Tammikuun lopussa 2026 Valtion tieto- ja viestintätekniikkakeskus Valtori joutui tietomurron kohteeksi. Hyökkääjä pääsi käsiksi noin 50 000 valtion mobiililaitteen käyttäjätietoihin, kuten nimiin, työsähköposteihin, puhelinnumeroihin ja laitetietoihin.
Tapaus on vakava ja se nostaa esiin kysymyksiä, joita jokaisen kriittistä kansallista infrastruktuuria ylläpitävän organisaation tulisi pohtia. Etenkin kun samaan aikaan valmistellaan lakimuutosta, joka keventäisi tietoturvallisuuden arviointimenettelyjä merkittävästi.
Käsittelen näitä kahta teemaa – tietomurtoa ja lakimuutosta – rinnakkain.
Nollapäivä ja nopean reagoinnin merkitys
Valtori kertoi hyökkääjän hyödyntäneen käyttämänsä valmisohjelmiston nollapäivähaavoittuvuutta, eli tilannetta, jossa haavoittuvuutta ehditään hyödyntää ennen kuin ohjelmistovalmistaja julkaisee korjauspäivityksen. Ohjelmistovalmistaja julkaisi korjauksen samana päivänä ja Valtori asensi sen tuntien sisällä. Hyökkääjä oli kuitenkin jo ehtinyt toimia.
Tarkoitukseni ei ole arvostella Valtorin kyvykkyyttä, vaan päinvastoin arvostaa ammattimaista toimintaa hankalassa tilanteessa. Nopea reagointi kertoo hyvästä valmiudesta, johon on päästy osaltaan arviointien kautta rakennettujen prosessien avulla.
Nollapäivähaavoittuvuuksilta ei voi täysin suojautua, mutta niiden vaikutuksia voi rajata. Esimerkiksi verkon segmentointi, pääsynhallinta, konfiguraatioiden koventaminen, varmuuskopiot ja jatkuva valvonta ovat keinoja, joilla vahinkoja voidaan minimoida silloinkin, kun ensimmäinen puolustuslinja pettää.
Tietoturvallisuuden arvioinnin arvo on siinä, että se pakottaa rakentamaan kerroksellista suojausta, mittaamaan valmiutta ja varmistamaan, että poikkeamiin kyetään vastaamaan nopeasti ja hallitusti. Juuri nämä kyvyt – havaita, rajata ja palautua – ratkaisevat, kuinka suureksi vahinko lopulta kasvaa.
Auditoinneissa tällaiset pahimmat skenaariot saattavat tuntua teoreettiselta harjoitukselta, kunnes ne sitten eräänä päivänä toteutuvat. Valtorin tapaus osoitti, että kriittisen infrastruktuurin osalta on huomioitava laaja uhkakenttä ja erittäin kyvykkäät, jopa valtiolliset toimijat.
Tästä syystä arviointimenettelyjen suunniteltu merkittävä keventäminen samaan aikaan, kun uhkakenttä kovenee, on perustellusti huolta herättävä suunta.
Lakimuutos – itsearviointi vai ulkoinen arviointi?
Valtiovarainministeriön valmisteleman lakimuutoksen (VM167:00/2023) myötä turvallisuusluokka IV:n järjestelmiä – ja viranomaisen omalla päätöksellä jopa TL III:n järjestelmiä – voisi jatkossa arvioida viranomaisen omalla päätöksellä itsearvioinnilla. Lisäksi TL IV -järjestelmiä voisi jatkossa arvioida mikä tahansa viranomaisen luotettavaksi katsoma yksityinen toimija, kun tähän asti on edellytetty akkreditoitua tietoturvallisuuden arviointilaitosta.
Itsearvioinnilla on paikkansa. Se on kustannustehokas tapa valmistautua ulkoiseen arviointiin ja ylläpitää jatkuvaa tietoisuutta tietoturvan tilasta. Mutta onko se riittävä kriittisen infrastruktuurin kohdalla?
Kokemuksemme mukaan itsearviointien ja arviointilaitoksen tekemien arviointien tulokset eroavat toisistaan huomattavasti. Tämä on noussut toistuvasti esiin Inton ja muiden alan ammattilaisten arviointityössä.
- Itsearvioinnissa organisaatio tarkastelee omaa työtään ja tällöin mukana on väistämättä sokeita pisteitä.
