Sisältöön

Ulkoministeriö - SecMeter

Ohita valikko
Ohita valikko

Ulkoministeriö

Yritysturvallisuus > Vakoilu
Ulkoministeriö aktiivisen vakoilun kohde



Vuonna 2013 Suomen ulkoministeriön tietojärjestelmiin kohdistui pitkäkestoinen ja huomaamaton verkkovakoiluoperaatio. Hyökkäyksessä käytettiin erittäin kehittynyttä haittaohjelmaimplanttia, joka tunnetaan nimillä Uroburos, Turla ja kansainvälisesti tunnetuimmin Snake. Lähde: (Helsingin Sanomat, 26.9.2014) Kyseessä oli Venäjän suorittama operaatio, jonka taustalla oli Venäjän liittovaltion turvallisuuspalvelun FSB:n kybertoimintaan erikoistunut 16. keskus (Center 16).

Mikä on haittaohjelmaimplantti?
Haittaohjelmaimplantilla tarkoitetaan ohjelmistokomponenttia, joka asennetaan kohdejärjestelmään ilman käyttäjän lupaa. Implantin tarkoituksena on toimia pitkäaikaisesti ja pysyvästi, keräten tietoa, valvoen liikennettä ja mahdollisesti käynnistäen muita haitallisia toimintoja. Snake on yksi tunnetuimmista tällaisista työkaluista, ja sen kehitys alkoi Venäjällä jo vuoden 2003 lopulla.

Snake-haittaohjelman kehitys
FSB aloitti Snake-implanttinsa kehittämisen nimellä Uroburos vuoden 2003 loppupuolella. Varhaisimmat versiot saatiin valmiiksi alkuvuodesta 2004, ja niitä käytettiin pian sen jälkeen kyberoperaatioissa eri maiden viranomaisverkkoihin. Haittaohjelman nimi viittaa mytologiseen käärmeeseen, joka syö omaa häntäänsä, symboloiden jatkuvuutta ja kiertoa.

Varhaisten versioiden koodissa esiintyi selvästi tunnistettavia kehittäjien jättämiä merkkijonoja, kuten:

  • Ur0bUr()sGoTyOu#, tunnistettavissa oleva kehittäjän "allekirjoitus"
  • gLASs D1cK, myöhempi, vuonna 2014 ilmennyt provokatiivinen viesti, todennäköisesti osoitettu tietoturvatutkijoille

Nämä merkkijonot ovat paljastaneet Snake-koodin tekijöiden identiteettiä, sisäpiirivitsejä ja viitteitä henkilökohtaisista kiinnostuksen kohteista. Ne yhdistettiin FSB:n Rjazanissa toimiviin kehittäjiin.

FSB:n rakenne ja Snake-operaatiot
FSB:n kybertoimintoja hallinnoi ensisijaisesti kaksi keskusyksikköä:

FSB:n 16. keskus (Center 16)
  • FSB:n Center 16, virallisesti nimeltään Centre for Radio‑Electronic Intelligence by Means of Communication (Центр радиоэлектронной разведки на средствах связи), eli Military Unit 71330, on vastuussa signaalitiedustelusta ja kyberoperaatioista kuten Turla/Snake-haittaohjelmasta.
  • Vastaa signaalitiedustelusta, kuten viestinnän sieppaamisesta, salauksen purkamisesta ja kybervakoilusta
  • Snake-haittaohjelma on tämän keskuksen kehittämä ja operoima

FSB:n 18. keskus
  • Vastaa kotimaan tietoturvasta, mutta osallistuu myös valikoituihin ulkomaisiin operaatioihin

Rjazanin toimipiste toimii Center 16:n kehityskeskuksena. Siellä sijaitsevat pääkehittäjät, jotka ovat jättäneet tunnistettavat stringit Snake-implanttiin. Haittaohjelman aktiivisuus on ollut havaittavissa erityisesti Rjazanin työaikana (n. klo 7–20 Moskovan aikaa, GMT+3), mikä viittaa siihen, että kehitys ja testaus tapahtuivat sieltä käsin.

Sen sijaan hyökkäysoperaatioita käynnistetään pääsääntöisesti Center 16:n Moskovassa sijaitsevasta päätoimipaikasta. Tämä erottaa kehitystyön ja operatiivisen toiminnan toisistaan.

Suomen ulkoministeriöön kohdistuneen hyökkäyksen alkuperä
Vuoden 2013 Suomen ulkoministeriöön kohdistunut kybervakoilu toteutettiin Snake-implantilla, joka mahdollisti pääsyn arkaluonteisiin diplomaattisiin asiakirjoihin ja kansainvälisiin viestiyhteyksiin. Hyökkäys oli osa laajempaa FSB:n johtamaa vakoilukampanjaa, joka kohdistui lukuisiin länsimaisiin hallituksiin ja instituutioihin.

Vaikka kehitystyö tehtiin Rjazanissa, analyysien perusteella itse hyökkäys ohjattiin todennäköisimmin Moskovasta käsin, FSB:n 16. keskuksen pääasiallisesta operatiivisesta yksiköstä.

