Valtiot voivat turvautua erilaisiin poliittisiin vastatoimiin reagoidessaan pahantahtoisiin kybertoimiin, kertoo Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll.
Vastatoimilla voidaan reagoida tilanteisiin, joissa esimerkiksi valtionhallinto joutuu laajamittaisen kybervakoilun kohteeksi tai kyberhyökkäyksellä lamautetaan kriittisen infrastruktuurin toiminta.
– Eli kyse on siitä, miten me reagoimme poliittisesti, kun me havaitsemme ja meihin kohdistuu erilaista vihamielistä kybervaikuttamista kybertoimintaympäristössä, Limnéll sanoo Verkkouutisille.
Suojelupoliisi toteaa tuoreessa kansallisen turvallisuuden katsauksessaan, että Suomeen kohdistuu jatkuvia valtiollisia kybervakoiluyrityksiä, eikä kybervakoilun odoteta laantuvan pitkälläkään aikavälillä. Supon mukaan itsevaltaiset valtiot pyrkivät kybervakoilun keinoin hankkimaan tietoa päätöksenteon tueksi sekä vaikuttaakseen suomalaisten päätöksentekijöiden toimintaan.
Limnéll korostaa, että kyberympäristö on ensisijaisesti poliittinen ympäristö, jota varten ollaan parhaillaan luomassa poliittisia käytäntöjä ja kansainvälisiä pelisääntöjä.
– Tähän me olemme vasta luomassa myös Suomessa poliittisten päätösten pohjalta toteutettavien vastatoimien pelikirjaa.
Limnéllin mukaan tällä hetkellä vallitsevana julkisena vastatoimena näyttäytyy poliittiset lausumat sekä kovemmilla vastatoimilla uhkailu.
Esimerkiksi Yhdysvaltain presidentti Joe Biden on toiminut jo useaan kertaan tällä tavalla Venäjän suuntaan, ja kesällä Euroopan Unioni esitti varsin kovasanaisen lausuman Kiinalle sen maaperältä tapahtuvan jatkuvan vihamielisen kybervaikuttamisen seurauksena.
Toimien laaja kirjo
Limnéll listaa seitsemän keskeistä vaihtoehtoa poliittisiksi vastatoimiksi:
1. Vastatoimista pidättäytyminen ja kyberturvallisuuden vahvistaminen
Yksi vaihtoehto on olla ulkoisesti tekemättä mitään ja keskittyä oman kyberturvallisuuden vahvistamiseen. Tämän vaihtoehdon positiivinen puoli on tilanteen eskaloitumisen riskin estäminen, mutta toisaalta hyökkääjälle annetaan viesti kyseisen toiminnan hyväksymisestä. Tällöin vihamielinen toiminta todennäköisesti jatkuu.
2. Diplomaattiset vastatoimikeinot
Hyökkäyksen tekijämaan suurlähettiläs voidaan esimerkiksi ottaa puhutteluun tai tekijämaalle toimitetaan diplomaattilausunto. Nämä voidaan tehdä julkisesti tai hiljaisesti. Myös diplomaattien karkottamisia on tehty vihamielisen kybertoiminnan vastatoimena.
3. Oikeudelliset toimet
Oikeudelliset vastatoimet kohdistetaan yleensä tiettyä organisaatiota (esimerkiksi tiedustelupalvelu) tai yksittäisiä ihmisiä kohtaan.
4. Poliittiset ja taloudelliset sanktiot
Poliittiset pakotteet voivat tarkoittaa tiettyjen henkilöiden tai organisaatioiden asettamista ”mustalle listalle”, mikä rajoittaa heidän matkustamistaan ulkomaille tai mahdollisuuksiaan kansainväliselle rahoitustoiminnalle. Taloudellisilla seuraamuksilla voidaan kieltää tai rajoittaa taloudellisia liiketoimia kyberhyökkäyksen tekijätahojen kanssa, tai esimerkiksi EU-maissa olevan omaisuuden takavarikoimista tai jäädyttämistä.
5. Vastatoimet kyberympäristössä
Diplomaattista toimintaa pidemmälle menevänä vastatoimena valtio voi vastata kyberhyökkäyksiin hyökkäämällä takaisin kybertoimintaympäristössä. Tällöin toimitaan saman suuntaisesti kuin mitä hyökkääjä on toiminut.
6. Peitelty vastatoimi kyberympäristössä
Vastatoimi kybermaailmassa voi olla myös ei-julkinen eli peitelty. Sen sijaan, että toteutetaan julkinen vastakyberhyökkäys, tämä voidaan tehdä peitellysti ja oma toiminta kiistäen.
7. Fyysiset sotilaalliset vastatoimet
Fyysinen voimankäyttö on yksi ja voimakkain poliittinen vastatoimimahdollisuus kyberhyökkäyksiin. Tällainen vastatoimi lähettää kristallinkirkkaan viestin, ettei tehtyä kyberhyökkäystä suvaita.
”Tätä emme halua”
Poliittisilla päättäjillä on useita vaihtoehtoja käytössään vastatoimien toteuttamiseen. Limnéll korostaa, että kyse on poliittisesta valinnasta, jonka seurauksista on myös kannettava vastuu. Jokaisella vastatoimella on vaikutuksia valtion diplomaattisuhteisiin, kansainväliseen maineeseen sekä sotilaalliseen ja tiedustelutoimintaan.
Limnéllin mukaan vihamielisiin kybertoimiin vastaamisessa keskeistä on viestittää, että toiminta on havaittu eikä sitä suvaita.
– Poliittiset vastatoimet erilaisiin kybervihamielisyyksiin ovat muodostumassa yhä keskeisemmäksi asiaksi.
– Se pointti on siinä, että jos näihin ei reagoida riittävällä poliittisella päättäväisyydellä, niin me lähetämme rajojemme ulkopuolelle vääränlaisen viestin siitä, että me hyväksymme tämän. Sitä me emme halua, Limnéll toteaa.
Hän uskoo Suomen vastaavan päättäväisesti kybervakoiluun.
– Uskon ja toivon Suomen ottavan poliittisesti päättäväisen linjan kybervakoiluun vastaamisessa. Samalla on tarpeellista tiivistää tässä asiassa yhteistyötä EU:n sisällä.