Suomesta piti tulla kyber­turvallisuuden mallimaa – Vastaamon tapaus paljasti, että kyber on vähän kaikkialla, eikä oikein missään - Kotimaa | HS.fi

Suomesta piti tulla kyber­turvallisuuden mallimaa – Vastaamon tapaus paljasti, että kyber on vähän kaikkialla, eikä oikein missään

Vastaamon tietomurto sai hallituksen pohtimaan kyberturvallisuuden vastuunjakoa. Pitkään ja hartaasti suunnitellussa vastuunjaossa olisi käyttöä ”kyberperkeleelle”.

Kuvassa valokaapeleita.­

12.11.2020 2:00 | Päivitetty 12.11.2020 13:47

Liikenne- ja viestintäministeriö asetti maanantaina työryhmän pohtimaan pääministeri Sanna Marinin tilaamaa selvitystä siitä, keskitetäänkö Suomessa kyberturvallisuuteen liittyvät asiat yhteen ministeriöön.

Kuulostaako puisevalta? Kerrataanpa.

Kun terapiakeskus Vastaamoon oli tehty tietomurto, sitä alettiin puolitoista vuotta myöhemmin kiristää. Satojen, jopa tuhansien ihmisten potilaskertomuksia ja henkilötietoja alkoi levitä verkossa. Uhrit olivat kauhuissaan, mutta avun järjestämiseen meni monta päivää.

Tietoja oli vuodettu jo kolme päivää, ennen kuin HS kirjoitti sähköisen ajan suuronnettomuustilanteesta sattumalta samaan aikaan kun kiristäjä alkoi lähettää Vastaamon sijaan kiristysposteja Vastaamon asiakkaille.

Katastrofin laajuus selvisi hitaasti kuin maanjäristystilanteessa, jossa uhriluku nousee tipoittain. Nyt ollaan jo 25000 rikosilmoituksen kohdalla.

Kun uutiset tietomurrosta alkoivat levitä, yritin tavoitella sosiaalipalveluista ja niihin kuuluvan kriisiavun järjestämisestä vastaavan perhepalveluministeri Krista Kiurun lehdistösuhteista vastaavaa avustajaa. Oli lauantai 24. lokakuuta, ja muutamaa tuntia myöhemmin Vastaamon asiakkaille alkoi saapua kiristysviestejä. Päivällä ministerin erityisavustajan työpuhelin kuitenkin pysyi kiinni, joten vastuuministeriäkään ei tavoittanut.

Moni lenkki ketjussa petti ja oli pettänyt jo aiemmin, muun muassa Vastaamon valvonta.

Kun ensimmäisten potilastietojen vuotamisesta oli kulunut viikko, tiede- ja kulttuuriministeri Annika Saarikko (kesk) puntaroi, pitäisikö onnettomuustutkintakeskuksen ottaa Vastaamon sotku hoitaakseen. Hallitus ryhtyi pohtimaan, miten tällaisen tapahtuminen voitaisiin jatkossa estää. Vastuuta oli vähän kaikilla, mutta kuka johtaisi ja delegoisi?

Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin vuonna 2013. Sen mukaan Suomesta oli tarkoitus tulla kyberturvallisuuden mallimaa vuoteen 2016 mennessä.

Jyväskylän yliopiston professori Martti Lehto ja Aalto-yliopiston työelämäprofessori Jarno Limnéll kirjoittivat tiiminsä kanssa asiasta kaksi eri raporttia.

Niistä jälkimmäinen ehdotti, että Suomi tarvitsisi joko vahvistusta liikenne- ja viestintäministeriön alaisuudessa toimivaan kyberturvallisuuskeskukseen, kansallisen kyberturvallisuusyksikön tai Valtioneuvoston kansliassa työskentelevän kyberturvallisuusjohtajan.

Raportti ilmestyi keväällä 2018. Limnéll oli kyllä ehdottanut tällaista valtioneuvostojohtajaa ensimmäistä kertaa jo vuonna 2014.

Tällä tavalla kyberasioiden johtaminen on järjestetty esimerkiksi Israelissa, pääministerin kanslian alaisuuteen. Piti israelilaisesta häikäilemättömyydestä tai ei, tehokkaita he ainakin ovat.

Lehdon ja Limnéllin raporttien pohjalta syntyi nimitys kybertsaari. Iltapäivälehtimäinen tsaari-titteli on peräisin Yhdysvalloista, jossa kyberasioita varten on presidentin alaisuudessa toimiva neuvonantaja. Tsaarittelu herätti Suomessa hihitystä koska keisarillisen Venäjän entisessä alusmaassa moinen kuulostaa pokkuroinnilta.

