Kyberturvallisuutta kansalaisen näkökulmasta

Minulta kysytään usein, pitääkö yksittäisen kansalaisen ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin Hollywoodin elokuvissa.

Pyrin tässä blogipostauksessa nostamaan esille juuri tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan tietotekniikkaa.

Minkä takia pitää ymmärtää kyberturvallisuuden perusasiat?

Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä yksityishenkilönä että työntekijän/antajan ominaisuudessa.

Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen kohdistuvat uhkat.

Taloudellisen uhkan muodostavat verkkorikolliset, jotka pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.

Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja, luottokorttinumeroita, jne.

Työntekijänä henkilöön voi kohdistua tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation toimintaan myöhemmin.

Mitä pitää ymmärtää?

Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411 miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden ennen kuin kukaan ehtii sanoa ”kyber”.

Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä maalaisjärkeä pärjää pitkään!

Miten varaudun?

Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:

1. Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
2. Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
3. Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
4. Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
5. Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
• En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!

Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai tietoliikenneverkko olisi nurin. Mitä sitten?

Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.

Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että viranomaisten ja uutislähteiden www-sivuihin on yritetty  murtautua ja yritetty muuttaa tietoja; ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.

Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä. 

Miten parantaa yleistä kyberturvallisuustietoisuutta?

Miten saisimme kyberturvallisuusymmärryksen paremmalle tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?

Itse henkilökohtaisesti toivon sitä, että jokainen kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta, kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön vähättelyynkään.

Toivon aiheesta vilkasta keskustelua!!

Viiden minuutin sota?

YLEn verkkosivuilla maalaillaan Suomen pahinta uhkakuvaa: "viiden minuutin sota".

Artikkeli on kieltämättä herättänyt keskustelua viikonlopun aikana. Mutta onko skenaario faktaa vai fiktiota?

Artikkelissa mainittujen hyökkäysten suorittaminen onnistuneesti on teknisesti mahdollista. Se kuitenkin edellyttäisi, että kohdejärjestelmiin on suunnattu ympäristötiedustelua teknisten haavoittuvuuksien löytämiseksi, että edellä mainitut tiedusteluoperaatiot ovat jääneet havaitsematta, että hyökkäykset suunnitellaan ja ajoitetaan huoleellisesti ja että niitä johdetaan ja koordinoidaan. Hyökkäysten suunnittelu saattaa edellyttää myös ihmisiin kohdistuvia toimenpiteitä, kuten tietojen kalastelua, kiristystä, huijaamista (esim. saamalla viemään saastunutta muistitikkua kohdejärjestelmään) tai palkkaamista myyräksi. Mikäli jollain taholla on riittävän vahva motivaatio, esimerkiksi poliittinen tai ideologinen, ja riittävät resurssit tämän tekemiseen, niin hyökkäysoperaation onnistuminen on mahdollista: ei välttämättä helppoa, mutta ei mahdotonta. Tässä skenaariossa on oletettavaa, että tekijänä olisi joko valtio tai ideologinen ryhmä, eikä perinteistä verkkorikollisorganisaatiota, koska rikollisorganisaation tavoitteena on usein raha. Verkkorikolliset tarvitsevat toiminnalleen toimivat tietoliikenneyhteydet siinä missä muukin yhteiskunta.

Se faktasta. Fiktiota on taas se, että maa lamaantuisi viidessä minuutissa. Tietojärjestelmien ja –verkkojen lamaantuminen ei ole sama kuin yhteiskunnan lamaantuminen. Yhteiskunnan lamaantuminen kestää pidempään ja edellyttäisi myös, että viranomaisella ja yksityisellä sektorilla ei ole riittävää kykyä hyökkäyksistä toipumiseen ja sitä mukaa palveluiden palauttamiseen yhteiskunnan käyttöön. Kriisinvalmiutta harjoitellaan yhteistoiminnassa julkisen ja yksityisen sektorin kanssa esimerkiksi TIETO-harjoituksissa, mikä osaltaan varmistaa sen, että toipumissuunnitelmat ja niiden harjoittelu eivät pitäisi jäädä pelkästään kauniiksi ajatuksiksi.

YLE:n artikkeli esittää viisi askelta laajamittaisessa hyökkäysoperaatiossa:

1. Maksuliikenteen häirintä
2. Tieliikenteen häirintä
3. Elintarviketoimitusten logistikkajärjestelyiden häirintä
4. Tietoliikenneverkkojen häirintä
5. Sähköverkkojen häirintä

Maksuliikenteen häirintä aiheuttaisi Suomelle taloudellisia tappioita myös lyhyessä aikavälissä. Tämä olisi ongelma erityisesti elinkeinoelämälle. Yksittäisten ihmisten kannalta tilanne olisi toinen; elämä ei muutamassa minuutissa vielä kaatuisi. Vaikka kortit eivät toimisi eikä rahaa saisi nostettua automaatista, ei tilanteeseen vähään aikaan reagoitaisi kovinkaan voimakkaasti. Ruokaa on vielä pakastimessa, rahaa lainattaisiin kavereilta tai kauppiaitten kanssa sovittaisiin ruokaostosten maksujärjestelyistä, kunhan tekniset viat saadaan korjattua. Viranomaiset ja vapaaehtoiset järjestöt järjestäisivät soppakeittiöitä ja vedenjakelua. Tilanne olisi hankala, mutta ei mahdoton. Vasta jos tilanne näyttäisi jatkuvan pidempään rupeaisi tilanne muuttumaan: kaupoista ja ravintoloista loppuisi ruoka, apujärjestelyt eivät sujuisi energiapuutteen takia, kansalaiset nousisivat kapinaan ja kaduilla olisi mellakoita. Tästä onkin nopea tie yhteiskunnan lamaantumiseen, mutta tähän vaaditaan pidempää aikajaksoa, kuin se viisi minuuttia. Mikäli toipumissuunnittelu ja –harjoittelu on viranomaisten ja keskeisten elinkeinoelämän toimijoiden kanssa tehty asianmukaisesti, ei tällaiseen tilanteeseen välttämättä edes päädytä.