Suomen ulkoasiainministeriö on ollut aina vakoilun kohteena, ei vain perinteisten menetelmien, vaan nykyisin yhä enenevässä määrin myös kybervakoilun keinoin. Ministeriön asema keskeisenä ulko- ja turvallisuuspolitiikan toimijana tekee siitä luonnollisen kohteen niin ystävällismielisten kuin vihamielistenkin valtioiden tiedustelupalveluille. Kyse ei ole vain tiedon hankkimisesta, vaan myös mahdollisuudesta vaikuttaa poliittiseen päätöksentekoon ja strategisiin valintoihin.

Siirtymä fyysisestä vakoilusta digitaaliseen tiedusteluun ei ole vähentänyt uhkaa, vaan pikemminkin moninkertaistanut sen. Kyberoperaatiot ovat yleistyneet, ja ne mahdollistavat laajamittaisen tietojen keruun ilman fyysistä läsnäoloa. Toimijat voivat jäädä tuntemattomiksi, ja hyökkäykset voidaan naamioida muiden tahojen tekemiksi. Suomi, kuten monet muutkin länsimaat, on joutunut mukautumaan tilanteeseen vahvistamalla kyberturvallisuuttaan ja kehittämällä tiedustelulainsäädäntöään.

Kybervakoilu ja perinteinen vakoilu eivät ole kuitenkaan toisensa poissulkevia ilmiöitä, ne täydentävät toisiaan. Yksi tapaus voi alkaa fyysisellä rekrytoinnilla ja päättyä etävalvontaan tietojärjestelmissä. Tästä syystä Suomi tarvitsee sekä teknistä kykyä havaita ja torjua digitaalisia uhkia sekä tiedustelutietoa siitä, ketkä mahdollisesti toimivat vieraiden valtioiden hyväksi.

Kokonaisuudessaan ulkoasiainministeriöön kohdistuneet vakoilutapaukset ovat karu muistutus siitä, että kansainvälisessä politiikassa tieto on valtaa. Sen hallinta ja suojaaminen ovat elintärkeitä, ja niiden laiminlyönti voi vaarantaa kansakunnan itsemääräämisoikeuden, diplomatian ja kansalaisten turvallisuuden.
Asia Tapaus 2
Tietomurron paljastuminen
Eversti Martti J. Kari kertoo tapauksesta oman käsityksensä postuumisti julkaistussa kirjassaan ”Käsikirjoitukset eivät pala”. Kari nimitettiin Viestikoelaitoksen johtajaksi vuoden 2012 alkupuolella. Hän vieraili Viestikoelaitoksen uuden johtajan ominaisuudessa Ruotsin puolustusvoimien radiotiedustelulaitos FRA:n johtajan Ingvar Åkessonin luona. Åkesson oli tarjonnut Karille yhteistyön kättä tietoverkkotiedustelun kehittämisessä. Kari oli kuitenkin todennut, että Suomessa ei ole lainsäädäntöä, joka mahdollistaisi tietoverkkotiedustelun. Åkesson oli luvannut pohtia miten voisi asiassa auttaa.

Tammikuussa 2013 Kari oli saanut työpöydälleen viestin, jossa kerrottiin, että Suomen ulkoministeriössä on tietovuoto, joka on jatkunut useamman vuoden ajan. Ruotsin puolustusvoimien radiotiedustelulaitos FRA oli havainnut Venäjän penkovan tietoja Suomen ulkoasianministeriön tietojärjestelmissä. Tapaus osoitti, että myös ystävämme FRA:n on täytynyt olla sisällä Suomen ulkoasiainministeriön tietojärjestelmissä.

Viestikoelaitos ilmoitti asiasta supolle. Verkkovakoilu paljastui ulkoasiainministeriölle supon ilmoitettua asiasta 17.1.2013. Lähde: (TV1 A-studio 4.11.2013) Ulkoministeri Erkki Tuomioja (sd.) piti 31.10.2013 tiedotustilaisuuden, jossa vahvistettiin ulkoasiainministeriöön kohdistunut laaja ja pitkittynyt verkkovakoilu. Verkkohyökkäys oli jatkunut arviolta neljän vuoden ajan kohdistuen ministeriön toimistoverkkoon. Hyökkäyksen kohteena ollut verkko ei sisältänyt luokiteltua tai salaista tietoa, mutta siihen kuuluivat sähköposti- ja internetyhteydet, joilla oli merkitystä ulkoministeriön arkiviestinnälle.

MTV uutisoi tapauksesta 31.10.2013. MTV:n juttu oli noteerattu myös FRA:ssa. Karin vieraillessa myöhemmin Ruotsissa oli FRA:n johtaja ilmaissut närkästyksensä tiedon päätyttyä julkisuuteen. Tiedon vuotajaa ryhdyttiin selvittämään. Ulkoministeriö teki tietovuodosta tutkintapyynnön poliisille, mutta poliisi ei saanut tutkimuksissa selville ulkoasianministeriön syväkurkkua. Lähde: (Martti J. Kari, Käsikirjoitukset eivät pala, sivu 231 ja 233, Docendo 2024, ISBN 978-959-382-784-4) Tästä tapahtumasta sai alkunsa tiedustelulakihanke.

Tekninen arvio ja Snake-haittaohjelma
Snake on suunniteltu pitkäkestoiseen ja huomaamattomaan vakoiluun. Haittaohjelman komponentit mahdollistavat etähallinnan, tiedon varastamisen ja pysyvyyden järjestelmässä vuosiksi. Tätä implanttia on käytetty useissa valtiollisissa vakoiluoperaatioissa ympäri maailmaa.

Hallinnolliset haasteet ja poliittinen konteksti
Ulkoministeriön tietohallintojohtaja Ari Uusikartano kertoi kuulleensa tapauksesta ensimmäistä kertaa "tässä muodossa" mediasta lokakuussa 2013, vaikka Supo oli ilmoittanut asiasta jo tammikuussa. Uusikartanon mukaan viitteet pitkäkestoisesta verkkovakoilusta olivat vakavia, mutta hän ei ollut aiemmin tietoinen tapauksen laajuudesta.

Tapauksen hallinnollinen hoito ja tiedottaminen nostivat kysymyksiä siitä, miksi valiokuntia ja vastuullisia virkamiehiä ei informoitu ajoissa. Ulkoasiainvaliokunnan puheenjohtaja Pertti Salolainen kritisoi erityisesti tiedon pimittämistä eduskunnalta. Myös Viestikoelaitoksen eversti Martti J. Kari on arvostellut Suomen puutteellista verkkotiedustelulainsäädäntöä ja tiedusteluyhteistyön kehittymättömyyttä.

Vaikutukset tiedustelulainsäädäntöön
Ulkoministeriöön useita vuosia kohdistunut verkkovakoilu toimi käytännössä katalyyttinä Suomen uuden tiedustelulainsäädännön käynnistämiselle. Tapaus osoitti, että Suomella ei ollut asianmukaista kykyä havaita tai jäljittää valtiollisia verkkohyökkäyksiä riittävän tehokkaasti ilman ulkomaista apua. Laki siviili- ja sotilastiedustelusta hyväksyttiin lopulta vuonna 2019.

Johtopäätökset
Verkkovakoilu Suomen ulkoministeriön toimistoverkossa jäi teknisesti ja rikosoikeudellisesti osin selvittämättä. Vaikka todisteet olivat selvät. Hyökkäyksen taka oli FSB:n 16. yksikön upseerit Moskovasta. Supo keskeytti esitutkinnan vuonna 2019, koska rikosvastuuta ei voitu kohdistaa kehenkään yksilöön. Tämä epäonnistuminen paljasti vakavia puutteita Suomen tiedustelukyvykkyyksissä.

Suomi voi periaatteessa haastaa valtiollisen toimijan, kuten FSB:n, oikeuteen, mutta käytännössä tämä on erittäin vaikeaa ja lähes mahdotonta ilman erityisiä olosuhteita. Kansainvälisen oikeuden mukaan vieraan valtion viranomaista tai organisaatiota ei voida haastaa toisen valtion tuomioistuimeen sen virkateoista ilman kyseisen valtion suostumusta. Tätä kutsutaan valtiolliseksi immuniteetiksi, joka suojaa valtiollisia toimijoita toisen valtion lainkäyttövallalta.

Täten mahdollinen päätös olla etenemättä oikeudellisesti FSB:tä vastaan on ollut rikosprosessuaalisesti ja kansainvälisoikeudellisesti perusteltu, erityisesti tilanteessa, jossa tekijöiden henkilöllisyyttä ei voida yksilöidä tai toimivaltakysymykset estävät syytteen nostamisen.

Sen sijaan Yhdysvaltain syyttäjänvirasto yhdessä muiden liittolaisten kanssa on vuoden 2021–2023 aikana nostanut syytteitä useita henkilöitä vastaan, joiden on väitetty olevan FSB:n 16. keskuksen upseereita. Heidän nimensä ovat paljastuneet syytepapereista:

  • Pavel Aleksandrovich Akulov, toimi aliupseerina Unit 71330:ssa, syytetty mm. energia-alan verkkojen murtamisesta
  • Mikhail Mikhailovich Gavrilov, toiminut Center 16 -operaatioissa kybertiedustelutehtävissä
  • Marat Valeryevich Tyukov, osallistui energianhallintajärjestelmien manipulointiin ja C2-infrastruktuurin murtoon

Tapaus kuitenkin osoitti Suomen haavoittuvuuden kybervakoilulle sekä tarpeen laajemmalle tiedusteluvaltuuksien kehittämiselle. Verkkovakoilu kohdistui EU-jäsenmaan ulkoministeriöön ja muodosti siten osan laajempaa kansainvälistä turvallisuuskuvaa.

Kuten entinen PET:n päällikkö Hans Jørgen Bonnichsen on todennut: "Vakoilu on toimintaa, joka tapahtuu 24 tuntia vuorokaudessa, 365 päivää vuodessa."
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön