Satamien tietojärjestelmät, laivojen automaatio ja merenkulun digitaalinen infrastruktuuri muodostavat toimintaympäristön, jossa kyber- ja hybridiuhat ovat todellisia ja kasvavia riskejä. Iskuja voidaan kohdistaa yhtä lailla tietoverkkoihin kuin satamien toimintaan vaikuttaviin yhteiskunnan lukuisiin sektoreihin. Haavoittuvuuksien tunnistaminen, suojautuminen ja kyky nopeisiin vastatoimiin ovat nyt meriturvallisuuden uusi normaali.
Perusteellinen analyysi tarpeen
Hybridiuhissa on kyse järjestelmällisesti sunnitellusta pahantahtoisesta ulkoisesta vaikuttamisesta. Valtiollinen toimija tai kattavasti organisoitu, vakaa terroristijärjestö pyrkii eri keinoja ja iskuja yhdistelemällä systemaattisesti vaikuttamaan kohteena olevaan maahan pitkän ajan kuluessa.
Haavoittuvuuksia hyödynnetään mahdollisimman peitellysti – päämäärä on horjuttaa valtion vakautta, päätöksentekokykyä ja toimintoja. Kyberiskut, valetiedon levittämiskampanjat, sabotaasit, mellakoihin yllyttäminen ja kriittisen infrastruktuurin ostaminen oman vaikutusvallan alle kuuluvat keinovalikoimaan.
Myös poliittisia ja sotilaallisia keinoja käytetään. Hybridivaikuttaminen on varsinkin autoritääristen valtioiden keskeinen vaikuttamisväline oman mahdin kasvattamiseksi.
Hybridi-iskuja edeltää huolellinen ennakkotiedustelu ja haavoittuvuuksien systemaattinen kartoitus. Haavoittuvaisuuksien löytäminen ja testaus on valtioille ensiarvoisen tärkeää, sillä yhteiskunnan digitalisoituessa iskut voivat aiheuttaa vakavia toimintahäiriöitä.
Keskeinen varautumiskeino on haavoittavuusanalyysien teko ja niiden jatkuva päivittäminen. Hybridi-iskujen vaikutuksia on tarkasteltava yli yhteiskunnan sektorirajojen. On arvioitava, miten yhden osa-alueen haavoittuvuus tai häiriö voi heijastua myös omaan toimialaan ja lisätä sen alttiutta uhkille. Esimerkiksi energiantuotannon häiritseminen voi vaikuttaa välillisesti lähes kaikkiin yhteiskunnan kriittisiin toimintoihin.
Euroopan komissio on määritellyt 13 sektoria, joihin voi kohdistua hybridiuhkia. Nämä ovat politiikka, diplomatia, kulttuuri, sosiaaliset asiat, maanpuolustus, avaruus, infrastruktuuri, hallinto, talous, kyberhyökkäykset, tiedustelu, lainsäädäntö ja viestintä.
Merellisessä ympäristössä on haasteena useiden alojen seuranta politiikasta talouteen ja kyberhyökkäyksiin varautuminen. Suomi on äärimmäisen riippuvainen meriliikenteestä sekä kaupankäynnissä että muussa vuorovaikutuksessa.
Meriturvallisuus on kansallista turvallisuutta
Merenkulku on maailmanlaajuisen kaupan selkäranka. Noin 90 prosenttia maailmankaupasta ja jopa 96 prosenttia Suomen ulkomaankaupasta kulkee meriteitse. Kun logistiikka pysähtyy, vaikutukset näkyvät nopeasti hyllyillä, satamissa ja kansantaloudessa. Siksi kyberuhkien torjunta ei ole vain tekninen kysymys vaan myös kansallinen ja kansainvälinen turvallisuushaaste.
Digitalisaation ja automaation kehittyessä alukset ja satamat ovat yhä riippuvaisempia tietojärjestelmistä ja verkottuneista laitteista. Navigointi, satamien portit ja lastinkäsittely ovat osa laajaa digitaalista järjestelmää, johon kohdistuvat kyberhyökkäykset voivat aiheuttaa pahimmillaan massiivisia häiriöitä.
Esimerkiksi kiristyshaittaohjelmat voivat lamaannuttaa järjestelmiä ja pysäyttää logistiikan. Satelliitti- ja GPS-häirintä voivat vääristää sijaintitietoja ja vaarantaa alusten kulun.
Vuonna 2017 NotPetya-haittaohjelma halvaannutti Maerskin – maailman suurimman rahtivarustamon – aiheuttaen miljardien eurojen vahingot. Samana vuonna Mustallamerellä havaittiin laajaa GPS-häirintää.
Itämerellä lähellä Suomen rajoja on raportoitu vastaavaa sotilastoimintaan liittyvää häirintää. Disinformaatiota levitetään onnettomuuksista, niiden syistä ja vastuullisista tahoista, kuten nähtiin Suezin kanavan tukkeutumisen aikaan. Hybridivaikuttaminen on yleistynyt.
Teknologian kehittyessä myös uhkat muuttuvat. Tekoäly mahdollistaa hyökkäykset, jotka voivat pysyä piilossa pitkään ja joiden havaitseminen on vaikeaa. Lisäksi verkkoon kytketyt IoT-laitteet voivat toimia hyökkäysportteina alusten tai satamien järjestelmiin. Usein nämä laitteet ovat suojaamattomia tai niistä ei edes tiedetä tarkkaan, mitä ne tekevät tai mihin ne on yhdistetty. Lisäksi laivojen operatiivisen teknologian (OT) ympäristöt ja järjestelmät tuovat kokonaan uuden uhkien analysointia ja torjuntaa vaativan pelikentän.
Motivaatio x Kyky x Tilaisuus = Uhka.
Teknologian kehitys ja digitalisaatio parantavat merenkulun tehokkuutta ja tilannetietoisuutta. Samalla kyberturvallisuus aiheuttaa huolia: järjestelmätoimittajilla saattaa olla etäyhteydet järjestelmiinsä monitorointia ja säätöä varten jopa aluksen ollessa merellä.
Alalla puhutaan hyökkäysvektoreista, haavoittuvuuksista ja suojattavista omaisuusyksiköistä (assets). Hyökkäysväyliä löytyy myös laivojen sisältä: esimerkiksi laivalla vieraileva huoltoinsinööri voi vahingossa levittää haittaohjelman aluksen verkkoon kannettavalta tietokoneeltaan.
Perinteisen jaottelun mukaisesti uhka on motivaation, kyvyn ja tilaisuuden tulo (Motivaatio x Kyky x Tilaisuus = Uhka). Yhdenkin osatekijän ollessa ”0”, myös uhka on ”0”.
Hyökkääjän motivaatioon tai kykyyn on puolustavan osapuolen vaikea vaikuttaa. ”Tilaisuus” sen sijaan voi sisältää esimerkiksi olennaisia tietoja kohdeympäristöstä tai satunnaisella skannauksella löydetyn haavoittuvuuden. Näihin on mahdollista vaikuttaa tiedon- ja haavoittuvuushallinnan keinoin.
Haavoittuvuudella tarkoitetaan tässä yhteydessä ohjelmistosta löytynyttä virhettä, joka voi mahdollistaa laitteeseen tunkeutumisen tai tietoturvakontrollien ohittamisen. Haavoittuvuuksia on monen tasoisia ja niitä pisteytetään sen mukaan, miten helppoa tai vaikeaa niitä on hyväksikäyttää, ja mihin hyväksikäyttö voi johtaa.
Jokaiselle löydetylle haavoittuvuudelle annetaan tunniste, ja vakavuudelle lasketaan numeraalinen arvo. Haavoittuvuus liitetään ohjelmiston tai laitteen yksilöivään tunnisteeseen. Näin voidaan selvittää IT- tai OT-ympäristön haavoittuvuudet ja vaikuttaa ”Tilaisuus” -muuttujan painoarvoon.
Pelkästään laivojen OT-järjestelmissä voi olla kymmeniä tai satoja yksittäisiä tietoteknisiä laitteita. Turussa rakennettavissa Icon-luokan risteilijöissä luku on nelinumeroinen. Kukin laite sisältää kymmeniä ohjelmistoja tai ohjelmistokirjastoja, joista jokaisesta voi periaatteessa löytyä haavoittuvuus.
Haavoittuvuuksien hallinnassa korostuu tietämys ja ymmärrys puolustettavasta ympäristöstä. Kaikkia haavoittuvuuksia ei välttämättä edes voida poistaa päivittämällä ohjelmistoa.
Laivojen OT-järjestelmien elinkaari on huomattavasti pitempi kuin tavanomaisten IT-järjestelmien. Päivityksiä ei välttämättä ole saatavilla lainkaan elinkaaren loppupäässä. Tärkeintä on tunnistaa potentiaaliset uhat ja hyökkäysvektorit, joiden läheisyyteen korjaavat toimet kohdennetaan.
Tarkka dokumentaatio suojattavasta järjestelmästä, kuten yhteyksistä, laitteista ja niiden ohjelmistoista, mahdollistaa kyberuhkien ja -hyökkäysten simuloinnin. Järjestelmästä tai järjestelmän osasta luodaan digitaalinen malli haavoittuvuuksien testaamiseen.
Testit auttavat selvittämään, onko tietty haavoittuvuus oikeasti hyväksikäytettävissä kohdeympäristössä tai mitä sen torjuminen vaatii. Mahdolliset muutokset voidaan toteuttaa oikeassa ympäristössä ilman testaamisen aiheuttamaa operatiivisia häiriöitä.
Laivojen ja muidenkin OT-järjestelmien kyberturvallisuuden takaamisessa olennaista ovat tarkat tiedot ja tilannekuva puolustettavan järjestelmän rakenteesta, yhteyksistä ja haavoittuvuuksista. Toimenpiteet kohdistetaan kriittisiin pisteisiin.
Kohti ratkaisuja ja tilannemuutosta
Euroopan unioni pyrkii parantamaan alueensa kyberturvallisuutta erityisesti lainsäädännön keinoin. Direktiivit ja niitä seuraavat lait asettavat velvoitteita eri toimijoille, mutta NIS2-direktiivin myötä vastuita on kohdistettu myös EU:n omiin viranomaisiin.
Tämän seurauksena EU:n kyberturvallisuusvirasto ENISA sai tehtäväkseen kehittää yhteisen haavoittuvuustietokannan (EU Vulnerability Database, EUVD). Tietokannan ensimmäinen versio julkaistiin toukokuussa 2025.
Myös EU:n Kyberkestävyyssäädös (Cyber Resilience Act, CRA) velvoittaa laitevalmistajia syyskuusta 2026 alkaen raportoimaan tietoturvaviranomaiselle tuotteidensa haavoittuvuuksista ja niiden tietoturvaan vaikuttavista vakavista poikkeamista. Tarkoitus tietenkin on, että tieto siirtyy edelleen tuotteiden käyttäjille toimenpiteitä varten.
Kansainvälisistä organisaatioista muun muassa kansainvälinen merenkulkujärjestö IMO on ottanut kyberuhat osaksi virallisia turvallisuusvaatimuksia. Nato kehittää yhdessä EU:n kanssa meriturvallisuusstrategioita.
Viimeksi kuluneen vuoden aikana hybridiuhkat on nostettu keskiöön useissa Euroopan unionin turvallisuusstrategioissa. Näitä ovat European Internal Security Strategy, EU Preparedness Union Strategy, EU Serious and Organised Crime Threat Assessment sekä presidentti Niinistön Safer Together -raportti.
Erityistä huomiota kiinnitetään meriliikenteen ja kyberturvallisuuden kaltaisiin kriittisiin osa-alueisiin, joihin kohdistuvat uhat ovat monimuotoisia ja kasvavia. Näiden teemojen parissa työskentelee myös Turun ammattikorkeakoulun Cyber and Hybrid Resilience -tutkimusryhmä, joka kehittää ratkaisuja nimenomaan näiden haasteiden ennakointiin ja hallintaan.
Tämän sisällön mahdollistaa Turun AMK.
Journalistinen päätösvalta on MustReadin toimituksella.
Tämä artikkeli on julkaistu Creative Commons CC BY-ND 4.0 -lisenssillä.
Keskustelu
Tätä juttua ei ole vielä kommentoitu.