17/09/2011

Kyberturvallisuusmietintöjä Ruotsissa


Ruotsalainen politikko Håkan Juholt piti painavan puheenvuoron kyberuhkista julkisen sektorin tietoturvallisuuskonferenssilla elokuussa 2011. Puhe löytyy täältä, mutta koska se on ruotsiksi arvelen sen jäävän monelta kuuntelematta. Päätin sen takia kirjoittaa blogipostin Juholtin puheesta ja tuoda esille hänen viestinsä, sillä se on mitä suuremmassa määrin relevantti myös Suomen kannalta.

Juholtin puheenvuoron alussa hän ottaa esille Utöyan tapahtumat ja toteaa, että vaikka kyseinen tapahtuma ei tulisi liittää tähän viitekehykseen, niin se oli kuitenkin hyökkäys arvomaailmamme kohtaan.  Toisin kuin esim. Libyassa, niin meihin ei kohdistu niinkään alueellisia uhkia, vaan ne kohdistuvat meille tärkeisiin asioihin, kuten arvoihin ja toiminnallisuuteen. Meitä on mahdollista kyykyttää vahingoittamalla arvomaailmanne ja toiminnallisuutemme. Tässä tietoturvallisuus ja kyberturvallisuus astuvat kehiin.

Juholt näkee kyberuhkan turvallisuuspoliittisena asiana ja peräänkuuluttaa poliittista keskustelua painopisteen muuttamisesta sekä eri toimijoiden tehtävistä, resurssoinnista ja lainsäädännön muutostarpeista. Uhka ei enää sijaitse Kremlin muurien sisällä, vaan maailmassa on paljon enemmän tahoja, jotka mahdollisesti haluavat vahingoittaa yhteiskunnan ja käyttää yhteiskunnan haavoittuvuudet hyväkseen. Painostuskeinojen ja vallankäytön menetelmien lukumäärä ovat lisääntyneet. Kokonaismaanpuolustuksesta pitäisi siirtyä välittömään kriisinhallintaan, jossa kaikki ovat mukana, eikä niin kuin ennen, että kaikki ovat olemassa enemmän tai vähemmän vain puolustusvoimien tukemiseen, kun tämä vastaa uhkaan. Yhteistoiminta on välttämättömyys.

Juholt kertoi vierailleensa Yhdysvalloissa noin 1999-2000 paikkeilla tarkoituksena tavata alan amerikkalaisia tutkijoita. Hän kuvitteli, että tapaisi joukon vanhempaa väkeä, mutta vastassa olikin puolustusministeriön palkkaamia 17-23 –vuotiatia fiksuja nuoria ihmisiä, joille oli annettu tehtävä penkoa läpi puolustushallinnon järjestelmiä osoittaakseen, mikä olisi mahdollista. He näyttivät, miten kääntäisivät tiedustelusatelliitin tai ottaisivat ison 200 lentokonetta kuljettavan sotalaivan haltuunsa; kun kapteeni käänsi laivan vasemmalle, käänsivät nuoret laivan oikealle. Kahlattuaan puolustushallinnon järjestelmiä läpi he kääntyivät tarkastelemaan yhteiskunnan järjestelmiä, jotka olivat vielä haavoittuvampia; olihan kuitenkin sotilaspuolen turvallisuusajattelu vähän edistyneemmällä tasolla. He aloittivat sairaaloista ja osoittivat, että 7 minuutissa oli mahdollista vaihtaa kaikkien veripussien identiteetit 10 suurimman kaupungin sairaaloissa.

Juholt jäikin pohtimaan kysymystä, miten suojata veripusseja. Kyseltyään asiaa paikalliselta sairaalalta, jossa hän yleensä luovuttaa verta, sai hän vastauksen, että veripussit ovat kaikki suljettujen ovien takana ja kaikki on hyvin. Mutta kysehän ei olekaan siitä, että joku tulisi varastamaan sata veripussia yhtäkkiä, vaan siitä, että joku voisi saada aikaan kaaoksen sairaalassa, kun esim. hetki terrori-iskun jälkeen ihmiset päästyään sairaalaan saavat väärää verta. Ja kuka ruotsalaisessa politiikassa on vastuussa siitä, että kansalaiset saavat sitä oikeata verta? Onko se terveysministeri? Puolustusministeri? IT-ministeri? Oikeusministeri? Vai onko se jonkun sairaalassa osa-aikatyötä tekevän turvallisuusvastaavapoloisen? Kansalliseen turvallisuusajatteluun kuuluu huolehtia, että kansalaiset saavat oikeanlaista verta. Tämä ei kuitenkaan sovi nykyiseen vanhanaikaiseen ja siilomaiseen ministeriöjakoon.

