Immonen: Supon varoitukset 5G-verkon turvallisuusriskeistä otettava vakavasti

Perussuomalaisten kansanedustaja Olli Immonen on jättänyt tänään hallituksen vastattavaksi kirjallisen kysymyksen, jossa hän vaatii hallitukselta toimenpiteitä 5G-verkon turvallisuusriskien minimoimiseksi siten, ettei kansallinen ja kansalaisten turvallisuus vaarannu.

Olli Immosen mukaan monissa Euroopan maissa, kuten muun muassa Saksan liittopäivillä, on käyty vilkasta poliittista keskustelua 5G-verkon turvallisuusriskeistä. Suomessa vastaavaa keskustelua ei ole juuri käyty, vaikka esimerkiksi Suojelupoliisi (Supo) on nähnyt 5G-verkon toteuttamisessa monia uhkia. Supon mukaan 5G-verkkotoiminnan turvallisuutta on arvioitava ja poliittista keskustelua aiheesta on tarpeellista käydä.

– 5G-verkko muuttaa yhteiskuntamme perustoimintoja. Pelkkä kaupallinen perustelu ei voi olla ainoa peruste hankkia 5G-verkko etenkin, kun kyse on yhteiskunnan keskeisestä kriittisestä infrastruktuurista, Immonen sanoo.

Verkon toimintaa horjuttavat monet toimijat

Suomi on pian siirtymässä 5G-mobiiliverkkojen laajamittaiseen käyttöön. Teleoperaattorit ovat jo aloittaneet 5G-liittymien myynnin, ja verkkoja rakennetaan nopeaan tahtiin. 5G-verkon tuomasta sujuvuudesta yhteiskuntaan on puhuttu paljon, mutta paljon vähemmälle huomiolle on jäänyt keskustelu uudistuksen mukanaan tuomasta muutoksesta, yhteiskunnan muuttumisesta haavoittuvammaksi.

– Euroopan komissio on kiinnittänyt huomiota juuri haavoittuvuuteen viime vuoden lokakuussa julkistetussa raportissa koskien 5g-verkkojen kyberturvallisuuden riskiarviointia. Verkon toimintaa voivat horjuttaa valtioiden tukemat toimijat, kyberrikolliset, sisäpiirin toimijat, haktivistit, kyberterroristit, yritykset, järjestäytyneet rikollisryhmät ja yksittäiset hakkerit, Immonen varoittaa.

Suomeen kohdistuu kyberoperaatioita

Supon kansallisen turvallisuuden katsauksessa todetaan, että Suomeen kohdistuu jatkuvasti kyberoperaatioita, joiden tavoitteena on valtiollinen vakoilu ja teknisen ympäristön kartoittaminen tai vaikuttaminen. Kybervakoilu ei kohdistu vain julkishallinnon tietoon, kohteena on ollut myös yritysten keskeinen tuotekehitystieto ja yksittäisten henkilöiden luottamuksellinen viestintä.

– Tällä on Supon arvion mukaan merkitystä myös kansantaloudelle, jos kilpailevat ulkomaiset yritykset saavat oman valtiokoneistonsa tuella anastettua suomalaisten yritysten työn tulokset, Immonen huomauttaa.

Supon mukaan verkon toimijoiden luotettavuutta on arvioitava entistä tarkemmin. Verkkoon kiinni pääsevä toimija pystyy tekemään merkittävää vahinkoa yhteiskunnalle tai hakemaan tietoa verkkovakoilun keinoin. Myös sabotaasi on mahdollista ja jopa koko verkon lamauttaminen. Supon mukaan ohjelmisto- tai laitetoimittajilla ja palveluntuottajilla on kaikkein suurimmat mahdollisuudet vahingoittaa verkkoa.

– Näillä kaikilla on olemassa tekniset edellytykset muuttaa palvelun toimintaa lennosta, kerätä viestinnän sisältöä, muokata dataa tai pysäyttää toiminta. Vihamielinen toimija voi päästä verkkoon ja aiheuttaa vahinkoa tai hankkia arkaluontoista tietoa verkkovakoilun avulla. Verkon toimittaja voi piilottaa verkkoon mahdollisuuden liikenteen seurantaan ja verkkovakoiluun, Immonen sanoo.

5G-verkko alttiimpi vahingoittamiselle

5G-verkkoihin kytketään lähivuosina joidenkin arvioiden mukaan jopa miljoonia älylaitteita, jotka toimivat itsenäisesti. Verkon nopeuden ja turvallisuusaukkojen vuoksi 5G-verkkoon on helpompi asentaa takaportteja vahingoittamistarkoituksessa. Laitetoimittajien riskiprofilointi on tärkeää, koska hyökkäyksillä voidaan lamauttaa yhteiskunnan toimintaa. Supon mukaan dataa muuttamalla on mahdollista saada 5G-verkossa toimiva laite aiheuttamaan fyysistä vahinkoa.

