Erilaiset kyberhyökkäykset esimerkiksi sähkönjakelun ja voimalaitosten etäohjaus- tai tietoverkkoja vastaan alkavat olla arkipäivää. Vastatoimissa tarvitaan uudenlaista tekniikkaa sekä nopeita ja luovia ratkaisuja.
Ennen olivat monet asiat paremmin. Esimerkiksi vain vuosi sitten energiantuotantoon ja muuhun kriittiseen infrastruktuuriin kohdistui noin 50 prosenttia vähemmän kyberhyökkäyksiä kuin nyt, arvioidaan IBM:n ja Check Point Softwaren tuoreissa turvallisuusraporteissa.
Verkkoturvallisuuden heikentyminen johtuu osin koronapandemiasta, mutta myös internetiin ja muihin verkkoihin kytkettyjen laitteiden määrän nopeasta kasvusta.
Digitalisaatiota edeltäneellä ajalla monet energiantuotannon ja -jakelun tekniset järjestelmät olivat yksinkertaisempia ja niitä ohjattiin vähemmän keskitetysti kuin tällä vuosituhannella. Samalla ne olivat paremmin turvassa erilaisilta ulkopuolisilta uhkatekijöiltä.
Nykytekniikalla kyberhyökkäys sähkölaitosta vastaan voi aiheuttaa suurhäiriöksi luokitellun sähkökatkon jopa useiden kaupunkien tai läänien alueille. Asialla voivat olla esimerkiksi kiristäjät, terroristit tai vihamieliset valtionjohtajat – eikä heidän tarvitse edes vaivautua poistumaan tietokoneen ääreltä.
Vakavia vaaratilanteita
Erityisen huolestuttavia tilanteita kyberhyökkäys voisi aiheuttaa esimerkiksi ydinvoimalaitoksilla, jos kaikki laitoksen jäähdytyspumput kytkettäisiin verkon kautta samanaikaisesti pois päältä.
Yleisvaaraa aiheuttaneita verkkohyökkäyksiä on ulkomailla jo nähtykin. Floridassa USA:ssa tapahtui helmikuun 2021 alussa kyberisku Oldsmarin pikkukaupungin vesilaitokselle. Hyökkääjät kytkivät käyttövesiverkon lipeäpumpun syöttämään veteen turvarajaan verrattuna satakertaisia määriä lipeää. Vesilaitoksella tapaus havaittiin ennen kuin myrkytettyä vettä pääsi kuluttajille.
Floridan iskun tekijöitä ei vielä tiedetä. Epäilykset kohdistuvat vahvasti Iraniin, joka aikaisemmin – huhtikuussa 2020 – oli tehnyt samantapaisia kyberiskuja kuuteen vesilaitokseen Israelissa ja joka vuonna 2013 oli lisäksi onnistunut USA:ssa pääsemään käsiksi New Yorkin kaupungin lähistöllä sijaitsevan padon kaukokäyttöjärjestelmään.
Vastaavasti Israel teki huhtikuussa 2021 verkkohyökkäyksen iranilaiseen Natanzin ydinlaitokseen, jossa rikastetaan uraania mahdollista sotilaskäyttöä varten. Iskulla ohjattiin korkeajännitemuuntaja ylikuormittumaan, jolloin se räjähti ja aiheutti laajan sähkökatkon.
Käytännössä Floridan Oldsmarin vesilaitosjärjestelmään tunkeutumista helpotti palomuurin puuttuminen sekä se, että kaikki vesilaitoksen työntekijät käyttivät järjestelmässä samaa salasanaa. Sittemmin näitä puutteita on jo korjattu.
Öljyputkesta hukkaputki
Edellisiä uudempi ja näyttävämpi kyberisku kohdistui amerikkalaiseen energia-alan suuryhtiöön Colonial Pipelineen 7. toukokuuta 2021.
Texasin öljynjalostamoilta New Jerseyn osavaltioon ulottuvan Colonial Pipelinen öljyputken kautta kulkee noin 45 prosenttia USA:n itärannikon tarvitsemasta liikennepolttoaineesta. Putken pituus on 8 850 kilometriä ja sen välityksellä siirretään päivittäin lähes 400 miljoonaa litraa polttoainetta.
Putki jouduttiin sulkemaan, koska yhtiön tietojärjestelmiin oli isketty kiristyshaittaohjelmalla (ransomware).
Tapaus aiheutti alkuvaiheessa öljytuotteiden saatavuusongelmia itärannikon osavaltioissa, mikä johti ruuhkiin bensiiniasemilla. Myös öljyn pörssihinnat ja bensiinin kuluttajahinnat nousivat jonkin verran. Tilannetta pyrittiin helpottamaan reitittämällä alueen öljykuljetuksia tilapäisesti maanteille ja merikuljetuksiin.
