Lähivuosina valtiot paljastavat kyberkykyjään - Suomenkin osattava hyökätä verkossa

Profiilikuva
internet
Teksti
Jarno Limnéll
Julkaistu yli kolme vuotta sitten
Kuvitus Outi Kainiemi.

Valtion ja asevoimien on tänä päivänä mahdotonta olla uskottava ilman kykyä toimia ja vaikuttaa “bittien maailmassa”. Olemme sekä globaalisti, suomalaisessa yhteiskunnassa että meidän jokaisen elämässä yhä riippuvaisempia bittien maailman toimivuudesta, siis kyberturvallisuudesta. Kybervalmiuksien kehittäminen on nykyään olennainen osa valtioiden turvallisuuspolitiikkaa ja asevoimien suorituskyvyn rakentamista.

Kansainvälinen trendi on viime vuosina ollut selkeä: valtiolliset toimijat ovat resurssoineet kyberkyvykkyyksien kehittämiseen merkittävästi, vaikka puolustusbudjetit ovat yleisesti laskeneet. Paljastuneita kyberhyökkäyksiä, kuten Stuxnet- ja Flame-haittaohjelmia, voi pitää vain jäävuoren huippuna vallitsevasta todellisuudesta. Sodan ja rauhan rajat ovat hämärtyneet kybertoimintaympäristön merkityksen nousun myötä. Elämme parhaillaan harmaalla alueella. Bittien maailmasta on tullut toimintaympäristö, jossa on mahdollisuus saavuttaa strategisen tason voittoja – tai tappioita.

Kybertoimintaympäristössä ei voi toimia uskottavasti ja onnistuneesti pelkästään puolustautumisen keinoin. Ei, vaikka kuinka haluaisi. Tarvitaan kolmenlaista kyvykkyyttä: puolustus-, sieto- ja hyökkäyskykyä.

Kyberpuolustuskyvyn on itsessään oltava mahdollisimman tehokas hyökkäyksien torjumiseksi. Paraskin puolustus kuitenkin murretaan joskus. Täydellistä turvallisuutta ei ole mahdollista saavuttaa kybermaailmassakaan. Resilienssi, sietokyky, on siksi hyvin olennaista. Kyse on kyvystä sietää erilaisia häiriötilanteita ja toipua niistä mahdollisimman nopeasti. Puolustus- ja sietokyvyn kehittäminen on yleisesti melko hyväksyttyä. Ne eivät kuitenkaan riitä. Kyberhyökkäyskyvyllä on oleellinen rooli puolustuksen uskottavuuden ja pelotevaikutuksen rakentamisessa tämän päivän maailmassa.

Keskustelu hyökkäyksellisen kyvyn, kyberaseiden kehittämisen, tarpeellisuudesta pitää aloittaa nyt. Teknologisesti kehittyneelle pienelle valtiolle kybertoimintaympäristö tarjoaa kustannustehokkaan mahdollisuuden vahvistaa uskottavuuttaan ja pelotevaikutustaan. Suomi tarvitsee hyökkäyksellistä kyberkykyä ja sitä tulisi kehittää neljästä syystä.

Ensiksi, mikäli valtio haluaa tänä päivänä olla uskottava toimija niin turvallisuus- ja puolustuspolitiikassa kuin taistelukentälläkin, sillä täytyy olla vahva kyky toimia kybertoimintaympäristössä ja kykyä myös hyökkäykselliseen toimintaan.

Toiseksi, hyökkäyskyky lisää pelotevaikutusta. Vahva kyvykkyys ja sen osoittaminen ennaltaehkäisee kyberaseiden käyttöä. Ennaltaehkäisevä kyky on kaikki kaikessa. Uskottavalla kyvyllä, pelotteella, nostetaan vastapuolen hyökkäyskynnystä korkeammalle. Rima ei kuitenkaan nouse riittävästi, jollei valtiolla ole myös hyökkäyksellistä kykyä. On tärkeää pitää mielessä, että kyvyn omaaminen ei tarkoita samaa kuin sen käyttäminen.

Kolmanneksi, sekä hyökkäyksellisen ajattelun kehittäminen että kyberaseiden rakentaminen ovat tärkeitä, jotta voidaan luoda vahvempi ja uskottavampi puolustus. Valtio ei voi menestyä keskittymällä vain puolustukseen. Pitää ymmärtää, miten hyökkääjä toimii, ja harjoitella hyökkäystä. Vain hyökkäämällä voidaan tulla tietoiseksi oman puolustuksen heikoista kohdista ja siten paikata niitä. Mikään maa ei voi rakentaa tehokasta ja uskottavaa kyberpuolustusta, jollei sillä ole kykyä ja osaamista myös hyökätä.

Neljänneksi, joissakin tapauksissa hyökkäys on paras puolustus. Passiivinen puolustus ei kriisitilanteessa yksin toimi, vaan tarvitaan myös aktiivisia toimenpiteitä riippumatta siitä, miten puolustuksellinen doktriini valtiolla on.

Maailmalla vallitsee parhaillaan voimakas epäluulon tila, sillä valtiot eivät ole tietoisia toistensa kyberkyvykkyyksistä. Fyysisessä maailmassa on suhteellisen helppoa arvioida, montako panssarivaunua tai hävittäjää kullakin valtiolla on, ja miten valtiot aikovat niitä käyttää. Valtiot myös paljastavat arsenaaliaan sotilasparaateissa ja esittelevät toiminnallisia taitojaan sotilasharjoituksissa. Avoimuus johtuu siitä, että pelote toimii vain, jos muut ovat tietoisia siitä.

Kyberkyvyykkyyden osoittaminen ja pelotteen luominen on huomattavasti vaikeampaa. Kyberhyökkäyksistä ei yleensä jää fyysisiä todisteita, joista voitaisiin päätellä, mistä hyökkäys on tehty ja kuka vastustaja on. Vaikka hyökkäyksen tiedettäisiin tulleen tietystä kohteesta, ei voida olla varmoja, onko hyökkäyksen takana valtiollinen toimija tai esimerkiksi aktivistiryhmä. Myös maantieteelliset etäisyydet ja aikatekijät menettävät merkityksensä digitaalisessa maailmassa.

Tunnistamattomuus vaikeuttaa pelotteen luomista. Jos kyberhyökkäyksestä ei jää kiinni, ei saa kunniaakaan, eikä osoitettua kyvykkyyttään muille. Viimeaikaisena kehityssuuntana onkin ollut, että eri toimijat ovat alkaneet avoimesti ottaa vastuuta paljastuneista kyberhyökkäyksistä.

Valtiot tulevat paljastamaan kyberkyvykkyyksiään lähivuosina avoimemmin. Tämä tehdään muun muassa järjestämällä harjoituksia ja simulaatioita, joita ulkopuolisilla on mahdollisuus tulla seuraamaan. Laboratorio-oloissa tehtävien kyberhyökkäyksien vaikutuksia myös raportoidaan julkisuuteen. Luultavasti tämä ei kuitenkaan riitä uskottavan pelotevaikutuksen luomiseksi.

Valtioiden on “pakko” tehdä kyberhyökkäyksiä todellisissa tilanteissa ja todellisia kohteita vastaan. Tämä tarkoittaa kyberhyökkäyksiä terroristijärjestöjä, tietoverkossa toimivia haktivistiryhmiä, teollisuuslaitoksia tai jopa toisia valtioita vastaan. Kun iskut on toteutettu, tekijä ottaa niistä vastuun, jotta kyberpelotteen vaikutus olisi mahdollisimman suuri. Logiikka on pelottava, mutta todennäköinen. Avoin kyberaseiden esitteleminen johtanee kybervarustelukilpailun kiihtymiseen entisestään, peliteorian oppien mukaisesti.

Suomessa on välttämätöntä ymmärtää hyökkäyksellisen kyberkyvykkyyden tarpeellisuus. Kyse ei ole siitä, tarvitsemmeko hyökkäyksellistä kyberkykyä vai emme – vaan miten hankimme sen. Sen lisäksi, että Suomen on kehitettävä hyökkäyksellistä kyberkyvykkyyttä, on samalla mietittävä keinoja, miten kykyä aiotaan pelotevaikutuksen luomiseksi osoittaa muille. Vain siten Suomi on uskottava turvallisuuspoliittinen toimija – myös kybermaailmassa.