”Puolustus on valmistautumista hyökkäykseen”
Suomessa on sekä julkisella että yksityisellä sektorilla panostettu viime vuosina runsaasti tietoturvallisuuteen, kuten tehdään tietysti muuallakin. Tietoa ja tiedonvälitysverkkoja pidetään omalle toiminnalle tärkeinä. Meillä on kansallinen tietoturvaviranomainen CERT-FI, meillä on tietoturva-alan yrityksiä ja yrityksissä ja julkisyhteisöissä on tietoturvapäälliköitä ja teknistä henkilöstöä jonka työtehtävän ydin on oman toiminnan suojaaminen bittien maailmassa.
Bittien maailman puolustuksesta on siis tullut jokapäiväistä, tavallista. Hyökkääjiä sen sijaan kuvataan rikollisiksi, anarkisteiksi, ehkäpä moraalittomiksikin. Tiettävästi julkisesti tunnustettuja bittimaailman hyökkäysjoukkoja nimettynä organisaationa ei ole.
Sotilaalle taistelukentällä päätökset ovat hieman samankaltaisia kuin korttipelissä. Pitää tietää milloin hyökätä (panostaa), milloin puolustaa (maksaa toisen panos), milloin viivyttää (sököttää) tai milloin irtautua taistelusta (kipata). Miksi bittien maailmassa käytössä ovat vain check ja call – napit?
Tietoverkkojen maailma on vain yksi taistelukentän ulottuvuuksista, joissa myös sotilasorganisaation tulee kyetä toimimaan. Kaikissa ulottuvuuksissa pitää kyetä hyökkäämään (vaikuttamaan vastustajaan), puolustautumaan (estää vastustajan vaikuttaminen), viivyttämään (hankkia aikaa omille toimenpiteille) ja tarvittaessa irtautumaan jotta taistelua voidaan jatkaa myöhemmin. Tämä yksinkertainen lainalaisuus ei kuitenkaan nykyisessä moraalikäsityksessä tunnu pätevän Internetin maailmassa. Meiltä puuttuvat Internet – vaikuttamisen joukot, keinojahan on kehitelty niin kauan kuin tietoverkkojakin on ollut.
Ongelmia riittää
Hyökkäykselliset operaatiot maailmanlaajuisessa tietoverkossa ovat sotilaallisesta näkökulmasta verrattavissa joukkotuhoaseiden käyttöön. Niillä voidaan parhaimmillaan saada aikaan suurta vaikutusta laajalla alueella, mutta pahimmillaan hyökkäyksillä on negatiivisia seurauksia omalle toiminnalle. Kuten taistelukaasujen tai biologisten aseiden käytössä, myös tietoverkkohyökkäyksissä ”vaikutusaineet” ja ”oireet” voivat levitä myös omalle puolelle. Vastustajan sotapotentiaalin heikentäminen lamauttamalla sen taloutta tietoverkkohyökkäyksillä voi aikaansaada maailmanlaajuisen talouden laskusuhdanteen josta myös itse kärsisimme. Tietokonevirusten levittäminen vastustajan tietokoneisiin voi aiheuttaa samojen virusten leviämisen omiin tietokoneisiin. Olemalla aloitteellinen valtiollinen toimija tietoverkkohyökkäyksissä voimme avata tietoverkkosodankäynnin pandoran lippaan jonka seurauksia voi olla vaikea ennustaa. Hyökkäyksiä voi olla vaikea harjoitella tuottamatta vahinkoa itselle ja paljastamatta omaa suorituskykyä. Hyökkäyskyvyn salaaminen ja oma tietoturva on haasteellista, ihmisillä kun on tapana retostella kyvyillään. Lainsäädännöllisesti hyökkäysoperaatiot globaalissa tietoverkossa ovat varmasti haasteellisia.
Joukkotuhoaseista täsmäiskuihin
Iranin ydinohjelmaa vastaan suunnatusta Stuxnet – hyökkäyksestä on jauhettu vähintäänkin riittävästi. Se kuitenkin toimii esimerkkinä valtiollisesta tietoverkkohyökkäyksestä jolla saavutettiin vaikutusta vastustajaan ilman negatiivisia vaikutuksia omassa toiminnassa. Kylmän sotilaallisesta perspektiivistä myös Puolustusvoimien tulee saavuttaa tietoverkkojen täsmäiskukyky jolla voimme heikentää vastustajan sotapotentiaalia. Täsmäiskuilla voimme heikentää vastustajan johtamiskykyä, tilannekuvaa, tiedustelukykyä, huoltokykyä, asejärjestelmien toimintaa ja aikaansaada kaaosta ja epävarmuutta syvällä vastustajan kotialueella. Mahdollisuuksia on paljon enemmän kuin pystyn itse ikinä keksimään. Uskon että kotimaista osaamista on myös olemassa.
Tietoverkkojen maailma on isolla perspektiivillä kohtalaisen tuore ilmiö. Kenellä riittää rohkeus perustaa bittimaailman hyökkäysoperaatioiden terävä keihäänkärki Suomeen vai ovatko tietoverkot meille pyhiä ja hyökkäysoperaatiot samanlainen tabu kuin tulenkäyttö vastustajan alueelle meikäläisessä turvallisuuspoliittisessa keskustelukulttuurissa? Vaarana on, että rajoittamalla omaa toimintaamme ammumme itseämme jalkaan.