Tammikuun 30. päivän aikana 2026 Valtori sai tiedon, jota jokainen tietoturva-ammattilainen pelkää eniten. Hyökkääjä oli jo ehtinyt sisään ennen kuin paikkaus oli asennettu. Edellisenä iltapäivänä Ivantin tietoturvaneuvonnan julkaisun jälkeen Valtori oli asentanut korjauksen muutamassa tunnissa. Se ei riittänyt. Hyökkääjä oli liikkunut nopeammin kuin ohjelmistovalmistaja, joka oli juuri kertonut tuotteestaan löydetyistä haavoittuvuuksista. Suomen valtionhallinnon mobiililaitehallintapalvelu eristettiin verkosta. Tunteja, ei päiviä. Suomalaisen incident response -prosessin näkökulmasta tämä oli suoritus jolle ei tarvitse pyytää anteeksi.
Suoritukselle on kuitenkin kaksi mittaria. Ensimmäinen on se, jolla Suomi mittasi itseään ja jolla viranomaiset vakuuttivat meitä julkisuuteen. Tunneissa toiminut hillintä, paikkaus muutamassa tunnissa, ilmoitusketju asiakasvirastoille, rikosilmoitus poliisille saman päivän aikana. Tällä mittarilla Valtorin tekninen kapasiteetti oli sillä tasolla, mitä modernilta valtiolta voi vaatia. Euroopan komissio teki saman yhdeksässä tunnissa, Alankomaat kokoontui parlamentissaan viikossa. Suomi ei jäänyt jälkeen kärkijoukosta, ja siitä on syytä olla ylpeä.
Toinen mittari on se, jota emme yleensä käytä, koska se on epämukava. Se mittaa aikaa siinä yksikössä, jossa hyökkääjä laskee tuottoaan, eli vuosikymmenissä. Saksan BSI paljasti helmikuussa 2026, että samaa Ivantin haavoittuvuutta oli hyödynnetty Euroopassa jo heinä-elokuusta 2025, eli puoli vuotta ennen julkista tietoturvaneuvontaa. Tästä seuraa kaksi mahdollisuutta. Joko Suomen Valtori ei ollut tämän kuukausia jatkuneen kerääväisen vaiheen kohteena ja ehti onnistuneeseen havaitsemiseen tammikuun lopun viime hetken hyökkäyksen kohdalla, tai se oli kohteena ja kuukausien mittainen tarkkailu meni huomaamatta. Esitutkinta ehkä kertoo, kumpi vaihtoehto on totta. Sillä hetkellä, kun tämä artikkeli kirjoitetaan, totuus on vielä lukittuna tutkintapöytäkirjojen sisään.
Mittausten välinen ero ei ole vain mittaustekninen, se on rakenteellinen. Se kertoo, mitä asiaa tarkalleen ottaen Suomi puolusti ja mitä asiaa hyökkääjä otti. Suomi puolusti järjestelmää. Hyökkääjä otti datan. Nämä ovat eri asioita, ja niiden ero on koko tapauksen ydin.
Järjestelmä on rajattava asia. Sillä on kohta, jossa se alkaa, ja kohta, jossa se loppuu. Voidaan sulkea sen ovi, irrottaa sen pistoke, vaihtaa sen ohjelmisto. Järjestelmä elää siinä paikassa, johon se on asennettu, ja sen suojaaminen on tilan suojaamista. Tähän Suomella on hyvät työkalut, kokenut henkilöstö ja kelvollinen reagointiprotokolla.
