Sisältöön

Supon kehittäminen - SecMeter

Ohita valikko
Ohita valikko

Supon kehittäminen

Yritysturvallisuus > Suojelupoliisi
Ohita valikko
Suuntaviivat supon vastavakoilutoiminnan kehittämiselle



Suomen turvallisuusympäristö on viime vuosina muuttunut merkittävästi. Venäjän hyökkäyssota Ukrainassa, hybridivaikuttamisen lisääntyminen, teknologiset haavoittuvuudet sekä kansainvälisen tiedustelutoiminnan kasvu ovat lisänneet painetta vahvistaa supon kykyä torjua sekä ulkoisia että sisäisiä uhkia.

Supon valtuudet (mm. verkko- ja viestiliikenteen tiedustelu) perustuvat siviilitiedustelulainsäädäntöön, joka tuli voimaan 1.6.2019. Verkko-operaatiot ja muut sensitiiviset toimet edellyttävät laillisia valtuutuksia ja yleensä tuomioistuimen tai muun lain määräämän luvanmenettelyn käyttöä.

Oikeustapausten, julkisuudessa esitettyjen väitteiden ja Keskusrikospoliisin keskeneräisten tutkimusten perusteella on esitetty arvioita siitä, että supossa ja Pääesikunnan tiedusteluosastolla olisi sallittu lain kiertämistä ja rikkomista isänmaan edun nimissä. Näiden organisaatioiden johdon julkiset vakuutukset lain noudattamisesta ovat joidenkin arvioiden mukaan herättäneet epäilyksiä. Väitettyjen laittomuuksien on myös sanottu olevan keskeinen syy salailulle ja salassapidolle.

Suomessa vastavakoilutoiminta ei saa tukeutua epävirallisiin tai ilman virkavastuuta toimiviin tahoihin, elinkeinoelämän verkostoihin tai yksityisiin rahoituslähteisiin. Supon ja Pääesikunnan vastavakoilun on perustuttava lainmukaiseen toimivaltuuteen, julkiseen rahoitukseen ja viranomaisten ammattimaiseen yhteistyöhön.

Supon viestinnässä on sekä vahvuuksia että selvästi parannettavia kohtia sen osalta, miten hyvin se on onnistunut olemaan totuudenmukainen ja vahvistamaan yleisön luottamusta.

Supon viestinnässä on ilmaantunut epäselvyyksiä ja valvontaan liittyviä tutkintoja, jotka ovat omiaan heikentämään luottamusta, esimerkiksi viranomaiset ovat alkaneet tutkia supoa tiedonhankintaan liittyvien epäselvyyksien vuoksi.

Julkisuudessa on myös kritisoitu supon viestinnän valikoivuutta ja sitä, miten uhkakuvia esitetään. Avoimuuden ja läpinäkyvyyden puutteita on kritisoitu, esimerkkinä muun muassa “Tiitisen lista”. Tämä voi vaikeuttaa luottamuksen rakentumista.

Supon tulevaisuuden vastavakoilu ei voi nojata yksinomaan teknologian tai valtuuksien lisäämiseen, vaan sen on perustuttava älykkääseen, läpinäkyvään ja inhimillisesti kestävään turvallisuuskulttuuriin. Tämä merkitsee siirtymistä kohti ennakoivaa, verkottunutta ja oikeusvaltioperiaatteen mukaista turvallisuustiedustelua, jossa yhdistyvät:

  • riskiperusteinen ajattelu
  • korkea ammattietiikka
  • kansainvälinen yhteensopivuus
Sisäisen ja ulkoisen valvonnan tulisi olla aktiivinen osa supon toimintakulttuuria. Supon tulisi ylläpitää ja kehittää selkeitä sisäisiä laillisuusvalvontamekanismeja sekä varmistaa, että riippumattomat valvontaviranomaiset voivat toteuttaa tehtävänsä esteettömästi.

Totuuden mukainen tiedottaminen, julkinen raportointi, kuten vuositiedotteet, yleistason läpinäkyvyys sekä sisäiset auditoinnit, vahvistaisivat luottamusta ja auttaisivat varmistamaan, että toiminta pysyy laillisena ja tarkoituksenmukaisena.

Laillisuuden varmistaminen ehkäisee myöhempiä oikeudellisia seuraamuksia ja ylläpitää valtion kykyä toimia tehokkaasti. Mikäli supon toiminta ylittää lain rajat, sen legitimiteetti voidaan kyseenalaistaa ja julkinen luottamus vaarantuu.
Tehtävälista
Lainsäädännön ja käytäntöjen tarkka noudattaminen

  1. Varmista, että jokainen tunkeutumista/viestiliikenteen seurantaa koskeva operaatio perustuu selkeään laki- ja lupaperustaan (esim. verkkoaineiston poiminta tuomioistuimen hyväksynnällä, kiireellisissä tapauksissa lain sallimat menettelyt).

