Kirjoitin reilu kuukausi sitten blogipostin, jossa vertailin tietoverkkopuolustuksen kehittämistä ilmapuolustuksen kehittämiseen. Tässä blogipostissa on tarkoitus jatkaa keskustelua tietoverkkopuolustuksesta (kyberpuolustuksesta). Tarkoituksenani on osaltaan valottaa, miten tietoverkkopuolustusta nähdään sotilaallisesta näkökulmasta noin yleisesti ottaen sekä osaltaan pyrkiä vähentämään aiheen ympärillä pyörivää hypetystä, joka helposti vie keskustelun väärään suuntaan.
Tässä blogipostauksessa aion käsitellä käsitettä kyberpuolustus tai tietoverkkopuolustus, joka on kyberturvallisuuden sotilaallinen osa-alue. Tässä puhutaan nimenomaan valtiollisesta, maanpuolustuksellisesta, toiminnasta. Yleiset mielikuvat kyberpuolustuksesta vaihtelevat ääripäästä toiseen. Toinen ääripää on elokuvatuotannon ruokkima mielikuva ”kybersodasta”, missä hakkerit villin lännen tavoin taistelevat kyberavaruudessa murtautuen hypersuperylisuojattuihin verkkoihin ja järjestelmiin kaapaten vallan kaikesta mitä tapahtuu. Toinen ääripää on toiminnan näkeminen puhtaasti tietoturvallisuuden näkövinkkelistä, ikään kuin tietoturvallisuus olisi puettu uusiin vaatteisiin. Vaikka kyberpuolustuksella ja tietoturvallisuudella on yhtymäkohtia – omasuojan kannalta yksi (mutta ei ainoa) suojattava kohde on tieto – niin käsitteet eivät ole synonyymejä. Tietoturvallisuus on tietoturvallisuutta ja sillä on tärkeä tehtävä jo itsessään. Kyberpuolustus on jotain muuta. Kummatkin ääripäät ovat siis yhtä väärässä.
Kyberpuolustus – mitä se on?
Kyberpuolustus voidaan rinnastaa maa-, meri- ja ilmapuolustukseen, eli periaatteessa voidaan puhua puolustushaaranomaisesta toiminnasta, jossa sotilaallista suorituskykyä käytetään maan, meren ja ilman lisäksi myös kyberavaruudessa, niin defensiivisesti kuin offensiivisestikin, kunkin valtion lain sallimissa puitteissa. Puhdasta ”kybersotaa” tuskin on olemassakaan, koska pelkkä kyberhyökkäys ei riitä korvaamaan perinteisten hyökkäysten vaikutuksia. Puolustushaaravertailu on kuitenkin hyvä pitää mielessään kyberpuolustuksesta keskusteltaessa, koska se auttaa hahmottamaan suorituskyvyn käyttöön liittyviä reunaehtoja. Kyseessä ei ole villin lännen mukaista hakkeritoimintaa, vaan yksi sotilaallinen keinovalikoima muiden joukossa, jota on mahdollista käyttää perinteisten suorituskykyjen lisäksi ja tueksi saavuttaakseen haluttuja poliittisia ja/tai sotilaallisia päämääriä.
