Kybersota – hypeä vai totta?

The New York Times väitti hiljattain, että Yhdysvaltain Presidentti Barack Obama on jatkanut koko virkakautensa ajan salaista kybersotaa Irania ja sen ydinohjelmaa vastaan. Operaatio Olympic Games aloitettiin NYT:n artikkelin mukaan Presidentti Bushin aikana, ja ensimmäisiä viitteitä tästä saatiin jo kaksi vuotta sitten kesällä Stuxnet-viruksen paljastumisen myötä. Viime kuussa paljastui myös Stuxnet-virusta paljon tuhoisampi Flame-vakoiluohjelma, jonka avulla on vuodesta 2010 lähtien urkittu yli tuhatta tietokonetta Lähi-idässä sekä varsinkin Iranin ydinohjelman kannalta tärkeitä tietoja. Sekä Israel että Yhdysvallat ovat olleet vaitonaisia osuudestaan haittaohjelmien luonnissa, mutta myös simerkiksi Washington Post kovasti väittää molempien maiden olleen aivanroolissa näiden kyberhyökkäyksien osalta. Kun ottaa huomioon sekä näiden hyökkäysten valmistelun miljoonaluokan hinnan, haastavuuden sekä kyseisten maiden kansalliset intressit, ei liene epäselvää mistä hyökkäykset ovat peräisin.

Myös Suomessa on nostettu viime aikoina kyberturvallisuus vahvasti esille. The Ulkopolitist vierali maaliskuussa pääministeri Jyrki Kataisen tiedotustilaisuudessa, jossa pääministeri sekä ministerit Wallin ja Kiuru kertoivat median edustajille yhteiskunnan turvallisuusstrategiasta CDX-kyberturvallisuusharjoituksen yhteydessä. Harjoitusta Suomen päässä luotsaava tekniikan tohtori, Catharina Candolin (joka myös bloggaa aiheesta) kertoi, että Suomeen kohdistuu huomattava määrä kyberhyökkäysyrityksiä. Paikalla olleet virkamiehet painottivat tosin, että Suomi on Israelin, Saksan ja Yhdysvaltojen kanssa kyberturvallisuuden kärkimaita (joka ilmeni myös taannoin julkaistusta ranking-listasta). Eräs virkamies kertoi lisäksi, että Suomi tekee puolustyhteistyötä kyseisten maiden asevoimien kanssa kyberturvallisuuden saralla.

Viime vuoden puolella puitiin puolestaan Kiinan kyberhyökkäyssarjaa Yhdysvaltoja, länsimaisia yrityksiä sekä Kiinan naapurimaita kohtaan – mistä kirjoitinkin silloin. Nyt tapetilla ovat Yhdysvaltain ja Israelin hyökkäykset Irania vastaan. Vaikuttaakin vahvasti siltä, että kyberhyökkäykset ovat tämän päivän todellisuutta enemmän kuin futuristista utopiaa (dystopiaa?), mutta mitä tämä tarkoittaa sodankäynnin tulevaisuuden ja kansallisen turvallisuuden kannalta? Onko edes sopivaa puhua kybersodasta näiden toimien yhteydessä? Aina kun puhutaan sodan uusista kasvoista, tulee lukijan olla varuillaan – kybersodasta on puhuttu jo vuosikymmeniä, kuten esimerkiksi RMA-futuristien, John Arquillan ja David Ronfeldtin raportissa vuodelta 1993. Kuten tulevaisuuden sodankäynnin toiseen pilariin, lennokkeihin, liittyy kybersotaan mutkikkaita strategisia ja käsitteellisiä kysymyksiä.

Kybersodan yhteydessä pyöritellään usein myös suunnatonta määrää futuristista jargonia ja hypeä, joka hankaloittaa osaltaan metsän näkemistä puilta. Kyberhyökkäykset täytyy kuitenkin ymmärtää niin kuin muutkin sodankäynnin keinot – osana strategiaa. Tämä tarkoittaa sitä, että kyberhyökkäykset eivät ole strategia itsessään siinä missä ilma-iskut tai sotilasvakoilukaan. Valtiot, kuten Suomi, Kiina, Yhdysvallat tai Israel, käyttävät niitä edistääkseen intressejään. Nämä intressit voivat puolestaan olla mitä tahansa ydintutkimuksen heikentämisestä yrityssalaisuuksien varastamiseen. Kyberhyökkäykset voivat siis olla osa sotaa tai sodankäyntiä tukevia toimia, mutta on vaikea nähdä niitä sotana itsessään. Toki kyberhyökkäyksistä voi koitua taloudellisia tai aineellisia vahinkoja, mutta kuten Thomas Rid kirjoituksessaan toteaa, eivät niiden tiedetä aiheuttaneen ihmisvahinkoja. Kyber”sota” onkin kenties helpompaa ymmärtää sabotaasina, vakoiluna tai jopa talouspakotteiden kaltaisena “taloudellisena sodankäyntinä”.

