Sisältöön

Supon henkilötiedustelun kehittämistarve - SecMeter

Ohita valikko
Ohita valikko

Supon henkilötiedustelun kehittämistarve

Yritysturvallisuus > Suojelupoliisi
Ohita valikko
Supon henkilötiedustelun kehittämistarve


Supon tiedustelutoiminta voi olla tehokasta vain silloin, kun se on samalla sekä turvallista että laillista. Supoa koskevien rikosepäilyjen keskeinen kysymys ei näyttäisi olevan se, kuinka onnistunutta tiedustelutyö on ollut tai kuinka arvokasta hankittu tieto on ollut.

Keskeinen kysymys on se, onko tiedustelutoiminnan ja salassa pidettävän tiedon käsittelyn annettu siirtyä osittain henkilöille, jotka eivät toimineet virassa eivätkä virkavastuun piirissä.

Jos näin on tapahtunut, kyse ei ole ensisijaisesti tiedustelun tehokkuuteen liittyvästä ongelmasta vaan oikeusvaltion kannalta huomattavasti vakavammasta kysymyksestä, tiedusteluvaltuuksien ja turvallisuussalaisuuksien käsittelyn siirtymisestä virallisen valvontajärjestelmän ulkopuolelle. Juuri tästä syystä asiaa tutkittiin rikosoikeudellisena kokonaisuutena eikä pelkästään hallinnollisena virheenä.

Supon henkilötiedustelun kehittämisessä tärkein tavoite ei ole hankkia enemmän tietoa vaan rakentaa järjestelmä, jossa tiedonhankinta, tietoturva, laillisuus ja valvonta tukevat toisiaan.

Julkisuudessa esillä olleiden tapahtumien tärkein opetus näyttää olevan, että tiedustelutoiminnan tehokkuus ei voi perustua epävirallisiin järjestelyihin eikä henkilökohtaiseen luottamukseen. Sen on perustuttava virkavastuuseen, selkeisiin toimivaltuuksiin ja tarkkaan valvontaan.

Tiedustelupalvelun vahvuus ei lopulta määräydy sen mukaan, kuinka paljon salaisuuksia se saa haltuunsa, vaan sen mukaan, kuinka turvallisesti ja laillisesti se kykenee niitä käsittelemään.
Mitä Supon Venäjä-tiedustelu kertoo sen suorituskyvystä?
Supon henkilötiedustelun tehtävänä on hankkia Suomen kansallisen turvallisuuden kannalta merkityksellistä tietoa ulkomaisista tiedustelupalveluista, vihamielisestä vaikuttamisesta ja Suomen turvallisuutta uhkaavista toimijoista, jota ei olisi muin keinoin saatavissa.

Tämän vuoksi supon henkilötiedustelun onnistumista voidaan arvioida ennen kaikkea sen perusteella, kuinka syvälle se kykenee pääsemään tiedon ytimeen, kuten muun muassa päätöksentekoon, tiedonvälitykseen ja henkilöstöön.

Julkisuudessa esiin tulleiden tietojen perusteella vaikuttaa siltä, että osa supon Venäjään kohdistuneesta tiedonhankinnasta perustui Helsingin venäläisiä diplomaatteja palvelleiden yritysten henkilökunnan havaintoihin.

FSB ja RT julkaisemien väitteiden mukaan tietoja kerättiin muun muassa matkatoimistoista, kampaamoista ja muista palveluyrityksistä, joissa venäläiset diplomaatit ja heidän perheenjäsenensä asioivat. Näiden väitteiden paikkansapitävyys on kiistanalainen, mutta ne ovat herättäneet kysymyksen tiedustelutoiminnan painopisteistä.

Tiedustelupalvelut keräävät usein myös näennäisesti vähäpätöistä tietoa. Yksittäinen havainto voi muodostua arvokkaaksi osana laajempaa kokonaisuutta. Tästä huolimatta tiedustelun tavoitteena ei voi olla pelkästään suuri määrä arkisia havaintoja. Lopullinen päämäärä on päästä käsiksi sellaiseen tietoon, jolla on merkitystä kansallisen turvallisuuden kannalta.

