10/12/2011

Kyber - uhka vai mahdollisuus?


Kenraali Ohra-Aho kirjoittaa omassa blogissaan kyberistä ja kehottaa meitä heti otsikossaan haistamaan kyberiä. Siihen ei voi sanoa muuta, kuin ”haista IT!!” ;-) 

Yhdyn Ohra-ahon näkemykseen siitä, että keskustelu on pääsääntöisesti ollut uhkalähtöistä. Ohra-aho kysyykin, miten voimme elää maailmassa, jossa tietoverkkorikolliset, haktivistit ja valtiolliset toimijat vakoilevat, kiristävät ja kalastelevat “kybervesissä”? Uhka on maailmanlaajuisesti tunnistettu, mutta entäpä sitten mahdollisuus? Millaisia mahdollisuuksia teknologiaosaaminen – erityisesti IT-alalla – tämä antaa Suomelle? Haluan tällä blogipostauksella jatkaa Ohra-ahon erinomaisen hyvin tiivistettyä ja asiallista postausta nostamalla esiin kyberaiheen kaksiteräisyyttä ja fokusoida uhkien sijasta mahdollisuuksiin.

Aloitetaan pohtimalla arabikevättä, joka on arabimaissa noussut mielenosoitusten ja kansannousujen aalto. Se alkoi Tunisian vallankumouksesta vuodenvaihteessa 2010–2011, jossa yli 20 vuotta presidenttinä toiminut Zine el-Abidine Ben Ali pakotettiin lähtemään maasta tammikuussa 2011. Tunisian vallankumouksen innoittamat protestit levisivät lähes kaikkialle arabimaailmaan. Siitä seurasi muun muassa Egyptin kansannousu, Libyan sota, Syyrian ja Jemenin levottomuudet sekä Bahrainin ja Saudi-Arabian protestit. Mikä on näille ollut ominaista? Aivan keskeiseen asemaan nousee kyberavaruudessa toimiva sosiaalinen media, jonka avulla oli mahdollista järjestäytyä, viestittää ja levittää tietoisuutta valtioiden yrittäessä tukahduttaa kansannousut muun muassa sensuroimalla ja estämällä Internetin käytön. Onko kyberulottuvuus tässä ollut uhka vai mahdollisuus? Kyseisten valtioiden johtoportaalle taatusti uhka, mutta kansalle taas aivan uudenlainen mahdollisuus.

Palataan sitten takaisin kyberuhkien maailmaan. Ne eivät tule poistumaan vain sitä toivomalla. Trenditkin osoittavat nousevaa käyrää. Tässä viitekehyksessä Suomella, teknologisesti kehittyneenä maana, on mahdollisuus nousta kyberturvallisuuden ja miksei myös tietoturvallisuuden yhdeksi edelläkävijämaaksi, niinkuin kansalliset olemassa olevat ja työn alla olevat strategiat maailailevatkin. Ilmaiseksi tällaista statusta ei kuitenkaan saavuteta. Näen seuraavat asiat keskeisinä:

  1. Yhdessä tekemisen meininki yhteisten tavoitteiden saavuttamiseksi. Suomi on liian pieni maa hiekkalaatikkotappeluille. Meidän pitäisi miettiä, miten yhdistämällä voimavarojamme – osaamisemme – voisimme saavuttaa jotain yhteistä hyvää, jolla näpäytämme ketä tahansa sormille, joka yrittää horjuttaa toimintamme valtiona ja yhteiskuntana, yksilöön asti. Tämä on tahtotila- ja asennekysymys - joukkuepeliä, eikä politiikkaa, lainsäädäntöä tai byrokratiaa. Jälkimmäiset ovat tärkeitä, mutta ne seuraavat edellisistä.
  2. Suomalaisten alan yritysten tukeminen ja kilpailukyvyn edistäminen myös kansainvälisillä markkinoilla. Suomessa on paljon potentiaalia, mitä innovaatioihin tulee, mutta hyvä idea ei yksin riitä. Hyvän idean lisäksi pitää olla ilmapiiri, jossa yrittäjyyttä tuetaan, erityisesti panostaen tuotteistamiseen ja markkinointiin. Markkinointi tulee ulotaa myös kansainvälisille markkinoille. Pieniä yrityksiä ei tule hävetä tai vähätellä, koska asiansa hyvin osaavat tekijät avaavat osaamisellaan ja uskottavuudellaan ovia myös muille samasta maasta tuleville. En aio tässä mainita yrityksiä erikseen, mutta voin kokemuksesta sanoa, kuinka monia meidän pieniä yrityksiä kehutaan maailmalla, ja kuinka se on helpottanut Suomen asioiden käsittelyä vain sen takia, että osaamisemme on tunnistettu. Tämä on mahdollisuus pienelle Suomelle, ja meidän pitäisi edesauttaa tätä!
  3. Asiantuntijoiden kuuleminen ja heidän työnsä arvostaminen. Monesti (erityisesti valtionhallinnon) hankkeet joutuvat kamppailemaan korkeasti lentävien tavoitteiden ja kustannussäästöpaineitten ristiaallokossa, kiireellisestä aikataulusta puhumattakaan. Enemmän pitää saada aikaan vähemmällä. Tällöin tietoturvallisuus on yksi ensimmäisistä osa-alueista, joista halutaan oikaista. Sitä nähdään vain kustannuksia aiheuttavana ja toimintaa lamauttavana asiana, mikä on hyvin lyhytnäköistä. Ehkä se edistää kyseistä hanketta, mutta edistääkö tällainen lyhytnäköisyys sitä tulevaa toimintaa jatkossa, hankkeen jo päättyessä? Mitä sitten, kun toiminta kärsii heikon tietoturvallisuuden takia? 10 000 euroa maksavan tietoturvaominaisuuden toteuttamatta jättäminen maksaakin yhtäkkiä organisaatiolle mainetta ja miljoonia. Tietoturvapäälliköt toimivat yleensä tässä viitekehyksessä tietoturvavaatimusten sanansaattajina. Tästä hyvästä he saavat helposti leimat otsaansa huonon onnen tuojina, vaatimuksista ruikuttajina, ja mörköjen näkijöinä, joita ei haluta kuunnella, koska se on epämukavaa. Puhumattakaan siitä, että heille haluttaisiin maksaa moisesta ruikuttamisesta asianmukaista palkkaa!! Tietoturvallisuus on kuitenkin edullinen ”henkivakuutus”. Tietoturvallisuutta on mahdollista toteuttaa kustannustehokkaasti, jos työtä tukee asiansa osaava ihminen. Osaavia ihmisiä tulee kuunnella ja heidän työnsä tulee arvostaa. Vahventamalla tietoturvallisuutemme luomme samalla viestin siitä, että meihin ei kannata hyökätä, koska se vie aikaa ja energiaa eikä välttämättä johda mihinkään. Osaaminen ja arvostaminen kunniaan!
  4. Koulutusta kaikilla tasoilla. Nettivalistusta jo peruskouluihin, ammattimaista koulutusta yliopistoihin ja ammattikorkeakouluihin ja jatkokursseja alan asiantuntijoille. Entäs sitten varusmiehet? Voisiko ajatella, että jokaiselle varusmiehelle tarjottaisiin aiheeseen liittyvää perusopetusta, mikä varusmiespalveluksen jälkeen toisi vahvaa perusosaamista tietoturvauhkista suojaamisesta niin yksityisen kuin julkisen sektorin organisaatioille? Entäs jos pienemmälle osalle annettaisiin tehostettua koulutusta, vrt. elektronisen sodankäynnin koulutukseen? Koulutus luo joka tapauksessa osaamista, ja siitähän tässä on pähkinäkuoreessa kysymys. Koulutuspuolella on paljon mahdollisuuksia!!

Edellisessä postauksessani kirjoitin kyberpuolustuksesta osana maanpuolustusta. Myös tässä asiassa kaksiteräisyys korostuu. Mahdollisten vihamielisten valtioiden suorittamat kyberhyökkäykset olisivat konkreettinen uhka Suomelle ja Suomen puolustukselle. Toisaalta, oman suorituskyvyn kehittäminen edesauttaisi edellä mainittujen uhkien torjuntaa, ja loisi yhtä keskeistä suorituskykyä lisää perinteisten maa-, meri- ja ilmapuolustuskykyen rinnalle. Tämä on nähtävä mahdollisuutena! Jos tätä mahdollisuutta ei hyödynnetä, jäämme väistämättä kehityksestä jäljelle.

Toivoisin tästäkin aiheesta keskustelua, tällä kertaa kääntäen fokuksen uhkista mahdollisuuksiin! Millaisia mahdollisuuksia te, hyvät lukijat, näette Suomen kannalta? Mihin meidän kannattaisi panostaa? Miten voisimme luoda jotain yhteistä hyvää kaikilla kyberin osa-alueilla? Miten voimme hyödyntää IT-osaamisemme mahdollisuuksien luomiseksi kyberavaruudessa?

06/12/2011

Tietoverkkopuolustus osana maanpuolustusta

Kirjoitin reilu kuukausi sitten blogipostin, jossa vertailin tietoverkkopuolustuksen kehittämistä ilmapuolustuksen kehittämiseen. Tässä blogipostissa on tarkoitus jatkaa keskustelua tietoverkkopuolustuksesta (kyberpuolustuksesta). Tarkoituksenani on osaltaan valottaa, miten tietoverkkopuolustusta nähdään sotilaallisesta näkökulmasta noin yleisesti ottaen sekä osaltaan pyrkiä vähentämään aiheen ympärillä pyörivää hypetystä, joka helposti vie keskustelun väärään suuntaan.

