Osana Naton tulevaisuutta

Tallinnassa tänään päättyneessä Naton kyber-konferenssissa puhuttiin sekä Naton tulevaisuudesta että etenkin aktiivisesta puolustuksesta kyberulottuvuudessa. Siis siitä, mitä aktiivinen puolustus ylipäänsä tänä päivänä tarkoittaa, millaisista kyvyistä se koostuu ja milloin kykyjen käytössä on kyse hyökkäyksestä ja milloin puolustuksesta. Näkemyksiä 40 osanottajamaan kesken oli luonnollisesti lukuisia, etenkin kun edes peruskäsitteistä ei ole olemassa yksimielisyyttä.

Yhdestä asiasta Tallinnassa kuitenkin oltiin samaa mieltä: Kyberelementti on läsnä kaikissa tämän päivän sodissa ja konflikteissa – ja tulevaisuudessa yhä merkittävämmällä tavalla. Mitä tämä tarkoittaa puolustusliiton ja sen kumppaneiden osalta?

Naton apulaispääsihteeri Jamie Shea käytti konferenssissa pitkän puheenvuoron Naton kyberkyvyn rakentamisesta – jo tehdystä ja tällä hetkellä työn alla olevasta. ”Kyber” on hänen mukaansa lähtökohtaisesti kansallinen asia, ja kansalliset intressit ohjaavat maiden osallistumista kokonaiskyvyn muodostamiseen. Nykyisin, varsinkin NSA-paljastusten jälkeen, liiton jäsenmaiden välillä vallitsee epäluulo, mikä hankaloittaa yhteistoimintaa. Tämän koen itse vahvasti työssäni monen Nato-maan asevoimien kanssa. Elleivät Naton jäsenet luota toisiinsa tai yksityisen sektorin yhteistyökumppaneihin, on ”älykkään puolustuksen” rakentaminen hankalaa. Tästä syystä Naton sisäisen yhteistyön vahvistaminen sekä keskinäisen epäluulon vähentäminen tulevat olemaan vahvasti Naton syyskuun huippukokouksen agendalla.

Lyhyesti Tallinnan konferenssin terminologiasta: Aktiivisella kyberpuolustuksella tarkoitetaan perinteistä suojamuuriajattelua pidemmälle menevää toimintaa. Sillä pyritään estämään todennäköisen hyökkääjän pyrkimykset etukäteen (myös puolustajan oman verkon ja laitteiston ulkopuolella) tai keskeyttämään meneillään oleva hyökkäys. Tavoitteena on myös kerätä tietoa hyökkääjästä vastatoimien pohjaksi. Toimintatapa on kiistanalainen, koska se vaatii tunkeutumista ulkopuolisiin verkkoihin ja laitteisiin tai hyökkäyskyvyn käyttöä tavoitteeseen pääsemiseksi. Raja hyökkäyksen ja puolustuksen välillä hämärtyy.

Teknologisen haasteen ohella aktiivinen kyberpuolustus onkin normatiivinen kysymys. Tallinnassa keskustelu keskittyi voimankäytön laillisuuteen, ensisijaisesti kansainvälisen oikeuden näkökulmasta. Milloin kyberhyökkäys on niin merkittävä, että se oikeuttaa vastatoimenpiteet ja johtaa jopa sodanjulistukseen? Milloin hyökkäyksen valmistelusta ollaan niin varmoja, että sen ennaltaehkäisyä harkitaan? Lakinormien ohella tärkeää on miettiä, milloin toiminta on hyväksyttävää, oikein tai väärin ja mahdollisesti yleistettävissä yleiseksi tavaksi. Avoimia kysymyksiä on paljon, mutta vastauksia ”kyberaikakauden aamunkoitossa” vasta vähän.

Kysymyksille yhteistä on se, että niihin etsitään vastauksia ilman ennakkotapauksia. Yksikään kyberhyökkäys ei vielä ole johtanut voimankäyttöön hyökkääjää vastaan. Vaikka Yhdysvaltojen ja Israelin muutama vuosi sitten iranilaiseen uraanirikastamoon kohdistama Stuxnet-haittaohjelma mielletään yleisesti mittavaksi hyökkäykseksi, Iran ei vastannut siihen voimankäytöllä. Kyberhyökkäyksiin onkin toistaiseksi vastattu muilla keinoin, kuten sanktioilla ja ”naming and shaming” -kampanjoilla.

Kansainvälisen normin puuttuessa maat reagoivat tilanteen ja oman tulkintansa mukaisesti. Nato taas pyrkii yhtenäistämään jäsenmaidensa ajattelua ja koordinoimaan kykyjen luomista ja toimintaa kybermaailmassa. On niin puolustusliiton kuin sen yksittäisten jäsenmaiden ja kumppaneiden etu, että tietoa ja kokomuksia vaihdetaan, sekä toimintatapoja kokeillaan ja harjoitellaan yhdessä. Parhaimmillaan eri maiden ja yksityisen sektorin yhteistyökumppaneiden kyvyt tukevat toinen toisiaan. Yhteisvastuullisuuden lisäämiseksi Shea painotti puheessaan kyberpuolustuksen saattamista Naton Artikla viiden alaiseksi toiminta-alueeksi. Hyökkäys yhteen jäsenvaltioon merkitsee hyökkäystä koko sotilasliittoon – myös kybermaailmassa. Kysymys on enemmän siitä, että mitä tämä käytännössä tarkoittaa.

Suomi toivotettiin lämpimästi tervetulleeksi Naton kyberkeskuksen jäseneksi myöhemmin tänä vuonna. Ensimmäinen ei-Nato-maa, Itävalta, liittyi toukokuun alkupäivinä. Yhteistoimintaan osallistumisen ohella kyberkeskuksen jäsenyys luultavasti aktivoisi Suomessa kaivattua julkista keskustelua ylipäänsä siitä, millaisessa kansainvälisessä yhteistyössä kansallista kyberturvallisuutta nyt ja tulevaisuudessa rakennetaan.