Kyberturvallisuuden parissa työskentelevien ammattilaisten turhautuminen kuitenkin puski läpi. Yksi ehdotti että sekasotkun siivoamiseen ei riitä tsaari, vaan tarvittaisiin varsinainen kyberperkele.

Johtajuudesta käytiin pitkällinen vääntö, ja lopulta tehtävä keskitettiin toimivallan perusteella liikenne- ja viestintäministeriöön. Kyberturvallisuusjohtaja Rauli Paananen aloitti ministeriössä huhtikuussa.

Joidenkin asiantuntijoiden mielestä virhe tapahtui juuri tässä, ei titteliä vaan johtajuutta jaettaessa. Ongelmana pidettiin sitä, että johtajuus on yhdessä ministeriössä eikä Valtioneuvoston kansliassa. Nimitettyyn ihmiseen itseensä tämä asia ei tietenkään liity. Kyse on siitä, että Valtioneuvoston kanslialla arvioidaan olevan kovempi auktoriteetti kuin yksittäisellä ministeriöllä.

Seitsemän vuotta Suomen ensimmäisen kyberturvallisuusstrategian julkaisun jälkeen paljastui sitten Vastaamon tapaus, mutta puutteita oli havaittu jo aiemmin. Kukaan ei oikein ollut johtanut hommaa, ja kyber oli kaikkialla ympäriinsä, mutta ei silti oikein kunnolla missään.

Nyt kyberturvallisuusjohtaja Paananen on luonnollisesti mukana uudessa järjestelyä suunnittelevassa työryhmässä, ja suurin osa tietoturvaan ja kyberturvallisuuteen liittyvästä toimivallasta on jo nyt liikenne- ja viestintäministeriössä.

HS keskusteli kyberturvallisuuden järjestämisestä myös muiden ministeriöiden virkaväen kanssa Vastaamon tietomurron ja kiristyksien tultua julki sekä Marinin tilattua selvityksensä. Vaikuttaa siltä, että liikenne- ja viestintäministeriö pitää kyberturvallisuuteen liittyvät asiat mieluusti itsellään.

Toisaalta: kukaan ei tunnu uskovan, että esimerkiksi valtiovarainministeriö tulisi luovuttamaan kaikkea toimivaltansa kyberasioissa, esimerkiksi budjettirahoitusta.

Olen seurannut kyberturvallisuutta ja sen kehitystä Suomessa enemmän tai vähemmän aktiivisesti noin kahdeksan vuotta. Edelleen sen järjestämisen ymmärtäminen tuottaa minulle vaikeuksia.

Kuin yrittäisi koota rikkinäistä himmeliä silmät kiinni, käsikopelolta.

Selvityksiä on tehty, strategioita luotu, päivitetty ja pantu toimeen. Kehitystäkin on tapahtunut, mutta silti esimerkiksi Vastaamon tapausta ei pystytty estämään.

Vastaamon tapauksessa vastuun hajautumisen haitat tulivat esille kirkkaasti juuri uhreille. Mistä saa omaluottokiellon, mistä osoitteenluovutuskiellon? Mistä saa keskusteluapua, entä pitääkö pankkikortit kuolettaa?

Kuvitelkaapa hetki sekaannuksen määrää, jos vaikkapa Helsingin sähkönsiirto jumiutuisi hakkerihyökkäyksen seurauksena. Miten toimia kun puhelinta ei voisikaan ladata? Missä ja miten kansalaisia silloin neuvottaisiin?

Jos asiaa on vaikea kuvitella, seurauksista voi lukea esimakua vaikkapa nimimerkki Ilkka Remeksen kirjasta Jäätyvä Helvetti.

Kyberturvallisuuden järjestämisessä on tietysti kyse vallasta, mutta samalla valtavasta vastuusta. Palapeliä on koottu monta vuotta, mutta paloja puuttuu. Nyt palat pitäisi sekoittaa ja koota uudelleen, eikä työryhmällä aikaa ole kuin tammikuuhun asti.

Kyberjohtajalla ei varmasti ole Suomen helpoin työ. Kyberjohtajaa saanee kutsua vaikka keisariksi, kunhan yhteiskuntamme vain pysyisi turvassa.

Tietomurtojen viimeisimpien uhrien vuotaneita tietoja ei työryhmä tai mikään nimitys tuo takaisin.

Osaston uusimmat

Luitko jo nämä?

Osaston luetuimmat