Vierailin viime viikon aikana ilmavoimien järjestämässä kaksipäiväisessä seminaarissa aiheesta ”Global Air Power”, jossa käsiteltiin eri maiden ilmavoimien kehittymistä kautta historian sekä niiden tämänhetkistä tilannetta. Seminaarissa käsiteltiin Iso-Britannian, Yhdysvaltojen, Kiinan, Venäjän, Intian ja tottakai myös Suomen ilmavoimien taipaletta. Tämän lisäksi seminaarissa oli puheenvuoro eurooppalaisesta ilmavoimapolitiikasta. Yllätyin muuten, että Suomen ilmavoimat on itse asiassa hiukan vanhempi, kuin Iso-Britannian kuuluisa Royal Air Force!!
Siirtyäkseni otsikon aiheeseen; seminaarin yhdessä paneelikeskustelussa aihe ”kybersodankäynti” nousi erittäin vahvasti esille, ja sekä amerikkalainen että brittiläinen puhuja korosti uuden kyberelementin merkitystä. Tästä innostuin kirjoittamaan blogipostin jo pitkään viljelemistäni ajatuksistani ilmapuolustuksen ja tietoverkkopuolustuksen kehittymisen samankaltaisuudesta sekä niiden keskinäisvaikutuksista muutenkin. Tarkoituksena on korostaa, että vaikka tietoverkkopuolustus on niin sanotusti ”uusi suorituskyky” perinteisten rinnalla, ei se kuitenkaan ole niitä erikoisemmassa asemassa – tai ei ainakaan pitäisi olla.
Ilmavoimien historiasta kyberelementin kasvamiseen
Vuosisatoja sitten, kun ihminen kiinnostui mahdollisuudesta lentää, hän kehitti ensin kuumailmapallon ja myöhemmin lentokoneen. Jo varhaisessa vaiheessa syntyi keskustelua ilma-alusten käyttömahdollisuuksista sodankäynnissä. Keskustelu jakoi mielipiteet: osa näki siinä potentiaalia, kun taas osa pitivät koko lentotouhua hölynpölynä. Syntyi keskustelua ilmaelementin käytöstä myös moraalisesta ja juridisesta näkökulmasta. Pohdittiin ilmaelementin hyödyntämisen mahdollisuuksia ja rajauksia. Saako tiedustella? Saako pommittaa? Pitääkö rajoittua ilmataisteluihin? Mitä saa ja mitä ei saa tehdä? Ajan myötä ilma-alusten käyttö sodankäynnissä kuitenkin lisääntyi ja ilmaelementin merkitys korostui. Tänä päivänä lähes jokaisella valtiolla on omat ilmavoimansa, joka on puolustushaarana rinnastettavissa maa- ja merivoimiin, eikä kukaan kyseenalaista sen tarpeellisuutta, olemassaolon oikeutta tai käyttömahdollisuutta niissä tilanteissa, joissa sotilaallista voimaa tarvitaan ja käytetään.
Muutama sata vuotta sen jälkeen, kun ihminen oppi lentämään, hän keksi myös tietokoneen. Tai laajemmin voisi todeta, että teknologia kehittyi ja toiminta siirtyi enemmän ja enemmän tietoverkkojen ja niissä toimivien komponenttien päälle. Aika aikaisessa vaiheessa osa ennusti, että tässä uudessa kehittyvässä virtuaalisessa toimintaympäristössä olisi sotilaallinen ulottuvuus, tosin jotkut pitivät asiaa hölynpölynä ja finninaamaisten pizzaa syövien ja cola-juomia nauttivien nörttien puuhasteluna. Aihetta kuitenkin tutkittiin myös sotilaallisesta näkökulmasta vähintäänkin akateemisella tasolla ja usein osana informaatiosodankäyntiä. Eikä mennyt kauan, kun harrastuspohjainen hakkerointi alkoi muuttaa muotoaan kohti tavoitteellisempaa rikollista toimintaa. Tänä päivänä uhka on kasvanut sellaiseksi, että puhutaan jo valtiollisista ja ei-valtiollisista uhkista: asevoimista, tiedusteluorganisaatioista sekä valtioiden tukemista ryhmittymistä rikollisiin, terroristeihin ja haktivisteihin.
Maanpuolustuksellisissa ympyröissä kyberavaruus on noussut toimintaympäristöksi, joka rinnastetaan maahan, mereen, ilmaan ja avaruuteen. Vaikka se ei ole varsinaisesti missään muodostunut uudeksi puolustushaaraksi, se rinnastetaan ajatuksellisesti perinteisiin puolustushaaroihin. Kuten ilmapuolustuksen kehitystaipaleella on myös kyberin ympärillä käyty moraalista ja juridista keskustelua, ja hyvä niin! Moraalisella tasolla on kyseenalaistettu sen käytön oikeudeellisuutta, käytön kohteita sekä oheisvaikutuksia. Moraaliseen keskusteluun on kuitenkin vaikuttanut se, että kyberpuolustusta on verrattu perinteisiin suorituskykyihin: vaikka kyberin avulla onkin mahdollista aiheuttaa fyysistä tuhoa/sabotaasia, kuten Stuxnet osoitti, sen aiheuttamat ihmishenkien menetykset ovat todennäköisesti pienemmät ja sen aiheuttama vaikutus ei välttämättä ole yhtä lopullinen kuin perinteisiä kineettisiä aseita käyttäessä. Ongelma tässä vaiheessa kehitystä on kuitenkin vielä se, että sivuvaikutusten analysointi ennalta on vaikeata, koska halutun kohteeseen vaikuttaminen voi aikaansaada odottamattomia vaikutuksia muualle. Lainsäädännöllinen tarkastelu jatkuu myös kokonaisvaltaisesti, vaikka tässäkin viitekehyksessä on päästy isoja askelia eteenpäin.
