Venäjä on käynyt avointa hyökkäyssotaa Ukrainassa jo vuoden päivät. Krimin ja Itä-Ukrainan alueiden operaatiot tapahtuivat jo noin yhdeksän vuotta sitten. Kaikkien näiden vuosien ajan Venäjä on toteuttanut kyberoperaatiota Ukrainaa vastaan. Eurooppaan on kohdistunut kybervakoilua ja sabotaasien valmistelua, mutta ei näkyviä tuhoa aiheuttavia kybertoimia. Julkisuudessa nähdyt palvelunestohyökkäykset voidaan rinnastaa kiusantekoon ja niiden vaikutukset kestävät lyhyen aikaa.
Eurooppa ja Suomi eivät voi kuitenkaan huokaista helpotuksesta. Aivan viime aikoina Yhdysvalloista on varoiteltu Venäjän sodan pitkittymisen, lännen aseavun koventumisen ja Venäjän sotamenestyksen heikkouden olevan asioita, joiden seurauksena on odotettavissa Venäjän kybertoiminnan kohdistuvan voimakkaammin ja eri tavoin sotaa käymättömiin maihin. Yhdysvaltojen US Cyber Commandin kannanottoja seuratessa kannattaa pitää mielessä, että Yhdysvallat varoitti useita kertoja julkisuudessa Venäjän tulevasta hyökkäyksestä Ukrainaan – hyvissä ajoin ennen sen tapahtumista. Yhdysvallat kykenee siis hankkimaan tarkkaa tiedustelutietoa Venäjän aikeista ja siksi näillä varoituksilla on painoarvoa.
Venäjällä on huomattavaa kyberkyvykkyyttä. Sodan aikana ja yhdeksän sitä edeltäneen vuoden aikana se on jatkuvasti toteuttanut Ukrainaan kohdistuvia kyberoperaatiota. Viimeisen vuoden aikana tämä toiminta on jäänyt vähemmälle huomiolle sodan luonteen vuoksi. Näkyvät tapahtumat vievät huomion tietoverkkojen maailmassa tapahtuvilta asioilta. Sodan eteneminen, sotarikokset, siviilikohteiden pommitukset ja siviilien kuolemat vievät ihmisten huomion ja niin pitää olla. Emme saa unohtaa mistä tässä sodassa on kyse.
Keskuskauppakamari julkaisi vuosi sitten oppaan kybervarautumisesta. Opas on vielä ajankohtaisempi nyt kuin vuosi sitten. Venäjällä on ajan kulumisen myötä enemmän ja enemmän painetta kohdistaa vakavampaa kybertoimintaa Ukrainaa tukeviin maihin ja niiden elinkeinoelämäänkin. Lunnasohjelmat ovat monille jo tuttuja ainakin käsitteenä, mutta mitä jos yritykseen osuu kohdistettu ”tiedontuhoaja” -ohjelma eikä yrityksellä ole varmuuskopioita? Tällaisen hyökkäyksen tarkoituksena on tuhota, ei kerätä rahaa rikollisilla keinoilla.
Vuosi sitten suomalaiset viranomaiset varoittelivat NATO-hakemuksen ja sodan aiheuttaman kyberuhan realisoitumisesta. Mitään suurempaa ei kuitenkaan ole tapahtunut. Tämä ei tarkoita kyberuhan haihtumista. Se että ”kybersudesta” on varoitettu ”turhaan”, ei tarkoita ettei sitä ole. Kannattaa muistaa, että Pekka ja susi on venäläinen satu. Siksi Impivaaran seitsemän veljeksenkin on nyt vahvistettava kyberturvallisuuttaan. Väärään turvallisuudentunteeseen vaipunut yritys on helppo kohde vihamieliselle valtiolle.
Juuri nyt on korkea aika vahvistaa yrityksen kyberturvallisuutta. Se ei ole pelkkää teknologiaa ja torjuntaohjelmistoja. Se on muun muassa varmuuskopioita, koulutusta, keskustelua, johdon esimerkkiä ja henkilöstön valppautta. Jokainen yritys pystyy itse toteuttamaan näitä toimia. Apunaan voi käyttää kauppakamarien ohjetta. Yritysten kyberkestävyys on osa yhteiskunnan resilienssiä.
Panu Vesterinen
Hankejohtaja
Kirjoitus on alun perin julkaistu Turun kauppakamarin jäsenlehdessä 2/2023