Kyberturva-alan yrityksistä on tullut tärkeitä kansallisen turvallisuuden ylläpitäjiä.
Väitöskirjatutkija Mirva Salminen sanoo, ettei valtioiden riippuvuutta kyberyhtiöistä voi kiistää, sillä riippuvuus on tunnustettu muun muassa korkealla Yhdysvaltain puolustushallinnossa.
»Valtioilta puuttuu osaamista. Tekninen osaaminen on pitkälti yrityksissä», Salminen sanoo yhdeksi syyksi. Hän tekee Lapin yliopistossa väitöskirjaa turvallisuuden ja sodan yksityistämisestä.
Salmisen mukaan valtioiden heikkoudet liittyvät yleensä kyberturvallisuuden kokonaisymmärrykseen.
»Digitalisoituminen on jo tapahtunut, mutta ajattelu on monesti vielä kiinni fyysisessä maailmassa ja sen lainalaisuuksissa.»
Lisäksi tietoverkot, infrastruktuuri ja ohjelmistot ovat yritysten hallussa.
Kyberyhtiöiden rooli nousi esiin myös kesällä Yhdysvalloissa demokraatteihin kohdistuneessa hakkeroinnissa. Puolue pyysi amerikkalaista CrowdStrikea selvittämään tietovuotoa. Kaksi kilpailevaa kyberfirmaa vahvisti CrowdStriken löydökset siitä, että Venäjä oli tietomurron takana.
Kyberyhtiöiden merkitys Yhdysvalloissa näkyy monen perinteisen turvallisuustoimijan rootelissa. Kyberturvallisuuteen erikoistuneen toimittajan Shane Harrisin mukaan esimerkiksi tietoturvajätti McAfee tarjoaa NSA:lle, CIA:lle ja FBI:lle haittaohjelma-analyyseja ja tietoa verkkoliikenteestä ja hakkerointitrendeistä.
Lockheed Martinilla puolestaan on iso rooli maan kyberpuolustuksessa.
Harrisin mukaan yhtiöt kykenevät vaikuttamaan Yhdysvaltain hallitukseen, muun muassa rahojen käyttöön ja ulkopolitiikkaan. Turvallisuuden yksityistämistä pitkään tutkineen Peter W. Singerin mukaan yritysten toiminta voi vaikuttaa jopa kansainväliseen vakauteen. Yritykset ovat rikkoneet valtioille perinteisesti kuuluneen voimankäytön monopolin.
Harris mainitsee esimerkiksi tietoturvayhtiö Mandiantin, joka osoitti vuonna 2013 Kiinan armeijan vakoilleen Yhdysvaltoja. Todisteet olivat niin vakuuttavia, että tapaus vaikutti maiden välisiin suhteisiin.
Yksityisellä sektorilla on tarjolla valtioiden kyberongelmiin nopeat ja kalliit lääkkeet. Esimerkiksi Yhdysvaltain hallituksen tekemien suurimpien sopimusten arvo liikkuu sadoissa miljoonissa. Pentagonin käyttämistä tarkoista summista on kuitenkin vain vähän tietoa.
Toissa vuonna Yhdysvallat käytti kyberpuolustusohjelmiinsa enemmän rahaa kuin ilmastonmuutoksen torjuntaan, vaikka presidentti Barack Obama oli nimennyt ilmastonmuutoksen suureksi globaaliksi uhaksi.
Valtiot ja yritykset ovat erilaisia toimijoita, vaikka kybermaailmassa on mahdoton erottaa julkista ja yksityistä.
Kyberyhtiöiden näkökulmasta valtiot ovat hitaita ja kankeita. Tietoturvabisnekseen puolestaan kuuluu se, että yritykset tehtailevat mainosmielessä tutkimuksia ja raportteja tekemistään paljastuksista ja ostavat kilpailijoita pois markkinoilta.
Valtion näkökulmasta yritysostot voivat muodostaa turvallisuusriskin.
Voisiko Suomen valtio ostaa tietoturvansa globaaleilta ja markkinaehdoin toimivilta venäläisfirmoilta?
Valtion laitosten ja virkamiesten valtuudet, vastuut ja rajoitukset turvallisuuden tuottamisessa on määritelty laissa. Yksityistämisen on ajateltu rikkovan tätä, sanoo tutkija Salminen.
»Yrityksen työntekijä voi irtisanoa itsensä periaatteessa milloin tahansa tai kieltäytyä jostakin työtehtävästä. Tämän on pelätty rampauttavan järjestelmän.»
Myös hankintojen kilpailuttaminen määräajoin voi heijastua jatkuvuuteen.
