Miten Virosta tuli kyberturvallisuuden mallimaa? Kaikki lähti pronssisoturista

Uusimpana hankkeena Virossa on e-residencyn eli niin sanotun e-kansalaisuuden hankkineille oma digiraha, Estcoin.

Kymmenen vuotta sitten kaikki oli toisin. Massiivinen kyberhyökkäys lamautti lähes täysin koko maan muutamaksi päiväksi huhtikuun lopulla 2007.

Uutiskanava BBC:n mukan kyse oli tuolloin todennäköisesti maailman ensimmäinen näin laajassa mitassa tehty verkkohyökkäys.

Kaikki pysähtyi

Huhtikuun lopulla kymmenen vuotta sitten käytännössä kaikki virolaisten pankkien verkkopalvelut ajettiin alas. Kaikkien valtakunnallisten medioiden ja valtion nettisivut lakkasivat toimimasta ja Sähköpostipalvelimet tukittiin roskapostilla.

Virolaiset eivät saaneet rahaa pankkiautomaateilta, valtion työntekijät eivät voineet kommunikoida sähköpostitse ja mediataloilla oli suuria vaikeuksia julkaista tietoa tapahtumista.

Nykyään valtion informaatiojärjestelmien johtavana analyytikkona työskentelevä Liisa Past oli tuolloin Eesti Päevaleht-julkaisun toimittaja. Past muistelee MTV Uutisten haastattelussa, että toimituksista oli vietävä valmiit jutut ja lehden sivut painoon autoilla USB-tikku taskussa. Sähköpostiyhteys painotaloihin ei toiminut.

– Tuo kyberhyökkäys sai muun muassa aikaan sen, että tiedotusvälineitä ja niiden uutisia tai muita kommunikaatioikanavia ei ollut enää saatavilla uskottavasti. Sen tarkoitus oli aiheuttaa helppouteen tottuneille ihmisille mahdollisimman paljon epämukavuuksia. 

Yhteys pronssisoturiin

Hyökkäyksen tekijää tai tekijöitä ei ole virallisesti saatu kiinni. Se linkittyy kuitenkin vahvasti Neuvostosotilaiden Natseista saavuttamaa voittoa kuvaavan Pronssisoturi-patsaan siirtoon pois keskustasta. Patsaan voi nähdä seisomassa Tallinnan laitakaupungilla sijaitsevalla sotilashautausmaalla.

Huhtikuun lopun patsasmellakoissa sai surmansa yksi ihminen, tuhat otettiin kiinni ja materiaalisia vaurioita tuli paljon.

Virallinen Viro ei ole koskaan syyttänyt hyökkäyksestä Venäjää, mutta katseet hakeutuvat silti itänaapurin suuntaan.

Past sanoo nyt, että hyökkääjä teki Virolle palveluksen. Se paljasti järjestelmien heikkoudet ja käänsi koko maailman huomion siihen, että kyberturvallisuus on tärkeää.

Täysin varmaa ei olekaan

Tallinnan Teknisen yliopiston Kyberkriminalistiikan ja Kyberturvallisuuskeskuksen johtaja Rain Ottis vastaa puhelimeen työhuoneestaan. Hän sanoo, että asema kyberturvallisuuden ja digitaalisuuden kärkimaana ei ole vahinko. Tämän päivän Virossa suuri osa toiminnoista on digitaalista, mutta sellaisella kolikolla on hyvin vahvasti kaksi puolta.

– Viro on erittäin suuresti riippuvainen digitaalisuudesta. Se antaa meille toisaalta kilpailuedun ja voimme tehdä monia asioita tehokkaammin ja nopeammin, mutta toisaalta taas se muuttaa Viron uhkakuvia.

Akateemisessa maailmassa toimiva Ottis ei lähde erittelemään valtion tasolla kaikkia uhkakuvia, mutta nostaa esiin vakoilun ja yhä levinneemmän verkkokiristyksen. Siinä kohteen tietoja tai dokumentteja kaapataan ja niistä vaaditaan lunnaita.

Kybersota on avannut uuden rintaman

– On toisaalta vaikea määritellä tarkasti, kuka on kyberturvallisuudessa ykkönen, kakkonen tai kolmonen. Täytyy ottaa esimerkiksi huomioon, millaiset mahdollisuudet on tulla toimeen erilaisten yksittäisten tapausten kanssa ja se, millainen on yleinen haavoittuvuuden tai riippuvuuden taso. Eli, valtiossa, jossa datapohjaisia systeemejä ei käytetä kovinkaan paljon, kyberturvallisuus ei ole niin olennaista. Ainakaan vielä, Ottis sanoo MTV Uutisten haastattelussa.

Kyberturvallisuuskeskuksen johtaja sanoo, että vuoden 2007 tapahtumat eivät enää voisi sellaisenaan toistua nykypäivän Virossa. Se hyökkäys on koettu ja siitä selvittiin ja opittiin.

Liisa Past korostaa, että Viron digitalisaation eräs peruspilareista on kansalaisten luottamus valtioon ja sen tietojärjestelmiin, sekä niiden turvallisuuteen.

– Viron riskit digimaailmassa eivät ole sen erilaisemmat kuin muillakaan Euroopan mailla, Past sanoo.

Hän ei mielellään käytä hyökkäysten yhteydessä sanaa sota. Sodassa tapahtuu aivan muuta kuin verkkohyökkäyksissä.

– Ennen kaikkea on tarkoitus herättää kansalaisten epäilys ja epäluottamus omaa valtiota kohtaan, hän sanoo.

Tabula rasa eli uusi valtio

Ottis sanoo, että kaiken digitaalisuuden alku on luotu jo 1990-luvun alussa, kun Viro itsenäistyi uudelleen.

– Oli luotava uusi valtio, periaatteessa tyhjälle kentälle, jossa ei ollut vanhoja systeemejä.

Ottisin mukaan se oli toisaalta hyvinkin vaikeaa ja haastavaa, kun kaikki oli rakennettava nollasta. Hyvä asia on se, että vanhoja ja uusia systeemejä ja teknologioita ei ole ollut tarvetta yrittää sovittaa toimimaan toistensa kanssa.

– Yksi suurimpia yksittäisiä it-päätöksiä oli ottaa käyttöön sähköinen henkilökortti ja sen myötä digitaalinen allekirjoitus.

Toinen suuri digitaalinen valinta on Viron siirtyminen kaikissa vaaleissa e-äänestykseen.

Ottisin mukaan mikään systeemi ei ole sataprosenttisen turvallinen, mutta esimerkiksi digitaalisessa äänestyksessä turvataso on tähän mennessä ollut riittävä ja se kohenee jatkuvasti.

Johtava analyytikko Past sanoo, että mitään ei ole rakennettu vain digitalisoinnin nimissä. Turvallisuus on ollut aina mukana. Äänestyksissäkin on yhä mahdollisuus mennä vaalipäivänä äänestyspaikalle ja kirjoittaa numero paperiin. Se kumoaa netissä annetun äänen.

– Verkossa tapahtuva äänestyskin muistuttaa paperista. Verkkoääni laitetaan ikään kuin kahteen kirjekuoreen. Sillä varmistetaan, että äänestäjän henkilöllisyyttä ja annettua ääntä ei voida kytkeä toisiinsa.

Jo yli kolmasosa virolaisista antaa äänensä sähköisesti. Past kertoo, että tutkimusten mukaan e-äänestäjän profiili ei eroa millään tavalla paperiäänestäjästä. Poliittinen kanta ei erotu, eivätkä esimerkiksi sukupuoli tai tietokoneen käyttötaidot.

Rain Ottis puolestaan muistuttaa, että juuri digitalisaatio oli Virolle päämäärätietoisesti tehty päätös, jota yksikään maan hallituksista ei ole lähtenyt vuosien aikana kyseenalaistamaan.

– Kiitos parinkymmentä vuotta kestäneelle kehitykselle, olemme päässeet siihen pisteeseen, missä nyt olemme.

Rikollisetkin kehittyvät

Asiantuntija myöntää, että teknologia kehittyy jatkuvasti ja ihmisten sekä valtioiden riippuvuus siitä kasvaa. Samalla tavalla myös rikolliset ja erilaiset muut tahot alkavat entistä enemmän käyttää digitaalisuutta omiin tarkoituksiinsa.

– Hyökkääjien joukko on kirjavaa. Kuitenkin valtioiden taholta tulee kaikkein vaarallisin uhka. Rikollisten suunnasta tulee kuitenkin se levinnein ja useimmin tavattu uhka.

Valtioiden tasolla tai yksityisemmälläkään tasolla järjestelmiä ei Ottisin mukaan saada koskaan täysin turvallisiksi.

– Niin kauan kuin ihmisen täytyy olla järjestelmän käyttäjä, järjestelmää vastaan on epäilemättä mahdollista hyökätä. Ihmistä emme osaa vielä rakentaa täysin aukottomaksi.