Tieliikenteen häirintä voisi olla kiusallista, mutta olisiko se vaivan arvoista saatujen hyötyjen osalta? Suomessa on niin vanha autokanta, että voidaan kyseenalaistaa, vaikuttaako kyberhyökkäykset kovinkaan moneen autoon lainkaan… Pääkaupunkiseudun ruuhkatkin ovat  mitättömiä verrattuna jo Keski-Eurooppaan. Ehkä sattuisi muutama keskisormen lihasten revähdys, mutta muilta osin yksityisautoilun kiusaaminen olisi toimenpiteenä kyseenalainen. On siis mahdollista, mutta miksi? Viidessä minuutissa kaaos ei kuitenkaan vaikuttaisi yhteiskunnan lamaantumiseen, vaan se tulkittaisiin perinteiseksi ärsyttäväksi liikenneruuhkaksi.  Tilanne saattaisi jatkua ärsyttävänä pitkäänkin, mutta julkisen liikenteen ja yksityisautoilun häirintä ei välttämättä riittäisi kansalaisten nujertamiseen.

Elintarviketoimitusten logistiikan häirintä olisi yhteiskunnan kannalta ikävä temppu. Sen vaikutukset eivät kuitenkaan lamaannuttaisi yhteiskuntaa viidessä minuutissa. Kaupoissa olisi vielä elintarvikkeita muutamiksi päiviksi, samoin ravintoloissa. Kieltämättä elintarvikkeet rupeaisivat pikkuhiljaa hiipumaan ja hinnat nousemaan kunnes ruoka yksinkertaisesti olisi loppu. Kaupungeissa seuraisi mellakoita ja rötöstelyä. Tähänkään ei päädytä, mikäli toipumissuunnitelmat on tehty ja harjoiteltu.

Tietoliikenneverkkojen häirintä taas olisi pahempi asia, koska se vaikuttaisi moneen muuhun toimintaan. Se vaikuttaisi valtion toimintaan, elinkeinoelämään ja yksittäisiin ihmisiin. Vaikutukset rupeaisi tuntumaan melko nopeasti. Yksittäiseen ihmiseen se ei vaikuttaisi vielä viidessä minuutissa: eihän suomalainen mökkikansa selviäisi hengissä edes kesäkauden, mikäli elämä olisi kiinni siitä, että kännykkä ja netti toimii jatkuvasti ja 24/7. Lähinnä huolet kohdistuisivat siihen, ettei lähimpiin saada yhteyttä eivätkä mahdolliset hätäpuhelut mene läpi. Toki esimerkiksi nettiriippuvaisilla voisi olla tukalat oltavat, kuten monella muullakin, mutta tuskin niin tukalat, että elämä loppuisi seinään. Valtionhallintoon ja elinkeinoelämään tilanne vaikuttaisi tuntuvammin; yhteydet ulkomaailmaan olisivat poikki ja taloudelliset menetykset lähtisivät nousuun. Silti, kansallinen tietoliikennekatkos ei viidessä minuutissa kaataisi koko yhteiskuntaa.

Sähköverkkojen häirintä olisi myös ikävä asia, kuten monet viime aikaisten myrksyjen uhrit voivat vahvistaa. Kriittisimmät toiminnot pyörisivät kuitenkin varavoimalla jonkin aikaa. Silti, pysyvä vaurio energiatuotantoon lienee kaikista pahin skenaario, koska pidemmän päälle; ilman sähköä ei ole tietoliikennettä, eikä tietojärjestelmiä, ja silloin tietoyhteiskunta lopulta kyykähtää. Mutta siihen menee enemmän, kuin viisi minuuttia.

No, kyykähtääkö Suomi?

Suomeen kohdistuva suunniteltu, resurssoitu ja johdettu hyökkäys voisi teknisestä näkökulmasta onnistua. Hyvin tehtynä, se voisi viidessä minuutissa kaataa useampaa yhteiskunnan toiminnallisuuden kannalta keskeistä järjestelmää. Tässä Suomi ei ole paremmassa tai huonommassa asemassa kuin yksikään muu tietoyhteiskunta. Jokaisella yhteiskunnalla (maatalous-, teollisuus- tai tietoyhteikunnalla) on omat vahvuutensa ja heikkoutensa. Tietoyhteiskunnalla on paljon vahvuuksia, mutta sen teknisen perustan haavoittuvuudet ovat kieltämättä sen heikkous.

Koko yhteiskunta tuskin kuitenkaan kaatuisi samaa vauhtia kuin tietoyhteiskuntaa ylläpitävät järjestelmät ja verkot. Viidessä minuutissa yhteiskunta ei vielä olisi herännyt siihen, mitä tapahtui. Muutamassa päivässä tilanne olisi todennäköisesti toinen, kun vaikutukset rupeavat tuntumaan.

Tässä viitekehyksessä on kuitenkin kaksi kriittistä komponenttia:

1. Mikä on valtionhallinnon ja yksityisen sektorin kyky selvittää ja toipua resurssoidusta ja kohdistuneesta hyökkäyksestä
2. Mikä on meidän jokaisen yksilön kriisinsietokyky; kuinka pitkään kestämme kylmää, pimeyttä, nälkää ja tilanteesta johtuvaa tietämättömyyttä menettämättä tilanteen hallintaa? 

Jos toipumissuunnitelmat on tehty ja harjoiteltu, voidaan tilanteesta toipua ennen kuin vaikutukset laajentuvat koko yhteiskuntaan. Jos kriisinsietokykymme on kansallisesti riittävän hyvä, tulemme pärjäämään. Mutta jos emme varaudu kyberuhkiin, on mahdollista, että yhteiskuntamme lamaantuu.

Sen takia Suomen kyberturvallisuusstrategiatyö on käynnistetty poikkihallinnollisella kokoonpanolla, yksityistä sektoria huomioiden. Työ on yhteiskunnan kannalta todella tärkeä. YLE:n toisessa artikkelissa käsitelläänkin tätä kyberturvallisuusstrategiaa; suosittelen lukemaan!

Suomen vahvuudet varautumisessa ovat meidän osaamisen taso ja verkostoituminen. Määrä ja massa eivät aina välttämättä lisää vahvuutta varautumiseen. Yhdessä tekemällä ja oppimalla voimme saavuttaa paljon kyberuhkien torjunnassa. Senkin takia toivon tästäkin postauksesta aktiivista keskustelua ja hyvien ideoiden heittelyä kehiin – miten voisimme yhdessä olla vahvempia sekä torjumaan että toipumaan?

Saako sanoa kyber?

Monesti, kun käyn esitelmöimässä kyberturvallisuudesta tai kyberpuolustuksesta, käy niin, että joku kuulija lähestyy minua esitelmän jälkeen seuraavalla palautteella: ”Ihan hyvä esitelmä, mutta onko pakko käyttää termiä kyber?” Viimeksi vastasin pilke silmäkulmassa, että ”haittaakse?”.

Pidin itsekin termiä kyber aikoinaan vähän hassuna. Nyt olen muuttanut mieleni. Nyt olen sitä mieltä, että kyber tulisi käsitteenä hyväksyä.

Ensinnäkin kukaan ei ole keksinyt mitään parempaa käsitettä. Kyberturvallisuus ei ole synonyymi tietoturvallisuudelle, verkkoturvallisuudelle, atk-turvallisuudelle, tai millekään muulle turvallisuustermille. Rajapintoja ja päällekkäisyyksiä on, mutta mikään vanha termi ei kata kyberturvallisuuden osa-aluetta. Käsitteistä jaksetaan kyllä keskustella loputtomasti, mutta parempaa käsitettä ei ole esitetty ja keskustelun ydin on loppujen lopuksi ollut se, että ”kunhan ei käytetä sanaa kyber”.

Puolustusvoimat käyttää tällä hetkellä virallisesti termiä ”tietoverkkopuolustus” omasta osa-alueestaan, vaikka termi kyberpuolustus olisi helppokäyttöisempi. Termi tietoverkkopuolustus on harhaanjohtava, koska se antaa ymmärtää, että toiminta rajoittuu vain tietoverkkoihin. Se, että jokin komponentti ei ole tietoverkossa kiinni ei kuitenkaan tee siitä kyberuhkalle ulottumattoman. Tottakai voidaan saivarrellen viitata verkkoteoriaan, jonka mukaan yksikin solmu muodostaa verkon (jonka koko on 1) tai jonka mukaan monta yksittäistä solmua muodostaa verkon, joka nyt vaan sattuu olemaan epäyhtenäinen. Tämä ei kuitenkaan avautuisi kovinkaan monelle.

Mistä termi tietoverkkopuolustus sitten tulee? Epäilen, että sille löytyy kaksi selitystä. Ensimmäinen on se, että kaikkea ilmiöön liittyvää kuvattiin ennen kattotermillä tietoverkkosodankäynti, joka on sittemmin terminä vanhentunut, koska puhdasta tietoverkkosodankäyntiä tuskin on olemassakaan. Toinen syy on se, että ennen kuin termi cyber vakiintui englanninkielessä käytettiin usein ”computer network” –alkuisia käsitteitä, esim. computer network attack, computer network exploit, computer network defence, computer network operations, jne. Kuten arvata saattaa, ovat nämäkin termit käytännössä vanhentuneet, mutta käännös ”tietoverkko” jäi elämään. No, ehkä kolmas selitys on se, että olen itse ollut vakiinnuttamassa termiä ”tietoverkkopuolustus” paremman termin puutteessa. Nyt rupean kuitenkin vahvasti kallistumaan kyberpuolustus käsitteen kannalle.

Pelkäämmekö sitten kyber-sanaa liikaa? Kieletkin kehittyvät ajan myötä kattamaan uusia ilmiöitä ja asioita. Jos ei suomenkielistä vastinetta löydy, onko se niin väärin suomentaa vieraskielistä termiä? Lisäksi kyber kuvastaa tietynlaista kokonaisuutta ja ilmiötä, mihin vanhat termit eivät kykene. Ja loppujen lopuksi; jopa kyber-termin vihaajat käyttävät termiä kyber, sitruunahapan virne naamalla, koska hekään eivät ole keksineet sille mitään parempaa vastinetta. Mutta toisaalta, osaako kukaan sanoa, miksi sana kyber on huono? Minä en osaa. Ja kun siihen tottuu, niin se ei ole enää edes kovinkaan hassu.

Siispä olen ruvennut kallistumaan vahvasti kyberkäsitteen kannalle. Puhun jatkossa kyberturvallisuudesta, kyberpuolustuksesta, kyberuhkista, kybersiitä ja kybertästä. Haittaakse?

Lammas susien vaatteissa

Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”.  Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!

Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)

Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.

Käsitteistä

Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.

Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.

Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on  operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.

Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan

Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.

Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.

Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.

Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?

Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!

Kyberpuolustus ja varusmieskoulutus?

Olen viimeisten vuosien aikana käynyt luennoimassa sekä siviiliyliopistoilla että Maanpuolustuskorkeakoulussa kyberturvallisuudesta ja erityisesti  sen sotilaallisesta ulottuvuudesta, kyberpuolustuksesta. Koska en halua olla pelkästään ”puhuva pöllö”, olen viime aikoina usein antanut opiskelijoille ryhmätehtäviä herättääkseni keskustelua ja saadakseni aikaan vuorovaikutusta yleisön kanssa. Yksi antamistani aiheista on ollut ”kyberpuolustus ja varusmieskoulutus”. Mitä pitäisi kouluttaa, miten pitäisi kouluttaa, ketä pitäisi kouluttaa? Aihe on herättänyt paljon mielenkiintoista keskustelua, joten päätin kirjoittaa siitä blogipostauksen keskustelun laajentamiseksi.

Ensimmäinen näkökulma, mikä on keskusteluissa noussut esille, on ollut koulutuksen laajuus. Tulisiko koulutusta antaa kaikille vai pienelle joukolle, vai sekä että? Laajalla koulutuksella olisi mahdollista antaa yleissivistävää opetusta kaikille lähinnä suojautumisen osalta. Tämä ei sinänsä kehittäisi puolustusvoimien kyberpuolustuskykyä, mutta se antaisi perusymmärryksen kyberuhkista ja yleisistä suojautumiskeinoista, mikä voisi palvella yhteiskunnan turvallisuutta laajemmin. Varusmieskoulutuksen saaneet kykenisivät paremmin suojaamaan kotikoneitaan sekä toimimaan netissä asioidessaan turvallisemmin, kun perusteet olisi hallinnassa. Osaaminen hyödyntäisi myös heidän tulevia työnantajiaan. Toisaalta voidaan ajatella, että nämä taidot ovat sellaisia perustaitoja, joita tulisi opettaa jo peruskoulussa ihan kaikille. Pienelle joukolle annetun erikoiskoulutuksen kautta taas olisi mahdollista kehittää puolustusvoimien toimintaa tukevaa osaamista, vähän samalla tavalla kuin ELSO-koulutuskin (ELSO = elektroninen sodankäynti). Tällaiseen erikoiskoulutukseen valikoituisi rajoitettu määrä varusmiehiä vuosittain. Vaihtoehtoisesti voisi ajatella, että yleissivistävää koulutusta annetaan jokaiselle joka tapauksessa, mutta pientä joukkoa koulutettaisiin syvällisemmin erikseen.

Erikoiskoulutuksen osalta olisi tärkeätä, että siihen hakeutuisi oikeat osaajat. Monet oppilaat ovat keskusteluissa tuoneet esille sen huolen, että osa potentiaalista menee jo kutsunnoissa hukkaan, koska esimerkiksi kunto tai terveydentila ei ehkä riitä varusmiespalveluksen suorittamiseen - tai voi olla muita syitä, minkä takia perinteinen varusmiespalvelus ei ole mahdollinen. Voisiko tälle olla vaihtoehtoja? Keskusteluissa on noussut esille ajatuksia siitä, että perinteiseen varusmiespalvelukseen kykenemättömille, joilla kuitenkin on kyberalan huippuosaamista, voisi tarjota tietynlaista vapautusta tai kevennystä perinteisistä velvoitteista. Näin he kuitenkin suorittaisivat varusmiespalveluksensa ja kykenisivät tarjoamaan oman osaamisensa maanpuolustukselle, mikä lienee win-win tilanne niin heidän kuin puolustusvoimienkin kannalta. Toinen mielenkiintoinen idea oli se, että nämä henkilöt suorittaisivat varusmiespalveluksensa siten, että heille maksettaisiin puolustusvoimien päivärahaa vuoden verran, jonka aikana heillä olisi velvollisuus suorittaa alan opintoja siviiliyliopistoissa tai ammattikorkeakouluilla. Tämän jälkeen heille määrättäisiin sodanajan sijoitus puolustusvoimissa.

Koulutuskeskustelussa nousee usein myös esille sitä, kenen pitäisi kouluttaa mitäkin ja milloin koulutus olisi hyvä käydä. Yksi mahdollisuus on se, että henkilöt ensin hankkivat siviilimaailman koulutusta, jonka jälkeen he suorittaisivat varusmiespalveluksensa erikoiskoulutuksena, vrt. lääkärit. Toinen hyvä näkemys oli se, että puolustusvoimat ja siviilikoulut tekisivät yhteistyötä siten, että osa koulutuksesta olisi puolustusvoimien tarjoamaa ja osa siviilikoulujen tarjoamaa. Näin voisi paremmin yhdistää puolustusvoimien strateegista, operatiivista ja taktista osaamista ja siviilikoulujen teknistä, lingvististä ja juriidista osaamista.

Yksi hyvin mielenkiintoinen näkemys nousi yhdellä oppitunnilla esille, nimittäin siviilipalvelusta tekevien henkilöiden osaamisen hyödyntäminen. Mikäli vakaumus estää kaikkea sotilaalliseen maanpuolustukseen liittyvää, voisiko alan osaamista kuitenkin käyttää yhteiskunnassa laajemmin, esimerkiksi osana kriittisen infrastruktuurin suojaamista kriisin tai sodan aikana? Tai jos vakaumus käsittää lähinnä ”aseista kieltäytymisen”, niin voisiko kyberpuolustus olla yksi mahdollisuus suorittaa varusmiespalvelusta rikkomatta tätä periaatetta?