Kuten maa-, meri- ja ilmapuolustuksella on myös kyberpuolustuksella omat haasteensa. Yksi haaste on saada oikea ja haluttu vaikutus aikaan ilman odottamattomia sivuvaikutuksia. Kun järjestelmät ja verkot riippuvat toisistaan mitä monimutkaisimmilla tavoilla, voi tapahtuma yhdessä kohdassa verkostoa yllättäen vaikuttaa toiseen kohtaan, aiheuttaen jotain ennalta arvaamatonta. Lisäksi on olemassa riski, että tavallaan ampuu itseään ja sivullisia jalkaan, koska sivuvaikutukset voivat etukäteen olla vaikeita arvioida. Tilanne oli pienemmässä mittakaavassa samankaltainen perinteisten suorituskykyjen osalta ennen täsmäaseiden kehittymistä, tosin sivuvaikutukset olivat lähinnä paikallisia ja fyysisiä, toisin kuin kyberulottuvuudessa, missä sivuvaikutukset voivat olla maailmanlaajuisia ja laajempia. Toinen haaste liittyy siihen, mikä on tarkoituksenmukaisin tapa toimia kyberhyökkäyksen osuessa kohdalle (enkä nyt rajoita tätä vain koskettamaan laajamittaisia palvelunestohyökkäyksiä). Piuhan katkaiseminen tai järjestelmien alasajo ei välttämättä ole se fiksuin tapa. Ensinnäkin itsensä eristäminen muusta maailmasta voi hyvinkin olla vihollisen tahtotilan mukaista; miksi siis avustaa tekemällä itselleen palvelunestohyökkäyksen? Toiseksi eristämisellä saattaa olla laajempia vaikutuksia yhteiskuntaan kuin alkuperäisellä hyökkäyksellä.
Kybersota?
Yksi popularistinen termi, mitä välillä käytetään, on kybersota. Itse vierastan tätä termiä kahdesta syystä:
- Kuten aikaisemmin mainitsin, niin en usko, että koskaan syntyy sellaisia sotia, joita käydään vain kyberavaruudessa, koska halutun lopputuloksen aikaansaaminen ei liene mahdollista ilman perinteisiä sotilaallisia kykyjä. Lähinnä kyse sodankäynnissä on siitä, että siihen tulee yksi ulottuvuus lisää, eli kyberavaruus
- Kaikki vihamielinen toiminta, mitä tapahtuu kyberavaruudessa, ei ole sodankäyntiä. Vaikka haktivistiryhmä kohdistaisikin massiivisen hyökkäyksen valtion kriittistä infrastruktuuria kohtaan lamauttaen koko yhteiskunnan, ei kyseessä silti ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Vaikka rikollisliiga tyhjentäisikin valtavan määrän pankkitilejä, ei kyseessä ole sotilaallinen hyökkäys, vaan rikollista toimintaa. Eikä yksittäisen wannabe hakkerin toimesta töhrityt webbisivut ole esimerkki mistään sotilaallisesta hyökkäyksestä… Pelkästään vaikutus ei riitä tekemään toiminnasta sotilaalllista; siihen tarvitaan myös tekijä, jolla on poliittinen päämäärä ja kyky toimia. Yleensä tällainen tekijä on valtio. Sanon yleensä, koska tässäkin suhteessa on olemassa harmaita osa-alueita noin sodankäynnin käsitteen osalta, mutta edellä mainitut tapaukset eivät silti kuulu tähän viitekehykseen.
Kyberpuolustukseen liittyy harhaluuloja
Kyberpuolustukseen liittyy monia harhaluuloja.
Yksi harhaluulo on se, että puolustuksella tarkoitetaan vain suojautumista. Vaikka pääpaino olisikin suojautumisessa, niin kyberpuolustusta ei voi olla olemassa ilman offensiivisia kykyjä. Jo se, että kykenee suojautumaan hyökkäyksiltä tarkoittaa sitä, että on ymmärrettävä, miten hyökkäyksiä tehdään. Jos taas verrataan puolustushaaroihin, niin ilmapuolustustakaan ei ymmärretä siten, että ilmataisteluun lähetettäisiin hävittäjälentokoneita ilman ohjuksia, vaan siten, että muun muassa ilmatilaa puolustetaan tarvittaessa aseellisin keinoin. Kyse ei siis ole siitä, onko kyky olemassa, vaan siitä, milloin ja miten sitä käytetään.