Ennakkovalvonta ja ulkopuolinen hyväksyntä

  1. Käytä ennakollisia hyväksyntämenettelyjä (tuomioistuin/viranomaislupa) aina kun laki sitä edellyttää.
  2. Säilytä dokumentaatio niin, että oikeusvalvonta voi jäljittää päätökset.

Vahva sisäinen laillisuusvalvonta ja toimintapolitiikat

  1. Toteuta erillinen laillisuus- ja eettinen valvontaosasto, joka tarkastaa operaatioiden lakisääteisyyden ennen ja jälkeen toteutuksen.
  2. Kokoa standardit datan minimoinnille, säilytysajoille ja pääsynhallinnalle.

Tietosuoja ja henkilötietojen käsittely

  1. Minimoi kerättävät henkilötiedot, anonymisoi/tarkastele tarpeen mukaan, ja varmista asianmukaiset tietoturvatoimet.

Koulutus, eettinen kulttuuri ja dokumentaatio

  1. Kouluta operatiivinen henkilöstö lakien, ihmisoikeuksien ja tietosuojan periaatteista säännöllisesti. Selvät SOP:t, kirjanpito ja audit trail vähentävät sisäisten väärinkäytösten riskiä.

Operatiivinen kohdistus ja suhteellisuus

  1. Priorisoi kohdennettu vastavakoilu (riski- ja evidenssipohjainen), ei massavalvontaa. Toimet tulee olla suhteellisia uhkaan nähden ja vähiten yksityisyyttä loukkaavia keinoja tulee käyttää ensin.

Läpinäkyvyys, julkinen viestintä ja luottamus

  1. Laadi julkinen, yleistason raportti toimenpiteistä (ei salaista sisältöä) luottamuksen lisäämiseksi. Julkinen tiedottaminen riskeistä yleisellä tasolla ja selkeä viestintä siitä, miten oikeusturva turvataan, parantavat yhteiskunnan hyväksyntää toimille.

Jatkuva arviointi ja oikeudellinen kehitys

  1. Seuraa kansainvälisiä oikeuskäytäntöjä ja arvioi lainsäädännön kehittämistarpeita, sillä teknologian nopea kehitys voi edellyttää sääntömuutoksia.
  2. Suorita riippumaton auditointi kaikista nykyisistä tiedustelutoimista laillisuus- ja tietosuojanäkökulmasta.
  3. Tutki ja hyödynnä riippumattomien arviointien suosituksia.
  4. Varmista, että henkilöstön toiminta kestää laillisuus- ja eettisen tarkastelun myös operatiivisessa työssä.
  5. Avaa yhteydenpitokanavat valvontaviranomaisille ja reagoi heidän suosituksiinsa dokumentoidusti.

Suojelupoliisi siirrettiin omalle toimintamenomomentilleen vuonna 2016.

Lähteet: (supo.fi/supo-lukuina, Suojelupoliisin vuosikirja 2023, Supo Vuosikirja 2021, Supo Vuosikirja 2020, intermin.fi/ Poliisin määrärahojen käyttö ja määrärahojen riittävyys.

Nykytila ja uhkaympäristö Suomelle
Suomen näkökulmasta Venäjän uhka ei rajoitu pelkästään valtiolliseen vakoiluun. Myös siviilitoimijoiden ja taloudellisten verkostojen kautta tapahtuva vaikuttaminen voi muodostaa merkittävän riskin. Näiden taustalla voi olla silovik-taustaisia henkilöitä tai heidän hallitsemiaan organisaatioita.

Tiedustelulaki (2019) antaa Supolle laajat, mutta tarkasti valvotut valtuudet tiedonhankintaan, mukaan lukien tietoliikennetiedustelun ja henkilölähteiden käytön. Painopiste on perinteisesti ollut ulkoisissa toimijoissa ja kriittisen infrastruktuurin suojaamisessa, mutta kansainvälinen kehitys osoittaa, että myös sisäiset verkostot voivat muodostaa merkittävän haavoittuvuuden.

Suositukset Supolle
Supon tehtävä on suojata valtiota ja kansalaisia todellisilta turvallisuusuhkilta, ei valvoa poliittisia ryhmiä tai ideologisia suuntauksia. Silovikien kaltainen valtarakenne on osa ulkoista uhkakenttää, mutta sen käsittely edellyttää ammatillista, lainmukaista ja valvottua lähestymistapaa.