– Asiantuntijoiden mukaan verkkolaitteissa voi olla niin kutsuttuja taka- tai etuovia, tarkoituksella jätettyjä aukkoja, jotka mahdollistavat laitteistoon pääsyn ja vakoilun. Etuoviriski on olemassa tapauksessa, jossa verkkovalmistajan asentaja tekee operaattorin konesalissa laitteisiin vakoilun mahdollistavan ohjelmistopäivityksen tavallisen päivityksen sijaan, Immonen toteaa.
Yhdysvalloissa Purduen ja Iowan yliopiston tutkijat ovat löytäneet 5G-verkossa muutamia ratkaisua vailla olevia ongelmia liittyen esimerkiksi käyttäjän sijainnin paljastumiseen, palvelun siirtymisen vanhoihin mobiiliverkkoihin, käyttäjän seurantaan hänen soittaessaan, tekstatessaan tai selatessaan verkkoa.

– Mikään digitaalinen järjestelmä ei ole koskaan täysin turvallinen, mutta riskejä on vielä paljon ja etenkin, kun kyseessä on vakavia puutteita, jotka liittyvät muun muassa sijainnin seurantaan. 5G-standardin turvallisuuden parantaminen on välttämätöntä, kun verkkoa otetaan käyttöön yhä laajemmin. On nopeasti löydettävä ja ratkaistava haavoittuvuudet, jotka vaarantavat käyttäjätietojen yksityisyyden maailmanlaajuisesti.

Verkkovalmistajien luotettavuus punnittavana

Maailman suurimmat verkkovalmistajat ovat Nokia, Ericsson ja Huawei. Kiinalaista Huaweita on syytetty usein vakoilusta ja USA:ssa, Australiassa ja Uudessa-Seelannissa yhtiöltä on estetty pääsy verkkourakoihin. Britanniassa ollaan huolestuneita Huawein laitteiden turvallisuusstandardeista ja Kiinan lainsäädännöstä, joka voi pakottaa yrityksen avustamaan valtion tiedustelupalveluita.

– Suomessa teleoperaattorit ovat valinneet laitetoimittajansa itse markkinaehtoisesti ja omilla kriteereillään. Telia käyttää 5G-verkoissaan ainoastaan Nokian verkkolaitteita. Elisa käyttää Nokiaa, Ericssonia ja Huaweita. Elisan runkoverkossa on ainoastaan kahta ensimmäistä. DNA käyttää kaikkia kolmea valmistajaa, Immonen sanoo.

Operaattori ei voi kuitenkaan tietää varmasti, mitä laitevalmistajan toimittamassa ohjelmistopäivityksessä on. Suomen Yhteisverkko Oy palvelee Itä- ja Pohjois-Suomessa Telian ja DNA:n asiakkaita. Sillä ei ole omaa runkoverkkoa ja sen mobiiliverkko nojaa Telian ja DNA:n runkoverkkoihin ja palveluihin. Tukiasemien toimivuuden seuraaminen on ulkoistettu Huaweille, joka tekee sitä Romaniasta käsin. Operaattorin on luotettava siihen, mitä laitetoimittajalta tulee.

– Tämä on ongelmallista, koska kukaan ulkopuolinen ei voi täysin tietää ohjelmiston lähdekoodia eli sisältöä. Verkko-ohjelmistojen toimintaan liittyvät tosiasiat ovat vain laitevalmistajien tiedossa, Immonen toteaa.

Kybermaailman uhkia torjuttava poliittisilla päätöksillä

Euroopan unionin verkko- ja tietoturvavirasto Enisan mukaan 5G-infrastruktuuri on yksi tärkeimmistä suojattavista komponenteista teknologian alalla. Tekniikkaa tullaan käyttämään myös sotilaallisiin tarkoituksiin. Tämä kehitys lisää 5G-verkon suojavaatimuksia.

Immosen mukaan Suomessa keskustelu 5G-verkoista on ollut varovaista, koska siihen liittyy vahvoja latauksia, jotka ovat pääosin ulko- ja kauppapoliittisia. Turvallisuushuolet ovat kuitenkin perusteltuja. 5G-verkko on kansalliseen turvallisuuteen oleellisesti liittyvä kysymys.

– Esimerkiksi älysähköverkko voisi kiinnostaa valtiollisia hakkereita. Jos se pystytään sotkemaan, voi kokonainen kaupunki pimentyä.

Suomessa on laissa sähköisen viestinnän palveluista säädetty verkkotoimiluvista ja kriteeristä. Verkkotoimilupa on myönnettävä, jos ei ole erityisen painavia perusteita epäillä toimiluvan myöntämisen vaarantavan ilmeisesti kansallista turvallisuutta. Valtioneuvosto voi päättää hylätä yrityksen tai yhteisön tekemän tarjouksen, jos sillä on erityisen painavia perusteita epäillä toimiluvan myöntämisen vaarantavan ilmeisesti kansallista turvallisuutta.

– Suomessa on oltava toimiva järjestelmä, jolla valtio voi tarvittaessa vaikuttaa 5G-verkon teknologiatoimittajien valintaan myös toimilupien antamisen jälkeen, Immonen sanoo.

– Kybertoimintaympäristössä on oltava jatkuvasti hereillä ja kyettävä ennakoimaan tulevaa. Kyberstrategioita laadittaessa on ymmärrettävä, millaisia uhkia eri toimijat muodostavat yhteiskunnalle. Uhkien ennaltaehkäisyllä säästetään resursseja. Myös kybermaailman uhkia voidaan torjua poliittisilla päätöksillä. Hallituksen tehtävä on minimoida 5G-verkon turvallisuusriskit, ettei kansallinen ja kansalaisten turvallisuus vaarannu.