Viime viikon tapahtumat Suomenlahdella ovat tuoneet karusti esille kriittisen infrastruktuurin merkityksen Suomelle. Viranomaiset jatkavat 8.10. aamuyöllä Balticconnector-kaasuputkessa olevan vuodon syyn tutkimista. Suomen ja Viron sekä myös Viron ja Ruotsin välillä datakaapelit vahingoittuivat samana yönä. Asioita tutkitaan ja puhutaan ainakin sabotaasista. Energian ja jopa kaasun saannin sekä datan kulkemisen osalta tilanne on huoltovarmuuden näkökulmasta täysin hallinnassa ja vakaa. Kriittisen infrastruktuurin suojaamiseksi on onneksi varauduttu jo melko hyvin. Viime vuosina asiaan on kiinnitetty suurta huomiota turvallisuusympäristön muutoksen takia.
Maailmanlaajuinen herätys kaasuverkon haavoittuvuuteen – sekä kriittisen infrastruktuurin tärkeyteen – ja sen geopoliittiseen merkitykseen tapahtui syyskuussa 2022 Nord Stream 2 -kaasuputkien räjähdyksien yhteydessä. Putken vaurioittaminen oli tahallinen teko ja EU pitääkin putkien vaurioita keskeisen eurooppalaisen energiainfrastruktuurin sabotaasina.
Suomi on pitkään ollut huoltovarmuudessa eurooppalainen edelläkävijä. Tämä juontaa juurensa Suomen na
apuruudesta Venäjän kanssa, jossa on ollut hyvä olla varautunut erilaisiin skenaarioihin. NATO-jäsenyys korostaa kriittisen infrastruktuurin merkitystä entisestään: NATO on valveillaan, kun jäsenmaiden ja niiden väliseen infrastruktuuriin kohdistuu uhkia.
Kriittisen infrastruktuurien eri alueiden tunnistaminen ja erilaisiin tilanteisiin varautuminen on arkipäivää. Esimerkiksi kun nyt päivitetään EU-säätelyä kuntien jätevesien puhdistusvaatimukselle, täytyy tulevaisuudessa ottaa huomioon myös energian saanti: kuinka pitkään vesilaitos toimisi ilman verkkosähköä. Jätevesihuoltokin on siis erittäin riippuvainen niin sähkönjakelun kuin tietojärjestelmien toimintakyvystä.
Vesilaitosten toimimisen kautta huomaamme, miten kriittisessä infrastruktuurissa kaikki liittyy kaikkeen: sähkön- ja vedensaanti ovat oleellisesti sidoksissa toisiinsa – ja nämä taas ovat vahvasti yhteydessä tietojärjestelmien toimintaan.
Digitaalisessa maailmassamme, jossa jokapäiväinen toimintamme nojaa vahvasti tietojärjestelmien sujuvaan toimintaan, pitää tiedostaa kyberhyökkäysten aiheuttamat riskit. Keväällä 2007 Virossa nähtiin aalto kyberhyökkäyksiä, jotka lamauttivat osia maan digitaalisesta infrastruktuurista, pankkiautomaateista sähköpostiyhteyksiin. Viro on näissä yli 15 vuodessa oppinut paljon tietojärjestelmien kriittisen infrastruktuurin suojaamisesta – ja niin ovat monet muutkin Euroopan valtiot.
Euroopan unionin kyberturvallisuusviraston mukaan vuonna 2020 Euroopassa oli noin 450 000 kyberhyökkäystapausta. Määrä on ollut kasvussa, ja siihen onkin vaikuttanut geopoliittisen tilanteen muuttuminen, Venäjän hyökkäys Ukrainaan sekä hakkeritoiminnan kasvu liiketoimintana. Kyberrikollisuuden arvioitiin maksaneen vuonna 2020 kansainväliselle taloudelle 5 500 miljardia euroa vuodessa.
Kyberturvallisuussäädöksiä on useita. NIS – verkkoinfrastruktuurin turvallisuutta säätelevä asetus – on ollut voimassa vuodesta 2016 ja NIS2 tuli voimaan tänä vuonna ja laajensi velvollisuuden suojautumiseen ja varautumiseen uusille sektoreille. Suomessakin toimeenpannaan nyt kriittisten toimijoiden fyysisen ja digitaalisen kriisinkestävyysasetusta (CER), jossa täytyy olla valmiussuunnitelmat 11 sektorille (liikenne, energia, pankit, finanssimarkkinat, terveys, ruoka, vesi- ja jätevesihuolto, digitaalinen infrastruktuuri, julkishallinto ja avaruus). Tällä hetkellä Suomessa ei ole määritelty kansallista kriittistä infrastruktuuria, kriittisiä sektoreita tai toimijoita lainsäädännön tasolla.
Neuvotteluissa on edelleen tuotteiden kyberturvallisuuden parantaminen uusin vaatimuksin. Saimme valmiiksi juuri kyberturvallisuusvaatimusten nostamisen ja koordinaation myös EU-instituutioille itselleen. Demokratian toimiminenkin pitäisi olla osa kriittistä infrastruktuuria. Vaalivuosina kybervaikuttaminen lisääntyy, miksei myös infran häirintä lisääntyisi.
On lohdullista kuitenkin todeta, että esimerkiksi kyberhyökkäyksiä torjutaan valtavia määriä päivittäin. Näkymätön työ kannattaa. Kun sitten hyökkäys tai sabotaasi onnistuu, on oleellista, että datan reititys onnistuu muuta kautta (mobiili, satelliitit, kiertodatareitit) ja energiansaanti on muuten turvattu (Inkoon kaasulaiva, vaihtoehtoiset energialähteet ja monipuolinen maantieteellisestikin hajautettu järjestelmä).
Itämeri ei ole lintukoto, mutta korkea varautumistaso on täällä pitkällä.