Data on kerran kopioituna kaikkialla. Se ei elä missään yhdessä paikassa, sillä jokainen sen kopio on tasan yhtä todellinen kuin alkuperäinen. Sen kohdalla "sulkemisesta" tulee käsitteellinen virhe. Sitä ei voi kutsua takaisin sieltä, missä se on. Sen perään ei voi lähettää poliisia. Sitä ei voi pyytää poistettavaksi tarkastettavalla tavalla. Sinä päivänä, jolloin viidenkymmenen tuhannen suomalaisen virkamiehen nimet, työsähköpostit, työpuhelinnumerot, laitemallit, IMEI-tunnukset, asennetut sovellukset ja maatason sijainnit astuivat Valtorin verkon ulkopuolelle, ne astuivat samalla pois ajan kontrollista. Ne ovat nyt jossakin, missä niitä ei tämän jälkeen voi sulkea pois.
Tämä on syy siihen, miksi tunneissa toimivan reagoinnin ja vuosikymmenten mittaisen seurauksen välillä on epäsuhta, joka ei häviä mihinkään. Hyökkääjä on tehnyt yhden iltapäivän operaation. Suomi maksaa siitä nyt kahdenkymmenen, kolmenkymmenen vuoden ajan.
Yksi pieni mutta paljastava yksityiskohta auttaa tätä ymmärtämään. Yhdeksäntenä helmikuuta 2026, viikon kuluttua varsinaisen hyökkäyksen havaitsemisesta, Defused Cyber raportoi niin sanotun sleeper webshell -kampanjan. Hyökkääjät asensivat haavoittuneisiin Ivanti-järjestelmiin nukkuvan komponentin, latentin Java-luokkalataajan, joka odottaa myöhempää käyttöä. Se ei tee mitään juuri nyt. Se vain on. Sitä on tarkoitus käyttää sitten kun on aika, ehkä kuukausien tai vuosien päästä, ehkä jonkun toisen toimijan toimesta jolle pääsy myydään.
Sleeper webshell on kirjaimellinen versio siitä, mikä Valtorin datasta tuli. Data on nyt nukkumassa jossakin tietokannassa, jonka olemassaolosta emme tiedä. Se herää sitten, kun joku katsoo sitä uudelleen. Tähän mennessä siitä on jo tehty profilointia, kohdistuslistoja ja matkustusmallien analyysiä, mutta nämäkin ovat vain ensimmäisiä lukuja pitkästä luennasta. Se kuka herättää sen ja milloin, on kysymys johon ei ole vastausta. Se on kysymys joka ei kuulu tähän aikaan vaan sellaiseen aikaan, joka on vielä syntymättä.
Tämä asetelma kysyy meiltä jotain, mihin emme ole tottuneet vastaamaan. Suomalaisessa julkisessa keskustelussa kyberhyökkäykset käsitellään tapauksina. Ne alkavat ja loppuvat. Niistä uutisoidaan, niiden kohdalla tehdään esitutkinta, valiokunta kuulee asianomaisia, ja sitten siirrytään seuraavaan aiheeseen. Mediakehys kohtelee tapauksia kuten jokaista uutista, jolla on alku ja loppu. Tämä rytmi sopii rikoksiin, onnettomuuksiin ja sääilmiöihin. Se ei sovi tähän.
Tähän sopii toinen rytmi, jossa tapaus ei pääty, vaan ainoastaan poistuu uutisten näköpiiristä. Sen vaikutus jatkuu, mutta lakkaa olemasta uutista. Vaikutusta kantavat ne noin viisikymmentätuhatta henkilöä, joiden työpuhelinnumerot, laitetiedot, kaupungit joissa puhelin on käynyt rekisteröitymässä operaattoriverkkoon, ja heidän asentamiensa työkalujen lista ovat nyt arkistoituneet jonnekin, jossa niitä ei ole heidän omilla ehdoillaan. Heistä osa saa työnantajaltaan ohjeen vaihtaa puhelinnumero. Osa saa ohjeen tarkistaa matkasuunnitelmat. Osa saa muuten vain tiedotteen, joka kertoo että ottakaa yhteyttä jos huomaatte epäilyttäviä yhteydenottoja. Heidät kaikki yhdistää se, että he kantavat tämän tapauksen kanssa loppuelämänsä, vaikka tapauksen julkisuus loppuu paljon aikaisemmin.
Tämä asettaa kysymyksen Suomen kapasiteetista hieman toisin kuin julkisessa keskustelussa on totuttu sitä asettamaan. Kysymys ei ole vain siitä, kuinka nopeasti suljemme oven. Kysymys on siitä, miten elämme talossa, jonka kalusto on jo kuvattu, mitattu ja arkistoitu jonkun toisen huoneessa. Siellä missä jokin meissä asuu nyt jonkun muun katseen alaisena, ja sen katseen kestoa emme määritä.
Suomella on tähän asetelmaan kaksi vahvuutta, ja molemmat ovat sellaisia, joita ei näy valtion kyberkapasiteettia mittaavissa raporteissa.
Ensimmäinen on kulttuurinen valmius. Suomalainen virkamies on kasvanut maassa, jonka itäinen rajanaapuri on harjoittanut hybridivaikuttamista yhtäjaksoisesti vuosikymmeniä. Hän tunnistaa kalasteluviestin keskimäärin paremmin kuin saksalainen kollegansa. Hän osaa olla puhumatta turhaa puhelimessa, joka on hänen kätensä ulottumattomilla. Hän tietää, että matkapäätökset eivät ole henkilökohtaisia silloin kun ne kuljettavat työtietoa. Tätä valmiutta ei ole opetettu yliopistossa eikä virkavalassa. Se on kulttuurinen perintö, joka kantaa juuria 1939 talvesta nykypäivään, eikä sitä voi ostaa konsulttibrändiltä tai teknologian päivityksellä.
Toinen vahvuus on kollektiivinen ymmärrys siitä, että emme ole yksin. Suomella ei ole sellaista pelotekapasiteettia, jolla suuri valtiollinen toimija kahdesti miettisi onko Suomeen kannattavaa hyökätä. Yksin emme voi rangaista, emme voi kostaa, emme voi käyttää tiedustelukapasiteettiamme operatiivisesti. Emme kuitenkaan ole yksin. Naton tiedustelujakavat rakenteet, EU:n CERT-EU, Alankomaiden NCSC, Saksan BSI, Yhdysvaltojen FBI ja CISA sekä kahdenväliset suhteet liittolaisten palveluihin ovat nyt aktivoituneet tämän tapauksen ympärille tavalla, joka ei vielä näy julkisissa lausunnoissa mutta joka on todellinen. Tämä on Suomen Nato-jäsenyyden konkreettinen anti pienelle maalle: meidän kapasiteettimme ei ole enää yksin meidän kapasiteettiamme.
Tähän kahteen vahvuuteen sisältyy kuitenkin myös tieto siitä, mitä emme voi tehdä. Emme voi pyytää dataa takaisin. Emme voi varmistaa, että viidestäkymmenestä tuhannesta henkilöstä yksikään ei joudu syvällisemmän kohdistamisen kohteeksi. Emme voi luvata, että kohdistaminen ei tapahtuisi siinä hetkessä, jossa jokin tulevaisuuden kriisi tekee siitä strategisesti perustellun. Voimme ainoastaan rakentaa kerroksia, joissa kerätyn datan jatkohyödyntäminen tulee mahdollisimman vaikeaksi. Se tarkoittaa kohdennetun kalastelun tunnistamiskoulutusta sadoille tuhansille virkamiehille, salaisten työpuhelinnumeroiden vaihtamista herkimmissä tehtävissä, viestintäkulttuurin tiukentamista ja mobiililaitehallinnan migraatiota toiselle tekniselle alustalle. Kaikki tämä on jo käynnissä, mutta sen kustannus on huomattavasti suurempi kuin yksikään julkinen luku tähän mennessä antaa ymmärtää.
