Euroopan unionin uusi NIS2-direktiivi tiukentaa kyberturvallisuusvaatimuksia monilla sektoreilla, mutta jättää korkeakoulutuksen ja tutkimuksen suojauksen huolestuttavan kevyelle tasolle. Tampereen korkeakouluyhteisön CISO-johtaja Juha Malmivaaran mukaan tämä on vakava turvallisuusriski, sillä korkeakoulut ovat jo nyt kansainvälisen tiedustelun ja kyberhyökkäysten kohteena.
Malmivaara esitti perjantaina Disobey-hakkeritapahtuman Prevent-esiseminaarissa, että korkeakoulut eivät ole virallisesti huoltovarmuuskriittisiä toimijoita, mutta niiden kautta kulkee valtava määrä sensitiivistä tietoa, joka kiinnostaa kansainvälisiä toimijoita. Malmivaaran mukaan erityisesti Venäjä, Kiina, Iran ja Pohjois-Korea ovat aktiivisesti kiinnostuneita suomalaisista tutkimuslaitoksista.
Tämä ei ole yllättävää – suomalaisissa yliopistoissa kehitetään teknologiaa, jolla voi olla myös sotilaallisia käyttötarkoituksia. Esimerkkejä ovat 6G-verkot, droonitekniikka ja signaaliviestintä. Lisäksi EU:n Chips Act -hanke, jolla pyritään vähentämään riippuvuutta Kiinan ja Taiwanin siruvalmistuksesta, tekee suomalaisista tutkimuslaitoksista entistä houkuttelevamman kohteen ulkomaisille toimijoille.
Helppo pääsy ja heikko suojaus
Yliopistot toimivat kansainvälisen yhteistyön hengessä, mikä tarkoittaa, että soluttautuminen on helppoa. Yliopistoihin voi päästä käsiksi monella tapaa: jatko-opiskelijan tunnus avaa pääsyn laajoihin tietoverkostoihin, avoimen yliopiston kautta voi saada virallisen tunnuksen 40 eurolla, ja HAKA-kirjautumisjärjestelmä mahdollistaa lähes kaikkien yliopistoverkostojen käytön.
- Yliopistot ovat hyppyalusta tiedustelulle – niiden kautta voi päästä käsiksi tietovarastoihin, verkostoihin ja päättäjiin, Malmivaara toteaa. Tämä tekee niistä strategisesti tärkeän kohteen, jota ei kuitenkaan suojata samoin kuin muita kriittisiä infrastruktuureja.
Malmivaara toi esiin konkreettisia esimerkkejä, joissa ulkomaiset toimijat ovat pyrkineet vaikuttamaan suomalaiseen tutkimukseen tai soluttautumaan yliopistoihin. Eräs tapaus liittyi venäläiseen vakoilijaan, joka soluttautui Norjaan tutkimaan hybridiuhkia. Toisessa tapauksessa Iranin kansalaisia on ollut mukana tutkimuksissa, joiden tuloksia voisi hyödyntää sotilaallisessa kehityksessä.
Vaikka yliopistoilla on mahdollisuus suojautua teknisin ratkaisuin – esimerkiksi estämällä kirjautumiset Venäjältä ja Iranista – käytännössä tutkimusverkostot ovat niin laajoja, että tietoturvaa on vaikea hallita.
Ukrainan sota on osoittanut, että teknologista osaamista tarvitaan myös kriisiaikoina. Suomalaiset yliopistot ovat olleet mukana kehittämässä droonisodankäyntiin liittyvää teknologiaa, ja tulevaisuudessa vastaavien hankkeiden merkitys voi kasvaa. Kuitenkin ilman tiukempia suojauksia ja riskienhallintaa yliopistot voivat toimia porttina ulkovaltojen tiedustelulle ja teknologian väärinkäytölle.
Malmivaaran mukaan yliopistojen tulisi olla tiiviimmässä yhteistyössä viranomaisten kanssa ja parantaa henkilöstön taustaselvityksiä. - Päätehtävämme on suojata tutkijoita heiltä itseltään, hän toteaa.
Nykyisellään NIS2-direktiivi ei velvoita korkeakouluja tiukkoihin kyberturvallisuuskäytäntöihin, vaikka ne kehittävät kriittistä teknologiaa. Tämä on aukko, joka voi osoittautua kohtalokkaaksi.
