Ennakkotapausta odotettaessa
Yhdysvaltojen kansallisissa uhka-arvioissa kyberhyökkäykset ja kybervakoilu ovat kärkisijalla. Mielenkiintoinen on etenkin ”viattomalta tuntuva” vakoilu, sillä vakoilua yleensä pidetään jatkuvasti tapahtuvana ilmiönä, ilman terrori-iskujen kaltaisia uutisotsikoita tai tunnereaktioita. Yhdysvallat on kuitenkin virallisesti todennut kybervakoilun olevan vakavin uhka maansa taloudelliselle turvallisuudelle. Kyse on yhdysvaltalaisiin yrityksiin kohdistuvasta teollisuusvakoilusta, jossa (yhdysvaltalaislähteiden mukaan) yrityksiltä varastetaan kilpailukyvyn kannalta tärkeää esimerkiksi tutkimus- ja tuotekehitystietoa. Yhdysvaltalaiset arvioivat kybervakoilun aiheuttavan satojen tuhansien työpaikkojen sekä noin 330 miljardin dollarin menetyksen – vuosittain. Vaikka vain puolet luvuista olisi totta, ovat vaikutukset merkittäviä.
Yhdysvaltoja on kesän ajan puhututtanut taloudellisen kybervakoilun sijasta perinteisempi kybervakoilutapaus. Tapausta on pidetty vakavimpana tietojen varastamisena Yhdysvalloissa, mitä maa on koskaan kokenut. Maan hallinnon henkilöstöasioista vastaavasta virastosta on viety arviolta 22 miljoonan ihmisen tiedot (seitsemän prosenttia yhdysvaltalaisista), eikä kyse ei ole vain nimistä ja henkilötunnuksista vaan laajasti ihmisten arkaluonteisista henkilökohtaisista tiedoista, alkoholitaipumuksia ja rikoshistoriaa myöten. Käsityksen tietojen menetyksen laajuudesta ymmärtää paremmin, kun tutustuu 127-sivuiseen liittovaltion hyvin yksityiskohtaiseen kyselylomakkeeseen, jonka jokainen liittovaltion turvallisuustehtäviin hakeutunut työntekijä on joutunut täyttämään. Nyt nämä tiedot on varastettu. Myös 1,1 miljoonan sormenjälkien todetaan paljastuneen.
On selvää, että näin laaja menetetty yksityiskohtainen tietomäärä valtion turvallisuustehtävissä työskentelevistä ihmisistä on merkittävä turvallisuusriski. Menetettyjä tietoja voidaan käyttää esimerkiksi kiristykseen ja uhkailuun. Myös pelkästään ajatus siitä, että omat tiedot ovat ”jonkun toisen käsissä” olisi varmasti meille jokaiselle epämiellyttävää. Tosin vielä epämiellyttävämmältä tuntuu ajatus, ettei tietoja olisi pelkästään varastettu, vaan niitä olisi muutettu esimerkiksi terveystietojen osalta tietojärjestelmiin, jossa tiedot edelleen ovat.
On ymmärrettävää, että asiasta on noussut Yhdysvalloissa poliittinen kohu: ihmisiä on eronnut ja erotettu, poliitikot ovat vaatineet kyberturvallisuustoimien tehostamista, turvallisuusviranomaiset ovat jäljittäneet tekijää ja Valkoinen talossa on arvioitu vastatoimia syyllisen varalle.
Useat arvovaltaiset yhdysvaltalaiset turvallisuusviranomaiset sekä asiantuntijat ovat julkisesti syyttäneet tapahtuneesta Kiinaa, joka on useasti aiemmin ollut laajojen kybervakoilusyytösten kohteena Yhdysvalloissa. Etenkin taloudelliset kybervakoilusyytökset hiertävät näiden kahden maailman talousmahdin välejä. Yhdysvallat asetti viime vuonna viisi kiinalaista sotilashakkeria syytteeseen kybervakoilusta ja yhtenä pelotteena julistanut tänä vuonna erityisen sanktiopolitiikan, jota Yhdysvallat on valmiina käyttämään sitä vakoilevia valtioita kohtaan. Sanktiopolitiikka on yhdysvaltalaisarvioiden mukaan luotu erityisesti Kiinaa kohtaan.
Kun Yhdysvaltojen tiedustelupalvelujen johtaja James Clapper, useat yhdysvaltalaiset viranomaiset sekä merkittävä yhdysvaltalainen kyberturvallisuus-alan yritys totesivat kesäkuun lopulla Kiinan olevan todisteiden valossa mitä todennäköisimmin tietovarkauden takana, on moni odottanut Valkoisen talon reaktiota ja käytännön toimenpiteitä Kiinan suuntaan. Kyse olisi hyvin merkittävästä kansainvälispoliittisesta ennakkotapauksesta, joka tulisi määrittelemään vastaaviin tapauksiin suhtautumisia tulevaisuudessa, sillä kybervakoilun – taloudellisen ja poliittisen – kehittyneisyys ja aktiivisuus ovat voimakkaassa nousussa.
Yhdysvaltojen reaktio oli kuitenkin yllättävä. Yhdysvallat päätti olla (julkisesti) syyttämästä Kiinaa tapauksesta. Moni on eilisen päätöksen jälkeen kysynyt: Miksi? Syitä on todennäköisimmin kaksi. Ensinnä, kuten Valkoisesta talostakin todettiin, Kiinan syyttäminen asettaisi Yhdysvallat tilanteeseen, jossa sen olisi tuotava julkisuuteen todisteita Kiinan syyllisyydestä. Tätä Yhdysvallat ei halunnut tehdä, koska tällöin sen omat tiedustelukyvyt ja -tavat saattaisivat liiaksi paljastua. Toiseksi, kyse olisi poliittisesti hyvin hankalasta asiasta – Yhdysvaltojen ja Kiinan suhteiden todellisesta vaarantamisesta. Mikäli Yhdysvallat poliittisesti toteaisi Kiinan olevan syyllinen, olisi sen oman uskottavuutensa nimissä pakko näin vakavan tapauksen seurauksena ryhtyä merkittäviin vastatoimiin. Tätä ”hyppyä kynnyksen yli” tuntemattomaan Yhdysvallat ei ainakaan vielä halunnut tehdä.
Päätös on välittömästi aloittanut Yhdysvalloissa laajan keskustelun, jossa päällimmäisenä on kysymys: Tarkoittaako päätös ainakin poliittisen kybervakoilun hyväksymistä ja jopa siihen kannustamista?
Muutkin kuin Yhdysvallat joutuvat nyt aiempaa enemmän miettimään omaa politiikkaansa ja vastatoimiaan niin taloudellisen kuin poliittisen kybervakoilun varalle. Mikä olisi Suomen poliittinen reaktio, mikäli vastaavassa laajuudessa suomalaisten tietoja menetettäisiin todennäköisimmin vieraan valtion haltuun tietomurron seurauksena? Entä mikäli paljastuisi laaja ja suomalaisiin yrityksiin kohdennettu kybervakoiluohjelma, jolla olisi merkittäviä taloudellisia vaikutuksia Suomelle? Toki tekijän aukoton todentaminen on kyberympäristössä haasteellista, mutta digitaaliset ja fyysiset keinot kehittyvät jatkuvasti syyllisen löytämiseen riittävällä varmuudella.
Tämän päivän kyberturvallisuudessa strategiset ja poliittiset kysymykset ovat huomattavasti teknologisia kysymyksiä hankalampia ratkaistaviksi. Kybervakoilun osalta todellista ennakkotapausta odotetaan maailmassa edelleen.
Kommentit (0)