Sisältöön

Beeline välityspiste - SecMeter

Ohita valikko
Ohita valikko

Beeline välityspiste

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Beeline kansainvälisen verkkoliikenteen välityspiste Helsinkiin



Venäläinen teleoperaattori Beeline tuli Helsinkiin, koska se näki kaupungin käytännöllisenä ja kustannustehokkaana yhdysliikenne- ja peering-solmukohtana Venäjän ja EU:n palveluiden välillä. Täältä saa nopeasti ja kustannustehokkaasti paremmat suorat kytkennät EU-palveluihin ja mahdollisuuden kasvattaa kapasiteettia esimerkiksi Telegram-asiakkaille.

Helsingissä toimii useita neutraaleja vaihtopisteitä (esim. FICIX, DE-CIX Helsinki), jotka tarjoavat suorat kytkennät kymmeniin tai satoihin verkkoihin ja pilvipalveluihin. Tämä mahdollistaa pienemmän viiveen ja usein matalammat kustannukset kuin liikenne “julkinetin” kautta.

Sijainti lähellä Pietaria sekä merikaapeliyhteydet Pohjolaan, Baltiaan ja Keski-Eurooppaan tekevät Helsingistä luontevan “EU-portin” venäläiselle dataliikenteelle. Paikallinen peering parantaa läpimenoa ja pienentää transittikuluja. Tämä on klassinen syy perustaa oma PoP (Point of Presence).

Helsingin tapauksessa Beelinen PoP on luultavasti räkki tai useampi paikallisessa datakeskuksessa/IXP:ssä, josta se saa suorat kytkennät eurooppalaisiin verkkoihin ja palveluihin.

Tehtävälista viranomaisille
Rajaa rooli

  • Varmista, että Helsingin PoP toimii ainoastaan reuna-/transit-käytössä.
  • PoP:ssa ei saa olla ydintoimintoihin tai hallintaan liittyviä järjestelmiä tai palvelimia.

Valvo ja dokumentoi

  • Varmista, että teletoimintailmoitus on voimassa.
  • Dokumentoi IXP-kytkennät ja varmista, että sopimuksiin sisältyy auditointioikeus.

BGP-hygienia
Toteuta ja valvo seuraavat käytännöt:

Prefix-suodatus
AS-politiikat ja AS-path-suodatus

Max-prefix-rajoitukset
RPKI/ROA-validointi

Ylimääräisten attribuuttien poisto
Konfiguraation dokumentointi ja ajantasaisuus

Etähallinta ja lokitus

  • Salli hallintayhteydet vain EU-/Suomi-sijainneista.
  • Varmista, että käytössä on IP-rajoituksia ja geolokaatiotarkistuksia.
  • Toteuta vahva valvonta ja audit trail kaikille hallintayhteyksille.
  • Vaadi, että kaikki hallintatoimet kirjataan ja lokit säilytetään turvallisesti.

DPI/LI

  • Estä DPI ja LI, ellei Suomen laki sitä nimenomaisesti vaadi.
  • Jos LI on käytössä, varmista, että se on täysin Suomen lainsäädännön mukainen eikä salli ulkomaisia pääsyjä.

Kill switch

  • Varmista, että on olemassa tekninen ja juridinen irtikytkentäsuunnitelma kriisitilanteisiin.
  • Vaadi sopimuksiin selkeät purku- ja pakote-ehdot.

Salaus

  • Varmista vahvan, ajantasaisen salauksen käyttö (TLS 1.3, QUIC).
  • Varmista, että myös DNS-liikenne on salattu (DoH, DoT).
  • Varmista avainhallinnan hyvät käytännöt: turvallinen säilytys, säännöllinen kierrätys, pääsynhallinta.

Reititysstrategia

  • Poista riippuvuus yksittäisestä venäläisestä transit-operaattorista.
  • Varmista vaihtoehtoiset reitit ja seuraa BGP-anomaliat sekä RTT-profiilit.

Sopimukset

  • Varmista auditointioikeus, lokivaatimukset ja ilmoitusvelvollisuus poikkeamista.
  • Varmista verkon segmentointi (DMZ ja transit).

Telegram-erityishuomio

  • Estä E2E-salausta heikentävät välitysrakenteet.
  • Seuraa viive- ja reititysmuutoksia, jotka voivat viitata valvonta- tai tietoturvariskeihin.
Tehtävälista yrityksille
Kartoita reitit

  • Selvitä BGP- ja traceroute-tietojen avulla, kulkeeko liikenne Beelinen Helsingin solmupisteen kautta.
  • Dokumentoi reitit tärkeimpiin kohteisiin, mukaan lukien Venäjä ja muut korkean riskin maat.

