Voiko digitaalinen infrastruktuuri mennä rikki? 

Turo-Kimmo Lehtonen

Heinäkuisena perjantaiaamuna 2024 amerikkalainen kyberturvayritys CrowdStrike yritti päivittää Falcon Sensor -nimisen ohjelmistonsa mutta epäonnistui pahan kerran.

Päivitys tehtiin pilvipalvelun kautta toimivassa ohjelmistossa, joka vuorovaikutti laajalti toisten ohjelmistojen kautta Microsoft Windows -ympäristöissä. Muutaman minuutin sisällä pelätyt siniset ruudut ilmestyivät työpaikkojen näytöille ympäri maailmaa. Lukemattomat isot ja pienet yritykset joutuivat keskeyttämään toimintonsa, eikä kukaan aluksi tiennyt, kuinka pitkään katkos tulee kestämään. Muutaman minuutin, tunteja? Entä jos kuluukin monta päivää – tai jopa viikkoja, ellei kuukausia?

Vaikutukset näkyivät nopeasti niin pankkipalveluissa kuin vähittäiskaupassa. Puolen päivän jälkeen Financial Times raportoi, että melkein 3 500 saman päivän lentoa on jouduttu perumaan. Se tarkoitti noin kolmea prosenttia suunnitellusta määrästä.

Dominoefekti vyöryi eteenpäin

CrowdStriken asiakaskunta koostui muun muassa maailman johtavista pankeista sekä lento- ja telekommunikaatioyrityksistä, vähittäiskaupan liikkeistä, mutta myös sairaaloista ja erilaisista kriittisen infrastruktuurin toimijoista. Nämä olivat maksaneet CrowdStriken kyvystä torjua digitaalisen järjestelmän ongelmia: sen tehtävänä oli valvoa niin ulkoisia kuin sisäisiä uhkia ja reagoida virheisiin. Tätä tarkoitusta varten CrowdStrikella oli The New York Timesin sanoin “laajat valtuudet liikkua kaikkialla tietojärjestelmissä, myös niiden haavoittuvimmissa osissa”.

Jos CrowdStriken kaltainen toimija tekee virheitä, kerrannaisvaikutukset voivat olla merkittäviä. Tuona heinäkuun aamuna kävi juuri näin. The Guardian tiivistää: “elintärkeiden tietokonejärjestelmien romahduksia ja katkoksia estämään tarkoitettu ohjelmisto päätyi kaatamaan ne.”

CrowdStrike kykeni ratkaisemaan ongelman melko nopeasti. Jälkivaikutukset kuitenkin jatkuivat läpi viikonlopun, sillä tietojärjestelmät olivat menneet laajalti sekaisin, eikä niiden ajantasaistaminen käynyt käden käänteessä. Vaikka jo seuraavana päivänä suurin osa Windows-järjestelmiin nojautuneista yrityksistä ja kotitalouksista oli saanut arkensa taas sujumaan, kansainväliset lentokentät olivat edelleen täynnä ihmisiä, jotka eivät tienneet, milloin ja miten he pääsevät määränpäihinsä tai pääsevätkö ylipäänsä lentäen. Tilanteen normalisoituminen kesti pari vuorokautta. BBC:n mukaan Iso-Britannian terveydenhuoltojärjestelmän tukos jatkui vielä pitkälle seuraavaan viikkoon. Ongelmia oli esimerkiksi sellaisten lähetteiden kirjaamisessa, joita tarvitaan kiireellisiin jatkotutkimuksiin ja -hoitoihin.

Katkoksen talousvaikutukset olivat mittavat ja hajautuivat laajalti. Osa toimijoista oli kuitenkin varautunut vahinkoihin niin sanotulla kybervakuutuksella. Viisi päivää katkoksen jälkeen Parametrix-niminen vakuutusyhtiö kertoi arvioineensa tappioiden määriä. Lehdistötiedotteessaan se korosti, että vakuutukset kattoivat vain suhteellisen pienen osan menetyksistä: “Kybervakuutusten kattamien tappioiden osuus lienee korkeintaan 10-20 prosenttia, mikä johtuu monen yrityksen itsellään pitämistä suurista riskeistä sekä korvauskattojen mataluudesta suhteessa katkosten potentiaalisesti tuottamaan menetykseen.”

Viisi opetusta yhteiskuntatieteilijöille

1. On hyvä kysyä, minkälaiset käsitteet ovat kohdallisia, kun halutaan ymmärtää elämänmuotoa, jossa yksittäisen ohjelmistokoodin virhe muutamassa minuutissa keskeyttää arjen ja talouden ympäri maailmaa. Selvää on, että 1900-luvun keskivaiheelta peritty sosiologinen käsitekoneisto on ilmiöön nähden maho: digitaalisesta infrastruktuurista riippuvainen maailma ei pyöri vain ”yhteiskuntarakenteen”, ”kulttuurin”, ”kansallisvaltioiden” tai ihmismuotoisten ”yksilöiden” ympärillä. Kun yhteiskuntatiede haluaa kertoa nykyelämästä, sen on kyettävä näkemään inhimillisen toiminnan yhteys moniaineksiseen toimijoiden verkostoon, aineelliseen yhteisöön. Tällaisen aineksen analyysin avainkäsitteeksi on syytä nostaa ”infrastruktuuri”.

2. Infrastruktuurit eivät koostu vain koneista ja laitteista. Toisin kuin yksittäiset tekniikat, infrastruktuurit eivät helpota tai korvaa erillisiä inhimillisiä toimintoja vaan luovat uutta. Sähkön saatavuus, tiestön hyvä kunto ja viemäristön luotettavuus muokkaavat koko elämänmuodon hahmoa. Sama pätee digitaaliseen infrastruktuuriin. Se luo pohjan uudenlaisille ihmisenä olemisen ulottuvuuksille, käytäntöjen ja kokemusten kirjolle. Infrastruktuureja luonnehtii niiden ainesten perustava moninaisuus: teknologiat, standardoinnit ja merkitykselliset kokonaisuudet liittyvät infrastruktuureissa toisiinsa. Suhde ihmisten läsnäoloon on erilainen kuin sellaisten yksittäisten tekniikoiden kohdalla, jotka mahdollistavat ihmistyön vähentämisen. Ihmiset ovat nimittäin digitaalisen infrastruktuurin ytimessä: sitä ei ole ilman sen jatkuvaa käyttämistä, tuottamista ja ylläpitämistä. Vaikka finanssitoiminnot digitalisoituvat, on mahdoton ajatella, että olisi pankkilaitosta ilman ihmisiä. Sama ihmiskeskeisyys pätee kaikkiin infrastruktuureihin: sähköverkkoa ei ole ilman huoltotiimiä tai teitä ilman teiden rakentajia.

3. Ajatus yhteiskunnan haavoittuvuudesta muuttuu. Hajautuneisuuden, ketjuvaikutusten ja osittaisuuksien maailmassa ei ole ihan selvää, mikä on pientä ja mikä isoa. Infrastruktuurin vähäpätöinen osa voi mennä rikki, tai koodin virhe voi olla pieni. Jos rikki meneminen tai virhe kuitenkin vaikuttaa nopeasti kokonaiseen infrastruktuuriin, tämä ei mene ”rikki” vaan ehkä ”romahtaa”. Pieni asia onkin välittömästi iso. Paikallisesta tulee hetkessä globaali. Tämä on tuttua sähkökatkoista: ketjuuntuneet vaikutukset vievät alas toisistaan riippuvaisia toimintoja. Merkittävän häiriön jälkeen paluu arkeen ei tapahdu niin, että korjataan yksittäinen vika, ja kas, kaikki taas sujuu. Sen sijaan koko ketju täytyy nostaa verrattain hitaasti ja monipaikkaisesti uudelleen toimintaan. Niinpä myös CrowdStriken tapauksessa varsinainen vika pystyttiin korjaamaan nopeasti, mutta silti monet digitaalisen infrastruktuurin haavoittuneet osat olivat lopulta toimintakykyisiä vasta kahden vuorokauden päästä. Taloudelliset vaikutukset olivat mittavat, vaikka vain pieni osa digitaalisesta infrastruktuurista romahti.

4. Digitaalisten infrastruktuurien globaali hallinta on pelottavan keskittynyttä. CrowdStriken tapaus näyttää, kuinka riippuvainen elämänmuotomme on muutamasta alan toimijasta. Microsoft on niin tärkeä globaalille taloudelle, että kun 1 % sen valmistamista ja toisiinsa kytkeytyneistä laitteista haavoittuu, kuten CrowdStriken tapauksessa kävi, tämä tuottaa globaalisti valtavat rahalliset tappiot ja pelästyttää hetkeksi koko maailman. Lukemattomien ihmisten arkeen tulee katkos, ja lähipäivien suunnitelmat menevät uusiksi. Entä jos 1 prosentin sijaan romahtaisi 30 prosenttia Microsoftin pilven varassa toimivista laitteista? Olisivatko tappiot 30-kertaiset nyt menetettyihin miljardeihin verrattuna? Eivät olisi. Todennäköisesti ne olisivat massiivisesti suuremmat. Koska infrastruktuurit ovat keskinäisriippuvaisia, digitaalisen järjestelmän romahtamisen haitat eivät kasva lineaarisesti vaan eksponentiaalisesti. Tämä puolestaan johtaa ajatuskokeeseen: entä jos yhtäaikaisesti kaatuisi kohtuullinen siivu Googlen, Amazonin ja Microsoftin ylläpitämistä pilvipalveluista?

5. Haavoittuvuuksiin varautuminen vakuuttamalla on tulevaisuudessa poliittinen kysymys. Vakuuttaminen on ennakoimisen muotona siitä erityinen, että se perustuu poolittamiseen. Vakuutuksen ottaneet eivät etukäteen tiedä, ketä tuleva onnettomuus mahdollisesti kohtaa, mutta ovat melko varmoja, että onnettomuus kyllä tulee. Kaikille on edullista yhdessä varautua uhkaan ja yhdistää resurssejaan niin, että onnettomuuden kohdanneelle maksetaan korvaus. Poolit voidaan kuitenkin järjestää monella tapaa: täysin vapaaehtoisesti, kuten Suomessa vaikkapa matkavakuutukset, tai tiukasti valtiollisesti säädeltyinä, kuten työttömyysvakuutukset. Minkälaiset poolit olisivat hyviä, kun varaudutaan jakamaan kustannuksia, joita tulee digitaalisen infrastruktuurin toiminnan keskeytyksistä? Tuollaiset keskeytykset lienevät tulevaisuudessa väistämättömiä, ja vakuutusinstrumenttien merkitys kasvaa varmasti. Tästä seuraa tarve käydä myös poliittista keskustelua siitä, miten poolit järjestetään ja miten vastuuta jaetaan. Pitäisikö maailmanlaajuisiin kybertsunameihin varautua niin, että jokainen yritys ja yksilö itse ottaa vapaasti omaa riskiään vastaavan vakuutuksen, jos siltä tuntuu ja jos siihen on kykyä? Vai pitäisikö uhkaa ymmärtävien toimijoiden ottaa vastuu myös muista? Onko tulevaisuudessa nähtävissä, että digitaalisen infrastruktuurin toiminnan katkosten taloudellisiin haittoihin varaudutaan valtiollisen säätelyn tai julkisten poolien kautta ellei peräti EU-tasoisesti?

Lähteet

‘The global IT outage: As it happened’, Financial Times, July 19, 2024, https://www.ft.com/content/9457f44b-7b6e-473e-bbb6-8b1f381d458b#post-46241a9b-d486-4c5f-9607-90c7a1e46acc. Luettu 15.2. 2026.

‘What is CrowdStrike?’, New York Times, July 19, 2024, https://www.nytimes.com/2024/07/19/business/what-is-crowdstrike.html. Luettu 2.4.2026.

‘What is CrowdStrike, and how did it cause a global Windows outage?’, Guardian, Jul 19, 2024, https://www.theguardian.com/technology/article/2024/jul/19/what-is-crowdstrike-microsoft-windows-outage. Luettu 15.2.2026.

‘CrowdStrike: What was the impact of the global IT outage’, BBC, 24 September, https://www.bbc.com/news/articles/cr54m92ermgo. Luettu 15.2.2026.

‘CrowdStrike to Cost Fortune 500 $5.4b; Insured Loss Range of $0.54b - $1.08b’, Parametrix press release, 24 July, https://www.parametrixinsurance.com/in-the-news/crowdstrike-to-cost-fortune-500-5-4-billion-insured-loss-range-of-540-million-to-1-08-billion. Luettu 15.2.2026.