Tästä näkökulmasta voidaan kysyä, mitä supon suorituskyvystä kertoo, jos merkittävä osa sen tietolähteistä toimii diplomaattien lähipalveluissa eikä varsinaisissa päätöksenteko- tai tiedonvälitysympäristöissä.

Tiedonhankinta näyttää perustuneen suurelta osin välillisiin henkilölähteisiin, joilla ei ollut suoraa pääsyä kohdehenkilöiden päätöksentekoon tai luottamuksellisiin keskusteluihin.

Kun tieto kulkee usean välikäden kautta, sen luotettavuuden arviointi vaikeutuu ja virheiden mahdollisuus kasvaa. Tällainen tieto voi pahimmillaan lähestyä luonteeltaan huhua tai juorua, ellei sitä pystytä vahvistamaan muista lähteistä.

Kriittinen tulkinta on, että tällainen toimintamalli voi viitata vaikeuksiin päästä varsinaisten kohteiden lähelle. Jos diplomaatteja ei onnistuta rekrytoimaan tietolähteiksi eikä heidän sisäpiiriinsä päästä käsiksi, supo joutuu turvautumaan välillisiin lähteisiin, joiden tiedustelullinen arvo ja luotettavuus voivat olla rajallisia verrattuna suoriin henkilölähteisiin.

Erityisen vakavaksi kysymys muuttuu siinä vaiheessa, kun tiedonhankintaan liittyvä toiminta alkaa synnyttää merkittäviä turvallisuusriskejä. Julkisuudessa kerrottujen tietojen mukaan supon toimintaa koskevassa esitutkinnassa epäiltiin, että siviilihenkilöille oli annettu mahdollisuus käsitellä salassa pidettäviä tietoja valvomattomasti.

Lisäksi yhden tällaisen henkilön tietokoneeseen kohdistunut tietomurto johti tilanteeseen, jossa arkaluonteisia tietoja epäillään paljastuneen Venäjän tiedustelulle.

Tästä kokonaisuudesta syntyy vakava kysymys tiedustelutoiminnan riskien ja hyötyjen suhteesta. Kansallisen turvallisuuden näkökulmasta olennaista ei ole ainoastaan se, kuinka paljon tietoa kerätään, vaan myös se, millä hinnalla tieto hankitaan.

Mikäli lopputuloksena on tietolähteiden paljastuminen, operatiivisten menetelmien vaarantuminen ja laaja rikostutkinta, on perusteltua arvioida, saavutettiinko toiminnalla riittävää hyötyä suhteessa syntyneisiin riskeihin.

Julkisuudessa esillä olleiden tietojen perusteella voidaan esittää kriittinen arvio. Jos merkittäviä turvallisuusriskejä sisältänyt toiminta kohdistui pääasiassa matalan tason henkilötietojen hankkimiseen eikä johtanut tunnetusti merkittäviin tiedustelullisiin läpimurtoihin, syntyy vaikutelma tiedustelun painopisteiden vinoutumisesta. Tällöin kysymys ei ole ainoastaan toiminnan laillisuudesta vaan myös sen strategisesta tarkoituksenmukaisuudesta.

Tiedustelupalvelun tärkein tehtävä ei ole kerätä mahdollisimman paljon tietoa, vaan hankkia oikeaa tietoa oikeista kohteista. Kansallisen turvallisuuden kannalta ratkaisevaa on, kykeneekö tiedustelu tunnistamaan todelliset uhkat ja saamaan niistä sellaista tietoa, jota ei voida hankkia avoimista lähteistä.

Jos huomio kohdistuu liikaa diplomaattien arkipäivän havaintoihin, vaarana on, että resurssit kuluvat tiedon määrän kasvattamiseen tiedon laadun kustannuksella.

Supon rikosepäilyjen ydin on virkavastuun kiertäminen
Julkisessa keskustelussa supoa koskevaa rikostutkintaa on tarkasteltu usein tiedustelun onnistumisen tai epäonnistumisen näkökulmasta. Keskustelu on keskittynyt siihen, minkälaista tietoa on hankittu, kuinka arvokasta tieto on ollut ja ovatko käytetyt tietolähteet olleet tarkoituksenmukaisia. Tällainen tarkastelu jättää kuitenkin helposti varjoonsa sen, mikä näyttää olevan koko rikoskokonaisuuden keskeisin kysymys.

Syyttäjälaitoksen tiedotteen perusteella tutkinnan ytimessä ei ole tiedon sisältö vaan se, miten tiedustelutoimintaa on järjestetty ja ketkä ovat saaneet osallistua siihen.

Syyttäjälaitoksen mukaan on syytä epäillä, että supon toiminnassa on käytetty eräitä siviilihenkilöitä siten, että he ovat saaneet tietää salassa pidettävää tietoa ja voineet käsitellä salassa pidettävää tietoa valvomattomasti.

Lisäksi yhden toiminnassa käytetyn siviilihenkilön laitteeseen kohdistuneen tietomurron vuoksi salassa pidettäviä tietoja on paljastunut ulkopuoliselle taholle.

Tiedotteen sanamuoto on poikkeuksellisen vakava. Se ei kuvaa yksittäistä tietovuotoa tai yksittäisen työntekijän virhettä, vaan rakenteellista ongelmaa supon tiedustelutoiminnan järjestämisessä.

Tiedustelutoiminta perustuu virkavastuuseen
Suomessa tiedusteluvaltuudet on annettu viranomaisille eikä yksityishenkilöille. Tiedustelutoiminnan oikeutus perustuu siihen, että sitä suorittavat virkamiehet, jotka toimivat virkavastuulla, viranomaisvalvonnan alaisina ja lain tarkasti määrittämissä rajoissa.

Virkavastuu ei ole pelkkä hallinnollinen muodollisuus. Se on keskeinen oikeusturvan tae sekä kansalaisille että valtiolle.

Virkamies voidaan saattaa rikosoikeudelliseen vastuuseen, hän on organisaation sisäisen valvonnan piirissä, hänen toimintaansa voidaan tarkastaa ja hänen käyttöoikeuksiaan voidaan rajoittaa. Virkamiehen toiminta kuuluu myös tiedusteluvalvonnan ja muun laillisuusvalvonnan piiriin.

Kun tiedustelutoimintaan osallistuu henkilö, joka ei ole virassa, nämä valvontarakenteet alkavat heikentyä. Tästä syystä kysymys ei ole ensisijaisesti siitä, ovatko eläköityneet asiantuntijat osaavia tai luotettavia. Monet heistä voivat olla erittäin kokeneita ja ammattitaitoisia. Ongelma on siinä, että he eivät enää ole virkamiehiä.

Tiedustelutiedon luovuttaminen siviileille on periaatteellinen ongelma
Jos salassa pidettävää tiedustelutietoa luovutetaan henkilöille, jotka eivät ole virassa, syntyy perustavanlaatuinen oikeudellinen ongelma.

Kansallisen turvallisuuden kannalta arkaluonteiset tiedot eivät ole henkilökohtaista omaisuutta, jota voidaan jakaa luottamuksen perusteella. Niiden käsittelyä säätelee laki.

Mitä enemmän tiedustelutietoa siirtyy viranomaisorganisaation ulkopuolelle, sitä enemmän kasvaa riski siitä, että tieto päätyy hallitsemattomiin ympäristöihin.

Juuri tästä syystä syyttäjälaitoksen tiedotteessa korostetaan sitä, että siviilihenkilöt ovat voineet käsitellä salassa pidettävää tietoa valvomattomasti. Valvonnan puuttuminen ei ole sivuseikka. Se on koko ongelman ydin.

Tietomurto osoitti järjestelyn riskit
Tapausta tarkasteltaessa huomio kiinnittyy usein siihen, että yhden toiminnassa käytetyn siviilihenkilön laitteeseen kohdistui tietomurto. Tietomurto itsessään ei kuitenkaan ole välttämättä koko tapahtumaketjun vakavin osa.

Vakavampi kysymys on, miksi salassa pidettävää tietoa ylipäätään oli ympäristössä, johon tietomurto saattoi kohdistua.

Jos salassa pidettävää tiedustelutietoa käsitellään viranomaisen valvonnan ulkopuolella, tietovuodon mahdollisuus kasvaa väistämättä riippumatta siitä, kuka tietomurron lopulta suorittaa.