Tarkista sopimusehdot
Varmista, että palveluntarjoajasi sopimuksiin sisältyy:

  • Auditointioikeus
  • Ilmoitusvelvollisuus poikkeamista
  • Mahdollisuus reitityksen muuttamiseen tarvittaessa

Käytä vahvaa salausta

  • Ota käyttöön TLS 1.3, QUIC ja salattu DNS (DoH/DoT) kaikessa liikenteessä.
  • Salaa myös sisäiset yhteydet, vaikka ne kulkisivat oman VPN:n tai MPLS-verkon sisällä.

Oma VPN-kerros

  • Toteuta yrityksen oma VPN-kerros (IPsec/OpenVPN/WireGuard) kaikkeen kriittiseen liikenteeseen, myös pilvipalveluihin.
  • Pidä VPN-palvelimet EU-/Suomi-sijainneissa.

Segmentoi verkko

  • Erota DMZ ja sisäverkko selkeästi palomuureilla.
  • Transit-liikenne (Internet-yhteydet) ei saa antaa suoraa pääsyä sisäverkkoon.

Seuraa BGP-anomaliat

  • Hyödynnä RPKI-validointia ja seuraa oman AS:n reittien tilaa.
  • Ota käyttöön BGP- ja RTT-seuranta (esim. RIPE Atlas, BGPmon).

Monitoroi viiveet ja reititysmuutokset

  • Seuraa RTT-profiileja kriittisiin kohteisiin.
  • Tutki muutokset viiveissä tai reiteissä, jotka voivat viitata liikenteen ohjaukseen tai kaappaukseen.

Etähallinnan suojaus

  • Salli hallintayhteydet vain EU-/Suomi-osoitteista.
  • Käytä kaksivaiheista tunnistautumista ja lokita kaikki hallintayhteydet.

Kill switch -suunnitelma

  • Laadi sisäinen suunnitelma, miten liikenne voidaan nopeasti ohjata toisen operaattorin kautta, jos Beelinen reitti muuttuu riskialttiiksi.

Erityishuomio sovelluksiin
Telegram ja muut palvelut, joiden reititys voi kulkea Venäjän kautta

  • Seuraa liikennettä ja estä välitysrakenteet, jotka heikentävät salausta.
Beelinen toimitusjohtaja
Alexander Torbakhov on diplomi-insinööri Moskovan ilmailuinstituutista (MAI) ja ekonomi Moskovan valtion kansainvälisten suhteiden instituutista (MGIMO). Hänellä on myös MBA-tutkinto Chicagon yliopiston Booth School of Businessista (USA).

Torbakhov aloitti uransa vuonna 1995 Moskovassa Deloitte & Touchessa pankkipalvelujen asiantuntijana. Hän toimi myöhemmin johtotehtävissä Rinako Plus -sijoitusyhtiössä sekä Nikoil-konsernissa. Vuodesta 2008 hän johti Rosgosstrakh-Life -vakuutusyhtiötä (Rosgosstrakh-konserni). Vuosina 2009–2010 hän toimi VimpelComin (Beeline) toimitusjohtajana (general director).

Vuonna 2010 Torbakhov siirtyi Sberbankiin ensin presidentin neuvonantajaksi ja sittemmin hallituksen varapuheenjohtajaksi. Sberbankissa hän vastasi mm. vähittäisliiketoiminnasta vuoteen 2018 saakka.

Vuonna 2020 hänet nimitettiin jälleen VimpelComin toimitusjohtajaksi (Beeline). Hän johti myöhemmin johdon järjestämää VimpelComin ostojärjestelyä VEONilta (sopimus 11/2022, kauppa päätökseen 10/2023). Lähde: (events.vedomosti.ru, history.mai.ru)

Ei ole julkista näyttöä, että Alexander Torbakhovilla olisi henkilökohtainen virka- tai neuvonantajasuhde Kremliin. Hän ei myöskään näy EU/UK/US-pakotelistoilla.

Torbakhov on ennen kaikkea liiketoimintajohtaja, joka on työskennellyt valtion omistamassa pankissa ja johtanut teleoperaattoria sektorilla, joka on Venäjällä vahvasti säädelty. Tästä seuraa toiminnallisia suhteita ministeriöihin ja viranomaisiin, mutta julkista, suoraa Kremlin henkilö- tai luottamustehtävää ei ole dokumentoitu.

