Siirry sisältöön

Turvaa pörssiyhtiöistä

Valtiot ovat riippuvaisia tietoturva-alan yrityksistä. Suomellakin on erityinen suhde F-Secureen.

Teksti Kaarina Vainio

Kuvat Antti Valta

Kyberturva-alan yrityksistä on tullut tärkeitä kansallisen turvallisuuden ylläpitäjiä.

Väitöskirjatutkija Mirva Salminen sanoo, ettei valtioiden riippuvuutta kyberyhtiöistä voi kiistää, sillä riippuvuus on tunnustettu muun muassa korkealla Yhdys­valtain puolustushallinnossa.

»Valtioilta puuttuu osaamista. Tekninen osaaminen on pitkälti yrityksissä», Salminen sanoo yhdeksi syyksi. Hän tekee Lapin yliopis­tossa väitöskirjaa turvallisuuden ja sodan yksi­tyistämisestä.

Salmisen mukaan valtioiden heikkoudet liittyvät yleensä kyberturvallisuuden koko­naisymmärrykseen.

»Digitalisoituminen on jo tapahtunut, mutta ajattelu on monesti vielä kiinni fyysi­sessä maailmassa ja sen lainalaisuuksissa.»

Lisäksi tietoverkot, infrastruktuuri ja ohjel­mistot ovat yritysten hallussa.

Kyberyhtiöiden rooli nousi esiin myös kesällä Yhdysvalloissa demokraatteihin koh­distuneessa hakkeroinnissa. Puolue pyysi ame­rikkalaista CrowdStrikea selvittämään tieto­vuotoa. Kaksi kilpailevaa kyberfirmaa vahvisti CrowdStriken löydökset siitä, että Venäjä oli tietomurron takana.

Kyberyhtiöiden merkitys Yhdysvalloissa näkyy monen perinteisen turvallisuustoimi­jan rootelissa. Kyberturvallisuuteen erikoistu­neen toimittajan Shane Harrisin mukaan esi­merkiksi tietoturvajätti McAfee tarjoaa NSA:lle, CIA:lle ja FBI:lle haittaohjelma-analyyseja ja tie­toa verkkoliikenteestä ja hakkerointitrendeistä.

Lockheed Martinilla puolestaan on iso rooli maan kyberpuolustuksessa.

Harrisin mukaan yhtiöt kykenevät vaikutta­maan Yhdysvaltain hallitukseen, muun muassa rahojen käyttöön ja ulkopolitiikkaan. Turval­lisuuden yksityistämistä pitkään tutkineen Peter W. Singerin mukaan yritysten toiminta voi vaikuttaa jopa kansainväliseen vakauteen. Yritykset ovat rikkoneet valtioille perinteisesti kuuluneen voimankäytön monopolin.

Harris mainitsee esimerkiksi tietoturvayh­tiö Mandiantin, joka osoitti vuonna 2013 Kii­nan armeijan vakoilleen Yhdysvaltoja. Todis­teet olivat niin vakuuttavia, että tapaus vai­kutti maiden välisiin suhteisiin.

Yksityisellä sektorilla on tarjolla valtioiden kyberongelmiin nopeat ja kalliit lääkkeet. Esi­merkiksi Yhdysvaltain hallituksen tekemien suurimpien sopimusten arvo liikkuu sadoissa miljoonissa. Pentagonin käyttämistä tarkoista summista on kuitenkin vain vähän tietoa.

Toissa vuonna Yhdysvallat käytti kyberpuo­lustusohjelmiinsa enemmän rahaa kuin ilmas­tonmuutoksen torjuntaan, vaikka presidentti Barack Obama oli nimennyt ilmastonmuu­toksen suureksi globaaliksi uhaksi.

Valtiot ja yritykset ovat erilaisia toimijoita, vaikka kybermaailmassa on mahdoton erot­taa julkista ja yksityistä.

Kyberyhtiöiden näkökulmasta valtiot ovat hitaita ja kankeita. Tietoturvabisnekseen puolestaan kuuluu se, että yritykset tehtaile­vat mainosmielessä tutkimuksia ja raportteja tekemistään paljastuksista ja ostavat kilpaili­joita pois markkinoilta.

Valtion näkökulmasta yritysostot voivat muodostaa turvallisuusriskin.

Voisiko Suomen valtio ostaa tietoturvansa globaaleilta ja markkinaehdoin toimivilta venäläisfirmoilta?

Valtion laitosten ja virkamiesten valtuudet, vastuut ja rajoitukset turvallisuuden tuottami­sessa on määritelty laissa. Yksityistämisen on ajateltu rikkovan tätä, sanoo tutkija Salminen.

»Yrityksen työntekijä voi irtisanoa itsensä periaatteessa milloin tahansa tai kieltäytyä jostakin työtehtävästä. Tämän on pelätty rampauttavan järjestelmän.»

Myös hankintojen kilpailuttaminen määrä­ajoin voi heijastua jatkuvuuteen.

»Jos palvelun toimittajaa vaihdetaan, kuka on vastuussa palvelun saatavuudesta siirto­ajanjaksolla? Tai mitä jos jokin järjestelmä ei enää toimikaan?» Salminen pohtii.

»Vielä voidaan myös spekuloida sillä, kenelle monikansalliset tietoturvayhtiöt ovat ensisijai­sesti lojaaleja mahdollisissa kriisitilanteessa.»

Suomessa puolustusvoimat perusti vuoden 2015 alussa kybersotaan erikoistuneen yksikön ja aloitti kybervarusmiesten kouluttamisen. Noin kymmenen varusmiehen tehtävänä on tietoturvatestausta, kehitys- ja ylläpitotehtäviä sekä tiedonkeruuta.

Kykyä tehdä kyberhyökkäyksiä pidetään yleisesti kyberpuolustuksen osana. Myös puo­lustusvoimat suunnittelee ja testaa kyber­hyökkäyksiä suojatussa ympäristössä, ilme­nee Suomen kyberturvallisuusstrategian toimeenpano-ohjelmasta.

Yrityspuolella viranomaisten kehitystä seu­rataan tarkasti.

F-Securen kyberturvallisuusneuvonantaja Erka Koivunen sanoo, että aina esitetään epäilyjä siitä, voiko tietoturvafirma paljastaa kotimaansa tekemän verkkohyökkäyksen. Esi­merkiksi amerikkalaisella yrityksellä voisi olla korkea kynnys paljastaa kansallisesta turvalli­suudesta vastaava NSA.

Suomikin saattaa olla uudessa tilanteessa.

»Jos suomalainen sotilastiedustelu saa toi­mivaltuuden suorittaa tietoturvaloukkauk­sia laillistetusti ulkomaisia kohteita vastaan, niistä voi jäädä jälkiä meidän tutkijoille. Mitä jos tulisimme käräyttäneeksi suomalaisen tiedusteluoperaation? Voisiko yrityksen työn­tekijä saada maanpetossyytteen?» Koivunen pohtii.

F-Securella on asiakkaina kymmeniä valtioita eri puolilla maailmaa. Osalle maista yhtiö on myynyt laajaa asiantuntija-apua, toisille yksit­täisiä tuotteita.

Viime vuonna Viestintävirastosta F-Secu­reen siirtynyt Koivunen kertoo kokemukses­taan, että monissa Euroopan maissa turval­lisuusviranomaiset ovat ilmaisseet avoimesti kateutta siitä, että Suomessa toimii kotimai­nen, hyvämaineinen tietoturvayhtiö.

»Suomessa on pidetty itsestäänselvyytenä, että kaikilla on puhelimen pikavalinnassa tuttu tietoturvafirma.»

Koivunen kiertää kysymyksen siitä, miten paljon yritys voi vaikuttaa valtioihin.

Hän kuitenkin sanoo, että eurooppalaisiin verrattuna amerikkalaiset yritykset ovat kovia lobbaamaan näkemyksiään esimerkiksi Brys­selissä.

Suomalaisen kyberyhtiö Silverskinin hal­lituksen puheenjohtajan Mikko S. Niemelän mukaan kyberturvayhtiöiden rooli kansallisen turvallisuuden kulmakivenä on liioiteltu.

Hänen mukaansa yrityksiä on paljon, eivätkä ne voi sanella valtioille ehtoja.

»Valtiot päättävät itse, mitä ne tarvitsevat. Edelleen poliisilla, puolustusvoimilla ja muilla valtiollisilla toimijoilla on tärkein rooli tur­vallisuuden luomisessa. Ja yhteistyötä on niin monenlaista.»

Niemelä kuitenkin myöntää sen, ettei val­tioista yksikään pärjää ilman yrityksiä. Parhai­ten kyberturva on hallussa suurvalloilla, mutta myös monet Aasian maat ovat kehityksessä hyvin mukana. Silverskinin asiakkaina ovat Suomen ja Etelä-Afrikan valtiot.

Valtioiden intresseissä on ulottaa oma lainsäädäntö internetin solmukohtiin, mutta ongelmaksi muodostuu se, ettei tietoa kyberavaruudessa voi sijoittaa mihinkään paikkaan.

»Ei ole itsestään selvää, että Euroopassa oleville palvelimille sijoitettuun dataan sovel­lettaisiin eurooppalaista lainsäädäntöä, kun dataa jossain päin maailmaa käytetään», tut­kija Salminen sanoo.

Samaan aikaan tavallisista kuluttajista on tullut kansallisen turvallisuuden toimijoita. Salmisen mukaan turvallisuutta vahvistaa se, että kansalaiset huolehtivat omasta nettikäyt­täytymisestään.

