Puolassa annettiin valheellinen ilmoitus radioaktiivisesta uhasta, kun ydinturvallisuusviranomaisten nettisivut hakkeroitiin. Hakkerit varastivat Euroopan lääkevirastosta asiakirjoja koronarokotteisiin liittyen.
Nämä ovat pari esimerkkiä pelkästään tänä vuonna maailmalla tapahtuneista kyberiskuista. Vaikka kyberturvallisuudesta on puhuttu laajalti Suomessa viime vuosina, osa asiantuntijoista katsoo, että Suomen kyky varautua laaja-alaisiin kyberiskuihin on puutteellinen.
Näin näkee esimerkiksi Jyväskylän yliopiston kyber- ja hybridiuhkien opettaja Martti J. Kari, joka on toiminut aiemmin muun muassa Viestikoelaitoksen johtajana.
Karin mukaan eri tietoturvajärjestelmiä kyllä löytyy, mutta ne ovat hyvin hajautettuja. Esimerkiksi yrityksillä on omat järjestelmänsä, joilla ne valvovat verkon toimintaa. Kyberturvallisuuskeskus on valtakunnallinen elin, joka osin valvoo kriittisen infrastruktuurin kohteita. Puolustusvoimat vastaa taas vain omien verkkojensa suojauksesta.
– Meiltä puuttuu elin, joka suojaisi valtakuntaa kyberympäristössä, Kari sanoo.
Pääesikunnan johtamispäällikkö, prikaatikenraali Jarmo Vähätiitto näkee samankaltaisia ongelmia.
– Suomessa on erittäin korkeatasoista tietoturvaosaamista korkeakouluissa, yrityskentässä ja viranomaisissa. Haasteena on se, että kenttä on hajanainen.
Lainsäädäntö tiedustelulakien tapaan
Sekä Vähätiiton että Karin mielestä tärkeintä olisi uudistaa lainsäädäntöä.
– Lainsäädäntö rajoittaa ja osittain ei tue sellaista tiedonvaihtoa, jota tarvittaisiin nopeasti kehittyvissä ja laaja-alaisissa tilanteissa. Esimerkiksi tilannekuvan muodostaminen, vastatoimet ja johtaminen ovat tästä johtuen ongelmallista, Vähätiitto sanoo.
Kari näkee, että kyberturvallisuuteen liittyvää lainsäädäntöä tulisi uudistaa samanlaisen prosessin kautta kuin tiedustelulakeja.
– Tästä pitäisi tehdä mietintö, jonka laatimiseen osallistuvat ministeriöt, liike-elämä että akatemia. Nythän me teemme strategioita, mutta niiden jalkautuminen on vajavaista, koska meillä on puutteellinen lainsäädäntö.
– Nyt ei voida esimerkiksi määrätä, että kaikkien yritysten tulee ottaa tietyntasoinen tietoturva käyttöön. Jos yrityksen johtaja kieltäytyy asiasta, koska se maksaa, suositus jää vain "olisi kiva" -tason suositukseksi.
Tästä yksi esimerkki on psykoterapiakeskus Vastaamon tietovuoto. Tietojärjestelmä oli yrityksen itsensä kehittämä, ja siinä oli merkittäviä puutteita.
– Jos laissa sanottaisiin, että tietyn kokoiset firmat ovat velvollisia ottamaan tämän järjestelmän tai valtio maksaa kulut, se olisi aika selkeä ratkaisu.
Vastaamon kaltaisia tapauksia yritetään estää
Kyberturvallisuusjohtaja Rauli Paananen ei näe, että Suomi ei pystyisi varautumaan laajamittaiseen kyberiskuun.
– Tässä ei ehkä tunneta kaikkea nykyistä viranomaisten toimivaltaa. Toimivaltaisten viranomaisten välinen yhteistyö toimii erinomaisesti, hän sanoo. Lisäksi viranomaisten yhteistyötä pyritään entisestään parantamaan tuoreessa kyberturvallisuuden kehittämisohjelmassa.
Ministeriö julkaisi tällä viikolla myös toisen ohjelman, joka koskee tietoturvan ja tietosuojan parantamista yhteiskunnan kriittisillä toimialoilla.
Liikenne- ja viestintäministeri Timo Harakan (sd.) mukaan sen tavoitteena on, että Suomessa päästään samantasoiseen tietoturvaan kaikilla kriittisillä toimialoilla. Tällä halutaan varmistaa, etteivät Vastaamon kaltaiset tapaukset toistu.
Lue myös: