Ranskan vaalihakkerointi, WannaCry-kiristyshaittaohjelma ja Petya-haittaohjelma ovat esimerkkejä viime kuukausina tapahtuneista kyberhyökkäyksistä, joilla on ollut laajoja vaikutuksia niin yhteiskuntiin kuin yrityksiin.

Hyökkäysten tekijänä on yhä useammin valtio tai valtion kanssa yhteistyötä tekevät hakkeriryhmät. Jatkossa tulemme kokemaan vaikutuksiltaan yhä vakavampia ja kehittyneempiä hyökkäyksiä, jollei poliittisesti kyetä ennakolta luomaan riittävää pelotetta vastatoimista.

Kyberhyökkäysten taustalla on aina jokin motiivi. Rikollisilla se on yleensä raha, aktivisteilla poliittinen viesti ja valtioilla poliittisten, taloudellisten sekä sotilaallisten tavoitteiden edistäminen. Valtioilla on voimakkaimmat kyvykkyydet, jotka tulevat edelleen kehittymään sekä laajuudeltaan että edistyksellisyydeltään.

Valtiot testaavat yhä rohkeammin ”kyberaseitaan” ja koettelevat kybertaistelukentän poliittisia rajoja. Mitä voi tehdä ja millaisin seuraamuksin?

Jo nyt uutisoidaan hakkeroinneista toisen valtion ohjusjärjestelmiin (siirryt toiseen palveluun) ja ydinvoimaloihin (siirryt toiseen palveluun) sekä ”kyberpommien” kätkemisestä (siirryt toiseen palveluun). Myös Suomen kriittisen infrastruktuurin tietojärjestelmiä ja tietoliikenneyhteyksiä sekä avainhenkilöitä tiedustellaan ennakolta, jotta niihin voidaan tarvittaessa vaikuttaa. Valtioiden tekemät kyberhyökkäykset tulevatkin vaikuttamaan poliittisiin suhteisiin sekä valtarakennelmiin ympäri maailmaa.

Kyberkykyjen käyttäminen on valtioille houkuttelevaa. Siitä kiinnijääminen on epätodennäköistä ja teot kiistettävissä, operaatiot ovat suhteellisen edullisia toteuttaa, kyberasiat ovat kansainvälisessä laissa harmaa alue ja ennen kaikkea hyökkäysten poliittiset riskit ovat pieniä.

Tämän takia valtiot testaavat yhä rohkeammin ”kyberaseitaan” ja koettelevat kybertaistelukentän poliittisia rajoja. Mitä voi tehdä ja millaisin seuraamuksin?

Vaikuttaminen ei saa muodostua hyväksytyksi normaalitilaksi vaan siihen on puututtava selkein poliittisin toimenpitein

Vaikka hyökkääjä on ajoittain lähes varmuudella kyetty osoittamaan, ovat vastatoimet osoittautuneet hyvin vaatimattomiksi. Esimerkiksi Ranskassa poliittinen johto totesi (siirryt toiseen palveluun) Ranskan vastaavan presidentinvaaleihin kohdistuneeseen vaikuttamiseen. Ainakaan julkisesti vastatoimia ei ole vielä näkynyt. Vastaavia esimerkkejä löytyy niin Saksasta (siirryt toiseen palveluun) kuin Yhdysvalloista (siirryt toiseen palveluun). Tämä johtaa yhä aggressiivisempien ja vaikuttavampien kyberhyökkäysten tekemiseen jatkossa.

Vaikka hyökkääjän todentaminen on kyberympäristössä haasteellista, käytetään vaikeutta myös poliittisena tekosyynä olla tekemättä mitään. Todentamisessa kansainvälinen yhteistyö etenkin tiedustelupalveluiden välillä on välttämätöntä. Samalla on syytä tarkentaa, mitä esimerkiksi suvereniteetin loukkaaminen tarkoittaa kyberympäristössä.

On myös huomioitava, että kyberympäristö on hybridisodankäynnissä enenevissä määrin toimintakenttänä. Hybridivaikuttamisen kohde joutuu elämään hyvinkin pitkään epävakauden keskellä, ja juuri kyberympäristö tarjoaa hyökkääjälle tehokkaita keinoja vaikuttaa niin yhteiskunnan vakauden heikentämiseen kuin poliittisen päätöksenteon hankaloittamiseen.

Vaikuttaminen ei saa muodostua hyväksytyksi normaalitilaksi vaan siihen on puututtava selkein poliittisin toimenpitein.

Usein unohtuu, että kyberympäristö ja sen kehittäminen on ensisijaisesti poliittinen asia. Vaikka kyberasiat ovat politiikassa varsin uusi alue, edellyttää nykytilanne vahvaa poliittista johtajuutta ja päättäväisyyttä kyberhyökkäyksiin vastaamisessa. Jos vastatoimet jäävät lieviksi, se kannustaa hyökkääjää tekemään yhä rohkeampia hyökkäyksiä.

