kybersota mikko hyppönen

Mikko Hyppösen näkemyksiä kybersodasta ja -turvallisuudesta

Kybersota on monimutkainen termi, ja sen määritelmästä tullaan kinastelemaan vielä pitkään akateemisissa konferensseissa. Kyberaseen määritteleminen on helpompaa: kyberase on valtiollisen tahon kehittämä ja hyökkäyskäyttöön tarkoitettu haitallinen ohjelma. Kyberaseita voidaan käyttää sodankäynnissä, kuten Venäjän ja Ukrainan konfliktissa vuodesta 2014 eteenpäin, mutta kyberaseen käyttö ei vaadi varsinaista sotaa. Niitä voidaan käyttää myös vakoilussa tai sabotaasissa.

Digitalisaatio on muuttanut tiedustelua ja vakoilua merkittävästi. Tieto on muuttunut paperilla olevista teksteistä ja piirroksista dataksi, joka talletetaan tietokoneille ja tietoverkkoihin. Tiedon varastaminen, kopioiminen tai valokuvaaminen vaati aiemmin sitä, että vakoojan piti saapua paikan päälle. Nyt vakoilu tai tiedustelu voi tapahtua maailman toiselta puolelta. Myös tietomäärät ovat mullistuneet. Verkkovakooja voi siirtää muutamassa hetkessä sellaisen määrän tietoa, joka paperilla vastaisi useita rekkalasteja. Organisaatiossa huomataan, kun talosta ajetaan ulos rekkalasteittain tietoa, mutta kukaan ei välttämättä huomaa mitään, kun sama tapahtuu tietokoneiden kautta.

Teknologia on aina muokannut sitä, miltä sodat näyttävät, ja teknologian kehitys vaikuttaa suoraan siihen, miten konflikteja ratkotaan. Satoja vuosia sitten sotamme sodittiin miekoilla ja nuolilla, koska parempaa teknologiaa ei ollut tarjolla. Kun teknologia mahdollisti sotalaivojen rakentamisen, sotamme levisivät maalta merelle. Merisodan keksiminen ei kuitenkaan poistanut maasotaa, vaan sotia sodittiin useilla taistelukentillä yhtä aikaa. Lentokoneiden myötä alettiin käydä ilmasotaa, sotilassatelliittien myötä avaruussotaa – ja nyt kyberaseiden myötä käydään kyberavaruussotaa.

En usko, että tulemme koskaan näkemään puhdasta kyberkonfliktia eli sotaa, jossa kaksi maata julistaisivat sodan toisilleen ja kaikki aktiviteetti tapahtuisi vain kyberavaruudessa. Kun konflikti kriisiytyy, tapahtumat lähtevät käyntiin kaikilla taistelukentillä, kyber mukaan lukien. Kyberaseiden osuus tiedustelussa on oleellinen, mutta myös suora vaikuttaminen on täysin mahdollista.

Perinteisiin aseisiin verrattuna kyberaseet ovat tehokkaita, halpoja ja kiistettäviä. Ne ovat tehokkaita, koska niillä voidaan saavuttaa saman tyyppinen tuhovaikutus kuin pommituksilla tai ohjusiskuilla. Ne ovat myös halvempia kuin perinteiset
aseet.

Kiistettävyyteen auttaa vielä sekin, että kyberhyökkäyksen tekijäksi voidaan lavastaa jokin muu taho. Ilmiö tunnetaan nimellä False Flag. Nimi tulee merisodassa käytetystä taktiikasta, jossa hyökkääjä pääsee kohteensa lähelle liputtamalla ystävällismielisen maan lippua. Tunnettu esimerkki väärän lipun käyttämisestä on saksalaisten vuonna 1941 suorittama merihyökkäys australialaisen sotaristeilijä HMAS Sydneyn kimppuun. Myös Mainilan laukaukset, joiden varjolla Neuvostoliitto aloitti talvisodan vuonna 1939, olivat esimerkki valehyökkäyksestä.

Kyberaseiden kiistettävyyteen liittyy sekin, että voimme olettaa, että iso osa valtiollisista hyökkäyksistä jää kokonaan löytymättä. Nytkin tiedämme tapauksia, joissa valtiollisia haittaohjelmia on käytetty aktiivisesti vuosien ajan ennen kuin ne on löydetty.

Ei pidä unohtaa sitä, että verkon hyökkääjillä on aina etulyöntiasema. Kun he ovat kehittäneet uuden kyberaseensa, he voivat testata sen kaikkia markkinoilta löytyviä turvaohjelmistoja vastaan ennen kuin sillä tehdään ensimmäistäkään hyökkäystä. Valtiolliset pelurit ostavat kaikki markkinoilla olevat turvaohjelmistot. Heidän kehittämänsä hyökkäyskoodi jää todennäköisesti kiinni useaankin tunnistukseen, mutta kehittäjät voivat muokata koodiaan ja testata sitä uudestaan, kunnes se ei enää jää. Hyökkäys toteutetaan vasta, kun on testaamalla varmistettu, että koodi ei tule jäämään kiinni. Kyseessä ei siis ole tasavertainen taistelu hyökkääjien ja puolustajien välillä, koska hyökkääjät saavat rauhassa tutustua puolustajien aseisiin ja etsiä niistä heikkouksia. Puolustajilla ei tällaista etua ole, vaan heidän täytyy aina kyetä tunnistamaan kaikki hyökkäykset ja reagoida välittömästi uusiin.

Millaisen pelotevaikutuksen kyberaseet luovat? Eivät juuri minkäänlaista. Itse asiassa meillä on hyvin rajallinen käsitys eri valtioiden hyökkäyskyvystä verkossa. Tiedämme kyllä, että Yhdysvallat on investoinut alalle enemmän rahaa ja pidempään kuin mikään muu valtio. Samoin tiedämme jotain Kiinan, Venäjän, Iranin ja Pohjois-Korean hyökkäyskyvystä. Mutta mikä mahtaa olla vaikkapa Indonesian kyberhyökkäyskyky? Entä Tanskan tai Uruguayn? Wikipediasta löydämme kyllä tarkat numerot siitä, kuinka monta tankkia tai hävittäjälentokonetta näiltä mailta löytyy, mutta kyberpuolesta emme tiedä juuri mitään. Olen joskus käyttänyt tästä näkyvyydestä ilmaisua ”kybersodan sumu”, mikä viittaa reaalikonflikteissa käytettävään termiin fog of war. Se tarkoittaa taistelukentän epävarmuustekijöitä ja heikkoa tilannetajua.

Kyberasevarustelukierre kiihtyy, ja kaikki maat kehittävät kyberkyvykkyyksiään. Osa työstä menee puolustautumiseen, mutta yhä suurempi osa hyökkäyskykyyn. Näin on maailmalla, mutta myös meillä Suomessa, ja niin pitääkin olla, sillä kyberhyökkäyskyky on osa uskottavaa puolustusta. Mahdolliselle hyökkääjälle pitää pystyä viestimään, että häntä vastaan tullaan taistelemaan tehokkaasti.

Kyberaseet muistuttavat reaalimaailman aseita siinä, että nekin vanhenevat. Tykit ja tankit ruostuvat, kyberaseiden hyödyntämät turvaheikkoudet paikataan. Jos vasta kehitetty kyberase hyödyntää tuntematonta haavoittuvuutta vaikkapa Windows-käyttöjärjestelmässä, kuinka pitkään haavoittuvuus pysyy salassa? Vuoden? Viisi vuotta? Kuinka kauan kestää, että Windows muuttuu niin paljon, että haavoittuvuus ei enää toimi, vaikkei sitä olisikaan varsinaisesti löydetty ja korjattu? Tämä jatkuvasti muuttuva alusta on syy siihen, että valtioilla on pysyvä tarve uusiin, tuoreisiin haavoittuvuuksiin.

Ehkä vielä jonakin päivänä tulemme näkemään sotilasparaatien verrokkeja kyberaseille eli tapoja esitellä valtion kyberhyökkäyskykyjä niin, että niille saataisiin pelotevaikutetta. Tämä voisi toteutua esimerkiksi kybersotaharjoituksilla, joihin kutsuttaisiin vieraita valtioita tarkkailijoiksi. Tässäkin on omat riskinsä, sillä tuntemattomien haavoittuvuuksien esitteleminen voi johtaa niiden paljastumiseen ja hyödyntämiseen. Vierasta valtiota vastaan heitetty keihäs voi kääntyä heittäjäänsä vastaan.

Jos ase on tehokas, halpa ja kiistettävä, ei ole ihme, että se herättää kiinnostusta. Kyberaseet ovat juuri tällaisia, ja siksi olemme nyt astuneet uudenlaiseen asevarustelukierteeseen.

Tämä blogikirjoitus on lainaus Mikko Hyppösen lokakuussa 2021 julkaistusta kirjasta ”Internet” (WSOY).

Katso myös seuraavat artikkelit:

Ota yhteyttä!

Tilaa uutiskirje!