Suomen uskottava kyberpuolustus vaatii kykyä vastaiskuihin
Tapio Pellinen | 25.09.2019
Kaunokirjallisissa kyberpunk-dystopioissa puolustusohjelma pystyy käräyttämään tietojärjestelmään tunkeutuvan hakkerin hermoston karrelle ja tajunnan koomaan verkon kautta, mutta nykymaailmassa suorat seuraukset kyberhyökkäyksen tekijälle ovat harvassa. Vaikka suuri osa Suomen kyberturvallisuudesta on puolustuspeliä, hyökkääjää voidaan myös rangaista. Se ei kuitenkaan onnistu Suomelta yksin. Ilman kansainvälistä yhteistyötä Suomen kyberpelote jää rammaksi ankaksi.
Viime toukokuussa Israelin armeija kertoi pysäyttäneensä Hamas-järjestön käynnistämän kyberhyökkäyksen ja tehneensä ilmaiskun Gazassa sijaitsevaan rakennukseen, josta kyberhyökkäys tehtiin. Kyseessä on tiettävästi ensimmäinen kerta, kun kyberhyökkäykseen vastataan näin kouriintuntuvalla tavalla.
Suomi tuskin päätyy tilanteeseen, jossa kyberhyökkääjän ampuminen ohjuksella olisi realistinen mahdollisuus. Miten siis Suomi pystyy tekemään itsestään mahdollisimman epähoukuttelevan maalin kyberoperaatioilla vaikuttamiseen pyrkiville ilkimyksille? Vastaus on saada hyökkääjä uskomaan, että hyökkääminen ei maksa siihen vaadittavaa vaivaa. Digitaalisessa ympäristössä niin pelotteiden kuin puolustautumisen toimintalogiikka kuitenkin poikkeaa merkittävästi fyysisestä maailmasta.
Kybertaistelukenttä on siitä erikoislaatuinen, että se antaa hyvin erilaisia etuja hyökkääjälle ja puolustajalle. Hyökkääjän henkilöllisyyden selvittäminen on yleensä hidasta ja vaikeaa, hyökkäyksiä voi käynnistää mistä ja milloin vain, eikä suoria vastaiskuja tarvitse juuri pelätä. Herkkiä kohteita hyökkäyksille on digiaikana löydettävissä liki rajattomasti.
Hyökkäyksiä on myös vaikea todentaa, ja ne voivat jatkua pitkäänkin kulissien takana antamatta itsestään huolestuttavia merkkejä. Jos yksi hyökkäystapa on tukittu, voimakkaasti verkottuneessa ja keskinäisriippuvaisessa yhteiskunnassamme voi aina yrittää toista. Hyökkääjän mahdollisuuksia rajoittavat lähinnä käytössä olevat aika ja raha, tekninen kyky ja halu toimia.
Puolustajalla taas on aivan oma kätensä valttikortteja: toisin kuin fyysisen maailman sotakentillä, puolustajalla on liki rajattomat mahdollisuudet muuttaa digitaalisen taistelukentän muotoa ohjelmistojen, laitteistojen ja erilaisten pääsyoikeuksien kautta. Hyökkääjä joutuu toimimaan varta vasten vaikeakulkuiseksi järjestetyssä ympäristössä, jonka piirteisiin hänellä on rajattu näkyvyys ja jota hänen on vaikea kontrolloida.
Vaikea maali tekee hyökkäyksestä kalliin
Tästä omien digijärjestelmien hallinnasta kumpuaa Suomenkin kyberpelotekyvyn kivijalka eli estävä pelote, deterrence by denial. Kun riittävän monessa organisaatiossa havaitut haavoittuvuudet päivitetään nopeasti, henkilöstön tietoturvaosaaminen pidetään hyvällä tasolla ja tietoturvakäytännöt mietitään huolella, hyökkääjälle jää vähemmän otollisia kohteita ja hyökkäystapoja valittavaksi. Hyvin puolustettuun kyberlinnakkeeseen hyökkääminen on vaikeaa ja kallista. Jo omien vahvuuksien mainostamisella saavutetaan strategista hyötyä, kun mahdolliset hyökkääjät joutuvat ottamaan ne huomioon laskelmissaan. Jos Suomi tunnetaan tietoturvastaan huolta pitävänä maana, jonka tietojärjestelmiin on vaikea pääsy, nostaa se vihamielisten tahojen kynnystä ryhtyä hyökkäykseen kyberkeinoja käyttäen.
Hyvin puolustettuun kyberlinnakkeeseen hyökkääminen on vaikeaa ja kallista.
Klikkaa twiitataksesi.