- Riippumaton arvioija haastaa oletuksia ja tunnistaa puutteita, joita organisaatio itse ei näe tai joiden vakavuutta se aliarvioi.
- Ulkopuolinen arvioija pystyy nostamaan puutteet esiin objektiivisesti ilman painetta organisaation sisäisistä intressiristiriidoista, jotka voisivat vaikuttaa itsearvion tekijään tai tulosten kirjaamiseen.
Arvioinneissa (esim. Katakri 2020) kiinnitetään huomiota sekä teknisiin toteutuksiin – onko järjestelmä arkkitehtuuriltaan ja konfiguraatioltaan turvallinen – että prosesseihin eli miten muutostenhallintaa tehdään, miten haavoittuvuuksienhallinta toimii käytännössä ja miten järjestelmän turvallisuudesta huolehditaan koko sen elinkaaren ajan käyttöönotosta tiedon tuhoamiseen.
Mitä vaatimusten keventäminen käytännössä tarkoittaisi?
Ajatellaan asiaa arkisen vertauskuvan kautta. Kuvittele, että henkilöautoja ei enää tarvitsisi katsastaa virallisella katsastusasemalla. Samalla raskaiden ajoneuvojen osalta katsastus olisi omistajan riskiperusteisen arvion perusteella vapaaehtoista. Tieliikenteessä riittäisi oma arvio auton kunnosta.
Miten tämä näkyisi autojen kunnossa, jos samalla tavoitteena olisi säästää ylläpitokustannuksissa?
Osa autoista pysyisi kunnossa, koska omistajat huolehtivat niistä muutenkin. Merkittävä osa rapautuisi hitaasti, koska ulkoinen kannustin ylläpitoon olisi poistunut. Vakavat puutteet havaittaisiin vasta kolarin tai muun haaverin jälkeen.
Tietoturvallisuuden arviointiin pätee sama logiikka. Vaatimusten höllentäminen kustannussäästöjen nimissä ei poista riskejä, vaan se siirtää niiden paljastumisen myöhemmäksi ja koko homma tulee kalliimmaksi.
Kun puutteet löydetään vasta poikkeaman kautta, maksetaan samasta asiasta useaan kertaan: ensin vahingon rajaaminen ja raskas selvitystyö, sitten kiireessä tehdyt korjaukset ja lopuksi pitkä työlista (valvonnan tehostaminen, lisäauditoinnit, koulutus ja luottamuksen palauttaminen).
Ennaltaehkäisevä ammattimainen arviointi tulee halvemmaksi kuin reaktiivinen kriisinhallinta.
Kansallinen turvallisuus ei sovi säästökohteeksi
Tietoturvallisuuden arvioinnilla vakavat puutteet saadaan esille varhaisessa vaiheessa. Yhtä tärkeää on varmistaa, että havaitut poikkeamat myös korjataan ja että tietoturvan ylläpitoon ja kehittämiseen liittyvä toiminta on jatkuvaa.
Nopea reagointi ei onnistu sattumalta. Se nojaa prosesseihin, joita kehitetään, testataan ja arvioidaan säännöllisesti ja järjestelmällisesti. Tätä kyvykkyyttä ei kannata päästää rapautumaan.
On hyvä, että Valtori kertoi tapahtuneesta avoimesti, sillä läpinäkyvyys on edellytys luottamuksen säilymiselle. Silti jokainen tämän tasoinen poikkeama valtionhallinnossa muistuttaa, kuinka paljon on pelissä. Valtionhallinnon ICT-palvelut ovat osa Suomen kriittistä infrastruktuuria, ja kun niihin kohdistuu tietomurto, kyse ei ole tavanomaisesta yritystietoturvasta vaan kansallisesta turvallisuudestamme.
Tatu Suhonen
Into Securityn liiketoimintajohtaja ja perustajaosakas. Tatu on erittäin kokenut julkisen hallinnon tietoturvallisuuden arvioija.
Linkit →
VM167:00/2023 Säädösvalmistelu – Julkisen hallinnon tietojärjestelmien vaatimustenmukaisuuden arvioinnin ajantasaistaminen ja tehostaminen
https://vm.fi/hankesivu?tunnus=VM167:00/2023
Valtorin tilannepäivitys
https://valtori.fi/-/tilannepaivitys-30.1.-todetusta-mobiililaitehallinnan-tietomurrosta