Edustajat eivät ainakaan Räsäsen puheiden perusteella vaikuta aina tietävän tai muistavan, millä älylaitteilla missäkin saa operoida.

Räsänen oli osallistunut sosiaali- ja terveysvaliokunnan etäkokoukseen Israelin-matkaltaan, vastoin eduskunnan sääntöjä.

Eduskunta pitää Israelia korkean riskin maana, joten Räsäsen ei olisi edes pitänyt viedä eduskunnan laitteita sinne. Näin kuitenkin kävi.

Pelttari siirtyi pääsihteerin tehtäviin viime vuoden alusta. Tätä ennen hän toimi Suojelupoliisin päällikkönä.

– Yleisenä kommenttina voin todeta, että eduskunnassa tietoturvallisuus otetaan vakavasti. Siihen on panostettu monin tavoin sekä teknisten järjestelmien että osaamisen kautta. Tietoturvassa kilpajuoksu muuttuvien uhkien ja niihin tarvittavien torjuntakeinojen välillä on jatkuvaa. Eli jatkuva kehittäminen ja kehittyminen on välttämätöntä, Pelttari vastaa sähköpostitse.

ESIMERKIKSI Räsäsen toimintaan liittynyt uutisointi ei ole välttämättä luonut kuvaa siitä, että kaikki kansanedustajat ottaisivat tietoturvallisuuden tosissaan. Pelttari kuitenkin vakuuttaa, että eduskunnassa suhtautuminen on vakavaa.

– Eduskunnassa on mielestäni menty hyvään suuntaan luottamuksellisten ja salassa pidettävien asioiden käsittelyssä sekä puitteiden että toimintakulttuurin osalta. Turvallisuustilanteen muuttuminen vaikeammaksi Suomen ympärillä on varmasti auttanut ymmärtämään salassapidon tärkeyden. Aina on toki parantamisen varaa, Pelttari myöntää.

Pelttari kertookin, että tämän vuoden aikana eduskuntaryhmiä on tarkoitus erikseen kouluttaa turvallisuuskäytännöistä ja matkustusturvallisuudesta.

Koska tällainen päätös on tehty, vaikuttiko tämä Räsäs-tapauksen keskustelu asiaan?

– Tämä on normaalia, jatkuvaa ohjeiden päivittämistä ja koulutusta, Pelttari vastaa.

Eduskunnan tietohallinnosta on kerrottu jo aiemmin Demokraatille, että eduskunta aikoo myös muistuttaa kansanedustajia ja työntekijöitään matkustamista koskevista älylaiteohjeista.

Tämä tarkoittaa päivitettyjä ohjeita, joissa on mahdollisesti myös uusia ratkaisuja laitteiden käyttöön.

– Uudet matkalaiteohjeet ovat edelleen työryhmän valmistelussa. Vanhat ohjeet toimivat ja ovat voimassa, eduskunnan tietohallintopäällikkö Ari Apilo totesi tällä viikolla.

PÄIVI Räsänen kertoi yrittäneensä kohua herättäneen Israel-matkansa jälkeen hakea eduskunnan verkkosivuilta ohjeita älylaitteiden ulkomaankäytöstä, mutta ei ole sellaisia löytänyt.

Kokoomuksen kansanedustaja Atte Kaleva on toivonut, että eduskunta kertoisi selkeämmin, miten eri maihin voi viedä eduskunnan laitteita.

Pelttarin mukaan matkalaitteiden ohjeistus on helposti löydettävissä intranetistä ja tieto saatavilla eduskunnan IT-palvelusta.

– Matkustusturvallisuus sisältyy perehdyttämiskoulutukseen ja teemakohtaisiin koulutuksiin. Matkustusturvallisuudesta on myös erikseen koulutettu valiokuntasihteeristön ja kansainvälisen yksikön henkilöstöä.

– Maalistaus, joihin matkalaitteet on otettava, on salassa pidettävä. Sen takia matkalle lähtijään pyydetään ottamaan IT-palveluun yhteyttä tarkistaakseen, onko erityiselle matkalaitteelle tarvetta, Pelttari toteaa.

