Kanava: Jos poliittiset johtajat eivät kykene luomaan pelotetta vastatoimista, koemme jatkossa yhä vakavampia kyberiskuja

Julkaistu yli kolme vuotta sitten

Suomen Kuvalehti kokeilee uutta koneääntä. Jos haluat, voit antaa palautetta äänen laadusta täältä.

Pahantahtoinen valtiolähtöinen kybervaikuttaminen ei saa muodostua hyväksytyksi normaalitilaksi, vaan myös Suomen on puututtava siihen poliittisin toimenpitein, kirjoittaa kyberturvallisuuden työelämäprofessori Jarno Limnéll Kanava-lehden numerossa 6/2021. Suomen Kuvalehti julkaisee Kanavassa aiemmin julkaistuja tekstejä verkossa.

 

Elämme keskellä teknologista vallankumousta, joka vaikuttaa mittavasti kansainväliseen politiikkaan, sodankäyntiin, yhteiskuntien ja yritysten toimintaan sekä ihmisten arkipäivään.

Yhteiskunnat toimivat jo nyt pitkälti tietojärjestelmien ja tietoliikenneyhteyksien varassa. Digitalisaatio jatkuu ja tulee ulottumaan lähes kaikkialle. Samalla kybertoimintaympäristön turvallisuudesta tulee yhä tärkeämpää.

Kyberasiat ovat nousseet sekä kansallisen että kansainvälisen politiikan arvoasteikossa korkeaan kategoriaan, johon ovat perinteisesti kuuluneet esimerkiksi sodat ja konfliktit.

Olemme parhaillaan luomassa kyberympäristöön poliittisia käytäntöjä ja kansainvälisiä pelisääntöjä. Helposti unohtuu, että kybertoimintaympäristö on ensisijaisesti poliittinen ympäristö; sitä säädellään ja siihen vaikutetaan poliittisilla päätöksillä ja ohjauksella.

Valtioille yksi vaikeimmista kyberpolitiikan kysymyksistä on tällä hetkellä se, miten erilaisiin pahantahtoisiin kybertoimiin tulisi vastata. Millaisia poliittisia vastatoimia tulisi tehdä, jos valtionhallinto joutuu esimerkiksi laajamittaisen kybervakoilun kohteeksi? Tai jos kyberhyökkäyksellä lamautetaan kriittisen infrastruktuurin, kuten energianjakelun, toiminta?

Pahantahtoinen kybervaikuttaminen on valtioille houkuttelevaa. Poliittinen ”kyberareena” mahdollistaa toiminnan, jota perinteiset taloudelliset, alueelliset tai sosiaaliset rajoitteet eivät koske. Kybervaikuttamisesta kiinni jääminen on epätodennäköistä ja teot helposti kiistettävissä. Operaatiot ovat suhteellisen edullisia. Kansainvälisen lain silmissä kyberasiat ovat harmaa alue.

Kyberhyökkäysten poliittiset riskit ovat siis pieniä. Siksi tietyt valtiot kuten Venäjä ja Kiina testaavat yhä rohkeammin ”kyberaseitaan” ja koettelevat kybertaistelukentän poliittisia rajoja. Mitä voi tehdä ja millaisin seuraamuksin?

Pahantahtoinen valtiolähtöinen kybervaikuttaminen ei saa muodostua hyväksytyksi normaalitilaksi vaan siihen on puututtava poliittisin toimenpitein. Myös Suomessa on valmisteltava pelikirja, jossa määritellään ennalta, miten erilaisiin kyberoperaatioihin reagoidaan.

Jollei poliittinen johto kykene luomaan riittävää pelotetta vastatoimista, tulemme jatkossa kokemaan yhä vakavampia ja kehittyneempiä kyberhyökkäyksiä.

Esimerkiksi Natossa linjattiin jo vuonna 2014, että vakava kyberhyökkäys yhtä jäsenvaltiota vastaan voi johtaa viidennen artiklan käyttöönottoon. Artikla velvoittaa muita Nato-maita puolustamaan hyökkäyksen kohteeksi joutunutta jäsenvaltiota. Kesän 2021 huippukokouksessa Nato laajensi linjaustaan kattamaan yhden merkittävän kyberhyökkäyksen lisäksi pienemmät mutta toistuvat vihamieliset kybertoimet.

Viime aikoina on käyty kansainvälistä keskustelua siitä, millaisia vastatoimia tulisi tehdä kun tietty valtio antaa ei-valtiollisten toimijoiden hyökätä maaperältään muiden kimppuun kiristyshaittaohjelmilla. Vihamielisiin kybertoimiin vastaaminen on välttämätöntä. Keskeistä on viestittää, että hyökkääjän toiminta havaitaan, eikä sitä suvaita. Tämän viestin välittäminen on erityisen tärkeää, koska kybermaailmassa tehtyjen operaatioiden ajatellaan usein olevan riskittömiä.