Tietomurto ei tällöin ole järjestelmän ulkopuolelta tullut poikkeama vaan seurausta siitä, että tiedonhallinnan turvallisuusketju on katkennut jo aikaisemmassa vaiheessa.

Kysymys ei ole eläkeläisistä vaan vallankäytöstä
Julkisessa keskustelussa asia on ajoittain pelkistynyt kysymykseksi eläköityneiden asiantuntijoiden käytöstä. Todellisuudessa kyse on paljon laajemmasta asiasta.

Kysymys kuuluu: voiko tiedusteluviranomainen siirtää tiedustelutoimintaan liittyviä tehtäviä tai salassa pidettävää tietoa henkilöille, jotka eivät ole virkasuhteessa?

Jos vastaus tähän kysymykseen olisi myöntävä, syntyisi rinnakkainen tiedustelujärjestelmä, jossa osa toiminnasta tapahtuisi virkavastuun, viranomaisvalvonnan ja tiedustelulainsäädännön varsinaisen soveltamisalan ulkopuolella. Juuri tämän vuoksi kysymys on perustuslaillisesti ja oikeudellisesti merkittävä.

Mitä tästä voidaan oppia?
Tapaus osoittaa, että tiedustelupalvelun tärkein voimavara ei ole sen tietolähteiden määrä eikä sen henkilöstön kokemus. Tärkein voimavara on luottamus siihen, että toimintaa harjoitetaan lain mukaisesti.

Tulevaisuudessa tiedustelutoiminnan kehittämisen lähtökohtana tulisi olla yksinkertainen periaate: tiedustelutietoa käsittelevät ne henkilöt, joilla on siihen laissa säädetty toimivalta, jotka toimivat virkavastuulla ja joiden toimintaa voidaan valvoa.

Miten Supon henkilötiedustelua tulisi kehittää, jotta vastaavilta ongelmilta vältyttäisiin?
Supon henkilötiedustelun tehtävänä on hankkia Suomen kansallisen turvallisuuden kannalta merkityksellistä tietoa sellaisista kohteista, joihin ei päästä käsiksi avoimilla lähteillä tai teknisellä tiedustelulla.

Henkilötiedustelun tarkoituksena on tuottaa tietoa, joka auttaa tunnistamaan uhkia, ymmärtämään vastapuolen toimintaa ja tukemaan kansallista päätöksentekoa.

Viime vuosina julkisuudessa esillä ollut rikostutkinta on nostanut esiin vakavia kysymyksiä tiedustelutoiminnan järjestämisestä, salassa pidettävän tiedon käsittelystä ja virkavastuun merkityksestä. Nyt käsiteltävä tapaus tarjoaa mahdollisuuden arvioida, miten henkilötiedustelua tulisi kehittää tulevaisuudessa.

Virkavastuun palauttaminen henkilötiedustelun perustaksi
Tiedustelutoiminnan tärkein oikeudellinen periaate on, että tiedusteluvaltuuksia käyttävät virkamiehet.

Virkavastuu ei ole muodollinen yksityiskohta vaan koko tiedustelujärjestelmän perusta. Virkamiehiin kohdistuu koulutus, turvallisuusselvitykset, valvonta, lokiseuranta, sisäinen tarkastus ja rikosoikeudellinen vastuu.

Tulevaisuudessa henkilötiedustelun kehittämisen lähtökohtana tulisi olla yksiselitteinen sääntö:

  • Salassa pidettävää tiedustelutietoa käsittelevät ainoastaan henkilöt, jotka ovat virkasuhteessa ja toimivat virkavastuulla.

Tällainen periaate ei estä tietolähteiden käyttöä, mutta se estää tiedustelutiedon siirtymisen viranomaisorganisaation ulkopuolelle.

Tietolähde ei saa muuttua tiedusteluviranomaiseksi
Tiedustelupalvelut tarvitsevat tietolähteitä. Tämä on henkilötiedustelun perusluonne. Tietolähteen tehtävänä on kuitenkin antaa tietoa viranomaiselle, ei käsitellä viranomaisen hallussa olevaa tietoa. Tulevaisuudessa supon tulisi pitää entistä tarkemmin erillään:

  • tietolähteet,
  • yhteistyökumppanit,
  • asiantuntijat,
  • ja tiedusteluviranomaiset.