Ari Apilo vakuuttaa, että ohjeet älylaitteiden ulkomaankäytöstä löytyvät helposti eduskunnan verkkopalvelusta eivätkä käytännöt ole muuttuneet.

– Ja meillä on edustajien tukena päivytystävä IT-palvelu, joka mieluusti neuvoo ja auttaa käytännön kysymyksissä, Apilo lisää.

KYBERRISKEIHIN erikoistunut Netprofile-yhtiön konsultti Christina Forsgård kommentoi Demokraatille, että Suomen valtionhallintoon ja politiikkaan liittyvässä päivittäisessä käytössä olevia laitteita ei pitäisi missään nimessä viedä ulkomaille.

– Tarjoamme turvalliset käytänteet ja välineet välttämättömien tietojen käsittelyyn ja viestintään edustajien tarpeiden mukaisesti ulkomailla. Olennaista on, että meillä on havainnointi- ja reagointikyky havaita tietoturvapoikkeamia tietojen, identiteetin tai laitteiden käsittelystä, Pelttari kommentoi.

Onko eduskunnassa havaintoja siitä, että kansanedustajat lähettäisivät meileissä esimerkiksi salaiseksi luokiteltua materiaalia tai käyttäisivät sähköpostiohjelmaa, jota ei suositella? Miten tähän on puututtu tai ohjeistettu?

– Eduskunnassa on hyväksytty salassa pidettävien ja turvaluokiteltujen tietojen käsittelyohje, joka kattaa käsittelyn asiakirjojen ja tietojen koko elinkaaren aikana. Näissä on muun muassa mainittu, mitkä ovat sallittuja pikaviestintä-, sähköposti- tai pilvipalveluita. Ohjeessa neuvotaan, miten sähköpostin tai asiakirjan pitää ja voi salata turvallisen käsittelyn mahdollistamiseksi. Ohje on koulutettu henkilöstölle ja sisältyy edustajienkin perehdyttämiskoulutukseen. Mikäli ohjeiden vastaista käyttöä havaitaan, tähän puututaan tietoturvapoikkeamana ja otetaan yhteyttä poikkeaman aiheuttavaan henkilöön.

Kuinka paljon tällaisia tietoturvapoikkeamatapauksia on ollut kansanedustajilla viime aikoina?

– Emme kommentoi tai anna tietoja yksittäisistä tietoturvapoikkeamista, Pelttari vastaa.

Millainen ohje kansanedustajilla on siitä, mitä asioita ei kannattaisi puhua puhelimessa lainkaan tietoturvasyistä? Mitä periaatetta tässä mielestäsi pitäisi noudattaa?

– Tietoturvakoulutuksessa ja edellä mainituissa ohjeessa on määritelty, että vain julkista asiaa voi puhua puhelimessa. Muissa julkisuusasteissa voidaan tiettyyn rajaan asti käyttää erikseen hyväksyttyjä salattuja viestintäratkaisuja.

ENNEN valintaansa eduskuntaan 2023 kokoomuksen kansanedustaja Jarno Limnéll työskenteli teknologiayritys Innofactorin kyberturvallisuusjohtajana. Sotatieteiden tohtori Limnéll on kansanedustajuuden ohella kyberturvallisuuden työelämäprofessori.

Hän kertoo katsoneensa kansanedustajaksi tultuaan läpi, millä tavalla tietoturva-asiat on sekä Suomessa että maailmalla matkustaessa kansanedustajille informoitu ja ohjeistettu.

– Sillä puolella ei ole minun mielestäni puutteita. Meillä on hyvät koulutuspaketkit, selkeät ohjeistukset, joita ei ole välttämättä kaikilla työpaikoilla. Eli ohjeistus on kunnossa, Limnéll näkee.

Hän sanoo jo kadettikoulussa oppineensa, miten turvallisuus on ennen kaikkea asennekysymys.

– Eli miten laitteita päivitetään tietoturvallisesti, miten niiden kanssa toimitaan ja miten ohjeita noudatetaan. Sitä ei voi kukaan suoraan käskeä. Se lähtee omasta asenteesta. Suoraan sanoen vähän vaikea arvioida, miten hyvin tai huonosti kukin edustaja omat tietoturva-asiansa hoitaa. Kyllä minulla on se ymmärrys, että tietämyksestä se ei ole kiinni, koska ohjeistukset ovat selkeät. Kyllä se on sitten asenteesta kiinni, Limnéll sanoo.