Vastatoimilla pyritään luomaan pelote, joka nostaa kynnystä tehdä uusia iskuja. Vastaiskuja suunniteltaessa on syytä muistaa, että ne saattavat myös kiihdyttää konfliktia.

 

Ennen kuin pohditaan kyberiskujen poliittisten vastatoimien vaihtoehtoja ja niihin vaikuttavia tekijöitä on tärkeää nostaa esiin syyksilukemiseen eli attribuutioon liittyviä haasteita.

Attribuutio tarkoittaa kyberoperaation tekijän tunnistamista ja paikantamista. Hyökkääjän identifioiminen on kybermaailmassa tunnetusti vaikeaa, vaikka erilaiset tunnistukseen liittyvät menetelmät ovatkin viime vuosina kehittyneet huomattavasti.

Tunnistamista vaikeuttaa voimistuva trendi, jossa valtiolliset toimijat ulkoistavat kyberoperaatioitaan ei-valtiollisten toimijoiden toteutettavaksi. Lisäksi hyökkäyksen tekijä useimmiten kiistää osallisuutensa. Vaikka tekijä olisi tunnistettu ja paikannettu, valtioiden erilaiset oikeudelliset käytännöt estävät hyökkäyksen toteuttajan saamisen lailliseen edesvastuuseen.

Vastatoimien kohdentamiseksi tekijän tunnistaminen riittävällä varmuudella on välttämätöntä. Siihen tarvitaan sekä itse hankittua että kansainvälisiltä yhteistyökumppaneilta saatua tietoa.

Riittävän tunnistamisen määrittely on viime kädessä poliittinen valinta. Täydellinen attribuutio on kybermaailmassa vaikeaa, ja hyökkäysjälkiä voidaan myös manipuloida osoittamaan tekijä väärään osoitteeseen (false flag). Tällöin vastatoimet saatetaan kohdistaa syyttömään osapuoleen.

Tunnistamisen vaikeus saattaa olla myös poliittinen tekosyy olla tekemättä mitään. Tai sitten tekijän tunnistamisesta ei haluta julkista, jotta omat tiedonhankintamenetelmät eivät paljastuisi.

On tärkeää, että tekijän tunnistamiseen liittyviä menetelmiä kehitetään aktiivisesti ja niihin panostetaan. Yksinään juuri mikään valtio ei ole vahva kyberhyökkääjien tunnistamisessa, jossa onnistuminen perustuu usein samanmielisten valtioiden kanssa tehtyyn kansainväliseen yhteistyöhön.

 

Kun vihamielisen kybertoimen tekijä on kyetty riittävällä varmuudella tunnistamaan (mikä voi kestää pitkään), poliittisten päättäjien on pohdittava neljää asiaa ennen sopivan vastatoimen valintaa.

Ensinnäkin on kyettävä arvioimaan tapahtuneen kyberhyökkäyksen vaikutuksia. Fyysisessä maailmassa esimerkiksi ilmapommituksen seuraukset on suhteellisen helppo todeta. Kyberiskujen vaikutuksien arviointi on usein huomattavasti hankalampaa.

Esimerkiksi tietomurron yhteydessä sen enempää vuotaneiden tietojen laajuus kuin vuodon seuraukset eivät välttämättä ole itsestään selviä.

Tietovuoto saatetaan ylipäätään havaita huomattavalla viiveellä, jopa vuosia itse tapahtuman jälkeen. Havainnon jälkeen vuodon vaikutuksien arviointi voi kestää viikkoja, kuukausia tai jopa vuosia. Esimerkiksi yritykset saattavat olla haluttomia antamaan tietoja kyberhyökkäyksen vaikutuksista peläten liiketoiminnan vaarantumista.

Vaikutuksien arviointi on keskeinen asia vastatoimien oikeanlaisessa mitoittamisessa: jos ne yli- tai aliarvioidaan, riskinä on vastatoimien yli- tai alimitoittaminen. Poliittisten päätöksentekijöiden on otettava huomioon myös voimassaoleva kansallinen turvallisuusstrategia, kyberturvallisuusstrategia, lainsäädäntö sekä muut valtion kyberpolitiikkaa ohjaavat linjaukset, jotka vaikuttavat valtion vastatoimien määrittämiseen.

Jos valtio kuuluu kansainväliseen sotilasliittoumaan tai esimerkiksi Europan unioniin, sen on huomioitava myös näiden instituutioiden kyberhyökkäyksiin vastaamisesta tekemät linjaukset. Muuten valtiota voidaan syyttää yhteisesti sovituista käytännöistä lipsumisesta.

Esimerkiksi Suomen on päätöksenteossa huomioitava Euroopan unionissa kehitetty ”kyberdiplomatian työkalupakki”. Sieltä jäsenmaat voivat ottaa yhteisesti sovittuja vastatoimia kansallisten ratkaisujen rinnalle ja näin lisätä vastareaktion uskottavuutta.

Suomelle on myös tärkeää osallistua jatkossakin aktiivisesti EU:n kyberdiplomaattisten vastatoimien kehittelyyn. Koska kyseessä on uusi ja kehittyvä ala, samanmielisten maiden yhteistyöstä on hyötyä mielekkäiden käytäntöjen luomisessa. Isolla joukolla määritellyt ja toteutetut vastatoimet lähettävät voimakkaamman viestin kuin yksittäisen maan oma toiminta.

Valtioilla on ainakin neljänlaisia keinoja vastata kyberiskuihin: diplomaattisia, informatiivisia, sotilaallisia ja taloudellisia. Niitä voidaan myös yhdistellä.

Kun vastatoimet on valittu, on pohdittava, käytetäänkö niitä julkisesti vai peitellysti ”kulissien takana”, ja tapahtuuko vastatoimi fyysisessä maailmassa vai kyberympäristössä – vai molemmissa. Esimerkiksi Iso-Britannia on julkisesti todennut, että se voi vastata vakavaan kyberhyökkäykseen fyysisellä sotilasvoimalla, kuten ilmaiskuilla.

Vastaiskujen mitoittaminen vaatii myös poliittista harkintaa. Tapahtuneen vihamielisen kybervaikuttamisen jälkeen on todennäköisesti suuri julkinen paine ”tehdä jotain”. Erityisesti julkisuudessa tapahtumaa saatetaan liioitella. Pahimmillaan se voi johtaa voimakkaiden tunteiden pohjalta tehtyihin päätöksiin.

Ennen tilannekuvan selkiytymistä on syytä miettiä tarkkaan, millaisella poliittisella harkinta- ja johtamiskyvyllä vastatoimista voidaan päättää.

Syyksilukemisen ei tarvitse aina olla julkinen kannanotto. Se voi olla myös diplomaattinen ja ei-julkinen yhteydenotto laillisuuden tai hyväksyttävyyden rajat ylittäneen valtion edustajaan.

Toisaalta poliittisten päättäjien on kyettävä osoittamaan päättäväisyyttä, ja viestinnän merkitys päättäväisyyden ilmentämisessä on nykymaailmassa yhä keskeisempi. Riski liian voimakkaiden vastatoimien seurauksena tapahtuvasta tilanteen eskaloitumisesta, vastatoimien vastatoimista, on syytä muistaa.

 

Poliittisilla päättäjillä useita keinoja vastata kyberiskuun. Kaikki niistä eivät ole julkisia. Jokaisella keinolla on myös seurauksia. Vastatoimet vaikuttavat valtion diplomaattisuhteisiin, kansainväliseen maineeseen, sotilaalliseen toimintaan ja tiedusteluun.

Tällä hetkellä yleisimpiä julkisia vastatoimia ovat poliittiset lausumat sekä kovemmilla vastatoimilla uhkailu. Esimerkiksi Yhdysvaltain presidentti Joe Biden on jo moneen kertaan kohdistanut niitä Venäjälle. Kesällä Euroopan unioni esitti varsin kovasanaisen lausuman Kiinalle sen maaperältä tapahtuvan jatkuvan vihamielisen kybervaikuttamisen seurauksena.

Vihamielisten kybertoimien kirjo on tänä päivänä laaja ja ulottuu verkkosivujen kaatamisesta kriittiseen infrastruktuuriin kohdistuviin kyberhyökkäyksiin ja terveystietojen manipulointiin. Iskun vaikutuksien arvioimisen vaikeus hankaloittaa myös sopivan vastatoimen valintaa. Seuraavat ovat keskeisiä vaihtoehtoja vastatoimiksi.

Ensimmäinen vaihtoehto on pidättäytyä vastatoimista kokonaan ja keskittyä oman kyberturvallisuuden vahvistamiseen. Tällöin vastatoimia ei suunnata kyberhyökkäyksen tekijään vaan viestitään kyberturvallisuuden toimenpiteiden parantamisesta ja kerrotaan kyberpuolustuksen vahvistamisesta saaduista kokemuksista.