Kyberuhka on viimeisen vuosikymmenen aikana noussut uudeksi uhkaksi perinteisten rinnalle. Kyberuhkia käsiteltäessä puhutaan usein valtiollisista ja ei-valtiollisista uhkista, joihin ensiksi mainittuihin lukeutuvat asevoimat, tiedusteluorganisaatiot ja valtioiden tukemia tai suojaamia ryhmittymiä ja jälkimmäisiin rikolliset, terroristit ja haktivistit. Tällä hetkellä rikolliset muodostavat suurimman uhan, joka kohdistuu niin valtioihin kansantaloudellisesti kuin yksittäisiin ihmisiin.

Tässä blogipostauksessa aion käsitellä käsitettä kyberpuolustus tai tietoverkkopuolustus, joka  on kyberturvallisuuden sotilaallinen osa-alue. Tässä puhutaan nimenomaan valtiollisesta, maanpuolustuksellisesta, toiminnasta. Yleiset mielikuvat kyberpuolustuksesta vaihtelevat ääripäästä toiseen. Toinen ääripää on elokuvatuotannon ruokkima mielikuva ”kybersodasta”, missä hakkerit villin lännen tavoin taistelevat kyberavaruudessa murtautuen hypersuperylisuojattuihin verkkoihin ja järjestelmiin kaapaten vallan kaikesta mitä tapahtuu. Toinen ääripää on toiminnan näkeminen puhtaasti tietoturvallisuuden näkövinkkelistä, ikään kuin tietoturvallisuus olisi puettu uusiin vaatteisiin. Vaikka kyberpuolustuksella ja tietoturvallisuudella on yhtymäkohtia – omasuojan kannalta yksi (mutta ei ainoa) suojattava kohde on tieto – niin käsitteet eivät ole synonyymejä. Tietoturvallisuus on tietoturvallisuutta ja sillä on tärkeä tehtävä jo itsessään. Kyberpuolustus on jotain muuta. Kummatkin ääripäät ovat  siis yhtä väärässä.

Kyberpuolustus – mitä se on?

Kyberpuolustus voidaan rinnastaa maa-, meri- ja ilmapuolustukseen, eli periaatteessa voidaan puhua puolustushaaranomaisesta toiminnasta, jossa sotilaallista suorituskykyä käytetään maan, meren ja ilman lisäksi myös kyberavaruudessa, niin defensiivisesti kuin offensiivisestikin, kunkin valtion lain sallimissa puitteissa. Puhdasta ”kybersotaa” tuskin on olemassakaan, koska pelkkä kyberhyökkäys ei riitä korvaamaan perinteisten hyökkäysten vaikutuksia. Puolustushaaravertailu on kuitenkin hyvä pitää mielessään kyberpuolustuksesta keskusteltaessa, koska se auttaa hahmottamaan suorituskyvyn käyttöön liittyviä reunaehtoja. Kyseessä ei ole villin lännen mukaista hakkeritoimintaa, vaan yksi sotilaallinen keinovalikoima muiden joukossa, jota on mahdollista käyttää perinteisten suorituskykyjen lisäksi ja tueksi saavuttaakseen haluttuja poliittisia ja/tai sotilaallisia päämääriä.

Kuten maa-, meri- ja ilmapuolustuksella on myös kyberpuolustuksella omat haasteensa. Yksi haaste on saada oikea ja haluttu vaikutus aikaan ilman odottamattomia sivuvaikutuksia. Kun järjestelmät ja verkot riippuvat toisistaan mitä monimutkaisimmilla tavoilla, voi tapahtuma yhdessä kohdassa verkostoa yllättäen vaikuttaa toiseen kohtaan, aiheuttaen jotain ennalta arvaamatonta. Lisäksi on olemassa riski, että tavallaan ampuu itseään ja sivullisia jalkaan, koska sivuvaikutukset voivat etukäteen olla vaikeita arvioida. Tilanne oli pienemmässä mittakaavassa samankaltainen perinteisten suorituskykyjen osalta ennen täsmäaseiden kehittymistä, tosin sivuvaikutukset olivat lähinnä paikallisia ja fyysisiä, toisin kuin kyberulottuvuudessa, missä sivuvaikutukset voivat olla maailmanlaajuisia ja laajempia. Toinen haaste liittyy siihen, mikä on tarkoituksenmukaisin tapa toimia kyberhyökkäyksen osuessa kohdalle (enkä nyt rajoita tätä vain koskettamaan laajamittaisia palvelunestohyökkäyksiä). Piuhan katkaiseminen tai järjestelmien alasajo ei välttämättä ole se fiksuin tapa. Ensinnäkin itsensä eristäminen muusta maailmasta voi hyvinkin olla vihollisen tahtotilan mukaista; miksi siis avustaa tekemällä itselleen palvelunestohyökkäyksen? Toiseksi eristämisellä saattaa olla laajempia vaikutuksia yhteiskuntaan kuin alkuperäisellä hyökkäyksellä.

Kybersota?

Yksi popularistinen termi, mitä välillä käytetään, on kybersota. Itse vierastan tätä termiä kahdesta syystä:
  1.   Kuten aikaisemmin mainitsin, niin en usko, että koskaan syntyy sellaisia sotia, joita käydään vain kyberavaruudessa, koska halutun lopputuloksen aikaansaaminen ei liene mahdollista ilman perinteisiä sotilaallisia kykyjä. Lähinnä kyse sodankäynnissä on siitä, että siihen tulee yksi ulottuvuus lisää, eli kyberavaruus
  2. Kaikki vihamielinen toiminta, mitä tapahtuu kyberavaruudessa, ei ole sodankäyntiä. Vaikka haktivistiryhmä kohdistaisikin massiivisen hyökkäyksen valtion kriittistä infrastruktuuria kohtaan lamauttaen koko yhteiskunnan, ei kyseessä silti ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Vaikka rikollisliiga tyhjentäisikin valtavan määrän pankkitilejä, ei kyseessä ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Eikä yksittäisen wannabe hakkerin toimesta töhrityt webbisivut ole esimerkki mistään sotilaallisesta hyökkäyksestä… Pelkästään vaikutus ei riitä tekemään toiminnasta sotilaalllista; siihen tarvitaan myös tekijä, jolla on poliittinen päämäärä ja kyky toimia. Yleensä tällainen tekijä on valtio. Sanon yleensä, koska tässäkin suhteessa on olemassa harmaita osa-alueita noin sodankäynnin käsitteen osalta, mutta edellä mainitut tapaukset eivät silti kuulu tähän viitekehykseen. 

Kyberpuolustukseen liittyy harhaluuloja

Kyberpuolustukseen liittyy monia harhaluuloja.

Yksi harhaluulo on se, että puolustuksella tarkoitetaan vain suojautumista. Vaikka pääpaino olisikin suojautumisessa, niin kyberpuolustusta ei voi olla olemassa ilman offensiivisia kykyjä. Jo se, että kykenee suojautumaan hyökkäyksiltä tarkoittaa sitä, että on ymmärrettävä, miten hyökkäyksiä tehdään. Jos taas verrataan puolustushaaroihin, niin ilmapuolustustakaan ei ymmärretä siten, että ilmataisteluun lähetettäisiin hävittäjälentokoneita ilman ohjuksia, vaan siten, että muun muassa ilmatilaa puolustetaan tarvittaessa aseellisin keinoin. Kyse ei siis ole siitä, onko kyky olemassa, vaan siitä, milloin ja miten sitä käytetään.

Toinen harhaluulo on se, että kyberpuolustus on hankalaa, koska ei ole mahdollista tietää, kuka on hyökkäyksen takana. Jos mennään kyberturvallisuuden puolelle, jossa puhutaan haktivismista, rikollisuudesta tai vakoilusta, niin tämä pätee. Se pätee mahdollisesti myös asevoimiin harmaassa vaiheessa sekä vielä, kun koko kybertoiminta on ilmiönä suhteellisen uusi. En kuitenkaan usko, että tämä tulee olemaan tilanne tulevaisuudessa, kun asevoimat maailmanlaajuisesti ovat ottaneet kyberpuolustuksen suorituskyvyt täysimittaisesti osaksi arsenaaliaan. Esimerkiksi toisen osapuolen ilmapuolustuksen lamauttaminen voidaan yhtä lailla tehdä esimerkiksi ilmaiskulla tai kyberhyökkäyksellä; kyse on lähinnä keinovalikoimasta, eikä välttämättä ole mitään syytä peitellä, kuka iskun takana oli. Päinvastoin voi jopa olla mahdollista, että osapuolet haluavat osoittaa, että heillä on tällainen kyky käytettävissään (pelotevaikutus).

Kolmas harhaluulo on se, että kyberhyökkäykseen vastattaisiin aina kyberhyökkäyksellä. Tämä ei välttämättä pidä paikkaansa. Mihin tahansa hyökkäykseen (maa, meri, ilma, kyber) voidaan vastata millä keinovalikoimalla tahansa riippuen siitä, mikä on tavoitteeseen nähden tarkoituksenmukaisin. Jotkut valtiot ovatkin ilmoittaneet, että mikäli heihin kohdistuu kyberhyökkäys, niin he pidättävät oikeuden vastata myös perinteisin sotilaallisin keinoin.

Neljäs harhaluulo liittyy asevoimien rooliin yhteiskunnassa mitä suojautumiseen tulee. Kyberhyökkäyksen kohteet voivat olla niin siviili- kuin sotilaskohteita. Tyypillisesti asevoimat pyrkivät suojaamaan omia kohteitaan, eli omat verkot ja järjestelmät. Sen sijaan siviilikohteet, esimerkiksi kriittiset infrastruktuurit, ovat usein yksityisen sektorin omistamia tai hallinnoimia, eikä niiden suojaaminen kuulu asevoimien tehtäviin. Kysymys asevoimien mahdollisesta laajemmasta roolista tässä suhteessa nousee toki välillä esille kansainvälisissäkin foorumeissa, mutta tyypillisesti asevoimien tehtävien laajentaminen tähän suuntaan ei pidetä tarkoituksenmukaisena.

Pieni valtio ja kyberpuolustus

Pienelle teknologisesti kehittyneelle valtiolle kyberpuolustus on kustannustehokas mahdollisuus vahvistaa omaa uskottavaa maanpuolustuskykyä. Siinä missä pienellä valtiolla ei koskaan ole resursseja vahvistaa perinteisiä puolustushaarojaan samalle tasolle kuin isoilla valtioilla, on tilanne kyberpuolustuksen osalta toinen. Resursseja toki tarvitaan, mutta niiden kustannukset ovat toista mittaluokkaa. Tärkein kehitettävä kohde on osaaminen.

Pienellä valtiolla voi myös olla vahvuuksia isoon nähden. Pieni voi olla ketterä, koska sen verkostot ovat pienemmät ja tiheämmät. Yhteistoiminta perustuu vahvasti luottamukseen; pienessä tiiviissä piirissä on helpompi rakentaa luottamusta kuin isommassa ja epämääräisemmässä.

Kyberturvallisuudessa laajemminkin yhteistoiminta niin viranomaisten kuin yksityisenkin sektorin välillä on ehdoton edellytys. Tässäkin asiassa pienellä valtiolla saattaa olla jo pitkät perinteet yhteistoiminnasta, joten sen laajentaminen kyberturvallisuuden osa-alueelle ei välttämättä edes ole kovinkaan haasteellista.

Näin ollen kyberulottuvuus tulee pienen valtion näkökulmasta nähdä mahdollisuutena kaikilla osa-alueilla: taloudellisesti, sosiaalisesti, akateemisesti ja miksei maanpuolustuksellisestikin.

***

T-lehti haastatteli minua vähän aikaa sitten kyberpuolustuksesta. Lämpenin vahvasti artikkelin otsikolle: ”IT-osaaja puolustaa maataan”. Suomellakin on pienenä valtiona paljon mahdollisuuksia kyberpuolustuksen ja laajemmin kyberturvallisuuden saralla. Meillä IT-osaajilla on paikkamme! Toivottavasti saamme edellytyksiä tehdä Suomesta kyberturvallisuuden kärkimaita, kaikilla sen osa-alueilla.

15/11/2011

Kyberturvallisuutta ja kryptologiaa

Useimmat meistä ovat varmasti kuulleet, kuinka jo muinaiset roomalaiset käyttivät salakirjoitusta tai kuinka brittiläiset toisen maailmansodan aikana oppivat purkamaan saksalaisten Enigman tuottaman salauksen. Kryptologialla on kieltämättä ollut vaikutusta asioiden kulkuun kautta aikojen. Sen merkittävyys ei ole poistunut, päinvastoin, se on monessa maassa noussut keskeiseksi kansallisen turvallisuuden osa-alueeksi. Myös käytettäviä salausratkaisuja ja salausratkaisujen hallintaa pidetään monesti suurvalloissa yhtä vahvasti turvattavana asiana kuin ydinaseita. Suomella ei ole ydinaseita, joiden turvallisuudesta huolehtia; sen sijaan salausratkaisuihin ja kansalliseen krypto-osaamiseen tulee kiinnittää huomiota.  Se on tietoyhteiskunnan ja siten myös kyberturvallisuuden kannalta aivan keskeistä.

Tietoyhteiskunta on riippuvainen verkoistaan ja järjestelmistään sekä näiden avulla tarjotuista palveluista. Verkostojen avulla mahdollistetaan tietoyhteiskunnan toiminta globaalisella tasolla, liikutellaan rahavirtoja, siirretään kansallisen kilpailukyvyn kannalta merkittäviä tietoja (mm. yrityssalaisuuksia) sekä valtion toiminnan kannalta merkittäviä tietoja (mm. valtionhallinnon salassa pidettäviä asiakirjoja) sekä mahdollistetaan asevoimien operatiivinen toiminta. Tällaisen verkostoavusteisen toiminnan perusedellytys on kuitenkin, että verkostoon voidaan luottaa. Vaikka turvallisuutta edistäviä ratkaisuja onkin monenlaisia, ovat salausratkaisut ja niiden hallinta kuitenkin aivan perustavaa laatua olevassa asemassa, mitä luottamukseen tulee. Jos niihin ei voi luottaa, ei voi luottaa mihinkään muuhunkaan.

Sen takia luottamuksessa ei saa olla säröä tai epävarmuutta. Vaikka maailmalla onkin tarjolla evaluoituja ja virallisesti hyväksyttyjä salaustuotteita, on kuitenkin oltava mahdollisuus tuottaa omaa kansallista kryptoa omia tarpeita varten. On pystyttävä
luottamaan siihen, ettei salausratkaisuun ole sittenkin upotettu joku tahallinen heikkous tai takaportti. On oltava mahdollisuus luoda itse omat salausavaimet ja itse tuottaa tarvittavat salauslaitteet ja/tai -ohjelmistot. Myös salausratkaisun hallinta tulee säilyä omissa käsissä.
  
Kansallista kryptokykyä kehittämään

Kansallista ”kryptokykyä” siis tarvitaan monella tasolla. Suomi
tarvitsee ainakin:
  1. Osaamista akateemisella tasolla, mikä edistää kryptologian tutkimusta ja opetusta niin kansallisesti kuin kansainvälisestikin. Tässä Aalto-yliopiston professori Kaisa Nyberg tekee ansiokasta työtä.
  2. Kykyä kehittää ja tuottaa salausratkaisuja niin kansalliseen käyttöön kuin vientitarkoituksiinkin.
  3. Kykyä evaluoida salausratkaisuja, niin kansallisia kuin kansainvälisiäkin. Tämä on perusedellytys voidaksemme varmistua salausratkaisun luotettavuudesta.
  4. Kykyä arvioida salausratkaisujen elinkaaren suorituskyky oman toiminnan vaatimusten kannalta.
  5. Kykyä hallinnoida salausratkaisuja käytännön toiminnassa
  6. Osaamista käyttää salausratkaisuja asianmukaisesti (loppukäyttäjänäkemys)

Suomessa on jonkin verran krypto-osaamista, mutta kansallisen kyberturvallisuuden näkökulmasta osaamista tarvitaan enemmän. Suomesta ei tule tietoturvallisuuden eikä kyberturvallisuuden edelläkävijämaata ilman riittävää ”kryptokykyä”.

Mitä tämä kryptokyvyn kehittäminen sitten edellyttää?

Kryptologia on mitä suurimmassa määrin erikoisala, joka edellyttää matemaattista osaamista. Tämän takia tulisi jo peruskoulussa ja lukiossa panostaa matematiikan opetukseen ja tehdä siitä houkuttelevaa oppilaille. Erityisesti matematiikasta kiinnostuneita sekä matemaattisesti lahjakkaita oppilaita tulisi kannustaa antamalla heille ”massaopetuksesta” poikkeavia, mutta kannustavia matemaattisia haasteita ratkottavaksi. Samalla tavalla kuin tuetaan liikunnallisesti lahjakkaita tulisi myös tukea matemaattisesti lahjakkaita mahdollistamalla heidän osaamisensa kehittyminen.

Ylipistojen tulisi houkutella enemmän opiskelijoita valitsemaan kryptologian opinto-ohjelmaansa. Osaamista tarvitaan monella tasolla: niin vahvaa teoreettista osaamista kuin käytännön läheisempää, soveltavaa osaamistakin. Kryptologiaan paneutuminen varmasti houkuttelisi enemmän, jos alan töitä olisi laajemmin tarjolla. Kysyntä on jatkuvassa kasvussa, minkä pitäisi heijastua koulutuksen houkuttelevuuteen.

Yliopistotason tutkimukseen tulisi panostaa nykyistä enemmän ja pyrkiä houkuttelemaan myös suomalaisia alan uranuurtajiksi. Loistavaa olisi, jos osa uranuurtajista perustaisivat tutkimuksensa pohjalta pieniä spin-off –yrityksiä, jotka osaltaan loisivat peräänkuuluttamaani kansallista kryptokykyä. Ne voisivat erikoistua ratkaisujen kehittämiseen, evaluointiin tai analysointiin tai johonkin muuhun toimintaan, mitä en tässä vaiheessa edes kykene visioimaan.

Yksityiselle sektorille olisi muutenkin hyvä saada enemmän toimijoita. Tämä edellyttää kuitenkin, että tunnistamme omat kansalliset tarpeemme sekä tuemmme yritystemme pyrkimyksiä kansainvälisille markkinoille. On ymmärrettävä, että mikä on hyväksi meidän teollisuudelle, on hyväksi myös Suomelle yhteiskunnallisesti, valtionhallinto mukaan lukien.

Kyberturvallisuuden kehittämisestä ja erikoisalat

Kyberturvallisuuden kehittäminen vaatii laajaa panostusta ja monitieteellistä lähestymistapaa. Aihe on siinä mielessä mielenkiintoinen, että se edellyttää lähes jokaisen tieteenalan soveltamisen toimivan kokonaisuuden aikaansaamiseksi. Jokaisessa näissä korostuu kuitenkin tiettyjä erikoisaloja. Panostamalla niihin voidaan saavuttaa jotain keskivertoa parempaa; jotain ainutlaatuista. Tämä hyödyntää Suomea niin kansallisesti kuin kansainvälisestikin.

