Skip to main content

Kyberasekilpa kiihtyy

Kyberasekilpa kiihtyy

Maailma elää uutta asevarustelun aikaa. Tällä kertaa aseilla ei kuitenkaan pröystäillä sotilasparaateissa eikä tykkejä ja panssareita nähdä sotaharjoituksissa.

Teksti Anna-Kaisa Hiltunen

Kuvat Antti Valta

Uuden ajan kyberaseet ovat digitaalisia ja näkymättömiä, joten kukaan ei tiedä, kuinka paljon ja kuinka tehokkaita aseita kukin valtio rakentaa.

Se kuitenkin tiedetään, että suurval­tojen ja sellaiseksi havittelevien raken­telemat kyberaseet ovat valtavia koodi­ryppäitä, joilla voitaisiin kaataa esimer­kiksi vieraiden valtioiden sähköverkkoja, verkkopankkeja tai öljykuljetusten logis­tiikkaa sääteleviä tietoverkkoja. Aseilla voitaisiin iskeä valtioiden elintärkeisiin toimintoihin ja kriittiseen infrastruktuu­riin siten, että valtiot lamautuisivat ilman laukaustakaan.

”Pandoran lipas on nyt avattu, ja sitä on vaikea sulkea. Varsinaista kybersotaa ei ole vielä käyty, mutta yksittäisiä kyberiskuja on jo nähty”, sanoo Jyväskylän yliopiston tietotekniikan laitoksen tut­kija, sotatieteiden tohtori Martti Lehto.

Lehto viittaa esimerkiksi vuonna 2010 Iranin Natanzin uraaninrikasta mosta löydettyyn Stuxnet-virukseen, jol­la Yhdysvallat onnistui viivästyttämään Iranin ydinohjelmaa muutaman vuoden.

Muistitikulla Iranin ydinlaitokseen ujutettu Stuxnet sormeili uraania rikas­taneiden sentrifugien pyörimisnopeuksia, ja laitteet hajottivat lopulta itsensä.

Ilmiö on kuitenkin paljon vanhempi: Yhdysvallat teki yhden ensimmäisistä kyberiskuistaan jo vuonna 1982.

Yhdysvaltalaisviranomaisten mukaan Neuvostoliitto varasti tuolloin kanada­laisyritykseltä öljyputkiston hallintaohjelman, johon oli varkaiden tietämät­tä ohjelmoitu haitallista koodia. Kun Neuvostoliitto käytti ohjelmaa Siperian halki kulkeneessa öljyputkistossa, haitta­ohjelma aktivoitui putkiston painetestin aikana, nosti paineen yli putkiston kesto­kyvyn ja aiheutti räjähdyksen. Neuvosto­liiton öljytulot kärsivät jopa vuoden ajan.

Viimeaikaisista verkkohyökkäyksistä julkisuuteen ovat nousseet esimerkiksi Is­raeliin kohdistuneet iskut Gazan pom­mitusten aikana. Hakkeriryhmä Anony­mous on ilmoittautunut olleensa iskujen takana.

Lokakuun lopulla kohuttiin Saudi-Arabian valtiolliseen öljy-yhtiöön Aramcoon tehdystä kyberiskusta, jonka aiheutti Shamooniksi ristitty virus. Se pyyhki tiedot kolmesta neljänneksestä Aramcon tietokoneista. Öljyntuotanto ei häiriintynyt, mutta yhtiö joutui sul­kemaan sisäisen tietoverkkonsa. Iskua pidettiin toistaiseksi tuhoisimpana yri­tykseen kohdistuneena kyberilkivallan­tekona, ja Yhdysvallat syytti siitä Irania.

Kohti kauhun tasapainoa

Nyt kilpavarustelua kiihdyttää nimen­omaan uusien aseiden näkymättömyys. Kun valtiot eivät tunne potentiaalisten vastustajiensa todellista voimaa, ne va­rautuvat perinteisen sodankäynnin logii­kan mukaan pahimpaan.

Lisäksi kyberaseiden kehittelyä jou­duttaa se, että koodin kirjoittaminen on huomattavasti halvempaa kuin esi­merkiksi modernit häivehävittäjät. Siinä missä hävittäjän hinta kipuaa helposti miljardiin, haittaohjelmien koodaami­nen maksaa korkeimmillaan miljoonia. Koulutettuja koodareitakaan ei tarvita armeijoittain.

Tämä voi parhaimmillaan tasapainot­taa maailmanpolitiikan voimasuhteita.

”Fyysisen maailman suurvallat eivät välttämättä ole kybermaailman suurvaltoja. Pienet maat ja ei-valtiolliset toimijat voivat kyberaikana nousta merkittävään asemaan kansainvälises­sä politiikassa”, toteaa tietoturvayritys Stonesoftin kyberturvallisuusjohtaja, sotatieteiden tohtori Jarno Limnéll.

Ei-valtiollisista toimijoista kyberavaruudessa ovat aktivoituneet niin hakkerit kuin verkkorikollisetkin. He voivat uhata valtioiden turvallisuutta esimerkiksi vuotamalla suuria määriä salasanoja tai luottamuksellisia diplo­maattisähkeitä tai horjuttamalla pankki­verkoston turvallisuutta verkkopankkimurroilla.

Tietoturvayritys Nortonin tuo­reen kyberrikollisuusraportin mukaan verkkorikollisuus on viime vuoden ai­kana aiheuttanut yksityisille internetin käyttäjille noin 110 miljardin dollarin tappiot. Joka sekunti 18 ihmistä joutuu verkkorikollisuuden kohteeksi.

Etenkin Yhdysvalloissa pelätään nyt myös terroristiryhmien siirtymistä kyberiskuihin. Jo vuonna 2009 Afganistanin ja Pakistanin kapinalliset onnistuivat sieppaamaan satelliittisignaalin, jolla Yhdysvallat välitti miehittämättömien lentokoneittensa lähettämää videokuvaa kontrollikeskuksiinsa. Yhdysvaltain ar­meijan kyberturvan tasosta kertoo pal­jon se, että signaali, jota käytettiin mah­dollisten iskukohteiden tunnistamiseen, ei ollut salattu.

Toisaalta kyberaseiden näkymät­tömyys voi johtaa maailman entistä kiivaampien kyberiskujen aikaan. Nä­kymättömyys näet vaikeuttaa aseiden pelotevaikutuksen luomista. Fyysisten aseiden pelotevaikutusta rakennetaan sotaharjoituksilla ja esittelemällä armei­jan panssareita ja miesvahvuutta soti­lasparaateissa, mutta kybermaailmassa logiikka on toinen. Haittaohjelmia on vaikea tai mahdoton havaita ennen kuin vahinko on aiheutettu.

Mikä kyber?

Kybermaailma = globaali tila, joka koostuu erilaisista toisiinsa kytkey­tyvistä informaatioteknologian rakenteista, kuten internetistä, telekommunikaatioverkoista ja muista tietoverkoista. Sisältää ja ohjaa yhteiskuntien kriittistä infra­struktuuria.

Kriittinen infrastruktuuri = infra­struktuuri, joka turvaa yhteiskunnan elintärkeitä toimintoja; esimerkiksi vesi- ja viemäriverkostot, pelastus- ja terveyspalvelut, maanpuolustus, julkisen hallinnon järjestelmät, tietoliikennejärjestelmät ja energia­verkko, pankki- ja rahoitusjärjestel­mät sekä logistiikkaverkostot.

Kyberturvallisuus = digitaalisen maailman ja siihen kytkeytyvän fyysisen infrastruktuurin turvalli­suus; tavoitetila, jossa kybermaail­masta ei aiheudu vaaraa, haittaa eikä häiriötä yhteiskunnan elintärkeille toiminnoille.

Kyberuhka = mahdollisuus sellai­seen kybermaailmaan vaikuttavaan tekoon tai tapahtumaan, joka voisi vaarantaa yhteiskunnan elintärkeitä toimintoja. Voidaan jakaa kyberaktivismin, kuten hakkeroinnin, lisäksi kyberrikollisuuteen, -vakoi­luun ja -terrorismiin sekä kybersotaan.

Kyberkonflikti = valtiollisen tai ei-valtiollisen toimijan kybermaail­massa toteuttama operaatio vas­tustajan elintärkeitä toimintoja tai kriittistä infrastruktuuria vastaan.

LÄHTEET: JARNO LIMNÉLL, MARTTI LEHTO, TURVALLISUUS- JA PUOLUSTUSASIAIN KOMITEAN SIHTEERISTÖ.

”Bittiparaateja tuskin nähdään tule­vaisuudessakaan”, Jarno Limnéll toteaa.

Limnéllin mukaan valtiot saattavat joutua tekemään aiempaa enemmän kyberiskuja todellisiin kohteisiin, esi­merkiksi terroristi- tai aktivistijärjestöjä tai ”roistovaltioita” vastaan, ja otta­maan iskuista julkisen vastuun. Siten ne osoittavat kyberkyvykkyyttään ja luovat pelotetta.

Kyberiskuihin kuitenkin pätee osit­tain sama logiikka kuin ydinpelotteen rakentamiseen aikanaan: sekä kyber- ettäydinaseita voidaan teoriassa käyt­tää strategisiin iskuihin esimerkiksi estämään vihollisen toimintaa, mutta odottamattomien seurausten ja hallit­semattomien vaikutusten riski on suuri.

Ongelmaksi tulee, kuinka osoittaa iskuilla kykyä ja voimaa mutta iskeä siten, ettei tilanne pääse eskaloitumaan. Esimerkiksi Yhdysvallat toteaa kyber­puolustusstrategiassaan, että valtiolla on oikeus vastata kohtaamaansa kyber­hyökkäykseen sekä kyberasein että ta­vanomaisin keinoin: tankein, hävittäjin ja ohjuksin.

Siksi esimerkiksi tutkija Martti Lehto suhtautuu kriittisesti oletukseen kyberiskujen kiihtymisestä. ”Valtiot tyytynevät myös tulevaisuudessa uhkailemaan kyberaseillaan enimmäkseen sanoin”, hän toteaa.

Lehdon mukaan suurvallat voisivat esitellä kyberhyökkäämisen kykyjään turvallisesti vain kahden pienen mutta eri suurvaltojen leiriin kuuluvan maan konfliktissa. Jos esimerkiksi Pohjois- ja Etelä-Korea ajautuisivat avoimeen kon­fliktiin, Kiina ja Yhdysvallat voisivat osallistua kiistaan häiritsemällä vasta­puolen suojattivaltion kriittisiä digitaa­lisia verkostoja.

Kiina aikoo iskeä ennalta

Valtioista etenkin Kiina kehittää kyberaseita kilpaa Yhdysvaltain kanssa. Tois­taiseksi Yhdysvallat näyttää johtavan kilpailua Stuxnetin ansiosta.

”Stuxnet oli voimakas poliittinen viesti”, Jarno Limnéll sanoo. ”Yhdys­vallat osoitti, että sillä oli ainutlaatuista kyberhyökkäyskapasiteettia jo muutama vuosi sitten.”

Yhdysvaltain mukaan maassa ei kuitenkaan ole tarpeeksi kyberavaruu­den asiantuntijoita suurvallan nykyisiin tarpeisiin. Pentagon on ilmoittanut, että sillä on käytössään tuhatkunta maailmanluokan kyberammattilaisia, kun todellinentarve on 20 000–30 000.

Kiina puolestaan julisti jo vuonna 2007 aikovansa rakentaa kyberpuolus­tuksesta ydinpuolustukseen verrattavan kyvyn. Asiantuntijoiden mukaan kyber­kyvyt ovat Kiinalle tärkein niin sanottu asymmetrinen keino, jolla tasapainottaa Yhdysvaltain perinteistä sotilaallista yli­valtaa.

Kybermaailman rauhanvälitykselle on tilausta. Se voisiolla mahdollisuus Suomen kaltaiselle maalle.

Asymmetrisyydellä tarkoitetaan sotatieteissä tilannetta, jossa mahdollisen sodan osapuolten sotilaallinen vahvuus, taktiikat tai strategiat eroavat toisistaan merkittävästi.

Kiinan kybersotajoukkojen koosta on vain arvauksia, ja nykyinen arvio on noin 180 000 henkeä. Lisäksi Kiinassa on tuhansien aktiivisten hakkereiden yhtei­sö, joka osallistuu myös valtiojohtoisiin iskuihin. Vuonna 2009 kiinalaishakkerit onnistuivat murtautumaan sekä Yhdys­valtain sähköverkkoon että asevoimien hävittäjäohjelmaan. Pentagon myönsi, että kiinalaishakkereiden onnistui kopi­oida tietoja hävittäjäohjelmasta – ja jos niitä saatiin tarpeeksi, Kiina voi raken­taa itselleen vastavoimaa tai kopioida samanlaista teknologiaa itselleen.

Nyt Kiinan kyberstrategia perustuu ajatukseen ennaltaehkäisevistä iskuista, joilla mahdollista vihollista estettäisiin käyttämästä fyysistä voimaa. Siten Kiina voisi teoriassa estää Yhdysvaltoja puut­tumasta esimerkiksi konfliktiin Taiwa­nin asemasta. Merkittävää on, että isku­ja voitaisiin Kiinan strategian mukaan käyttää myös rauhan aikana.

Töitä kyberrauhanvälittäjille

Lisäksi kyberkilvassa ovat asiantuntijoi­den mukaan aktivoituneet ainakin Venä­jä ja Japani sekä Nato-maista Britannia ja Saksa. EU:n turvallisuusstrategiaan kyberuhat liitettiin vuonna 2008.

Natossa kukin jäsenmaa on vas­tuussa omasta kyberpuolustuksestaan, mutta jäsenmaat toimivat myös yhdes­sä. Kuluvan vuoden loppuun mennessä puolustusliitolla on määrä olla käytös­sään kyberavaruudessa toimiva nope­an toiminnan joukko, vuorokauden varoitusajalla operoiva kuuden asiantun­tijan ryhmä. Se on jäsenmaiden apuna, jos ne joutuvat kyberiskujen kohteeksi.

Lisäksi Natolla on Tallinnassa toi­miva kyberkeskus, joka kerää tietoa ja kouluttaa Naton jäsen- ja kumppanimai­ta esimerkiksi kriittisen infrastruktuurin suojelemisessa. Keskus ei ole osa Naton komentoketjua. Suomi osallistui keskuk­sen kyberharjoitukseen viime keväänä.

Puolustusliiton turvatakuut pätevät teoriassa myös kyberhyökkäyksissä. Siitä ei kuitenkaan ole Naton-laajuista yhteis­ymmärrystä, millainen kyberisku määritel­lään varsinaiseksi aseelliseksi hyökkäyk­seksi ja kuinka kyberiskuihin vastataan. Kun Venäjältä kohdistettiin kyberiskuja Viroon patsaskiistan yhteydessä vuonna 2007, turvatakuita ei käytetty, koska is­kujen tekijää ei pystytty tunnistamaan.

Kyberkonflikteihin eivät myöskään puutu erikseen mitkään kansainväliset sopimukset. Perinteistä sodankäyntiä säätelevien Geneven sopimusten mu­kaan voimaa saa konfliktissa kohdistaa vain taisteluihin osallistuviin sotilaisiin. Siviileitä on suojeltava, ja sodan sivuvaikutukset on minimoitava. Kybersotaan humanitaarisen oikeuden säännöt soveltuvat vain osittain.

”Kybermaailmassa esimerkiksi soti­laan ja siviilin määrittäminen on vaikeaa. Jos isku kohdistuu esimerkiksi sähkö­verkkoon, todennäköisesti etenkin siviilit kärsivät”, Martti Lehto toteaa.

Jarno Limnéll puolestaan kuvailee kyberavaruutta ”villiksi länneksi”. Hä­nen mukaansa kansainvälisen yhteisön pitäisi pikimmiten aloittaa keskustelu kybermaailman kansainvälisen normis­ton luomiseksi.

”Kybermaailman rauhanvälitykselle on tilausta. Se voisi olla mahdollisuus Suomen kaltaiselle maalle.”

Juttua varten on haastateltu myös virolaistakyberturvallisuuden tutkijaa Häly Laasmea.