Kyberasekilpa kiihtyy
Kyberasekilpa kiihtyy
Uuden ajan kyberaseet ovat digitaalisia ja näkymättömiä, joten kukaan ei tiedä, kuinka paljon ja kuinka tehokkaita aseita kukin valtio rakentaa.
Se kuitenkin tiedetään, että suurvaltojen ja sellaiseksi havittelevien rakentelemat kyberaseet ovat valtavia koodiryppäitä, joilla voitaisiin kaataa esimerkiksi vieraiden valtioiden sähköverkkoja, verkkopankkeja tai öljykuljetusten logistiikkaa sääteleviä tietoverkkoja. Aseilla voitaisiin iskeä valtioiden elintärkeisiin toimintoihin ja kriittiseen infrastruktuuriin siten, että valtiot lamautuisivat ilman laukaustakaan.
”Pandoran lipas on nyt avattu, ja sitä on vaikea sulkea. Varsinaista kybersotaa ei ole vielä käyty, mutta yksittäisiä kyberiskuja on jo nähty”, sanoo Jyväskylän yliopiston tietotekniikan laitoksen tutkija, sotatieteiden tohtori Martti Lehto.
Lehto viittaa esimerkiksi vuonna 2010 Iranin Natanzin uraaninrikasta mosta löydettyyn Stuxnet-virukseen, jolla Yhdysvallat onnistui viivästyttämään Iranin ydinohjelmaa muutaman vuoden.
Muistitikulla Iranin ydinlaitokseen ujutettu Stuxnet sormeili uraania rikastaneiden sentrifugien pyörimisnopeuksia, ja laitteet hajottivat lopulta itsensä.
Ilmiö on kuitenkin paljon vanhempi: Yhdysvallat teki yhden ensimmäisistä kyberiskuistaan jo vuonna 1982.
Yhdysvaltalaisviranomaisten mukaan Neuvostoliitto varasti tuolloin kanadalaisyritykseltä öljyputkiston hallintaohjelman, johon oli varkaiden tietämättä ohjelmoitu haitallista koodia. Kun Neuvostoliitto käytti ohjelmaa Siperian halki kulkeneessa öljyputkistossa, haittaohjelma aktivoitui putkiston painetestin aikana, nosti paineen yli putkiston kestokyvyn ja aiheutti räjähdyksen. Neuvostoliiton öljytulot kärsivät jopa vuoden ajan.
Viimeaikaisista verkkohyökkäyksistä julkisuuteen ovat nousseet esimerkiksi Israeliin kohdistuneet iskut Gazan pommitusten aikana. Hakkeriryhmä Anonymous on ilmoittautunut olleensa iskujen takana.
Lokakuun lopulla kohuttiin Saudi-Arabian valtiolliseen öljy-yhtiöön Aramcoon tehdystä kyberiskusta, jonka aiheutti Shamooniksi ristitty virus. Se pyyhki tiedot kolmesta neljänneksestä Aramcon tietokoneista. Öljyntuotanto ei häiriintynyt, mutta yhtiö joutui sulkemaan sisäisen tietoverkkonsa. Iskua pidettiin toistaiseksi tuhoisimpana yritykseen kohdistuneena kyberilkivallantekona, ja Yhdysvallat syytti siitä Irania.
Kohti kauhun tasapainoa
Nyt kilpavarustelua kiihdyttää nimenomaan uusien aseiden näkymättömyys. Kun valtiot eivät tunne potentiaalisten vastustajiensa todellista voimaa, ne varautuvat perinteisen sodankäynnin logiikan mukaan pahimpaan.
Lisäksi kyberaseiden kehittelyä jouduttaa se, että koodin kirjoittaminen on huomattavasti halvempaa kuin esimerkiksi modernit häivehävittäjät. Siinä missä hävittäjän hinta kipuaa helposti miljardiin, haittaohjelmien koodaaminen maksaa korkeimmillaan miljoonia. Koulutettuja koodareitakaan ei tarvita armeijoittain.
Tämä voi parhaimmillaan tasapainottaa maailmanpolitiikan voimasuhteita.
”Fyysisen maailman suurvallat eivät välttämättä ole kybermaailman suurvaltoja. Pienet maat ja ei-valtiolliset toimijat voivat kyberaikana nousta merkittävään asemaan kansainvälisessä politiikassa”, toteaa tietoturvayritys Stonesoftin kyberturvallisuusjohtaja, sotatieteiden tohtori Jarno Limnéll.
Ei-valtiollisista toimijoista kyberavaruudessa ovat aktivoituneet niin hakkerit kuin verkkorikollisetkin. He voivat uhata valtioiden turvallisuutta esimerkiksi vuotamalla suuria määriä salasanoja tai luottamuksellisia diplomaattisähkeitä tai horjuttamalla pankkiverkoston turvallisuutta verkkopankkimurroilla.
Tietoturvayritys Nortonin tuoreen kyberrikollisuusraportin mukaan verkkorikollisuus on viime vuoden aikana aiheuttanut yksityisille internetin käyttäjille noin 110 miljardin dollarin tappiot. Joka sekunti 18 ihmistä joutuu verkkorikollisuuden kohteeksi.
Etenkin Yhdysvalloissa pelätään nyt myös terroristiryhmien siirtymistä kyberiskuihin. Jo vuonna 2009 Afganistanin ja Pakistanin kapinalliset onnistuivat sieppaamaan satelliittisignaalin, jolla Yhdysvallat välitti miehittämättömien lentokoneittensa lähettämää videokuvaa kontrollikeskuksiinsa. Yhdysvaltain armeijan kyberturvan tasosta kertoo paljon se, että signaali, jota käytettiin mahdollisten iskukohteiden tunnistamiseen, ei ollut salattu.
Toisaalta kyberaseiden näkymättömyys voi johtaa maailman entistä kiivaampien kyberiskujen aikaan. Näkymättömyys näet vaikeuttaa aseiden pelotevaikutuksen luomista. Fyysisten aseiden pelotevaikutusta rakennetaan sotaharjoituksilla ja esittelemällä armeijan panssareita ja miesvahvuutta sotilasparaateissa, mutta kybermaailmassa logiikka on toinen. Haittaohjelmia on vaikea tai mahdoton havaita ennen kuin vahinko on aiheutettu.
Mikä kyber?
Kybermaailma = globaali tila, joka koostuu erilaisista toisiinsa kytkeytyvistä informaatioteknologian rakenteista, kuten internetistä, telekommunikaatioverkoista ja muista tietoverkoista. Sisältää ja ohjaa yhteiskuntien kriittistä infrastruktuuria.
Kriittinen infrastruktuuri = infrastruktuuri, joka turvaa yhteiskunnan elintärkeitä toimintoja; esimerkiksi vesi- ja viemäriverkostot, pelastus- ja terveyspalvelut, maanpuolustus, julkisen hallinnon järjestelmät, tietoliikennejärjestelmät ja energiaverkko, pankki- ja rahoitusjärjestelmät sekä logistiikkaverkostot.
Kyberturvallisuus = digitaalisen maailman ja siihen kytkeytyvän fyysisen infrastruktuurin turvallisuus; tavoitetila, jossa kybermaailmasta ei aiheudu vaaraa, haittaa eikä häiriötä yhteiskunnan elintärkeille toiminnoille.
Kyberuhka = mahdollisuus sellaiseen kybermaailmaan vaikuttavaan tekoon tai tapahtumaan, joka voisi vaarantaa yhteiskunnan elintärkeitä toimintoja. Voidaan jakaa kyberaktivismin, kuten hakkeroinnin, lisäksi kyberrikollisuuteen, -vakoiluun ja -terrorismiin sekä kybersotaan.
Kyberkonflikti = valtiollisen tai ei-valtiollisen toimijan kybermaailmassa toteuttama operaatio vastustajan elintärkeitä toimintoja tai kriittistä infrastruktuuria vastaan.
LÄHTEET: JARNO LIMNÉLL, MARTTI LEHTO, TURVALLISUUS- JA PUOLUSTUSASIAIN KOMITEAN SIHTEERISTÖ.
”Bittiparaateja tuskin nähdään tulevaisuudessakaan”, Jarno Limnéll toteaa.
Limnéllin mukaan valtiot saattavat joutua tekemään aiempaa enemmän kyberiskuja todellisiin kohteisiin, esimerkiksi terroristi- tai aktivistijärjestöjä tai ”roistovaltioita” vastaan, ja ottamaan iskuista julkisen vastuun. Siten ne osoittavat kyberkyvykkyyttään ja luovat pelotetta.
Kyberiskuihin kuitenkin pätee osittain sama logiikka kuin ydinpelotteen rakentamiseen aikanaan: sekä kyber- ettäydinaseita voidaan teoriassa käyttää strategisiin iskuihin esimerkiksi estämään vihollisen toimintaa, mutta odottamattomien seurausten ja hallitsemattomien vaikutusten riski on suuri.
Ongelmaksi tulee, kuinka osoittaa iskuilla kykyä ja voimaa mutta iskeä siten, ettei tilanne pääse eskaloitumaan. Esimerkiksi Yhdysvallat toteaa kyberpuolustusstrategiassaan, että valtiolla on oikeus vastata kohtaamaansa kyberhyökkäykseen sekä kyberasein että tavanomaisin keinoin: tankein, hävittäjin ja ohjuksin.
Siksi esimerkiksi tutkija Martti Lehto suhtautuu kriittisesti oletukseen kyberiskujen kiihtymisestä. ”Valtiot tyytynevät myös tulevaisuudessa uhkailemaan kyberaseillaan enimmäkseen sanoin”, hän toteaa.
Lehdon mukaan suurvallat voisivat esitellä kyberhyökkäämisen kykyjään turvallisesti vain kahden pienen mutta eri suurvaltojen leiriin kuuluvan maan konfliktissa. Jos esimerkiksi Pohjois- ja Etelä-Korea ajautuisivat avoimeen konfliktiin, Kiina ja Yhdysvallat voisivat osallistua kiistaan häiritsemällä vastapuolen suojattivaltion kriittisiä digitaalisia verkostoja.
Kiina aikoo iskeä ennalta
Valtioista etenkin Kiina kehittää kyberaseita kilpaa Yhdysvaltain kanssa. Toistaiseksi Yhdysvallat näyttää johtavan kilpailua Stuxnetin ansiosta.
”Stuxnet oli voimakas poliittinen viesti”, Jarno Limnéll sanoo. ”Yhdysvallat osoitti, että sillä oli ainutlaatuista kyberhyökkäyskapasiteettia jo muutama vuosi sitten.”
Yhdysvaltain mukaan maassa ei kuitenkaan ole tarpeeksi kyberavaruuden asiantuntijoita suurvallan nykyisiin tarpeisiin. Pentagon on ilmoittanut, että sillä on käytössään tuhatkunta maailmanluokan kyberammattilaisia, kun todellinentarve on 20 000–30 000.
Kiina puolestaan julisti jo vuonna 2007 aikovansa rakentaa kyberpuolustuksesta ydinpuolustukseen verrattavan kyvyn. Asiantuntijoiden mukaan kyberkyvyt ovat Kiinalle tärkein niin sanottu asymmetrinen keino, jolla tasapainottaa Yhdysvaltain perinteistä sotilaallista ylivaltaa.
Kybermaailman rauhanvälitykselle on tilausta. Se voisiolla mahdollisuus Suomen kaltaiselle maalle.
Asymmetrisyydellä tarkoitetaan sotatieteissä tilannetta, jossa mahdollisen sodan osapuolten sotilaallinen vahvuus, taktiikat tai strategiat eroavat toisistaan merkittävästi.
Kiinan kybersotajoukkojen koosta on vain arvauksia, ja nykyinen arvio on noin 180 000 henkeä. Lisäksi Kiinassa on tuhansien aktiivisten hakkereiden yhteisö, joka osallistuu myös valtiojohtoisiin iskuihin. Vuonna 2009 kiinalaishakkerit onnistuivat murtautumaan sekä Yhdysvaltain sähköverkkoon että asevoimien hävittäjäohjelmaan. Pentagon myönsi, että kiinalaishakkereiden onnistui kopioida tietoja hävittäjäohjelmasta – ja jos niitä saatiin tarpeeksi, Kiina voi rakentaa itselleen vastavoimaa tai kopioida samanlaista teknologiaa itselleen.
Nyt Kiinan kyberstrategia perustuu ajatukseen ennaltaehkäisevistä iskuista, joilla mahdollista vihollista estettäisiin käyttämästä fyysistä voimaa. Siten Kiina voisi teoriassa estää Yhdysvaltoja puuttumasta esimerkiksi konfliktiin Taiwanin asemasta. Merkittävää on, että iskuja voitaisiin Kiinan strategian mukaan käyttää myös rauhan aikana.
Töitä kyberrauhanvälittäjille
Lisäksi kyberkilvassa ovat asiantuntijoiden mukaan aktivoituneet ainakin Venäjä ja Japani sekä Nato-maista Britannia ja Saksa. EU:n turvallisuusstrategiaan kyberuhat liitettiin vuonna 2008.
Natossa kukin jäsenmaa on vastuussa omasta kyberpuolustuksestaan, mutta jäsenmaat toimivat myös yhdessä. Kuluvan vuoden loppuun mennessä puolustusliitolla on määrä olla käytössään kyberavaruudessa toimiva nopean toiminnan joukko, vuorokauden varoitusajalla operoiva kuuden asiantuntijan ryhmä. Se on jäsenmaiden apuna, jos ne joutuvat kyberiskujen kohteeksi.
Lisäksi Natolla on Tallinnassa toimiva kyberkeskus, joka kerää tietoa ja kouluttaa Naton jäsen- ja kumppanimaita esimerkiksi kriittisen infrastruktuurin suojelemisessa. Keskus ei ole osa Naton komentoketjua. Suomi osallistui keskuksen kyberharjoitukseen viime keväänä.
Puolustusliiton turvatakuut pätevät teoriassa myös kyberhyökkäyksissä. Siitä ei kuitenkaan ole Naton-laajuista yhteisymmärrystä, millainen kyberisku määritellään varsinaiseksi aseelliseksi hyökkäykseksi ja kuinka kyberiskuihin vastataan. Kun Venäjältä kohdistettiin kyberiskuja Viroon patsaskiistan yhteydessä vuonna 2007, turvatakuita ei käytetty, koska iskujen tekijää ei pystytty tunnistamaan.
Kyberkonflikteihin eivät myöskään puutu erikseen mitkään kansainväliset sopimukset. Perinteistä sodankäyntiä säätelevien Geneven sopimusten mukaan voimaa saa konfliktissa kohdistaa vain taisteluihin osallistuviin sotilaisiin. Siviileitä on suojeltava, ja sodan sivuvaikutukset on minimoitava. Kybersotaan humanitaarisen oikeuden säännöt soveltuvat vain osittain.
”Kybermaailmassa esimerkiksi sotilaan ja siviilin määrittäminen on vaikeaa. Jos isku kohdistuu esimerkiksi sähköverkkoon, todennäköisesti etenkin siviilit kärsivät”, Martti Lehto toteaa.
Jarno Limnéll puolestaan kuvailee kyberavaruutta ”villiksi länneksi”. Hänen mukaansa kansainvälisen yhteisön pitäisi pikimmiten aloittaa keskustelu kybermaailman kansainvälisen normiston luomiseksi.
”Kybermaailman rauhanvälitykselle on tilausta. Se voisi olla mahdollisuus Suomen kaltaiselle maalle.”
Juttua varten on haastateltu myös virolaistakyberturvallisuuden tutkijaa Häly Laasmea.