Eduskuntaan tehtiin vuonna 2020 kutsumaton valtiovierailu, kun kybervakoiluoperaatio APT31 yritti tunkeutua eduskunnan tietojärjestelmiin. APT31-operaatioita on nähty maailmalla useita, ja niiden jäljet johtavat Kiinaan.
Valtiolliset ja valtioiden tukemat kyberhyökkäykset yleistyvät hälyttävällä vauhdilla. Tietoliikenneyritys Verizonin verkkovakoiluraportin mukaan vuonna 2020 jopa 85 prosenttia verkkovakoilusta oli valtioihin kytkeytyvien ryhmien toimintaa.
Valtiollinen vakoilutoiminta tietoverkoissa on lisääntynyt, toteaa myös Oxfordin yliopiston kansainvälisten suhteiden apulaisprofessori, teknologian ja kansainvälisten suhteiden keskuksen johtaja Lucas Kello.
Muutos on Kellon mukaan seurausta useiden tekijöiden summasta, joista ensimmäinen on informaation digitalisoituminen. Kun yhä suurempi osa yhteiskunnan merkittävästä tiedosta varastoidaan sähköisesti, vakoojille tarjoutuu entistä parempia mahdollisuuksia päästä käsiksi salaiseen informaatioon.
»On paljon helpompaa murtautua Suomen parlamentin virtuaaliseen aarrearkkuun kuin Eduskuntataloon», Kello toteaa sähköpostitse.
Toinen tekijä on teknologinen haavoittuvuus. Tietokonejärjestelmät ovat luontaisesti alttiita manipulaatiolle ja tunkeutumiselle. Usein heikkoudet ovat niin kutsuttuja nollapäivähaavoittuvuuksia, joista itse järjestelmän kehittäjä ei ole tietoinen, mutta jotka tunkeilija löytää. Nimi viittaa siihen, että ohjelmakehittäjillä on kirjaimellisesti nolla päivää aikaa korjata tietoturva-aukko ennen kuin viholliset ehtivät havaita sen.
Kolmas tekijä on Kellon mukaan motivaatio: geopoliittisilla kilpakumppaneilla on runsaasti syitä tunkeutua toistensa tietojärjestelmiin tai häiritä niiden toimintaa.
»Syyt vaihtelevat teollisuussalaisuuksien ja poliittisesti arkaluontoisen materiaalin, kuten kansanedustajan sähköpostien, varastamisesta aina elintärkeään infrastruktuuriin kohdistuvien iskujen suunnitteluun», Kello sanoo.
Valtiolliset kyberhyökkäykset eivät ole kehittyneet yhdessä yössä. Verkkotiedustelun ja -aseiden hiomiseen on käytetty monissa maissa tuntuvasti aikaa ja rahaa.
Ensimmäisenä merkittävänä modernin kybersodankäynnin tapauksena pidetään kesällä 2010 toteutettua Stuxnet-iskua. Iranin ydinohjelmaan kohdistettu haittaohjelma levisi Windows-tietokoneisiin USB-muistitikkujen välityksellä. Iskun pääasiallisina arkkitehteinä pidetään Yhdysvaltoja ja Israelia, joskaan kumpikaan maista ei ole myöntänyt tekoa.
Nykyään aktiivisimpiin kyberiskuja tekeviin maihin lukeutuvat Kiina ja Venäjä. Maiden teknologisessa osaamisessa on kuitenkin eroja. Etevimmän kybermaan kruunua kantaa tällä hetkellä Kiina. Venäjä puolestaan korvaa määrällä sen, minkä häviää laadussa: maan hyökkäysyritykset eivät aina ole kovin hienostuneita, mutta niitä toteutetaan verrattain paljon.
Center for Strategic and International Studies -tutkimuslaitos (CSIS) on listannut merkittävämmät kyberhyökkäykset ja niihin kytkeytyvät maat vuodesta 2006. Suurvaltojen lisäksi listalla mainitaan hyökkääjämaina useasti Israel, Iran ja Pohjois-Korea.
Kyberiskut ovat valtioille tapa ilmaista aggressiota nykyisen lakijärjestelmän rajoissa.
Kyberhyökkäysoperaatiot ja niitä tekevät maat tunnetaan hyvin. Myös kybervakoilun lisääntymiseen johtavat syyt ovat tiedossa.
