Kriittinen infrastruktuuri ja kybervaikuttaminen

Suomen kriittiseen infrastruktuuriin kuuluvat mm viestintä- ja tietotekniikka, energiatuotanto- ja sähköverkot, finanssisektori, terveydenhuolto, logistiikka/liikenne (maalla, merellä ja ilmassa), julkinen sektori ja viranomaistoiminta, sekä elintarvikkeisiin, veden ja vaarallisten aineiden liittyvä tuotanto, varastointi ja jakelu. Nämä infrastruktuurit ovat keskeisiä yhteiskunnan toimivuuden kannalta. Tämän takia ne ovat myös houkutteleva kohde vihamielisesti toimivalle valtiolle, joka haluaa vaikuttaa toisen valtion poliittiseen, taloudelliseen ja/tai sotilaalliseen päätöksentekokykyyn tai kykyyn käydä sotaa.

Venäjä tunnistaa kriittisen infrastruktuurin keskeiseksi vaikuttamisen kohteeksi. Tämä on näkynyt konkreettisesti muun muassa (mutta ei pelkästään) Ukrainassa. Ennen kuin Venäjä hyökkäsi perinteisillä sotilaallisilla voimakeinoilla Ukrainaan, se kohdisti kyberiskuja Ukrainan valtionhallintoon, asevoimiin ja kriittiseen infrastruktuuriin, mm tieto- ja viestintäinfrastruktuuriin, finanssisektoriin sekä energiayhtiöihin. Kyberiskut ovat jatkuneet myös sodan alettua ja osalla on ollut vaikutuksia myös Ukrainan ulkopuolella. Foreign Affairsin artikkeli ”The Myth of the Missing Cyberwar” kuvaa ytimekkäästi Venäjän toiminta kyberulottuvuudessa Ukrainan sodassa ja sen valmisteluvaiheessa, sekä ennakoi kyberoperaatioiden jatkuvan sodan pitkittyessä.

Viime aikoina on nostettu esille, että Venäjä pyrkisi kohdentamaan hybridioperaatioita Suomeen, erityisesti liittyen käynnissä olevaan Nato-keskusteluun. Vaikuttaminen pitäisi sisällään niin informaatio- kuin kyberoperaatioita. Suomen kriittinen infrastruktuuri olisi todennäköinen kohde.

Kybervaikuttaminen saattaa toteutua esimerkiksi seuraavilla tavoilla:

Kyberiskut osana informaatio-operaatioita: Kyberiskujen tavoitteena on näkyvyyden saaminen. Niiden vaikutus ei ole pitkällä tai välttämättä lyhyelläkään aikavälillä merkityksellinen, mutta ne kiinnittävät ihmisten huomion. Esimerkiksi palvelunestohyökkäys Puolustusministeriön webbisivuja vastaan ylittää kyllä uutiskynnyksen, mutta ei vaikuta puolustusvoimien operatiiviseen kykyyn millään tavalla. Todennäköisiä kohteita tällaisille hyökkäyksille ovat esimerkiksi yleisesti käytetyt palvelut, jolloin yksittäisetkin ihmiset huomaavat mahdolliset häiriöt.

Kiristykset: Pohjois-Korea on ollut tunnettu siitä, että käyttäytyy kyberulottuvuudessa kuin rikollinen. Motiivi on ollut taloudellinen ja tavoitteena on ballististen ohjusten ja ydinaseohjelman rahoittaminen globaalista sanktioista huolimatta. Sitä mukaa kun sanktiot alkavat purra Venäjän talouteen, ja tarve rahoittaa käynnissä oleva sota kasvaa, saattavat rahaa tavoittelevat kiristyshyökkäykset lisääntyä. Tämä voi tietenkin kohdistua muuallekin kuin kriittiseen infrastruktuuriin, jopa yksittäisiin kansalaisiin.

Kybervaikuttaminen osana sotilaallista voimankäyttöä: Kyberpuolustukseen kuuluu kolme ulottuvuutta: tiedustelu, vaikuttaminen ja suojautuminen. Tiedustelutoiminnan voi jakaa tiedusteluun tietoverkoissa ja tiedusteluun tietoverkoista. Edellisessä kerätään tietoa, mitä tietoverkoissa on saatavilla, jälkimmäisessä kerätään tietoa mahdollisen kohteen tietoverkoista ja niiden kokoonpanoista. Tämä jälkimmäinen tiedustelutoiminta on todennäköisesti ollut käynnissä jo pitkään rauhan aikana. Tässä yhteydessä pyritään myös ”valmistelemaan taistelukenttää”, toisin sanoen varmistamaan, että on mahdollista vaikuttaa (eli käyttää offensiivisia kykyjä), jos ja kun tilanne vaatii. Tällainen kybervaikuttaminen on luonteeltaan ja vaikutuksiltaan jo vakavaa.

Kuinka hyvin Suomi on varautunut kybervaikuttamiseen? Vastaus piilee siinä, tiedämmekö oikeasti, miltä osin Suomen kriittisen infrastruktuurin verkkoja ja järjestelmiä on tiedusteltu ja onko vieraalla valtiolla (Venäjällä) jalansijaa niissä jo nyt. Jos emme tiedä, niin olemme varautuneet lähinnä reagoimaan, jos jotain sattuu. Toisaalta Suomessa on tehty merkittävästi töitä suojautumisen eteen, joten pelätty ”viiden minuutin sota” on yhä edelleen epätodennäköinen.

Koska Suomen kohdistuvien hybridioperaatioiden todennäköisyys on kasvanut, on syytä olla valmiita toiminaan ja torjumaan vaikuttamisyrityksiä. Tässä vaiheessa on ehkä myöhäistä saarnata, mitä kaikkea kyberturvallisuuden eteen olisi jo pitänyt tehdä. Tärkeämpää on miettiä, mihin on syytä kiinnittää huomiota nyt. Nostaisin seuraavat asiat esille:

Johto: Tunnistakaa kriittiset toiminnot organisaatioissanne; mitkä olisivat toimintanne kannalta ne pahimmat skenaariot ja miten toimisitte, jos ne toteutuvat? Kybertoiminnoissanne olisi syytä ylläpitää tavallista suurempaa valmiutta ja varmistaa, että tilannekuva on ajantasainen ja valmiuksia välittömiin toimenpiteisiin on, jos havaitsette tai saatte vihjeitä organisaatioon kohdistuvasta kyberoperaatiosta. Myös verkostoituminen muiden oman alan toimijoiden kanssa on kannatettavaa, vaikka nämä liiketoiminnallisesti olisivat kilpailijoita.

Tunnistakaa viranomaistahot: Tässä vaiheessa olisi hyvä olla selvillä siitä, mitkä viranomaiset ovat keskeisiä, jos joudutte kybervaikuttamisen kohteeksi. Keskeisiä viranomaisia ovat ainakin Kyberturvallisuuskeskus ja Keskusrikospoliisi, samoin henkilötietojen vaarantumisen osalta Tietosuojavaltuutettu. Lisäksi jokaisella toimialalla voi olla omia esim. regulaation kannalta keskeisiä tahoja, jotka tulee pitää tietoisina tilanteen kehittymisestä.

Viestintä: Viestinnän tärkeyttä ei voi ylikorostaa! Viestinnän on oltava osa prosessia. Peittely ja maton alle lakaisu ei ole ennenkään herättänyt luottamusta, ja vallitsevassa tilanteessa se lisäisi vaan vettä myllyyn ja lisäisi epävarmuutta ja huolta kansalaisissa. Onnistunut viestintä sen sijaan ylläpitää sidosryhmien ja asiakkaiden luottamusta organisaation toimintaan. Viestinnässä tulee tosin huomioida myös viranomaisten antamat ohjeet; esimerkiksi tutkinnan alla olevia asioita ei välttämättä sovi paljastaa.