»Jos palvelun toimittajaa vaihdetaan, kuka on vastuussa palvelun saatavuudesta siirtoajanjaksolla? Tai mitä jos jokin järjestelmä ei enää toimikaan?» Salminen pohtii.
»Vielä voidaan myös spekuloida sillä, kenelle monikansalliset tietoturvayhtiöt ovat ensisijaisesti lojaaleja mahdollisissa kriisitilanteessa.»
Suomessa puolustusvoimat perusti vuoden 2015 alussa kybersotaan erikoistuneen yksikön ja aloitti kybervarusmiesten kouluttamisen. Noin kymmenen varusmiehen tehtävänä on tietoturvatestausta, kehitys- ja ylläpitotehtäviä sekä tiedonkeruuta.
Kykyä tehdä kyberhyökkäyksiä pidetään yleisesti kyberpuolustuksen osana. Myös puolustusvoimat suunnittelee ja testaa kyberhyökkäyksiä suojatussa ympäristössä, ilmenee Suomen kyberturvallisuusstrategian toimeenpano-ohjelmasta.
Yrityspuolella viranomaisten kehitystä seurataan tarkasti.
F-Securen kyberturvallisuusneuvonantaja Erka Koivunen sanoo, että aina esitetään epäilyjä siitä, voiko tietoturvafirma paljastaa kotimaansa tekemän verkkohyökkäyksen. Esimerkiksi amerikkalaisella yrityksellä voisi olla korkea kynnys paljastaa kansallisesta turvallisuudesta vastaava NSA.
Suomikin saattaa olla uudessa tilanteessa.
»Jos suomalainen sotilastiedustelu saa toimivaltuuden suorittaa tietoturvaloukkauksia laillistetusti ulkomaisia kohteita vastaan, niistä voi jäädä jälkiä meidän tutkijoille. Mitä jos tulisimme käräyttäneeksi suomalaisen tiedusteluoperaation? Voisiko yrityksen työntekijä saada maanpetossyytteen?» Koivunen pohtii.
F-Securella on asiakkaina kymmeniä valtioita eri puolilla maailmaa. Osalle maista yhtiö on myynyt laajaa asiantuntija-apua, toisille yksittäisiä tuotteita.
Viime vuonna Viestintävirastosta F-Secureen siirtynyt Koivunen kertoo kokemuksestaan, että monissa Euroopan maissa turvallisuusviranomaiset ovat ilmaisseet avoimesti kateutta siitä, että Suomessa toimii kotimainen, hyvämaineinen tietoturvayhtiö.
»Suomessa on pidetty itsestäänselvyytenä, että kaikilla on puhelimen pikavalinnassa tuttu tietoturvafirma.»
Koivunen kiertää kysymyksen siitä, miten paljon yritys voi vaikuttaa valtioihin.
Hän kuitenkin sanoo, että eurooppalaisiin verrattuna amerikkalaiset yritykset ovat kovia lobbaamaan näkemyksiään esimerkiksi Brysselissä.
Suomalaisen kyberyhtiö Silverskinin hallituksen puheenjohtajan Mikko S. Niemelän mukaan kyberturvayhtiöiden rooli kansallisen turvallisuuden kulmakivenä on liioiteltu.
Hänen mukaansa yrityksiä on paljon, eivätkä ne voi sanella valtioille ehtoja.
»Valtiot päättävät itse, mitä ne tarvitsevat. Edelleen poliisilla, puolustusvoimilla ja muilla valtiollisilla toimijoilla on tärkein rooli turvallisuuden luomisessa. Ja yhteistyötä on niin monenlaista.»
Niemelä kuitenkin myöntää sen, ettei valtioista yksikään pärjää ilman yrityksiä. Parhaiten kyberturva on hallussa suurvalloilla, mutta myös monet Aasian maat ovat kehityksessä hyvin mukana. Silverskinin asiakkaina ovat Suomen ja Etelä-Afrikan valtiot.
Valtioiden intresseissä on ulottaa oma lainsäädäntö internetin solmukohtiin, mutta ongelmaksi muodostuu se, ettei tietoa kyberavaruudessa voi sijoittaa mihinkään paikkaan.
»Ei ole itsestään selvää, että Euroopassa oleville palvelimille sijoitettuun dataan sovellettaisiin eurooppalaista lainsäädäntöä, kun dataa jossain päin maailmaa käytetään», tutkija Salminen sanoo.
Samaan aikaan tavallisista kuluttajista on tullut kansallisen turvallisuuden toimijoita. Salmisen mukaan turvallisuutta vahvistaa se, että kansalaiset huolehtivat omasta nettikäyttäytymisestään.