Supon tulee kehittää toimintaansa kohti riskiperusteista vastavakoilua, riippumattomasti valvottua insider threat -järjestelmää sekä kansainvälisesti yhteensopivaa, eettistä ja demokraattista turvallisuuskulttuuria.

Jos ajatellaan supon vastavakoilutoimintaa nykyisen uhkaympäristön, teknologisen murroksen ja demokraattisen oikeusvaltion vaatimusten näkökulmasta, kehittämisen painopisteet voisi tiivistää neljään strategiseen kokonaisuuteen:

Tiedustelutiedon hallinnan ja analytiikan modernisointi

  • Supon tulisi parantaa kykyä tunnistaa ja ehkäistä sekä ulkoisia että sisäisiä uhkia datalähtöisesti, mutta eettisesti ja lain puitteissa. Tämä tapahtuu rakentamalla integroitu tiedustelutiedon hallintajärjestelmä, jossa yhdistyvät avoimet lähteet (OSINT), tekninen tiedustelu (SIGINT, CYBINT) ja henkilölähdetieto (HUMINT).
  • Supon tulisi hyödyntää tekoälypohjaista poikkeamahavaintoa (anomaly detection) uhkien varhaiseen tunnistamiseen, mutta niin, että automaattiset järjestelmät eivät tee yksittäisiä päätöksiä ilman inhimillistä arviointia.
  • Supon tulisi luoda selkeät tiedon elinkaarikäytännöt (kerääminen, säilyttäminen, hävittäminen), jotka vastaavat GDPR:n ja tiedustelulain vaatimuksia.
  • Supon tulisi tehdä reaaliaikainen riskiprofilointi yhteiskunnan kriittisistä sektoreista, mutta välttää massaseurantaa.

Vastavakoilun kulttuurinen ja inhimillinen vahvistaminen

  • Supon tulisi rakentaa organisaatiokulttuuri, jossa turvallisuus, eettisyys ja luottamus ovat aidosti sisäistettyjä arvoja, ei pelkkiä ohjeita. Tämä tapahtuu vakiinnuttamalla “ethical intelligence officer” -malli, jossa jokaisella yksiköllä on eettisestä päätöksenteosta vastaava koulutettu yhteyshenkilö.
  • Supon tulisi vahvistaa psykologista tukea ja varhaista välittämistä, sillä monet sisäiset uhkat (insider risk) juontuvat kuormituksesta, lojaalisuuspaineista tai henkilökohtaisista ongelmista.
  • Supon tulisi ottaa käyttöön pakollinen tehtäväkierto ja ristiintarkastus, jotta yksittäisten henkilöiden tai ryhmien valta ei pääse kasautumaan.
  • Supon tulisi luoda anonyymi ilmoituskanava (whistleblower-järjestelmä), jossa on todellinen suoja kostotoimilta.

Kansainvälinen ja poikkihallinnollinen yhteistyö

  • Supon tulisi vahvistaa Suomen asemaa osana EU- ja NATO-tason vastavakoilun ja sisäisen turvallisuuden verkostoja. Tämä tapahtuu syventämällä tiedonvaihtoa MI5:n, FBI:n ja EU INTCENin kanssa erityisesti kyber- ja insider threat -uhkien osalta.
  • Supon tulisi perustaa pysyvä kansallinen “Counterintelligence Fusion Center”, joka yhdistää supon, puolustusvoimien tiedustelun, kyberturvallisuuskeskuksen ja poliisin analyysikyvykkyyden.
  • Supon tulisi osallistua aktiivisesti NATO:n vastatiedustelun koulutusohjelmiin (CI Academy, Riga) ja tuodaan opit kotimaiseen toimintamalliin.
  • Supon tulisi rakentaa valtionhallinnon sisäinen CI-verkosto, jossa jaetaan havaintoja ja parhaita käytäntöjä eri virastojen kesken.

Oikeudellinen ja eettinen kehys

  • Supon tulisi estää vastavakoilutoiminnan liukuminen poliittiseksi tai massavalvontaa oikeuttavaksi välineeksi. Tämä tapahtuu varmistamalla, että tiedusteluvaltuutetun ja eduskunnan valvontavaliokunnan rooli on tosiasiallisesti riippumaton ja riittävästi resursoitu.
  • Supon tulisi julkaista vuosittain vastavakoilun avoimuusraportti, joka kertoo päälinjat ja painopisteet ilman operatiivisia yksityiskohtia.
  • Supon tulisi kehittää kansallinen eettinen peruskirja vastatiedustelulle, vastaava kuin Britanniassa “Duty to Protect Democracy”.
  • Supon tulisi ottaa käyttöön koulutusohjelma eettisestä vastatiedustelusta, joka sisällytetään virkatason peruskoulutukseen.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön