Viime viikkoina otsikoihin on noussut Lappeenrannassa järjestettävä ”Rajat auki” -marssi, jota ovat organisoimassa Venäjän kaksoiskansalaiset ja paikallispoliitikot Ivan Deviatkin ja Katja Marova.
Tempaukset ja niiden yhteydessä esitetyt Venäjän linjaa myötäilevät näkemykset ovat herättäneet keskustelua siitä, missä kulkee rajanveto sananvapauden, poliittisen aktivismin ja mahdollisen ulkomaisen vaikuttamisen välillä.
Kyse ei ole vain yksittäisestä tapahtumasta vaan kertoo laajemmasta haasteesta. Suomen on vaikea varmistaa avoimesti, kenen rahoittamana ja kenen tavoitteita ajaen eri tahot toimivat julkisessa keskustelussa.
Riittääkö lainsäädäntö?
Olisi syytä tarkastella uudelleen, onko lainsäädäntömme riittävän vahva vakoilun ja hybridivaikuttamisen torjunnassa. Vuonna 2019 uudistetut tiedustelulait antoivat suojelupoliisille ja puolustusvoimille laajemmat valtuudet tietojen hankintaan, ja kyberturvallisuutta koordinoi oma keskuksensa.
Silti monet harmaan alueen toimet, kuten kyberhyökkäykset, disinformaatio ja taloudellinen vaikuttaminen, jäävät edelleen riittävän torjunnan ulkopuolelle. Tämä tekee meistä helpon kohteen niille, jotka etsivät aukkoja hyödynnettäväksi.
Kybervakoilu on tästä selkein esimerkki. Viime vuosina Suomea on koeteltu palvelunestohyökkäyksillä, kriittisen infrastruktuurin lamauttamisella ja tietomurroilla, jotka eivät aina koske luokiteltua tietoa.
Nykyiset rikoslain pykälät tietomurroista ja tietojärjestelmien häirinnästä ovat rajattuja ja usein lievästi rangaistavia, jos teko ei aiheuta suoraa taloudellista vahinkoa.
Olisi siten perusteltua laatia selkeämpi kriminalisointi, joka kattaa kybervakoilun myös silloin, kun kyse ei ole perinteisestä salaisuuden rikkomisesta.
Avoimuus on heikkous
Avoimuus on toinen heikko kohtamme. Suomessa ei ole mekanismia, joka velvoittaisi ulkomaista rahoitusta saavat lobbarit, mediatoimijat ja järjestöt ilmoittamaan sidonnaisuutensa ja rahoittajansa julkisesti.
Tämä ei tarkoita, että nykyinen toiminta olisi lainvastaista, mutta läpinäkyvyys puuttuessa kansalaiset eivät voi arvioida, kenen etuja keskustelussa tosiasiassa ajetaan. Yhdysvaltain ulkomaisten agenttien FARA-lain kaltainen rekisteri toisi avoimuutta ilman, että sananvapautta rajoitettaisiin.
Myös viranomaisten yhteistyö kaipaa selkiyttämistä. Suojelupoliisi, puolustusvoimat ja Kyberturvallisuuskeskus toimivat rinnakkain, mutta niillä ei ole yhteistä lakiin kirjattua komentorakennetta.
Rauhan aikana tämä toimii, mutta kriisitilanteessa päätöksenteon rajat ja vastuut voivat hidastaa toimintaa. Virossa viranomaisten roolit on järjestetty niin, että kriisitilanteita johdetaan yhdestä pisteestä.
Olennaista on samalla ymmärtää, ettei vakoilu ole enää pelkkiä agenttitarinoita. Sen muodot ulottuvat taloudesta digitaalisiin verkostoihin ja tiedon vääristelyyn.
Peiteyrityksiä ja ulkomaisia holding-rakenteita käytetään hankkimaan kiinteistöjä ja yrityksiä, jolloin omistuksen todellinen luonne jää piiloon.
Tällaiset järjestelyt voivat luoda vipuvartta vihamielisille toimijoille strategisesti merkittävillä alueilla. Siksi viranomaisilla on oltava selkeät valtuudet avata monimutkaisia omistusrakenteita ja käyttää pakkolunastusta tai myyntipakkoa, jos kyseessä on kansallista turvallisuutta vaarantava omistus.
Kuka kerää tietoa?
Sama logiikka pätee digitaaliseen maailmaan. Vihamieliset toimijat keräävät valtavia tietomääriä suomalaisista yrityksistä, viranomaisista ja kansalaisista usein rikottujen tietokantojen ja julkisten lähteiden kautta. Tekoälyn avulla tiedosta voidaan koostaa yksityiskohtaisia profiileja, joita käytetään vaikuttamiseen, kiristämiseen ja lopulta disinformaatiokampanjoihin.
Varastettu ja manipuloitu tieto ei jää pelkäksi tiedusteluksi. Usein se päätyy osaksi laajempia vaikuttamisoperaatioita, joiden tarkoituksena on horjuttaa luottamusta viranomaisiin, mediaan ja liittolaisiin.
Tämän vuoksi tarvitaan myös lainsäädäntöä, joka mahdollistaa nopean puuttumisen esimerkiksi velvoittamalla somealustoja poistamaan valtiollista vaikuttamista palvelevaa sisältöä viranomaispäätöksellä.
Venäjän painostus ei ole vähenemässä. Olemme jo nähneet, miten hybriditoimia testataan rajaliikenteellä, kyberiskuilla ja disinformaatiolla. Jos lainsäädäntöä ja rakenteita ei vahvisteta, seuraavat kriisit iskevät meihin juuri sieltä, missä olemme heikoimmillamme.
Ratkaisut ovat tiedossa: kybervakoilun selkeä kriminalisointi, ulkomaisten rahoittajien rekisteri, omistusten läpivalaisu ja pakkotoimimalli, sekä pysyvä kyber- ja vastavakoilukeskus, joka kokoaa viranomaiset yhteen.
Nyt on kyse siitä, löytyykö poliittista tahtoa toteuttaa uudistuksia ennen kuin seuraava kriisi pakottaa meidät tekemään ne kiireessä.
