Suomen kyberturvallisuus ja ohjelma sen parantamiseksi on ollut viime aikoina median otsikoissa valtioneuvoston päätettyä uudessa kyberstrategiassaan kasvattaa tietoturvaviranomaisen eli CERT-FI:n määrärahoja miljoonalla. Puolustusministeri Carl Haglund ehtikin jo julistaa tavoitteensa tehdä Suomesta kyberturvallisuuden huippumaa vuoteen 2016 mennessä. Asunto- ja viestintäministeri Krista Kiuru kertoi yhden ministerikautensa suurimmista haaveista olevan CERT-FI:n toiminnan muuttaminen ympärivuorokautiseksi.
Kiurun sanat kertovatkin suoraan aiheeseen liittyvän karun todellisuuden – Suomella ei edes ole ympärivuorokautisesti toimivaa tietoturvaviranomaista. Edes Puolustusvoimilla ei ole lupaa kyberaseiden kehittämiseen tai varsinaisia määrärahoja kyberpuolustukseen. Tämä kertookin jo kaiken oleellisen, eli toisin sanoen Suomen kyberturvallisuus lepää kokonaan yksityissektorin varassa. Suomen tietoturva-ala on onneksi kansainvälisesti huippuluokkaa, ja Suomen tietoverkot ovat erittäin puhtaita. Kuitenkin tällä hetkellä Suomella ei ole mitään tehokasta keinoa suojautua valtioiden väliseltä kybersodalta tai yleensäkään suuremmilta keskitetyiltä iskuilta. Haglundin puheet kyberturvallisuuden huippumaasta ovat lähinnä halvimman luokan populismia, jota voikin odottaa puolustusministeriltä, joka ei jaa Puolustusvoimille muuta kuin leikkauksia kiristyvästä maailmantilanteesta ja asevarustelusta huolimatta.
Kybersodasta on viime vuosina tullut sodankäynnin uusi ulottuvuus, ja sitä onkin verrattu uuteen aselajiin. Ainakin Kiinan, Yhdysvaltojen sekä Israelin tiedetään jo pitkään käyttäneen massiivisia resursseja kyberaseiden valmistamiseen, ja Yhdysvaltojen ja Israelin tiedetään myös toteuttaneen laajamittaisia operaatioita erityisesti Irania vastaan. Muun muassa Yhdysvaltojen ja Israelin valmistamiksi paljastuneet Stuxnet- ja Flame-madot kykenivät valikoimaan kohteensa, suorittamaan täysimittaista kohteen ja sen tietoverkkojen vakoilua sekä jopa tuhoamaan teollisuuslaitteita. Esimerkiksi Stuxnextissa oli ominaisuus joka kykeni tuhoamaan uraaninrikastamoiden sentrifugeja ylikuormittamalla ne ohjauslaitteiston kautta, ja tällä luultavasti toteutettiinkin erittäin tuhoisa isku Iranin uraaninrikastamoita vastaan vuonna 2010. Iran on myös jatkuvasti raportoitunut laajamittaisista kyberhyökkäyksistä muun muassa maan öljyteollisuutta vastaan.
Kyberaseet ovatkin erittäin tehokkaita erityisesti iskujen toteuttamiseen lievissä konflikteissa ja yleisesti jännitteisissä oloissa. Kyberaseilla pystytään parhaimmillaan kaatamaan vihollisen koko infrastruktuuri ja komentoketju, eikä esimerkiksi pankkitoimintojen ja sähköntuotannon pysäyttämiseen heikosti suojatussa ympäristössä vaadita kovin suuria resursseja.
Suomen mahdollisuus puolustautua tämän mittakaavan hyökkäyksiä vastaan on nykyisellään käytännössä olematon. Yksityissektori ei pysty koordinoimaan koko maan infrastruktuurin suojaamista, eikä julkisella sektorilla ole usein edes resursseja ostaa tarvittavia tietoturvapalveluita yksityissektorilta toimivan tietoturvaviranomaisen puuttuessa kokonaan.
Suomessa olisi kuitenkin maailmanluokan osaamista ja sitä myötä mahdollista jo suhteellisen pienillä investoinneilla saavuttaa toimiva suoja kyberhyökkäyksiä vastaan. Miljoonalla tai kahdella tähän ei kuitenkaan päästä. Puhutaan luultavasti kymmenistä miljoonista, mikäli haluaisimme suojautua esimerkiksi Venäjän hyökkäyskapasiteettia vastaan. Miljoonan lisäystä rahoitukseen on pidetty asiantuntijoiden keskuudessa lähinnä huonona vitsinä.
Todellinen potentiaali Suomella olisi kuitenkin kybersodan hyökkäysaseissa. Todellisuudessa kyberhyökkäyksiltä ei edes pysty tehokkaasti suojautumaan kehittämättä kyberaseita, sillä puolustusta on mahdotonta rakentaa, ellei ymmärrä vihollisen hyökkäysstrategiaa. Muutenkin vahva kybersodankäynnin kyky muodostaisi Suomelle vahvan pelotteen ja kyvyn aiheuttaa suurta vahinkoa myös maantieteellisesti suurille tai kaukana oleville vihollisille. Erittäin vahva kybersodankäynnin kyky olisikin jo pelotevaikutukseltaan lähellä ydinasetta sen kyetessä pysäyttämään vihollisen koko infrastruktuurin ja talouden.
Tällä hetkellä Suomessa ei kuitenkaan edes ole viranomaista, jolla olisi lupa kehittää kyberaseita. Mikäli kybersodankäynnin uhka ja sen muodostamat mahdollisuudet aiotaan ottaa tosissaan, olisi korkea aika aktivoitua ennen kuin on liian myöhäistä. Mikäli todellisiin toimenpiteisiin ei ryhdytä tulee Suomesta lähes varmasti vuoteen 2016 mennessä kyberturvallisuuden huippumaan sijasta kyberturvallisuuden kehitysmaa.
Lassi Jääskeläinen, piirinhallituksen jäsen