Viime aikaisissa aseellisissa konflikteissa kyberelementti on ollut esillä tai vähintäänkin suunnitelmissa. Tietoverkkopuolustus ei ole vielä saavuttanut samanlaista asemaa, kuin perinteisillä puolustushaaroilla – sen tarpeellisuutta, olemassa olon oikeutta ja käyttömahdollisuuksia kyseenalaistetaan edelleen, joskin huomattavan paljon vähemmän kuin ennen. Tietoverkkopuolustus on kuitenkin nostettu yhdeksi maanpuolustukselliseksi kehityskohteeksi monessa maassa, vaikka panostuksen määrä ja laatu vaihtelee maittain.
Tietoverkkopuolustuksen ja ilmapuolustuksen rinnakkaisuuksista
Tietoverkkopuolustuksella ja ilmapuolustuksella on paljon yhteistä, joskin erojakin on.
Sekä tietoverkko- että ilmapuolustus toimivat taktisella tasolla ajallisesti hyvin nopeatempoisesti ja niiden oikea-aikainen käyttö edellyttää korkeata valmiutta. Kummankin toiminta perustuu vahvasti modernin teknologian hyväksikäyttöön. Kummatkin tarvitsevat toimiakseen erikoisosaamista. Molempia sorrutaan usein käsittelemään enemmän tekniikan (tietokoneet ja lentokoneet sensori- ja asejärjestelmineen) ja taktiikan (häkkäämisen ja ilma-operaatioden toteuttamisen) näkökulmasta kuin siitä, miten tietoverkkoja ja ilma-asetta tulisi käyttää operatiivisen ja strategisen tason toiminnan tukemiseen, osana muita yhteiskäyttöisiä suorituskykyjä, perustuvatpa ne sitten ”kovaan ja kineettiseen” (aseelliseen) vaikuttamiseen tai ”pehmeään ja ei-kineettiseen” (asenteelliseen) vaikuttamiseen. Kummatkin ovat suhteellisen nuoria, jos verrataan maa- ja meripuolustukseen, joilla on tuhansien vuosien historia takana.
Toki erojakin on. Siinä missä tietoverkkopuolustus verrattuna perinteisiin puolustushaaroihin on hyvinkin pienikustanteinen, on ehkä ilmapuolustus kustannuksien toisessa ääripäässä. Tietoverkkopuolustuksella ei myöskään ole samanlaisia maantieteellisiä rajoituksia; toiminta ei tunnista valtiollisia rajoja tai maantieteellistä etäisyyttä; uhka voi tulla mistä päin tahansa ja tekijä voi periaattessa olla kuka tahansa, jolla on riittävästi osaamista, vaikkakaan resurssitarvetta ei missään tapauksessa tule tässäkään vähätellä. Tietoverkkopuolustuksella ei myöskään ole samalla tavalla ajallisia rajoituksia; siinä missä perinteisiä suorituskykyjä käytetään vasta konfliktivaiheessa, on kybertoiminta arkipäivää jo syvässä rauhan tilassa – ja tämä on tärkeätä ymmärtää! Lisäksi, vaikka tietoverkkopuolustus saattaakin aiheuttaa fyysistä tuhoa välillisesti, sillä ei kuitenkaan ole samanlaista suoraa kineettistä vaikutusta, kuin ilmavoimilla tai muillakaan puolustushaaroilla.
Kaikilla puolustushaaroilla ja tietoverkkopuolustuksella on paljon opittavaa toisistaan. Ehkä aika-aspektit ja teknologiakeskeisyys ovat ne, jotka yhdistävät erityisesti ilmapuolustusta ja tietoverkkopuolustusta, monessa asiassa?
Miksi verrata perinteisiin puolustushaaroihin?
Miksi on mielenkiintoista verrata tietoverkkopuolustusta muihin puolustushaaroihin?
Tietoverkkopuolustuksen ympärillä liikkuu valtava ”hype”. Mielikuvat ovat usein kuin jostain Matrix-elokuvasta tms otettua. Kuitenkin täytyy ymmärtää, että kun puhutaan tietoverkkopuolustuksesta osana demokraattisesti toimivan valtion maanpuolustuksellista suorituskykyä, pätee sen käyttöön pitkälti samankaltaiset lainalaisuudet kuin perinteistenkin suorituskykyjen kohdalla. Se ei ole omaa irrallista huvin vuoksi tehtävää puuhastelua, vaan selkeästi säädeltyä ja valtuutettua toimintaa, jota johdetaan samalla tavalla kuin muitakin suorituskykyjä voimankäyttötilanteissa.
Lisäksi on tunnistettava se tosiasia, että monet länsimaalaiset asevoimat ovat kehittäneet niin kutsutun verkostoavusteisen puolustuskonseptin, ja niiden puolustushaarat perustuvat vahvasti teknologiaan. Siellä missä on teknologiaa, on myös haavoittuvuuksia, jotka ovat saavutettavissa kyberavaruuden kautta. Tietoverkkopuolustukseen liittyy vahva suojautumisen komponentti; tietoverkkopuolustuksen tulee myös tältä osin varmistaa muiden puolustushaarojen toimintakykyä.
Näin ollen tietoverkkopuolustus ei ole mikään oma irrallinen kupla, ja sitä pitää sen takia nimenomaan käsitellä kontekstissa, osana muuta maanpuolustusta ja perinteisten puolustushaarojen rinnalla.