Suomalaisyrityksiä ei voida lain ja EU-sääntöjen mukaan suosia tietoturvaa koskevissa kotimaisissa hankinnoissa tai kilpailutuksissa.
Valtion tieto- ja viestintätekniikkakeskus Valtorin mukaan tietyissä tilanteissa voidaan kuitenkin edellyttää, että palvelun tuottamiseen osallistuvista henkilöistä voidaan tehdä turvaselvitys. Käytännössä se tarkoittaa pysyvää asumista Suomessa.
Myös suomalaisten henkilötietojen käsittely on lähtökohtaisesti sallittua vain EU- ja ETA-maissa.
Keskitettyä tietoa koko valtionhallinnon yhteistyöyrityksistä ei ole, mutta Valtorin arvion mukaan valtiolla on jonkinlaista yhteistyötä lähes kaikkien kotimaisten sekä Suomessa toimivien ulkomaisten yritysten kanssa.
Tiivistä yhteistyötä Suomi tekee KPMG:n, Netumin, Nixun, F-Securen, Reaktorin, Deloitten ja CGI:n kanssa kilpailutuksen tuloksena solmitun puitejärjestelyn perusteella. Yrityksistä kolme kuuluu isompaan konserniin, jonka emoyhtiö on Pohjois-Amerikasta tai Länsi-Euroopasta.
Suomalaisista yrityksistä F-Secure nousee ylitse muiden. Se on ainoa suomalaisyritys, jonka amerikkalainen markkinointitutkimusfirma Cybersecurity Ventures on listannut sadan maailman vaikutusvaltaisimman kyberyhtiön joukkoon.
Valtiovarainministeriön Aku Hilven mukaan Suomi ei ole riippuvainen F-Securesta, mutta pörssiyhtiön tietotaito on pantu merkille valtionhallinnossa.
»Heillä on huippuosaamista, jota on käytetty eri ongelmien selvittämisessä.»
Suomessa osaaminen on Hilven mukaan liian kapeaa tiedon salaukseen liittyvässä kryptologiassa. Lisäksi kyberturvallisuutta tutkitaan vähän siellä täällä eri tieteenaloilla.
Hilve johtaa ministeriön kyberturvallisuus- ja infrastruktuuriyksikköä, joka vastaa koko valtionhallinnon kyberturvan kehittämisestä ja ohjauksesta.
Yrityksiä hyödynnetään hänen mukaansa erilaisissa kehitystöissä ja häiriöiden selvittelyssä laajasti. Yrityksiltä ostetaan myös yksittäisiä tuotteita, kuten virustorjuntaa virkamiesten koneille.
Keskusrikospoliisi tekee F-Securen kanssa jatkuvaa yhteistyötä. F-Secure oli tiettävästi selvittämässä myös ulkoministeriön vakoilua, joka paljastui 2013.
Ulkoministeriö ei kerro yksittäisten kumppaneiden nimiä, mutta sanoo, että selvitystyötä tehtiin lukuisten viranomais- ja yritystahojen kanssa. Myöskään F-Secure ei kerro, onko se ollut mukana selvittämässä UM:n tapausta, mikä voi olla merkki ministeriön kanssa sovitusta vaitiolovelvollisuudesta.
Mutta voisiko Suomen valtio ostaa tietoturvansa globaaleilta ja markkinaehdoin toimivilta venäläisfirmoilta?
Hilve vastaa diplomaattisesti, että siinä tapauksessa riskejä pitäisi arvioida eri kannoilta.Tutkija Salminen pitää hyvin epätodennäköisenä, että Suomen valtio hankkisi kyberturvansa esimerkiksi venäläiseltä Kaspersky Labiltä.
Kasperskyn yhteyksistä Venäjän valtiojohtoon on spekuloitu vuosia. Viikkolehti Bloomberg Businessweekin mukaan yhtiöllä on läheiset suhteet Venäjän tiedustelupalveluihin.
Salminen huomauttaa, että ulko- ja turvallisuuspolitiikka ulottuu myös digitaaliseen maailmaan.»Se, mihin halutaan kuulua, määrittää sitä, mistä hankitaan turvallisuusratkaisuja. Politiikassa ja turvallisuudessa kyse on luottamuksesta.»
Juttua varten on haastateltu myös
Huoltovarmuuskeskuksen digipoolin sihteeriä Kari Wirmania.
Lähteet: P. W. Singer: Corporate Warriors, Shane Harris: @War, Robert M. Lee & Thomas Rid: OMG Cyber! Thomas Rid: All Signs Point to Russia Being Behind the DNC Hack, Valtioneuvosto: Kyberosaaminen Suomessa, Viestintävirasto, Reuters, Gartner.
