Verkkoturva vinossa
Kyberturvallisuuden kehittäminen Euroopan unionissa etenee hitaan byrokratian rattaissa. Unionin kyberhankkeiden kärjessä on tällä hetkellä verkko- ja tietoturvavirasto Enisan uudistaminen EU:n kyberturvallisuusvirastoksi. Lomasaari Kreetalla ja Ateenassa sijaitsevan viraston tehtävänä on auttaa jäsenvaltioita varautumaan ja vastaamaan tehokkaasti kyberhyökkäyksiin.
Nimi lupaa kuitenkin liikaa, sillä virasto muistuttaa oikeastaan viestintätoimistoa tai tutkimuslaitosta, jolta puuttuvat kyvyt vastata kyberhyökkäyksiin.
Viraston isäntämaa Kreikka puolestaan on vailla omaa kyberteollisuutta ja -osaamista, kuten moni muu Itä- ja Etelä-Euroopan maa, joiden kyberturvallisuus perustuu globaalien tai ei-eurooppalaisten tietoturvajättien tytäryhtiöiden teknologiaan. Toukokuussa 2017 satoja yrityksiä ja julkisia laitoksia lamauttanut WannaCry-kiristysohjelma koetteli EU-maista eniten Espanjaa ja Italiaa.
Euroopan komissio haluaa jäsenmaat entistä tiiviimpään yhteistyöhön verkkoturvallisuuden kehittämisessä. Yhtälö ei ole helppo, sillä ne maat, joilla on tiedustelutietoa ja kyberosaamista, pystyvät sanelemaan ehtoja yhteistyölle. Edelläkävijöihin kuuluvat esimerkiksi Ranska, Hollanti ja Viro. Kehitystä ei myöskään edistä se, että Euroopan johtava kybermahti Britannia on jättämässä unionin.
Maailmanlaajuisesti on puhuttu jo »datanationalismista», joka viittaa muun muassa Venäjän ja Kiinan pyrkimyksiin rajoittaa vapaata internetiä.
EU:n yritysyhteistyössä pitkään mukana ollut Juha Remes katsoo, että Euroopassa vallitsee luottamuspula.
»Maat puolustavat omia etujaan eivätkä ajattele suurempaa kuvaa eurooppalaisen kyberturvallisuuden rakentamisesta», Remes sanoo. Hän on suomalaisen tietoturvaklusteri FISC:n toiminnanjohtaja. FISC on noin 70:n tieto- ja kyberturvayrityksen ja organisaation etujärjestö. Remes toimii lisäksi Euroopan kyberturvallisuusjärjestö ECSO:n hallituksessa. Järjestö on komission kumppani.
Unionissa näkyy hänestä esimerkiksi ranskalaisten, espanjalaisten ja italialaisten lobbareiden voima. »Monilla mailla lähtökohta on se, kuinka paljon EU:lta saadaan rahaa itselle.»
Viime keväänä pohjoisen Euroopan maat, Saksa mukaan luettuna, perustivat Helsinkiin Pohjoismaisen kyberturvallisuusklusterin. Järjestö pyrkii edistämään alan yritysten kasvu- ja vientimahdollisuuksia EU:n sisämarkkinoilla ja vaikuttamaan EU-politiikkaan. Remeksen mielestä EU:n rahankäytön pitäisi olla määrätietoisempaa, ei roposten jakamista pienille kyberturvahankkeille.
Eri puolilla Eurooppaa on kyberkeskuksia, jotka eivät tee yhteistyötä.
Hankkeista ei ole pulaa. Kyberturvallisuus nousi näkyvästi Euroopan komission yhdeksi kärkiteemaksi sen jälkeen, kun komission puheenjohtaja Jean-Claude Juncker pani kyberhankkeet alulle vuosi sitten unionin tilaa koskevassa puheessaan.
Komission kyberturvallisuudesta vastaavalla osastolla johtajana työskentelevän Despina Spanoun mukaan unioni tarvitsee käytännöllisen suunnitelman verkkoturvallisuuden lisäämiseksi.
»[Haittaohjelmat] WannaCry ja Petya osoittivat, että meillä ei ole käsikirjoitusta siihen, miten unionin pitäisi toimia laajan kyberhyökkäyksen sattuessa. Kyberhyökkäys yhteen järjestelmään voi vaikuttaa useisiin jäsenvaltioihin», Spanou sanoo.
Hän katsoo, että uhkaavimmat kyberhyökkäykset koskettavat ihmisten turvallisuutta. Esimerkiksi WannaCrysta kärsivät brittisairaalat, Saksan rautatiet ja pankit sekä kuljetuspalvelu FedEX. Erityisen vaarallisia ovat laajasti yhteiskuntia lamauttavat kyberhyökkäykset, koska niiden kerrannaisvaikutukset ulottuvat toisiinsa kytkettyjen järjestelmien vuoksi yli valtiorajojen.
Spanou nostaa komission yhdeksi keskeisimmäksi hankkeeksi Enisan uudistuksen. Euroopan komissio suunnittelee Enisan toiminnan vakinaistamista ja resurssien lisäämistä nykyisestä 11 miljoonasta eurosta 23 miljoonaan. Henkilöstön määrä kasvaisi nykyisestä 84:stä 125:een. Enisan johto haluaisi avata ympärivuorokautisen kriisikeskuksen Brysseliin ensi vuonna.
Komissio ei kuitenkaan pakota jäsenmaiden kyberturvallisuusvirastoja jakamaan arkaluontoista tietoa Enisan tai muiden kumppaneiden kanssa. Saksa ja Ranska ovat vastustaneet Enisan roolin kasvattamista sillä perusteella, ettei sillä ole kokemusta ja työvoimaa uuden roolin ottamiseen. Maat katsovat pärjäävänsä omillaan ja ovat sijoittaneet kyberturvallisuuteen merkittäviä summia. Saksalla on uusi kyberpuolustuksen keskittymä Münchenissä, ja Ranska panostaa tekoälyn kehittämiseen.
Myös Juha Remes huomauttaa, että Enisalle on määritelty hyvin vähän operatiivista toimintaa.
»Enisan ja kansallisten CERT-toimintojen yhteistyö ei ole saumatonta, mikä rajoittaa Enisan mahdollisuuksia toimia», Remes sanoo. CERT-toiminoilla tarkoitetaan tietoturvaloukkausten ennaltaehkäisyä ja havainnointia sekä niistä tiedottamista. Suomessa nämä toiminnot on sijoitettu Viestintäviraston kyberturvallisuuskeskukseen.
Komissio on käynnistänyt tänä vuonna lisäksi 50 miljoonan euron pilottihankkeen Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskuksesta. Kyse on oikeammin verkostosta.
»Eri puolilla Eurooppaa on satoja osaamiskeskuksia, jotka eivät tee yhteistyötä. On tärkeä selvittää, mitä keskukset tekevät ja luoda verkosto näiden välillä», Spanou sanoo.
Jos verkoston toiminnasta vastaava tutkimus- ja osaamiskeskus saisi kunnolliset resurssit, siitä tulisi Remeksen mukaan Enisaa tärkeämpi, koska sille on suunniteltu operatiivista toimintaa. Keskus voisi esimerkiksi avittaa markkinoille uutta kyberteknologiaa.
Näiden lisäksi komissio ehdottaa uutta eurooppalaista sertifiointijärjestelmää tuotteille ja palveluille, jotka ovat yhteydessä toisiinsa internetin kautta, kuten verkkoyhteyttä käyttäville autoille ja älylaitteille. Vapaaehtoisella sertifioinnilla voitaisiin komission mukaan varmistaa tuotteiden ja palveluiden kyberturvallisuus tulevalla »esineiden internetin» eli IoT:n aikakaudella.
Suunnitelmissa on lisäksi hätäapurahaston perustaminen niille jäsenmaille, jotka ovat toteuttaneet kuuliaisesti EU:n kyberlainsäädännön.
Kaikkiaan EU investoi yli 450 miljoonaa euroa kyberturvallisuuden tutkimus-, kehitys- ja innovaatio-ohjelmiin vuosina 2017–2020.
Remeksen mukaan se on liian vähän. Hänen mielestään panostuksen pitäisi nousta vuosittain miljarditasolle ja rahankäytölle pitäisi asettaa nykyistä selkeämmät tavoitteet. Mallia voitaisiin hakea Etelä-Koreasta tai Israelista, jotka ovat onnistuneet ketterästi kehittämään kyberturvallisuuttaan. Jostain Euroopan pitäisi saada myös 350 000 IT-osaajaa lisää.
Myös saksalaisen Stiftung Wissenschaft und Politik (SWP) -tutkimuslaitoksen tutkijat katsovat, että vähäinen rahoitus ja hajanaisuus vievät pohjaa EU:n kyberturvallisuudelta.
Viime marraskuussa julkaistussa kommenttipuheenvuorossaan SWP:n tutkijat Annegret Bendiek, Raphael Bossong ja Matthias Schulze huomauttavat, että EU keskittyy kyberturvan uudistamisessa digitaalisten sisämarkkinoiden suojeluun. Unionin kyberturvallisuuden strategia ei esimerkiksi huomioi sitä, miten sosiaalisen median ja internetin laiton sisältö pitäisi torjua, tutkijat kirjoittavat.
Yhdysvaltain ja Ranskan viimeisimmissä presidentinvaaleissa demokraattiehdokas Hillary Clintonin ja presidentiksi valitun Emmanuel Macronin kampanjan sähköposteja hakkeroitiin ja anastettuja tietoja levitettiin internetissä. Maiden turvallisuusviranomaiset ovat yhdistäneet tapaukset Venäjään.
Kyberpuolustus kuuluu osana sekä EU:n tiivistyvään puolustusyhteistyöhön että Nato-yhteistyöhön. Kesäkuussa Euroopan parlamentti vaati päätöslauselmassaan, että kyberpuolustusta vahvistettaisiin perustamalla nopean kybertoiminnan joukot. Samalla parlamentti katsoi, että EU:n ja Naton yhteistyötä pitää syventää.
Kyberturvaa Eurooppaan
EU investoi yli 450 miljoonaa euroa kyberturvallisuuden tutkimus-, kehitys- ja innovaatio-ohjelmiin vuosina 2017–2020.
EU keskittyy kyberturvan uudistamisessa digitaalisten sisämarkkinoiden suojeluun.
Kreikassa sijaitseva verkko- ja tietoturvavirasto Enisa uudistetaan EU:n kyberturvallisuusvirastoksi, joka auttaa jäsenmaita varautumaan kyberhyökkäyksiin.
Lisäksi komissio on käynnistänyt pilottihankkeen Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskuksesta. Se palvelisi verkostona eri EU-maissa sijaitseville osaamiskeskuksille.
Kukaan ei kuitenkaan vielä tiedä, millaisista joukoista olisi kyse. Unionissa joudutaan hankalien kysymysten eteen: Onko EU:lla mahdollisuuksia ja kykyjä tehdä vastahyökkäyksiä verkossa? Entä onko EU:n kyberpuolustus lopulta uskottava pelote?
Komission tavoin mepit patistelevat jäsenmaita yhteistyöhön. Sitä tarvitaan varsinkin, jos EU mielii johtavaksi digitaaliseksi tai tekoälyn mahdiksi tai haluaa edes pysyä Kiinan ja Yhdysvaltojen tahdissa. Kaikki alkaisi luottamuksen ja uskottavuuden rakentamisesta.
Juha Remes nostaa esimerkiksi Puolan, joka oli vielä joitakin vuosia sitten haittaohjelmilla mitattuna maailman saastuneimpia alueita. Maassa tehtiin osin EU-yhteistyöllä putsausoperaatio, mutta bottiverkostoja toimii maassa yhä. Nyt Puola ottaa etäisyyttä EU-yhteistyöhön, vaikka Remeksen mielestä juuri yhteinen kehitystyö voisi auttaa Puolaa.
»Kun kyvykkyydet eivät omasta takaa riitä, maa on entistä haavoittuvaisempi», Remes pohtii.
Lähteet: SWP: The EU’s Revised Cybersecurity Strategy; EPC; euractive; Cybersecurity in the European Union and Beyond, Study for the LIBE Committee.