Kyberpuolustus ja varusmiespalvelus herättää paljon keskustelua ja mahdollisuuksia on varmaan paljon. Toivoisin, että blogini lukijat ottaisivat aiheeseen kantaa, esittäisivät omia näkemyksiään ja ideoitaan, ja että aihe herättää tälläkin foorumilla vilkasta keskustelua. 

Kyber - uhka vai mahdollisuus?

Kenraali Ohra-Aho kirjoittaa omassa blogissaan kyberistä ja kehottaa meitä heti otsikossaan haistamaan kyberiä. Siihen ei voi sanoa muuta, kuin ”haista IT!!” ;-) 

Yhdyn Ohra-ahon näkemykseen siitä, että keskustelu on pääsääntöisesti ollut uhkalähtöistä. Ohra-aho kysyykin, miten voimme elää maailmassa, jossa tietoverkkorikolliset, haktivistit ja valtiolliset toimijat vakoilevat, kiristävät ja kalastelevat “kybervesissä”? Uhka on maailmanlaajuisesti tunnistettu, mutta entäpä sitten mahdollisuus? Millaisia mahdollisuuksia teknologiaosaaminen – erityisesti IT-alalla – tämä antaa Suomelle? Haluan tällä blogipostauksella jatkaa Ohra-ahon erinomaisen hyvin tiivistettyä ja asiallista postausta nostamalla esiin kyberaiheen kaksiteräisyyttä ja fokusoida uhkien sijasta mahdollisuuksiin.

Aloitetaan pohtimalla arabikevättä, joka on arabimaissa noussut mielenosoitusten ja kansannousujen aalto. Se alkoi Tunisian vallankumouksesta vuodenvaihteessa 2010–2011, jossa yli 20 vuotta presidenttinä toiminut Zine el-Abidine Ben Ali pakotettiin lähtemään maasta tammikuussa 2011. Tunisian vallankumouksen innoittamat protestit levisivät lähes kaikkialle arabimaailmaan. Siitä seurasi muun muassa Egyptin kansannousu, Libyan sota, Syyrian ja Jemenin levottomuudet sekä Bahrainin ja Saudi-Arabian protestit. Mikä on näille ollut ominaista? Aivan keskeiseen asemaan nousee kyberavaruudessa toimiva sosiaalinen media, jonka avulla oli mahdollista järjestäytyä, viestittää ja levittää tietoisuutta valtioiden yrittäessä tukahduttaa kansannousut muun muassa sensuroimalla ja estämällä Internetin käytön. Onko kyberulottuvuus tässä ollut uhka vai mahdollisuus? Kyseisten valtioiden johtoportaalle taatusti uhka, mutta kansalle taas aivan uudenlainen mahdollisuus.

Palataan sitten takaisin kyberuhkien maailmaan. Ne eivät tule poistumaan vain sitä toivomalla. Trenditkin osoittavat nousevaa käyrää. Tässä viitekehyksessä Suomella, teknologisesti kehittyneenä maana, on mahdollisuus nousta kyberturvallisuuden ja miksei myös tietoturvallisuuden yhdeksi edelläkävijämaaksi, niinkuin kansalliset olemassa olevat ja työn alla olevat strategiat maailailevatkin. Ilmaiseksi tällaista statusta ei kuitenkaan saavuteta. Näen seuraavat asiat keskeisinä:

