Ulkoministeriö on selvittänyt tapausta eri viranomaisten ja sidosryhmien kanssa syksyn ja talven 2021-2022 aikana.

Vakoilun aikajänne on ollut suhteellisen pitkä, kertoo kybersuurlähettiläs Jarmo Sareva ulkoministeriöstä.

-  Meillä on arvio siitä, milloin ohjelmaa on hyödynnetty, mutta emme voi sitä tässä yhteydessä tarkentaa, Sareva sanoo STT:lle.

Sareva ei kerro tarkemmin, kuinka moneen ihmiseen vakoilua on kohdistunut tai missä tehtävissä he ovat työskennelleet. Hän ei kommentoi myöskään sitä, missä päin maailmaa tai kuinka monessa edustustossa vakoilua on tapahtunut tai millainen taho vakoilun takana on ollut.

-  Mutta eihän sitä voi luonnollisesti koskaan täysin pois sulkea, Sareva sanoo.

Käyttöjärjestelmien päivitys oleellista

Vakoilua ei Sarevan mukaan tässä tapauksessa olisi ollut mahdollista estää, sillä Pegasuksen hyväksikäyttämät haavoittuvuudet eivät olleet edes laitevalmistajien tiedossa.

-  Tätä me emme voineet ennakoida, koska tämä oli nollapäivähaavoittuvuutta hyväkseen käyttävä ohjelma, josta edes Applen tai Androidin puhelinten laitevalmistajat eivät olleet tietoisia, Sareva sanoo.

Nollapäivähaavoittuvuuksilla tarkoitetaan ennalta tuntemattomia ohjelmistohaavoittuvuuksia, joille ei ole olemassa korjausta ilman ohjelmiston päivitystä.

-  Tällaisten haavoittuvuuksien hyväksikäytön estäminen on ollut kaikille organisaatioille äärimmäisen vaikeaa, Sareva sanoo.

Paras tapa torjua Pegasuksen kaltaisia ohjelmia on Sarevan mukaan päivittää puhelimen käyttöjärjestelmä aina, kun päivitys on tarjolla.

-  Pegasus-ohjelman olisi pitänyt poistua päiväjärjestyksestä sitä kautta, kun käyttäjät ovat päivittäneet mobiililaitteensa käyttöjärjestelmiä, Sareva sanoo.

-  Voidaan lähteä siitä, että kun henkilökunta päivittää laitteensa, käyttöjärjestelmän uudessa päivityksessä tällaisia ohjelmia ei enää ole, oli kyse sitten Pegasuksesta tai jostain muusta.

Pegasus-ohjelma pystytään tuomaan käyttäjän Apple- tai Android-puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä, ulkoministeriö kertoo tiedotteessaan.

Ulkoministeriön tapauksessakaan vakoiluun ei liity käyttäjien tekemiä virheitä, Sareva vahvistaa.

UM: Korkean turvaluokituksen tietoa ei ole vaarantunut

Eri turvaluokkien tietoa käsitellään ulkoministeriössä erilaisilla menetelmillä. Puhelimella käsiteltävä tieto on julkista tai korkeimmillaan turvallisuusluokka 4:n tason tietoa, joka on alin turvaluokittelun aste.

-  Totta kai myös tämän tason tieto ja tiedon lähde voi olla tärkeä osa diplomaattien välistä kanssakäymistä. Ja totta kai kaikki lähtevät siitä, että tieto useissa tapauksissa on luottamuksellista, Sareva sanoo.

Pegasus-haittaohjelma kykenee seuraamaan kaikkea puhelimen liikennettä: sähköposteja talon sisällä ja ulkoisten sidosryhmien kanssa, pikaviestimiä, puhelimeen ja sen sovelluksiin tallennettua tietoa, mikrofonia ja kameraa, Sareva listaa.

-  Mutta korostan sitä, että korkeammin luokiteltu tieto ei ole vaarantunut.

Laajasta Pegasus-vakoilusta uutisoitiin viime kesänä

Ulkoministeriöstä ei kerrota, mistä tieto Suomen diplomaatteihin kohdistuneesta vakoilusta on saatu.

Viime heinäkuussa useissa kansainvälisissä medioissa kerrottiin, että Pegasus-ohjelmaa epäillään käytetyn muun muassa toimittajien, ihmisoikeusaktivistien, yritysjohtajien ja poliitikkojen vakoiluun ympäri maailmaa.

Kansainvälisen selvityksen mukaan israelilainen NSO Group oli toimittanut ohjelman useiden maiden hallinnoille.

Sareva ei kommentoi sitä, liittyykö nyt tiedotettu tapaus mahdollisesti aiempiin kansainvälisiin uutisiin Pegasus-vakoilusta.

Tapauksen tutkintaan on osallistunut suomalaisia viranomais- ja muita tahoja, muun muassa Liikenne- ja viestintävirasto Traficom ja suojelupoliisi.

Muiden maiden kumppaneille viestitään asiasta Sarevan mukaan “siltä osin kuin se on tarkoituksenmukaista”.

Ulkoministeriön kaikkiin toimijoihin kohdistuu tässä ajassa paljon mielenkiintoa, Sareva sanoo.

-  Se näkyy muun muassa tällaisena laittomana tiedusteluna. Meidän tehtävänämme ja velvollisuutenamme on sovittaa oma toimintamme tähän riskikenttään, jossa riskit ovat selvästi lisääntyneet ja edelleen lisääntymässä.

Tämä tarkoittaa Sarevan mukaan juuri sitä, että eritasoista tietoa käsitellään vain niille osoitetuissa ympäristöissä.

Sareva painottaa myös riittävien resurssien tärkeyttä kyberuhkien torjunnassa paitsi teknisellä ja rahallisella myös osaajien tasolla.

-  Mutta täydelliseen turvallisuuteen ei koskaan päästä, niin kuin tämä tapaus on osoittanut.

Uutista täydennetty.