– Kyllä minä uskon, että jos kysyt täältä keneltä tahansa kansanedustajalta, että jos matkustaa esimerkiksi Kiinaan, sinne ei tule ottaa eduskunnan laitteita mukaan. Silloin meillä on toiset laitteet käytössä, kun tämmöisiin maihin mennään. Sitten täytyy tietysti minun mielestäni jokaisen kansanedustajan tunnistaa ja tunnustaa oma vastuunsa näissä asioissa. Täällä käsitellään asioita, jotka eivät kuulu ulkopuoliselle ja jotka ovat luottamuksellisia tietoja, Limnéll jatkaa.

VALIOKUNTAMATKOILTAAN Limnéllin kokemukset siitä, miten kansanedustajat huomioivat tietoturvan, ovat hyvät.

Limnéll on puolustusvaliokunnan jäsen.

– Omilla valiokuntamatkoilla, jotka ovat toki suuntautuneet sellaisiin paikkoihin, joissa täytyy erityisesti huomioida tietoturvaa, olen huomannut, että sääntöjä noudatetaan eikä silloin toimita ohjeiden vastaisesti.

Hän muistuttaa, että valtiollisessa vakoilussa kansanedustajat ja poliittinen päätöksenteko ovat yksi kohde, erityisesti ulko- ja turvallisuuspolitiikkaan liittyvät asiat.

Ulkomaan matkustamisen ja etäyhteyksillä toimimisen turvallisuudesta puhumisen ohella Limnéll haluaa pitää esillä arkipäivän tietoturvaa ja kyberturvallisuutta eduskunnassa ja muutoinkin yhteiskunnassa.

– Turvallisuus on aina kulttuurinen asia eli se on tiettyjä opittuja tapoja ja asenteita. Tässä meillä on kyllä vielä kokonaisuutena petrattavaa. Tarkoitan sitä, että huolehditaan salasanoista vaikkapa niin, että niitä vaihdetaan riittävän usein eikä niitä anneta eteenpäin, päivitetään ohjelmistot, huolehditaan kaksivaiheisesta tunnistautumisesta. Eli kyllä peräänkuulutan itse kullekin meistä arkipäivän tietoturvan merkitystä sekä eduskunnassa että muualla Suomessa. Siinä olemme tietyllä tavalla vähän edelleen rakentamassa kulttuuria.

– Kun reilu kymmenen vuotta sitten aloitin kyberturvallisuuden professorina Aalto-yliopistossa tuli puhuttua silloin vähän samoja asioita kuin edelleen tänä päivänä eli jokaisen ihmisen omasta vastuusta huolehtia tietoturvan perusasioista. Ne kun laittaa kuntoon, silloin ollaan otettu koko yhteiskunnassa iso askel eteenpäin.

Oletko huomannut, että tässä olisi kansanedustajilla parannettavaa?

– Minulla ei ole semmoista dataa, että minä tietäisin, päivittävätkö kansanedustajat heti ohjelmistopäivitykset, kun ne tulevat ja miten vahvat salasanat on.

Mutta sinä et ole koskaan huomannut mitään ongelmia esimerkiksi siinä, miten laitteita käytetään. Kaikki on ollut kaikilla valiokuntamatkoilla kunnossa?

– Ne havainnot mitä minulla on (on se, että ovat olleet kunnossa). Kyllä sekin pitää aina mahdollisimman rehellisesti sanoa, että ajoittain olen kuullut palautetta siitä, että saatetaan keskustella luottamuksellisia asioita paikoissa, joissa niitä ei pitäisi keskustella…

– Tai sitten, että saatetaan vaikka lentokoneessa käyttää läppäriä ilman suojakalvoa, jolloin pystyy lukemaan, mitä siellä kirjoitetaan. Tämänkaltaisista asioista on minulle tullut tietoa, mutta se miten laajaa se on, sitä on vaikea sanoa.

