Kyberasiantuntija Catharina Candolin OP-Ryhmästä toivoisi, että Suomessa uskallettaisiin puhua kyberhyökkäyksistä nykyistä avoimemmin.
Esimerkiksi hän nostaa tilanteet, joissa kyberhyökkäyksen takana on valtiollinen toimija, kuten Kiina tai Venäjä.
– Tässä on mukana vanhaa suomettumista ja näissä asioissa ollaan hirveän varovaisia, Candolin toteaa.
Hän käsitteli aihetta torstaina järjestetyssä toimittajien finanssiseminaarissa.
Konkreettisena esimerkkinä on Suomessa eduskuntaan vuonna 2020 kohdistunut vakoilutoiminta. Lopulta iskun takaa paljastui kiinalainen ryhmittymä. Suojelupoliisi tiedotti toiminnan takana olleen ryhmän nimen (APT31), mutta ei suoraan kertonut kyseessä olevan Kiinan valtiollinen toimija.
Vastaavasti Norjassa parlamenttiin kohdistuneissa palvelunestohyökkäyksissä paikalliset viranomaiset sanoivat suoraan, että Venäjä on iskujen takana.
– Tähän emme vielä ole kypsiä. Toivon mukaan Suomessakin riittäisi jatkossa uskallusta.
Oleellinen osa valtion uskottavaa kyberturvallisuutta on uskottavan pelotteen luominen. Käytännössä tämä tarkoittaa sitä, että valtiolla on kyky vastata siihen kohdistuviin kyberhyökkäyksiin.
– Silloin vihollinen miettii, kannattaako Suomen kimppuun hyökätä vai syökö se liikaa resursseja.
Pelote toimii samalla tavalla kuin pelote sotilaallista hyökkäystä vastaan. Candolinin mukaan Suomella ei kuitenkaan ole samanlaista narratiivia kyberpuolustuksen pelotteen osalta kuin maanpuolustuksen.
– Kaikki ymmärtävät, että jos Suomeen ammutaan ohjus, puolustamme itseämme. Mutta tämä kyberpuoli ei istu narratiiviin samalla tavalla.
Tämän vuoksi suomalaiset toimijat voivat Candolinin mukaan olla jopa ”vapaata riistaa”, sillä valtiolta puuttuvat selvät toimintamallit, miten se toimii vieraita valtiollisia kyberhyökkääjiä vastaan.
Kenties juuri tämän vuoksi Suomi ei suoraan sanonut Kiinan valtion olleen eduskuntaan kohdistuneen kybervakoilun takana, vaan tyytyi puhumaan ”ATP31-operaatiosta”. Ennen kuin valtiollista toimijaa voidaan syyttää kyberiskuista, tulisi olla etukäteen tiedossa, kuinka sitä vastaan aiotaan toimia.
– Ehkä Suomi ei halunnut sanoa, että Kiina oli tämän takana. Seuraava kysymys olisi ollut, mitä sitten?, Candolin toteaa.
Candolinin mukaan on virhearvio kuvitella, että vastaus kyberiskuun tarkoittaisi automaattisesti toista kyberiskua.
– Näin ei ole. Se vastaus voi olla mikä vaan, mikä vastaa parhaiten tarpeita. Vähimmillään se voi olla diplomatiaa tai sanktioita. Pahimmillaan se voi olla aseellista voimankäyttöä.
– Tärkeintä olisi ymmärtää, millaisia vaihtoehtoja meillä ylipäätään voisi olla käytettävissä, jos kyberhyökkäyksiä tapahtuu.
Hän toivoo, että asiaan kiinnitettäisiin enemmän huomiota Suomen Nato-jäsenyyden myötä. Kyberpuolustus kuuluu Naton kollektiiviseen puolustukseen, johon artikla 5 pätee. Käytännössä tämä tarkoittaa sitä, että jos jokin Naton jäsenmaa joutuu kyberhyökkäyksen kohteeksi, se voi pyytää muilta jäsenmailta apua artiklaan vedoten.
Sama pätee tilanteeseen, joissa Suomi joutuu kyberhyökkäyksen kohteeksi.
– Siksi meidän on tärkeää ymmärtää, mistä näissä asioissa on kyse.
Suojelupoliisi ja Kyberturvallisuuskeskus ovat arvioineet, että riski Suomeen kohdistuviin kyberiskuihin on kasvanut. Suomalaisten kriittisillä toimialoilla toimivien yritysten kyky suojautua kyberiskuilta on Candolinin mukaan kuitenkin hyvällä mallilla, vaikka parannettavaakin olisi.
Venäjän hyökkäyssota teki kybersodankäynnistä arkipäivää
Ukrainan sodan myötä kyberhyökkäyksistä on tullut yhä enemmän jokapäiväinen asia modernia sodankäyntiä. Venäjä on kohdistanut Ukrainaan ja sen kriittiseen infrastruktuuriin lukuisia iskuja, joiden tarkoituksena on ollut maan lamaannuttaminen.
Kriittisellä infrastruktuurilla tarkoitetaan esimerkiksi sähkölaitoksia, teleoperaattoreita, finanssisektoria ja tietoliikenneyhteyksiä.
Candolin huomauttaa, että kyberiskujen seuraukset ovat jääneet odotettuja heikommiksi. Hänen mukaansa tämä johtuu osaltaan siitä, että Ukraina on toiminut pitkään Venäjän ”kyberlaboratoriona”.
