Ulkoasiainministeriön julkisuudessa ”vakoiluskandaalina” lanseerattu tietoturva-urkinta kaipaa hieman laajempaa kansalaiskeskustelua.
Vakoilussa kuten tangossakin on nimittäin aina kaksi osapuolta; toinen vie ja toinen vikisee, eli tässä tapauksessa se, joka vakoilee eli havittelee tietoa jota ei muuten olisi saatavilla ja sitten se onneton, jota vakoillaan eli taho jonka järjestelmä pettää, ja joka samalla näin altistaa kriittistä informaatiota vakoilulle. Mikäli siis jokin järjestelmä on suojattu ja varustettu riittävillä vastaresursseilla (ammattikielellä ”vastavakoilukoneistolla” ja ”tietoturvallisuusratkaisuilla”) niin vakoilua ei pitäisi olla, eikö niin?
Siis, miksi Suomen turvallisuusviranomaiset eivät kyenneet estämään tällaista tapahtuneeksi? Ensinnäkin tietoturva-asiat ovat jo pitkään olleet Suomessa käytännössä ”ei kenenkään vastuulla”. Kuten 10.4. kirjoitin tällä samalla palstalla, on vasta kuluneena vuonna saatu tällä saralla aikaan jotain konkreettista. Sitä on Valtioneuvoston kokonaisturvallisuutta käsittelevän periaatepäätöksen sekä Turvallisuuspoliittisen selonteon ohella luotu ensimmäinen kansallinen kyberturvallisuusstrategia, jonka myötä Suomesta halutaan tehdä ”edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa”.
Strategia koostuu kymmenestä toimenpidesuosituksesta joista yksi on Viestintävirastoon perusteilla oleva kyberturvallisuuskeskus CERT-FI jonka tulisi olla operatiivinen vuonna 2015. Kun kyberturvallisuusstrategiaa luotiin esitettiin virkamiesasiantuntijoiden toimesta vastavakoilukyvyn eli vakoilun tunnistamisen luomista. Tätä kuitenkin vastustettiin eräiden kansanedustajien toimesta ja kaiken tämän jälkeen siis ihmetellään että tietoturvajärjestelmässämme on vuotoja.
Toiseksi, yksikään kansallinen siviiliturvallisuusjärjestelmä ei ole aukoton. Selkeyden vuoksi on todettava että kybervakoilu on osa muuta vakoilutoimintaa ja vastavakoilu eli vakoilun tunnistaminen on Suojelupoliisin vastuulla. On kohtuutonta vaatia Suojelupoliisia ehkäisemään tämänkaltaisia uhkia samaan aikaan kun hommaa pyöritetään vajaan 20 miljoonan euron vuosibudjetilla ja henkilökuntaa on käytössä reilut 200 ihmistä siinä missä vaikkapa Pohjoismaisilla tiedustelulaitoksilla on 3-4 kertaiset resurssit. Rahasta ei ole pula, sitä ei vain haluta käyttää turvallisuuteen. Siksi on turha vaatia enempää kuin pennosilla voi saada. Vertailun vuoksi mainittakoon että Suomi jakaa pääosin vastikkeetonta kehitysapua eli ns budjettitukea kuluvana vuonna 1 118 miljoonaa euroa. Rahaa siis on.
Tilanne on vähän sama kuin menisi autokauppaan ja haluaisi ostaa Fiat Punton hinnalla Bentleyn Continentalin suorituskyvyn – eihän siinä ole mitään järkeä. Toisaalta myöskään ulkoasiainministeriöllä ei ole osaa eikä arpaa turvallisuutemme resurssoimisessa. Asia kuuluu valtiovarainministeriölle.
Entä miksi tämä asia tulee yleisempään tietouteen vasta nyt? Esimerkiksi Moskovassa ja Pegingissä hekumoidaan nyt sillä nyrkkiteorialla että Yhdysvaltojen NSA:n harjoittaman salakuunteluun liittyvien paljastusten jälkeen maan turvallisuusviranomaiset yrittäisivät asettaa tulilinjalle muita maita, etunenässä Venäjän ja Kiinan. Voinee siis kysyä ihan ääneen, kuka oikein tutkii sitä, että televisiouutiset saivat ensin asiasta tiedon ja lähettivät julkisuuteen selvästi osoittelevaa tietoa ilman asiaankuuluvaa varmennusta? Olisikohan siis parempi puhua media(n)kriisistä tai tiedotusskandaalista kuin mistään vakoiluskandaalista?
Tai kenties valtiovarainkriisistä – varmaahan tässä saagassa on vain se, että markalla saa markan tavaran. Tämä tapaus osoittaa myös sen, että moniviranomamisyhteistyössä on kehitettävää edelleen yli organisaatioiden ja sektoreiden rajojen. Jokaisella ministeriöllä on viimekädessä vastuu omasta turvallisuudestaan. Samalla tulisi voida paremmin hyödyntää suomalaisilla yrityksillä olevaa osaamista.
