Onnettomuustutkinta on perinteisesti yhdistetty fyysisen maailman suuronnettomuuksiin ja vaaratilanteisiin. Kun lentokone tekee pakkolaskun tai juna suistuu raiteiltaan, yhteiskunta haluaa tietää, mitä tapahtui ja miksi. Onnettomuustutkintakeskuksen (OTKES) tehtävänä on selvittää tapahtumien kulku ja syy-seuraussuhteet. Tutkinnan tarkoituksena on yleisen turvallisuuden lisääminen, onnettomuuksien ja vaaratilanteiden ehkäiseminen sekä onnettomuuksista aiheutuvien vahinkojen torjuminen. Turvallisuustutkintaa ei sen sijaan tehdä oikeudellisen vastuun kohdentamiseksi.
Vaikka fyysisestä turvallisuudesta on syytä pitää kiinni, elämme nyt aikakautta, jossa vakavia ja vahingollisia tapahtumia voi tapahtua myös digitaalisessa avaruudessa. Tietomurrot ja kyberhyökkäykset eivät ole enää vain yksittäisen käyttäjän tai yrityksen päänsärky, vaan ne ovat kehittyneet luonteeltaan ”suuronnettomuuksiksi”, jotka voivat lamauttaa yhteiskunnan perustoimintoja ja koskettaa satojatuhansia ihmisiä samanaikaisesti.
Tästä muutoksesta on Suomessa kaksi merkittävää esimerkkiä: psykoterapiakeskus Vastaamon ja Helsingin kaupungin tietomurrot. Niiden käsittelytavat kertovat tärkeää tarinaa siitä, miten opimme – tai jätämme oppimatta – digitaalisista katastrofeista.
Vastaamo – rikostutkinta keskiössä
Vastaamon tapauksessa tutkinta keskittyi vahvasti rikosprosessiin sekä sittemmin myös korvausvastuuseen. Poliisi selvitti tietomurron ja siihen liittyneiden muiden rikosten tekijöitä, ja samalla yrityksen johtohenkilöitä ja näiden palkkaamia juristeja ja tietoturvayhtiöitä työllisti vastuukysymysten selvittäminen. Tämä on perinteinen ja välttämätön lähestymistapa, kun selvitetään oikeudellista vastuuta ja haetaan korvauksia rikoksen uhreille.
Rikostutkinta on luonteeltaan kuitenkin eri asia kuin turvallisuustutkinta. Sen ensisijainen tehtävä ei ole tuottaa julkisia, yksityiskohtaisia oppeja ja järjestelmätason suosituksia yhteiskunnan varautumisen parantamiseksi. Vaikka Vastaamon tapauksesta on epäilemättä opittu paljon yritysten hallitushuoneissa ja tietoturvatiimeissä, laajempi, avoin ja systemaattinen analyysi tapahtumaketjusta ja sen juurisyistä jäi puuttumaan.
Oppimisen ja valvonnan tasapaino: Kyberturvallisuuskeskuksen malli
Ajatus oppimisen ja rankaisemisen erottamisesta ei digitaalisessakaan ympäristössä ole täysin vieras. Itse asiassa se on menestyksekkäästi rakennettu sisään esimerkiksi kyberturvallisuustyötä tekevän Kyberturvallisuuskeskuksen (KTK) toimintamallissa. KTK:lla on kaksi toisistaan tarkasti erotettua roolia.
Ensinnäkin, laki velvoittaa yrityksiä ja organisaatioita ilmoittamaan KTK:lle tietoturvapoikkeamista. Näitä ilmoituksia vastaanottava KTK:n osa kerää tietoa, analysoi uhkakuvia ja jakaa aktiivisesti oppeja koko yhteiskunnalle, jotta kaikki voisivat parantaa puolustustaan. Tämä toiminta perustuu luottamukseen. Samaan aikaan toinen osa KTK:sta toimii viranomaisena, joka valvoo tietoturvasäädösten noudattamista. Se voi antaa huomautuksia, tehdä tarkastuksia ja määrätä seuraamusmaksuja.
Näiden kahden roolin välillä on tiukka ”kiinanmuuri”. Valvontaa tekevät henkilöt istuvat fyysisesti eri tiloissa kuin poikkeamia vastaanottava ja analysoiva tiimi, ja tietojärjestelmien käyttöoikeudet on eriytetty. Tämä varmistaa, ettei ilmoitusvelvollisuuden kautta saatu luottamuksellinen tieto valu valvovalle ja seuraamuksista päättävälle puolelle. Tämä luottamuksen ilmapiiri on elinehto sille, että yritykset uskaltavat ilmoittaa poikkeamista avoimesti. Rankaisukeskeisessä mallissa tiedonjako ja yhteinen oppiminen todennäköisesti kuihtuisivat nopeasti.
Helsingin tietomurto ja tutkinnan uusi aika
Helsingin kaupungin massiivinen tietomurto on tietojemme mukaan ensimmäinen kerta, kun ns. digitaalista katastrofia tutkitaan Suomessa virallisesti turvallisuustutkintalain nojalla. Ainakaan kyber- tai tietomurtoihin liittyviä vastaavia tapauksia ei aiemmin ole tutkittu tällä tavoin. Kyseessä on turvallisuustutkintalain mukainen poikkeuksellisen tapahtuman tutkinta. Tällainen tutkinta voi lain mukaan koskea erittäin vakavaa kuolemaan johtanutta tai yhteiskunnan perustoimintoja uhannutta tai vakavasti vaurioittanutta tapahtumaa, joka ei ole onnettomuus.
Aiemmista tapausselosteista tosin ainakin Apotti-tietojärjestelmän asiakas- ja potilasturvallisuuden vaarantaneita tapahtumia koskeva OTKESin selvitys (T2022-E1, 2022) liittyy digitaalisen infrastruktuurin, mutta ei johtanut varsinaiseen turvallisuustutkintaan. Myös perinteisten fyysisen maailman onnettomuuksien taustalla saattaa olla erilaiset tietojärjestelmähäiriöt tai ihmisen ja koneen virheellinen yhteistoiminta. Tämä ei kuitenkaan nouse esimerkiksi otsikkotasolla OTKES:n kuvauksissa esiin.
Valtioneuvoston päätös asettaa Onnettomuustutkintakeskuksen yhteyteen riippumaton tutkintaryhmä tapausta selvittämään onkin tärkeä merkkipaalu. Tutkinta laajentaa tärkeällä tavalla oppimiskeskeisen filosofian koskemaan myös digitaalista yhteiskuntaa. Tutkinnan järjestäminen myös sanoittaa tietomurron poikkeukselliseksi tapahtumaksi, joka uhkaa tai vaurioittaa yhteiskunnan perustoimintoja. Tämä tekee näkyväksi sen, etteivät laajat yksityisyyttä vakavasti loukkaavat tapahtumat pelkisty vain teknisiksi virheiksi ja toimintahäiriöiksi tai rikoksentekijän ja uhrin välisiksi teoiksi.
Oikeudellista vastuuta ei käsitellä
Tutkintaryhmän johtajan terveiset 4.10.2024
Vaikka tutkintaryhmän tehtävä perustuu lakiin, ryhmän tehtävä on edellä kuvatusti selkeästi erotettu oikeudellisen vastuun selvittämisestä. Tutkinnan laajuus on vaikuttava. Se ei rajoitu vain teknisiin seikkoihin, vaan selvittää tapahtumiin johtaneita välittömiä ja välillisiä syitä. Kartoituksessa ovat mukana eri organisaatioiden roolit, johtamis- ja valvontatoiminta sekä viestintä niin organisaatioiden sisällä kuin kansalaisillekin. Tätä varten kuultiin kymmeniä ihmisiä noin 15 eri viranomaisesta ja organisaatiosta. Tutkinnan tuloksista laadittiin kattava tutkintaselostus.
Uutta oli tässä kontekstissa myös ulkoisen ja sisäisen kriisiviestinnän tutkiminen. Ryhmä selvitti organisaatioiden sisäistä kommunikointia, viestintää eri toimijoiden välillä, viestintää kansalaisille sekä sitä, millaisena viesti välittyi median kautta kansalaisille. Viestinnän tutkinnan piirissä oli myös se, miten on viestitty kaupungin työntekijöille ja mitä neuvoja heille on annettu tilanteen käsittelyyn. Tältä osin ryhmä suosittelee, että ”kunnat ja kaupungit kehittävät tietomurtotapausten viestintään selkeää ja saavutettavaa ohjeistusta, jonka avulla uhrit voivat suojautua tietomurtojen seurauksilta ja suojata omia henkilötietojaan”.
Digitaalisista havereista opittava siinä missä junaonnettomuuksistakin
Digitaaliset järjestelmät ovat yhteiskuntamme hermokeskus. Kun niihin isketään, seuraukset ovat systeemisiä. On selvää, että digitaalinen ”suuronnettomuus” tai turvallisuustutkintalain sanoin poikkeuksellinen tapahtuma on yhtä vakava asia kuin fyysinenkin. Molemmissa tilanteissa uhrien auttaminen ja mahdollisten syyllisten saattaminen vastuuseen on välttämätöntä. Mutta aivan yhtä tärkeää on varmistaa, että opimme jokaisesta tapauksesta mahdollisimman paljon.
Helsingin kaupungin tietomurron tutkinta näyttää tässä vihdoin oikeaa suuntaa. Sen prosessi on läpinäkyvä: tiedonkeruu ja analyysi johtivat julkiseen selostukseen, josta toivottavasti opitaan. Tämä selostus ja sen pohjalta annetut suositukset ovat kullanarvoisia kaikille julkisen ja yksityisen sektorin toimijoille. Se on uuden ajan onnettomuustutkintaa, joka rakentuu jo olemassa olevalle luottamuksen ja oppimisen perustalle.
Lue lisää: