Suomalainen kybersota

Hanski

Ylipäällikkö
"3. Kyberjoukkueen johtaja: lamautat vihollisen Skolkovossa sijaitsevan datakeskuksen 24 h ajaksi alkaen 5.1.20xx klo 02.00. Käytettävissäsi on 500 PetaFLOPS:n laskentateho ja 3. pilvipalvelukeskuksen palvelinkapasiteetti. Hyökkäystä tuetaan AWS:n Euroopan regioonan pilvipalvelimilla, jotka ovat alistettu tehtävällä 3. kyberjoukkueen käyttöön hyökkäyksen ajaksi. Kysyttävää? Toteuta käsky!"

Olemme lähestymässä hetkeä, jolloin kyberjoukoista muodostuu Suomessa(kin) oma puolustushaaransa ja yllä kuvattu käsky voisi olla osa lähitulevaisuuden hyökkäyskäskyä. Koostan tähän ketjuun huomioita suomalaisesta sotilaallisesta kybertoiminnasta tämän Doriassa julkaistun työpaperin pohjalta:
 
Yllä olevassa esimerkissä suomalaiset näyttävät palvelinkapasiteetin perusteella valmistelevan perinteistä vanhan liiton (sotilaallista) DDoS-hyökkäystä. DDoS on edelleen oiva keino lamauttamistyyppisiin tehtäviin. AWS:n Euroopan palvelinfarmi alkaa olla kybersodankäynnin monikärkiydinohjus, eikä sellaista resurssia todennäköisesti olisi koskaan suomalaisella kybertaistelijalla käytössään (eikä se muutenkaan olisi optimaalinen DDoS-hyökkäyksiin). Laskentakapasiteettia tarvitaan esimerkiksi salasanojen murtamiseen Brute Force -menetelmällä ja 500 PetaFLOPSilla pitäisi jotain jo saada aikaisiksikin!

Olen kybersodankäynnin osalta semisti siviili. Sotilaallisiin hyökkäyksiin en ole sekaantunut, mutta aihe on kiinnostanut ja olen pyrkinyt opiskelemaan myös sitä puolta. Suojautumisen osalta sen sijaan arkipäivän töissä on saanut/joutunut tulkitsemaan mm. KATAKRI-suosituksia aina hiirenkorville asti. Taustaltani olen teletekniikan DI eli aihe liippaa varsin läheltä myös pohjakoulutusta.

@Fencer laitoi linkin äärimmäisen mielenkiintoiseen PLM:n työpaperiin suomalaisesta kybersodankäynnistä. Ajattelin ruotia kyseisen dokumentin tässä keskustelusäikeessä luku kerrallaan. Tässä yhdistyy hyöty ja huvi, dokumenttiin on tärkeää tutustua joka tapauksessa ja samalla voi jakaa havaintoja. Kirjoittaessa joutuu myös itse pohtimaan sisällön, joten eiköhän siitä itsellekin oppia kery! Lukekaa rinnalla kyseistä opusta.


Sisällys ja Esipuhe

Työpaperissa kuvataan sisällysluettelon perusteella nykytilanne, uhkakuvat, toiminnan vaihe Suomessa ja erilaisia operaatiotyyppejä 72 sivulla. Ihan hyvä perussetti aiheeseen perehtymiseen ja tämä taitaa olla tällä hetkellä ainoita suomalaisia julkisia dokumentteja aiheesta

Sisällysluettelon lopussa on Jokamiehen kyberpuolustus -ohje. Tämä tulee jokaisen sohva-kyberpuolustajan sisäistää!

Jokamiehen kyberpuolustus
• Käytä harkintaa jakaessasi tietoja itsestäsi julkisesti
• Käytä riittävän pitkiä ja monimutkaisia salasanoja tai hyödynnä salasananhallintasovellusta.
• Käytä eri salasanoja eri palveluissa. • Käytä varovaisuutta ja maalaisjärkeä sähköpostien avaamisessa.
• Pidä kaikki laitteesi suojattuina ja laitteiden päivitykset ajan tasalla.
• Pidä henkilökohtaiset laitteet erillään Puolustuvoimien laitteista.
• Käytä USB-tikkua vain pakottavissa tilanteissa ja silloinkin aina virustarkastuksen kautta.
• Mieti ennen kuin klikkaat, epämääräiset linkit altistavat monille uhkille.
• Käytä älypuhelinta kuin tietokonetta, samat ohjeet pätevät.