Voi toki kysyä, että mitä eroa on esimerkiksi sähkölaitoksen tai sairaalan pommittamisella ja niiden tuhoamisella kyberhyökkäyksen keinoin – varsinkin jos niiden toimimattomuus johtaa ihmisuhreihin. Kybersota kuuluukin laillisesti ja käsitteellisesti harmaalle alueelle, eikä vähiten siksi että se kattaa toimia kautta linjan. Toistaiseksi kyberhyökkäyksiä ei ole ymmärretty kansainvälin lain puitteissa alueellisen koskemattomuuden rikkomiseksi – niin kuin se YK:n peruskirjan ensimmäisen luvun toisen artiklan neljännessä kohdassa on määritelty – mutta liikehdintää siihen suuntaan on ollut esimerkiksi Yhdysvaltojen toimesta. Maaliskuisessa kyberturvallisuustilaisuudessa eräs itävaltalainen juristi kertoikin The Ulkopolitistille, että kyberhyökkäysten tulkitseminen kansainvälisen lain puitteissa on varsin ongelmallista koska kansainväliset sopimukset on tehty paljon ennen kuin kyberuhat olivat edes mahdollisia. Hänen mukaansa varsinkin voimankäyttöä säätelevä lainsäädäntö muuttuu erittäin hitaasti ja soveltuu usein kehnosti kyberuhkien tulkitsemiseksi. Aiheesta käydäänkin kansainvälisten oikeusoppineiden parissa kiivasta debattia.

Kenties kansainvälistä lakiakin mielenkiintoisempaa on kybersodan eettinen ulottuvuus ja sen merkitys sodan tulevaisuudelle – varsinkin laajentuvan turvallisuuskäsityksen kontekstissa. Perinteisesti on pidetty tärkeänä siviilien koskemattomuutta, joka saattaa kuitenkin olla vaikeaa, kun hyökätään siviili-infrastruktuuria kohtaan kyberkeinoin. Vaikka YLEn uutisten maalailemat kauhukuvat yhteiskunnan lamaannuksesta ja viiden minuutin sota ovatkin liioittelua, ei ole mahdotonta, että kybersodankäynnin keinoja käyttäen aiheutettaisi merkittäviä henkilövahinkoja. Tämä on eriskummallinen ajatus jos otetaan huomioon, ettei kyberhyökkäyksissä ole kyse väkivallasta – jota pidetään usein yhtenä sodan keskeisistä piirteistä. Kybersodankäynnin keinot ovatkin varsin kinkkinen väline moraalisesta näkökulmasta: toisaalta niillä on mahdollista pyrkiä poliittisten tavoitteiden saavuttamiseen – kuren Iranin ydinohjelman sabotoimiseen – käyttämättä tappavaa voimaa, mutta toisaalta niille voi olla huomattavia vaikutuksia ihmisten turvallisuudelle.

Niin kuin kyberguru Bruce Schneier sanoi Forbesin haastattelussa: “When countries attack each other in cyberspace, we’re all in the blast radius.” Kybersota saattaa olla liioittelua käsitteenä – kyberhyökkäykset ovat vain sodankäynnin keino, eivät sen luonnetta määrittelevä seikka – mutta se voi olla yhtä lailla varsin haitallista sivullisille. Varsinkin, jos ne johtavat vahingossa perinteiseen voimankäyttöön ja sotaan valtioiden välillä. Onkin syytä toivoa, että valtiot saisivat aikaiseksi edes jokseenkin toimivat pelisäännöt kyberuhkien hallitsemiseksi. Jos esimeriksi Yhdysvallat ja Kiina ajautuisivat vasten tahtoaan sotaan kyberhyökkäyksien vuoksi, voisivat seuraukset olla katastrofaaliset.

Kiinan kyberseikkailut ja valtapeli verkossa

Viime viikolla paljastui “maailman laajin verkkohyökkäysvyyhti”, jossa 72 eri organisaatiota on viime vuosien aikana joutunut hyökkäyksen kohteeksi. Operaatio Shady Rat:iksi nimetyn hyökkäyssarjan paljasti tietoturvayhtiö McAfee, joka arveli valtiollisen toimijan olevan tietomurtojen takana. Ensimmäisenä asiasta kertoi amerikkalaislehti Vanity Fair. McAfeen lyhyt ja informatiivinen raportti puolestaan löytyy täältä.

Hyökättyjen tahojen joukossa on valtion virastoja, monikansallisia yrityksiä sekä tutkimuskeskuksia. Suurin osa hyökkäyksistä (49) on kohdistettu Yhdysvaltojen hallitusta tai siellä toimivia tahoja vastaan. Murtojen kohteeksi joutui muiden muassa YK sekä erittäin laajasti käytettyä SecurID-tuotetta valmistava tietoturvayhtiö RSA.

Syyttävät sormet ovat kääntyneet varovaisesti kohti Kiinaa, mutta todellisuudessa on enää vaikea puhua ”spekulaatiosta” – kenellekään ei liene epäselvää, kuka hyökkäysten takana on: Yhdysvaltojen vihollisista oletettavasti ainoastaan Kiinalla ja Venäjällä on resursseja näin laajan ja pitkäkestoisen hyökkäyksen järjestämiseksi, ja kun murtokohteiden listalta löytyy Taiwanin, Intian, Etelä-Korean ja Japanin kaltaisia maita, alkaa homma olla Sechuanilla selvä. Viranomaislähteet Pekingissä ovat pysytelleet hiljaa, mutta kommunistisen puolueen äänitorvi People’s Daily kutsui syytöksiä viime perjantaina ”vastuuttomiksi”.

Kenellekään ei tule tänä päivänä yllätyksenä, että valtiot – ja varsinkin suurvallat – käyttävät verkkoa omien etujensa ajamiseen. Kybervakoilua ja tietovarkauksia ovat jo pitkään harrastaneet niin yksityiset kuin julkisetkin tahot. Stuxnet-virus haittasi Iranin ydinaseohjelmaa viime vuonna, ja Kiinaa on aikaisemminkin syytetty tietomurroista. Huomionarvoista tässä tapauksessa on kuitenkin operaation kesto ja sen hienovaraisuus: kun valtio pääsee murtautumaan kahdeksi ja puoleksi vuodeksi YK:n tietokantaan ja varastaa johtavalta tietoturvayritykseltä lippulaivatuotteen salaustietoja, voidaan puhua jo huomattavasta kybervallasta eli kapasiteetista saavuttaa haluamaansa tietoverkoissa.

Kyber-etuliite ei käsitteenä ole vielä tarttunut suomen kieleen (joitakin poikkeuksia lukuun ottamatta), mutta maailmalla siitä on puhuttu paljon ja pitkään. Käsite on myös levinnyt kansainvälisen politiikan sanastoon: vallankäytön ajattelijoista esimerkiksi Joseph Nye käsittelee tänä vuonna julkaistussa kirjassaan kybervaltaa kokonaisen luvun verran, ja päätyy mielenkiintoisiin johtopäätöksiin – varsinkin nyt Kiinan kyberhyökkäysten jälkimainingeissa.

Yleinen harhaluulo on, että Internetin leviämisen myötä valtioiden valta häviää lopullisesti yksityisille toimijoille – järjestäytyneelle rikollisuudelle, terroristeille ja yksittäisille hakkereille. Internet edustaa monille uudenkaltaista, rajatonta maailmaa, jossa valtiot jäävät taka-alalle tai häviävät kokonaan. Operaatio Shady Rat kuitenkin viimeistään osoittaa, että valtiot voivat omalla tavallaan käyttää huomattavaakin valtaa tietoverkoissa. Valtiot pystyvät kouluttamaan ja palkkaamaan tuhansia ”kybersotilaita” sekä sijoittamaan esimerkiksi infrastruktuuriin paljon laajamittaisemmin kuin muut toimijat. Yksittäinen hakkeri ei voi estää 1.3 miljardin ihmisen pääsyä esimerkiksi Facebookiin, Kiinan hallitus puolestaan voi.

Toki valtiot kohtaavat aikaisempaa enemmän kilpailua, ja valta ”vuotaa” valtioilta muille toimijoille (Nye käyttää termiä power diffusion). Nye kirjoittaa, että merkittävää internetin läpimurrossa on matala osallistumiskynnys: kuka tahansa voi liittyä maailmanlaajuiseen verkkoon ja tehdä kykyjensä mukaan haluamiaan asioita. Valtioilla ei siis ole verkossa vallankäytön monopolia samalla tavalla kuin ”oikeassa” maailmassa. Siinä missä armeijan tai ilmavoimien hallitseminen on riippuvaista maantieteellisistä seikoista ja vaatii paljon resursseja, verkossa tätä ongelmaa ei ole.

Mitä tämä kaikki sitten tarkoittaa tulevaisuuden sodankäynnin kannalta? Yleisesti ottaen voidaan sanoa, että valtiot jyräävät edelleen mutta tulevat kohtaamaan vastustusta ja kilpailua. Kiina ja Yhdysvallat tulevat jatkamaan kovaa vääntöä valtapelissä, ja varsinkin kyberturvallisuuden saralla. Täytyy kuitenkin myös muistaa, että tänä päivänä valtiot ovat entistä riippuvaisempia paitsi monikansallisista, yksityisistä toimijoista, kuten yrityksistä tai terroristijärjestöistä (joiden toimintaa he hallitsevat vain rajallisesti), mutta myös toisistaan (kts. keskinäisriippuvuusteoria). Jos Kiina romuttaisi tänään Yhdysvaltain talouden, sen oma talous olisi pirstaleina viimeistään huomenna.