Beelinen varatoimitusjohtaja
Beeline nimitti helmikuussa 2021 Sergei Bykovin operaattoriliiketoiminnan varatoimitusjohtajaksi. Uudessa tehtävässään Sergei Bykov työskentelee suoraan PJSC VimpelCom toimitusjohtajan Alexander Torbakhovin alaisuudessa.

Hän siirtyi PJSC VimpelComiin 2016 ja toimi aiemmin teleoperaattoreiden ja verkkovierailujen vuorovaikutusjohtajana. Sergei (Sergey) Aleksandrovitš Bykov, s. 27.11.1980, filologian koulutus (englanti & saksa, Tšuvassian valtion pedagoginen yliopisto). Aiempi ura Rostelecom (2006–2016).

Toiminnanjohtajana Sergey vastaa strategisesta suunnittelusta ja suhteiden kehittämisestä kansallisiin ja kansainvälisiin teleoperaattoreihin, B2O-segmentin markkinointistrategian määrittämisestä ja toteuttamisesta, ja myös kumppanuuksien kehittämiseen virtuaalisten viestintäverkkojen liiketoimintamallin avulla.

Lisäksi hänen velvollisuuksiensa luetteloon kuuluu yrityksen ydinliiketoiminnan ylläpitäminen tilaajaliikenteen läpikulun varmistamisen ja Beeline-tilaajien Internet-palvelujen laadun parantamiseen tähtäävien aloitteiden toteuttamisen osalta. Lähteet: (whoiswho.comnews.ru, telecomlife.ru 1.3.2021)

Sergei Bykov toimii myös ZAO Raskomin hallituksen varapuheenjohtajana. Raskom on VimpelComin (54 %) ja RŽD:n (46 %) yhteisyritys.

Julkista näyttöä Sergei Bykovin henkilökohtaisista Kreml-kytköksistä ei ole. Taustalla on ainoastaan valtiotoimijoita liiketoimintayhteyksissä. Bykov on kommentoinut myös venäläisen tietoliikennelainsäädännön ns. Jarovajan lain noudattamista operatiivisena asiana.

Jarovajan laki on Venäjän terrorisminvastainen lakipaketti vuodelta 2016, nimetty aloitteen tehneen duuman jäsenen Irina Jarovajan mukaan. Se koostuu kahdesta 6.7.2016 hyväksytystä liittolaista (374-FZ ja 375-FZ), joilla kiristettiin turvallisuus- ja rikoslakia.

Laki antaa Venäjälle poikkeuksellisen laajat velvoitteet datan säilytykseen ja salauksen murtamiseen viranomaisten pyynnöstä. Lain mukaan salattuja palveluja tarjoavien on annettava FSB:lle tarvittavat tiedot viestien purkamiseen pyydettäessä. Lähde. (forbes.ru 14.4.2025)

Beelinen Helsingin yhteyspiste
Uutistoimisto TASS julkaisi alla oleva uutisen kotisivuillaan (sama viesti toistuu useissa venäläisissä teknologiakanavissa):

Beeline on avannut uuden kansainvälisen verkkoliikenteen välityspisteen Helsinkiin, mikä nopeuttaa ulkomaanpalvelujen työtä. Matkapuhelinoperaattorin lausunnon mukaan erityisesti Telegramin nopeutta on nostettu 43 % - 1,4:stä 2 Tbit/s:ään.

Beelinen operaattoriliiketoiminnan varatoimitusjohtaja Sergei Bykov totesi, että uuden viestintäkeskuksen käyttöönotto auttaa asiakkaita käyttämään tavanomaisia palveluitaan.

PoP on operaattoritason risteyspiste konesalissa/IXP:ssä. Se ei itsessään merkitse pääsyä Suomen ydinverkkoon tai hallinta-/ohjausfunktioihin. Reitityspäätökset voivat silti vaikuttaa siihen, minkä palveluiden liikenne kulkee Helsingin kautta ja millä ehdoilla (peering/transit).

Telegram-yhteyskapasiteetin laajentaminen oli yksi uuden tietoliikennesolmun ensimmäisistä lisäyksistä. Yhteyksien laajentamista muihin palveluihin työstetään parhaillaan, ja se valmistuu lähitulevaisuudessa.