Esipuheessa on avattu hyvin julkaisun tavoitteet: "Ensisijaisesti se toimii yksilöille oppaana ja lisää koko henkilöstön osaamista ja ymmärrystä kybertoimintaympäristöstä, mikä on edellytys koko organisaation menestykselle tänä päivänä. Toiseksi kirja tukee Maanpuolustuskorkeakoulun ja mahdollisesti myös muiden oppilaitosten opetusta muodostamalla selkeän kokonaisuuden siitä, kuinka tätä ajoittain monimutkaista kybertoimintaympäristöä voidaan lähestyä. Kolmanneksi kybertoimintaympäristön jatkuva ja nopea kehitys haastaa kirjan sisällön ja ajankohtaisuuden hyvinkin nopeasti, mutta kirja tarjoaa siitäkin huolimatta erinomaisen lähtökohdan jatkokeskusteluille ja tutkimukselle."

Kolmas kohta pätee eritäin hyvin. Keinovalikoima kasvaa jatkuvasti mm. laskentatehon, tietoliikenneyhteyksien ja palvelinkapasiteetin noustessa. Hyökkäykselliset toimet ovat monesti kertakäyttöisiä, kerran käytettyä tapaa voi harvoin toistaa.

Kirjan johtopäätökset voi myös allekirjoittaa: "Puolustusvoimat on aktiivinen toimija kybertoimintaympäristössä, ja se valmistautuu toimimaan siinä oman toimivaltansa puitteissa kaikissa tilanteissa. ...kybertoimintaympäristön globaalin luonteen myötä yhteistoiminta niin Suomessa kuin kansainvälisestikin on ehdoton edellytys."

Luku 1 Tilanne

Luvun alussa on kuvattu eri käsitteet kirjoittajien tulkinnan mukaisena. Tämä on hyvää taustatietoa kaikille! Kirjoittajat tuovat myös esille, että käsitteistö ei ole yksiselitteinen, varsinkaan suomeksi. Kyberturvallisuuden määritelmä on hyvä ja kattava: "Kyberturvallisuus on tiedon, laitteistojen, verkostojen, ohjelmistojen ja käyttäjien luottamuksellisuuden, eheydyn ja saatavuuden turvaamista koko elinjakson ajan."

Lause "Kybertoimintaympäristö ei ole maantieteellisesti rajoitettu kuten muut toimintaympäristöt." on itsestään selvä, mutta sitä on jälleen hyvä korostaa. Maiden rajoilla ei ole kyberympäristössä merkitystä, hyökkäys voi tulla mistä tahansa maasta ja ympäristöstä / verkosta.

"Kaikissa tilanteissa kybertoimintaympäristö on riippuvainen myös fyysisistä tekijöistä kuten virtalähteistä, kaapeleista, verkoista ja datakeskuksista sekä ihmisistä, jotka toimivat ja hallinnoivat niitä." KOMMENTTI: Monesti ihmiset ovat kyberympäristön heikoin lenkki ja sotilaallisessa toiminnassa fyysinen vaikuttaminen on ihan yhtä toimiva keino kuin verkon kautta tapahtuva.

"Ympäristö voidaan jakaa ainakin fyysiseen kerrokseen, loogiseen kerrokseen ja käyttäjäkerrokseen." KOMMENTTI: tämä on alan ihmisen näkökulmasta aikamoinen yksinkertaistus, mutta ehkä se on toimiva jako sotilaalliselta näkökannalta.

"Sotilaallisesta näkökulmasta fyysisen kerroksen suojaaminen tehdään fyysisesti ja tähän kerrokseen voidaan kohdistaa hyökkäys samalla tavoin kuin mihin tahansa muuhun fyysiseen kohteeseen." KOMMENTTI: Tämä on tietysti totta, mutta myös loogisen kerroksen toimilla voidaan vaikuttaa fyysiseen ympäristöön. Kuuluisin esimerkki on Stuxnet-hyökkäys Iranin ydinohjelmaa vastaan: https://fi.wikipedia.org/wiki/Stuxnet Monesti loogisen kerroksen kautta suoritettu hyökkäys on yllättävämpi, mutta se vaatii monikertaiset resurssit ja aika paljon luovuutta.

"Sotilaallisesta näkökulmasta looginen kerros käyttää siis loogisia rakenteita ensisijaisesti takaamaan tietoturvaa ja tiedon eheyttä." KOMMENTTI: Jälleen aikamoinen yksinkertaistus, loogisen kerroksen tärkein tehtävä myös sotilaspuolella on varsinaiset tietojärjestelmät, esimerkiksi johtamisjärjestelmät tai sensorifuusio.

"Sotilaallisesta näkökulmasta sosiaalinen kerros on usein se kerros, josta hyökkäys aloitetaan. Monesti ihminen on edelleen helpoin tie tunkeutua järjestelmiin kybertoimintaympäristössä." KOMMENTTI: Tässähän se olikin sanottu, mitä kirjoitin yllä.

"Kybertoimintaympäristön globaali luonne edellyttää laajaa kansallista ja kansainvälistä yhteistoimintaa." KOMMENTTI: Uhat ovat globaaleja, joten torjunnan pitää olla myös globaalia. Lisäksi harvalla maalla riittää yksinään resursseja uhkien torjuntaan.

Luvun 1.1 lopussa on esitelty lyhyesti tärkeimmät suomalaiset kyberturvallisuuden parissa toimivat viranomaiset.

Luvussa 1.2 on kiteytetty hyvin toimintaympäristö:
"Kybertoimintaympäristössä on olemassa useita osa-alueita, jotka on huomioitava tarkasteltaessa kybertoimintaympäristöä sotilaallisena toimintaympäristönä.
• Kybertoimintaympäristö on globaali ja haavoittuva toimintaympäristö.
• Siviili- ja sotilasinfrastruktuurit ovat päällekkäisiä, mikä aiheuttaa vastuunjaolle ja valvonnalle haasteita, mutta tarjoaa myös yhteistoimintamahdollisuuksia.
• Kyberturvallisuus edellyttää korkeaa teknistä lähtötasoa, josta seuraa koulutukseen, harjoitteluun, järjestelmien ylläpitoon ja kybertilannekuvan muodostamiseen liittyviä vaatimuksia.


Luvussa 1.3 pureudutaan lainsäädännön haasteisiin. "Kansainvälisen oikeuden varsin järeä järjestelmä säätelee myös kyberoperaatioita. Ne eivät tapahdu oikeudellisessa tyhjiössä, vaan valtioilla on kansainvälisen oikeuden mukaisesti tiettyjä oikeuksia ja velvollisuuksia." KOMMENTTI: Kyllä, teoriassa näin, mutta käytännössä verkossa käydään lähes täysimittaista kybersotaa, jossa Venäjä on varsin keskiössä.

"Sen lisäksi, että valtion on hyvitettävä aiheuttamansa vahinko, voi uhrivaltiolla olla oikeus turvautua tiettyihin vastareaktioihin. Tällaisia ovat esimerkiksi oikeus turvautua yksityiseen tai kollektiiviseen itsepuolustukseen, niin sanotut vastatoimet sekä pakkotilaan perustuvat toimet, jos valtion elintärkeät edut ovat vakavasti uhattuna." KOMMENTTI: Valtiollisten tahojen vastahyökkäyksistä ei ole kovinkaan paljon julkista tietoa saatavissa. Mielenkiinnolla odotan, mikä on Yhdysvaltojen vastatoimi Venäjän joulukuun hyökkäykselle (kunhan se Kremlin kaniini nyt saadaan johonkin jatkosijoituslaitokseen...)

"Valtiolla on velvollisuus varmistaa, ettei sen aluetta käytetä kolmansien osapuolten toimesta tavalla, joka aiheuttaa vakavaa haittaa muille valtioille. Periaate ei tarkoita sitä, että valtion tulee aktiivisesti tarkkailla kaikkia sen kybertoimintaympäristössä tapahtuvia toimia. Pikemminkin se edellyttää, että valtio tekee sen, mikä on kohtuudella sen vallassa päättääkseen sen alueen kautta kulkeutuvat muita valtioita vahingoittavat toimet sen jälkeen, kun se on tullut niistä tietoisiksi." KOMMENTTI: Tämä koskee luonnollisesti myös Suomea ja mm. Venäjän ulkomaantietoliikenteestä varsin suuri osa kiertää Suomen kautta. Suomen etu on huolehtia myös tämän tietovirran turvallisuudesta rauhanaikana ja luonnollisesti myös varautua sotilaallisiin toimiin sitä vastaan, jos tilanne niin vaatii.

