Kyberhyökkäyksistä vain pieni osa sotilaskohteisiin – kohteena yhteiskunnan toimintakyky

Asiantuntija Panu Moilasen mukaan kyberpuolustusta pitää rakentaa etupainotteisesti.

Kyberturvallisuus on erottamaton osa verkkoon kytkettyä elämäämme. Sitä toteutetaan henkilökohtaisella tasolla salasanoilla ja turvallisilla selausmenetelmillä, mutta myös suuryritysten ja valtioiden tasolla.

Venäjä hyödyntää kybertoimintaa vahvasti Ukrainassa, mutta myös laajemmin hybridivaikuttamisen muotona Euroopassa. Kybertoimintaa sanotaan välillä rikollisuudeksi, toisinaan sodankäynniksi, mutta menetelmät ovat usein samat.

Jyväskylän yliopiston informaatioteknologian tiedekunnan lehtori Panu Moilanen kertoo, että raja kyberrikollisuuden ja -sodankäynnin välillä on häilyvä. Moilanen on aktiivinen MPK:ssa sekä kirjoittaa toista väitöskirjaansa Maanpuolustuskorkeakoulussa.

– Suomalaisessa keskustelussahan nimenomaan emme halua puhua sanasta kybersodankäynti – tällä me jätämme huomiotta sellaisia asioita, joihin kannattaisi kiinnittää huomiota.

Vaikka Suomessa onkin valtion alainen Kyberturvallisuuskeskus, on verkkojemme turva Moilasen mukaan ennen kaikkea yritysten käsissä. Tämän vuoksi ei ole täysin selvää, miten Suomen kokonaisvaltainen kyberpuolustus on järjestetty ja kenen vastuulla se on.

– Meillä on sellainen uskomus siitä, että tämä verkosto hoitaa kaiken, mikä Suomea voi kohdata.
Vaikka yritysten ja muiden toimijoiden yhteisö käy vuoropuhelua, ja rauhan aikana kyberturvallisuus on hyvällä tasolla, tulisi Suomen panostaa Moilasen mukaan enemmän poikkeusolojen valmiuteen.

– Ei voi olla sellainen tilanne, että kun kriisi eskaloituu, niin ruvetaan miettimään, millaisen kyberturvallisuuden ja -puolustuksen johtorakenteen tarvitsemme.

Vaaroja ja mahdollisuuksia

Eikö se ole kyberturvallisuusriski, että jokaisella tykkimiehellä ja jääkärillä on verkkoon kytketty puhelin taskussa?

Moilanen kertoo, että puhelimia ei varusmiehiltä oikein voi kokonaan kieltää, vaikka ne tuovatkin omat riskinsä. Huolimattomalla käytöllä verkkoon kytketyillä laitteilla voi esimerkiksi paljastaa omien joukkojen sijainnin.

Hän kertoo esimerkkinä, että Afganistanissa palvelleita yhdysvaltalaisia sotilaita oli paikannettu urheilusovelluksen kautta.

Älylaitteet tuovat kuitenkin myös toimintamahdollisuuksia. Hänen mukaansa oikeissa kriisitilanteissa todennäköisesti käytettäisiin sotilaiden omia viestintävälineitä eräänlaisena arjen ratkaisuna.

Vilkas siviilitietoliikenne voi Moilasen mukaan joissain tilanteissa myös suojata Puolustusvoimien tietoliikennettä. Matkaviestimillä lähetetään nimittäin valtavasti dataa kaikkialla, joten esimerkiksi yksittäisen toimijan tietoliikenne ei herätä välttämättä huomiota.

Varusmiesten omia viestintävälineitä voidaan käyttää hyödyksi kriisitilanteissa. Kuva: Lempi Leinonen

– Se, että meillä on aika lailla teknisesti sivistynyt ja hyvin varustettu asevelvollisjoukko, on siitä näkökulmasta hyvä asia.

Moilanen kertoo, että pitäisi luottaa enemmän koulutukseen ja osaamisen tarjoamiseen. Samalla, kun omat joukot voivat vaarantua vääränlaisen verkkotoiminnan seurauksena, voi viholliset paikantaa samalla menetelmällä.

Kybervaikuttaminen pitkäkestoista

Moilanen muistelee, että joskus on puhuttu puhtaan kybersodan mahdollisuuksista, jossa koneet sotisivat keskenään. Siitä kuitenkin ollaan erittäin kaukana.

Hän kertoo, että kybersodankäynti on yksi tapa käydä sotaa muiden aselajien ohella. Se liittyy aina isompaan aseelliseen kontekstiin. Multidomain-operoinnilla tarkoitetaan toimintaa, jossa monessa eri ulottuvuudessa toimien pyritään yhteiseen tavoitteeseen.

Moilanen kertoo, että yksi merkittävimmistä eroista kybersodan ja tavanomaisen sodankäynnin välillä on se, että sotilaat ja välineet voidaan laskea, kun taas kyberaseet ovat paljon huomaamattomampia.

Kybervaikuttamisen piirteitä ovat valmistelun ja toteutuksen pitkä kesto. Joskus on myös epäselvää havaita helpolla, mitä varten jokin hyökkäys on tehty. Klassinen esimerkki tästä on USB-tikulla levinnyt haittaohjelma
Stuxnet, jonka tarkoitus oli aiheuttaa vahinkoa Iranin uraaninjalostamoille.

– Kyberasehan on sellainen, että se on aika rajaton ja tietyllä tavalla se voidaan kohdistaa hyvinkin laajasti johonkin tiettyyn haavoittuvuuteen.

”Eurooppa on melko kädetön”

Moilanen kertoo, että enää ohjelmistoyhteistyö Yhdysvaltojen kanssa ei ole niin ilmiselvä asia kuin vielä muutama vuosi sitten. Hän nostaa esiin tapauksen, jossa Kansainvälisen rikostuomioistuimen pääsyyttäjän Microsoft-tilin sähköposti lakkautettiin suoraan Donald Trumpin pakotteiden seurauksena.

– Minun mielestäni on ihan perusteltua suhtautua vähän epäilevästi siihen, voimmeko käyttää Microsoftin ja muiden suurten amerikkalaisten tech-firmojen palveluita samalla tavalla kuin ennen.

Moilasen mukaan emme kiinnitä tarpeeksi huomiota Kiinaankaan. Hän kertoo, että vasta viime vuosina olemme heränneet siihen, kuinka paljon Kiina on kehittynyt, ja jopa mennyt länsimaista ohi teknologioissa, kuten puolijohteissa.

– Fundamentaalinen ongelma on se, että Eurooppa on melko kädetön kaikessa teknologiassa. Meillä ei ole riittävästi omaa tuotantoa, tuotekehitystä tai palveluita, Moilanen kiteyttää.

Moilanen kirjoittaa toista väitöskirjaansa MPKK:lla informaatiovaikuttamisesta, luottamuksesta ja laajasti ymmärretystä turvallisuudesta. Kuva: Remu Shemeikka

Vaikka Eurooppa on Moilasen mukaan käytännössä pudonnut markkinaehtoisen ohjelmisto- ja teknologiakehityksen kilpailun kelkasta, on sillä vahva mahdollisuus kehittää laadukkaita tuotteita julkiseen ja puolustukselliseen käyttöön.

Se on Moilasen mielestä suorastaan pakko tehdä, sillä ajat ovat muuttuneet. Hän nostaa esimerkiksi Saksan, jossa kehitetään pilvipalveluita, tekoälyä sekä panostetaan omaan kyberturvallisuuteen.

Kyberiskuja kaikkiin kohteisiin

Moilanen kertoo, että Venäjä voi hyvin helposti lisätä verkkoiskujaan Ukrainan ulkopuolelle. Siihen ei hänen mukaansa tule tuudittautua, että Venäjä olisi kyberhyökkäysten saralla jotenkin sidottu sotaan, vaikkakin Venäjän hallinnolle on hyvin tärkeää keskittää huomionsa rintamalle.

Moilanen näkeekin Ukrainan sodassa uhkakuvia Suomelle, joihin on syytä varautua.

– Vain noin 10 prosenttia Ukrainassa toteutetuista kyberoperaatioista on kohdistunut sotilaallisiin kohteisiin. Tämä varmasti toteutuisi Suomessakin, jos me ajautuisimme aseelliseen konfliktiin Venäjän kanssa.

Kyberhyökkäykset kohdistuisivat eniten yhteiskunnallisiin palveluihin, yrityksiin ja hallintoon. Tarkoitus olisi rapauttaa yhteiskunnan kykyä toimia sekä levittää epävarmuutta ja pelkoa. Moilasen sanoin Venäjää ei kiinnosta, iskeekö se sairaaloiden vai sotilaallisten järjestelmien verkkoihin.

– Sotahan on, niin ikävältä kuin se kuulostaakin, meidän kannalta kiinnostava havainnointikohde. Sieltä voi oppia paljon.

Tärkeää sodasta on Moilasen mielestä havainnoida, minkälaista kybervaikuttamista sotaa edeltävinä aikoina on tehty. Se voi auttaa varautumaan poikkeusoloihin, jos tilanne sellaiseksi äityy.