Kun nämä roolit alkavat sekoittua, syntyy helposti tilanteita, joissa vastuut hämärtyvät ja valvonta vaikeutuu.

Tiedon minimoinnin periaate
Eräs turvallisuusjohtamisen tärkeimmistä periaatteista on tiedon minimointi. Jokaisen henkilön tulisi saada käyttöönsä vain sellainen tieto, jonka hän välttämättä tarvitsee tehtävänsä suorittamiseen.

Jos tietolähteelle, yhteistyökumppanille tai ulkopuoliselle asiantuntijalle ei tarvitse kertoa operaation yksityiskohtia, niitä ei tule kertoa. Mitä pienemmälle joukolle arkaluonteinen tieto leviää, sitä pienempi on myös tietovuodon riski.

Tietomurrot eivät yleensä aiheuta suurinta vahinkoa silloin, kun järjestelmä toimii oikein. Suurin vahinko syntyy silloin, kun arvokasta tietoa on päätynyt ympäristöihin, joihin sen ei olisi koskaan pitänyt päätyä.

Supon tiedustelun painopiste tulisi olla tiedon laadussa
Julkisessa keskustelussa on esitetty kysymys siitä, onko henkilötiedustelu keskittynyt liikaa välillisiin tietolähteisiin. Tiedustelun tavoitteena tulisi olla päästä mahdollisimman lähelle tiedon alkuperäistä lähdettä. Mitä enemmän tieto kulkee välikäsien kautta, sitä enemmän sen luotettavuus heikkenee ja sitä enemmän resursseja tarvitaan sen varmistamiseen.

Tulevaisuudessa henkilötiedustelun painopistettä olisi syytä siirtää määrällisestä tiedonkeruusta laadullisesti arvokkaampiin lähteisiin. Arvokkain tieto saadaan henkilöiltä, joilla on suora pääsy päätöksentekoon, valmisteluun tai turvallisuuden kannalta merkittäviin tietovirtoihin.

Operatiivisen turvallisuuden vahvistaminen
Yksikään tiedustelupalvelu ei voi estää kaikkia tietomurtoja. Se voi kuitenkin estää tilanteet, joissa tietomurron kohteena olevalla henkilöllä on hallussaan sellaista aineistoa, jonka ei pitäisi olla hänen hallussaan. Tavoitteena tulee olla järjestelmä, jossa yksittäinen tietomurto ei vaaranna koko toimintaa. Operatiivisen turvallisuuden kehittämisessä keskeisiä periaatteita ovat:

  • tiedon hajauttaminen,
  • käyttöoikeuksien rajoittaminen,
  • jatkuva valvonta,
  • turvalliset tietojärjestelmät,
  • ja tietojen käsittelyn dokumentointi.

Laillisuus osaksi suorituskykyä
Tiedustelupalveluissa tehokkuus ja laillisuus nähdään joskus virheellisesti toistensa vastakohtina. Todellisuudessa laillisuus on osa suorituskykyä.

Toiminta, joka johtaa rikostutkintoihin, tietovuotoihin ja turvallisuussalaisuuksien paljastumiseen, ei ole pitkällä aikavälillä tehokasta riippumatta siitä, kuinka paljon tietoa sillä onnistutaan hankkimaan.

Tiedustelupalvelun suorituskykyä tulisi arvioida myös sen perusteella:

  • kuinka hyvin se noudattaa lakia,
  • kuinka hyvin se suojaa omat menetelmänsä,
  • ja kuinka hyvin se säilyttää yhteiskunnan luottamuksen.

Supon organisaatiokulttuurin muuttaminen
Tiedustelupalveluissa arvostetaan kokemusta, luottamusta ja henkilökohtaisia verkostoja. Nämä ovat tärkeitä vahvuuksia. Niistä voi kuitenkin muodostua ongelma, jos henkilökohtainen luottamus alkaa korvata muodolliset valvontarakenteet.

Tulevaisuudessa supon organisaatiokulttuurin tulisi perustua ajatukseen, että:

  • ketään ei vapauteta valvonnasta kokemuksen, aseman tai henkilökohtaisen luottamuksen perusteella
  • paraskaan asiantuntija ei saa muodostua poikkeukseksi turvallisuussäännöistä.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön