Se alkaa huolimattomasta klikkauksesta.
Olet saanut työsähköpostiisi viestin, joka näyttää tulleen työnantajaltasi. Viestissä on myös liitetiedosto. Se voi tuntua oudolta, mutta nimen perusteella tiedosto liittyy työtehtävääsi, joten päätät avata sen.
Olet joutunut kohdennetun kalastelun (spearphishing) kohteeksi. Se on yksi keino, jota valtiollinen toimija käyttää saadakseen jalansijan toisen maan turvallisuudelle tärkeästä tietojärjestelmästä.
Myös Suomen turvallisuuteen ja huoltovarmuuteen liittyviin tahoihin pyritään sisään jatkuvasti. Usein takana on nimenomaan Venäjä, vaikka siitä puhutaan Suomessa julkisesti vain vähän.
– Suomen kriittisiin kohteisiin on kohdistunut karkeasti 30 prosenttia enemmän hyökkäyksiä Venäjän Ukrainaan tekemän hyökkäyksen jälkeen, sanoo toimitusjohtaja Aapo Cederberg kyberuhkia analysoivasta Cyberwatch Finlandista.
Tunnumme edelleen olevan keskeinen kohde.
Ari Uusikartano, ulkoministeriö
Suurelle yleisölle näkyvimpiä kyberhyökkäyksiä ovat palvelunestohyökkäykset. Ne ovat kuitenkin yleensä vaarattomampia kuin tietomurrot, joihin hyökkääjä pyrkii etsimällä haavoittuvuuksia tai kalastelemalla käyttäjätunnuksia.
Suomalaisissakin yrityksissä on sisällä venäläisiä hakkereita
Kun tavallinen rikollinen onnistuu tietomurrossa, hän yleensä muuttaa sen rahaksi mahdollisimman pian. Tyypillinen tapa on lukita yrityksen tiedot ja vaatia niiden avaamisesta lunnaita.
Valtiollinen toimija saattaa pysytellä hiljaa sisällä jopa vuosia, sanoo tietoturvayhtiö Cyber Intelligence Housen toimitusjohtaja Mikko Niemelä. Näin hyökkääjä voi hankkia tietoa tai valmistella kybersabotaasia.
– Tavoite on, että heillä olisi kaikkiin kriittisiin firmoihin pysyvä pääsy.
Asiantuntijoiden mukaan venäläisillä hakkereilla on tälläkin hetkellä pääsy useisiin suomalaisiin organisaatioihin. Kuinka moneen, sitä ei tiedä kukaan.
– Valitettava tosiasia on se, että ne ovat monissa organisaatioissa sisällä, ei me voida sitä kiistää, Aapo Cederberg sanoo.
Venäjä on jo pitkään harjoitellut kybersodankäyntiä hyökkäilemällä verkossa länsimaita vastaan. Yritysten tietoturvassa onkin painotettu viime vuosina yhä enemmän verkkoon päässeiden tunkeutujien havaitsemista.
– Pitäisi olla varautunut siihen, että hyökkääjä on jo sisällä ja on tuonut mukanaan ohjelmia, jotka odottavat komentoa. Niiden löytäminen vaatii kehittyneitä tekoälypohjaisia työkaluja, sanoo Puolustusvoimien strategisen kumppanin Instan toimitusjohtaja Henry Nieminen.
”Kuulostaa elokuvatouhulta, mutta alkaa olla tätä päivää”
Suomessa ei ole syytä paniikkiin Venäjän kyberhyökkäysten vuoksi. Huoltovarmuuden ja turvallisuuden kannalta tärkeitä yrityksissä työskentelevien kannattaa silti olla hereillä.
– Me ollaan oikeastaan kaikki kohteita – toiset enemmän, toiset vähemmän, sanoo kyberturvallisuusjohtaja Arttu Leppälä Suomen suurimpiin kuuluvasta it-palveluyhtiö CGI:stä.
Valtiolliset toimijat käyttävät kyberhyökkäyksissä usein samoja keinoja kuin tavalliset verkkorikolliset – ainoastaan paremmin.
Ukrainassa Venäjä on turvautunut kohdennettuun kalasteluun pyrkiessään sisälle armeijan, median, teleoperaattorien ja valtionhallinnon järjestelmiin. Näissä operaatioissa hyödynnetään tietoa, jota on kerätty kohteista paitsi sähköisesti, myös fyysisellä vakoilulla.
Tästä on kokemusta myös Suomesta: esimerkiksi Patrian työntekijät ovat kertoneet työnantajalle tapauksista, joissa joku on vaikuttanut seuraavan heitä. Tietoturvallisuusjohtaja Ari Etholén ei tosin väitä, että tapaukset liittyisivät nimenomaan Venäjän kybervakoiluun.
– Monesti jos halutaan sisään järjestelmään, aletaan rakentaa profiilia ihmisestä ja katsotaan, mikä olisi paras tapa lähestyä häntä ja yritystä. Se kuulostaa elokuvatouhulta, mutta se alkaa olla tätä päivää, Etholén sanoo.
Suomalaisia vakoilevat netissä muutkin kuin Venäjä. Eduskunnan kybervakoilun jäljet johtivat Kiinaan; muita aktiivisia toimijoita maailmalla ovat muun muassa Yhdysvallat, Iran, Pohjois-Korea ja Israel. Useimmille valtioille Suomi ei kuitenkaan ole tärkeä kohde.
Kyberhyökkäysten alkuperän voi päätellä esimerkiksi kohteen valinnasta, hyökkäyksissä käytetyistä työkaluista ja muista digitaalisista jäljistä.
Venäjän kybervakoilusta tiedetään enemmän kuin puhutaan
Yrityksiin kohdistuvat kyberhyökkäykset Suomessa ovat ilmiö, josta useimmat tahot ovat haluttomia puhumaan – varsinkin, jos samassa virkkeessä puhutaan Venäjästä.
Yle pyysi tätä juttua varten kommenttia esimerkiksi viideltä puolustusteollisuudessa työskentelevältä yritykseltä. Yksi kieltäytyi ja kaksi muuta toivoi, että vastauksia käytettäisiin mainitsematta yrityksen nimeä.
– Tiedämme [Venäjän tekemistä kyberhyökkäyksistä] enemmän kuin haluamme puhua, erään yrityksen edustaja sanoo nimettömyyden ehdolla.
Osin hiljaisuutta perustellaan sillä, että kyberiskujen todellista tekijää on vaikea osoittaa sormella sataprosenttisen varmasti. Joskus halutaan myös pimittää tietoa, että puolustajalla on kyky havaita ja estää hyökkäys.
– Kybersodankäynti on ollut hämärän salaisuuden verhon takana oleva asia, josta ei ole haluttu puhua julkisuuteen, sanoo Jari Juutilainen, joka tutki Ukrainan kybersotaa opinnäytetyössään.
Juutilaisen mukaan Ukrainan sota näyttää muuttaneen keskustelukulttuuria maailmalla. Esimerkiksi Yhdysvallat, Iso-Britannia ja jättiyhtiö Microsoft ovat alkaneet yhä avoimemmin kertoa Venäjän valtion tai sille uskollisten tahojen tekemistä kyberhyökkäyksistä.
– Asioista voidaan puhua helpommin niiden oikeilla nimillä ja se on selkeästi hyvä asia. Se poistaa kybersodankäynnin pelotetta, kun osapuolet ja heidän kyvykkyytensä tiedetään, Juutilainen sanoo.
Asiantuntijat kaipaavat avoimuutta Suomeenkin
Maaliskuussa Britannian hallitus tiedotti: maa oli paljastanut laajan kybervakoilukampanjan, jonka taustalla oli Venäjän tiedustelupalvelu FSB ja ”lähes varmasti” sen alainen hakkeriryhmä Berserk Bear.
– Lähetämme selkeän viestin Kremliin asettamalla pakotteita heille, jotka ottavat kohteeksi ihmisiä, yrityksiä ja infrastruktuuria. Emme suvaitse sitä, silloinen ulkoministeri Liz Truss lausui tiedotteessa.
Eihän sitä ole saanut Suomessa sanoa.
Aapo Cederberg, Cyberwatch Finland
Miksi Suomessa ei ole näkynyt vastaavaa tiedotetta Venäjän johonkin suomalaiseen tahoon kohdistamasta kyberhyökkäyksestä? Eikö hyökkäyksiä ole tapahtunut vai eikö niistä haluta puhua?