Uuden kansainvälisen verkkoliikenteen välityspisteen lanseeraus auttaa asiakkaitamme käyttämään tuttuja palveluita, kuten kommunikoida, vaihtaa tiedostoja, katsella elokuvia, pelata pelejä maksiminopeudella ja parhaalla mahdollisella laadulla, kommentoi uuden tietoliikennesolmun lanseerausta Beelinen operaattoriliiketoiminnan varatoimitusjohtaja Sergei Bykov.

PJSC VimpelCom (tuotemerkki Beeline) on yksi Venäjän suurimmista digitaalisista yrityksistä, joka viestintäpalveluiden lisäksi kehittää omaa osaamistaan fintechin, tekoälypohjaisten lääketieteen, koulutuksen, video- ja äänianalytiikkapalveluiden, älykaupunkiratkaisujen sekä ESG:n aloilla. Lähde: (tass.ru 6.8.2025)

TASS:n uutinen tarkoittaa tiivistettynä, että venäläinen teleoperaattori Beeline (virallisesti PJSC VimpelCom) on avannut Helsinkiin kansainvälisen verkkoliikenteen välityspisteen, joka nopeuttaa erityisesti Telegramin datayhteyksiä Venäjältä ulkomaille. Kapasiteetti nousi heidän mukaansa 1,4 terabitistä 2 terabittiin sekunnissa, mikä on noin 43 % parannus. Tämä koskee palvelinvälistä kapasiteettia, ei yksittäisen käyttäjän “nopeutta”.

Mitä PoP Helsingissä tarkoittaa
PoP (Point of Presence) on operaattoritason risteyspiste, jota käytetään kansainvälisen liikenteen reitittämiseen ja peeringiin. Helsingissä toimii useita neutraaleja IXP-alustoja (mm. FICIX ja DE-CIX Helsinki) sekä carrier-neutraaleja konesaleja, joissa tällaisia kytkentöjä tyypillisesti ylläpidetään. PoP itsessään ei tarkoita pääsyä Suomen ydinverkkoon tai hallintafunktioihin.

Mitä tiedämme ja mitä emme
Tiedämme varmasti, että Beeline on avannut Helsinkiin solmun ja kasvattanut Telegram-yhteyden kapasiteettia 2 Tbit/s:iin. Kyse on Beelinen omaan verkkoon liittyvästä interconnection-/peering-kapasiteetista, ei kuluttajanopeuksista.

Avoimia asiakohtia ovat:

  • Missä konesalissa/IXP:ssä solmu sijaitsee ja mitkä ovat tarkat peering-sopimukset (ei julkista tietoa).
  • Onko solmussa DPI/LI-laitteistoa (ei julkista tietoa; Suomessa LI toteutuu vain Suomen lain puitteissa).

Vaikeutuuko Puolustusvoimien tiedustelulaitoksen toiminta
Beelinen PoP Helsingissä ei itsessään tee puolustusvoimien verkkovakoilua automaattisesti vaikeammaksi tai helpommaksi. Vaikutus riippuu reitityksestä (IXP vs. privaattikytkennät), siitä kuinka paljon liikennettä todella kulkee Helsingin kautta, ja ennen kaikkea siitä, mitä laki sallii sekä siitä, että viestintä on vahvasti salattua. Salaus ja sääntely ovat verkkovakoilussa isommat muuttujat kuin solmun maantieteellinen sijainti.

Mikä voi vaikeutua
Yksityiset kytkennät vs. IXP, jos Beeline käyttää Helsingin konesaleissa yksityisiä cross-connecteja ja MPLS-/privaatteja reittejä, liikenne voi ohittaa ne paikat, joissa internet-vaihtoa normaalisti tarkkaillaan. Se voi kaventaa teknisiä “näköalapaikkoja” riippuen laillisista toimintavaltuuksista ja sopimusjärjestelyistä.

Telegramin “pilvichateissa” salaus on asiakas↔palvelin, ja “salaisissa chateissa” päästä päähän (E2E). Kumpikaan ei ole verkosta käsin luettavissa. Sijainnin muutos ei tee sisällöstä näkyvää. Näkyviin jää lähinnä reititys- ja aikatajuinen metadata.

Mikä voi helpottua
Jos merkittävä osa Venäjältä ulkomaille kulkevasta Telegram-liikenteestä reitittyy Helsingin kautta, valtuutuksen saatuaan suomalaisilla viranomaisilla voi periaatteessa olla paremmat mahdollisuudet nähdä metatason ilmiöitä (esim. reittimuutokset, volyymit), koska liikenne kulkee oman lainkäyttövallan alueella.