Seuraavaksi esimerkiksi Juholt nostaa sähkönsaannin. Kuinka pitkään sairaala pyörisi, jos siltä häviäisi sähköt? Sairaalan vastuuhenkilö osasi tarkasti kertoa, kuinka pitkään sairaala kestäisi, ja kertoi sairaalan sopineensa vastapäätä olevan huoltoaseman kanssa mahdollisuudesta saada dieseliä. Käytyään huoltoasemalla kävi kuitenkin ilmi, että huoltoasema ei kykene pumppaamaan dieseliä ilman sähköjä eikä käsipumppua ollut. Ratkaisuksi kuviteltu kuvio olikin yhtä vahva kuin sen heikoin lenkki. Mutta kenen vika se olisi ollut, jos jotain olisi sattunut? Sairaalan vai huoltoaseman? Pääviestinä lienee, että vaikka kaikki omillaan tekevät täysin oikein, voi lopputulos silti olla täysin väärä.

Juholt jatkaa puheensa kertomalla uhkakuvan muutoksesta nuorten poikien ja tyttöjen tekemistä tihutöistä järjestäytyneeseen rikollisuuteen ja valtioihin kohdistuvaan toimintaan. Hän mainitsee, että järjestäytynyt kyberrikollisuus on ohittanut järjestäytyneen huumekaupan mitä taloudelliseen kannattavuuteen tulee. Tämä on mahdollista, koska järjestelmiä ei ole kehitetty ottan huomioon turvallisuusnäkökulmia, vaan pelkästään kaupallisten intressien pohjalta. Samaan aikaan järjestelmien riippuivaisuus toisistaan ovat kasvaneet.

Varautuaakseen vaaditaan sekä osaamista alhaaltapäin että ärsykkeitä ylhäältä päin: rahoitusta, direktiivejä, regulointia, priorisointia ja kompetenssiä. Juholt toteaa, että lähestulkoon kaikki muut asiat ovat reguloitua; meriliikenne, lentoliikenne, jne. Jokainen saa rakentaa laivan ja kulkea merellä, mutta kaikki ovat samaa mieltä siitä, että piratismiä ei tule sallia. Olemme tottuneita siihen, että tiedämme miltä uhka näyttää, miten siihen pitää vastata ja kuka sen uhkan muodostaa. Mutta nykyään kuka tahansa voi muodostaa uhkan, kuka tahansa voi olla kohteena ja tekijä voi sijaita missä vaan. On mahdotonta varautua kaikkeen ja suojautua täysimittaisesti, mutta varautumiseen on osoitettava resursseja, yhteistoimintaan on panostettava ja on ymmärrettävä, miten maailma on muuttunut.

Juholt esittää muutamia ratkaisuvaihtoehtoja:
  •  Tulee perustaa kyberturvallisuusministeriö ja –ministeri. Matkalla sinne asia tulee poliittisesti koordinoida valtioneuvostotasolla, koska tämä asia leikkaa läpi kaikkia toimintoja. Siilot on rikottava ja on annettava poikkihallinnollista vastuuta yhden johdon alle. Samaa tulee tehdä viranomaistasolla. Viranomaisten välinen yhteistyö on erinomaisen tärkeä, mutta on kuitenkin oltava yksi selkeä taho, joka johtaa, ja tämä tehtävä on osoitettava kyseiselle taholle etukäteen. Yhteistyö viranomaisten sivutehtävänä tai opintopiirien avulla ei riitä. 
  • On tehtävä poliittinen selvitys, joka tarkastaa omien offensiivisten kykyjen kehittämisen tarpeet, säännöt, periaatteet ja vastuut. Maailmassa on olemassa valtioita, jotka esim. kehittävät haittaohjelmia kohdistaakseen niitä muita valtioita vastaan. Juholt ei halua, että yksittäiset asiantuntijat, pankit, organisaatiot jne. ottavat asian omiin käsiinsä koska politikot eivät halua koskea asiaan. Hän haluaa poliittisen, hallitun, demokraattisen ja kattavan selvityksen miten Ruotsi voi puolustaa itseään offensiivisin keinoin.
  • Avainhenkilöt eri organisaatioissa on saatava verkostoitumaan ja organisoitumaan.
  • Lainsäädäntö on kehitettävä siten, että se ottaa kyberturvallisuusasiat huomioon. Sen pitää tukea uutta ruotsalaista puolustuspolitiikkaa. Juholt korostaa, että Ruotsi olisi asiassa edelläkävijämaa jos vaan jaksaisi tarttua asiaan.

Juholt päättää puheensa toteamalla, että tämä ei ole mikään puolueita erottava kysymys. Tarvitaan vain vähän rohkeutta, sitkeyttä ja päättäväisyyttä ja tästä voi tulla ihan hyvä juttu.

Herättäisin keskustelua Juholtin puheesta. Miten tätä pitäisi nähdä Suomessa? Miltä osin kohtaamme samat haasteet? Onko Suomessa jokin paremmin tai huonommin toteutettu mitä kyberuhkaan ja siihen varautumiseen liittyy? Miten näette Juholtin esittämät ratkaisut? Löytyisikö meiltä rohkeutta, sitkeyttä ja päättäväisyyttä tehdä tästä hyvä juttu?