Verkkohyökkäys voisi lamauttaa Suomen

Julkaistu yli kolme vuotta sitten

Pohjois-Koreaa epäillään verkkohyökkäyksistä Yhdysvaltoihin ja Etelä-Koreaan. Suomessa jättimäinen kyber-hyökkäys voisi olla kohtalokas, sillä valtio ei ole huolehtinut varautumisesta.

Palvelunestohyökkäykset
Eteläkorealainen poliisi ja maan virastoihin kohdistuneesta verkkohyökkäyksistä kertova kaavio Soulissa 9. heinäkuuta 2009. Kuva Ahn Young-joon / AP / Lehtikuva.

Verkkohyökkäykset ovat jälleen puheenaihe. Pohjois-Koreaa syytetään tiistaina ja keskiviikkona yltyneistä hyökkäyksistä, jotka haittasivat tietoliikennettä Etelä-Koreassa ja Yhdysvalloissa. Sivustoja yritettiin kaataa ylikuormittamalla ne suurella verkkoliikenteellä.

Yhdysvalloissa hyökkäyksen kohteeksi joutuivat muun muassa ministeriöiden, New Yorkin pörssin ja sanomalehti Washington Postin verkkosivut. Etelä-Koreassa useiden hallituksen virastojen ja rahalaitosten verkkosivut oli tukittu tai pääsyä niille hidastettiin häirinnällä.

Häirintä ei aiheuttanut merkittäviä vahinkoja, mutta miten Suomi on varautunut kyber-hyökkäysten varalta? Heikosti, paljasti SK:n selvitys.

Juttu julkaistu alun perin SK:ssa 43/2008. Lue se kokonaisuudessaan tästä (pdf-tiedosto, 2 Mt).

Yhteys poikki

Maailmassa tehdään joka päivä keskimäärin 1 300 palvelunestohyökkäystä.

Näillä internetpalveluihin ja verkkotoimintoihin kohdistetuilla massaiskuilla kiristetään yleensä rahaa yrityksiltä tai esitellään hyökkääjän taitoja.

Yhä useammin niillä myös ajetaan poliittisia päämääriä. Burman hallitusta on syytetty opposition web-sivujen kaatamisesta. Irakissa sunnit ovat sotkeneet šiiajohtajan sivuja.

Ääri-islamistien kansainväliset nettifoorumit kaatuivat viime vuonna tuntemattomien hyökkääjien höykytyksessä.

Yhteensä erilaisia palvelunestohyökkäyksiä on tehty puolentoista vuoden aikana lähes miljoona.

Tyypillisiä seurauksia ovat toistaiseksi olleet harmi ja nöyryytys. Esimerkiksi toukokuussa 2007 hyökkäykset Yleisradion, Suomen Tietotoimiston, Suomi24-keskustelufoorumin ja Viestintäviraston sivuille pääsivät näkyvästi otsikoihin, mutta yhteiskunnalle niistä ei ollut vaaraa.

Katastrofi on kuitenkin vain ajan kysymys.

Suurin yksittäiseen valtioon kohdistunut hyökkäys tapahtui vain 85 kilometrin päässä Suomesta.

Kun vironvenäläiset olivat kimpaantuneet Tallinnan Pronssisoturi-patsaan siirtämisestä 26. huhtikuuta 2007, alkoi kolme viikkoa kestänyt nettihyökkäys, johon osallistui sekä venäläisiä hakkereita että tavallisia kansalaisia.

Aluksi kohteina olivat sivustot, joiden toimivuus oli useimmille samantekevää: parlamentti, puolustusministeriö, poliisi, puolueet. Mutta tilanne synkkeni nopeasti.

“Kohteiksi joutuivat muun muassa teleoperaattoreiden verkot ja pankkien taustajärjestelmät”, sanoo tietoturvayhtiö F-Securen tutkimuspäällikkö Mikko Hyppönen.

“Hyökkäykset alkoivat lähestyä kriittistä infrastruktuuria. Sellaisen pitäisi olla irti julkisesta verkosta. Virossa osa oli ja osa ei.”

Kyberiskujen henkinen vaikutus oli väkevä.

“Meidän virolaiset kollegamme ovat moneen kertaan teroittaneet, että oli täysin yhdentekevää, olivatko presidentin www-sivut nurin”, sanoo Viestintäviraston CERT-FI-tietoturvayksikön päällikkö Erka Koivunen.

“Mutta kun online-maksaminen muuttui mahdottomaksi, ihmisiltä hyytyi hymy.”

Ei pelkkää fantasiaa

Massiivinen kyberhyökkäys olisi turmiollisin maalle, joka on siirtänyt elintärkeät toimintonsa verkkoon.

Tällainen maa on esimerkiksi Suomi.

Laaja isku ei halvaannuttaisi pelkästään julkisia internetsivustoja vaan pahimmassa tapauksessa kaupat, tavarankuljetuksen, sähkönjakelun ja sairaalat.

Lähi-Alepasta ei saisi maitoa, koska kassat olisivat pimeinä. Eikä myymälään saapuisi täydennystä, koska keskusvarastoissa ei automatisoinnin jälkeen ole henkilökuntaa, joka kiipeäisi itse hakemaan tavaran hyllyltä.

Sairaaloissa ei pystyttäisi lukemaan potilastietoja eikä kirjoittamaan reseptejä. Lääkärit eivät saisi röntgenkuvia auki työasemillaan, koska yhteydet teleyritysten palvelimilla sijaitseviin kuvavarastoihin olisivat poikki.

Puhelinluuria olisi turha hamuta, sillä puhelutkin kulkevat datapaketteina bittiavaruudessa. Kännykät saattaisivat toimia – paitsi jos isku olisi kohdistunut matkapuhelinverkon keskuksiin, jotka tietenkin ovat verkossa.

Kauhunäky kuulostaa huikealta.

Silti asiantuntijat eivät ole valmiita sivuuttamaan sitä pelkkänä tieteisfantasiana.

“Riskit ovat suuret”, sanoo teleoperaattori TDC:n teknologiajohtaja Jorma Mellin.

“Suomessa on tietotaitoa ja tunnemme vaarat, mutta kyllä me olemme erittäin haavoittuvia.”

Vaikka yhteiskunnalle kriittiset toiminnot on internetissä suljettu niin sanottuihin virtuaalisiin yksityisverkkoihin, niiden liikenne kulkee samoissa kaapeleissa samojen laitteiden läpi kuin julkisen internetin datavirta. Erilliset koneet ovat eilispäivän luksusta, johon ei kustannussäästöjen maailmassa ole paluuta, Mellin sanoo.

“Samoihin tilaajakeskittimiin kytketään kuluttajia, yrityksiä tai vaikka joku sairaala. Jos kotien laajakaistayhteyksissä on vakava häiriö, kaikkien muidenkin liikenne on vaarassa häiriintyä.”

F-Securen Hyppösen mukaan Suomessa on toistaiseksi osattu melko hyvin huolehtia tärkeiden verkkojen suojaamisesta.

“Mutta kyllä tilanne on luisumassa avoimempaan suuntaan. Pahaa pelkään, että kymmenen vuoden kuluttua Suomessakin kaikki riippuu siitä, että netti toimii.”

Myös Viestintäviraston turvallisuuspäällikkö Jani Arnell tunnistaa uhan.

“Voimme joutua tilanteeseen, jossa paljon verkottunut, yhteiskunnallisesti kriittinen toimija saadaan saarrettua palvelunestohyökkäyksellä, tai sen järjestelmät joutvat sellaiseen kuntoon, että se ei pysty antamaan palvelua.”

Pystyisikö innokkaiden nettiamatöörien armeija siis iskemään ulkomailta suomalaisen tietoyhteiskunnan hermoon?

TDC:n Mellinillä on vastaus valmiina.

“Olen vakuuttunut, että pystyisi.”

Valtion mielestä kaikki kunnossa

Onko Suomi varautunut tällaiseen uhkaan?

Haastattelukierros valtionhallinnossa tuottaa yksimielisen vastauksen: kyllä – ja hyvin.

Suomalaisten virkamiesten mukaan maamme suhtautuu tietoturvauhkiin vakavasti, toimii johdonmukaisesti niiden torjumiseksi ja on muutenkin tietoteknisesti valveutunut.

“Me olemme Euroopassa yksi niitä harvoja valtioita, jotka ovat oikeasti panostaneet tähän asiaan”, sanoo viestintäneuvos Kari Ojala liikenne- ja viestintäministeriöstä.

“Suomessa on tele- ja tietoverkot järjestetty sillä tavalla, että meillä ei pääse käymään ollenkaan samalla tavalla kuin Virossa.”

Samaa mieltä on Huoltovarmuuskeskuksen apulaisjohtaja Veli-Pekka Kuparinen.

“Kansainvälisessä vertailussa varautumisemme taso on hyvä. Meillä on sellainen kulttuuri, että kun annamme ohjeita, niitä noudatetaan, vaikkei olisi sanktioitakaan.”

Suomen vahvuus on, että keskeiset viranomaiset tuntevat toisensa, sanoo valtiovarainministeriön neuvotteleva virkamies Mikael Kiviniemi, joka vetää Valtionhallinnon tietoturvallisuuden johtoryhmää VAHTIa.

“Haluan tehdä yhden asian hyvin selväksi: yhteistyö toimii nykyisillä toimivaltuuksilla erittäin hyvin.”

Tarkempi tutustuminen tietoyhteiskunnan kriisivalmiuteen paljastaa kuitenkin jotain muuta: sekasorron.

Ministeriöt, laitokset ja kunnat valvovat itse itseään. Ulkoistaminen on villiä ja vapaata. Yhteisiä standardeja ei ole, lainsäädäntö ei ulotu tietoturvaan, eikä asioista tietävillä viranomaisilla ole valtuuksia huolehtia, että kaikki on kunnossa.

Ydinkysymykseen – olemmeko turvassa kyberhyökkäyksiltä – ei kukaan pysty vakuuttavasti vastaamaan. Yhdelläkään virallisella taholla ei yksinkertaisesti ole tilanteesta kokonaiskuvaa.

Asiantuntijoita riittäisi

Periaatteessa näin ei pitäisi olla. Asiantuntijoista ei nimittäin ole pulaa.

Keskeinen tietoturvaviranomainen on työ- ja elinkeinoministeriön alaisuudessa toimiva Huoltovarmuuskeskus, jonka tehtävänä on turvata kansakunnan välttämättömät toiminnot kriisien aikana.

Huoltovarmuuskeskus ei huolehdi pelkästään elintarvikehuollosta ja energiansaannista vaan myös tietoyhteiskunnan toimivuudesta. Laitos tarjoaa turvallista palvelinkonetilaa valtion organisaatioille ja “huoltovarmuuskriittisiksi” luokitelluille yksityisille firmoille, kuten pankeille ja kaupan keskusliikkeille. Se on myös rahoittanut internetliikenteen kannalta olennaisia yhdysliikennepisteitä.

Keskus on lisäksi varmistanut, ettei suurikaan katastrofi katkaise viranomaisten välistä tiedonkulkua. Tästä pitää huolen kaksi puhelinjärjestelmää, valtakunnallinen varaverkko 2V ja viranomaisradioverkko VIRVE, joita hallinnoi valtion omistama teleoperaattori Suomen Erillisverkot Oy.

Viranomaisverkot ovat julkishallinnossa harvinaisuus: niistä voi sanoa, että tapahtui mitä tahansa, ne todennäköisesti pysyvät pystyssä.

Huoltovarmuuskeskuksen työparina tietoyhteiskunnan suojelemisessa on liikenne- ja viestintäministeriön alainen Viestintävirasto, joka viestintämarkki-nalain valtuuttamana valvoo teleyrityksiä.

Viraston tietoturvayksikkö CERT-FI taas on pari vuotta antanut Huoltovarmuuskeskuksen rahoituksella tietoturva-apua yksityisille yrityksille.

Näiden viranomaisten rinnalla toimii kirjava joukko edellisen hallituksen tietoyhteiskuntaohjelman poikimia virkamiesryhmittymiä, kuten Julkisen hallinnon tietohallinnon neuvottelukunta JUHTA, Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI, kuntien tietohallintoyhteistyötä vahvistava KuntaIT ja valtion tietoteknologiatoiminnan johtamisyksikkö ValtIT.

Kaiken taustalla on kaksi vuotta sitten julkistettu, puolustusministeriön johdolla laadittu 73-sivuinen hallituksen periaatepäätös Yhteiskunnan elintärkeiden toimintojen turvaamisen strategia, joka luonnostelee elämää kriisiajan Suomessa.

Johto kuitenkin puuttuu.

Suomessa ei ole yhtään yksittäistä virallista tahoa, joka valvoisi, että yhteiskunnan kriittinen infrastruktuuri on asianmukaisesti tietosuojattu.

Sellainen ei ole Huoltovarmuuskeskus, joka voi vain ohjeistaa. Sellainen ei ole Viestintävirasto, joka voi käskyttää vain teleoperaattoreita. Sellainen ei ole myöskään valtiovarainministeriö, jonka tietoturvaohjeilla ei ole määräyksen voimaa.

Eikä valvontaan olisi lakiakaan. Viestintämarkkinalailla voidaan ohjata ainoastaan teleyritysten toimintaa. Ajatus erillisestä tietoturvalaista ei innosta ainakaan byrokraatteja.

Seuraus on maallikon näkökulmasta hämmentävä: kukin ministeriö toimii niin kuin parhaaksi katsoo, eikä kukaan tiedä varmasti, ovatko toimet tietoturvan kannalta riittävät.

Yksityisestä sektorista tiedetään vielä vähemmän.

Viestintävirastossa asiaintilaa pidetään kummallisena.

“Koska rahoitusta ei ole järjestetty, teleyritykset ja huoltovarmuuskriittiset firmat ovat asiakkainamme etusijalla”, sanoo CERT-FIn päällikkö Koivunen.

“Emme ole koskaan saaneet Suomen valtiolta toimeksiantoa, että pitäkää huoli, että kansakunta on myös hallinnon puolelta suojattu.”

Ministeriön tutkimus antaa murskatuomion

Suomalaisen tietoyhteiskunnan suojaamisessa on käytetty hajautettua mallia. Ja se on pelkästään vahvuus.

Näin uskovat kaikki Suomen Kuvalehden haastattelemat virkamiehet.

“Jokainen operoi parhaan mahdollisen tiedon kanssa, ja kun yhteistyö pelaa, en näe siinä mitään huonoa”, sanoo liikenne- ja viestintäministeriön Kari Ojala.

“Meillä on kyllä vastuut jaettu näistä asioista”, vakuuttaa Huoltovarmuuskeskuksen Kuparinen.

“Vahvuus on se, että kun ei ole keskitetty järjestelmiä, ne eivät ole ensisijaisesti haavoittuvia”, sanoo KuntaIT:n Antti Holmroos.

Täysin toista mieltä on tuore tutkimus, jonka valtio itse on teettänyt.

Kesäkuussa 2008 valmistunut, valtiovarainministeriön ohjauksessa laadittu Valtionhallinnon ICT-varautumisen esitutkimus antaa murskaavan tuomion juuri niissä asioissa, jotka virkamiesten mielestä toimivat mainiosti.

Tutkimuksen mukaan tietoteknologiselle varautumiselle “ei aseteta selkeästi velvoittavia vaatimuksia, jotka ulottuvat ministeriöistä virastoihin”. Lisäksi “resursointi ei vastaa tavoitteita eikä vaikutuksia kyetä seuraamaan”.

Tutkimus listaa ammottavia aukkoja valtion kybervalmiuksissa: Keskitetyt, velvoittavat ohjeet puuttuvat.

Nykyisten ohjeiden riittävyys on “vakavissa erityistilanteissa epävarmaa”.

Ministeriöt asettavat itse itselleen vaatimukset ja valvovat niiden täyttämistä.

Ulkoistaminen on epäonnistunut, sillä “palvelujentarjoajille ei ole asetettu riittäviä vaatimuksia varautumiseen liittyvien sopimusvelvoitteiden siirtämisestä alihankkijaverkostoonsa”.

Kaiken kaikkiaan suomalaisen tietoyhteiskunnan turvallisuus on epävarmalla pohjalla, tutkimus tiivistää.

“Tietovarantojen ja tietoliikenteen merkitys sähköisten palvelujen perustana on erittäin suuri, ja suojaamisessa on puutteita.”

Teksti Jari Lindholm

Aiheesta lisää Yhteys poikki (pdf-tiedosto, 2 Mt)