”Puolustus on valmistautumista hyökkäykseen”
Suomessa on sekä julkisella että yksityisellä sektorilla panostettu viime vuosina runsaasti tietoturvallisuuteen, kuten tehdään tietysti muuallakin. Tietoa ja tiedonvälitysverkkoja pidetään omalle toiminnalle tärkeinä. Meillä on kansallinen tietoturvaviranomainen CERT-FI, meillä on tietoturva-alan yrityksiä ja yrityksissä ja julkisyhteisöissä on tietoturvapäälliköitä ja teknistä henkilöstöä jonka työtehtävän ydin on oman toiminnan suojaaminen bittien maailmassa.
Bittien maailman puolustuksesta on siis tullut jokapäiväistä, tavallista. Hyökkääjiä sen sijaan kuvataan rikollisiksi, anarkisteiksi, ehkäpä moraalittomiksikin. Tiettävästi julkisesti tunnustettuja bittimaailman hyökkäysjoukkoja nimettynä organisaationa ei ole.
Sotilaalle taistelukentällä päätökset ovat hieman samankaltaisia kuin korttipelissä. Pitää tietää milloin hyökätä (panostaa), milloin puolustaa (maksaa toisen panos), milloin viivyttää (sököttää) tai milloin irtautua taistelusta (kipata). Miksi bittien maailmassa käytössä ovat vain check ja call – napit?
Tietoverkkojen maailma on vain yksi taistelukentän ulottuvuuksista, joissa myös sotilasorganisaation tulee kyetä toimimaan. Kaikissa ulottuvuuksissa pitää kyetä hyökkäämään (vaikuttamaan vastustajaan), puolustautumaan (estää vastustajan vaikuttaminen), viivyttämään (hankkia aikaa omille toimenpiteille) ja tarvittaessa irtautumaan jotta taistelua voidaan jatkaa myöhemmin. Tämä yksinkertainen lainalaisuus ei kuitenkaan nykyisessä moraalikäsityksessä tunnu pätevän Internetin maailmassa. Meiltä puuttuvat Internet – vaikuttamisen joukot, keinojahan on kehitelty niin kauan kuin tietoverkkojakin on ollut.
Ongelmia riittää
Hyökkäykselliset operaatiot maailmanlaajuisessa tietoverkossa ovat sotilaallisesta näkökulmasta verrattavissa joukkotuhoaseiden käyttöön. Niillä voidaan parhaimmillaan saada aikaan suurta vaikutusta laajalla alueella, mutta pahimmillaan hyökkäyksillä on negatiivisia seurauksia omalle toiminnalle. Kuten taistelukaasujen tai biologisten aseiden käytössä, myös tietoverkkohyökkäyksissä ”vaikutusaineet” ja ”oireet” voivat levitä myös omalle puolelle. Vastustajan sotapotentiaalin heikentäminen lamauttamalla sen taloutta tietoverkkohyökkäyksillä voi aikaansaada maailmanlaajuisen talouden laskusuhdanteen josta myös itse kärsisimme. Tietokonevirusten levittäminen vastustajan tietokoneisiin voi aiheuttaa samojen virusten leviämisen omiin tietokoneisiin. Olemalla aloitteellinen valtiollinen toimija tietoverkkohyökkäyksissä voimme avata tietoverkkosodankäynnin pandoran lippaan jonka seurauksia voi olla vaikea ennustaa. Hyökkäyksiä voi olla vaikea harjoitella tuottamatta vahinkoa itselle ja paljastamatta omaa suorituskykyä. Hyökkäyskyvyn salaaminen ja oma tietoturva on haasteellista, ihmisillä kun on tapana retostella kyvyillään. Lainsäädännöllisesti hyökkäysoperaatiot globaalissa tietoverkossa ovat varmasti haasteellisia.
Joukkotuhoaseista täsmäiskuihin
Iranin ydinohjelmaa vastaan suunnatusta Stuxnet – hyökkäyksestä on jauhettu vähintäänkin riittävästi. Se kuitenkin toimii esimerkkinä valtiollisesta tietoverkkohyökkäyksestä jolla saavutettiin vaikutusta vastustajaan ilman negatiivisia vaikutuksia omassa toiminnassa. Kylmän sotilaallisesta perspektiivistä myös Puolustusvoimien tulee saavuttaa tietoverkkojen täsmäiskukyky jolla voimme heikentää vastustajan sotapotentiaalia. Täsmäiskuilla voimme heikentää vastustajan johtamiskykyä, tilannekuvaa, tiedustelukykyä, huoltokykyä, asejärjestelmien toimintaa ja aikaansaada kaaosta ja epävarmuutta syvällä vastustajan kotialueella. Mahdollisuuksia on paljon enemmän kuin pystyn itse ikinä keksimään. Uskon että kotimaista osaamista on myös olemassa.
Tietoverkkojen maailma on isolla perspektiivillä kohtalaisen tuore ilmiö. Kenellä riittää rohkeus perustaa bittimaailman hyökkäysoperaatioiden terävä keihäänkärki Suomeen vai ovatko tietoverkot meille pyhiä ja hyökkäysoperaatiot samanlainen tabu kuin tulenkäyttö vastustajan alueelle meikäläisessä turvallisuuspoliittisessa keskustelukulttuurissa? Vaarana on, että rajoittamalla omaa toimintaamme ammumme itseämme jalkaan.
ammattisotilas 
En menisi takuuseen tuosta. Se että vaikutuksia ei ole vielä näkynyt, ei tarkoita ettei niitä olisi.
Sen jälkeen kun Stuxnet, Duqu ja Flame päästettiin irralleen, niistä on suurella todennäköisyydellä tullut valtioiden public domainia. Ne ovat useamman valtion ja mahdollisesti rikollis- tai terroristijärjestöjen tarkastelussa. Monellakin taholla on kapasiteettia palkata koodareita tekemään uusia versioita noista viruksista. Stuxnet avasi pandoran lippaan, ja on vain ajan kysymys milloin käärmeenpoikaset luikertelevat sieltä ulos. Iran tuskin kykenee kostamaan Israelille/USA:lle, mutta esim. Kiinalla ja USA:lla on jo ollut pieniä bittikahakoita.
Suomella on bittiaseen suhteen omat rajoitteensa, jotka ovat osin samankaltaisia kuin JASSM:in käytöllä. Jos Suomi käyttäisi virusta esim. Venäjän sähkönsiirtoverkkoa vastaan harmaassa vaiheessa, todennäköisesti Venäjä hyödyntäisi tilannetta ja syyttäisi (tällä kertaa oikeutetusti) sähkökatkoista suomalaisia sabotöörejä. Näin venäläiset saataisiin sodan taakse, itse ampumillamme Mainilan bittilaukauksilla. Ilman sähköä olevien vihaisten ihmisten motivoiminen ei ole edes vaikeaa.
Tuore artikkeli siitä, kuinka pandoran lipas on jo auki: http://arstechnica.com/tech-policy/2012/11/us-cyber-weapons-exempt-from-human-judgment-requirement/ Tällä hetkellä vain USA pohtii asioita tällä tasolla, kohta kaikki.
Erinomainen ja tarpeellinen keskustelunavaus.
Eestiläiset ystävämme osaavat jo neuvoa meitä tässä asiassa. He nimittävätkin pronssisoturikiistan mukanaan tuomia verkko- ja taloushyökkäyksiä sumeilematta sodaksi. Jos haluaa itse tarkastella tämän sodan muistomerkkejä niin pieni kävely avoimin silmin esimerkiksi Narja Jöesuun kauniissa ja historiallisessa kylpyläkaupungissa paljastaa useita muuttovalmiita luksusluokan korkeita kerrostaloja typötyhjillään. Venäläisten pankkien ymmärrys (venäläisten yrittäjien kaupallisille hankkeille Eestissä!) loppui kuin seinään. Eestiläisten tuotteiden kauppa Venäjälle kokee edelleen hankaluuksia.
Virusten levittäminen on vain yksi hyökkäyskonsti monien joukossa. Virukset alkavat olla jo niin monimutkaisia ja älykkäitä, että vähänkin keskeisten tietojärjestelmien hermeettinen eristys alkaa olla perusteltavissa. On aika hölmöä, että jokainen tietokone on potentiaalinen turvallisuusriski kun tilanne voisi aivan hyvin olla niinkin, että valvottavia tietokoneita on vain yksi per tietojärjestelmä. Stuxnet taidettiin saada kohteeseensa USB-tikulla jonkun alipalkatun teknikon toimesta, joka luultavasti vain halusi kuunnella työkoneella mielimusiikkiaan. Ns. älykkäiden päätteiden aika on selkeästi ohi tällaisissa kohteissa.
Toinen asia, joka ei liity viruksiin, on internetin ja langattoman mobiiliverkon haavoittuvuus. Syyriassa taisi eilen internet ja mobiiliverkko lakata 100% toimimasta. Tiedota siinä sitten maailmalle mitä pahuutta on tapahtumassa. Suomi lienee dataverkkotopologiassa Ruotsin kanssa samaa aluetta ja molemmat yhdistyvät tietääkseni Euroopan dataverkkoon jossakin Antwerpenin tienoilla. Datakaapelit ovat strategisesti aivan yhtä tärkeitä kuin öljyputket ja niitä on varjeltava samalla intensiteetillä. Toivon, että näin on.
USA:n öljyhegemoniaa uhanneen Iranin ’monivaluutta’ öljypörssin perustamista seuranneet muistavat ihan muutaman vuoden takaa kuinka haavoittumattomiksi uskotut datamerikaapelit Arabianlahden seuduilla yhtäkkiä alkoivatkin katkeilemaan oudosti. Tee siinä sitten pörssikauppaa kun bitti ei liiku. Iran uskoi viestiä ja jätti öljypörssinsä naftaliin.
Jotain tarttis tehdä.
”Iran uskoi viestiä ja jätti öljypörssinsä naftaliin.”
Ei pidä paikkaansa.
http://en.wikipedia.org/wiki/Iranian_oil_bourse
Wikipedian artikkelin mukaan on edelleenkin naftaliinissa eli raakaöljyä siellä ei ainakaan toistaiseksi välitetä vaikka näin oli aikomus.
Mutta takaisin asiaan; mielenkiintoinen ja tuore artikkeli kirjoittajan esille nostamasta aiheesta:
http://www.numerama.com/magazine/24390-la-france-fera-de-la-cyberdefense-une-priorite-nationale.html
Hyvä pointti ammattisotilaalta toiminnasta kaikissa ”taisteluavaruuden” ulottuvuuksissa ja ajan hermolla niin kyberin kuin somenkin suhteen!
Hyökkäys yhdessä ulottuvuudessa voi vaatia puolustautumista toisessa. Esimerkiksi erikoisjoukot toimivat taistelukentän kolmessa ulottuvuudessa (1. maa, 2. meri, 3. ilma), mutta saavat toimintaedellytykset taistelutilan 4. ja 5. ulottuvuudesta (4. sähkömagneettinen spektri, avaruus. 5. informaatio) ja toiminnallaan kykenevät vaikuttamaan ”taisteluavaruuden” 6. ulottuvuuteen (6. mieliavaruus).
Esimerkkinä erikoisjoukkojen suorittama avainhenkilöiden eliminointi, joka heikentää johtajien kykyä/rohkeutta näyttäytyä, mikä johtaa puolustus-/taistelutahdon murentumiseen). Kyberin kohdalla hyökkäys 5. ulottuvuudesta on tehokas silloin kun se vaikuttaa 1-3. ulottuvuuksiin ja sitä kautta takaisin mielipiteeseen, tahtoon ja uskoon.
Somella (esim. @IDFSpokesperson vs.@AlqassamBrigade) taas vaikutetaan 5. ulottuvuudesta suoraan 6. ulottuvuuteen kertomalla 1-3. ulottuvuuden tapahtumista narratiiveina.. Sotakoneet ovat löytämässä uudet ulottuvuudet ja sodankäynti on muutoksessa.