– Venäjä on tehnyt iskuja jo siitä lähtien, kun se hyökkäsi Krimin niemimaalle 2014. Samalla Ukrainalla on ollut aikaa parantaa ja kehittää kyberpuolustuskykyään. Samalla se on saanut apua länsimailta ja Nato-mailta, etenkin Yhdysvalloilta. Eli Ukraina ei todellakaan ole istunut pää pensaassa odottamassa.
Venäjän tekemien kyberiskujen vaikutukset eivät ole olleet sodankäynnille ratkaisevia, mutta Candolinin mukaan niitä ei myöskään voida vähätellä. Hän myös huomauttaa, että Venäjä ei ole saanut toivomiaan ratkaisuja myöskään perinteisillä sodankäynnin menetelmillä.
Vaikka kybersodankäynnistä on tullut yhä keskeisempi osa modernia sodankäyntiä, Candolin huomauttaa, ettei sen tarkoitus ole syrjäyttää perinteisiä sodankäynnin muotoja.
– Kyse ei ole siitä, että kyberelementit tulevat ja syrjäyttävät muut sodankäynnin muodot, vaan tulevat osaksi sodankäyntiä.
Venäjän aloittaman hyökkäyssodan takia koko Euroopan turvallisuustilanne on muuttunut. Muuttuneesta turvallisuustilanteesta huolimatta Suomeen ei tällä hetkellä kohdistuu sotilaallista uhkaa, ja Suomesta on tullut puolustusliitto Naton jäsen.
Myös Venäjän vaikutusyritykset Suomen Nato-jäsenyysprosessin aikana jäivät odotettuja vähäisemmiksi. Candolinin mukaan ilmiölle on nimettävissä syy.
– Venäjälle oli selvää, että kun Suomi oli tehnyt päätöksensä (liittyä Natoon), Venäjä ei siihen voi enää vaikuttaa ja Venäjä tietää sen.
– Mutta se, millainen jäsenmaa Suomesta tulee, on asia, johon Venäjä todennäköisesti pyrkii vielä vaikuttamaan informaatio- ja kybervaikuttamisen kautta, Candolin arvioi.
Venäjä ei ole ainoa kyberuhka
Hyökkäyssodan vuoksi kyberturvallisuudessa suurin huomio on kiinnittynyt juuri Venäjältä tuleviin kyberuhkiin. Candolin muistuttaa, että samalla muut Suomea ja Eurooppaa koskevat kyberuhat eivät ole poistuneet mihinkään.
– Kiina kohdistaa Suomeen edelleen tiedustelua.
– Myös Pohjois-Korea on jatkanut maailmalla tiedustelutoimintaansa, eikä sekään ole kadonnut mihinkään.
Candolin nostaa esiin myös Iranin harjoittaman kybertoiminnan etenkin Yhdysvaltoja ja Israelia vastaan. Samalla maa tukee Venäjää esimerkiksi myymällä lennokkeja sille. Maassa on menossa myös mittava kansannousu Iranin hallintoa vastaan.
– Tästä puhutaan kuitenkin hyvin vähän Suomessa, mitä siellä tapahtuu. On iso kysymysmerkki, eivätkö näillä asioilla olisi vaikutusta lyhyellä tai edes pitkällä aikavälillä.
Ovatko Venäjää vastaan tehdyt kyberiskut oikein?
Viime vuosina on yleistynyt myös hakkeroinnin ja aktivismin niin kutsuttu välimuoto, ”haktivismi”. Toiminnassa on kyse siitä, että osa kansalaisista ryhtyisi esimerkiksi aktivistin lailla tukemaan Ukrainaa tekemällä kyberhyökkäyksiä Venäjälle.
– Moni saattaa ajatella, että tämä olisi hyvä juttu, koska ollaan oikealla asialla. Asia ei kuitenkaan ole yksinkertainen, sillä tietomurtojen ja hyökkäysten tekeminen on kuitenkin rikollista toimintaa.
Esimerkkinä hän mainitsee tilanteen, jossa ”haktivisti” tekisi hyökkäyksen esimerkiksi venäläiseen sairaalaan ja lamaannuttaisi sen järjestelmät. Silloin nousisi esiin kysymys, olisiko kyseessä tavallinen rikos vai sotarikos ja kohdeltaisiinko tekijää Venäjällä kiinnijäädessään sotarikollisena.
– Toinen asia liittyy siihen, olisiko iskuilla riski sotkea Ukrainan operaatioita. Esiin nousee myös kysymys, että jos Suomen infrastruktuuria käytetään kyberiskuihin Venäjää vastaan, voiko Venäjä tulkita asian siten, että Suomesta käsin käydään Venäjän kimppuun.
Tällaisessa tilanteessa Suomella olisi Candolinin mukaan velvollisuus puuttua tilanteeseen ja estää Venäjälle Suomesta tehtävät kyberhyökkäykset.
– Ja jos Suomi ei sitä tee, millaiseen asemaan se asettaa Suomen, hän pohtii.
Hänen mukaansa on huomioitava myös muut eettiset asiat.
– Lähtisin kuitenkin siitä, että eletään avoimessa demokratiassa ja säädetään lainsäädännön kautta se, mikä on oikein tai väärin. Eikä niin, että jokin anonyymi ryhmä rupeaa päättämään, mikä on oikein ja mikä väärin.