi surullinen esimerkki toiminnan siiloutumisesta. Kyberturvallisuuspakettiin kuuluvaa laitteiden sertifiointijärjestelmää suunnitellaan omaksi erilliseksi kokonaisuudeksi eri pääosastolla sen sijaan, että se olisi osa nykyistä kansainvälisesti tunnettua CE-merkintää. Yritysten on tätä vaikea ymmärtää.

Ongelmana on myös eurooppalaisen ekosysteemin puuttuminen. Sekä laite- että ohjelmisto- ja palvelupuolelta puuttuvat isot eurooppalaiset toimijat. Jos Euroopassa valmistettaisiin maailman parhaita tuotteita, ei olisi tarvetta hankkia niitä Aasiasta tai Yhdysvalloista. Näin parantuisi myös kyberturvallisuustilanne.

Myös Necunos Solutionsin Drca on samaa mieltä: “Nyt olemme aina askeleen jäljessä.”

Markkinaperusteisuus on ainoa keino, millä ekosysteemi saadaan syntymään. Nykyinen asenne ei Koivusen mukaan ainakaan helpota tilannetta.

”Rakenteet ovat kasvuhakuisuutta vastaan, ajatus mantereen laajuisesta kasvusta on vieras ja jättikokoiset gonglomeraatit jyräävät. Ne eivät ole niitä uudistajia.”

Suomen malli kiinnostaa

Koivunen huomauttaa, että pelkkä kyberturvallisuudesta huolehtiminen ei kuitenkaan riitä. Kyberiskut ovat vain pieni osa hybridivaikuttamista. Sen osalta Suomen niskaan ladataan EU-tasolla nyt paljon odotuksia.

Yksi syy on Suomen kokonaisturvallisuusmalli. Kokonaisturvallisuus on suomalaisen varautumisen yhteistoimintamalli, jossa yhteiskunnan elintärkeistä toiminnoista huolehditaan viranomaisten, elinkeinoelämän, järjestöjen ja kansalaisten yhteistyönä.

Suomen malli nähdään on sekasortoisessa nykymaailmassa hyvänä keinona vastata hybridiuhkiin. Toisin monet kuin muut jäsenmaat, Suomi ei ajanut kylmän sodan jälkeen ratkaisujaan alas.

”Pienenä maana meidän on ollut pakko keksiä jotain älykästä kompensoimaan kokoa ja vaurautta”, muotoilee suomalaisvirkamies.

Suomen mallin mukainen ajattelu onkin viime aikoina hiipinyt mukaan jäsenmaiden ja instituutioiden puheisiin. Helsingin isännöimä Euroopan hybridiuhkien torjunnan osaamiskeskus on samoin osoitus Suomen hyvästä maineesta. Suomella on myös kokemusta Venäjän kanssa toimimisesta.

”Olemme Euroopan kärkeä oikeastaan kaikessa mikä liittyy kyberturvallisuuteen, disinformaation torjuntaan ja hybridiuhkiin”, summaa Salla.

Salla kehottaa Suomea hyödyntämään tilannetta ja tuomaan ajatuksiaan isosti esiin omalla puheenjohtajuuskaudella.
”Koska EU:lla on niin vähän valtaa kyberturvallisuusasioissa, sitä suuremmalla syyllä tätä asiaa on pidettävä esillä.”

Kysymys kuuluukin, pysyykö kyberturvallisuus esillä tarpeeksi kauan, että EU-tasolla saadaan tuloksia aikaan.
”Kyberturvallisuus ei ole mikään muoti-ilmiö, joka menee kohta pois. Tulosten saaminen vaatii pitkäjänteistä työtä. Poliittista tahtoa ja rahaa. Olemme vasta ihan alussa”, huomauttaa EU-virkamies.

FAKTA

Takaportit puhuttavat EU-huippukokouksessa

Kyberturvallisuus löytyy myös tämän viikon EU-huippukokouksen asialistalta. Useat isot EU-maat kuten Saksa ja Britannia ovat vakuuttuneita, että kiinalaisvalmistaja Huawein laitteissa on vakavia kyberturvallisuusriskejä. Maat uskovat, että yrityksen tuotteista löytyy takaportteja, joiden kautta kiinalaiset viranomaiset pääsevät halutessaan niihin käsiksi. Muun muassa Pohjois- ja Itä-Suomessa toimivaa DNA:n ja Telian verkkoa on rakennettu Huawein laitteilla.

Toistaiseksi savuavaa asetta ei ole löytynyt, mutta EU-virkamiehen mukaan pisteet helppo yhdistää toisiinsa: Kiinassa astui vuonna 2017 voimaan turvallisuuslaki, joka velvoittaa kiinalaisyritykset tekemään yhteistyötä maan turvallisuusviranomaisten kanssa. Lisäksi Kiinan aktiivisesta kybervakoilusta on saatu vuosien ajan runsaasti näyttöä.

EU-maat puhuvat kansallisesta turvallisuusuhasta.
”Toistaiseksi mitään kunnon todistetusaineistoa ei ole esitetty, että Huawein teknologia, tuotteet tai palveluprosessit aiheuttaisivat sellaisen”, huomauttaaa F-Securen Erka Koivunen.

Koivusen mukaan Kiinan laajaan vakoiluun on puututtava kauppapolitiikan keinoin eli määrättävä Kiinalle sanktioita ja rajoitettava markkinoille pääsyä. Sen sijaan kansalliseen turvallisuuteen vetoaminen on Koivusen mukaan päälle lätkäisty viikunanlehti. Hämäys, jonka läpi ihmiset näkevät.
”Viranomaisten ja poliitikkojen ei kannattaisi vahvistaa mielikuvia läpinäkyvyyden puutteesta päätöksenteossa, ei ainakaan vaalikeväänä”, toteaa Koivunen.

Heli Satuli on yhteiskunnallisen verkkomedian MustReadin Brysselin kirjeenvaihtaja.
Löydät kaikki Teknologiateollisuuden julkaisemat MustRead-artikkelit täältä.
Lue lisää Teknologiateollisuuden ja MustReadin yhteistyöstä. 

Jutun pääkuva: Euroopan parlamentti EP