Positiivista tässä vaihtoehdossa on, että se estää tilannetta eskaloitumasta. Samalla se kuitenkin antaa hyökkääjälle viestin tämän toiminnan hyväksymisestä. Passiivinen reagoiminen johtaa todennäköisesti hyökkäysten jatkumiseen ja jopa laajenemiseen.

 

Toisena vaihtoehtona ovat diplomaattiset vastatoimet.

Niitä voidaan tehdä monella tavalla. Hyökkäyksen tekijämaan suurlähettiläs voidaan esimerkiksi ottaa puhutteluun tai tekijämaalle voidaan toimittaa diplomaattilausunto. Nämä toimenpiteet voidaan tehdä julkisesti tai hiljaisesti.

On myös mahdollista pyytää teon tuomitsevaa lausuntoa samanmielisten maiden järjestöiltä. Panoksia voi koventaa karkottamatta diplomaatteja. Yhdysvallat teki näin todettuaan Venäjän pyrkineen vaikuttamaan kyberkeinoin maan presidentinvaaleihin.

Tässä vaihtoehdossa valtio osoittaa pystyneensä tunnistamaan tekijän riittävällä varmuudella ja osoittaa poliittista tahtoa puuttua tilanteeseen nostamalla asian esille. Eskalaation riski pysyy pienenä, vaikka esimerkiksi diplomaattien karkottamiseen tavallisesti vastataan samalla tavalla.

Kolmantena vaihtoehtona ovat oikeudelliset toimet, jotka kohdistetaan yleensä tiettyä organisaatiota (esimerkiksi tiedustelupalvelua) tai yksittäisiä ihmisiä kohtaan.

Toimenpiteellä lähetetään selkeä viesti. Vaikka viesti on usein pitkälti symbolinen, se toimii myös varoituksena kohdemaalle. Käytännössä syytetyt henkilöt pidätetään yleensä vain jos he vierailevat maassa, jossa syyte on nostettu.

Oikeudellisiin toimenpiteisiin sisältyy riski siitä, että tiedustelutietojen hankkimismenetelmät paljastuvat todisteita esitettäessä.

Yhdysvallat on käyttänyt tätä vastatoimenpidettä muun muassa syyttäessään kiinalaisia ja venäläisiä henkilöitä tietomurroista. Saksa puolestaan nosti syytteet kahta Venäjän GRU:n edustajaa kohtaan parlamenttiinsa kohdistuneiden kyberhyökkäysten seurauksena. Sen  jälkeen EU lisäsi kyseiset henkilöt ja koko GRU:n kyberyksikön pakotelistalleen.

 

Neljäntenä vaihtoehtona ovat poliittiset ja taloudelliset sanktiot.

Poliittiset pakotteet voivat tarkoittaa tiettyjen henkilöiden tai organisaatioiden asettamista ”mustalle listalle”, mikä rajoittaa heidän matkustamistaan ulkomaille tai mahdollisuuksiaan toimia kansainvälisillä rahoitusmarkkinoilla. Taloudellisilla seuraamuksilla voidaan kieltää tai rajoittaa liiketoimia kyberhyökkäyksen tekijätahojen kanssa tai esimerkiksi jäädyttää tai takavarikoida tekijöiden EU-maissa olevaa omaisuutta.

Kansainvälisten arvioiden mukaan tähän reaktioon sisältyy riski vastatoimien vastatoimista, joilla voi olla merkittäviä taloudellisia vaikutuksia molemmille osapuolille.

Kyse on pitkälti siitä, missä laajuudessa taloudellisia pakotteita asetetaan. Euroopan unioni käytti vuonna 2020 pakoteinstrumenttia vastatoimena kyberhyökkäyksiin kohdentaen pakotteet Venäjään, Kiinaan ja Pohjois-Koreaan.

 

Viides tapa reagoida on tehdä vastatoimet kyberympäristössä.

Jos diplomaattiset toimet eivät riitä, kyberhyökkäykseen voidaan vastata samalla mitalla. Kybertoimintaympäristössä toteutetun vastahyökkäyksen riskinä on tilanteen eskaloituminen. Verkottuneessa kybermaailmassa toteutetuilla voimatoimilla voi olla myös ennalta-arvaamattomia seurauksia. Vastahyökkäys voikin aiheuttaa enemmän ongelmia kuin se ratkaisee.