Kestävän pelotteen luominen ja ylläpito edellyttää yhteiskunnan kokonaistietoturvallisuuden parantamista kaikilla tasoilla. Tässä yksilöiden toimien ja taitojen merkitys korostuu: organisaatioiden on suhteellisen helppo tehdä erilaisia tietoturvalinjauksia, mutta on selvästi vaikeampaa saada organisaatioiden henkilöstö myös toimimaan niiden mukaan. Keskinäisriippuvaisessa tietoyhteiskunnassa inhimillinen huolimattomuus voi avata hyökkääjälle useita ovia. Näiden aukkojen tukkiminen on kuitenkin hidas ja monimutkainen prosessi, jolle ei loppua näy, koska sekä puolustus- että hyökkäystekniikoita kehitetään koko ajan. Samalla tarvitaan kokonaisturvallisuuden parantamista kaikilla elämänalueilla, jotta kyberoperaatioiden haittavaikutukset voitaisiin pitää mahdollisimman vähäisinä – eli kyse on vielä suuremmasta urakasta, jossa myös kaikkien kansalaisten turvallisuustaitoja tulisi kehittää.
Näillä toimilla voidaan kuitenkin vain pienentää todennäköisyyttä siihen, että hyökkäykseen ryhdytään tai että sellaisessa onnistutaan. Hyökkäyksellä saatavia hyötyjä sen sijaan on vaikea minimoida. Esimerkiksi tietovarkauksia torjuttaessa hyötyjen minimoiminen edellyttäisi arkaluontoisen informaation purkamista ja jakamista useisiin eri suojakupliin, jotta yksi tietomurto saisi haltuunsa vain pienen palan kaikista tiedoista. Tällainen taas tekisi järjestelmän normaalitoiminnasta selvästi hitaampaa ja kitkaisempaa.
Seurausten pelko on pelotteen alku
Vaikka estävä pelote suojakeinoineen on kyberpuolustuksen kovaa ydintä, sitä voidaan vahvistaa rakentamalla sen rinnalle seurausten pelkoon perustuvia pelotteita, deterrence by punishment. Esimerkiksi Britanniassa kyberturvallisuusstrategiaan kuuluu oman hyökkäyksellisen kyberkyvyn käyttö tarpeen mukaan: vakavaan kyberhyökkäykseen vastataan samoin kuin aseelliseen hyökkäykseen.
Kyberoperaatioissa silmä silmästä -pelotteiden toteuttamista vaikeuttavat useat asiat. Hyökkääjä pitää ensin tunnistaa riittävällä varmuudella, mutta se on hidasta, ja kuukausien tai vuosien päästä tapahtuvalla vastaiskulla ei ole välittömän vastauksen veroista pelotevaikutusta. Olennainen kysymys on vastatoimien mitoittaminen suhteessa hyökkäykseen, sillä usein on vaikea arvioida, millainen vastahyökkäys olisi sekä oikeudenmukainen, kohtuullinen että riittävä.
Vastahyökkäyksen toteuttamiseen tarvitaan lisäksi etukäteistietoa siitä, mikä voisi olla sopiva ja haavoittuvainen maali – jota vastaan vieläpä löytyy sopiva kyberasejärjestelmä. Kyberkyvykkyyksien tehokkuus kuitenkin kuluu käytössä, sillä hyökkäyksen jälkeen puolustaja pyrkii parhaansa mukaan tukkimaan hyökkääjän käyttämät haavoittuvuudet. Uusia haavoittuvuuksia ja niitä hyväksikäyttäviä kyberaseita pitäisi siis kehittää jatkuvasti.
Jos taas vastausvaihtoehtoja haetaan kyberulottuvuuden ulkopuolelta, kuten Israel teki ilmaiskunsa kanssa, vastaan tulevat samat kysymykset hyökkääjän tunnistamisesta, ajallisesta yhteydestä ja vastaiskun kohtuullisuudesta.
Yksin ei kannata yrittää
Estävä pelote ja seurauksiin perustuva pelote ovat luonnoltaan sellaisia, että niitä tavoitellessaan Suomen kaltainen pieni maa hyötyy suunnattomasti kansainvälisestä yhteistyöstä. Esimerkiksi hyökkääjän tunnistaminen helpottuu, jos hyökkäyksen piirteitä voi verrata suureen määrään liittolaisten tunnistamia aiempia hyökkäyksiä. Perinteisestä tiedusteluyhteistyöstä on paljon apua kun selvitetään, kuka henkilö minkäkin tietokoneen takana on istunut ja keneltä hän on saanut käskynsä. Pääsy omia tietovarastoja suurempaan määrään tunnettuja haavoittuvuuksia ja mahdollisia kohteita antaa lisää mahdollisuuksia vastaiskulle. Kansainvälinen yhteistyö on myös olennaisessa roolissa, kun tietoturva-aukkoja yritetään tunnistaa ja tukkia, tai kun kyberrikollisuutta tutkitaan ja suitsitaan.
Kansainvälinen yhteistyö avaa myös uudenlaisia reagoinnin mahdollisuuksia, joita Suomi ei yksinään pystyisi toteuttamaan. Toukokuussa Euroopan neuvosto päätti viitekehyksestä, jonka nojalla se pystyy vastaamaan ”merkittävästi vaikuttaviin” kyberhyökkäyksiin määräämällä erilaisia pakotteita, kuten matkustuskieltoja ja varojen jäädyttämisiä. Pakotteita voidaan määrätä henkilöille tai toimijoille, jotka toteuttavat kyberhyökkäyksiä, antavat rahallista, teknistä tai materiaalista tukea niiden tekemiseen tai ovat muuten tekemisissä niiden kanssa.
EU:n yhtenäinen rintama on Suomen tietoturvallisuuden ja kyberpelotepolitiikan kannalta keskeinen.
Klikkaa twiitataksesi.
Pakotteiden lisäksi erilaiset kansainvälisen diplomatian piiriin kuuluvat keinot, kuten toimijoiden sulkeminen pois erilaisista järjestöistä ja neuvottelupöydistä, ovat selvästi tehokkaampia, kun niiden takana on yhden maan sijaan kaikkien EU:n jäsenmaiden tuki. EU:n yhtenäinen rintama on Suomen tietoturvallisuuden ja kyberpelotepolitiikan kannalta keskeinen.
Kuka päättää mistäkin?
Vaikka Suomen onkin arvioitu olevan kyberturvallisuuden hallinnassa maailman kärkikymmenikössä ja yhteistyössä on voimaa, erilaisista raporteista ja harjoituksista välittyy yksi selvä ongelma: strategisen johtamisen heikkoudet kyberhyökkäysten aikana. Suomen edellisessä kyberturvallisuusstrategiassa vuodelta 2013 linjattiin, että kyberturvallisuuden ylimmässä johdossa on valtioneuvosto, eli käytännössä kukin ministeriö hoitaa oman hallinnonalansa tontin. Ministeriöt ja eri organisaatiot ovat monista asioista tiiviisti yhteyksissä ja Suomessa on pitkät perinteet viranomaisyhteistyöstä ja kriisijohtamisesta, mutta vakavimpien kybertilanteiden johtamiseen tarvittaisiin selvemmät sävelet. Tämä todettiin myös vuonna 2017 julkaistussa tutkimuksessa Suomen kyberturvan nykytilasta:
”Operatiivisesta toiminnasta häiriötilanteissa ei ole olemassa selkeää toimintamallia. Yhteiskunnassa ei ole päätetty, kenellä on päätäntävalta ja mandaatti kertoa, mihin resurssit häiriötilanteessa ensisijaisesti ohjataan tai mikä/kenen järjestelmät nostetaan ensiksi pystyyn. Kenelläkään ei siis ole mandaattia määritellä, mikä on kriittistä.”
Vaikka Suomi pystyy vastaamaan pieniin ja keskisuuriin kyberhyökkäyksiin, kansallisen johtamismallin puuttumisen takia vakavat ja useaan hallinnonalaan iskevät hyökkäykset aiheuttavat enemmän ongelmia.
Selkeän toimintamallin puute tekee Suomesta houkuttelevamman maalin. Hyökkääjän odotukset iskun vaikuttavuudesta kasvavat, jos voidaan olettaa Suomen vastaavan hitaasti laajoihin kyberhyökkäyksiin. Reagointi iskuun viivästyy väistämättä, mikäli isoille päätöksille joudutaan etsimään tekijää, eivätkä valtasuhteet ole selviä.
Johtamiseen liittyviin ongelmiin on jo reagoitu Suomen tulevassa kyberturvallisuusstrategiassa.
Klikkaa twiitataksesi.
Johtamiseen liittyviin ongelmiin on jo reagoitu Suomen tulevassa kyberturvallisuusstrategiassa, jossa määritellään ”uusi johtamisen koordinaatiomalli”. Uusi strategia on käytännössä valmis, mutta ennen julkaisua nykyisen hallituksen pitää vielä hyväksyä se valtioneuvoston yleisistunnossa. Syksyn aikana siis selviää, millaisilla eväillä Suomi tavoittelee tietojärjestelmiensä ja niihin nojaavan kriittisen infrastruktuurin turvallisuutta jatkossa. Vaikka suuret sanat strategiassa eivät itsessään johtamisongelmaa ratkaisekaan, ne ovat edellytys sille, että uutta johtamistapaa päästään harjoittelemaan käytännössä.
—
Taustatietoja artikkeliin antoi tutkija Mirva Salminen Lapin yliopistosta.
Lisättävää?
Ylläpito tarkistaa kommentit ennen julkaisua. Sähköpostiosoitettasi ei julkaista.