LIMNÉLL ei kiittele siitä, että Päivi Räsänen ei ottanut aikanaan Israeliin sinne vaadittavaa eduskunnan erillistä älylaitetta.

– Silloin, kun menemme tämänkaltaisiin valtioihin, joissa on vahvaa kyberkyvykkyyttä, kyllä sinne ihan perussääntönä otetaan sitten lainalaitteet mukaan eikä mennä näillä eduskunnan laitteilla. Kyllä me silloin tulemme minun mielestäni siihen asenteeseen, että halutaanko tietoturvasta huolehtia riittävällä tavalla ohjeistuksien mukaisesti tai ei. Itse olisin toiminut toisella tavalla kuin edustaja Räsänen tässä tilanteessa.

Räsänen valitti myös, että eduskunnan verkkosivuilta oli vaikea saada ohjeita älylaitteiden ulkomaankäytöstä. Tätä Limnéllkään ei allekirjoita. Hänen mukaansa eduskunnan intrasivuilla on selkeät ohjeet.

Kansanedustajien tietoturvasta laajemmin keskusteltaessa Limnéll ei ole itse huomannut sellaista, että sähköposteissa olisi lähetetty sinne kuulumatonta luottamuksellista tietoa.

– Sen mitä olen joskus havainnut, mitä tapahtuu varmaan kaikilla työpaikoilla, että saatetaan lähettää jokin sähköposti vahingossa laajemmalle vastaanottajaporukalle kuin alkuperäinen tarkoitus oli.

Puolustusvaliokunnan jäsenille Limnéllillä on erikseen kehuja.

– Kun tietoturva- ja turva-asioiden parissa on elämänsä työskennellyt, niin kyllä meillä varsinkin puolustusvaliokunnassa silloin, jos puhumme yhtään sensitiivisemmistä asioista, huomaa, että silloin todella asenteet ovat kunnossa. Sittenhän me olemme eduskunnan turvatiloissa ilman mitään älylaitteita, kelloja tai muita ilmatiiviiden ovien takana. Jos sinne haluaa joku päästä kuuntelemaan, sitten pitää olla jo varsin kova motivaatio.

– Kyllä se pitää toisaalta myöskin sanoa, että sopivan valppana pitää täälläkin olla. On tämä talo ulkomaisen tiedustelun kiinnostuksen kohde, Limnéll jatkaa.

Hän muistuttaa, että eduskunnassa niin kuin muillakin työpaikoilla on hyvä ilmoittaa erittäin matalalla kynnyksellä eteenpäin, jos havaitsee jotain outoa tai epäilyttävää.

Kuinka vapaasti puhelimeen uskaltaa puhua asioita? Onko jotain asioita, joita et jostain syystä lausu puhelimessa?

– Minulla on itselläni tapana, että jos minun kaikki puhelutietoni tulisivat julkiseksi, mitä olen vaikkapa viimeisen vuoden aikana paljon puhunut, niistä ei paljastuisi mitään sensitiivistä.

Miksi teet näin?

– Teen ihan turvallisuussyistä. Silloin, kun puhun sensitiivisempiä asioita, tapaan ihmiset kasvotusten. Minä en edes näiden niin sanotusti luotettujen, turvattujen viestintäpalveluiden kautta puhu mitään luottamuksellisia asioita, vaan se on aina kasvokkain.

Limnéll toteaa, että hänen oma ajatusmaailmansa lähtee tietoturva-asioissa vahvasti esimerkillä johtamisesta.

– Nyt kun olemme edelleen luomassa tietoturvaan liittyvää turvallisuuskulttuuria Suomeen ja se kulttuuri muuttuu hitaasti, toivoisin, että tässä asiassa kansanedustajat olisivat myöskin esimerkillisiä. Että he ihan viestisivät siitä, että huolehdin tietoturvastani, päivitän ohjelmistoni, on vahvat salasanat, en juttele julkisilla paikoilla luottamuksellisia asioita.

– Kaipaisin vielä ehkä kansanedustajilta astetta enemmän, että toimitaan tässäkin asiassa esimerkkinä koko muulle yhteiskunnalle.