DIGITAALISEN KYBERMAAILMAN ILMIÖITÄ JA MÄÄRITTELYJÄ

PROF. MARTTI LEHTO

V 15.0

6.4.2021

JYVÄSKYLÄN YLIOPISTO INFORMAATIOTEKNOLOGIAN TIEDEKUNTA 2021

ALKUSANAT

Euroopan komissio analysoi pohdinta-asiakirjassaan kesällä 2017 tulevaisuuden uhka- maailmaa. Sen mukaan teknologian kehitys muuttaa merkittävästi niin turvallisuuden kuin puolustuksen luonnetta. Big data, pilviteknologia, miehittämättömät ajoneuvot ja tekoäly muokkaavat yhteiskunnan eri rakenteita aina turvallisuuteen ja puolustukseen saakka. Tämän verrattain helposti saatavilla olevan teknologian käyttö mahdollistaa epätavanomaisten, valtioiden rajat ylittävien ja epäsymmetristen uhkien nopean kas- vun. Näitä ovat muun muassa hybridi- ja kyberuhat, terrorismi sekä kemialliset, biologi- set ja radiologiset iskut. Internetin käyttäjien määrän nopean kasvun myötä kyberrikol- lisuus ja terroristien internetin käyttö ovat 2000-luvulla muokanneet merkittävästi digi- taalista toimintaympäristöä.1

Digitaaliteknologia muuttaa ihmisten elämää. EU:n digitaalistrategian tavoitteena on valjastaa digitalisaatio palvelemaan ihmisiä ja yrityksiä sekä tukemaan tavoitetta tehdä Euroopasta ilmastoneutraali vuoteen 2050 mennessä. Komissio on päättänyt tehdä ku- luvasta vuosikymmenestä Euroopan "digitaalisen vuosikymmenen". Euroopan on nyt lu- jitettava digitaalista suvereniteettiaan ja asetettava standardeja sen sijaan, että se kul- kisi muiden jäljissä. Painopisteinä ovat data, teknologia ja infrastruktuuri.2

Euroopan komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja esit- tivät 16. joulukuuta 2020 uuden EU:n kyberturvallisuusstrategian. Strategia liittyy kiin- teästi tiedonantoon Euroopan digitaalista tulevaisuutta rakentamassa sekä Euroopan elpymissuunnitelmaan ja EU:n turvallisuusunionistrategiaan. Tavoitteena on parantaa Euroopan kollektiivista kykyä sietää kyberuhkia ja varmistetaan, että kuluttajat ja yrityk- set voivat saada täyden hyödyn luotettavista palveluista ja digitaalisista työkaluista. Oli kyse sitten eurooppalaisten käyttämistä verkkoon liitetyistä laitteista, sähköverkoista tai pankeista, lentokoneista, julkishallinnoista ja sairaaloista, kaikilla on oikeus käyttää niitä tietoisina siitä, että heidät on suojattu kyberuhilta.

Uusi kyberturvallisuusstrategia antaa EU:lle myös mahdollisuuden vahvistaa johtajuut- taan kybertoimintaympäristön kansainvälisissä normeissa ja standardeissa ja tiivistää yhteistyötä kumppaneiden kanssa eri puolilla maailmaa edistääkseen maailmanlaa- juista, avointa, vakaata ja turvallista kybertoimintaympäristöä, joka perustuu oikeusval- tioperiaatteeseen, ihmisoikeuksiin, perusvapauksiin ja demokraattisiin arvoihin.

Komissio esittää lisäksi ehdotuksia, jotka koskevat kriittisten yksiköiden ja verkkojen ky- kyä sietää sekä kyberuhkia että fyysisiä uhkia: nämä ovat direktiivi toimenpiteistä kyber- turvallisuuden yhteisen korkean tason varmistamiseksi unionissa (tarkistettu verkko- ja tietoturvadirektiivi eli ”NIS 2”) ja uusi direktiivi kriittisten yksiköiden häiriönsietokyvystä. Ne kattavat monia aloja, ja niillä pyritään puuttumaan nykyisiin ja tuleviin verkossa ja

1 Euroopan komissio, Pohdinta-asiakirja Euroopan puolustuksen tulevaisuudesta, 2017. https://www.eduskunta.fi/FI/tiedotteet/Sivut/komission-pohdinta-euroopan-puolutuksen-tulevaisuu- desta.aspx 2 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_fi

sen ulkopuolella esiintyviin riskeihin aina kyberhyökkäyksistä rikollisuuteen tai luonnon- katastrofeihin johdonmukaisella ja toisiaan täydentävällä tavalla.

Teknologian kehitys ja digitalisaation vaikutukset ilmenevät myös suomalaisissa turval- lisuusasiakirjoissa. Vuoden 2017 puolustusselonteossa kyberympäristön merkityksen todetaan kasvavan. Puolustusselonteon mukaan kyber- ja informaatiovaikuttamista on kohdistettu Suomeen muun muassa kriittistä infrastruktuuria, teollisuuslaitoksia sekä poliittista päätöksentekojärjestelmää ja kansalaisia vastaan3.