"Kansainvälisessä oikeudessa ei ole määritelty aseellista hyökkäystä, mutta on yleisesti hyväksytty, että sen tulee olla mittasuhteiltaan ja vaikutuksiltaan riittävän vakava. Kyberoperaatio voi ylittää aseellisen hyökkäyksen kynnyksen, mikäli se on toteuttamistavaltaan, vakavuudeltaan tai voimankäytön voimakkuudeltaan sellainen, että vaikutukset ovat verrannolliset kineettiseen aseelliseen hyökkäykseen." KOMMENTTI: Esimerkiksi Stuxnet-hyökkäys oli jo tällainen, kuten myös Venäjän hyökkäys Ukrainan sähköverkkoa vastaan.

Luvussa 1.4 esitellään julkisuudessa esille nousseita tapauksia. Näiden osalta asiakirjassa todetaan: "Erityisesti julkisuuteen päätyneitä sotilaallisia kyberoperaatioita voidaan pitää osin epäonnistuneina sen takia, että operaatio on laajasti paljastunut."

"Vuonna 2007 Viron valtion tietoverkot joutuivat laajan palvelunestohyökkäyksen kohteeksi. Hyökkäys oli seurausta sotamuistomerkin siirtämisestä ja siitä aiheutuneista kiistoista. Hyökkäyksen seurauksena valtion ja pankkien internetpalvelut olivat poissa käytöstä." KOMMENTTI: Tämä isku täyttää myös sotilasiskun tunnusmerkit. Valtiota ei tarvitse arvuutella...

"Kesällä 2008 Georgian sodan yhteydessä georgialaisiin tietoverkkoihin tunkeuduttiin. Vaikka hyökkäys aiheutti ainoastaan vähäisiä häiriöitä palveluihin, Venäjän asevoimien hyökkäyksen rinnalla se muodosti huomattavaa painetta Georgian valtion johdolle." KOMMENTTI: Kyberisku yhdistettynä perinteiseen sotilaalliseen toimeen. Tämä on jatkossa normaalitilanne kaikissa konflikteissa.

"Vuoden 2009 alussa Israelin ja Hamasin väkivalta yltyi sodaksi ja Israelin armeija hyökkäsi Gazaan. Samanaikaisesti israelilaisia tietoverkkoja ja erityisesti Israelin hallituksen internetsivuja vastaan kohdistettiin kyberhyökkäys vähintään viidellä miljoonalla tietokoneella. Tapahtuma toimii esimerkkinä siitä, kuinka sotilaallisesti alivoimainen osapuoli voi hyödyntää kybertoimintaympäristöä omien päämääriensä tavoittelussa." KOMMENTTI: Tähän pystyi joukko gazalaisia puolivirallisia toimijoita. Voidaan arvioida, että esimerkiksi Suomen kyvyt myös hyökkäyksellisiin operaatioihin ovat korkeammat kuin Gazassa.

"Maailman toistaiseksi kuuluisin kyberhyökkäys on vuodelta 2010 ja se tunnetaan nimellä Stuxnet" KOMMENTTI: Alan klassikko!

"...toinen tähän mennessä merkityksellisimmistä kybertoimintaympäristöön liittyvistä tapahtumista on kesältä 2016, kun Nato julisti Varsovan huippukokouksessa, että kybertoimintaympäristö on samankaltainen sotilaallinen toimintaympäristö kuin perinteisemmät maa-, meri-, ilma- ja avaruustoimintaympäristöt." KOMMENTTI: Eli NATO käytännössä kirjasi kybertoiminnot viidenneksi puolustushaaraksi. Suomi seurannee perässä sopivalla tsuhnamaisella hitaudella...
 
Viimeksi muokattu:
Back
Top