Kyberisku eduskuntaan ei ole ainutlaatuinen, vaikka epäillyn vakoilurikoksen tutkinta on Suomessa harvinaista: ”Täydellistä turvallisuutta ei ole”, sanoo asiantuntija

Krp tutkii eduskuntaan kohdistuvaa tietomurtoa myös epäiltynä vakoiluna, mikä on harvinaista Suomessa. Poliittisiin toimijoihin ja yritysmaailmaan kohdistuvat kyberhyökkäykset ovat kuitenkin jo tavallisia.

Eduskuntaan kohdistunut tietomurto on vakava, vaikkei ainutlaatuinen tapaus, sanoo Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll.

Eduskuntatiedotus kertoi maanantaina, että eduskuntaan kohdistui syksyllä kyberhyökkäys, joka havaittiin sisäisessä teknisessä valvonnassa. Hyökkäys vaaransi tietoturvan osassa eduskunnan sähköpostitilejä, joista osa kuului kansanedustajille.

Tapauksen esitutkinnasta on vastannut keskusrikospoliisi (krp), joka ei ole halunnut antaa tutkinnasta tarkkoja tietoja. Limnéll ymmärtää poliisin niukan tiedotuslinjan.

”Kaikki on vielä vähän spekulatiivista tapaukseen liittyen, mutta ymmärrän hyvin, ettei haluta kertoa yksityiskohtia siitä, miten asiaa tutkitaan ja mitä eri keinoja siihen liittyy”, Limnéll sanoo.

Tapauksen tultua julkisuuteen eduskunnan puhemies Anu Vehviläinen ja presidentti Sauli Niinistö tuomitsivat teon ja kuvailivat iskun olevan ”vakava loukkaus demokratiaamme ja suomalaista yhteiskuntaa kohtaan”.

”Tekijöiden ja toki muidenkin suuntaan on tärkeä signaali todeta selkeästi, että valtion päämiehet ovat hereillä ja pitävät tekoa vääränä. Se oli tärkeä ulostulo, kun ajatellaan turvallisuuden ja pelotteen luomista”, Limnéll arvioi.

Aalto-yliopiston kyberturvallisuuden professori Jarno Limnéll.­

Limnéll on seurannut kybermaailman ilmiöitä ja kehittymistä pitkään. Vuonna 2018 hän kirjoitti yhdessä ministeri Jaakko Iloniemen kanssa Uhkakuvat-nimisen kirjan, joka käsittelee uusia ja vanhoja yhteiskuntaan kohdistuvia uhkia.

Eritasoisia tietomurtoja ja -vuotoja kohdistetaan ympäri maailmaa parlamentteihin ja poliittisiin toimijoihin, jotka ovat tiedustelutoiminnan kohteena.

”Näistä kerrotaan aika usein myös julkisuudessa, mutta osasta ei kerrota koskaan. Muitakin maita vakoillaan, ja myös yritysmaailma on aktiivisen vakoilun kohteena. Erilaisia toimijoita kiinnostavat yritysten tärkeät tuotekehitystiedot.”

Lue lisää: Iso osa tietomurroista on rikollis­ryhmien tekemiä – Kyber­rikollisuus ei ole pientä näpertelyä kellarissa, sanoo asiantuntija

Eduskuntaan kohdistuneen tietomurron esitutkinta aloitettiin krp:n mukaan loppusyksystä. Tietomurtoa tutkitaan epäiltynä törkeänä tietomurtona ja vakoiluna.

Vakoilu on harvinainen rikosnimike. Rikosylikomisario Tero Muurman keskusrikospoliisista perusteli rikosnimikettä HS:lle sillä, ettei rikoksen kohdistuminen juuri eduskuntaan ollut vahinko. Krp:n mukaan yksi vaihtoehto on, että tietoa on hankittu vieraan valtion hyödyksi tai Suomen vahingoittamiseksi.

Limnéllin mukaan on huomionarvoista, että poliisi ei pidä tekoa sattumanvaraisena tai tahattomana. Julkisuuteen ei ole kerrottu, millaisia tietoja tekijät ovat mahdollisesti saaneet käsiinsä.

”Vakoilu on epäilynä silloin, kun epäillään luvatonta tiedonhankintaa”, Limnéll sanoo.

Vähimmäisrangaistus vakoilusta on vuosi ja enimmäisrangaistus kymmenen vuotta. Myös vakoilun yritys on rangaistava teko.

Vakoilusta tuomitaan henkilö, joka vierasta valtiota hyödyttääkseen tai Suomea vahingoittaakseen hankkii tiedon sellaisesta Suomen turvallisuuteen vaikuttavasta seikasta, jonka tuleminen vieraan valtion tietoon voi aiheuttaa vahinkoa Suomen maanpuolustukselle, turvallisuudelle, ulkomaansuhteille tai kansantaloudelle.

Krp:n mukaan tutkinnassa on tehty yhteistyötä kansainvälisesti ja muun muassa suojelupoliisin (Supo) kanssa.

Supon tehtävät muuttuivat viime vuonna tiedustelupalvelun suuntaan, kun uudet tiedustelulait hyväksyttiin eduskunnassa. Supo luopui poliisille kuuluvista esitutkintavaltuuksista, ja se keskittyy nykyisin entistä enemmän kansallisen turvallisuuden uhkien havaitsemiseen.

Eduskuntaan kohdistuneen tietomurron tutkinta on lakiuudistusten jälkeen ensimmäinen tapaus, jossa keskusrikospoliisi vastaa epäillyn vakoilurikoksen esitutkinnasta.

Lokakuun lopussa julkaistussa kansallisen turvallisuuden katsauksessa Supo totesi, että vieraiden valtioiden tiedustelutoiminta Suomea vastaan on jatkunut pandemiasta huolimatta.

Vakoilun painopiste siirtyi pandemian takia jonkin verran kyberympäristöön eli verkkoon. Supon raportin mukaan verkkovakoilua harjoittavat valtiot eivät pystyneet heti täysimääräisesti hyödyntämään tilannetta.

Raportti tuli julki 29. lokakuuta. Eduskuntaan kohdistuneen tietomurron tarkkaa ajankohtaa ei ole kerrottu, mutta sen on kerrottu tapahtuneen syksyllä ja esitutkinnan alkaneen loppusyksystä.

Supon mukaan systemaattista kybervakoilua ja muutakin tiedustelutoimintaa Suomeen kohdistavat Venäjä ja Kiina.

Tietoturvan parantaminen on koko yhteiskunnan yhteinen ponnistus, Limnéll sanoo. Teknologisia suojausjärjestelmiä täytyy koko ajan kehittää ja päivittää.

Tietojen luokittelu arkaluonteisuuden suhteen on tärkeää, jotta tärkeimmät tiedot voidaan pitää tarpeeksi vahvasti suojattuina.

”Projekti on pidempi kuin kvartaali tai hallituskausi, kyse on jatkuvasta parantamisen prosessista”, Limnéll sanoo.

Hän korostaa vahvaa, kotimaista tietoturvaan keskittyvää yrityskenttää, kansalaistaitojen kehittämistä, lainsäädännöllisiä keinoja, kansainvälistä yhteistyötä ”samanmielisten valtioiden” kanssa ja valmiutta käydä tarvittaessa vastatoimiin kybertoimintaympäristössä.

Limnéllin mukaan kyse on loppujen lopuksi Suomen suvereniteetista.

”Monesti tänäkin päivänä saadaan paljon aikaan jo sillä, että laitetaan perustietoturva-asiat kuntoon. Mikään teknologia ei voi korvata oikeanlaista, huolellista ja valpasta asennetta verkkomaailmassa edes kansanedustajien kohdalla”, Limnéll sanoo.

”Vaikka viimeisimmät tekniikat olisivat käytössä, ihmiset koulutettaisiin hyvin ja kaikki tehtäisiin aivan oikein, riski on aina olemassa. Täydellistä turvallisuutta ei ole.”

Limnéll korostaa, että ongelmiin täytyy varautua, vaikka kaikkia hyökkäyksiä ja iskuja ei voi estää. Esimerkiksi arkaluonteisten tietojen mahdollisuus päästä vääriin käsiin täytyy yrittää minimoida vaikkapa niin, että arkaluonteista tietoa ei edes viedä verkkoon tai digitaaliseen muotoon.

”Syystä tai toisesta tietomurtoja tapahtuu ja täytyy varautua siihen, miten tilanteessa toimitaan aina viestinnästä alkaen.”