Yksityisyys ja tiedusteluympäristö Venäjällä
Venäjän teleoperaattorit toimivat SORM-valvontajärjestelmän lakisääteisten velvoitteiden piirissä. Operaattorit asentavat viranomaisten vaatimien järjestelmien rajapinnat, ja järjestelmä mahdollistaa laajaa liikenteen ja metadatan tarkastelua. SORM herättää perustellusti huolta venäläisten käyttäjien yksityisyydestä, etenkin jos reittejä optimoidaan ulkomaan solmujen kautta.

Telegram on erikoistapaus. Kesäkuussa 2025 IStories/OCCRP julkaisi selvityksen Telegramin infrastruktuuritoimittajasuhteista ja mahdollisista Venäjä-kytköksistä. Telegram kiisti väitteet. Keskustelu on siis kiistanalainen, mutta se lisää kiinnostusta Telegram-liikenteen reititysvalintoihin.

Suomen lainsäädäntö ja valvonta
Suomessa Traficom määrittelee viestintäverkon kriittiset osat ja voi kieltää laitteiden käytön niissä, jos on painavat perusteet epäillä kansallisen turvallisuuden vaarantumista (SVPL 917/2014, 244 a §; määräys ja perustelumuistio). Tämä antaa viranomaisille työkalut rajata ulkomaisten toimijoiden laitteet reuna-/transit-alueelle pois ydin- ja hallintafunktioista.

Lisäksi Suomessa yleisen teletoiminnan harjoittaminen on ilmoituksenvaraista (teletoimintailmoitus), jolloin toiminta tulee Traficomin tietoisuuteen ja valvonnan piiriin.

EU-pakoteympäristö
EU hyväksyi 18. pakotepaketin 17.–18.7.2025 (energian, rahoituksen, “shadow fleetin” ja kiertämisen kiristykset). Telekom-transit ei ole kategorisesti kielletty, mutta riskiperusteinen arviointi on vahvistunut.

Mistä kannattaa olla huolissaan
Operaattori näkee reititystason metatietoja ja voi suorittaa profilointia. SORM-ympäristö lisää venäläisten käyttäjien yksityisyysriskejä. Tällä on epäsuora vaikutus suomalaisiin yrityksiin, joilla on käyttäjiä/asiakkaita Venäjällä.

Manipulaatioriski kriisitilanteissa
BGP/DNS/DPI, jos hallinta keskittyy yhdelle toimijalle, väärinkäytön potentiaali kasvaa, vaikka normioloissa riski on rajattu.

Sillanpääasema kybertoimille
Väärinkäyttö mahdollinen, jos segmentointi ja valvonta pettävät.

Pakotteet ja niiden kiertäminen
Sopimus- ja toimittajaketjut tulee auditoida jatkuvasti.

Termiselitykset lukijalle

  • Anomalia. Poikkeama, mikä voi olla merkki viasta, hyökkäyksestä tai muusta epätavallisesta tapahtumasta.
  • BGP-anomalia. Poikkeama normaalista reitityskuvasta.
  • PoP (Point of Presence). Verkon solmupiste, jossa on kytkentä infrastruktuuriin.
  • Transit. Liikenteen välityspalvelu toisiin verkkoihin.
  • DMZ (Demilitarized Zone). Suojattu verkon osa internetin ja sisäverkon välissä, jossa on ulospäin näkyvät palvelut.
  • BGP (Border Gateway Protocol). Internetin reititystietojen vaihtoprotokolla.
  • Prefix filtering. Hyväksytään vain verkot, jotka kuuluvat kyseiselle operaattorille.
  • AS-politiikka. Säännöt siitä, millaisia reittejä hyväksytään ja mainostetaan.
  • Max-prefix. Yläraja vastaanotettavien reittien määrälle.
  • RPKI/ROA. Menetelmä reittien oikeellisuuden varmentamiseen.
  • DPI (Deep Packet Inspection). Liikenteen syväpakettitarkastus.
  • LI (Lawful Interception). Laillinen telekuuntelu viranomaisille.
  • E2E-salaus: Salaus, jossa vain viestin lähettäjä ja vastaanottaja voivat lukea sisällön.
  • RTT (Round Trip Time). Paketin edestakaisen matkan viive.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön