(Huomioithan, että tämä artikkeli on 12 vuotta vanha. Artikkelissa esitellyt asiat, tilanteet ja analyysit eivät välttämättä päde enää nykypäivään.)

Kybersota – hypeä vai totta?

taivaanrannanmaihari | 21.06.2012

The New York Times väitti hiljattain, että Yhdysvaltain Presidentti Barack Obama on jatkanut koko virkakautensa ajan salaista kybersotaa Irania ja sen ydinohjelmaa vastaan. Operaatio Olympic Games aloitettiin NYT:n artikkelin mukaan Presidentti Bushin aikana, ja ensimmäisiä viitteitä tästä saatiin jo kaksi vuotta sitten kesällä Stuxnet-viruksen paljastumisen myötä. Viime kuussa paljastui myös Stuxnet-virusta paljon tuhoisampi Flame-vakoiluohjelma, jonka avulla on vuodesta 2010 lähtien urkittu yli tuhatta tietokonetta Lähi-idässä sekä varsinkin Iranin ydinohjelman kannalta tärkeitä tietoja. Sekä Israel että Yhdysvallat ovat olleet vaitonaisia osuudestaan haittaohjelmien luonnissa, mutta myös simerkiksi Washington Post kovasti väittää molempien maiden olleen aivanroolissa näiden kyberhyökkäyksien osalta. Kun ottaa huomioon sekä näiden hyökkäysten valmistelun miljoonaluokan hinnan, haastavuuden sekä kyseisten maiden kansalliset intressit, ei liene epäselvää mistä hyökkäykset ovat peräisin.

Myös Suomessa on nostettu viime aikoina kyberturvallisuus vahvasti esille. The Ulkopolitist vierali maaliskuussa pääministeri Jyrki Kataisen tiedotustilaisuudessa, jossa pääministeri sekä ministerit Wallin ja Kiuru kertoivat median edustajille yhteiskunnan turvallisuusstrategiasta CDX-kyberturvallisuusharjoituksen yhteydessä. Harjoitusta Suomen päässä luotsaava tekniikan tohtori, Catharina Candolin (joka myös bloggaa aiheesta) kertoi, että Suomeen kohdistuu huomattava määrä kyberhyökkäysyrityksiä. Paikalla olleet virkamiehet painottivat tosin, että Suomi on Israelin, Saksan ja Yhdysvaltojen kanssa kyberturvallisuuden kärkimaita (joka ilmeni myös taannoin julkaistusta ranking-listasta). Eräs virkamies kertoi lisäksi, että Suomi tekee puolustyhteistyötä kyseisten maiden asevoimien kanssa kyberturvallisuuden saralla.

Viime vuoden puolella puitiin puolestaan Kiinan kyberhyökkäyssarjaa Yhdysvaltoja, länsimaisia yrityksiä sekä Kiinan naapurimaita kohtaan – mistä kirjoitinkin silloin. Nyt tapetilla ovat Yhdysvaltain ja Israelin hyökkäykset Irania vastaan. Vaikuttaakin vahvasti siltä, että kyberhyökkäykset ovat tämän päivän todellisuutta enemmän kuin futuristista utopiaa (dystopiaa?), mutta mitä tämä tarkoittaa sodankäynnin tulevaisuuden ja kansallisen turvallisuuden kannalta? Onko edes sopivaa puhua kybersodasta näiden toimien yhteydessä? Aina kun puhutaan sodan uusista kasvoista, tulee lukijan olla varuillaan – kybersodasta on puhuttu jo vuosikymmeniä, kuten esimerkiksi RMA-futuristien, John Arquillan ja David Ronfeldtin raportissa vuodelta 1993. Kuten tulevaisuuden sodankäynnin toiseen pilariin, lennokkeihin, liittyy kybersotaan mutkikkaita strategisia ja käsitteellisiä kysymyksiä.

Kybersodan yhteydessä pyöritellään usein myös suunnatonta määrää futuristista jargonia ja hypeä, joka hankaloittaa osaltaan metsän näkemistä puilta. Kyberhyökkäykset täytyy kuitenkin ymmärtää niin kuin muutkin sodankäynnin keinot – osana strategiaa. Tämä tarkoittaa sitä, että kyberhyökkäykset eivät ole strategia itsessään siinä missä ilma-iskut tai sotilasvakoilukaan. Valtiot, kuten Suomi, Kiina, Yhdysvallat tai Israel, käyttävät niitä edistääkseen intressejään. Nämä intressit voivat puolestaan olla mitä tahansa ydintutkimuksen heikentämisestä yrityssalaisuuksien varastamiseen. Kyberhyökkäykset voivat siis olla osa sotaa tai sodankäyntiä tukevia toimia, mutta on vaikea nähdä niitä sotana itsessään. Toki kyberhyökkäyksistä voi koitua taloudellisia tai aineellisia vahinkoja, mutta kuten Thomas Rid kirjoituksessaan toteaa, eivät niiden tiedetä aiheuttaneen ihmisvahinkoja. Kyber”sota” onkin kenties helpompaa ymmärtää sabotaasina, vakoiluna tai jopa talouspakotteiden kaltaisena “taloudellisena sodankäyntinä”.

Voi toki kysyä, että mitä eroa on esimerkiksi sähkölaitoksen tai sairaalan pommittamisella ja niiden tuhoamisella kyberhyökkäyksen keinoin – varsinkin jos niiden toimimattomuus johtaa ihmisuhreihin. Kybersota kuuluukin laillisesti ja käsitteellisesti harmaalle alueelle, eikä vähiten siksi että se kattaa toimia kautta linjan. Toistaiseksi kyberhyökkäyksiä ei ole ymmärretty kansainvälin lain puitteissa alueellisen koskemattomuuden rikkomiseksi – niin kuin se YK:n peruskirjan ensimmäisen luvun toisen artiklan neljännessä kohdassa on määritelty – mutta liikehdintää siihen suuntaan on ollut esimerkiksi Yhdysvaltojen toimesta. Maaliskuisessa kyberturvallisuustilaisuudessa eräs itävaltalainen juristi kertoikin The Ulkopolitistille, että kyberhyökkäysten tulkitseminen kansainvälisen lain puitteissa on varsin ongelmallista koska kansainväliset sopimukset on tehty paljon ennen kuin kyberuhat olivat edes mahdollisia. Hänen mukaansa varsinkin voimankäyttöä säätelevä lainsäädäntö muuttuu erittäin hitaasti ja soveltuu usein kehnosti kyberuhkien tulkitsemiseksi. Aiheesta käydäänkin kansainvälisten oikeusoppineiden parissa kiivasta debattia.

Kenties kansainvälistä lakiakin mielenkiintoisempaa on kybersodan eettinen ulottuvuus ja sen merkitys sodan tulevaisuudelle – varsinkin laajentuvan turvallisuuskäsityksen kontekstissa. Perinteisesti on pidetty tärkeänä siviilien koskemattomuutta, joka saattaa kuitenkin olla vaikeaa, kun hyökätään siviili-infrastruktuuria kohtaan kyberkeinoin. Vaikka YLEn uutisten maalailemat kauhukuvat yhteiskunnan lamaannuksesta ja viiden minuutin sota ovatkin liioittelua, ei ole mahdotonta, että kybersodankäynnin keinoja käyttäen aiheutettaisi merkittäviä henkilövahinkoja. Tämä on eriskummallinen ajatus jos otetaan huomioon, ettei kyberhyökkäyksissä ole kyse väkivallasta – jota pidetään usein yhtenä sodan keskeisistä piirteistä. Kybersodankäynnin keinot ovatkin varsin kinkkinen väline moraalisesta näkökulmasta: toisaalta niillä on mahdollista pyrkiä poliittisten tavoitteiden saavuttamiseen – kuren Iranin ydinohjelman sabotoimiseen – käyttämättä tappavaa voimaa, mutta toisaalta niille voi olla huomattavia vaikutuksia ihmisten turvallisuudelle.

Niin kuin kyberguru Bruce Schneier sanoi Forbesin haastattelussa: “When countries attack each other in cyberspace, we’re all in the blast radius.” Kybersota saattaa olla liioittelua käsitteenä – kyberhyökkäykset ovat vain sodankäynnin keino, eivät sen luonnetta määrittelevä seikka – mutta se voi olla yhtä lailla varsin haitallista sivullisille. Varsinkin, jos ne johtavat vahingossa perinteiseen voimankäyttöön ja sotaan valtioiden välillä. Onkin syytä toivoa, että valtiot saisivat aikaiseksi edes jokseenkin toimivat pelisäännöt kyberuhkien hallitsemiseksi. Jos esimeriksi Yhdysvallat ja Kiina ajautuisivat vasten tahtoaan sotaan kyberhyökkäyksien vuoksi, voisivat seuraukset olla katastrofaaliset.

 


Kommentit

Kybersodankäynti on informaatiosodankäynnin väline, jatkumo. Se saavutetaanko sillä suoraan fyysiseen maailmaan kohdistuvia vaikutuksia on tavoitteen asetantaan liittyvä tekijä. Toisessa päässä voi olla tavoitteena vaikuttaa ns. "hearts and minds" ja toisessa päässä lamauttaa vastapuolen logistinen ketju tahi sähköntuotanto. Tämä lisää k.o teeman käyttökelpoisuutta niin terrorismin kuin politiikankin työvälineenä. Ei pidä ajatella, että kybersodankäynti olisi millään tavalla samankaltaista kuin tykistökeskitys (vaikka tuossa jokin aika sitten em. kuviolla maalailtikiin). Kaikki em toimintaan liittyvät tekemiset vaativat erittäin huolellisen valmistelutyön, laajamittaisen ymmärryksen vastapuolen resursseista ja tietoa kohdeympäristöstä. Hyvin TARKKAA tietoa. Sodankäynnin tulevaisuutta on vaikea arvioida, mutta uskon, että Brucen kommentoima "We are all in blast radius" - osuu varmasti osittain oikeaan. Kun halutaan vaikuttaa yhteiskunnan toimintoihin ja infrastruktuuriin, koskevat niiden tapahtumat ennenkaikkea siiviiliväestöön vaikka välillisesti kyse olisikin offensiivista esim. logistiikan ketjua vastaan. Toinen selkeästi esille tuleva kohta on ns. harmaan ajan leveyden määrittäminen. Jos puhutaan varsinaisista sotatoimista, kybertoimintojen näkymättömyys saattaa aiheuttaa monimutkaisen "aikapommin", johon ei suoranaista aloittamisen kynnystä kuulu ennenkuin tavoitteen mukainen tilanne saavutetaan. Hankalaksi tuon sodankäynnin ymmärtämisen tekee vastapuolen tunnistaminen. Ennen puhuimme ns. "proxy"-sodista, joita valtiot kävivät eri toimijoiden puskuroimina. Nyt puhumme teemasta "attribution". Terrorismia harjoittava taho kykenee maskaamaan itsensä valtiolliseksi toimijaksi ja vice-versa, rahakasan päällä istuva kriminaaliorganisaatio on yhtä vahva toimija kuin valtiollinen uhka. APT. Mitä tuo sitten on kansalaisen kannalta? Ei välttämättä sen kummempaa kuin nytkään. Kotitietokoneita, mobiililaitteita ym. käytetään hyväksi hyökkäyksiä valmistellessa, jatkossa siihen samaan pakettiin liitetään kodin muut laitteet ja sähkön hallittavuus. Tieto on valtaa ja kansalaiset toimivat loistavana tiedon melukartiona verkottuneessa yhteiskunnassa. Huolestuttavaksi tuon tietenkin tekee tietointensiivisten alojen henkilöresurssien käytön osana em. peliä. Vastaus otsikon kysymykseen: Tietoverkoissa on eri asteista sodankäyntiä käyty eri tasoilla, eri verkoissa ja eri toimijoiden välillä jo vuosia, vasta kineettisen maailman ilmaantuminen tekemisiin (ICS, SCADA, Tuxnet et al) on tuonut tuon teeman esille taktiikoiden, tekniikoiden ja toimintamallien näkökulmasta. Lisäksi media on löytänyt siihen viimein yhteyden tavallisen kaduntallaajan sekä tietokoneohjatun sähköverkon välillä. Perinteisesti sodankäynti on vaatinut "julistusta" tai selkeää tietoa siitä. En usko, että tuo on jatkossa ihan noin symmetristä enää. Terrorismia harrastavat kokevat tuon olevan sodankäyntiä ja toinen osapuoli kokee kyseessä olevan kansallisen turvallisuuden kehoittäminen ("war on terrorism"). Tämän vuoksi tuon määritelmän "kybersodankäynti" epäselvyys tulee varmasti jatkossakin olemaan esillä.


Lisättävää?

Ylläpito tarkistaa kommentit ennen julkaisua. Sähköpostiosoitettasi ei julkaista.