Yhdysvaltain Stuxnet ja Israelin some-sota voidaan nähdä uuden ulottuvuuden T&K kenttätutkimuksena. Hankkeen toteuttamiseen ei kuitenkaan mene vuosia, koska menetelmä ja alusta ovat ketteriä ja vaatimusmäärittely ei ole turhan jäykkää. Veikkaan, että parin vuoden päästä nähdään hyvin tuotteistettuja, dokumentoituja (doktriini), pitkälle integroituja ja tiiviisti verkottuneita ratkaisuja sekä erikoiskoulutettuja joukkoja.
BTW: Hauskaa miten ensilukemalla korkealentoinen ja kauaskatsova julkaisu Strateginen kommunikaatio ja informaatio-operaatiot 2030 alkaa olla osillaan kehityksestä jälkeen jäänyt.
Miten olisi juttu kadettiupseerien yleissivistyksen tason alentumisesta PV:n moninaisten koulutusuudistuksien jälkeen? Kohta on kymmenen vuotta täynnä näitä ei-ylioppilas kadettiupseereita ja onhan heidän yleissivistys luvalla sanoen ihan olematonta.
Kohta kait PV:n työnantajavirkoja miehittää talouskeittäjä+sotilaskeittäjä-au+sotilasvirkaan tähtäävä koulutus+virkaurakurssit käyneet sotilaat, jotka hädin tuskin osaavat kirjoittaa yhdyssanat oikein. Ja sanomattakin on selvää, että nuo koulutukset läpäisee ihan takapenkillä istuen.
http://www.iltalehti.fi/uutiset/2013010716523485_uu.shtml
Vanhaan kaavaan menee taas keskustelu.
Uskottavan puolustuksen kyseenalaistaminen ja sitä seuraa istten jo YYA-liturgiaan verrattava ”venäjä ei ole meille minkäänlainen uhka”-toteamus. Koska sotilaallista uhkaa ei ole, ei tartte siis tehdä mitään vaikka puolustuskyky rapisee kuin laasti viime vuosituhannella rakennetusta muurista.
Jonkinlainen hyssyttely kuuluu tietysti asiaan, mutta minusta on aika kummallista kuulla puolustusministeriön edustajan sanovan että on epätodennäköistä että Venäjä hyökkäisi pieneen naapurimaahan (kuten Georgiaan), tai pääesikunnan tiedotuspäällikön sanovan ettei Venäjä ole hänen mielestään minkäänlainen uhka. Suomi lienee kehittänyt salaa jonkin sortin Kuolontähden jos ei entinen puna-armeija kelpaa enää edes uhkakuvaksi.
Tai jos molemmat herrat ovat sitä mieltä että idän karhu on kiltti mesikämmen vain, niin kai sen armeijankin voi saman tien ajaa alas, eihän sitä mitään muuta vastaan tarvita. Vai onko heillä kenties mielissään jokin muu uhkakuva, joka missään nimessä ei ole Venäjä? Tuleeko turma lännestä, etelästä vai lentopostina Iranista?
Reblogged this on Nallekarhun blog.
”suomalainen bittisissijoukko pimensi Karjalan sähköt, sata vanhusta kuollut pakkaseen”……onnea vastapropagandan tekijöille, haastetta riittäisi.
Mutta kuten Iranin tapauksessa, isku johonkin, missä se tuntuu luissa ja ytimissä, se on oikea ase. Iranin johdon lempikukkasen turmeleminen iskulla, se iski varmasti kuin miljoona volttia nimenomaan siihen elimeen, johon pitikin.
Jotenkin ajattelen niin, että ko. iskut pitää olla ”puolustusaseina” juurikin stuxnetin tapaisia kohdevalinnoiltaan. Riittääkö kyky? Riittääkö munkkeli? Vaikeita juttuja ja aika uusia ulottuvuuksia. Mutta tähän suuntaan sodankäynti auttamatta menee, ainakin osiltaan.
On niin yleistä sanoa että ”valtiollinen toimija”. Hoh-hoijaa, ja mistä lähtien parhaat koodaajat ovat työskennelleet millään julkisella sektorilla? Monet eivät edes pääsisi valtiolle, koska ei ole muodollista tutkintopätevyyttä.