Vastahyökkäyksen kohdentamisessa ja mitoittamisessa onnistuminen on ensiarvoisen tärkeää. Riskinä on, että vastahyökkäys saa kansainvälisen yhteisön tuomion. Näin käy herkästi varsinkin jos alkuperäisen iskun tekijän syyllisyyttä ei pystytä selkeästi osoittamaan. Merkittäviä julkisia kybervastahyökkäyksiä ei ole toistaiseksi tehty, tai ainakaan niistä ei ole kerrottu julkisuuteen.

Kuudes toimintatapa on tehdä kyberympäristössä peiteltyjä vastatoimia.

Jos vastakyberhyökkäys tehdään salaa, oma toiminta voidaan kiistää. Parhaassa tapauksessa vain alkuperäinen hyökkääjä havaitsee vastahyökkäyksen ja ymmärtää lopettaa omat iskunsa.

Väärinkäsitysten estämiseksi vastatoimen tehnyt valtio voi julkisesti viestiä ryhtyneensä ”sopiviin vastatoimiin” määrittelemättä tarkemmin, mitä ne ovat. Julkisesti esitetyt syytteet saattavat kiihdyttää peiteltyjä hyökkäyksiä – ja siten edelleen myös salattuja vastahyökkäyksiä. Eskaloitumisen riski on siis olemassa.

Esimerkki peitellystä kybervastatoiminnasta on Yhdysvaltojen vastaus Sonyyn vuonna 2014 kohdistuneeseen hakkerointiin. USA kertoi paikantaneensa hakkeroinnin Pohjois-Koreaan ja vastaavansa ”valitsemanaan aikana ja valitsemallaan tavalla”. Pian tämän jälkeen Pohjois-Korea syytti Yhdysvaltoja kyberhyökkäyksistä, eikä Yhdysvallat kiistänyt niitä.

 

Seitsemäs – ja järein – vastatoimi on fyysinen sotilaallinen voimankäyttö. Tällainen reaktio lähettää kristallinkirkkaan viestin siitä, ettei tehtyä kyberhyökkäystä suvaita. Samalla on tiedostettava vakava eskalaatioprosessin mahdollisuus. Fyysistä sotilaallista toimenpidettä voidaan todennäköisesti harkita vain siinä tapauksessa, että kyberhyökkäys on ollut erityisen vakava ja siihen todennäköisimmin liittyy merkittäviä fyysisiä vaikutuksia.

Tällöin iskun toteuttajasta on oltava selkeä varmuus ja sen osallisuudesta vakuuttavat todisteet. Näytöstä huolimatta kansainvälinen yhteisö voi pitää sotilaallista vastatoimea suhteettoman suurena, jolloin valtion maine on vaarassa ja poliittiset sekä taloudelliset seuraamukset voivat olla merkittäviä.

Toistaiseksi tätä instrumenttia ei ole käytetty, joskin esimerkiksi presidentti Donald Trumpin hallinnosta viestitettiin, että vakaviin kyberhyökkäyksiin voitaisiin vastata jopa ydinasein.

 

Edellä esitetty lista vihamieliseen kybervaikuttamiseen vastaamisen poliittisista vaihtoehdoista ei ole tyhjentävä, mutta se antaa suuntaa kansainvälisesti vastatoimien pelikirjan ja käytäntöjen muodostumisesta.

Kyberhyökkäysten poliittiset vastatoimet ovat suhteellisen uusi ilmiö kansainvälisissä suhteissa. Käytäntöjä ollaan parhaillaan vasta luomassa sitä mukaa kun kokemukset lisääntyvät.

Kyberhyökkäyksiin vastaaminen ja vastatoimien kehittäminen ovat valtiolle poliittisia kysymyksiä. Ne ovat myös uskottavuusasia. Nimenomaan tämä on otettava poliittisesti huomioon ennakoidusti ja yhä vahvemmin – myös Suomessa.

Varsinkaan tapauksissa, joissa ulkopuolinen valtiotoimija on selkeästi rikkonut lakia, reagoimattomuus ei ole vaihtoehto. Tässäkin varautuminen, skenaariotyö, kunkin vaihtoehdon etujen ja haittojen pohdinta, vastatoimien seurausten ennakointi sekä vastatoimien käytännön kyvykkyyksien luominen on viisauden alku.

 

Kirjoittaja Jarno Limnéll on kyberturvallisuuden työelämäprofessori Aalto-yliopistossa ja dosentti Maanpuolustuskorkeakoulussa sekä Jyväskylän ja Tampereen yliopistoissa.

Kirjoitus on ensi kertaa julkaistu Kanavassa 6/2021. Kanavan voit tilata täältä. Suomen Kuvalehti ja Kanava kuuluvat samaan mediaperheeseen Otavamediassa ja niillä on yhteinen päätoimittaja.