Ylen tätä juttua varten haastattelemat asiantuntijat ovat sitä mieltä, että kyse on jälkimmäisestä. Esimerkiksi kun ulkoministeriö joutui venäläisen verkkovakoilun kohteeksi vuonna 2013, iskun tehneen ryhmän paljasti julkisuuteen Yle.
– Tämä on sellainen kulttuuri, jota sopisi tuulettaa. Minun sukupolveni ja nuoremmat pitävät sitä suomettumisena, mutta ehkäpä sille löytyy toisia nimityksiä, WithSecuren tietoturvajohtaja Erka Koivunen sanoo.
Myös Aapo Cederbergin mielestä Suomessa ei ole riittävän avoimesti puhuttu Venäjän toiminnasta netissä. Itänaapurin tyyli on ollut tiedossa vuodesta 2007, Viron patsaskiistassa tehdyistä kyberhyökkäyksistä asti. Myöhemmin Venäjä julkaisi hybridisodankäynnin konseptin, jossa kyberiskut olivat osa uuden ajan sodankäyntiä.
– Eihän sitä ole saanut Suomessa sanoa, Cederberg toteaa.
– Mutta nyt, kuten presidentti Sauli Niinistö sanoi, maskit ovat pudonneet. Nyt pitää tuoda faktat pöytään, että kuka tekee ja miksi.
Ukrainan sota näytti, miten Venäjä hyödyntää kybervakoilutietoa
Tuntia ennen Venäjän hyökkäyksen alkua hakkerit valjastivat Ukrainassa sijaitsevat satelliittimodeemit massiiviseen palvelunestohyökkäykseen. Jopa kymmeniä tuhansia satelliittiyhteyksiä ympäri Eurooppaa pimeni. Se oli esimerkki siitä, miten Venäjä käyttää tietojärjestelmissä saavuttamiaan jalansijoja.
Kokonaisuutena Venäjän saavutukset Ukrainan kybersodassa ovat kuitenkin olleet pelättyä pienemmät. Esimerkiksi energianjakelua ei ole pystytty häiritsemään riittävästi kyberiskuilla, joten Venäjä on joutunut pommittamaan voimalaitoksia kalliilla ohjuksilla.
Venäjän vaikeudet voivat johtua osin Ukrainan vahvasta, häiriöihin hyvin sopeutuvasta kyberpuolustuksesta.
– Isoin oppi myös Suomeen on kansallisen varautumisen tärkeys. Parannetaan yleistä tietoturvakulttuuria, hoidetaan päivitykset kuntoon, tehdään yhteistyötä omassa maassa ja kansainvälisesti, sanoo Ukrainan kybersotaa tutkinut Jari Juutilainen.
Ulkoministeriössä ymmärrettiin siihen kohdistuneiden kyberiskujen jälkeen, että ministeriön turvatoimet eivät riittäneet kehittyneitä valtiollisia hyökkäyksiä vastaan. Nyt tietoturva on uusittu ISO 27001 -standardin mukaiseksi.
– Tunnumme edelleen olevan keskeinen kohde, ulkoministeriön tietohallintojohtaja Ari Uusikartano sanoo.
Me ollaan oikeastaan kaikki kohteita – toiset enemmän, toiset vähemmän.
Arttu Leppälä, CGI
WithSecuren tietoturvajohtaja Erka Koivusen mielestä Suomen tulisi jakaa nykyistä avoimemmin tietoa siitä, millaisia hyökkäyskeinoja paitsi Venäjällä, myös muilla uhkatoimijoilla on. Hänen mukaansa esimerkiksi takavuosien puheet Suomen tietoverkoista ”maailman puhtaimpaina verkkoina” eivät ole olleet totta pitkään aikaan.
– Meillä on ajateltu, että ollaan suojassa ilman että tarvitsee ajatella asiaa. Ollaan havahduttu hitaasti.
Aihetta käsitellään Ylen A-studiossa keskiviikkona 2.11. TV1:llä kello 21. Vieraana ovat WithSecuren tietoturvajohtaja Erka Koivunen ja keskusrikospoliisin rikostarkastaja Tero Muurman.
Juttua tarkennettu 2.11.2022 10.04: Tarkennettu kohtaa, jossa puhuttiin ulkoministeriön vuoden 2013 kybervakoilusta. Artikkelissa luki aiemmin ”tekijän paljasti julkisuuteen Yle”, tarkennetussa versiossa ”iskun tehneen hakkeriryhmän paljasti julkisuuteen Yle”.