Kriittiseen infrastruktuuriin kohdistuvaan laajamittaiseen hyökkäykseen on vastattava jopa fyysisellä voimankäytöllä

Suomen ja Euroopan on luotava selkeä poliittinen malli, miten tarkoituksellisiin kyberhyökkäyksiin tullaan poliittisesti vastaamaan, ja toimittava sen mukaisesti. Kyse on poliittisen kyberpelotteen luomisesta.

Kyberhyökkäysten kirjo on laaja, ja niin pitää vastatoimienkin olla. Vastatoimien ei tarvitse rajoittua kyberkeinoihin, eikä kaikkia vastatoimia edes kannata toteuttaa julkisesti.

Poliittisten päättäjien on ymmärrettävä eriasteisten kyberhyökkäysten vakavuus sekä käytössään oleva vastatoimien keinovalikoima. Pienimuotoisiin palvelunestohyökkäyksiin riittänee vastatoimeksi poliittinen julkilausuma. Laajamittainen kybervakoilu voi johtaa taloudellisiin sanktioihin.

Kriittiseen infrastruktuuriin kohdistuvaan laajamittaiseen hyökkäykseen on vastattava jopa fyysisellä voimankäytöllä.

Esimerkiksi Iso-Britannia on todennut (siirryt toiseen palveluun), että se voi vastata kyberhyökkäyksiin kovalla sotilasvoimalla, kuten ilmaiskuilla. Myös Natossa on selkeästi todettu, että vakava kyberhyökkäys voi johtaa Artiklan 5 aktivointiin (siirryt toiseen palveluun), jossa hyökkäys yhtä Nato-maata kohtaan katsotaan hyökkäykseksi kaikkia jäsenvaltioita vastaan. Esimerkiksi laaja kyberhyökkäys sairaalaympäristöön, jonka seurauksena ihmisiä kuolee, voisi saada tämän aikaiseksi.

Huomioitavaa on, että päätös vastatoimista on aina poliittinen. Siksi ”kyberpolitiikan” merkitys kasvaa ja siihen on panostettava. Naton osalta kenraali Philip Breedlove onkin todennut (siirryt toiseen palveluun) osuvasti, että Natolla on voimakkaat kyberkyvykkyydet, mutta ei niin voimakasta kyberpolitiikkaa.

Eurooppa-neuvoston kesäkuussa esittämää aloitetta ”yhteisen kyberdiplomatian työkalupakin (siirryt toiseen palveluun)” kehittämisestä voi pitää kannatettavana. Aloitteella pyritään vahvistamaan EU:n kyberpelotetta. Vaikka on epäselvää millaisia keinoja työkalupakki tulee sisältämään, on tärkeää, että EU-jäsenmaat yhdenmukaistavat ja jäntevöittävät yhteisiä diplomaattisia vastatoimiaan vihamieliselle kybervaikuttamiselle.

Nämä asiat toivottavasti nousevat Suomessa esille tulevissa presidentinvaalien keskusteluissa

On tosin huomioitava, etteivät pelkät diplomaattiset vastatoimet ole riittäviä pelotteen luomiselle vaan EU:ssa on tarvittaessa kyettävä myös huomattavasti voimakkaampiin vastatoimiin. Perustana on jäsenmaiden yhteinen poliittinen halu toimia aktiivisesti hyökkääjää vastaan. Sama koskee luonnollisesti laajemminkin (siirryt toiseen palveluun) hybridiuhkiin vastaamista.

Suomen kannattaa aktiivisesti tukea Eurooppa-neuvoston aloitetta, ja oltava itse valmis sitoutumaan tehtyihin päätöksiin. Myös EU:n solidaarisuuslausekkeen käytännön merkitystä ja sitovuutta on arvioitava nimenomaan kyberuhkien osalta. Ilman yhtenäisyyttä ja poliittista päättäväisyyttä vastatoimien toteuttamisesta ei EU:lla ole uskottavaa kyberpelotetta. Tätä Suomen kannattaa jo omankin turvallisuutensa takia tukea.

Samanaikaisesti poliittista sitoutumista ja strategisen tason johtajuutta kyberturvallisuudessa on Suomessa vahvistettava, kuten laaja tutkimus (siirryt toiseen palveluun) Suomen kyberturvallisuuden nykytilasta esittää.

Nämä asiat toivottavasti nousevat esille tulevissa presidentinvaalien keskusteluissa – sekä varautumisessa jo ennalta vaaleihin mahdollisesti Suomen ulkopuolelta suuntautuviin vaikutuskeinoihin.

Jarno Limnéll

_Kirjoittaja on kyberturvallisuuden professori Aalto-yliopistossa ja Insta groupin kyberturvallisuusjohtaja._