Jätin tänään (6.2.2020) eduskunnassa seuraavan kirjallisen kysymyksen hallituksen vastattavaksi:

5G-verkon turvallisuusriskeistä

Monissa Euroopan maissa, kuten muun muassa Saksan liittopäivillä, on käyty vilkasta poliittista keskustelua 5G-verkon turvallisuusriskeistä. Suomessa vastaavaa keskustelua ei ole juuri käyty, vaikka esimerkiksi suojelupoliisi (Supo) on nähnyt 5G-verkon toteuttamisessa monia uhkia. Supon mukaan 5G-verkkotoiminnan turvallisuutta on arvioitava ja poliittista keskustelua aiheesta on tarpeellista käydä. 5G-verkko muuttaa yhteiskuntamme perustoimintoja. Kaupallinen perustelu hankkia 5G-verkko ei voi olla ainoa peruste, kun kyse on yhteiskunnan keskeisestä kriittisestä infrastruktuurista. Supon mukaan Suomeen kohdistuu valtiollista kybervakoilua, joka on syytä ottaa huomioon 5G-verkon investoinneissa.

Suomi on pian siirtymässä 5G-mobiiliverkkojen laajamittaiseen käyttöön. Teleoperaattorit ovat jo aloittaneet 5G-liittymien myynnin, ja verkkoja rakennetaan nopeaan tahtiin. 5G-verkon tuomasta sujuvuudesta yhteiskuntaan on puhuttu paljon, mutta paljon vähemmälle huomiolle on jäänyt keskustelu uudistuksen mukanaan tuomasta muutoksesta, yhteiskunnan muuttumisesta haavoittuvammaksi. Tämän haavoittuvuuden on myös Euroopan komissio tuonut esille viime vuoden lokakuussa julkistetussa raportissa, joka koskee 5G-verkkojen kyberturvallisuuden riskiarviointia (EU coordinated risk assesment of the cybersecurity of 5G networks). Raportissa suurimmiksi riskeiksi nousevat valtiolliset toimijat ja niitä lähellä olevat tahot. EU:n ulkopuoliset, valtioiden tukemat toimijat arvioidaan erityisen vakavaksi uhaksi lähinnä luottamuspulan vuoksi. Raportissa todetaan, että asia on kriittinen unionin strategisen autonomian varmistamiseksi. Verkon toimintaa voivat horjuttaa myös kyberrikolliset, sisäpiirin toimijat (omat, kolmas osapuoli), haktivistit, kyberterroristit, yritykset, järjestäytyneet rikollisryhmät ja yksittäiset hakkerit.

Supon kansallisen turvallisuuden katsauksessa todetaan, että Suomeen kohdistuu jatkuvasti kyberoperaatioita, joiden tavoitteena on valtiollinen vakoilu ja teknisen ympäristön kartoittaminen tai siihen vaikuttaminen. Kybervakoilu ei kohdistu vain julkishallinnon tietoon, vaan kohteena on ollut myös yritysten keskeinen tuotekehitystieto ja yksittäisten henkilöiden luottamuksellinen viestintä. Tällä on Supon arvion mukaan merkitystä myös kansantaloudelle, jos kilpailevat ulkomaiset yritykset saavat oman valtiokoneistonsa tuella anastettua suomalaisten yritysten työn tulokset.

Suojelupoliisin mukaan verkon toimijoiden luotettavuutta on arvioitava entistä tarkemmin. Verkkoon kiinni pääsevä toimija pystyy tekemään merkittävää vahinkoa yhteiskunnalle tai hakemaan tietoa verkkovakoilun keinoin. Myös sabotaasi on mahdollista ja jopa koko verkon lamauttaminen. Supon mukaan ohjelmisto- tai laitetoimittajilla ja palveluntuottajilla on kaikkein suurimmat mahdollisuudet vahingoittaa verkkoa. Näillä kaikilla on olemassa tekniset edellytykset muuttaa palvelun toimintaa lennosta, kerätä viestinnän sisältöä, muokata dataa tai pysäyttää toiminta. Vihamielinen toimija voi päästä verkkoon ja aiheuttaa vahinkoa tai hankkia arkaluontoista tietoa verkkovakoilun avulla. Verkon toimittaja voi piilottaa verkkoon mahdollisuuden liikenteen seurantaan ja verkkovakoiluun.

5G-verkkoihin kytketään lähivuosina joidenkin arvioiden mukaan jopa miljoonia älylaitteita, jotka toimivat itsenäisesti. Verkon nopeuden ja turvallisuusaukkojen vuoksi 5G-verkkoon on helpompi asentaa takaportteja vahingoittamistarkoituksessa. Laitetoimittajien riskiprofilointi on tärkeää, koska hyökkäyksillä voidaan lamauttaa yhteiskunnan toimintaa. Supon mukaan dataa muuttamalla on mahdollista saada 5G-verkossa toimiva laite aiheuttamaan fyysistä vahinkoa. Verkkolaitteissa voi olla niin kutsuttuja taka- tai etuovia, tarkoituksella jätettyjä aukkoja, jotka mahdollistavat laitteistoon pääsyn ja vakoilun. Etuoviriski on olemassa tapauksessa, jossa verkkovalmistajan asentaja tekee operaattorin konesalissa laitteisiin vakoilun mahdollistavan ohjelmistopäivityksen tavallisen päivityksen sijaan.

Yhdysvalloissa Purduen ja Iowan yliopiston tutkijat ovat löytäneet 5G-verkossa muutamia ratkaisua vailla olevia ongelmia liittyen esimerkiksi käyttäjän sijainnin paljastumiseen, palvelun siirtymiseen vanhoihin mobiiliverkkoihin sekä käyttäjän seurantaan hänen soittaessaan, tekstatessaan tai selatessaan verkkoa. Tutkijat tunnistivat kaikki nämä puutteet uudella mukautetulla työkalulla nimeltään 5GReasoner. 5G-verkon käyttöönotto on edennyt nopeasti vuosien kehitystyön ja suunnittelun jälkeen. Tutkijoiden havaintojen mukaan haavoittuvuuksia ja puutteita on kuitenkin edelleen olemassa. Mikään digitaalinen järjestelmä ei ole koskaan täysin turvallinen, mutta puutteita on vielä paljon ja etenkin, kun kyseessä on vakavia puutteita, jotka liittyvät sijainnin seurantaan. 5G-standardin turvallisuuden parantaminen on välttämätöntä, kun verkkoa otetaan käyttöön yhä laajemmin. On myös nopeasti löydettävä ja ratkaistava haavoittuvuudet, jotka vaarantavat käyttäjätietojen yksityisyyden maailmanlaajuisesti.

Maailman suurimmat verkkovalmistajat ovat Nokia, Ericsson ja Huawei. Kiinalaista Huaweita on syytetty usein vakoilusta, ja USA:ssa, Australiassa ja Uudessa-Seelannissa yhtiöltä on estetty pääsy verkkourakoihin. Britanniassa ollaan huolestuneita Huawein laitteiden turvallisuusstandardeista ja Kiinan lainsäädännöstä, joka voi pakottaa yrityksen avustamaan valtion tiedustelupalveluita. Huolta ovat herättäneet myös laajemmat eettiset ja ideologiset huolet kiinalaisten teknologiayritysten kasvavasta globaalista läsnäolosta maailmassa (5G briefing paper Number CBP 07883, 6 September 2019, Georgina House of Commons Library). Britannia ei ota Huaweilta laitteita operaattorien runkoverkkoihin eli kaapeloinnin avulla toteutettuihin koko maan laajuisiin pääväyliin. Huawei saa kuitenkin toimittaa osia mobiiliverkkoihin. Huawei on kiistänyt kaikki syytökset.

Suomessa teleoperaattorit ovat valinneet laitetoimittajansa itse markkinaehtoisesti ja omilla kriteereillään. Telia käyttää 5G-verkoissaan ainoastaan Nokian verkkolaitteita. Elisa käyttää Nokiaa, Ericssonia ja Huaweita. Elisan runkoverkossa on ainoastaan kahta ensimmäistä. DNA käyttää kaikkia kolmea valmistajaa. Operaattori ei voi kuitenkaan tietää varmasti, mitä laitevalmistajan toimittamassa ohjelmistopäivityksessä on. Suomen Yhteisverkko Oy palvelee Itä- ja Pohjois-Suomessa Telian ja DNA:n asiakkaita. Sillä ei ole omaa runkoverkkoa, ja sen mobiiliverkko nojaa Telian ja DNA:n runkoverkkoihin ja palveluihin. Tukiasemien toimivuuden seuraaminen on ulkoistettu Huaweille, joka tekee sitä Romaniasta käsin. Operaattorin on luotettava siihen, mitä laitetoimittajalta tulee. Tämä on ongelmallista, koska kukaan ulkopuolinen ei voi täysin tietää ohjelmiston lähdekoodia eli sisältöä. Verkko-ohjelmistojen toimintaan liittyvät tosiasiat ovat vain laitevalmistajien tiedossa. Ulkopuoliset eivät voi tietää, mitä laitteiden ohjelmistot tekevät. Aalto-yliopiston tietoverkkotekniikan professori on ottanut esimerkiksi satamanosturin, jota voidaan 5G-verkon avulla ohjata etäyhteydellä senttimetrien tarkkuudella. Jos tällaista toimintoa hakkeroidaan tai se on muuten tietoturvaton, se voi aiheuttaa kaaosta ja vahinkoa. Toinen esimerkki, joka valtiollisia hakkereita voisi kiinnostaa, on älysähköverkko. Jos se pystytään sotkemaan, voi kokonainen kaupunki pimentyä. Professori on viitannut myös 5G-verkon riskeihin sodankäynnissä: ”valtioiden välisessä kamppailussa voi olla niin, että ei kannata lähettää tankkeja rajalle, kun voi hakkeroida 5G-verkkoja” (MTV 7.11.2019).

Euroopan unionin verkko- ja tietoturvavirasto Enisan mukaan 5G-infrastruktuuri on yksi tärkeimmistä suojattavista komponenteista teknologian alalla. Tekniikkaa tullaan käyttämään myös sotilaallisiin tarkoituksiin. Tämä kehitys lisää 5G-verkon suojavaatimuksia. 5G-matkapuhelinverkot tulevat olemaan merkittävä sotilasoperaatioiden kohde, mutta myös sotilaallisiin tarkoituksiin käytettävä alusta.

Suomessa keskustelu 5G-verkoista on ollut varovaista, koska siihen liittyy vahvoja latauksia, jotka ovat pääosin ulko- ja kauppapoliittisia. Turvallisuushuolet ovat kuitenkin perusteltuja. Valtiolliset toimijat ovat kaikkein suuri riski. 5G-verkko on kansalliseen turvallisuuteen oleellisesti liittyvä kysymys.

Suomessa on sähköisen viestinnän palveluista annetun lain (917/2014) 3 luvun 10 § ja 11§:ssä säädetty verkkotoimiluvan kriteeristä siten, että verkkotoimilupa on myönnettävä, jos ei ole erityisen painavia perusteita epäillä toimiluvan myöntämisen vaarantavan ilmeisesti kansallista turvallisuutta. 15 §:ssä säädetään kriteeristä, että valtioneuvosto voi päättää hylätä yrityksen tai yhteisön tekemän tarjouksen, jos sillä on erityisen painavia perusteita epäillä toimiluvan myöntämisen vaarantavan ilmeisesti kansallista turvallisuutta. Suomessa on oltava toimiva järjestelmä, jolla valtio voi tarvittaessa vaikuttaa 5G-verkon teknologiatoimittajien valintaan myös toimilupien antamisen jälkeen.

Kybertoimintaympäristössä on oltava jatkuvasti hereillä ja kyettävä aktiivisesti ennakoimaan tulevaa. Kyberstrategioita laadittaessa on ymmärrettävä uhkatekijät eli millaisia uhkia valtiolliset toimijat, verkkorikolliset ja terroristit muodostavat yhteiskunnalle. Uhkan ennalta ehkäisemisellä säästetään resursseja. Myös kybermaailman uhkia voidaan torjua poliittisilla päätöksillä.

Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 §:ään viitaten esitän asianomaisen ministerin vastattavaksi seuraavan kysymyksen:

Mihin toimenpiteisiin hallitus aikoo ryhtyä 5G-verkon turvallisuusriskien minimoimiseksi siten, ettei kansallinen ja kansalaisten turvallisuus vaarannu?

Helsingissä 6.2.2020
OlliImmonen /ps