1. Yhdessä tekemisen meininki yhteisten tavoitteiden saavuttamiseksi. Suomi on liian pieni maa hiekkalaatikkotappeluille. Meidän pitäisi miettiä, miten yhdistämällä voimavarojamme – osaamisemme – voisimme saavuttaa jotain yhteistä hyvää, jolla näpäytämme ketä tahansa sormille, joka yrittää horjuttaa toimintamme valtiona ja yhteiskuntana, yksilöön asti. Tämä on tahtotila- ja asennekysymys - joukkuepeliä, eikä politiikkaa, lainsäädäntöä tai byrokratiaa. Jälkimmäiset ovat tärkeitä, mutta ne seuraavat edellisistä.
2. Suomalaisten alan yritysten tukeminen ja kilpailukyvyn edistäminen myös kansainvälisillä markkinoilla. Suomessa on paljon potentiaalia, mitä innovaatioihin tulee, mutta hyvä idea ei yksin riitä. Hyvän idean lisäksi pitää olla ilmapiiri, jossa yrittäjyyttä tuetaan, erityisesti panostaen tuotteistamiseen ja markkinointiin. Markkinointi tulee ulotaa myös kansainvälisille markkinoille. Pieniä yrityksiä ei tule hävetä tai vähätellä, koska asiansa hyvin osaavat tekijät avaavat osaamisellaan ja uskottavuudellaan ovia myös muille samasta maasta tuleville. En aio tässä mainita yrityksiä erikseen, mutta voin kokemuksesta sanoa, kuinka monia meidän pieniä yrityksiä kehutaan maailmalla, ja kuinka se on helpottanut Suomen asioiden käsittelyä vain sen takia, että osaamisemme on tunnistettu. Tämä on mahdollisuus pienelle Suomelle, ja meidän pitäisi edesauttaa tätä!
3. Asiantuntijoiden kuuleminen ja heidän työnsä arvostaminen. Monesti (erityisesti valtionhallinnon) hankkeet joutuvat kamppailemaan korkeasti lentävien tavoitteiden ja kustannussäästöpaineitten ristiaallokossa, kiireellisestä aikataulusta puhumattakaan. Enemmän pitää saada aikaan vähemmällä. Tällöin tietoturvallisuus on yksi ensimmäisistä osa-alueista, joista halutaan oikaista. Sitä nähdään vain kustannuksia aiheuttavana ja toimintaa lamauttavana asiana, mikä on hyvin lyhytnäköistä. Ehkä se edistää kyseistä hanketta, mutta edistääkö tällainen lyhytnäköisyys sitä tulevaa toimintaa jatkossa, hankkeen jo päättyessä? Mitä sitten, kun toiminta kärsii heikon tietoturvallisuuden takia? 10 000 euroa maksavan tietoturvaominaisuuden toteuttamatta jättäminen maksaakin yhtäkkiä organisaatiolle mainetta ja miljoonia. Tietoturvapäälliköt toimivat yleensä tässä viitekehyksessä tietoturvavaatimusten sanansaattajina. Tästä hyvästä he saavat helposti leimat otsaansa huonon onnen tuojina, vaatimuksista ruikuttajina, ja mörköjen näkijöinä, joita ei haluta kuunnella, koska se on epämukavaa. Puhumattakaan siitä, että heille haluttaisiin maksaa moisesta ruikuttamisesta asianmukaista palkkaa!! Tietoturvallisuus on kuitenkin edullinen ”henkivakuutus”. Tietoturvallisuutta on mahdollista toteuttaa kustannustehokkaasti, jos työtä tukee asiansa osaava ihminen. Osaavia ihmisiä tulee kuunnella ja heidän työnsä tulee arvostaa. Vahventamalla tietoturvallisuutemme luomme samalla viestin siitä, että meihin ei kannata hyökätä, koska se vie aikaa ja energiaa eikä välttämättä johda mihinkään. Osaaminen ja arvostaminen kunniaan!
4. Koulutusta kaikilla tasoilla. Nettivalistusta jo peruskouluihin, ammattimaista koulutusta yliopistoihin ja ammattikorkeakouluihin ja jatkokursseja alan asiantuntijoille. Entäs sitten varusmiehet? Voisiko ajatella, että jokaiselle varusmiehelle tarjottaisiin aiheeseen liittyvää perusopetusta, mikä varusmiespalveluksen jälkeen toisi vahvaa perusosaamista tietoturvauhkista suojaamisesta niin yksityisen kuin julkisen sektorin organisaatioille? Entäs jos pienemmälle osalle annettaisiin tehostettua koulutusta, vrt. elektronisen sodankäynnin koulutukseen? Koulutus luo joka tapauksessa osaamista, ja siitähän tässä on pähkinäkuoreessa kysymys. Koulutuspuolella on paljon mahdollisuuksia!!

Edellisessä postauksessani kirjoitin kyberpuolustuksesta osana maanpuolustusta. Myös tässä asiassa kaksiteräisyys korostuu. Mahdollisten vihamielisten valtioiden suorittamat kyberhyökkäykset olisivat konkreettinen uhka Suomelle ja Suomen puolustukselle. Toisaalta, oman suorituskyvyn kehittäminen edesauttaisi edellä mainittujen uhkien torjuntaa, ja loisi yhtä keskeistä suorituskykyä lisää perinteisten maa-, meri- ja ilmapuolustuskykyen rinnalle. Tämä on nähtävä mahdollisuutena! Jos tätä mahdollisuutta ei hyödynnetä, jäämme väistämättä kehityksestä jäljelle.

Toivoisin tästäkin aiheesta keskustelua, tällä kertaa kääntäen fokuksen uhkista mahdollisuuksiin! Millaisia mahdollisuuksia te, hyvät lukijat, näette Suomen kannalta? Mihin meidän kannattaisi panostaa? Miten voisimme luoda jotain yhteistä hyvää kaikilla kyberin osa-alueilla? Miten voimme hyödyntää IT-osaamisemme mahdollisuuksien luomiseksi kyberavaruudessa?

Tietoverkkopuolustus osana maanpuolustusta

Kirjoitin reilu kuukausi sitten blogipostin, jossa vertailin tietoverkkopuolustuksen kehittämistä ilmapuolustuksen kehittämiseen. Tässä blogipostissa on tarkoitus jatkaa keskustelua tietoverkkopuolustuksesta (kyberpuolustuksesta). Tarkoituksenani on osaltaan valottaa, miten tietoverkkopuolustusta nähdään sotilaallisesta näkökulmasta noin yleisesti ottaen sekä osaltaan pyrkiä vähentämään aiheen ympärillä pyörivää hypetystä, joka helposti vie keskustelun väärään suuntaan.

Kyberuhka on viimeisen vuosikymmenen aikana noussut uudeksi uhkaksi perinteisten rinnalle. Kyberuhkia käsiteltäessä puhutaan usein valtiollisista ja ei-valtiollisista uhkista, joihin ensiksi mainittuihin lukeutuvat asevoimat, tiedusteluorganisaatiot ja valtioiden tukemia tai suojaamia ryhmittymiä ja jälkimmäisiin rikolliset, terroristit ja haktivistit. Tällä hetkellä rikolliset muodostavat suurimman uhan, joka kohdistuu niin valtioihin kansantaloudellisesti kuin yksittäisiin ihmisiin.

Tässä blogipostauksessa aion käsitellä käsitettä kyberpuolustus tai tietoverkkopuolustus, joka  on kyberturvallisuuden sotilaallinen osa-alue. Tässä puhutaan nimenomaan valtiollisesta, maanpuolustuksellisesta, toiminnasta. Yleiset mielikuvat kyberpuolustuksesta vaihtelevat ääripäästä toiseen. Toinen ääripää on elokuvatuotannon ruokkima mielikuva ”kybersodasta”, missä hakkerit villin lännen tavoin taistelevat kyberavaruudessa murtautuen hypersuperylisuojattuihin verkkoihin ja järjestelmiin kaapaten vallan kaikesta mitä tapahtuu. Toinen ääripää on toiminnan näkeminen puhtaasti tietoturvallisuuden näkövinkkelistä, ikään kuin tietoturvallisuus olisi puettu uusiin vaatteisiin. Vaikka kyberpuolustuksella ja tietoturvallisuudella on yhtymäkohtia – omasuojan kannalta yksi (mutta ei ainoa) suojattava kohde on tieto – niin käsitteet eivät ole synonyymejä. Tietoturvallisuus on tietoturvallisuutta ja sillä on tärkeä tehtävä jo itsessään. Kyberpuolustus on jotain muuta. Kummatkin ääripäät ovat  siis yhtä väärässä.

Kyberpuolustus – mitä se on?

Kyberpuolustus voidaan rinnastaa maa-, meri- ja ilmapuolustukseen, eli periaatteessa voidaan puhua puolustushaaranomaisesta toiminnasta, jossa sotilaallista suorituskykyä käytetään maan, meren ja ilman lisäksi myös kyberavaruudessa, niin defensiivisesti kuin offensiivisestikin, kunkin valtion lain sallimissa puitteissa. Puhdasta ”kybersotaa” tuskin on olemassakaan, koska pelkkä kyberhyökkäys ei riitä korvaamaan perinteisten hyökkäysten vaikutuksia. Puolustushaaravertailu on kuitenkin hyvä pitää mielessään kyberpuolustuksesta keskusteltaessa, koska se auttaa hahmottamaan suorituskyvyn käyttöön liittyviä reunaehtoja. Kyseessä ei ole villin lännen mukaista hakkeritoimintaa, vaan yksi sotilaallinen keinovalikoima muiden joukossa, jota on mahdollista käyttää perinteisten suorituskykyjen lisäksi ja tueksi saavuttaakseen haluttuja poliittisia ja/tai sotilaallisia päämääriä.

Kuten maa-, meri- ja ilmapuolustuksella on myös kyberpuolustuksella omat haasteensa. Yksi haaste on saada oikea ja haluttu vaikutus aikaan ilman odottamattomia sivuvaikutuksia. Kun järjestelmät ja verkot riippuvat toisistaan mitä monimutkaisimmilla tavoilla, voi tapahtuma yhdessä kohdassa verkostoa yllättäen vaikuttaa toiseen kohtaan, aiheuttaen jotain ennalta arvaamatonta. Lisäksi on olemassa riski, että tavallaan ampuu itseään ja sivullisia jalkaan, koska sivuvaikutukset voivat etukäteen olla vaikeita arvioida. Tilanne oli pienemmässä mittakaavassa samankaltainen perinteisten suorituskykyjen osalta ennen täsmäaseiden kehittymistä, tosin sivuvaikutukset olivat lähinnä paikallisia ja fyysisiä, toisin kuin kyberulottuvuudessa, missä sivuvaikutukset voivat olla maailmanlaajuisia ja laajempia. Toinen haaste liittyy siihen, mikä on tarkoituksenmukaisin tapa toimia kyberhyökkäyksen osuessa kohdalle (enkä nyt rajoita tätä vain koskettamaan laajamittaisia palvelunestohyökkäyksiä). Piuhan katkaiseminen tai järjestelmien alasajo ei välttämättä ole se fiksuin tapa. Ensinnäkin itsensä eristäminen muusta maailmasta voi hyvinkin olla vihollisen tahtotilan mukaista; miksi siis avustaa tekemällä itselleen palvelunestohyökkäyksen? Toiseksi eristämisellä saattaa olla laajempia vaikutuksia yhteiskuntaan kuin alkuperäisellä hyökkäyksellä.

Kybersota?

Yksi popularistinen termi, mitä välillä käytetään, on kybersota. Itse vierastan tätä termiä kahdesta syystä:

1.   Kuten aikaisemmin mainitsin, niin en usko, että koskaan syntyy sellaisia sotia, joita käydään vain kyberavaruudessa, koska halutun lopputuloksen aikaansaaminen ei liene mahdollista ilman perinteisiä sotilaallisia kykyjä. Lähinnä kyse sodankäynnissä on siitä, että siihen tulee yksi ulottuvuus lisää, eli kyberavaruus
2. Kaikki vihamielinen toiminta, mitä tapahtuu kyberavaruudessa, ei ole sodankäyntiä. Vaikka haktivistiryhmä kohdistaisikin massiivisen hyökkäyksen valtion kriittistä infrastruktuuria kohtaan lamauttaen koko yhteiskunnan, ei kyseessä silti ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Vaikka rikollisliiga tyhjentäisikin valtavan määrän pankkitilejä, ei kyseessä ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Eikä yksittäisen wannabe hakkerin toimesta töhrityt webbisivut ole esimerkki mistään sotilaallisesta hyökkäyksestä… Pelkästään vaikutus ei riitä tekemään toiminnasta sotilaalllista; siihen tarvitaan myös tekijä, jolla on poliittinen päämäärä ja kyky toimia. Yleensä tällainen tekijä on valtio. Sanon yleensä, koska tässäkin suhteessa on olemassa harmaita osa-alueita noin sodankäynnin käsitteen osalta, mutta edellä mainitut tapaukset eivät silti kuulu tähän viitekehykseen. 

Kyberpuolustukseen liittyy harhaluuloja

Kyberpuolustukseen liittyy monia harhaluuloja.

