Mitä Suomen suvereniteetin puolustaminen kyberavaruudessa tarkoittaa?

Suomen puolustuspolitiikan perusperiaate on, että koko Suomea puolustetaan maalla, merellä ja ilmassa. Mutta entä kyberavaruudessa? Puolustusvoimien ensimmäinen tehtävä on Suomen sotilaallinen puolustaminen, mutta toiminta rajoittuu täysmääräisesti vain maa-, meri- ja ilmaulottuvuuksiin. Kyberpuolustuksen osalta Puolustusvoimien tehtäviin kuuluu kyllä tiedustelu, vaikuttaminen ja suojautuminen, mutta suojautuminen tarkoittaa tässä viitekehyksessä lähinnä puolustusvoimien oman toiminnan suojaamista.

Suomi julkisti Ulkoasianministeriön toimesta näkemyksensä kansainvälisestä oikeudesta kyberympäristössä lokakuussa 2020. Suomen näkemykset seuraavat kansainvälisestikin vallitsevia käsityksiä siitä, että kyberhyökkäys voidaan rinnastaa aseelliseen hyökkäykseen, jos se mittakaavaltaan ja vaikutuksiltaan on verrattavissa aseelliseen hyökkäykseen (asevoiman käyttöön). Tällöin valtiolla on oikeus puolustautua. Lisäksi valtiolla on velvollisuus olla sallimatta sitä, että sen aluetta käytetään tavalla, joka aiheuttaa merkittävää haittaa muiden maiden oikeuksille.

Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin vuonna 2013 ja päivitettiin 2019. Strategisissa linjauksissa korostetaan muun muassa yhteiskunnan eri tahojen yhteistoimintaa, tilanneymmärrystä, eri viranomaisten vastuualueita, lainsäädännön kehittämisen tarvetta, sekä kansainvälisen yhteistyön merkitystä. Strategian toimeenpanon osalta on tehty paljon hyvää. Kansallinen kyberturvallisuuskeskus on perustettu, tiedustelulainsäädäntö on kehitetty ja kyberharjoituksia on järjestetty jo useampia. Sen sijaan laajempi turvallisuuspoliittinen näkökulma, johon kuuluvat puolustuspoliittiset aspektit, on jäänyt käsittelemättä, vaikka ulkoasiainministeriön raportti antaisi aiheelle hyvät eväät. Suomi keskittyy tällä hetkellä lähinnä suojautumiseen ja varautumiseen, mutta ei ole määritellyt, mitä kansallinen kyberpuolustus de facto tarkoittaisi.

Suomen puolustaminen kyberavaruudessa edellyttää seuraavia asioita:

Attribuutiokykyä: attribuutio tarkoittaa käytännössä sitä, että pystytään osoittamaan, kuka hyökkäyksen takana on sekä ilmaisemaan tämä poliittisella tasolla. Toisin sanoen attribuutio edellyttää sekä teknistä osaamista että poliittista tahtoa.

Vastatoimet: vastatoimet voivat olla kaikkea diplomatiasta sotilaalliseen voimankäyttöön; suurvallat ovat ilmaisseet, että ne voivat vastata myös ydinasein. Tämä luo eräänlaisen pelotteen, jonka tavoitteena on hyökkäyskynnyksen nostaminen, eli vihamielisesti toimiva valtio joutuu arvioimaan, kannattaako hyökkäykseen sijoittaa resursseja (ja mainetta).

Tilannekuva: Suomella pitää olla kyky tuottaa kansallista tilannekuvaa, joka kattaa myös mm. kriittisen infrastruktuurin.

Operatiivinen johtaminen: Operatiiviset vastuut ja johtosuhteet pitää olla selkeästi määritelty ja harjoiteltu. Siinä vaiheessa, kun Suomeen kohdistuu laajamittainen kyberhyökkäys esim. kriittisen infrastruktuurin toimijoihin, on liian myöhäistä perustaa ”kybernyrkkiä”; nyrkki pitää olla olemassa ja sen toiminta hiottu.

Lainsäädäntö: Sekä valmiuslaki että aluevalvontalaki edellyttävät tarkastelua. Hybridioperaatioita, kuten kyber- ja informaatio-operaatioita, toteutetaan jo rauhanaikana, pitkään ennen poikkeusoloja tai mahdollista sotatilaa. Nykyistä lainsäädäntöä pitää päivittää siten, että viranomaisilla on tarvittavat toimivaltuudet hybridioperaatioiden torjuntaan jo rauhan aikana.

Jos Suomeen kohdistuisi laajamittainen hyökkäys, sen kohteena olisi todennäköisesti Suomen kriittinen infrastruktuuri, jonka varaan yhteiskuntamme toiminta nojautuu. Tähän kuuluvat muun muassa sähkö, tietoliikenne, finanssisektori, ruoka- ja vesihuolto, logistiikka ja viranomaistoiminta. Tällä hetkellä jokainen vastaa suojautumisestaan itse. Kansallinen kyberpuolustus ei sinänsä poistaisi edellä mainittujen tahojen velvollisuuksia suojata omaa toimintaansa, mutta se toisi ylimääräisen suojauskerroksen nostamalla vihamielisesti toimivan valtion hyökkäyskynnystä attribuution ja vastatoimien pelossa.

Lisäksi kansallinen kyberpuolustus voisi tukea tiiviimpää yhteistoimintaa ja tietojenvaihtoa viranomaisten ja kriittisen infrastruktuurin omistajien välillä. Esim. Laki sotilastiedustelusta §74 mahdollistaa jo nyt sen, että sotilastiedusteluviranomainen voisi luovuttaa tietoja suoraan yritykselle. (” Sotilastiedusteluviranomainen saa salassapitosäännösten estämättä luovuttaa tietoliikennetiedustelun avulla hankittuja tietoja haitallisesta tietokoneohjelmasta ja sen toiminnasta yritykselle, yhteisölle tai viranomaiselle, jos tietojen luovuttaminen on tarpeen sotilaallisen maanpuolustuksen kannalta, kansallisen turvallisuuden suojaamiseksi tai yrityksen tai yhteisön etujen turvaamiseksi.”) Vastaavasti yritykset, jotka tekevät omaa avoimiin lähteisiin perustuvaa tiedustelua omaa tilannekuvaa varten, voisivat tarjota viranomaisille lisätietoja kansallisen tilannekuvan täydentämiseksi.

Suomi kehittää kyberturvallisuuden osalta vahvasti suojautumista ja varautumista, mutta valitettavasti se ei riitä. Suomen pitää ottaa kantaa siihen, mitä Suomen suvereniteetin puolustaminen myös kyberavaruudessa tarkoittaa. Ulkoasianministeriön raportti on hyvä, mutta se on edelleen pelkkä paperi. Käytännön toimenpiteet puuttuvat. Suomella olisi hyvät edellytykset saattaa asia kuntoon, sillä meillä on tarvittavaa osaamista sekä kansalliset ja kansainväliset verkostot. Vain poliittinen tahto näyttää puuttuvan.