Viestintäverkkojen rakentaminen ja kyberturvallisuus

Suomessa turvallisuus- ja varautumissääntelyllä on pitkät perinteet

Viestintäverkot ovat kriittistä infrastruktuuria. Asia nousi vahvasti esille muutama vuosi sitten, kun EU:ssa pohdittiin erityisesti 5G-verkon kyberturvallisuutta. Kaikilla ei silloin ollut tilannekuvaa viestintäverkkojen kansallisen sääntelyn laajuudesta ja syvyydestä eikä täyttä käsitystä siitä, kuinka paljon Suomessa on jo tehty verkkojen turvallisuuden varmistamiseksi. Kansalaisten luottamus viestintäverkkojen tietoturvaan on teleyritysten liiketoiminnan ydin, ja ne huolehtivat tarkkaan palveluidensa tietoturvasta sekä varautuvat erilaisiin häiriötilanteisiin, vikatilanteisiin ja tietoturvaloukkauksiin.

Suomessa viestintäverkkojen turvallisuus- ja varautumissääntely ei ole uutta, vaan sillä on pitkät perinteet. Sääntely on myös hyvin kattavaa. Sähköisen viestinnän palvelulaissa on omat lukunsa, jotka sisältävät useita pykäliä sekä viestintäverkkojen ja -palveluiden laatuvaatimuksille että varautumiselle. Pelkästään yksi lain pykälä sisältää 16-kohtaisen luettelon siitä, mitä on huomioitava suunniteltaessa, rakennettaessa ja ylläpidettäessä yleisiä viestintäverkkoja ja -palveluita. Säännös kattaa tietoturvavaatimukset verkkojen ja palvelujen koko elinkaaren ajalta, myös suunnittelu- ja rakennusvaiheissa. Lisäksi Traficom on lain nojalla antanut puolenkymmentä määräystä ja suositusta viestintäverkkojen tietoturvasta. Nämä muodostavat säädöskehikon, joka teleyrityksen on huomioitava verkkoja rakentaessaan. On esimerkiksi huolehdittava siitä että, verkkoliikenteelle on olemassa varareittejä ja laitteille on määräysten mukaisesti varmistettu riittävä tehonsyöttö sähkökatkosten ajaksi.

Koronapandemian alkaessa ja sen aikana teleyritysten viestintäverkot joutuivat todelliseen testiin. Verkot ovat toimineet hyvin ja kestäneet kapasiteetin lisäyksen erinomaisesti. Teleyritykset ovat korona-aikana jatkuvasti kehittäneet kriisinsietoprosessejaan ja panostaneet entistä enemmän viestintäverkkojen ja -palveluiden kyberturvallisuuteen. Samalla teleyritysten kyvykkyys tunnistaa kyberuhkia lisääntyy koko ajan. Tätä oppia ja prosessien kehittämistä hyödynnetään nyt Venäjän aiheuttaman oikeudettoman ja brutaalin sodan aikana.

Lainsäädäntö ei saa heikentää verkkoturvallisuutta

Vaikka viestintäverkot rakennetaan turvallisuus- ja toiminallisuusnäkökohdat edellä, se ei valitettavasti teleyritysten kannalta aina välttämättä riitä. Sääntelyssä voi olla valuvikoja. Tällaisia ovat muun muassa joidenkin viranomaisten oikeus asettaa omia laitteitaan tai ohjelmistojaan teleyrityksen verkkoihin näiden tietämättä, mikä on huomattava uhka palveluiden häiriöttömyydelle ja tietoturvallisuudelle.

Merikaapelien kaikille avoimesta viranomaisen verkkopalvelusta julkisesti saatavilla olevat tarkat sijaintiedot eivät myöskään lisää kyberturvallisuutta. Parhaillaan ollaan rakentamassa viranomaisen ylläpitämää keskitettyä verkkojen sijaintitietopalvelua. Sen kyberturvaan panostetaan, ja palvelussa olevien tietojen saatavuuteen kiinnitetään tarkasti huomiota. Merikaapeleiden sijaintitietojen täydellinen ja kontrolloimaton avoimuus sen sijaan on todella huolestuttavaa, vaikka se perustuisi direktiiviin.

Verkkojen kriittiset osat ja Open Radio Access Network (O-RAN)

Sähköisen viestinnän palvelulain uudistuksen yhteydessä säädettiin uusi pykälä, joka koskee viestintäverkon kriittisissä osissa käytettäviä laitteita. Lisäksi annettiin sitä koskeva määräys. Sääntelyä valmisteltiin laajassa yhteistyössä viranomaisten ja teleoperaattorien kanssa. Vaikka sääntely koskee sekä kiinteää että mobiiliverkkoa, sen pääpaino on mobiiliverkoissa, etenkin 5G-verkon kriittisissä osissa. Säännös ja sitä koskeva määräys ovat dynaamisia ja hyvin aikaa kestäviä. Niissä on huomioitu pragmaattisella ja yhteensovitetulla tavalla kansallinen ja verkkojen turvallisuus sekä verkkotekniikka ja toimintaympäristö palveluiden jatkuvuuden kannalta.

Tekniikka ja siihen kuuluva ekosysteemi ovat kuitenkin jatkuvan muutoksen pyörteissä. Jokainen matkaviestinsukupolvi on ollut edellistä turvallisempi, eikä tuleva 6G ole poikkeus. Nyt on jo muutaman vuoden puhuttu avoimesta radioliityntäverkosta, O-RANista, ja siitä, miten se muuttaa matkaviestinverkkoja, niiden suunnittelua, rakentamista ja laitetoimittajamarkkinaa. O-RANin tarkoituksena on kilpailun lisääminen verkkolaitemarkkinalla purkamalla nykyisiä laitetoimittajasidonnaisuuksia. Tämä toteutetaan avoimilla standardoiduilla rajapinnoilla ja mahdollistamalla eri laitetoimittajien infrastruktuurin yhteentoimivuus. Tällöin teleyritys voisi valita ja rakentaa verkkoarkkitehtuurin osat itsenäisesti.

O-RANissa on taas täysin uusia tietoturvaan liittyviä kysymyksiä, jotka vaikuttavat kriittisten verkkoelementtien määrittelyyn, kun hallintajärjestelmiä ja niiden ominaisuuksia hajautetaan. Lisäksi pääsy järjestelmän useisiin eri osiin maan rajojen ulkopuolelta tulee todennäköisesti välttämättömäksi.

Vaikka O-RANia käytetään jo muutamassa maassa, Suomessa testaukset alkavat todennäköisesti vuosikymmenen puolivälissä. Oletettavasti eri osia O-RAN-konseptista testataan ensin ja vasta myöhemmin laajempana kokonaisuutena 6G-teknologiassa.