(Huomioithan, että tämä artikkeli on 12 vuotta vanha. Artikkelissa esitellyt asiat, tilanteet ja analyysit eivät välttämättä päde enää nykypäivään.)

Kybersota – hypeä vai totta?

taivaanrannanmaihari | 21.06.2012

The New York Times väitti hiljattain, että Yhdysvaltain Presidentti Barack Obama on jatkanut koko virkakautensa ajan salaista kybersotaa Irania ja sen ydinohjelmaa vastaan. Operaatio Olympic Games aloitettiin NYT:n artikkelin mukaan Presidentti Bushin aikana, ja ensimmäisiä viitteitä tästä saatiin jo kaksi vuotta sitten kesällä Stuxnet-viruksen paljastumisen myötä. Viime kuussa paljastui myös Stuxnet-virusta paljon tuhoisampi Flame-vakoiluohjelma, jonka avulla on vuodesta 2010 lähtien urkittu yli tuhatta tietokonetta Lähi-idässä sekä varsinkin Iranin ydinohjelman kannalta tärkeitä tietoja. Sekä Israel että Yhdysvallat ovat olleet vaitonaisia osuudestaan haittaohjelmien luonnissa, mutta myös simerkiksi Washington Post kovasti väittää molempien maiden olleen aivanroolissa näiden kyberhyökkäyksien osalta. Kun ottaa huomioon sekä näiden hyökkäysten valmistelun miljoonaluokan hinnan, haastavuuden sekä kyseisten maiden kansalliset intressit, ei liene epäselvää mistä hyökkäykset ovat peräisin.

Myös Suomessa on nostettu viime aikoina kyberturvallisuus vahvasti esille. The Ulkopolitist vierali maaliskuussa pääministeri Jyrki Kataisen tiedotustilaisuudessa, jossa pääministeri sekä ministerit Wallin ja Kiuru kertoivat median edustajille yhteiskunnan turvallisuusstrategiasta CDX-kyberturvallisuusharjoituksen yhteydessä. Harjoitusta Suomen päässä luotsaava tekniikan tohtori, Catharina Candolin (joka myös bloggaa aiheesta) kertoi, että Suomeen kohdistuu huomattava määrä kyberhyökkäysyrityksiä. Paikalla olleet virkamiehet painottivat tosin, että Suomi on Israelin, Saksan ja Yhdysvaltojen kanssa kyberturvallisuuden kärkimaita (joka ilmeni myös taannoin julkaistusta ranking-listasta). Eräs virkamies kertoi lisäksi, että Suomi tekee puolustyhteistyötä kyseisten maiden asevoimien kanssa kyberturvallisuuden saralla.

Viime vuoden puolella puitiin puolestaan Kiinan kyberhyökkäyssarjaa Yhdysvaltoja, länsimaisia yrityksiä sekä Kiinan naapurimaita kohtaan – mistä kirjoitinkin silloin. Nyt tapetilla ovat Yhdysvaltain ja Israelin hyökkäykset Irania vastaan. Vaikuttaakin vahvasti siltä, että kyberhyökkäykset ovat tämän päivän todellisuutta enemmän kuin futuristista utopiaa (dystopiaa?), mutta mitä tämä tarkoittaa sodankäynnin tulevaisuuden ja kansallisen turvallisuuden kannalta? Onko edes sopivaa puhua kybersodasta näiden toimien yhteydessä? Aina kun puhutaan sodan uusista kasvoista, tulee lukijan olla varuillaan – kybersodasta on puhuttu jo vuosikymmeniä, kuten esimerkiksi RMA-futuristien, John Arquillan ja David Ronfeldtin raportissa vuodelta 1993. Kuten tulevaisuuden sodankäynnin toiseen pilariin, lennokkeihin, liittyy kybersotaan mutkikkaita strategisia ja käsitteellisiä kysymyksiä.

Kybersodan yhteydessä pyöritellään usein myös suunnatonta määrää futuristista jargonia ja hypeä, joka hankaloittaa osaltaan metsän näkemistä puilta. Kyberhyökkäykset täytyy kuitenkin ymmärtää niin kuin muutkin sodankäynnin keinot – osana strategiaa. Tämä tarkoittaa sitä, että kyberhyökkäykset eivät ole strategia itsessään siinä missä ilma-iskut tai sotilasvakoilukaan. Valtiot, kuten Suomi, Kiina, Yhdysvallat tai Israel, käyttävät niitä edistääkseen intressejään. Nämä intressit voivat puolestaan olla mitä tahansa ydintutkimuksen heikentämisestä yrityssalaisuuksien varastamiseen. Kyberhyökkäykset voivat siis olla osa sotaa tai sodankäyntiä tukevia toimia, mutta on vaikea nähdä niitä sotana itsessään. Toki kyberhyökkäyksistä voi koitua taloudellisia tai aineellisia vahinkoja, mutta kuten Thomas Rid kirjoituksessaan toteaa, eivät niiden tiedetä aiheuttaneen ihmisvahinkoja. Kyber”sota” onkin kenties helpompaa ymmärtää sabotaasina, vakoiluna tai jopa talouspakotteiden kaltaisena “taloudellisena sodankäyntinä”.

Voi toki kysyä, että mitä eroa on esimerkiksi sähkölaitoksen tai sairaalan pommittamisella ja niiden tuhoamisella kyberhyökkäyksen keinoin – varsinkin jos niiden toimimattomuus johtaa ihmisuhreihin. Kybersota kuuluukin laillisesti ja käsitteellisesti harmaalle alueelle, eikä vähiten siksi että se kattaa toimia kautta linjan. Toistaiseksi kyberhyökkäyksiä ei ole ymmärretty kansainvälin lain puitteissa alueellisen koskemattomuuden rikkomiseksi – niin kuin se YK:n peruskirjan ensimmäisen luvun toisen artiklan neljännessä kohdassa on määritelty – mutta liikehdintää siihen suuntaan on ollut esimerkiksi Yhdysvaltojen toimesta. Maaliskuisessa kyberturvallisuustilaisuudessa eräs itävaltalainen juristi kertoikin The Ulkopolitistille, että kyberhyökkäysten tulkitseminen kansainvälisen lain puitteissa on varsin ongelmallista koska kansainväliset sopimukset on tehty paljon ennen kuin kyberuhat olivat edes mahdollisia. Hänen mukaansa varsinkin voimankäyttöä säätelevä lainsäädäntö muuttuu erittäin hitaasti ja soveltuu usein kehnosti kyberuhkien tulkitsemiseksi. Aiheesta käydäänkin kansainvälisten oikeusoppineiden parissa kiivasta debattia.

Kenties kansainvälistä lakiakin mielenkiintoisempaa on kybersodan eettinen ulottuvuus ja sen merkitys sodan tulevaisuudelle – varsinkin laajentuvan turvallisuuskäsityksen kontekstissa. Perinteisesti on pidetty tärkeänä siviilien koskemattomuutta, joka saattaa kuitenkin olla vaikeaa, kun hyökätään siviili-infrastruktuuria kohtaan kyberkeinoin. Vaikka YLEn uutisten maalailemat kauhukuvat yhteiskunnan lamaannuksesta ja viiden minuutin sota ovatkin liioittelua, ei ole mahdotonta, että kybersodankäynnin keinoja käyttäen aiheutettaisi merkittäviä henkilövahinkoja. Tämä on eriskummallinen ajatus jos otetaan huomioon, ettei kyberhyökkäyksissä ole kyse väkivallasta – jota pidetään usein yhtenä sodan keskeisistä piirteistä. Kybersodankäynnin keinot ovatkin varsin kinkkinen väline moraalisesta näkökulmasta: toisaalta niillä on mahdollista pyrkiä poliittisten tavoitteiden saavuttamiseen – kuren Iranin ydinohjelman sabotoimiseen – käyttämättä tappavaa voimaa, mutta toisaalta niille voi olla huomattavia vaikutuksia ihmisten turvallisuudelle.

Niin kuin kyberguru Bruce Schneier sanoi Forbesin haastattelussa: “When countries attack each other in cyberspace, we’re all in the blast radius.” Kybersota saattaa olla liioittelua käsitteenä – kyberhyökkäykset ovat vain sodankäynnin keino, eivät sen luonnetta määrittelevä seikka – mutta se voi olla yhtä lailla varsin haitallista sivullisille. Varsinkin, jos ne johtavat vahingossa perinteiseen voimankäyttöön ja sotaan valtioiden välillä. Onkin syytä toivoa, että valtiot saisivat aikaiseksi edes jokseenkin toimivat pelisäännöt kyberuhkien hallitsemiseksi. Jos esimeriksi Yhdysvallat ja Kiina ajautuisivat vasten tahtoaan sotaan kyberhyökkäyksien vuoksi, voisivat seuraukset olla katastrofaaliset.