Me olemme yhä riippuvaisempia tieto- ja viestintätekniikasta. Tietojärjestelmien luotettavuus on jo yhtä tärkeää kuin sähkö- tai vesijohtoverkkojen häiriötön toiminta.
Viimeistään Viron vuonna 2007 lamauttanut laaja palvelunestohyökkäys ja Iranin ydinohjelman sentrifugeja kesällä 2010 tuhonnut Stuxnet-haittaohjelma osoittivat, miten haavoittuvia meistä on tullut.
Enää ei ole kyse pelkästä tietoturvasta, tietojärjestelmien suojaamisesta. Tietoverkkojen välityksellä voidaan hyökätä myös fyysisiin järjestelmiin, katkaista sähkön saanti, tuhota tehtaita, lamauttaa aseet, surmata ihmisiä.
Maaliskuussa julkaistu Aalto-yliopiston selvitys paljasti, että tuhannet suomalaiset teollisuuden ja kiinteistöjen automaatiojärjestelmät on kytketty suojaamatta internetiin.
Pahimmissa tapauksissa kuka tahansa on voinut ottaa järjestelmät verkon yli hallintaan. Haavoittuvia automaatiojärjestelmiä löytyi niin voimalaitoksista, tehtaista, vankilasta, sairaalasta, vedenkäsittelylaitoksesta kuin pankkikonttoristakin.
**Jo Kataisen hallituksen **ohjelmaan kirjattiin kansallista tietoverkkoturvallisuutta koskevan kyberstrategian laatiminen Suomelle.
Strategia julkistettiin viime tammikuussa, mutta se osoittautui lähinnä linjapaperiksi. Konkreettiset toimenpiteet oli siivottu taustamuistioon, koska hallituksessa ei ollut päästy yksimielisyyteen kyberpuolustuksen rajoista eikä vastuun jaosta eri ministeriöiden kesken.
Kompromissina eri viranomaisten verkkopuolustusta koordinoi valtioneuvosto.
Suomen tietoverkkoturvallisuuden nykytilaa kuvastaa hyvin viestintäministeri Krista Kiurun huokaus kyberstrategian julkistustilaisuudessa: ”Suurimpia unelmiani viestintäministerinä on, että voisimme muuttaa Cert-fi:n toiminnan ympärivuorokautiseksi.”
Kiurun unelma on toteutumassa. Suomelle perustetaan ensi vuonna jatkuvasti päivystäväkyberturvallisuuskeskus, joka on täydessä valmiudessa vuonna 2016.
Suomen ulkoministeriössä paljastunut vuosia jatkunut verkkovakoilu osoittaa, että myös valtion sisäisten tietoverkkojen turvallisuutta on pakko parantaa.
Yhden henkilön ympärivuorokautisen päivystyksen hinnaksi on arvioitu noin miljoona euroa vuodessa. Ja kuten ilma- tai merivalvonnassa, myös verkkovalvonnassa on kyettävä nostamaan valmiutta kriisitilanteissa.
Suomen ulkoministeriössä paljastunut vuosia jatkunut verkkovakoilu osoittaa, että myös valtion sisäisten tietoverkkojen turvallisuutta on pakko parantaa. Itse emme olisi vakoilua edes huomanneet, vaan tieto saatiin muista EU-maista.
Vakoilu paljastui jo kevättalvella, mutta julkisuuteen tapaus vuoti vasta nyt. Ilmeisesti kaikki vakoilusta tienneet eivät ole olleet tyytyväisiä asian hoitoon salassa. Julkisuus on joka tapauksessa tuonut kyberturvallisuudelle huomiota, ehkä tulevaisuudessa jopa määrärahoja.
Kun Belgian pääministeri Elio di Rupon tietokoneeltä löytyi viime vuonna vakoiluohjelma, Belgia päätti panostaa tietosuojan parantamiseen 10 miljoonaa euroa vuodessa.
Verkkovakoilukohun yhteydessä on paljastunut, että Suomelta puuttuu tietoverkkojen puolustamisen edellyttämä lainsäädäntö. Eri viranomaisten valtuuksia ja vastuita eri tilanteissa ei ole määritelty, toisin kuin useimmissa muissa EU-maissa.
Nyt uusia lakeja valmistellaan puolustusministeriössä kovalla kiireellä. Viranomaisille halutaan aiempaa laajemmat oikeudet internetliikenteen seurantaan ja verkkotiedusteluun.
Lailla on tarkoitus määritellä, kuka, miten, millä ehdoilla ja kenen luvalla meidän tietokoneitamme ja tietoliikennettämme saa seurata? Kuka ja miten valvoo valvontaviranomaisten toimintaa?
**Lain valmistelijoiden **kannattaisi kutsua kansalaisten näkökulma mukaan lain valmisteluun jo nyt. Jos kansalaisoikeudet sivuutetaan, julkinen mielipide voi kääntyä lakiesitystä vastaan, ja koko laki voi kaatua eduskunnassa.
Turhiin, helposti vältettävissä oleviin viivytyksiin meillä ei ole aikaa.
Kansalaisten lisäksi sanansa uusista laeista halunnevat sanoa myös sisäisestä turvallisuudesta vastaava sisäministeriö, tietoliikenteestä vastaava liikenne- ja viestintäministeriö sekä kansalaisoikeuksista vastaava oikeusministeriö.
Ensimmäisten lakiluonnosten pitäisi valmistua jo vuodenvaihteessa. En pidättelisi hengitystäni.
Jyrki J.J. Kasvi
Kirjoittaja on Tietoyhteiskunnan kehittämiskeskus TIEKEn tutkimus- ja kehitysjohtaja