Toinen harhaluulo on se, että kyberpuolustus on hankalaa, koska ei ole mahdollista tietää, kuka on hyökkäyksen takana. Jos mennään kyberturvallisuuden puolelle, jossa puhutaan haktivismista, rikollisuudesta tai vakoilusta, niin tämä pätee. Se pätee mahdollisesti myös asevoimiin harmaassa vaiheessa sekä vielä, kun koko kybertoiminta on ilmiönä suhteellisen uusi. En kuitenkaan usko, että tämä tulee olemaan tilanne tulevaisuudessa, kun asevoimat maailmanlaajuisesti ovat ottaneet kyberpuolustuksen suorituskyvyt täysimittaisesti osaksi arsenaaliaan. Esimerkiksi toisen osapuolen ilmapuolustuksen lamauttaminen voidaan yhtä lailla tehdä esimerkiksi ilmaiskulla tai kyberhyökkäyksellä; kyse on lähinnä keinovalikoimasta, eikä välttämättä ole mitään syytä peitellä, kuka iskun takana oli. Päinvastoin voi jopa olla mahdollista, että osapuolet haluavat osoittaa, että heillä on tällainen kyky käytettävissään (pelotevaikutus).
Kolmas harhaluulo on se, että kyberhyökkäykseen vastattaisiin aina kyberhyökkäyksellä. Tämä ei välttämättä pidä paikkaansa. Mihin tahansa hyökkäykseen (maa, meri, ilma, kyber) voidaan vastata millä keinovalikoimalla tahansa riippuen siitä, mikä on tavoitteeseen nähden tarkoituksenmukaisin. Jotkut valtiot ovatkin ilmoittaneet, että mikäli heihin kohdistuu kyberhyökkäys, niin he pidättävät oikeuden vastata myös perinteisin sotilaallisin keinoin.
Neljäs harhaluulo liittyy asevoimien rooliin yhteiskunnassa mitä suojautumiseen tulee. Kyberhyökkäyksen kohteet voivat olla niin siviili- kuin sotilaskohteita. Tyypillisesti asevoimat pyrkivät suojaamaan omia kohteitaan, eli omat verkot ja järjestelmät. Sen sijaan siviilikohteet, esimerkiksi kriittiset infrastruktuurit, ovat usein yksityisen sektorin omistamia tai hallinnoimia, eikä niiden suojaaminen kuulu asevoimien tehtäviin. Kysymys asevoimien mahdollisesta laajemmasta roolista tässä suhteessa nousee toki välillä esille kansainvälisissäkin foorumeissa, mutta tyypillisesti asevoimien tehtävien laajentaminen tähän suuntaan ei pidetä tarkoituksenmukaisena.
Pieni valtio ja kyberpuolustus
Pienelle teknologisesti kehittyneelle valtiolle kyberpuolustus on kustannustehokas mahdollisuus vahvistaa omaa uskottavaa maanpuolustuskykyä. Siinä missä pienellä valtiolla ei koskaan ole resursseja vahvistaa perinteisiä puolustushaarojaan samalle tasolle kuin isoilla valtioilla, on tilanne kyberpuolustuksen osalta toinen. Resursseja toki tarvitaan, mutta niiden kustannukset ovat toista mittaluokkaa. Tärkein kehitettävä kohde on osaaminen.
Pienellä valtiolla voi myös olla vahvuuksia isoon nähden. Pieni voi olla ketterä, koska sen verkostot ovat pienemmät ja tiheämmät. Yhteistoiminta perustuu vahvasti luottamukseen; pienessä tiiviissä piirissä on helpompi rakentaa luottamusta kuin isommassa ja epämääräisemmässä.
Kyberturvallisuudessa laajemminkin yhteistoiminta niin viranomaisten kuin yksityisenkin sektorin välillä on ehdoton edellytys. Tässäkin asiassa pienellä valtiolla saattaa olla jo pitkät perinteet yhteistoiminnasta, joten sen laajentaminen kyberturvallisuuden osa-alueelle ei välttämättä edes ole kovinkaan haasteellista.
***