Viime kevään aikana keskustelu siitä, mitä kuuluu "kybertoimintaympäristöön" ja mitä ei, on ollut vilkasta. Näkemyksiä on laidasta laitaan.
Osa ovat sitä mieltä, että kybertoimintaympäristö on sama kuin Internet. Mielestäni tämä näkemys on kuitenkin liian rajoittunut. On paljon muitakin verkkoja, verkostoja ja järjestelmiä, jotka ovat merkittäviä toiminnan kannalta, mutta jotka eivät olet kytköksessä Internettiin millään tavalla. Tällä määritelmällä myös historian ehkä toistaiseksi merkittävin ja tunnetuin kybertapahtuma, eli Stuxnet, jäisi kybertoimintaympäristöstä pois.
Toinen näkemys on se, että käytännössä kaikki ICT-teknologia ovat osa kybertoimintaympäristöä. Sinänsä verkkoteoria tukisi tätä näkemystä siltä osin, että verkko voi koostua vain yhdestä solmusta, tai verkko voi koostua useammasta solmusta, jotka eivät ole toisiinsa kytkettyinä; verkko on tässä jälkimmäisessä tapauksessa vain epäyhtenäinen. Tästä teoriasta ei mielestäni ole käytännön tason hyötyä; syntyy inflaatio, jonka mukaan kaikki on kyberiä, jonka jälkeen mikään ei ole kyberia. Ehkä kyberavaruus voisi olla tämä kaikkea kattavaa ICT:tä, mutta toimintaympäristö lienee se osa avaruutta, jossa de fakto toimitaan?
Samalla minua häiritsee se, että kyberin määritelmiä yritetään sitoa liian vahvasti teknologiaan, eikä niinkään vaikuttavuuteen toimintaan.
Ehkä mitään kiveen hakattua matemaattisesti tarkkaa määritelmää ei ole, vaan toimintaympäristö on joitakin kriteereitä täyttävä kokonaisuus, jota pitää ymmärtää tapauskohtaisesti? Esim. ei ehkä ole kovinkaan mielekästä miettiä yksittäistä kotitietokonetta merkittävänä toimintaympäristön osana, mutta kun tämä sama kotitietokone yhdessä tuhansien muiden, samankaltaisten tietokoneiden kanssa muodostaa bottiverkon, jolla tehdään vaikutukseltaan tuhoisan palvelunestohyökkäyksen johonkin kohteeseen, joka aiheuttaa useampien miljoonien eurojen menetykset tai jopa ihmishenkien menetyksiä, on tilanne toinen.
Mielestäni toimintaympäristön kriteereihin pitäisi kuulua ainakin seuraavat asiat:
1) Toimintaympäristöön kuuluu ne laitteet/ohjelmistot, joiden kautta on mahdollista saada aikaan vaikutus johonkin "merkittävään" toimintaan. Vaikutus voi olla fyysinen (esim. sabotaasi, niinkuin Stuxnetin tapauksessa), toiminnallinen (rahaliikenne), sosiaalinen (vaikuttaa päätöksentekoon tai maineeseen), tai jotain muuta vastaavaa.
2) Koska vaikutus saadaan aikaan näiden laitteiden/ohjelmistojen kautta, tulee niillä olla rajapintoja (I/O), jonka kautta ne kommunikoivat toisten laitteiden tai käyttäjien kautta. Tämä ei siis tarkoita, että rajapinnat ovat aina auki ja käytössä; pointtina on lähinnä se, että niiden toimintaan voidaan vaikuttaa niiden ulkopuolelta.
3) Pitää olla olemassa taho, jolla on riittävä kyky ja motivaatio vaikuttaa ko ympäristössä. Tai vähintään pitää olla realistisesti mahdollista, että tällainen taho voi ilmestyä jostain.
Nämä kriteerit eivät ehkä vie eteenpäin kybertoimintaympäristön määrittämisessä, mutta ehkä ne auttaa analysoimaan yhteiskunnan ja elinkeinoelämän kannalta ne kohteet, jotka ovat jollain tavalla mielenkiintoisia. Herättäisinkin lukijoitani, mikäli kesälomiltanne ehditte, kirjoittamaan omia näkemyksiänne! Mikä on kybertoimintaympäristöä ja mikä ei, onko se aina yksi ja sama, vai onko tarkasteltava tapauskohtaisesti,... ?
Tarvitaan siis toimija, intressi ja työkalu. Toimija voinee olla ainakin omistajan, ohjaajan, koordinoijan tai loppukäyttäjän roolissa. Toimijalle tulee olla jotain aineellista tai aineetonta - välillistä tai välitöntä hyötyä (väljästi tulkittuna) toiminnasta. Hyödyn saadakseen hän tarvitsee työkalun - tässä tapauksessa verkon tai verkoston, jonka ei tarvitse olla yhtenäinen, vaan toimija voi käytää eri verkkojen ilman näiden fyysistä tai loogista yhteyttä?
VastaaPoistaNäin ollen internet tai intranet (vast) lienee liian suppea kuvaamaan kyber-kokonaisuutta tai -ympäristöä - samoin kuin virusten leviämismekanismit verkoissa. Ainakin kehittyneemmät vaikuttamisprosessit ovat lähempänä loisten toimintaa, jossa tarvitaan tai voidaan käyttää väli-isäntiä ennen varsinaiseen pääisäntään siirtymistä, jonne vaikutus - siis oma hyöty joko pääisännän kustannuksella tai sen sitä lainkaan huomaamatta - halutaan saada aikaan. Väli- ja pääisännät eivät välttämättä toimi samassa verkostossa, eivätkä niiden prosessit ole (ainakaan jatkuvasti) riippuvaisia toisistaan, mutta joissain tilanteissa rajapinta muodostuu ja välittyminen ympäristöstä toiseen mahdollistuu - ja air gap ylittyy. Näiden tilanteiden tai olosuhteiden tunnistaminen ja välittymismekanismien ymmärtäminen mahdollistaa toimintaprosessin hallinnan - olipa kyse sitten suojautumisesta, tietojen keräämisestä, tiedustelusta tai vaikuttamisesta. Haasteena toki ovat sekä verkkojen, järjestelmien ja sovellusten monimutkaisuus ja niiden sisältämät ja usein hyvin suojatut ja mahdollisesti piilotetut "uinuvat" ominaisuudet, jotka voidaan aktivoida tarpeen tullen. Toimija - vahvuuksineen ja heikkouksineen - lienee kuitenkin edelleen avainasemassa myös kyber-domainissa. Kaikkeen ei vaikuteta tekniikalla, vaikka työkalu sitä olisikin.
Kyberavaruutta on kuvattu "yhteisesti hyväksytyksi hallusinaatioksi" eli termillä peitetään takana oleva tekniikka. Sinänsä ihan fiksua, jos tavoitellaan "tietoteknisiä palveluja töpselistä". Eihän suurimman osan tarvitse ymmärtää sähkönjakelun hienouksiakaan.
VastaaPoistaSuomen kyberstrategian (vai kyberturvallisuusstrategian, joka olisi huomattavasti suppeampi fokukseltaan?) kannalta ei voi rajoittua Internetiin. Kuten totesit, rajaus jättäisi merkittäviä uhkakuvia huomioimatta. Tietoverkoista ja niihin liitetyistä laitteista ja palveluista kuitenkin puhutaan.
Taasen kyberstrategiahankkeeseen peilaten, olisiko fiksuinta määritellä, mitkä kohteet ja toiminnot ovat tärkeitä ja sitä kautta määritellä kybertoimintaympäristö, johon kyberstrategia kohdennetaan. Tähän taas saanee suoraan eväät yhteiskunnan turvallisuusstrategiasta - mitä yhteiskunnan elintärkeitä toimintoja voidaan haitata tietoverkkojen tai tietotekniikan kautta.
Kybertoimintaympäristö on muuten paljon parempi termi kuin kyberavaruus, joka tuo enemmän mieleen virtuaalitodellisuuden, joka taas on eri juttu. Bittiavaruus taitaisi olla aika kuvaava termi:-)
Meillä on ainakin:
- operaattoreiden runkoverkot
- yritysverkot
- yhteiskunnan elintärkeät tietotekniikkaan tukeutuvat palvelut
- muut tietotekniikkaan tukeutuvat palvelut
- Internetiin kytketyt kotitietokoneet
- yritysverkkoihin kytketyt etäkoneet
- kännykät verkossa
- älykkäät laitteet (joiden määrän ennustetaan muutaman vuoden päästä ylittävän moninkertaisesti tietokoneiden ja älypuhelinten lukumäärän verkossa)
Mitä tästä voi jättää pois termimielessä? Eipä mitään? Sen sijaan kyberstrategiassa voi rajata, mihin fokusoidaan ja mitkä käsitellään "yhtenä massana".
Rikoksen/haitan tekemiseen vaaditaan (1) sopiva kohde, (2) motivoitunut tekijä ja (3) puutteellinen kontrolli. Kun puhutaan sodasta, ei kohdasta (3) kait enää ole väliä.
On itse asiassa silmiinpistävää, että missään viime aikoina lukemissani kyberstrategiaan tms. liittyvässä kirjallisuudessa, tutkimuksissa, tms. ei määritellä termiä "Cyberspace". Kuitenkin teksteistä voi tulkita selvästi, että
VastaaPoistaCyberspace = Internet (+ siihen kytketyt verkot/järjestelmät)
Termistä "Cyber" on siis käytännössä tullut Internetin vastine ja on kyseenalaista, kannattaako tätä vastaan taistella.
Haaste ympäristöön liittyviin rajanvetoihin on aina se että alan kehitys puskee rajoja kokoajan edellään. Se mitä tänään rajataan ulkopuolelle, on parin vuoden päästä "se kuumin hyökkäysvektori" jonkun uuden, laatikon ulkopuolelle hairahtuneen ajatuksen ansiosta. Tämän takia myös yllä viitattu "puutteellinen kontrolli" haitan tekemisen edellytyksenä määrittyy käytännössä aina vasta jälkikäteen.
VastaaPoistaTästä voi vetää raadollisen johtopäätöksen että käytännössä mitään teknistä tai käyttäjärajapintaa ei voi rajata pois potentiaalista tulevaisuuden "toimintaympäristöstä". Kiveen hakattua rajaavaa määritelmää ei siis varmaan koskaan tule olemaan vaan käytännön työ kanavoituu aina tapauskohtaisen analyysin kautta.
Määrittelytyö ei kuitenkaan ole toivoton: Tuo @japin ehdottama analyysi kuhunkin suojattavaan kohteeseen liittyvästä kybertoimintaympäristöstä voisi tuoda konkreettisia projektioita tuosta absraktimmasta maailmoja syleilevästä määrittelystä - esimerkkejä tästä kannattaa sisällyttää myös määrittelytyöhön herättelemään ihmisiä ajattelemaan omien laatikkojensa ulkopuolelle.