Autoritaaristen valtioiden kyberekosysteemit uhkaavat kansainvälistä vakautta
Pärjätäkseen jatkuvasti kehittyvässä kybermaailmassa valtiot tarvitsevat viranomaisten ohella akateemisten instituutioiden, yksityisten yritysten ja asiantuntijoiden osaamista. Eri toimijoiden kykyjen ja valmiuksien yhdistymistä monimutkaisissa verkostoissa kutsutaan kyberekosysteemeiksi. Autoritaarisissa maissa, kuten Venäjällä ja Kiinassa, kyberalan yritykset ja tutkijat voivat joutua myös osaksi valtiollisen vakoilun ja vaikuttamisen koneistoa.
Kybermaailmasta on tullut geopoliittisen voimannäytön pelikenttä. Nopeasti digitalisoituneessa maailmassa valtiot ovat joutuneet keskittämään resursseja torjunnallisiin kybersuorituskykyihin. Vahvat kyberekosysteemit edistävät valtioiden kansallista turvallisuutta ja resilienssiä kyberuhkiin kokonaisvaltaisemmin. Geopoliittisten jännitteiden kasvaessa rajat torjunnallisten ja hyökkäyksellisten suorituskykyjen ja tavoitteiden välillä ovat kuitenkin hämärtyneet. Erityisesti autoritaarisissa valtioissa kyberalan kehitystyö on keskittynyt kansallisten kyberturvallisuusresurssien valjastamiseen osaksi valtiollisten intressien mukaista tiedustelua ja vaikuttamista. Samoja suorituskykyjä käytetään autoritaarisissa valtioissa myös sisäiseen kontrollointiin.
Sekä Venäjällä että Kiinassa valtionhallinnot ovat pyrkineet saamaan kyberalan yritysten ja asiantuntijoiden tietotaidon osaksi vakoilu- ja vaikuttamiskoneistoaan. Tätä molemmat valtiot ovat edistäneet muun muassa kiristämällä lainsäädäntöä, panostamalla kyberalan tutkimukseen ja koulutukseen sekä lisäämällä yksityisen sektorin osuutta palveluntuotannossa. Erityisesti Kiina on vienyt kyberekosysteeminsä ennennäkemättömään laajuuteen.
Kukaan ei voi yksin puolustaa valtiota kyberympäristössä, vaan siihen tarvitaan eri toimijoiden yhteistoimintaa. Kyberekosysteemit muodostuvat kyberympäristön turvaamiseen tai palveluntuotantoon osallistuvista yrityksistä, tiedustelu- ja turvallisuusviranomaisista, asevoimista, tutkimuslaitoksista, mediasta ja muista organisaatioista, joita tarvitaan kansallisen turvallisuuden suojaamiseen kyberympäristössä. Kyberekosysteemit yhdistävät näiden eri toimijoiden resurssit ja valmiudet palvelemaan valtioiden kansallista kyberturvallisuutta kokonaisvaltaisemmin.
Koulutus- ja tutkimussektori, velvoitteet
VENÄJÄ, KIINA - Seikkaperäinen lainsäädäntö
Lait, säädökset ja teknologiset standardit ohjaavat kyberturvallisuusalan tutkimusta, tiedonhallintaa ja koulutusta, palvelu-, ohjelmisto- ja laitekehitystä sekä rajat ylittävää tietoliikennettä.
KIINA - Tiedonjaon rajoittaminen, myös julkisen sektorin velvoitteet
Kyberturvallisuuteen liittyvää julkista, erityisesti kansainvälistä tiedonjakoa rajoitetaan muun muassa ilmaisukielloin sekä estämällä kyberasiantuntijoiden osallistuminen kansainvälisiin tietoturvatapahtumiin.
KIINA - Haavoittuvuuksien pakkokeräys
Yritykset, tietoturvatutkijat ja asiantuntijat on velvoitettu viipymättä ilmoittamaan kaikki ohjelmisto- ja laitehaavoittuvuudet valtiolle. Ilmoitusvelvollisuuteen on sidottu myös ilmaisukielto ja korjaustoimien rajoitus.
Koulutus- ja tutkimussektori, ohjaus
VENÄJÄ, KIINA - Kybertapahtumat
Kansalliset kyberturvallisuusalan tapahtumat toimivat tiedonhankinta- ja rekrytointialustoina turvallisuus- ja tiedustelupalveluille.
VENÄJÄ, KIINA - Koulutusohjelmat
Kiina on lisännyt kansallisia kyberturvallisuuteen keskittyviä koulutusohjelmia ja -linjoja, sekä kansallisia akkreditointi- ja sertifiointiohjelmia.
Koulutus- ja tutkimussektori, kannustimet
VENÄJÄ, KIINA - Rahoitus
Valtio rahoittaa kansallista tietoturvahaavoittuvuuksiin ja kybersodankäyntiin liittyvää tutkimusta.
Julkinen sektori, velvoitteet
KIINA - Tiedonjaon rajoittaminen, myös koulutus- ja tutkimussektorin velvoitteet
Julkinen sektori, ohjaus
KIINA - Haavoittuvuustietokanta
Kansallinen haavoittuvuustietokanta mahdollistaa tiedusteluviranomaisille jatkuvan pääsyn uusimpiin hyökkäysvektoreihin.
KIINA, OSIN VENÄJÄ - Yritykset viranomaispeitteenä, myös yksityisen sektorin ohjaus
Kiinan tiedusteluviranomaiset käyttävät tietoturva-alan toimijoiksi naamioituja peiteyrityksiä kybervakoilussaan.
VENÄJÄ, KIINA - Autoritaarinen hallinto
Teollisuuteen, informaatioteknologiaan ja kansalliseen turvallisuuteen keskittyvien ministeriöiden sekä näiden alaisten elinten ja yhdistysten toiminta on vahvasti valtion ylimmän johdon alaisuudessa.
Yksityinen sektori, velvoitteet
VENÄJÄ, KIINA - Velvollisuus luovuttaa tietoa ja pääsyoikeuksia viranomaisille
Kiinassa toimivat laite- ja palveluntarjoajat ovat velvoitettuja avustamaan tiedusteluviranomaisia muun muassa tietoja ja pääsyjä luovuttamalla.
Yksityinen sektori, ohjaus
VENÄJÄ, KIINA - Autoritaarinen hallinto
Teollisuuteen, informaatioteknologiaan ja kansalliseen turvallisuuteen keskittyvien ministeriöiden sekä näiden alaisten elinten ja yhdistysten toiminta on vahvasti valtion ylimmän johdon alaisuudessa.
KIINA, OSIN VENÄJÄ - Yritykset viranomaispeitteenä, myös julkisen sektorin ohjaus
Yksityinen sektori, kannustimet
KIINA, OSIN VENÄJÄ - Palveluostot alihankkijoilta
Freelance-toimijat toteuttavat itsenäistä kybervakoilua ja tunkeutumisia palvelumuotoisesti.
KIINA, OSIN VENÄJÄ - Yritysten osallistaminen tiedusteluun
Yksityiset yritykset tuottavat Kiinan tiedustelupalveluille työkaluja ja infrastruktuuria alihankintana.