Ongelmia aiheuttaa kuitenkin se, ettei useimmilla hyökkäyksen uhreiksi joutuvilla mailla ole tietoa tai työkaluja selvittää sitä, millaisia ja kuinka laajamittaisia hyökkäyksiä niihin kohdistuu.
Suomen sotilasedustaja EU:ssa ja Natossa, kenraalimajuri Mikko Heiskanen pitää Suomen tilannetta epätoivoisena. Suomalaisen yhteiskunnan kyberpuolustus on hajautettu. Vastoin yleistä käsitystä puolustusvoimat vastaa vain puolustusvoimien kyberturvallisuudesta. Kokonaisvaltaista tietoa suunniteltujen ja toteutettujen iskujen määrästä tai vaarallisuudesta ei tällä hetkellä ole kellään. Suomella ei ole siten myöskään malleja vastata laajamittaiseen kyberhyökkäykseen.
Heiskasen mukaan infrastruktuurin nykyinen valvominen vakavien uhkien varalta on riittämätöntä. Hän muistuttaa, että eduskuntaan viime vuonna kohdistunut hyökkäys ei ole suinkaan ensimmäinen isku Suomen valtiota kohtaan vaan ensimmäinen, jonka tekijä nimetään julkisesti.
Tekijöiden julkinen nimeäminen ei kuitenkaan Heiskasen mukaan ole edellytys sille, että puolustuspolitiikkaa kehitetään. Puhuttiin tekijöistä julkisesti tai ei, valtio voi ryhtyä vastatoimiin niitä vastaan.
Tällä hetkellä suurimmaksi esteeksi nouseekin lainsäädäntö, joka ei rauhan aikana juuri tarjoa mahdollisuuksia puolustautua kyberrikollisuudelta. Valtioiden normatiivinen ja laillinen kehys ei riitä tarkoituksiin, joihin sitä verkossa pitäisi soveltaa, Lucas Kello toteaa.
»Ne eivät tarjoa riittävää pohjaa sille, että voisimme uskottavasti vastata uhkaavaan toimintaan, joka ei täytä sodan tunnusmerkkejä. Kansainvälinen sääntökirja ja länsimainen turvallisuusstrategia priorisoivat sotaa.»
Samaa mieltä on myös Mikko Heiskanen. Vaikka tieto hyökkäyksen tekijästä ja aiheutetusta tuhosta olisi, toimivaltuudet puuttuvat.
»Voimme lähinnä soittaa ja torua, että nyt oli pahasti tehty.»
Muitakin mahdollisuuksia vastatoimiin olisi. Heiskanen nostaa esiin DIME-doktriinin, joka on Yhdysvaltain kehittämä puolustusstrategia moderniin sodankäyntiin. Strategiassa keinoiksi listataan englanninkielisen akronyymin mukaisesti diplomatia, informaatio, asevoimat ja talous. Neuvottelujen ja aktiivisen informaatiovaikuttamisen lisäksi hyökkäyksiin voitaisiin siis reagoida myös esimerkiksi sotilaallisesti tai talouspakotteilla.
Heiskasen mukaan nykytilanne vaatisi laaja-alaista yhteistyötä eri maiden välillä. Euroopan maiden tulisi toimia ennen kaikkea yhtenä suurena rintamana alueellisen työn sijaan. Suomen kaltainen pieni maa hyötyy yhteistyöstä niin siviili- kuin sotilastoiminnassa.
Eurooppa näyttää olevan kybermaailmassa jatkuvasti kaksi askelta muita jäljessä. Monellakaan EU-maalla ei ole kykyä estää hyökkäyksiä, vaan niiden resurssit kuluvat tuhojen siivoamiseen ja minimoimiseen.
Suomen lisäksi monet muut EU-maat ovat valinneet defensiivisen lähestymistavan verkkoturvallisuuteen, eli ne keskittyvät rakentamaan puolustusta hyökkäyksiä vastaan. Tällä hetkellä defensiivistä kyberpolitiikkaa toteutetaan Suomen lisäksi muun muassa Ruotsissa, Norjassa, Ranskassa, Saksassa ja Britanniassa.
Lucas Kellon mukaan EU:n poliittiset päättäjät ovat puheissaan painottaneet kansainvälisen lain ja normien keskeistä asemaa verkkotoiminnan sääntelyssä. Lainsäädännön avulla voidaan parantaa ennustettavuutta ja vähentää riskejä kurittomien kybermaiden vaikutuspiirissä.
Esimerkiksi Kello nostaa EU:n korkean edustajan Federica Mogherinin puheen vuodelta 2019. Mogherinin mukaan Euroopan unionin tavoitteena on nousta »eteenpäin katsovaksi pelaajaksi kyberkentällä» ja toimijaksi, joka vahvistaa »sääntöpohjaista järjestystä kyberavaruudessa».
Mogherinin esittämä lähestymistapa on Kellon mielestä silminnähden epäonnistunut. Kerta toisensa jälkeen länsimaiden johtajien viesti kyberuhkiin vastaamisesta jää puheen tasolle. Poissaolollaan loistavat toimet, jotka estäisivät hyökkäysten toistumisen.
Kello kutsuu kyberavaruuden nykytilaa epärauhaksi (unpeace). Verkkohyökkäykset eivät täytä sodan tunnusmerkkejä, koska kyse ei ole fyysisestä väkivallasta. Samalla niiden seuraukset uhriksi joutuvalle maalle ovat niin vakavia, ettei hyökkäystä voi kuitata pelkkänä rauhan ajan kilvoitteluna.
Tähän asti kyberhyökkäysten vaikutukset ovat pääasiallisesti kohdistuneet valtioiden tai yksityisten organisaatioiden dataan tai talouteen. Tuore esimerkki merkittävästä valtion infrastruktuuriin kohdistuvasta iskusta nähtiin toukokuun alussa, kun kyberhyökkäys sulki Yhdysvaltain suurimman, 8 900 kilometrin mittaisen polttoaineen siirtoon tarkoitetun putkilinjaston. Iskun tekijäksi yhdysvaltalaisviranomaiset epäilivät tuoreeltaan venäläistä Darkside-hakkeriryhmää.
Verkottuneessa yhteiskunnassa kyberaseilla olisi mahdollista aiheuttaa massiivista, henkeen ja terveyteen kohdistuvaa haittaa.
Myös perinteiseen infrastruktuuriin kohdistuvat iskut voivat välillisesti olla tappavia.
Syyskuussa 2020 Saksassa uutisoitiin välillisesti kyberhyökkäyksen aiheuttamasta kuolemasta. Düsseldorfin yliopistollinen sairaala ei pystynyt ottamaan kiireellistä hoitoa vaativaa potilasta, koska kyberhyökkäys oli jumittanut sairaalan tietojärjestelmän. Potilas jouduttiin lähettämään ambulanssilla läheiseen Wuppertalin sairaalaan 30 kilometrin päähän, mutta hengenvaarallisesti sairas nainen kuoli matkalla.
Uutistoimisto Reutersin mukaan Düsseldorfin tapaus oli ensimmäinen kerta, kun kyberhyökkäys on aiheuttanut ihmisen kuoleman.
Inhimillistä kärsimystä aiheuttavat myös kyberiskut, joissa hyökkääjä kajoaa henkilökohtaisiin tietoihin. Heiskanen nostaa Suomessa esimerkiksi yksilöllistä kärsimystä aiheuttaneesta iskusta myös psykoterapiakeskus Vastaamon tietomurron. Lokakuussa 2020 selvisi, että Vastaamon asiakkaiden tiedot olivat olleet suojaamattomina netissä jopa vuosien ajan. Yritys tiedotti asiasta vasta kun potilastiedot itselleen kopioinut hakkeri kiristi yritystä 33 000 asiakkaan tietojen paljastamisella. Lopulta terapiatiedot vuodettiin salatussa, usein rikollisuuteen liitetyssä Tor-verkossa.
Sähköpostimurtojen kohteeksi ovat suomalaisedustajien lisäksi joutuneet Norjan kansanedustajat. Myös Norjan iskusta on syytetty APT31-ryhmää.
Kellon mukaan on epätodennäköistä, että väkivaltaiset ja tuhoisat kyberhyökkäykset, jotka täyttäisivät aseistetun hyökkäyksen kriteerit, toteutuisivat sodan ulkopuolella.
»Kyberiskut ovat valtioille tapa ilmaista aggressiota nykyisen lakijärjestelmän rajoissa. Hyökkääjämaat ymmärtävät, että vakavat kybersotatoimet johtaisivat lähes varmasti sotilaallisiin vastatoimiin.»
Sekä vakavaan konfliktiin että pienempiin kyberuhkiin varautumista on kuitenkin syytä edistää. Maltillisen vastauksen sijaan uhriksi joutunut maa voisi vaatia kyberhyökkääjältä korvauksia aiheutuneista vahingoista, Kello ehdottaa.
Yritystä kansainvälisen sääntelyn edistämiseksi on nähty esimerkiksi YK:ssa. Kenraalimajuri Heiskasen mukaan Suomi on osa samanmielisten maiden ryhmää, joka pyrkii edistämään turvallisuustyöhön liittyviä aloitteita ja vastuullista käyttäytymistä verkossa. Ryhmään lukeutuvat muun muassa Yhdysvallat, Britannia, Ranska ja Alankomaat.
Heiskanen kertoo kuitenkin suhtautuvansa pessimistisesti siihen, että muutos saataisiin aikaan, ainakaan nopeasti. Suomen kanssa samanmielisen ryhmän vastapainona on Kiinan ja Venäjän vetämä suuri maajoukko, joka haluaisi hoitaa kyberasiat kansallisen lainsäädännön alla. Kyseisiä maita nykyinen tilanne ja kansainvälisen sääntelyn puute hyödyttävät.
»Pelkään, että juna on jättänyt meidät jo asemalle. Monilla mailla on niin paljon menetettävää, jos kyberhyökkäyksistä alettaisiin säätää kansainvälisellä tasolla ja kansallisilla laeilla.»
Ihmeitä on kuitenkin tapahtunut ennenkin. Heiskanen toteaa, että ydin-, bio- ja kemiallisista aseista on päästy kansainvälisessä säätelyssä yhteisymmärrykseen.
Digitaalisista palveluista riippuvaisessa yhteiskunnassa verkkoalustojen alasajo ei ole vaihtoehto kyberhyökkäysten estämiseksi. Heiskasen mukaan uhkien täydellinen torjuminen on mahdotonta.
Nykytilanteessa tärkeintä onkin vahvistaa kansallista toimintakykyä tilanteessa, jossa kaikki yhteiskunnan palvelut eivät ole käytettävissä. Tärkeimmiksi varautumiskeinoiksi Heiskanen nimeää tilannekuvan tarpeeksi kattavan kartoittamisen sekä johtajuuden.
»Johtajuutta tarvitaan erityisesti monialaisista hyökkäyksistä toipumiseen. Se edellyttää tietoa hyökkäyksen laajuudesta ja teknisistä yksityiskohdista», Heiskanen sanoo.
Kansallisesti kyberuhkien kattavampaan ymmärtämiseen voi olla odotettavissa myös muita työkaluja lähitulevaisuudessa. Valmistelussa on uusi kyberturvallisuuden kehittämisohjelma valtion kyberturvallisuusjohtaja Rauli Paanasen johdolla. Vuodet 2021–2030 käsittävä ohjelma sisältää sekä konkreettisen toimeenpanosuunnitelman että vaikuttavuusanalyysin. Ohjelma hyväksyttiin hallituksen puoliväliriihessä, ja valtioneuvoston periaatepäätös on tulossa asialistalle alkukesästä.
Heiskasen mukaan jää nähtäväksi, miten eduskuntaan kohdistunut kyberhyökkäys vaikuttaa kehittämisohjelman läpivientiin. Hän muistuttaa, että kyberhyökkäyksiin vastaaminen ja vastatoimien kehittäminen on valtionhallinnolle poliittinen kysymys. Oleellista hänen mukaansa on, että päätös tehdään parhaan tiedon valossa.
»Vaikka ei tehtäisi mitään, on ymmärrettävä ratkaisun vaikutus. Poliitikkojen tulee kantaa vastuu kyberpuolustuksen tasosta, oli se mikä tahansa.»
Lähteet: Lewis: Strategy After Deterrence, CSIS, Kello: The Virtual Weapon and International Order.