Fyysinen turvallisuus: Vaikka kybervaikuttamisesta puhuminen helposti kääntää katseet vain organisaation IT-infrastruktuuriin, on syytä olla valppaana myös fyysisen turvallisuuden osalta. Kulunvalvonnalla ja henkilöstön valppaudella tulee estää, ettei ulkopuolinen henkilö pääse organisaation alueelle tai tiloihin, tai että omaan henkilöstöön kuuluva ei pääse kulkemaan paikkoihin, joihin hänellä ei ole työnsä puolesta asiaa. Myös laiteturvallisuudesta tulee huolehtia.

Henkilöstö: Henkilöstön valppaus on organisaatiolle rikkaus. Nyt on hyvä hetki muistuttaa henkilöstöä siitä, miten kuuluu toimia, jos saa epämääräisiä sähköposteja tai kyselyitä, tai kun ”huoltomies” haluaa päästä sisään samalla ovenavauksella. Onnistumistarinoita syntyy kyberturvallisuudesta motivoituneen henkilöstön toimesta. Näistä on myös hyvä muistaa kiittää!

 

Pitkällä tähtäimellä palaisin vielä kysymykseen Suomen suvereniteetin puolustamisesta kyberavaruudessa. Suomen kriittisen infrastruktuurin toimijat eivät ole joutunut pelkäämään heihin kohdistuvaa ohjusiskua, sillä sellainen tulkittaisiin aseelliseksi hyökkäykseksi Suomea vastaan, ja Suomi puolustaisi itseään. Uskottava puolustuskyky nostaa vihamielisesti toimivan valtion hyökkäyskynnystä Suomea vastaan. Tätä samaa lainalaisuutta ei tällä hetkellä esiinny kyberulottuvuuden osalta, vaikka kybervaikuttamisella voisi olla mahdollista aikaansaada vastaavanlaista vaikutusta organisaation toimintaan kuin ohjuksella. Vaikka fyysinen tuho jäisi pienemmäksi, ei voida myöskään sulkea ihmishenkien menetystä pois, varsinkaan, jos vaikuttaminen kohdistuisi terveydenhuoltoon. Lainalaisuuden puute tarkoittaa käytännössä sitä, että kybervaikuttamisen keinot ovat vihamielisesti toimivalle valtiolle varsin houkuttelevia, koska hyökkäyskynnystä ei ole ja kriittisen infrastruktuurin toimijoille jää vain aiheutetun sotkun siivoaminen.

Kriittinen infrastruktuuri on todennäköinen hyökkäyskohde sen strategisen merkityksensä vuoksi. Siksi näkisin perusteltuna, että kriittisen infrastruktuurin toimijat edellyttäisivät valtiolta kannanottoa siitä, suhtautuuko valtio laajamittaiseen kyberhyökkäykseen kuten aseelliseen hyökkäykseen, jos se on vaikutuksiltaan rinnastettava asevoiman käyttöön. Tämä nostaisi vihamielisesti toimivan valtion hyökkäyskynnystä myös kyberulottuvuudessa ja toisi ylimääräisen suojauskerroksen kriittiselle infrastruktuurille. Tästä aiheesta voi lukea lisää aikaisemmasta blogiartikkelistani.

+3
CatharinaCandolin

Tekniikan tohtori (2005). Kyberturvallisuuden erityisasiantuntija finanssisektorilla sekä SSH Communications Security Oy:n hallituksen jäsen.
Aiemmin mm kyberpuolustustehtävissä Puolustusvoimissa ja Naton päämajassa. Kiinnostuksen kohteina uudet kehittyvät teknologiat, tiede ja tutkimus, ilmailu, meri, liikunta ja ruokakulttuuri. Mielipiteet ovat omiani eivätkä välttämättä edusta työnantajani näkemyksiä.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu