10/12/2011

Kyber - uhka vai mahdollisuus?


Kenraali Ohra-Aho kirjoittaa omassa blogissaan kyberistä ja kehottaa meitä heti otsikossaan haistamaan kyberiä. Siihen ei voi sanoa muuta, kuin ”haista IT!!” ;-) 

Yhdyn Ohra-ahon näkemykseen siitä, että keskustelu on pääsääntöisesti ollut uhkalähtöistä. Ohra-aho kysyykin, miten voimme elää maailmassa, jossa tietoverkkorikolliset, haktivistit ja valtiolliset toimijat vakoilevat, kiristävät ja kalastelevat “kybervesissä”? Uhka on maailmanlaajuisesti tunnistettu, mutta entäpä sitten mahdollisuus? Millaisia mahdollisuuksia teknologiaosaaminen – erityisesti IT-alalla – tämä antaa Suomelle? Haluan tällä blogipostauksella jatkaa Ohra-ahon erinomaisen hyvin tiivistettyä ja asiallista postausta nostamalla esiin kyberaiheen kaksiteräisyyttä ja fokusoida uhkien sijasta mahdollisuuksiin.

Aloitetaan pohtimalla arabikevättä, joka on arabimaissa noussut mielenosoitusten ja kansannousujen aalto. Se alkoi Tunisian vallankumouksesta vuodenvaihteessa 2010–2011, jossa yli 20 vuotta presidenttinä toiminut Zine el-Abidine Ben Ali pakotettiin lähtemään maasta tammikuussa 2011. Tunisian vallankumouksen innoittamat protestit levisivät lähes kaikkialle arabimaailmaan. Siitä seurasi muun muassa Egyptin kansannousu, Libyan sota, Syyrian ja Jemenin levottomuudet sekä Bahrainin ja Saudi-Arabian protestit. Mikä on näille ollut ominaista? Aivan keskeiseen asemaan nousee kyberavaruudessa toimiva sosiaalinen media, jonka avulla oli mahdollista järjestäytyä, viestittää ja levittää tietoisuutta valtioiden yrittäessä tukahduttaa kansannousut muun muassa sensuroimalla ja estämällä Internetin käytön. Onko kyberulottuvuus tässä ollut uhka vai mahdollisuus? Kyseisten valtioiden johtoportaalle taatusti uhka, mutta kansalle taas aivan uudenlainen mahdollisuus.

Palataan sitten takaisin kyberuhkien maailmaan. Ne eivät tule poistumaan vain sitä toivomalla. Trenditkin osoittavat nousevaa käyrää. Tässä viitekehyksessä Suomella, teknologisesti kehittyneenä maana, on mahdollisuus nousta kyberturvallisuuden ja miksei myös tietoturvallisuuden yhdeksi edelläkävijämaaksi, niinkuin kansalliset olemassa olevat ja työn alla olevat strategiat maailailevatkin. Ilmaiseksi tällaista statusta ei kuitenkaan saavuteta. Näen seuraavat asiat keskeisinä:

  1. Yhdessä tekemisen meininki yhteisten tavoitteiden saavuttamiseksi. Suomi on liian pieni maa hiekkalaatikkotappeluille. Meidän pitäisi miettiä, miten yhdistämällä voimavarojamme – osaamisemme – voisimme saavuttaa jotain yhteistä hyvää, jolla näpäytämme ketä tahansa sormille, joka yrittää horjuttaa toimintamme valtiona ja yhteiskuntana, yksilöön asti. Tämä on tahtotila- ja asennekysymys - joukkuepeliä, eikä politiikkaa, lainsäädäntöä tai byrokratiaa. Jälkimmäiset ovat tärkeitä, mutta ne seuraavat edellisistä.
  2. Suomalaisten alan yritysten tukeminen ja kilpailukyvyn edistäminen myös kansainvälisillä markkinoilla. Suomessa on paljon potentiaalia, mitä innovaatioihin tulee, mutta hyvä idea ei yksin riitä. Hyvän idean lisäksi pitää olla ilmapiiri, jossa yrittäjyyttä tuetaan, erityisesti panostaen tuotteistamiseen ja markkinointiin. Markkinointi tulee ulotaa myös kansainvälisille markkinoille. Pieniä yrityksiä ei tule hävetä tai vähätellä, koska asiansa hyvin osaavat tekijät avaavat osaamisellaan ja uskottavuudellaan ovia myös muille samasta maasta tuleville. En aio tässä mainita yrityksiä erikseen, mutta voin kokemuksesta sanoa, kuinka monia meidän pieniä yrityksiä kehutaan maailmalla, ja kuinka se on helpottanut Suomen asioiden käsittelyä vain sen takia, että osaamisemme on tunnistettu. Tämä on mahdollisuus pienelle Suomelle, ja meidän pitäisi edesauttaa tätä!
  3. Asiantuntijoiden kuuleminen ja heidän työnsä arvostaminen. Monesti (erityisesti valtionhallinnon) hankkeet joutuvat kamppailemaan korkeasti lentävien tavoitteiden ja kustannussäästöpaineitten ristiaallokossa, kiireellisestä aikataulusta puhumattakaan. Enemmän pitää saada aikaan vähemmällä. Tällöin tietoturvallisuus on yksi ensimmäisistä osa-alueista, joista halutaan oikaista. Sitä nähdään vain kustannuksia aiheuttavana ja toimintaa lamauttavana asiana, mikä on hyvin lyhytnäköistä. Ehkä se edistää kyseistä hanketta, mutta edistääkö tällainen lyhytnäköisyys sitä tulevaa toimintaa jatkossa, hankkeen jo päättyessä? Mitä sitten, kun toiminta kärsii heikon tietoturvallisuuden takia? 10 000 euroa maksavan tietoturvaominaisuuden toteuttamatta jättäminen maksaakin yhtäkkiä organisaatiolle mainetta ja miljoonia. Tietoturvapäälliköt toimivat yleensä tässä viitekehyksessä tietoturvavaatimusten sanansaattajina. Tästä hyvästä he saavat helposti leimat otsaansa huonon onnen tuojina, vaatimuksista ruikuttajina, ja mörköjen näkijöinä, joita ei haluta kuunnella, koska se on epämukavaa. Puhumattakaan siitä, että heille haluttaisiin maksaa moisesta ruikuttamisesta asianmukaista palkkaa!! Tietoturvallisuus on kuitenkin edullinen ”henkivakuutus”. Tietoturvallisuutta on mahdollista toteuttaa kustannustehokkaasti, jos työtä tukee asiansa osaava ihminen. Osaavia ihmisiä tulee kuunnella ja heidän työnsä tulee arvostaa. Vahventamalla tietoturvallisuutemme luomme samalla viestin siitä, että meihin ei kannata hyökätä, koska se vie aikaa ja energiaa eikä välttämättä johda mihinkään. Osaaminen ja arvostaminen kunniaan!
  4. Koulutusta kaikilla tasoilla. Nettivalistusta jo peruskouluihin, ammattimaista koulutusta yliopistoihin ja ammattikorkeakouluihin ja jatkokursseja alan asiantuntijoille. Entäs sitten varusmiehet? Voisiko ajatella, että jokaiselle varusmiehelle tarjottaisiin aiheeseen liittyvää perusopetusta, mikä varusmiespalveluksen jälkeen toisi vahvaa perusosaamista tietoturvauhkista suojaamisesta niin yksityisen kuin julkisen sektorin organisaatioille? Entäs jos pienemmälle osalle annettaisiin tehostettua koulutusta, vrt. elektronisen sodankäynnin koulutukseen? Koulutus luo joka tapauksessa osaamista, ja siitähän tässä on pähkinäkuoreessa kysymys. Koulutuspuolella on paljon mahdollisuuksia!!

Edellisessä postauksessani kirjoitin kyberpuolustuksesta osana maanpuolustusta. Myös tässä asiassa kaksiteräisyys korostuu. Mahdollisten vihamielisten valtioiden suorittamat kyberhyökkäykset olisivat konkreettinen uhka Suomelle ja Suomen puolustukselle. Toisaalta, oman suorituskyvyn kehittäminen edesauttaisi edellä mainittujen uhkien torjuntaa, ja loisi yhtä keskeistä suorituskykyä lisää perinteisten maa-, meri- ja ilmapuolustuskykyen rinnalle. Tämä on nähtävä mahdollisuutena! Jos tätä mahdollisuutta ei hyödynnetä, jäämme väistämättä kehityksestä jäljelle.

Toivoisin tästäkin aiheesta keskustelua, tällä kertaa kääntäen fokuksen uhkista mahdollisuuksiin! Millaisia mahdollisuuksia te, hyvät lukijat, näette Suomen kannalta? Mihin meidän kannattaisi panostaa? Miten voisimme luoda jotain yhteistä hyvää kaikilla kyberin osa-alueilla? Miten voimme hyödyntää IT-osaamisemme mahdollisuuksien luomiseksi kyberavaruudessa?

06/12/2011

Tietoverkkopuolustus osana maanpuolustusta

Kirjoitin reilu kuukausi sitten blogipostin, jossa vertailin tietoverkkopuolustuksen kehittämistä ilmapuolustuksen kehittämiseen. Tässä blogipostissa on tarkoitus jatkaa keskustelua tietoverkkopuolustuksesta (kyberpuolustuksesta). Tarkoituksenani on osaltaan valottaa, miten tietoverkkopuolustusta nähdään sotilaallisesta näkökulmasta noin yleisesti ottaen sekä osaltaan pyrkiä vähentämään aiheen ympärillä pyörivää hypetystä, joka helposti vie keskustelun väärään suuntaan.

Kyberuhka on viimeisen vuosikymmenen aikana noussut uudeksi uhkaksi perinteisten rinnalle. Kyberuhkia käsiteltäessä puhutaan usein valtiollisista ja ei-valtiollisista uhkista, joihin ensiksi mainittuihin lukeutuvat asevoimat, tiedusteluorganisaatiot ja valtioiden tukemia tai suojaamia ryhmittymiä ja jälkimmäisiin rikolliset, terroristit ja haktivistit. Tällä hetkellä rikolliset muodostavat suurimman uhan, joka kohdistuu niin valtioihin kansantaloudellisesti kuin yksittäisiin ihmisiin.

Tässä blogipostauksessa aion käsitellä käsitettä kyberpuolustus tai tietoverkkopuolustus, joka  on kyberturvallisuuden sotilaallinen osa-alue. Tässä puhutaan nimenomaan valtiollisesta, maanpuolustuksellisesta, toiminnasta. Yleiset mielikuvat kyberpuolustuksesta vaihtelevat ääripäästä toiseen. Toinen ääripää on elokuvatuotannon ruokkima mielikuva ”kybersodasta”, missä hakkerit villin lännen tavoin taistelevat kyberavaruudessa murtautuen hypersuperylisuojattuihin verkkoihin ja järjestelmiin kaapaten vallan kaikesta mitä tapahtuu. Toinen ääripää on toiminnan näkeminen puhtaasti tietoturvallisuuden näkövinkkelistä, ikään kuin tietoturvallisuus olisi puettu uusiin vaatteisiin. Vaikka kyberpuolustuksella ja tietoturvallisuudella on yhtymäkohtia – omasuojan kannalta yksi (mutta ei ainoa) suojattava kohde on tieto – niin käsitteet eivät ole synonyymejä. Tietoturvallisuus on tietoturvallisuutta ja sillä on tärkeä tehtävä jo itsessään. Kyberpuolustus on jotain muuta. Kummatkin ääripäät ovat  siis yhtä väärässä.

Kyberpuolustus – mitä se on?

Kyberpuolustus voidaan rinnastaa maa-, meri- ja ilmapuolustukseen, eli periaatteessa voidaan puhua puolustushaaranomaisesta toiminnasta, jossa sotilaallista suorituskykyä käytetään maan, meren ja ilman lisäksi myös kyberavaruudessa, niin defensiivisesti kuin offensiivisestikin, kunkin valtion lain sallimissa puitteissa. Puhdasta ”kybersotaa” tuskin on olemassakaan, koska pelkkä kyberhyökkäys ei riitä korvaamaan perinteisten hyökkäysten vaikutuksia. Puolustushaaravertailu on kuitenkin hyvä pitää mielessään kyberpuolustuksesta keskusteltaessa, koska se auttaa hahmottamaan suorituskyvyn käyttöön liittyviä reunaehtoja. Kyseessä ei ole villin lännen mukaista hakkeritoimintaa, vaan yksi sotilaallinen keinovalikoima muiden joukossa, jota on mahdollista käyttää perinteisten suorituskykyjen lisäksi ja tueksi saavuttaakseen haluttuja poliittisia ja/tai sotilaallisia päämääriä.

Kuten maa-, meri- ja ilmapuolustuksella on myös kyberpuolustuksella omat haasteensa. Yksi haaste on saada oikea ja haluttu vaikutus aikaan ilman odottamattomia sivuvaikutuksia. Kun järjestelmät ja verkot riippuvat toisistaan mitä monimutkaisimmilla tavoilla, voi tapahtuma yhdessä kohdassa verkostoa yllättäen vaikuttaa toiseen kohtaan, aiheuttaen jotain ennalta arvaamatonta. Lisäksi on olemassa riski, että tavallaan ampuu itseään ja sivullisia jalkaan, koska sivuvaikutukset voivat etukäteen olla vaikeita arvioida. Tilanne oli pienemmässä mittakaavassa samankaltainen perinteisten suorituskykyjen osalta ennen täsmäaseiden kehittymistä, tosin sivuvaikutukset olivat lähinnä paikallisia ja fyysisiä, toisin kuin kyberulottuvuudessa, missä sivuvaikutukset voivat olla maailmanlaajuisia ja laajempia. Toinen haaste liittyy siihen, mikä on tarkoituksenmukaisin tapa toimia kyberhyökkäyksen osuessa kohdalle (enkä nyt rajoita tätä vain koskettamaan laajamittaisia palvelunestohyökkäyksiä). Piuhan katkaiseminen tai järjestelmien alasajo ei välttämättä ole se fiksuin tapa. Ensinnäkin itsensä eristäminen muusta maailmasta voi hyvinkin olla vihollisen tahtotilan mukaista; miksi siis avustaa tekemällä itselleen palvelunestohyökkäyksen? Toiseksi eristämisellä saattaa olla laajempia vaikutuksia yhteiskuntaan kuin alkuperäisellä hyökkäyksellä.

Kybersota?

Yksi popularistinen termi, mitä välillä käytetään, on kybersota. Itse vierastan tätä termiä kahdesta syystä:
  1.   Kuten aikaisemmin mainitsin, niin en usko, että koskaan syntyy sellaisia sotia, joita käydään vain kyberavaruudessa, koska halutun lopputuloksen aikaansaaminen ei liene mahdollista ilman perinteisiä sotilaallisia kykyjä. Lähinnä kyse sodankäynnissä on siitä, että siihen tulee yksi ulottuvuus lisää, eli kyberavaruus
  2. Kaikki vihamielinen toiminta, mitä tapahtuu kyberavaruudessa, ei ole sodankäyntiä. Vaikka haktivistiryhmä kohdistaisikin massiivisen hyökkäyksen valtion kriittistä infrastruktuuria kohtaan lamauttaen koko yhteiskunnan, ei kyseessä silti ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Vaikka rikollisliiga tyhjentäisikin valtavan määrän pankkitilejä, ei kyseessä ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Eikä yksittäisen wannabe hakkerin toimesta töhrityt webbisivut ole esimerkki mistään sotilaallisesta hyökkäyksestä… Pelkästään vaikutus ei riitä tekemään toiminnasta sotilaalllista; siihen tarvitaan myös tekijä, jolla on poliittinen päämäärä ja kyky toimia. Yleensä tällainen tekijä on valtio. Sanon yleensä, koska tässäkin suhteessa on olemassa harmaita osa-alueita noin sodankäynnin käsitteen osalta, mutta edellä mainitut tapaukset eivät silti kuulu tähän viitekehykseen. 

Kyberpuolustukseen liittyy harhaluuloja

Kyberpuolustukseen liittyy monia harhaluuloja.

Yksi harhaluulo on se, että puolustuksella tarkoitetaan vain suojautumista. Vaikka pääpaino olisikin suojautumisessa, niin kyberpuolustusta ei voi olla olemassa ilman offensiivisia kykyjä. Jo se, että kykenee suojautumaan hyökkäyksiltä tarkoittaa sitä, että on ymmärrettävä, miten hyökkäyksiä tehdään. Jos taas verrataan puolustushaaroihin, niin ilmapuolustustakaan ei ymmärretä siten, että ilmataisteluun lähetettäisiin hävittäjälentokoneita ilman ohjuksia, vaan siten, että muun muassa ilmatilaa puolustetaan tarvittaessa aseellisin keinoin. Kyse ei siis ole siitä, onko kyky olemassa, vaan siitä, milloin ja miten sitä käytetään.

Toinen harhaluulo on se, että kyberpuolustus on hankalaa, koska ei ole mahdollista tietää, kuka on hyökkäyksen takana. Jos mennään kyberturvallisuuden puolelle, jossa puhutaan haktivismista, rikollisuudesta tai vakoilusta, niin tämä pätee. Se pätee mahdollisesti myös asevoimiin harmaassa vaiheessa sekä vielä, kun koko kybertoiminta on ilmiönä suhteellisen uusi. En kuitenkaan usko, että tämä tulee olemaan tilanne tulevaisuudessa, kun asevoimat maailmanlaajuisesti ovat ottaneet kyberpuolustuksen suorituskyvyt täysimittaisesti osaksi arsenaaliaan. Esimerkiksi toisen osapuolen ilmapuolustuksen lamauttaminen voidaan yhtä lailla tehdä esimerkiksi ilmaiskulla tai kyberhyökkäyksellä; kyse on lähinnä keinovalikoimasta, eikä välttämättä ole mitään syytä peitellä, kuka iskun takana oli. Päinvastoin voi jopa olla mahdollista, että osapuolet haluavat osoittaa, että heillä on tällainen kyky käytettävissään (pelotevaikutus).

Kolmas harhaluulo on se, että kyberhyökkäykseen vastattaisiin aina kyberhyökkäyksellä. Tämä ei välttämättä pidä paikkaansa. Mihin tahansa hyökkäykseen (maa, meri, ilma, kyber) voidaan vastata millä keinovalikoimalla tahansa riippuen siitä, mikä on tavoitteeseen nähden tarkoituksenmukaisin. Jotkut valtiot ovatkin ilmoittaneet, että mikäli heihin kohdistuu kyberhyökkäys, niin he pidättävät oikeuden vastata myös perinteisin sotilaallisin keinoin.

Neljäs harhaluulo liittyy asevoimien rooliin yhteiskunnassa mitä suojautumiseen tulee. Kyberhyökkäyksen kohteet voivat olla niin siviili- kuin sotilaskohteita. Tyypillisesti asevoimat pyrkivät suojaamaan omia kohteitaan, eli omat verkot ja järjestelmät. Sen sijaan siviilikohteet, esimerkiksi kriittiset infrastruktuurit, ovat usein yksityisen sektorin omistamia tai hallinnoimia, eikä niiden suojaaminen kuulu asevoimien tehtäviin. Kysymys asevoimien mahdollisesta laajemmasta roolista tässä suhteessa nousee toki välillä esille kansainvälisissäkin foorumeissa, mutta tyypillisesti asevoimien tehtävien laajentaminen tähän suuntaan ei pidetä tarkoituksenmukaisena.

Pieni valtio ja kyberpuolustus

Pienelle teknologisesti kehittyneelle valtiolle kyberpuolustus on kustannustehokas mahdollisuus vahvistaa omaa uskottavaa maanpuolustuskykyä. Siinä missä pienellä valtiolla ei koskaan ole resursseja vahvistaa perinteisiä puolustushaarojaan samalle tasolle kuin isoilla valtioilla, on tilanne kyberpuolustuksen osalta toinen. Resursseja toki tarvitaan, mutta niiden kustannukset ovat toista mittaluokkaa. Tärkein kehitettävä kohde on osaaminen.

Pienellä valtiolla voi myös olla vahvuuksia isoon nähden. Pieni voi olla ketterä, koska sen verkostot ovat pienemmät ja tiheämmät. Yhteistoiminta perustuu vahvasti luottamukseen; pienessä tiiviissä piirissä on helpompi rakentaa luottamusta kuin isommassa ja epämääräisemmässä.

Kyberturvallisuudessa laajemminkin yhteistoiminta niin viranomaisten kuin yksityisenkin sektorin välillä on ehdoton edellytys. Tässäkin asiassa pienellä valtiolla saattaa olla jo pitkät perinteet yhteistoiminnasta, joten sen laajentaminen kyberturvallisuuden osa-alueelle ei välttämättä edes ole kovinkaan haasteellista.

Näin ollen kyberulottuvuus tulee pienen valtion näkökulmasta nähdä mahdollisuutena kaikilla osa-alueilla: taloudellisesti, sosiaalisesti, akateemisesti ja miksei maanpuolustuksellisestikin.

***

T-lehti haastatteli minua vähän aikaa sitten kyberpuolustuksesta. Lämpenin vahvasti artikkelin otsikolle: ”IT-osaaja puolustaa maataan”. Suomellakin on pienenä valtiona paljon mahdollisuuksia kyberpuolustuksen ja laajemmin kyberturvallisuuden saralla. Meillä IT-osaajilla on paikkamme! Toivottavasti saamme edellytyksiä tehdä Suomesta kyberturvallisuuden kärkimaita, kaikilla sen osa-alueilla.