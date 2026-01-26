EU on antanut teleoperaattoreille kolme vuotta aikaa poistaa niin sanottujen korkean riskin toimittajien verkkolaitteet. Cybernewsin tietoturvatutkija Aras Nazarovas muistuttaa kuitenkin, ettei laitteiden vaihtaminen kiinalaisista eurooppalaisiin tai amerikkalaisiin ratkaise itse ongelmaa. Se muuttaa vain sitä, kenen takaportteihin luotetaan.
Nazarovasin mukaan Euroopan kriittinen infrastruktuuri on rakennettu pitkälti suljettujen järjestelmien varaan, joita kukaan ei voi riippumattomasti tarkastaa. Kun yksi suljettu laite korvataan toisella, turvallisuus paranee lähinnä näennäisesti. Todellinen riski jää ennalleen.
Verkkolaitteiden haavoittuvuudet voivat piillä useilla tasoilla. Ne voivat olla firmware-ohjelmistossa, käyttöjärjestelmässä tai hallintaohjelmissa. Usein kyse ei ole tahallisista takaporteista vaan huolimattomasta ohjelmoinnista, testaamattomasta koodista tai päivittämättömistä kirjastoista. Lopputulos on silti sama. Järjestelmään syntyy reitti hyökkääjille.
Ongelmaa pahentaa se, että nämä heikkoudet sijaitsevat usein järjestelmän perustassa. Ne aktivoituvat jo käynnistyksen yhteydessä ja jäävät vuosiksi piiloon. Perinteiset tietoturvatyökalut eivät niitä näe, koska ne tarkkailevat vain järjestelmän pintaa.
Nazarovas viittaa myös viimeaikaisiin tapauksiin, joissa hyökkääjät ovat päässeet käsiksi televerkkoihin ja jopa väärinkäyttäneet viranomaisvalvontaan tarkoitettuja toimintoja. Tapaukset osoittavat, kuinka syvälle piilotetut haavoittuvuudet voivat olla ja kuinka vaikea niitä on havaita ajoissa.
EU:n päätöksen merkitys korostuu siksi, että se koskee myös muita kuin televerkkoja. Rajoitukset ulottuvat rajavalvontalaitteisiin, vedenpuhdistusjärjestelmiin, sähköverkkoihin ja lääkintälaitteisiin. Näissä järjestelmissä kyberhyökkäys voi pahimmillaan vaarantaa ihmishenkiä.
Nazarovasin mukaan EU:n tulisi mennä pidemmälle kuin pelkkään toimittajavaihdokseen. Kansallisuudesta riippumatta laitevalmistajilta pitäisi vaatia avointa ja todennettavaa tietoturvaa. Tämä tarkoittaisi riippumattomia auditointeja, kolmannen osapuolen testauksia ja läpinäkyviä prosesseja haavoittuvuuksien korjaamiseen. Oleellinen kysymys ei ole, mistä laitteet tulevat, vaan voiko niiden turvallisuuden todella varmistaa.