Vuoden 2020 Valtioneuvoston ulko- ja turvallisuuspoliittisen selonteon mukaan ”Hybri- divaikuttaminen on lisääntynyt ja monimuotoistunut, minkä takia siitä on tullut aiempaa suurempi turvallisuusuhka. Hybridivaikuttamisessa valtiollinen tai muu ulkoinen toimija pyrkii vaikuttamaan samanaikaisesti tai jatkumona, suunnitelmallisesti ja eri keinoja käyttäen kohteen haavoittuvuuksiin omien tavoitteidensa saavuttamiseksi. Keinovali- koima on laaja, ja siihen kuuluu muun muassa poliittisia, diplomaattisia, taloudellisia ja sotilaallisia keinoja sekä informaatio- ja kybervaikuttamista. Vaikuttaminen on vahingol- lista ja sitä pyritään tekemään niin, että se on kiistettävissä.4

Elektronisen sodankäynnin, informaatiosodankäynnin ja kybersodankäynnin operaatiot muodostavat viitekehyksenä kyberajan ei-kineettisten verkostoperustaisten operaatioi- den kokonaisuuden. Sodankäynnissä nämä operaatiot muodostavat verkottuneen koko- naisuuden, jossa eri operaatiomuotojen avulla pyritään saavuttamaan sodankäynnille asetetut tavoitteet usein osana hybridivaikuttamista. Kyberympäristöstä on tullut erot- tamaton osa niin nykyajan sodankäyntiä kuin turvallisuuden kokemista.

Kybermaailman kehitys ei ole irrallinen ilmiö vaan se yhdistyy vahvasti yhteiskuntara- kenteisiin ja eri turvallisuustoimijoiden tarpeisiin ja odotuksiin. Kehitykselle on omi- naista nopeus sekä tietynlainen arvaamattomuus tulevaisuudesta. Kybermaailmaa ja teknologian kehitystä ei myöskään tule nähdä pelkästään uhkien näkökulmasta vaan teknologia tuottaa uudenlaisia ratkaisuja ja toimintamalleja turvallisuuden tuottami- seen. Uusista teknologisista ratkaisuista otetaan käyttöön ne mitkä parhaiten tuottavat lisäarvoa, tehokkuutta ja vaikuttavuutta. Digitaaliset ratkaisut tulee toteuttaa ”Cyber Se- curity by Design” -periaatteella, mikäli todella halutaan lisätä kansallista kyberresiliens- siä.

Tämä materiaali sisältää digitaalisen kybermaailman määrittelyä ja rakenteita, kuvauk- sen yhteiskunnan kriittisistä rakenteista, kyberuhkataksonomian määrittelyn (kybervan- dalismi, -rikollisuus, -tiedustelu, - terrorismi, -sabotaasi ja -sodankäynti), kyberturvalli- suuden juridisia näkökulmia ja lopuksi perusteita kyberturvallisuuden rakentamiseksi.

3 Valtioneuvoston kanslia. 2017. Valtioneuvoston puolustusselonteko, Valtioneuvoston kanslian julkaisu- sarja 5/2017. 4 Valtioneuvoston kanslia. 2020. Valtioneuvoston ulko- ja turvallisuuspoliittinen selonteko, Valtioneuvos- ton julkaisuja 2020:30, 29.10.2020.

KUVIOT

KUVIO 1 Kybermaailman viitekehys ...... 13 KUVIO 2 Internetin kolme kerrosta ...... 15 KUVIO 3 Esineiden internetin eri elementit (Al-Fuqaha et al., 2015) ...... 16 KUVIO 4 Mirai Botnet arkkitehtuuri (McAfee Labs Threats Report, 2017) ...... 18 KUVIO 5 Kybermaailman viisi kerrosta ...... 21 KUVIO 6 Yhteiskunnan elintärkeiden toimintojen turvaaminen eri uhkia vastaan ...... 23 KUVIO 7 Kyberuhkien rakennemalli ...... 26 KUVIO 8 Kyberuhkien keskinäisvaikutusmalli (ENISA, 2012) ...... 28 KUVIO 9 Kybertoimintaympäristön haavoittuvuuksia ...... 29 KUVIO 10 Yhdysvaltalainen näkemys kriittisestä infrastruktuurista ...... 33 KUVIO 11 Kyberaseen periaatteellinen rakenne ...... 35 KUVIO 12 Hyökkäystavat kybermaailman eri kerroksiin ...... 38 KUVIO 13 Kyberhyökkäyksen yleinen malli ...... 44 KUVIO 14 Kriittinen infrastruktuuriverkosto vuorovaikutussuhteineen ...... 46 KUVIO 15 SCADA-rakenne ...... 48 KUVIO 16 Kyberrikollisuuden muotoja ja päivittäinen aktiivisuus ...... 54 KUVIO 17 Kyberrikollisuuden alueellinen jakautuminen 2017 ...... 54 KUVIO 18 Kybertiedustelu, kybervakoilu ja tietojen kokoaminen ...... 59 KUVIO 19 Stuxnetin toiminnallisuus ...... 69 KUVIO 20 Ei-kineettisen sodankäynnin evoluutio 1900-luvulta lähtien ...... 77 KUVIO 21 Ei-kineettisen sodankäynnin toimintaympäristö ...... 79 KUVIO 22 ISO27005: Riskien käsittely ...... 103 KUVIO 23 Kyberuhkien ja riskien hallinnan kokonaisuus ...... 106 KUVIO 24 Kyberhäiriötilanteiden hallinta ...... 108 KUVIO 25 Kyberturvallisuus, toiminnallisuus ja käyttömukavuus ...... 110 KUVIO 26 Uusien teknologioiden mahdollistamia kyberturvallisuusratkaisuja ...... 111 KUVIO 27 Kyberturvallisuusarkkitehtuurin yleinen rakennemalli ...... 120 KUVIO 28 Kyberturvallisuuden teknologiatekijät vs. inhimilliset tekijät ...... 121 KUVIO 29 Yhteiskunnan kriittiset rakenteet ...... 123

