Venäjä on pakotettu suuntaamaan vakoiluaan verkkoon

Vuosi 2022 oli poikkeuksellinen myös kyberympäristössä. Alkuvuodesta Venäjä keskitti voimiaan Ukrainaan myös kybermaailmassa, mutta toiminta palautui nopeasti normaaliksi. Loppuvuodesta Venäjän kiinnostus Suomea kohtaan muuttui kohdennetummaksi.

Iltakuva talon kulmasta.

Jo kuukausia ennen helmikuun 2022 hyökkäystä uutiset kertoivat, miten Venäjä keskitti joukkojaan Ukrainan rajan lähettyville. Samankaltaista valmistautumista nähtiin myös verkossa. Jo ennen sotaa Venäjän Suomeen kohdistama kybertoiminta väheni, kun se keskitti voimiaan Ukrainaan. Tavallista hiljaisempi vaihe Suomen verkoissa jatkui hyökkäyssodan alkuvaiheessa keväällä.

Jo kesällä hiljaisempi hetki voitiin todeta Suomessakin päättyneeksi. Venäjän kybertoiminta Suomessa alkoi vilkastua palaten normaalille tasolleen. Vuoden 2022 toisella puoliskolla Venäjän Suomeen kohdistamat kybervakoiluyritykset olivat entistä aktiivisempia.

Suomalaiset tahot ovat jatkuvien kybervakoiluyritysten kohteena

Yksi Venäjän hyökkäyssodan vaikutuksista on ollut kybervakoilun merkityksen korostuminen. Venäjän perinteinen henkilötiedustelu on vaikeutunut, sillä Euroopassa monet ovat katkaisseet yhteytensä venäläisiin toimijoihin. Samalla länsimaista on karkotettu venäläisiä tiedustelu-upseereja.

Venäjän on pakko hankkia tietoa muilla keinoin myös Suomessa. Suomalaiset viranomaiset ja yritykset ovat säännöllisesti Venäjän kybervakoiluyritysten kohteena. 

Venäjän keskeisin kiinnostuksen kohde on Suomen ulko- ja turvallisuuspoliittinen päätöksenteko. Myös yritysvakoilun uhka kasvaa, sillä pakotteiden vuoksi huipputeknologian saatavuus on Venäjällä vaikeutunut ja se yrittää käynnistää länsituontia korvaavaa tuotantoa.

Vaikka Venäjä korostuu nyt julkisessa keskustelussa myös kybervakoilusta puhuttaessa, Venäjä ei ole ainoa taho, joka yrittää vakoilla länsimaita. Kiinalla on poikkeuksellisen suuret resurssit kybervakoilutoimintaan, eikä sen aktiivisuudessa ole tapahtunut merkittäviä muutoksia. Kiinaa kiinnostaa nyt esimerkiksi Euroopan turvallisuuspoliittinen tilanne.

Venäjän tiedustelupalveluilla on laajat resurssit kybervakoiluun

Valtiollisten tiedustelutoimijoiden päämäärä on hankkia tarkoin valikoitua salaista tietoa, joten ne joutuvat valikoimaan kohteensa eri tavoin kuin rikolliset. Tiedustelupalveluilla on käytössään merkittävästi perusrikollisia enemmän aikaa ja resursseja sekä kokeneempia toimijoita ja monipuolisempia työkaluja.

Venäjä pyrkii kohdentamaan kybertoimintaansa tarkasti sekä selvittämään ennalta kohteeseen liittyviä haavoittuvuuksia. Tiedustelupalvelut tekevät usein etukäteen taustatöitä kohteeksi valituista organisaatioista ja henkilöistä. Kybervakoilua ei aina suunnata suoraan varsinaiseen kohteeseen, vaan esimerkiksi kohdehenkilöksi valikoituneen lähellä oleviin ihmisiin ja kohdeorganisaatioiden alihankkijoihin.

Venäjän kybervakoilumenetelmät vaihtelevat. Venäläistoimijat hyödyntävät muun muassa kalasteluviestejä, ohjelmistohaavoittuvuuksia ja toimitusketjuhyökkäyksiä toiminnassaan. Myös huonot tietoturvakäytännöt, kuten heikot salasanat, voivat altistaa murtautumiselle.

Valtiollisen tiedustelun tarkoituksena on lähtökohtaisesti välttää havaituksi tulemista, jotta tietoja voisi kerätä mahdollisimman pitkään. Tekijät pyrkivätkin häivyttämään jälkensä, ja niiden toiminta on monivaiheista ja hienovaraista. Yhteys ei herätä tietoturvavalvomoiden huomiota ja saattaa tulla maan omasta tai jonkin kolmannen maan osoitteesta.

Tiedon lähteelle pääseminen on lähes aina ensisijainen tavoite kybervakoilussa. Joskus järjestelmiä voidaan kolkutella melko äänekkäästikin niin, että järjestelmien lokitietoihin jää erittäin paljon jälkiä. Tällöin tavoite voi olla sisäänpääsyn lisäksi oman kybertoimintakyvyn osoittaminen ja pelotteen luominen kohdevaltiossa.

Tietoturva ei voi olla yksittäisen käyttäjän varassa

Organisaatiot voivat olennaisesti vähentää riskejä hyvillä tietoturvakäytännöillä. On olennaista, että järjestelmien ylläpitäjät pitävät jatkuvasti huolta tietoturvasta, sillä heillä on päävastuu sekä järjestelmiensä että niihin talletetun tiedon turvallisuudesta. On myös tärkeä valita luotettavia toimittajia ja alihankkijoita.

Tietoturvallisuus on jatkuva prosessi. Ohjelmistot on pidettävä ajan tasalla tietoturvapäivityksillä. Järjestelmän havainnointikyvyn tulisi olla kunnossa, jotta huomataan, jos jotain poikkeavaa tapahtuu. Lokitietoa pitäisi kerätä järjestelmällisesti, sillä se auttaa selvittämään jälkikäteen, jos järjestelmään on tunkeuduttu.

Ylläpitäjän on rakennettava järjestelmät sellaiseksi, että ne kestävät haitallista toimintaa. Tavallisen ihmisen voi olla hyvin haastavaa tunnistaa esimerkiksi ammattimaisesti laadittua tietojenkalasteluviestiä. Käyttäjienkin olisi kuitenkin hyvä muistaa vahvojen salasanojen ja kaksivaiheisen tunnistautumisen käyttäminen. On hyvä myös suhtautua terveen epäluuloisesti sähköisten viestien lähettäjiin ja viesteissä oleviin liitteisiin ja linkkeihin. Viranomaiset ovat tukena tietoturvatyössä.

Suojelupoliisi tekee töitä kansainvälisten ja kansallisten kumppaniensa kanssa kyberuhkien torjumiseksi. Suomessa kyberuhkien torjunnassa Suojelupoliisin tärkeimpiin kumppaneihin kuuluu Kyberturvallisuuskeskus, jolle Suojelupoliisi tuottaa tietoa. Kyberturvallisuuskeskus jakaa sivuillaan ja verkostoissaan erinomaisia ohjeita järjestelmien turvallisuuden kehittämiseksi.

Kyberturvallisuudesta huolehtimisen merkitys vain korostuu koko yhteiskunnassa.