Minusta poliitikkojen ja sellaiseksi pyrkivien pitää kysyä myös epämiellyttäviä kysymyksiä. Silloinkin, kun kysymyksen aiheena on kansallinen turvallisuus. Yksi sellainen kysymys tuli mieleeni tänään, kun sekä OP-Pohjolan että Nordean pankkipalvelut joutuivat verkkohyökkäysten kohteeksi ja valtava määrä suomalaisia on joutunut kärsimään esimerkiksi pankkikorttien ja verkkopankkien toimimattomuudesta. Kysymys kuuluu: Mitä tässä oikein tapahtui ja miksei kukaan ole esittänyt asiasta mitään arviota?
Tilanne herättää erityistä huolta mm. näistä syistä:
- Kohteena on samanaikaisesti kaksi pankkia, joiden palvelut ovat yhteiskunnan normaalin toiminnan kannalta kriittistä infrastruktuuria
- OP-Pohjolan tietoliikenteestä vastaa Tieto, joka on osin valtion omistama ja vastaa myös lukemattomista muista kriittisistä järjestelmistä (kuten ruokahuolto ja väestörekisteri)
- Nordean viive verkkohyökkäyksen tunnistamisessa tai myöntämisessä, huom. ongelmia esiintynyt uv-aatosta asti kuten OP:llakin
- Mitään viranomaisanalyysiä ei ole esitetty (KRP ymmärrettävästi vaitonainen)
Koska analyysia on esitetty vähänlaisesti, lähdin itse pohtimaan, mikä tai kuka voisi olla hyökkäyksen takana ja miksi. Kaikkia skenaarioita yhdistää se, että oletan hyökkäyksen olevan organisoidumpi kuin yksittäisen henkilön päähänpisto: pankkien tietojärjestelmät lienevät riittävän vakaasti suojattuja estääkseen yksittäisen henkilön toteuttaman hakkeroinnin. Seuraavassa kolme mahdollista skenaariota, hyvin tiiviisti kuvattuna.
1. Lunnasvaatimus (“transaktionaalinen” syy)
Twitteristä löytyy oheinen kuva, jonka mukaan OP-ryhmän feedissä Coresec-niminen ulkomainen hakkeriryhmä olisi vaatinut lunnaita BitCoineina. Sama ryhmä on esittänyt vastaavia vaatimuksia aiemminkin esim. MTV:n Katsomo-palvelulle ja Danskelle. On mahdollista, että ryhmä on iskun takana, tai sitten se vain testaa, menisikö joku hyökkäyksen kohde helppoon.
Lunnasmotiivi tuntuisi loogiselta: pankeilla on paljon rahaa ja palveluiden toimivuus on niille elintärkeää. Toisaalta on vaikea uskoa, että pankki ryhtyisi lunnaiden maksuun: jos se olisi varma hyökkäyksen lähteestä, olisi itse hyökkäyskin luultavasti jo taltutettu. Jos oletetaan, että molemmat hyökkäykset tulevat samasta lähteestä, auki jää myös kysymys, miksi iskeä kahteen pankkiin samanaikaisesti, kun se herättää enemmän huomiota ja on todennäköisesti teknisesti haastavampaa?
2. Radikalismi, voimannäyttö tai muu yksityinen syy
Talous sakkaa, työttömyys kasvaa, monet ovat turhautuneita nykymenoon eivätkä pankit ole näinä päivinä niitä suosituimpia yrityksiä. Palvelunestohyökkäys voisi olla jonkun organisoima uudenvuoden jekku tai näpäytys. Hyökkäys voi olla kohdistettu myös laajempaan uutta vuotta juhlivaan yleisöön, jonka ilon palveluiden toimimattomuus pilaisi – tämä selittäisi osin halua iskeä kahteen isoimpaan pankkiin samanaikaisesti. Tai syynä voi olla iskijän halu voimannäyttöön, sillä onhan pankkien tietosuojaus eräänlainen aikamme kivilinna.
Tämäkin skenaario jättää auki kysymyksiä: miksi hyökkäys tulee ulkomailta Suomeen (niinkuin näyttää olevan) ja osuu vielä voimakkaimmin kotimaiseen OP-ryhmään? Onko syynä suojauksen heikkous suhteessa muihin, vai onko motiivi (ulko)poliittinen? Kumpikin vaihtoehto kuulostaa huolestuttavalta, erityisesti kun suojauksesta vastaa Tieto, mutta suojauksen heikkouteen on helpompi puuttua omin voimin.
3. Ulkopoliittinen motiivi, joko yksityinen tai valtio
Suomi valmistautuu vaaleihin, ja ulko- ja turvallisuuspoliittiset teemat ovat herättäneet huomiota enemmän kuin aikoihin. Naapurivaltiomme samoin kuin muut suurvallat ovat panostaneet merkittävästi kyberturvallisuuskykyynsä niin puolustuksen kuin hyökkäyksen osalta, ja maailmalla on ollut väitetysti useita esimerkkejä kybervoimankäytöstä (esim. USA vs. Iranin uraanirikastamot, Kiinan vapautusarmeijan yksikkö 61398, Venäjän kyberhyökkäykset). Venäjä on myös toistuvasti varoitellut Suomea NATO-haaveilusta, josta monet vaikutusvaltaiset poliitikot mukaan lukien tasavallan presidentti ovatkin tällä erää irtisanoutuneet.
Pankit ovat meille juuri sitä keskeistä infraa, joiden kaatuminen voisi laittaa yhteiskunnan normaalitoiminnan pahastikin polvilleen. Niihin kohdistuva kyberhyökkäys, erityisesti osuessaan samanaikaisesti kahteen suurimpaan kuluttajapankkiin, voi olla ilmatilan loukkaamista muistuttava toimenpide jonkinlaisen poliittisen viestin välittämiseksi. Tai puolustuskyvyn testi – jonka tulokset eivät ole nyt mairittelevia.
On aivan mahdollista, että viranomaiset jo tietävätkin, mistä suunnasta hyökkäys tuli, ja vaitonaisuus johtuu juuri siitä. Tämä olisi minusta se kaikkein huolestuttavin vaihtoehto. Siksi haluaisin pikapuoliin kuulla jonkinlaisen arvion siitä, mitä uudenvuoden tienoilla viranomaisten mielestä on oikein tapahtunut, ja mitä näistä tapahtumista tulisi ajatella.