Yksi harhaluulo on se, että puolustuksella tarkoitetaan vain suojautumista. Vaikka pääpaino olisikin suojautumisessa, niin kyberpuolustusta ei voi olla olemassa ilman offensiivisia kykyjä. Jo se, että kykenee suojautumaan hyökkäyksiltä tarkoittaa sitä, että on ymmärrettävä, miten hyökkäyksiä tehdään. Jos taas verrataan puolustushaaroihin, niin ilmapuolustustakaan ei ymmärretä siten, että ilmataisteluun lähetettäisiin hävittäjälentokoneita ilman ohjuksia, vaan siten, että muun muassa ilmatilaa puolustetaan tarvittaessa aseellisin keinoin. Kyse ei siis ole siitä, onko kyky olemassa, vaan siitä, milloin ja miten sitä käytetään.

Toinen harhaluulo on se, että kyberpuolustus on hankalaa, koska ei ole mahdollista tietää, kuka on hyökkäyksen takana. Jos mennään kyberturvallisuuden puolelle, jossa puhutaan haktivismista, rikollisuudesta tai vakoilusta, niin tämä pätee. Se pätee mahdollisesti myös asevoimiin harmaassa vaiheessa sekä vielä, kun koko kybertoiminta on ilmiönä suhteellisen uusi. En kuitenkaan usko, että tämä tulee olemaan tilanne tulevaisuudessa, kun asevoimat maailmanlaajuisesti ovat ottaneet kyberpuolustuksen suorituskyvyt täysimittaisesti osaksi arsenaaliaan. Esimerkiksi toisen osapuolen ilmapuolustuksen lamauttaminen voidaan yhtä lailla tehdä esimerkiksi ilmaiskulla tai kyberhyökkäyksellä; kyse on lähinnä keinovalikoimasta, eikä välttämättä ole mitään syytä peitellä, kuka iskun takana oli. Päinvastoin voi jopa olla mahdollista, että osapuolet haluavat osoittaa, että heillä on tällainen kyky käytettävissään (pelotevaikutus).

Kolmas harhaluulo on se, että kyberhyökkäykseen vastattaisiin aina kyberhyökkäyksellä. Tämä ei välttämättä pidä paikkaansa. Mihin tahansa hyökkäykseen (maa, meri, ilma, kyber) voidaan vastata millä keinovalikoimalla tahansa riippuen siitä, mikä on tavoitteeseen nähden tarkoituksenmukaisin. Jotkut valtiot ovatkin ilmoittaneet, että mikäli heihin kohdistuu kyberhyökkäys, niin he pidättävät oikeuden vastata myös perinteisin sotilaallisin keinoin.

Neljäs harhaluulo liittyy asevoimien rooliin yhteiskunnassa mitä suojautumiseen tulee. Kyberhyökkäyksen kohteet voivat olla niin siviili- kuin sotilaskohteita. Tyypillisesti asevoimat pyrkivät suojaamaan omia kohteitaan, eli omat verkot ja järjestelmät. Sen sijaan siviilikohteet, esimerkiksi kriittiset infrastruktuurit, ovat usein yksityisen sektorin omistamia tai hallinnoimia, eikä niiden suojaaminen kuulu asevoimien tehtäviin. Kysymys asevoimien mahdollisesta laajemmasta roolista tässä suhteessa nousee toki välillä esille kansainvälisissäkin foorumeissa, mutta tyypillisesti asevoimien tehtävien laajentaminen tähän suuntaan ei pidetä tarkoituksenmukaisena.

Pieni valtio ja kyberpuolustus

Pienelle teknologisesti kehittyneelle valtiolle kyberpuolustus on kustannustehokas mahdollisuus vahvistaa omaa uskottavaa maanpuolustuskykyä. Siinä missä pienellä valtiolla ei koskaan ole resursseja vahvistaa perinteisiä puolustushaarojaan samalle tasolle kuin isoilla valtioilla, on tilanne kyberpuolustuksen osalta toinen. Resursseja toki tarvitaan, mutta niiden kustannukset ovat toista mittaluokkaa. Tärkein kehitettävä kohde on osaaminen.

Pienellä valtiolla voi myös olla vahvuuksia isoon nähden. Pieni voi olla ketterä, koska sen verkostot ovat pienemmät ja tiheämmät. Yhteistoiminta perustuu vahvasti luottamukseen; pienessä tiiviissä piirissä on helpompi rakentaa luottamusta kuin isommassa ja epämääräisemmässä.

Kyberturvallisuudessa laajemminkin yhteistoiminta niin viranomaisten kuin yksityisenkin sektorin välillä on ehdoton edellytys. Tässäkin asiassa pienellä valtiolla saattaa olla jo pitkät perinteet yhteistoiminnasta, joten sen laajentaminen kyberturvallisuuden osa-alueelle ei välttämättä edes ole kovinkaan haasteellista.

Näin ollen kyberulottuvuus tulee pienen valtion näkökulmasta nähdä mahdollisuutena kaikilla osa-alueilla: taloudellisesti, sosiaalisesti, akateemisesti ja miksei maanpuolustuksellisestikin.

***

T-lehti haastatteli minua vähän aikaa sitten kyberpuolustuksesta. Lämpenin vahvasti artikkelin otsikolle: ”IT-osaaja puolustaa maataan”. Suomellakin on pienenä valtiona paljon mahdollisuuksia kyberpuolustuksen ja laajemmin kyberturvallisuuden saralla. Meillä IT-osaajilla on paikkamme! Toivottavasti saamme edellytyksiä tehdä Suomesta kyberturvallisuuden kärkimaita, kaikilla sen osa-alueilla.