Tämän verkkohyökkäyksen tekijänä oli Darkside-niminen verkkorikollisryhmä, joka on aiemmin toteuttanut vastaavia kiristyshankkeita. Hyökkäysten kohteilta tyypillisesti vaaditaan lunnaita, jotta verkkoa ja siihen tallennettuja tietoja päästäisiin taas käyttämään.
Darkside-ryhmällä on ilmeisesti yhteyksiä venäläisiin rikollispiireihin. Toistaiseksi ei ole löydetty todisteita Venäjän virallisten tahojen mahdollisesta osuudesta asioihin.
Tiedossa kuitenkin on, että joissakin aiemmissa tapauksissa venäläiset verkkorikolliset ovat toimineet yhteistyössä Venäjän tiedustelupalvelujen kanssa. Valtion toimijoiden motiivina on ollut aiheuttaa vahinkoa ”vastustajien” talouselämälle ja samalla kerätä uutta tiedustelutietoa.
Ihan kaikkeen pitää varautua
Vastauksena verkkohyökkäyksiin presidentti Joe Biden on käynnistänyt USA:ssa hankkeen, jossa sähkö- ja energia-alan toimijoita kannustetaan tunnistamaan järjestelmiensä haavoittuvuudet kyberhyökkäysten varalta. Hankkeessa myös kehotetaan ottamaan käyttöön teknisiä uudistuksia, joiden avulla mahdolliset hyökkäykset voidaan tunnistaa ja torjua reaaliaikaisesti.
Samankaltaiset uhkakuvat ovat mahdollisia ja todennäköisiä Suomessakin, vaikka niistä toistaiseksi on täällä vain vähän käytännön kokemusta.
Suomessa energia- ja muun infran kyberongelmiin varautumista on puitu muun muassa KIVI-hankkeessa (KIVI = Kriittisen infrastruktuurin haavoittuvuus ja viranomaisten toimintakyky) vuosina 2017–2019.
Hanketta on rahoitettu EU:n Sisäisen turvallisuuden rahaston tuella ja siinä on ollut mukana poliisi- ja pelastusviranomaisten lisäksi muun muassa Huoltovarmuuskeskus sekä useita energia- ja vesilaitosalan toimijoita. Hankkeessa kehitetään päivitettäviä työkaluja kriittisen infrastruktuurin riskien hallintakyvyn ja viranomaisten toimintakyvyn arviointiin.
KIVI-hankkeen loppuraportissa korostetaan, että on vaarallista varautua pelkästään tunnettujen tapahtumien ja riskien varalta. Varautumisessa olisi otettava huomioon myös epätodennäköisiä uhkia – ja sellaisten yhdistelmiä.
Infrastruktuurin vakavissa häiriötilanteissa voi nimittäin esiintyä useita samanaikaisia ja toisiinsa liittyviä kriisitilanteita. Harjoitellut ja opitut rutiinit eivät silloin välttämättä toimi. Vakava kaoottinen häiriötilanne saattaa pakottaa improvisoituihin ja luoviin vastatoimiin, jotta vakavimmilta seurauksilta vältytään.
Tehokasta toimintaa tositilanteisiin
Puolustusvoimat on Suomessa jo aiemmin todennut, että kyberhyökkäykset vaikkapa kriittistä infrastruktuuria vastaan eivät ole välttämättä erillinen ilmiö. Ne voivat olla esimerkiksi osa laajempaa hybridisotaa – tai toisaalta valmistautumista muunlaiseen sodankäyntiin.
Vastatoimissa tarvitaan eri viranomaisten ja muiden toimijoiden hyvää yhteistyötä sekä joustavia operatiivisia ratkaisuja. Poikkeustilanteissa on voitava toimia tehokkaasti, vaikka resurssit olisivat rajalliset.
Lisäksi valmiussuunnittelun ohella tarvitaan ennalta ehkäisevää turvallisuussuunnittelua. Näitä seikkoja tulisi KIVI-hankkeen loppuraportin mukaan ottaa huomioon myös eri alojen ja toimijoiden varautumiskoulutuksissa.
Suomessa koronapandemia paljasti vakavia puutteita huoltovarmuudessa. Riskeihin varautumista oli säästösyistä karsittu monella tavalla, mikä kostautui muun muassa varmuusvarastojen puutteina sekä viranomaisten hitaana reagointina pandemian kriittisissä alkuvaiheissa.
Energiahuollonkin puolella on tingitty huoltovarmuudesta ja esimerkiksi purettu toimintakunnossa olleita varavoimalaitoksia – viime vuosina ihan konkreettisesti vaikkapa Inkoosta ja Kotkasta.
Toivottavasti näitä ratkaisuja tehtäessä on otettu huomioon tärkeään infrastruktuuriin kohdistuvien verkko- ja muiden riskien ja niistä aiheutuvien häiriötilanteiden kaskadivaikutukset sekä pidetty pitkänkin aikavälin valmiussuunnitelmat ajan tasalla.
Teksti: Ari Mononen
Kuvat: Pixabay