Tässä piilee Suomen pitkän aikavälin kysymys. Tunneissa mitattava reagointikyky on nykyisellään riittävä. Vuosikymmenissä mitattava resilienssi on vasta rakennusvaiheessa, eikä kysymys sen kestävyydestä ratkea yhden tutkinnan, yhden migraatiohankkeen tai yhden NIS2-direktiivin täytäntöönpanon kautta. Se ratkeaa siitä, oppiiko Suomen valtionhallinto ajattelemaan kaikkia toimiaan jälkikäteisen luennan kohteena. Oppiiko se kysymään ennen jokaista digitaalista tekoa, miltä se näyttää silloin, kun se yhdistetään huomenna johonkin, jota emme vielä tiedä.
On rehellistä sanoa myös tämä. Yksittäisen virkamiehen tasolla tämä kysymys on vaikea kantaa. Hän ei valinnut tätä asetelmaa. Hän tuli töihin valtiolle, koska halusi palvella Suomea, ja hänestä on nyt tehty tiedustelukohde tahollaan, jota hän ei ole koskaan nähnyt. Ohjeet vaihtaa numero, tarkistaa matkat, varovaisuus puhelussa, kaikki tämä saapuu hänen elämäänsä asioina jotka hänen on otettava vastaan. Hän tekee sen hiljaa, koska niin meidän maassamme tehdään. Jossakin sisällä asuu kuitenkin kysymys: kuinka kauan minun täytyy nyt elää tämän kanssa.
Tähän kysymykseen ei ole täydellistä vastausta. Lienee rehellistä sanoa, että hänen täytyy elää sen kanssa loppuelämänsä. Se ei tarkoita että hänen elämästään tulisi ahdistunut tai pelokas. Se tarkoittaa että hänen suhteensa omaan dataansa, omaan numeroonsa, omaan laitteeseensa, ei ole enää yksityinen suhde. Se on jaettu suhde, jossa toinen osapuoli on tuntematon ja vaitelias.
Suomen valtio kantaa tämän asetelman kollektiivisesti. Yksittäisen virkamiehen kuorma on osa laajempaa kuormaa, jota me kaikki kannamme yhteisestä tilanteesta. Tämä ei ole pohdintaa joka mahtuu kyberkapasiteetin mittaristoon. Se on pohdintaa joka kysyy, miten valtio elää siinä uudessa todellisuudessa, jossa sen henkilöstön rakenne on kopio, joka on jo arkistoituna sen ulkopuolella.
Lopuksi yksi ajatus, joka ei mahdu yksittäisen tapauksen otsikkoon mutta jonka tämä tapaus on antanut. Olemme tottuneet ajattelemaan, että suvereniteetti tarkoittaa rajojen valvontaa. Suomalainen suvereniteetti on rakentunut sille käsitykselle, että rajan sisällä oleva kuuluu meille ja rajan ulkopuolinen ei kuulu. Tämä käsitys on edelleen oikea siellä missä kyse on maa-alasta, kalastusvyöhykkeestä tai ilmatilasta. Dataa ei kuitenkaan voi laskea rajan sisäpuolelle ja sen ulkopuolelle. Sen rajat ovat olemassaolon ja olemattomuuden välillä, eivät meidän ja heidän välillä.
Sinä hetkenä, jolloin viidenkymmenen tuhannen suomalaisen virkamiehen jäsennelty varjo astui Valtorin verkon ulkopuolelle, jokin osa Suomen suvereniteetista astui samalla ulos. Sitä osaa emme saa takaisin. Voimme kuitenkin oppia rakentamaan suvereniteettia uudessa muodossa, jossa keskeinen kysymys ei enää ole "kuka pääsee sisään" vaan "miten elämme siinä, että jokin meistä on jo astunut ulos". Tämä on tehtävä joka kestää koko tulevan vuosikymmenen, ehkä kaksi. Se on tehtävä joka mitataan vuosikymmenissä, ja siksi se sopii vihdoinkin samaan aikahorisonttiin kuin se, mitä meiltä on viety.