Suomalaisyrityksiä ei voida lain ja EU-sään­töjen mukaan suosia tietoturvaa koskevissa kotimaisissa hankinnoissa tai kilpailutuksissa.

Valtion tieto- ja viestintätekniikkakeskus Valtorin mukaan tietyissä tilanteissa voidaan kuitenkin edellyttää, että palvelun tuottami­seen osallistuvista henkilöistä voidaan tehdä turvaselvitys. Käytännössä se tarkoittaa pysy­vää asumista Suomessa.

Myös suomalaisten henkilötietojen käsit­tely on lähtökohtaisesti sallittua vain EU- ja ETA-maissa.

Keskitettyä tietoa koko valtionhallinnon yhteistyöyrityksistä ei ole, mutta Valtorin arvion mukaan valtiolla on jonkinlaista yhteis­työtä lähes kaikkien kotimaisten sekä Suo­messa toimivien ulkomaisten yritysten kanssa.

Tiivistä yhteistyötä Suomi tekee KPMG:n, Netumin, Nixun, F-Securen, Reaktorin, Deloit­ten ja CGI:n kanssa kilpailutuksen tuloksena solmitun puitejärjestelyn perusteella. Yrityk­sistä kolme kuuluu isompaan konserniin, jonka emoyhtiö on Pohjois-Amerikasta tai Länsi-Euroopasta.

Suomalaisista yrityksistä F-Secure nousee ylitse muiden. Se on ainoa suomalaisyritys, jonka amerikkalainen markkinointitutki­musfirma Cybersecurity Ventures on listan­nut sadan maailman vaikutusvaltaisimman kyberyhtiön joukkoon.

Valtiovarainministeriön Aku Hilven mukaan Suomi ei ole riippuvainen F-Securesta, mutta pörssiyhtiön tietotaito on pantu mer­kille valtionhallinnossa.

»Heillä on huippuosaamista, jota on käy­tetty eri ongelmien selvittämisessä.»

Suomessa osaaminen on Hilven mukaan liian kapeaa tiedon salaukseen liittyvässä kryp­tologiassa. Lisäksi kyberturvallisuutta tutki­taan vähän siellä täällä eri tieteenaloilla.

Hilve johtaa ministeriön kyberturvallisuus- ja infrastruktuuriyksikköä, joka vastaa koko valtionhallinnon kyberturvan kehittämisestä ja ohjauksesta.

Yrityksiä hyödynnetään hänen mukaansa erilaisissa kehitystöissä ja häiriöiden selvitte­lyssä laajasti. Yrityksiltä ostetaan myös yksit­täisiä tuotteita, kuten virustorjuntaa virka­miesten koneille.

Keskusrikospoliisi tekee F-Securen kanssa jatkuvaa yhteistyötä. F-Secure oli tiettävästi selvittämässä myös ulkoministeriön vakoilua, joka paljastui 2013.

Ulkoministeriö ei kerro yksittäisten kump­paneiden nimiä, mutta sanoo, että selvitys­työtä tehtiin lukuisten viranomais- ja yritysta­hojen kanssa. Myöskään F-Secure ei kerro, onko se ollut mukana selvittämässä UM:n tapausta, mikä voi olla merkki ministeriön kanssa sovi­tusta vaitiolovelvollisuudesta.

Mutta voisiko Suomen valtio ostaa tietotur­vansa globaaleilta ja markkinaehdoin toimi­vilta venäläisfirmoilta?

Hilve vastaa diplomaattisesti, että siinä tapauksessa riskejä pitäisi arvioida eri kannoilta.Tutkija Salminen pitää hyvin epätodennäköi­senä, että Suomen valtio hankkisi kyberturvansa esimerkiksi venäläiseltä Kaspersky Labiltä.

Kasperskyn yhteyksistä Venäjän valtiojoh­toon on spekuloitu vuosia. Viikkolehti Bloomberg Businessweekin mukaan yhtiöllä on läheiset suh­teet Venäjän tiedustelupalveluihin.

Salminen huomauttaa, että ulko- ja tur­vallisuuspolitiikka ulottuu myös digitaaliseen maailmaan.»Se, mihin halutaan kuulua, määrittää sitä, mistä hankitaan turvallisuusratkaisuja. Politii­kassa ja turvallisuudessa kyse on luottamuk­sesta.»

 

Juttua varten on haastateltu myös
Huoltovarmuuskeskuksen digipoolin sihteeriä Kari Wirmania.

Lähteet: P. W. Singer: Corporate Warriors, Shane Harris: @War, Robert M. Lee & Thomas Rid: OMG Cyber! Thomas Rid: All Signs Point to Russia Being Behind the DNC Hack, Valtioneuvosto: Kyberosaaminen Suomessa, Viestintävirasto, Reuters, Gartner.