Kybervakoilu vaarantaa kilpailukyvyn

Yhdysvallat arvioi kybervakoilun aiheuttavan maalle vuosittain noin puolen miljoonan työpaikan menetyksen, ja maassa todetaan olevan parhaillaan käynnissä ”maan historian suurin hyvinvoinnin siirtymä” – kybervakoilun takia. Yhdysvallat listaa kybervakoilun, yhdessä kyberhyökkäysten kanssa, viimeisimmissä julkisissa arvioissaan vakavimmaksi maan turvallisuutta uhkaavaksi tekijäksi. Kybervakoilussa on kyse merkittävästä kansainvälispoliittisesta ja taloudellisesta asiasta, joka koskettaa myös Suomea. Kybervakoilun merkitystä emme Suomessa riittävästi tiedosta.

On luonnollista, että vakoilu on siirtynyt verkkoon, kun tietokin on siellä. Maailman kaikesta tiedosta yli 99 prosenttia on tänä päivänä niin sanotussa bittien maailmassa, ja siten hakkeroitavissa. Uutiset yhä kehittyneemmistä vakoiluohjelmista, jotka ovat vuosien ajan ennen paljastumistaan keränneet tietoa tietoverkoissa ja tietojärjestelmissä, alkavat olla maailmalla arkipäivää. Tilanne on lähes sama kuin, jos ulkopuolisella olisi täydelliset kulkuoikeudet organisaation tiloihin ja niiden seurantaan ympäri vuorokauden, ja siitä saisi tietää vasta vuosien päästä. Rehellinen kysymys enemminkin kuuluu, mitä vakoiluohjelmia tietoverkoissa tällä hetkellä on, joita emme tiedä siellä olevan.

Tämän päivän yhteiskunnissa ja yrityksissä tieto on hyvin tärkeä pääoma. Esimerkiksi yrityksen vuosia kestäneen tuotekehitystyön tuloksien päätyminen kilpailijan käsiin antaa kilpailijalle merkittävän etulyöntiaseman samaan tuotteen valmistamisessa – ilman tuotekehityskustannuksia. Valtion arkaluonteisten poliittisten, taloudellisten, sotilaallisten tai ulkosuhteita koskevien tietojen menettäminen voi puolestaan aiheuttaa maalle vakavia seurauksia. Olennaista on ymmärtää tieto nimenomaan pääomana. Esimerkkinä käytetty Yhdysvallat arvioi kybervakoilun kautta menetetyn kansallisen ”älyllisen pääoman ja aineettoman omaisuuden” olevan tänä päivänä jo niin suurta, että tiedon menettämisellä todetaan olevan kohtalokkaita vaikutuksia maan taloudelle, turvallisuudelle ja tulevaisuudelle. Eikä kyse ole luonnollisesti vain Yhdysvalloista, jolla on luultavimmin maailman parhaat edellytykset kybervakoilun harjoittamiseen.

Yhdysvallat osoittaa sormella erityisesti Kiinaa, jonka se arvioi merkittävimmän olevan kybervakoilun takana, ja Kiinan valtiollisten vakoiluelinten antavan yhdysvaltaisista yrityksistä saamansa tiedon kiinalaisten yritysten käyttöön. Kiina kiistää syytökset ja syyttää samasta asiasta Yhdysvaltoja. Kummankaan maan kädet eivät ole puhtaat ja poliittinen retoriikka kovenee. Välit näiden maailman kahden talousmahdin välillä ovat kybervakoilusyytösten takia kiristyneet, ja kybervakoiluasiat ovat olleet maiden presidenttien tämän vuoden tapaamisissa asialistan tärkeimpiä asioita.

Vaikka tiedustelu on enenevissä määrin siirtynyt verkkoon, on hyvä pitää mielessä, ettei fyysinen vakoilu ole kadonnut mihinkään. Tiedon keräämistä voidaan lisäksi toteuttaa moninaisin tavoin julkisista lähteistä eri tiedon sirpaleita nykytekniikalla yhdistäen. Mutta tilanne on hyvin erilainen, kun tietoisesti lähdetään murtautumaan sisälle toisen valtion tietojärjestelmiin. Tällöin voi kysyä: Pitääkö aktiivista ja tietoista tunkeutumista tietojärjestelmiin – tiedon varastamiseksi – kutsua kybervakoiluksi vai kyberhyökkäykseksi? Miten tällaiseen valtiolliseen toimintaan tulisi vastata?

Valtiollisessa kybervakoilussa on kyse hyökkäyksellisestä toimesta. Siinä rikotaan toisen valtion suvereniteettia murtautumalla offensiivisesti toisen valtion tietojärjestelmiin. Järjestelmissä sisällä ollessa kyse voi olla ainoastaan tiedon keräämisestä, mutta samalla voi tehdä paljon muutakin.

Tiedon merkitys yhteiskuntien ja valtioiden pääomana kasvaa. Samalla kasvaa kybervakoilu, mikä on perinteisiin vakoilumenetelmiin verrattuna kustannustehokas, kiinnijäämisen riski on varsin pieni ja seuraukset paljastumisista ovat ainakin toistaiseksi jääneet yleisen paheksunnan tasolle, etenkin poliittisesti.

On liian yksinkertaista todeta, että vakoilua on ollut aina ja kaikki vakoilevat kaikkia. Tämä on totta, mutta kun arvioi tiedon elintärkeää merkitystä tämän päivän yhteiskunnille ja yrityksille, ja miten merkittävää haittaa tärkeän tiedon menettäminen voi pahimmillaan kansantaloudellisesti aiheuttaa, emme välttämättä ole maailmassa kaukana siitä tilanteesta, että valtiot alkavat vastata vakaviin kybervakoiluloukkauksiin ja massiivisiin tiedonmenetyksiin fyysisellä voimankäytöllä. Vakoilun juridisen ja moraalisen arvioinnin ja määrittelyn suhteen liikutaan aina harmaalla vyöhykkeellä, mutta itse arvioin harmaan muuttuvan kybervakoilussa värisävyltään yhä tummemmaksi toiminnaksi.

On turha kuvitella, että Suomi olisi kybervakoilun ulottamattomissa ja Ulkoasianministeriön vakoilutapauksen olleen äärimmäinen poikkeus. Tarpeettomaan uhkapelotteluun ei ole tarvetta, mutta trendi on tiedostettava: Valtiot sekä lisääntyvissä määrin myös yritykset kehittävät hienostuneempia vakoiluohjelmia ja näyttävät olevan yhä valmiimpia niiden aktiiviseen ja jopa aggressiiviseen käyttöön. Suomen valtioon, yrityksiin ja yliopistoihin kohdistuessaan kybervakoilu heikentää Suomen mahdollisuuksia pärjätä kovenevassa kansainvälisessä kilpailussa. On vakavan pohdinnan paikka, että miten vakavan poliittisen ja taloudellisen uhkan laajamittainen valtiollinen kybervakoilu Suomelle aiheuttaa, ja miten aiomme siihen myös poliittisesti vastata?

Jk. Aalto-yliopisto järjestää kaikille avoimen yleisöluentosarjan kyberturvallisuudesta. Tervetuloa kuuntelemaan ja keskustelemaan. http://www.aalto.fi/fi/current/news/2014-11-05-003/