Kryptologia on yksi tällainen erikoisala, johon kannattaa panostaa! 


31/10/2011

Tietoverkkopuolustuksen kehittämisen näkökulmia


Vierailin viime viikon aikana ilmavoimien järjestämässä kaksipäiväisessä seminaarissa aiheesta ”Global Air Power”, jossa käsiteltiin eri maiden ilmavoimien kehittymistä kautta historian sekä niiden tämänhetkistä tilannetta. Seminaarissa käsiteltiin Iso-Britannian, Yhdysvaltojen, Kiinan, Venäjän, Intian ja tottakai myös Suomen ilmavoimien taipaletta. Tämän lisäksi seminaarissa oli puheenvuoro eurooppalaisesta ilmavoimapolitiikasta. Yllätyin muuten, että Suomen ilmavoimat on itse asiassa hiukan vanhempi, kuin Iso-Britannian kuuluisa Royal Air Force!!

Siirtyäkseni otsikon aiheeseen; seminaarin yhdessä paneelikeskustelussa aihe ”kybersodankäynti” nousi erittäin vahvasti esille, ja sekä amerikkalainen että brittiläinen puhuja korosti uuden kyberelementin merkitystä. Tästä innostuin kirjoittamaan blogipostin jo pitkään viljelemistäni ajatuksistani ilmapuolustuksen ja tietoverkkopuolustuksen kehittymisen samankaltaisuudesta sekä niiden keskinäisvaikutuksista muutenkin. Tarkoituksena on korostaa, että vaikka tietoverkkopuolustus on niin sanotusti ”uusi suorituskyky” perinteisten rinnalla, ei se kuitenkaan ole niitä erikoisemmassa asemassa – tai ei ainakaan pitäisi olla.

Ilmavoimien historiasta kyberelementin kasvamiseen

Vuosisatoja sitten, kun ihminen kiinnostui mahdollisuudesta lentää, hän kehitti ensin kuumailmapallon ja myöhemmin lentokoneen. Jo varhaisessa vaiheessa syntyi keskustelua ilma-alusten käyttömahdollisuuksista sodankäynnissä. Keskustelu jakoi mielipiteet: osa näki siinä potentiaalia, kun taas osa pitivät koko lentotouhua hölynpölynä. Syntyi keskustelua ilmaelementin käytöstä myös moraalisesta ja juridisesta näkökulmasta. Pohdittiin ilmaelementin hyödyntämisen mahdollisuuksia ja rajauksia. Saako tiedustella? Saako pommittaa? Pitääkö rajoittua ilmataisteluihin? Mitä saa ja mitä ei saa tehdä? Ajan myötä ilma-alusten käyttö sodankäynnissä kuitenkin lisääntyi ja ilmaelementin merkitys korostui. Tänä päivänä lähes jokaisella valtiolla on omat ilmavoimansa, joka on puolustushaarana rinnastettavissa maa- ja merivoimiin, eikä kukaan kyseenalaista sen tarpeellisuutta, olemassaolon oikeutta tai käyttömahdollisuutta niissä tilanteissa, joissa sotilaallista voimaa tarvitaan ja käytetään.

Muutama sata vuotta sen jälkeen, kun ihminen oppi lentämään, hän keksi myös tietokoneen. Tai laajemmin voisi todeta, että teknologia kehittyi ja toiminta siirtyi enemmän ja enemmän tietoverkkojen ja niissä toimivien komponenttien päälle. Aika aikaisessa vaiheessa osa ennusti, että tässä uudessa kehittyvässä virtuaalisessa  toimintaympäristössä olisi sotilaallinen ulottuvuus, tosin jotkut pitivät asiaa hölynpölynä ja finninaamaisten pizzaa syövien ja cola-juomia nauttivien nörttien puuhasteluna. Aihetta kuitenkin tutkittiin myös sotilaallisesta näkökulmasta vähintäänkin akateemisella tasolla ja usein osana informaatiosodankäyntiä. Eikä mennyt kauan, kun harrastuspohjainen hakkerointi alkoi muuttaa muotoaan kohti tavoitteellisempaa rikollista toimintaa. Tänä päivänä uhka on kasvanut sellaiseksi, että puhutaan jo valtiollisista ja ei-valtiollisista uhkista: asevoimista, tiedusteluorganisaatioista sekä valtioiden tukemista ryhmittymistä rikollisiin, terroristeihin ja haktivisteihin.

Maanpuolustuksellisissa ympyröissä kyberavaruus on noussut toimintaympäristöksi, joka rinnastetaan maahan, mereen, ilmaan ja avaruuteen. Vaikka se ei ole varsinaisesti missään muodostunut uudeksi puolustushaaraksi, se rinnastetaan ajatuksellisesti perinteisiin puolustushaaroihin. Kuten ilmapuolustuksen kehitystaipaleella on myös kyberin ympärillä käyty moraalista ja juridista keskustelua, ja hyvä niin! Moraalisella tasolla on kyseenalaistettu sen käytön oikeudeellisuutta, käytön kohteita sekä oheisvaikutuksia. Moraaliseen keskusteluun on kuitenkin vaikuttanut se, että kyberpuolustusta on verrattu perinteisiin suorituskykyihin: vaikka kyberin avulla onkin mahdollista aiheuttaa fyysistä tuhoa/sabotaasia, kuten Stuxnet osoitti, sen aiheuttamat ihmishenkien menetykset ovat todennäköisesti pienemmät ja sen aiheuttama vaikutus ei välttämättä ole yhtä lopullinen kuin perinteisiä kineettisiä aseita käyttäessä. Ongelma tässä vaiheessa kehitystä on kuitenkin vielä se, että sivuvaikutusten analysointi ennalta on vaikeata, koska halutun kohteeseen vaikuttaminen voi aikaansaada odottamattomia vaikutuksia muualle. Lainsäädännöllinen tarkastelu jatkuu myös kokonaisvaltaisesti, vaikka tässäkin viitekehyksessä on päästy isoja askelia eteenpäin.

Viime aikaisissa aseellisissa konflikteissa kyberelementti on ollut esillä tai vähintäänkin suunnitelmissa. Tietoverkkopuolustus ei ole vielä saavuttanut samanlaista asemaa, kuin perinteisillä puolustushaaroilla – sen tarpeellisuutta, olemassa olon oikeutta ja käyttömahdollisuuksia kyseenalaistetaan edelleen, joskin huomattavan paljon vähemmän kuin ennen. Tietoverkkopuolustus on kuitenkin nostettu yhdeksi maanpuolustukselliseksi kehityskohteeksi monessa maassa, vaikka panostuksen määrä ja laatu vaihtelee maittain.

Tietoverkkopuolustuksen ja ilmapuolustuksen rinnakkaisuuksista

Tietoverkkopuolustuksella ja ilmapuolustuksella on paljon yhteistä, joskin erojakin on.

Sekä tietoverkko- että ilmapuolustus toimivat taktisella tasolla ajallisesti hyvin nopeatempoisesti ja niiden oikea-aikainen käyttö edellyttää korkeata valmiutta. Kummankin toiminta perustuu vahvasti modernin teknologian hyväksikäyttöön. Kummatkin tarvitsevat toimiakseen erikoisosaamista. Molempia sorrutaan usein käsittelemään enemmän tekniikan (tietokoneet ja lentokoneet sensori- ja asejärjestelmineen) ja taktiikan (häkkäämisen ja ilma-operaatioden toteuttamisen) näkökulmasta kuin siitä, miten tietoverkkoja ja ilma-asetta tulisi käyttää operatiivisen ja strategisen tason toiminnan tukemiseen, osana muita yhteiskäyttöisiä suorituskykyjä, perustuvatpa ne sitten ”kovaan ja kineettiseen” (aseelliseen) vaikuttamiseen tai ”pehmeään ja ei-kineettiseen” (asenteelliseen) vaikuttamiseen. Kummatkin ovat suhteellisen nuoria, jos verrataan maa- ja meripuolustukseen, joilla on tuhansien vuosien historia takana.

Toki erojakin on. Siinä missä tietoverkkopuolustus verrattuna perinteisiin puolustushaaroihin on hyvinkin pienikustanteinen, on ehkä ilmapuolustus kustannuksien toisessa ääripäässä. Tietoverkkopuolustuksella ei myöskään ole samanlaisia maantieteellisiä rajoituksia; toiminta ei tunnista valtiollisia rajoja tai maantieteellistä etäisyyttä; uhka voi tulla mistä päin tahansa ja tekijä voi periaattessa olla kuka tahansa, jolla on riittävästi osaamista, vaikkakaan resurssitarvetta ei missään tapauksessa tule tässäkään vähätellä. Tietoverkkopuolustuksella ei myöskään ole samalla tavalla ajallisia rajoituksia; siinä missä perinteisiä suorituskykyjä käytetään vasta konfliktivaiheessa, on kybertoiminta arkipäivää jo syvässä rauhan tilassa – ja tämä on tärkeätä ymmärtää! Lisäksi, vaikka tietoverkkopuolustus saattaakin aiheuttaa fyysistä tuhoa välillisesti, sillä ei kuitenkaan ole samanlaista suoraa kineettistä vaikutusta, kuin ilmavoimilla tai muillakaan puolustushaaroilla.

Kaikilla puolustushaaroilla ja tietoverkkopuolustuksella on paljon opittavaa toisistaan. Ehkä aika-aspektit ja teknologiakeskeisyys ovat ne, jotka yhdistävät erityisesti ilmapuolustusta ja tietoverkkopuolustusta, monessa asiassa?

Miksi verrata perinteisiin puolustushaaroihin?

Miksi on mielenkiintoista verrata tietoverkkopuolustusta muihin puolustushaaroihin?

Tietoverkkopuolustuksen ympärillä liikkuu valtava ”hype”. Mielikuvat ovat usein kuin  jostain Matrix-elokuvasta tms otettua. Kuitenkin täytyy ymmärtää, että kun puhutaan tietoverkkopuolustuksesta osana demokraattisesti toimivan valtion maanpuolustuksellista suorituskykyä, pätee sen käyttöön pitkälti samankaltaiset lainalaisuudet kuin perinteistenkin suorituskykyjen kohdalla. Se ei ole omaa irrallista huvin vuoksi tehtävää puuhastelua, vaan selkeästi säädeltyä ja valtuutettua toimintaa, jota johdetaan samalla tavalla kuin muitakin suorituskykyjä voimankäyttötilanteissa.

Lisäksi on tunnistettava se tosiasia, että monet länsimaalaiset asevoimat ovat kehittäneet niin kutsutun verkostoavusteisen puolustuskonseptin, ja niiden puolustushaarat perustuvat vahvasti teknologiaan. Siellä missä on teknologiaa, on myös haavoittuvuuksia, jotka ovat saavutettavissa kyberavaruuden kautta. Tietoverkkopuolustukseen liittyy vahva suojautumisen komponentti; tietoverkkopuolustuksen tulee myös tältä osin varmistaa muiden puolustushaarojen toimintakykyä.

Näin ollen tietoverkkopuolustus ei ole mikään oma irrallinen kupla, ja sitä pitää sen takia nimenomaan käsitellä kontekstissa, osana muuta maanpuolustusta ja perinteisten puolustushaarojen rinnalla.

17/09/2011

Kyberturvallisuusmietintöjä Ruotsissa


Ruotsalainen politikko Håkan Juholt piti painavan puheenvuoron kyberuhkista julkisen sektorin tietoturvallisuuskonferenssilla elokuussa 2011. Puhe löytyy täältä, mutta koska se on ruotsiksi arvelen sen jäävän monelta kuuntelematta. Päätin sen takia kirjoittaa blogipostin Juholtin puheesta ja tuoda esille hänen viestinsä, sillä se on mitä suuremmassa määrin relevantti myös Suomen kannalta.

Juholtin puheenvuoron alussa hän ottaa esille Utöyan tapahtumat ja toteaa, että vaikka kyseinen tapahtuma ei tulisi liittää tähän viitekehykseen, niin se oli kuitenkin hyökkäys arvomaailmamme kohtaan.  Toisin kuin esim. Libyassa, niin meihin ei kohdistu niinkään alueellisia uhkia, vaan ne kohdistuvat meille tärkeisiin asioihin, kuten arvoihin ja toiminnallisuuteen. Meitä on mahdollista kyykyttää vahingoittamalla arvomaailmanne ja toiminnallisuutemme. Tässä tietoturvallisuus ja kyberturvallisuus astuvat kehiin.

Juholt näkee kyberuhkan turvallisuuspoliittisena asiana ja peräänkuuluttaa poliittista keskustelua painopisteen muuttamisesta sekä eri toimijoiden tehtävistä, resurssoinnista ja lainsäädännön muutostarpeista. Uhka ei enää sijaitse Kremlin muurien sisällä, vaan maailmassa on paljon enemmän tahoja, jotka mahdollisesti haluavat vahingoittaa yhteiskunnan ja käyttää yhteiskunnan haavoittuvuudet hyväkseen. Painostuskeinojen ja vallankäytön menetelmien lukumäärä ovat lisääntyneet. Kokonaismaanpuolustuksesta pitäisi siirtyä välittömään kriisinhallintaan, jossa kaikki ovat mukana, eikä niin kuin ennen, että kaikki ovat olemassa enemmän tai vähemmän vain puolustusvoimien tukemiseen, kun tämä vastaa uhkaan. Yhteistoiminta on välttämättömyys.

Juholt kertoi vierailleensa Yhdysvalloissa noin 1999-2000 paikkeilla tarkoituksena tavata alan amerikkalaisia tutkijoita. Hän kuvitteli, että tapaisi joukon vanhempaa väkeä, mutta vastassa olikin puolustusministeriön palkkaamia 17-23 –vuotiatia fiksuja nuoria ihmisiä, joille oli annettu tehtävä penkoa läpi puolustushallinnon järjestelmiä osoittaakseen, mikä olisi mahdollista. He näyttivät, miten kääntäisivät tiedustelusatelliitin tai ottaisivat ison 200 lentokonetta kuljettavan sotalaivan haltuunsa; kun kapteeni käänsi laivan vasemmalle, käänsivät nuoret laivan oikealle. Kahlattuaan puolustushallinnon järjestelmiä läpi he kääntyivät tarkastelemaan yhteiskunnan järjestelmiä, jotka olivat vielä haavoittuvampia; olihan kuitenkin sotilaspuolen turvallisuusajattelu vähän edistyneemmällä tasolla. He aloittivat sairaaloista ja osoittivat, että 7 minuutissa oli mahdollista vaihtaa kaikkien veripussien identiteetit 10 suurimman kaupungin sairaaloissa.

Juholt jäikin pohtimaan kysymystä, miten suojata veripusseja. Kyseltyään asiaa paikalliselta sairaalalta, jossa hän yleensä luovuttaa verta, sai hän vastauksen, että veripussit ovat kaikki suljettujen ovien takana ja kaikki on hyvin. Mutta kysehän ei olekaan siitä, että joku tulisi varastamaan sata veripussia yhtäkkiä, vaan siitä, että joku voisi saada aikaan kaaoksen sairaalassa, kun esim. hetki terrori-iskun jälkeen ihmiset päästyään sairaalaan saavat väärää verta. Ja kuka ruotsalaisessa politiikassa on vastuussa siitä, että kansalaiset saavat sitä oikeata verta? Onko se terveysministeri? Puolustusministeri? IT-ministeri? Oikeusministeri? Vai onko se jonkun sairaalassa osa-aikatyötä tekevän turvallisuusvastaavapoloisen? Kansalliseen turvallisuusajatteluun kuuluu huolehtia, että kansalaiset saavat oikeanlaista verta. Tämä ei kuitenkaan sovi nykyiseen vanhanaikaiseen ja siilomaiseen ministeriöjakoon.

Seuraavaksi esimerkiksi Juholt nostaa sähkönsaannin. Kuinka pitkään sairaala pyörisi, jos siltä häviäisi sähköt? Sairaalan vastuuhenkilö osasi tarkasti kertoa, kuinka pitkään sairaala kestäisi, ja kertoi sairaalan sopineensa vastapäätä olevan huoltoaseman kanssa mahdollisuudesta saada dieseliä. Käytyään huoltoasemalla kävi kuitenkin ilmi, että huoltoasema ei kykene pumppaamaan dieseliä ilman sähköjä eikä käsipumppua ollut. Ratkaisuksi kuviteltu kuvio olikin yhtä vahva kuin sen heikoin lenkki. Mutta kenen vika se olisi ollut, jos jotain olisi sattunut? Sairaalan vai huoltoaseman? Pääviestinä lienee, että vaikka kaikki omillaan tekevät täysin oikein, voi lopputulos silti olla täysin väärä.

Juholt jatkaa puheensa kertomalla uhkakuvan muutoksesta nuorten poikien ja tyttöjen tekemistä tihutöistä järjestäytyneeseen rikollisuuteen ja valtioihin kohdistuvaan toimintaan. Hän mainitsee, että järjestäytynyt kyberrikollisuus on ohittanut järjestäytyneen huumekaupan mitä taloudelliseen kannattavuuteen tulee. Tämä on mahdollista, koska järjestelmiä ei ole kehitetty ottan huomioon turvallisuusnäkökulmia, vaan pelkästään kaupallisten intressien pohjalta. Samaan aikaan järjestelmien riippuivaisuus toisistaan ovat kasvaneet.

Varautuaakseen vaaditaan sekä osaamista alhaaltapäin että ärsykkeitä ylhäältä päin: rahoitusta, direktiivejä, regulointia, priorisointia ja kompetenssiä. Juholt toteaa, että lähestulkoon kaikki muut asiat ovat reguloitua; meriliikenne, lentoliikenne, jne. Jokainen saa rakentaa laivan ja kulkea merellä, mutta kaikki ovat samaa mieltä siitä, että piratismiä ei tule sallia. Olemme tottuneita siihen, että tiedämme miltä uhka näyttää, miten siihen pitää vastata ja kuka sen uhkan muodostaa. Mutta nykyään kuka tahansa voi muodostaa uhkan, kuka tahansa voi olla kohteena ja tekijä voi sijaita missä vaan. On mahdotonta varautua kaikkeen ja suojautua täysimittaisesti, mutta varautumiseen on osoitettava resursseja, yhteistoimintaan on panostettava ja on ymmärrettävä, miten maailma on muuttunut.

Juholt esittää muutamia ratkaisuvaihtoehtoja:
  •  Tulee perustaa kyberturvallisuusministeriö ja –ministeri. Matkalla sinne asia tulee poliittisesti koordinoida valtioneuvostotasolla, koska tämä asia leikkaa läpi kaikkia toimintoja. Siilot on rikottava ja on annettava poikkihallinnollista vastuuta yhden johdon alle. Samaa tulee tehdä viranomaistasolla. Viranomaisten välinen yhteistyö on erinomaisen tärkeä, mutta on kuitenkin oltava yksi selkeä taho, joka johtaa, ja tämä tehtävä on osoitettava kyseiselle taholle etukäteen. Yhteistyö viranomaisten sivutehtävänä tai opintopiirien avulla ei riitä. 
  • On tehtävä poliittinen selvitys, joka tarkastaa omien offensiivisten kykyjen kehittämisen tarpeet, säännöt, periaatteet ja vastuut. Maailmassa on olemassa valtioita, jotka esim. kehittävät haittaohjelmia kohdistaakseen niitä muita valtioita vastaan. Juholt ei halua, että yksittäiset asiantuntijat, pankit, organisaatiot jne. ottavat asian omiin käsiinsä koska politikot eivät halua koskea asiaan. Hän haluaa poliittisen, hallitun, demokraattisen ja kattavan selvityksen miten Ruotsi voi puolustaa itseään offensiivisin keinoin.
  • Avainhenkilöt eri organisaatioissa on saatava verkostoitumaan ja organisoitumaan.
  • Lainsäädäntö on kehitettävä siten, että se ottaa kyberturvallisuusasiat huomioon. Sen pitää tukea uutta ruotsalaista puolustuspolitiikkaa. Juholt korostaa, että Ruotsi olisi asiassa edelläkävijämaa jos vaan jaksaisi tarttua asiaan.

Juholt päättää puheensa toteamalla, että tämä ei ole mikään puolueita erottava kysymys. Tarvitaan vain vähän rohkeutta, sitkeyttä ja päättäväisyyttä ja tästä voi tulla ihan hyvä juttu.

Herättäisin keskustelua Juholtin puheesta. Miten tätä pitäisi nähdä Suomessa? Miltä osin kohtaamme samat haasteet? Onko Suomessa jokin paremmin tai huonommin toteutettu mitä kyberuhkaan ja siihen varautumiseen liittyy? Miten näette Juholtin esittämät ratkaisut? Löytyisikö meiltä rohkeutta, sitkeyttä ja päättäväisyyttä tehdä tästä hyvä juttu?

09/09/2011

Verkostoavusteinen puolustus ja tietoverkkopuolustus - mitä eroa?

Kesäloman jälkeen on aika palata blogin kirjoittamiseen. Tällä kertaa ajattelin ottaa aiheeksi kaksi ilmiötä, jotka kuulostavat samanlaisilta ja sen takia käytetään ristiin. Tarkoitus on kirjoittaa niiden eroista ja missä ne kohtaavat. Kummatkin ilmiöt lienevät rakkaita lapsia, silä kummallakin on monta nimeä, mutta ei anneta sen häiritä.

Toinen ilmiö on verkostoavusteinen puolustus, jolle löytyy synonyymejä vähän tarkastelukulmasta riippuen: verkostosodankäynti, verkostokeskeinen puolustus, verkston mahdollistamat suorituskyvyt,... Englanniksi on esiintynyt termejä kuten network centric warfare, network based defence ja network enabled capabilities.

Toinen ilmiö on blogini aiheeseen liittyvä, eli tietoverkkopuolustus, jolle myös löytyy synonyymejä vähän tarkastelukulmasta riippuen: tietoverkkosodankäynti, kybersodankäynti, kyberpuolustus, verkkosodankäynti,... Englanniksi on esiintynyt termejä kuten net warfare, cyber warfare, cyber defence, jne.

Verkostoavusteisen puolustuksen perusidea on, että taistelukykyä kasvatetaan verkottamalla päätöksentekijät, asejärjestelmät ja sensorit saavuttaakseen jaettu tilannekuva, nopeampi päätöksenteko ja sitä myöten toiminnan nopeus sekä itsesynkronointi. Länsimaalaiset asevoimat ovat varsinkin viime vuosikymmenenä panostaneet vahvasti verkostoavusteisen puolustuksen kehittämiseen.

Tietoverkkopuolustuksella taas tarkoitetaan "kyberavaruudessa" tapahtuvaa toimintaa, joka on rinnastettavissa perinteisissä toimintaympäristöissä (maa, meri, ilma ja avaruus) tapahtuvaan toimintaan. Tällöin keinovalikoimaan kuuluu vaikuttaminen kyberavaruuden kautta haluttuihin kohteisiin tietyn tavoitteen saavuttamiseksi, mutta myös suojautuminen vastaavanlaista toimintaa vastaan.

Ilmiöinä verkostoavusteinen puolustus ja tietoverkkopuolustus ovat erilaisia. Keskinäisriippuvuuksia kuitenkin löytyy. Verkostoavusteinen puolustus perustuu kolmeen tasoon: fyysinen taso, informaatiotaso ja kognitiivinen taso. Fyysisellä tasolla tarkoitetaan niitä fyysisiä infrastruktuureja, jotka ylipäänsä mahdollistavat verkostoavusteisen toiminnan. Informaatiotasolla tarkoitetaan tässä virtuaalisessa ympäristössä olevaa tietoa, mitä tarvitaan esimerkiksi päätöksentekoon. Kognitiivisella tasolla tarkoitetaan tässä ympäristössä toimivien ihmisten tietämystä ja tilannetietoa. Tietoverkkopuolustuksen menetelmin on mahdollista vaikuttaa verkostoavusteiseen puolustukseen sen fyysisellä tasolla sekä sen informaatiotasolla kohdentamalla hyökkäys infrastruktuuriin ja/tai tietoon. Näin ollen näiden tasojen suojaaminen kyberhyökkäyksiltä on perusedellytys verkostoavusteisen puolustuksen toimintaan. Toisaalta on mahdollista johtaa tietoverkkopuolustusta verkostoavusteisen puolustuksen menetelmin perinteisten suorituskykyjen rinnalla.

Tämä kirjoitus on totta kai räikeä yksinkertaistus kummastakin ilmiöstä, mutta tavoitteena oli korostaa niiden erot unohtamatta niiden liittyminen toisiinsa. Kehottaisin lukijoitani taas aktivoimaan keskustelemaan ilmiöiden keskinäisriippuvuuksista! Ehkä löydämme taas uusia näkökulmia asiaan!





03/07/2011

Kyber toimintaympäristönä?

Viime kevään aikana keskustelu siitä, mitä kuuluu "kybertoimintaympäristöön" ja mitä ei, on ollut vilkasta. Näkemyksiä on laidasta laitaan.

Osa ovat sitä mieltä, että kybertoimintaympäristö on sama kuin Internet. Mielestäni tämä näkemys on kuitenkin liian rajoittunut. On paljon muitakin verkkoja, verkostoja ja järjestelmiä, jotka ovat merkittäviä toiminnan kannalta, mutta jotka eivät olet kytköksessä Internettiin millään tavalla. Tällä määritelmällä myös historian ehkä toistaiseksi merkittävin ja tunnetuin kybertapahtuma, eli Stuxnet, jäisi kybertoimintaympäristöstä pois.

Toinen näkemys on se, että käytännössä kaikki ICT-teknologia ovat osa kybertoimintaympäristöä. Sinänsä verkkoteoria tukisi tätä näkemystä siltä osin, että verkko voi koostua vain yhdestä solmusta, tai verkko voi koostua useammasta solmusta, jotka eivät ole toisiinsa kytkettyinä; verkko on tässä jälkimmäisessä tapauksessa vain epäyhtenäinen. Tästä teoriasta ei mielestäni ole käytännön tason hyötyä; syntyy inflaatio, jonka mukaan kaikki on kyberiä, jonka jälkeen mikään ei ole kyberia. Ehkä kyberavaruus voisi olla tämä kaikkea kattavaa ICT:tä, mutta toimintaympäristö lienee se osa avaruutta, jossa de fakto toimitaan?

Samalla minua häiritsee se, että kyberin määritelmiä yritetään sitoa liian vahvasti teknologiaan, eikä niinkään vaikuttavuuteen toimintaan.

Ehkä mitään kiveen hakattua matemaattisesti tarkkaa määritelmää ei ole, vaan toimintaympäristö on joitakin kriteereitä täyttävä kokonaisuus, jota pitää ymmärtää tapauskohtaisesti? Esim. ei ehkä ole kovinkaan mielekästä miettiä yksittäistä kotitietokonetta merkittävänä toimintaympäristön osana, mutta kun tämä sama kotitietokone yhdessä tuhansien muiden, samankaltaisten tietokoneiden kanssa muodostaa bottiverkon, jolla tehdään vaikutukseltaan tuhoisan palvelunestohyökkäyksen johonkin kohteeseen, joka aiheuttaa useampien miljoonien eurojen menetykset tai jopa ihmishenkien menetyksiä, on tilanne toinen.

Mielestäni toimintaympäristön kriteereihin pitäisi kuulua ainakin seuraavat asiat:
1) Toimintaympäristöön kuuluu ne laitteet/ohjelmistot, joiden kautta on mahdollista saada aikaan vaikutus johonkin "merkittävään" toimintaan. Vaikutus voi olla fyysinen (esim. sabotaasi, niinkuin Stuxnetin tapauksessa), toiminnallinen (rahaliikenne), sosiaalinen (vaikuttaa päätöksentekoon tai maineeseen), tai jotain muuta vastaavaa.

2) Koska vaikutus saadaan aikaan näiden laitteiden/ohjelmistojen kautta, tulee niillä olla rajapintoja (I/O), jonka kautta ne kommunikoivat toisten laitteiden tai käyttäjien kautta. Tämä ei siis tarkoita, että rajapinnat ovat aina auki ja käytössä; pointtina on lähinnä se, että niiden toimintaan voidaan vaikuttaa niiden ulkopuolelta.

3) Pitää olla olemassa taho, jolla on riittävä kyky ja motivaatio vaikuttaa ko ympäristössä. Tai vähintään pitää olla realistisesti mahdollista, että tällainen taho voi ilmestyä jostain.

Nämä kriteerit eivät ehkä vie eteenpäin kybertoimintaympäristön määrittämisessä, mutta ehkä ne auttaa analysoimaan yhteiskunnan ja elinkeinoelämän kannalta ne kohteet, jotka ovat jollain tavalla mielenkiintoisia. Herättäisinkin lukijoitani, mikäli kesälomiltanne ehditte, kirjoittamaan omia näkemyksiänne! Mikä on kybertoimintaympäristöä ja mikä ei, onko se aina yksi ja sama, vai onko tarkasteltava tapauskohtaisesti,... ?

18/06/2011

Hallitusohjelma tunnusti kyberturvallisuuden merkityksen

Uusi hallitusohjelma on vihdoin valmis. Kyberturvallisuuskin nousi osaksi turvallisuus- ja puolustuspolitiikkaa, jossa todetaan seuraavaa:
Keskinäisriippuvaisessa maailmassa uudet turvallisuushaasteet, kuten ilmastonmuutos, hallitsemattomat muuttoliikkeet, köyhyys ja eriarvoisuus, epidemiat, kansainvälinen rikollisuus, joukkotuhoaseiden leviäminen, terrorismi ja tietoverkkoihin kohdistuvat hyökkäykset, vaativat laajan turvallisuuskäsityksen mukaista johdonmukaista varautumista.
Tietoverkkojen toimintavarmuus on välttämätöntä modernin tietoyhteiskunnan toiminnalle. Hallitus laatii kansallista tietoverkkoturvallisuutta koskevan kyberstrategian ja osallistuu aktiivisesti alan kansainväliseen yhteistyöhön. Tavoitteena on, että Suomi on yksi johtavista maista kyberturvallisuuden kehittämisessä.
On erittäin myönteistä, että "kyberuhka" on tunnistettu yhtenä merkittävänä turvallisuushaasteena ja että kansallinen kyberturvallisuusstrategia on nostettu esille! Myös kansainvälisen yhteistyön korostaminen on myönteistä, sillä kansainvälinen yhteistyö on kyberturvallisuuden perusedellytys; verkko toimintaympäristönä ei tunnista valtion rajoja. Yhteistoiminnasta ja tiedon vaihdosta on sovittava ennalta riittävän toimintakyvyn saavuttamiseksi. Toimintakyvyllä tarkoitan tässä muun muassa CERT-yhteistyötä sekä valvonta- ja reagointikykyä jne. Lisäksi on tarpeen saavuttaa yhteismitallisuutta politiikka- (policy) ja lainsäädäntötasolla. Töitä saralla kyllä riittää, sillä sellaisistakin perusasioista, kuten kyberkäsitteen määrittelystä ja laajuudesta, ei ole toistaiseksi yhteistä näkemystä.

Kyberturvallisuuden kehittäminen vaatii kuitenkin resursseja. Nähtäväksi jää, miten se kiristyvässä säästöohjelmassa tulee toteutumaan. Viestintäviraston "Verkot- ja turvallisuus"-tulosalueen johtaja Timo Lehtimäki on usein osuvasti todennut, että hän osaa kertoa, mitä nollalla eurolla saa. Se pätee tässäkin asiassa. Toivottavasti tavoitteeseen siis halutaan panostaa, sillä kustannukset tietoverkkohyökkäykseltä toipumisesta saattavat nousta korkeiksi, ellei varautumisesta ole asianmukaisesti huolehdittu.

Todettakoon kuitenkin, että maininta hallitusohjelmassa on kyberturvallisuuden kehittämisen kannalta valo tunnelin päässä, eikä se tällä kertaa taida olla se vastaan tuleva pikajuna...



12/06/2011

Kyberturvallisuutta ja koulutuksen & tietämyksen kasvattamisen tarve

Monesti kyberturvallisuuskeskusteluissa nousee esille tarve alan koulutukseen sekä tietämyksen kasvattamiseen. Nostaisin tämän seuraavan blogipostaukseni aiheeksi ja toivon, että tämäkin aihe herättää keskustelua ja ideointia! Olen itse aina suhtautunut skeptisesti jonkun aihepiirin teemapäiviin; vaikka ne voi olla kuinka hyvin järjestettyjä tahansa, niin ne tavoittaa käytännössä niitä, jotka jo tietävät asiasta jotain sekä joitakin valittuja kohderyhmiä. Tämä ei välttämättä aina riitä!

Mieleeni tulee muutama mahdollisuus, miten koulutusta ja tietämystä voidaan lisätä:

Turvallisuusvalistusta peruskoulussa: peruskoulussa annetaan opetusta liikenneturvallisuudesta sekä varoitetaan "vaarallisista sedistä" jne. Jos miettii peruskoulutusta nykypäivänä, niin miksei tietokoneen ja Internetin turvallisen käytön perusteet voisi pitää jokaisen kansalaisen perustaitona, jota opetetaan jo peruskoulusta asti? Tällä en tarkoita sitä, että jokaisesta lapsesta tehdään tekninen nörtti, mutta lapsia voitaisiin hyvinkin valistaa verkossa vaanivista vaaroista sekä opettaa tietokoneen turvaamisen perusteet. Se, mitä tällä saavutettaisiin olisi paremmin suojattuja kotikoneita, joita olisi vaikeampi kaapata rikolliseen toimintaan sekä valistuneita netin käyttäjiä, jotka eivät lankea nigerialaiskirjeisiin tai muihin, ammattimaisemmin toteutettuihin huijausyrityksiin. Niinkuin liikennevalistus ei poista liikenneonnettomuuksia ei tämäkään poistaisi varsinaista ongelmaa, mutta tietämys asiasta vaikuttaisi asenteisiin ja monet ongelmat voidaan ennaltaehkäistä.

Alan koulutusta ammattikorkeakouluissa ja yliopistoissa: alan koulutusta tulisi antaa ammattikorkeakouluissa ja yliopistoissa. Teknillinen korkeakoulu (nykyään Aalto-yliopisto) järjesti aikoinaan (ehkä järjestää vieläkin) nk "hakkerikurssin". Perusfilosofia oli se, että jos et tunne yleisimmät hyökkäysperiaatteet etkä osaa niitä suorittaa, niin et osaa myöskään suojautua asianmukaisesti. Mielestäni tämä ajatusperiaate on aivan oikea. Silloinkin oli tahoja, jotka kauhistelivat kurssia ja ihmettelivät, opettaako TKK opiskelijoita rikolliseen toimintaan. Mediaankin noussut keskustelu oli varsin liioiteltu: kurssilla opetetut asiat eivät olleet ydintiedettä eikä ketään kannustettu mihinkään tihutyöhön; päinvastoin. Vastuullisesti koulutettiin opiskelijoita, joista suuri osa sittemmin on sijoutunut töihin erinäisiin tietoturvallisuustehtäviin. Yhdestäkään gangsterista en ole vielä kuullut.

Välijohtoportaan koulutus: monesti välijohtoporras on puun ja kuoren välissä: toisaalta pitää saavuttaa ylimmän johdon antamia tavoitteita, toisaalta pysyä budjetissa ja aikataulussa ja pitää asiakkaat tyytyväisinä. Kun joku turvallisuusihminen sitten tulee puhumaan uhkakuvista ja riskitekijöistä, saattaa tämä alussa kuulostaa ärsyttävältä itikalta, jota haluaisi liiskata seinään. Tämä johtoporras on kuitenkin tärkeässä roolissa turvallisuuden toteuttamisen kannalta ja heitä pitäisi saada näkemään turvallisuuden osana liiketoimintaa, eikä lisävelvoitteena, joka vain maksaa. Tämä voi olla vaikea pähkinä; ideoita?

Ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen: myös ylimmän johdon sekä poliittisen johdon tietämyksen parantaminen aiheesta olisi tärkeätä. Heitä pitäisi saada näkemään kokonaisuuksia sekä sitä, miten kyberuhat voivat olla uhka valtion taloudelle ja turvallisuudelle. Kansallisen kyberturvallisuuden rakentamiseksi tarvitaan ehdottomasti tämän portaan tuki, jonka takia tietämystä aiheesta tulisi lisätä kokonaisvaltaisesti. Ei riitä, että uhka on tunnistettu siellä täällä, hajanaisesti. Tähän ehkä hyvin järjestetty teemapäivä, johon on kerätty edellä mainitusta kohderyhmästä edustajia, voisi olla paikallaan.

Avaan keskustelua siitä, mitä kohderyhmiä tulisi kouluttaa ja miten se voitaisiin tehdä! Olisi kiinnostavaa kuulla tämän blogin lukijoiden ajatuksia ja ideoita - keskustelu on toistaiseksi ollut todella mielenkiintoinen, joten odotan innolla kommenttejanne!

08/06/2011

Kyberterrorismi - onko sitä?

Seuraavaksi nostaisin keskustelupöydälle kyberterrorismin (cyber terrorism) ja kyseenalaistaisin, onko sellaista?

Perinteisesti kun puhutaan kyberterrorismista voidaan tarkoittaa kahta asiaa: miten terroristijärjestöt käyttävät Internettiä oman toiminnan kehittämiseen sekä miten terrori-iskuja voitaisiin toteuttaa kyberavaruuden (= Internetin lisäksi kriittiset infrastruktuurit jne jne) kautta. Käytännössä tästäkään termistä ei ole yksiselitteistä määritelmää.

Terroristijärjestöt ovat jo vuosia sitten keksineet, miten Internettiä voidaan hyödyntää siten, että se tukee järjestön toimintaa. Nettiä on hyödynnetty tehokkaasti propagandaan, rekrytointiin, koulutukseen, peitetoimintaan, rahansiirtoon sekä viestintään ja iskujen suunnitteluun. Erilaisten verkkosivustojen kautta on levitetty voimakkaitakin viestejä, esim. videokuvia iskuista ja niiden aikaan saamista tuhoista, samalla painottaen järjestön omaa aatetta ja teon oikeutusta. Verkkokeskusteluiden ja tsättien kautta on tavoiteltu "tavallisia" ihmisiä ja saatu heidät liittymään järjestöön ja sen toimintaan. Koulutusta on annettu ja myös maaleja kyetty osoittamaan. Verkottunut toiminta on ollut hyvin tehokasta monessakin mielessä.

Mutta onko tämä "kyberterrorismia", vai pelkstään vihamielisten järjestöjen tapa käyttää Internettiä "kutakuinkin" samalla tavalla, kuin kaikki muutkin? Laillisetkin organisaatiot suunnittelevat, miten hyödyntävät netin tiedottamiseen, rekrytointiin, johtamiseen, tiedonvaihtoon jne. eikä silloin puhuta "kyberviestinnästä" tai "kyber-rekrytoinnista". Onko laiton toimintaperiaate yhtäkkiä peruste sille, että toiminnasta tulee "kybertoimintaa", jopa "kyberterrorismia"? Minun mielestäni ei. Aihepiiristä voi lukea lisää esim. Dr. Maura Conwayn tai Dr. Itamara Lochardin kirjoituksista.

Toinen määritelmä puolestaan liittyy ajatukseen, miten terroristijärjestöt voisivat toteuttaa terrori-iskun hyödyntämällä kyberavaruuden perinteisten fyysisten iskujen tilalla tai rinnalla. Tämä on varmaan ajatuksellisesti lähempänä sellaista toimintaa, mitä voitaisiin kuvata termillä kyberterrorismi. Tällaista ei olla (onneksi) toistaiseksi vielä koettu. Sinänsä on hyvinkin mahdollista, että esimerkiksi kriittiseen infrastruktuuriin kohdistuva verkkohyökkäys voisi saada aikaan sellaista tuhoa, jossa kuolee ihmisiä samalla laajuudella, kuin perinteisenkin iskun jäljiltä. Mitä eroa on sitten siinä, kuolevatko ihmiset räjähdykseen vai verkkohyökkäyksen aiheuttamaan tapahtumaan, jonka seurannaisvaikutus on samankaltainen?

Ero tulee EHKÄ siinä - ja nyt korostan sanaa EHKÄ, koska minulla ei ole psykologista taustaa enkä sinänsä ole terrorismin tutkija (toivottavasti joku lukijoistani on ja voi ottaa asiaan kantaa) - että terrori-iskuun liittyy vahva viestinnällinen komponentti; jotain, mikä herättää kansan riveissä pelkoa ja epävarmuutta, jotain mikä näyttää telkkarista tai nettivideosta katsottuna kamalalta ja herättää tunteita, jotain, mikä koskettaa. Näyttävä räjähdys fyysisessä maailmassa, jota me kaikki jollain tasolla ymmärrämme ja käsitämme, voi saada aikaan tällaisen tunnereaktion. Mutta voiko virtuaalisen maailman kautta tullut verkkohyökkäys, joka ei tavalliselle ihmiselle näy, kuulu, haise tai tunnu, aiheuttaa samanlaisen pelon tunteen? Tästä en ole niinkään varma!

Ja jos tämä pelon komponentti jää yhtälöstä pois, niin onko kyberympäristö terroristijärjestöille se  "tarkoituksenmukaisin" toimintaympäristö? Jääkö termi kyberterrorismi vain hypoteettiseksi ajatukseksi?

En osaa vastata. Toistaiseksi kuitenkin kyseenalaistan "kyberterrorismi" -käsityksen, joskaan en todellakaan vähättele ongelmaa, joka muodostuu terroristijärjestöjen tavasta hyödyntää Internettiä omiin tarkoituksiin. Mutta tulisiko sitä toimintaa kuitenkin käsitellä kyberrikollisuuden tavoin?

05/06/2011

Kansallisia kyberturvallisuusstrategioita

Olen kevään mittaan kuluttanut aikaa lukemalla eri maiden kyberturvallisuusstrategioita ajatuksena vertailla niitä. Tarkastelun alla on ollut ainakin Viron, Norjan, Saksan, Hollannin, Ranskan, Iso-Britannian, Kanadan, Yhdysvaltojen sekä Australian kyberstrategiat. Havainnot ovat olleet mielenkiintoisia.

Yhtäläisyyksiä strategioissa on paljon, joskin myös eroavaisuuksia. Pähkinäkuoreessa voisi todeta, että strategiat tunnistavat samoja uhkatekijöitä ja päätyvät hyvin samankaltaisiin ratkaisuihin, mutta terminologiasta ja laajuudesta ei päästä yksimielisyyteen.

Uhkatekijät jaetaan pääosin kahteen kategoriaan: valtiollisiin ja ei-valtiollisiin. Ensiksi mainittuun lukeutuu asevoimat sekä tiedusteluorganisaatiot, kun taas toiseen rikolliset, terroristit ja haktivistit. Terrorismista todettakoon sen verran, että sillä voidaan tarkoittaa joko toimintaa, jossa terroristit hyödyntävät kyberavaruutta propagandaan, kouluttamiseen, tiedonvälitykseen ja rekrytointiin, tai toimintaa, jossa fyysisessä maailmassa tapahtuvan terrori-iskun vaikutuksia yritetään saada aikaan kyberavaruuden kautta. Jälkimmäinen saattaa jäädä hypoteettiseksi ajatukseksi, sillä terrorismiin liittyy vahvasti ihmisissä muodostunut pelko - vaikea sanoa, onko mahdollista saada aikaan samanlaista psykologista vaikutusta ilman mieleen painuvia, telkkarista nähtyjä kuvia räjähdyksistä, tuhoista ja massakuolemista. Haktivismista voi todeta, että tekijöinä voi olla jonkun idealistisen näkemyksen taakse muodostunut, globaalisti ja ad hoc -maisesti toimiva ryhmittymä tai valtion tukema ja suojelema ryhmä.

Ratkaisuissa päädytään hyvin samankaltaisiin ajatuksiin ja rakenteisiin:

  1. Poikkihallinnollisen yhteistyön merkitystä korostetaan, ottaen huomioon niin julkisen kuin yksityisen sektorin. Todetaan, että valtion kyberturvallisuudesta huolehtiminen ei voi olla yhden yksittäisen hallinnonalan vastuulla, vaan eri viranomaisten toimivaltuudet on tarkennettava. Lisäksi tulee ottaa huomioon, että infrastruktuurin omistajat pääsääntöisesti ovat yksityisen sektorin toimijat, eikä niinkään valtio.
  2. Kansainväliseen yhteistyöhön tulee panostaa, sillä kybertoiminta ei tunne rajoja ja toiminta on globaalia. Lisäksi ystävälliset valtiot voivat avustaa hyökkäyksen kohteena olevaa valtiota.
  3. Lainsäädäntöä tulee tarkastella. Lainsäädäntö ei tunne käsitettä "kyberhyökkäys" eikä aina ole selvää, miten hyökkäystä tulee tulkita: milloin se on rikollisuutta, milloin hyökkäys valtiota kohtaan, milloin jotain muuta. Lainsäädännön tarkasteluun liittyy vahvasti tarve kansainväliseen yhteistyöhön.
  4. Poliittisella tasolla toimivan neuvoa antavan elimen sekä operatiivisen tason kyberturvallisuuskeskuksen perustaminen nousee lähes jokaisessa strategiassa esille.
  5. Tutkimus- ja kehittämistyöhön (R&D) tulee panostaa.
  6. Koulutukseen ja tietämykseen (education and awareness) tulee panostaa kaikilla tasoilla.
Eroavaisuudet puolestaan ovat pitkälti terminologiassa ja laajuudessa. Jotkut strategiat rajaavat kyberavaruuden lähestulkoon puhtaasti Internettiin, kun taas toiset laajentavat sitä koskettamaan myös kriittisen infrastruktuurin kokonaisuudessaan, mukaan lukien teollisuusohjausjärjestelmät, sensorit jne. Norjan kyberstrategian lähestymistapa oli mielestäni sekä hyvä että hauska: he viittasivat suoraan Wikipediaan. Pragmaattista, mutta miksipä ei? 

Muita, ehkä substanssiin meneviä eroja olivat miten kyberturvallisuuteen ja -hyökkäyksiin tulisi suhtautua. Kun Viron strategia korostaa sitä, että verkkohyökkäyksiä tulisi moraalisesti paheksua, toteaa Norjan strategia, että valtion tulee kehittää offensiivisia kykyjä. Suurin osa strategioista ilmaisevat asian ympäripyöreästi todeten, että valtion tulee varmistaa toimintavapautensa kyberavaruudessa: rivien välistä voi valtiosta riippuen arvailla, mitä sillä tarkoitetaan. Eikä sovi unohtaa ne valtiot, jotka toteavat, että voivat vastata sotilaallisin keinoin, mikäli heihin kohdistetaan verkkohyökkäys.

Mainittakoon lopuksi, että Suomen kyberturvallisuusstrategiatyö on lähtenyt käyntiin. Sen on määrä valmistua vuoden 2012 loppuun mennessä.