TAULUKOT

TAULUKKO 1 Kyberhyökkäysmenetelmiä ja tekniikoita ...... 36 TAULUKKO 2 Kriittisen infrastruktuurin eri sektorit ...... 132

SISÄLLYS

ALKUSANAT...... 2

KUVIOT ...... 4

TAULUKOT ...... 4

SISÄLLYS ...... 5

1 JOHDANTO ...... 8 1.1 Määrittelyjä ...... 8 1.2 Digitaalinen kybermaailma ...... 11 1.3 Internetin rakenne ...... 13 1.4 Esineiden internet ...... 15 1.4.1 Määrittelyjä ...... 15 1.4.2 IoT-botnet...... 17

2 KYBERMAAILMAN RAKENTEET...... 19 2.1 Kybermaailman rakennemalleja ...... 19 2.2 Kyberuhkien määrittelyä ...... 22 2.2.1 Kyberuhat yhteiskunnan näkökulmasta ...... 22 2.2.2 Kyberuhkamalli motiivin perusteella ...... 24 2.3 Kybermaailman haavoittuvuuksia ...... 26 2.3.1 Määrittelyjä ...... 26 2.3.2 Ohjelmistohaavoittuvuudet ...... 29 2.3.3 Laitetason haavoittuvuudet ...... 30 2.3.4 Datamanipulaatio ...... 30 2.3.5 Inhimilliset riskit ...... 31 2.4 Kyberhyökkäysten kohteet ...... 32 2.5 Kyberaseet ...... 33 2.6 Kyberhyökkäysvektoreita ...... 36 2.7 Haittaohjelmia ja huijauksia ...... 38 2.7.1 Kiristyshaittaohjelma ...... 38 2.7.2 Palvelunestohyökkäys ...... 39 2.7.3 Teknisen tuen huijaukset ...... 40 2.7.4 Sosiaalinen manipulointi ...... 40 2.8 Kyberhyökkäysmalleja ...... 41 2.8.1 Advanced Persistent Threat ...... 41 2.8.2 Kyberfyysinen hyökkäys kriittistä infrastruktuuria vastaan ...... 43 2.8.3 Tietomurto ...... 43 2.8.4 Yleinen kyberhyökkäysmalli ...... 43

3 YHTEISKUNNAN KRIITTISET RAKENTEET ...... 45 3.1 Kriittinen infrastruktuuri ...... 45 3.2 Kriittinen informaatioinfrastruktuuri ...... 47

3.3 SCADA ...... 48

4 KYBERVANDALISMI ...... 49 4.1 Perusteita ...... 49 4.2 Haktivismi ...... 50

5 KYBERRIKOLLISUUS ...... 51 5.1 Määrittelyjä ...... 51 5.2 Kyberrikollisuuden ilmentymiä ...... 52 5.3 Yhteistyö kyberrikollisuutta vastaan lisääntyy ...... 56 5.4 Yksityisyyden suoja ...... 57

6 KYBERTIEDUSTELU JA -VAKOILU ...... 59 6.1 Määrittelyä ...... 59 6.2 Esimerkkejä vakoiluhyökkäyksistä ...... 61

7 KYBERTERRORISMI ...... 63 7.1 Määrittelyjä ...... 63 7.2 Kyberterrorismin ilmentymiä ...... 64

8 KYBERSABOTAASI ...... 68

9 KYBERSODANKÄYNTI ...... 72 9.1 Määrittelyä ...... 72 9.2 Evoluutio kohti kybermaailmaa ...... 72 9.2.1 Kommunikaatiosodankäynti ...... 72 9.2.2 Elektroninen sodankäynti ...... 73 9.2.3 Informaatiosodankäynti ...... 74 9.2.4 Verkkokeskeinen sodankäynti...... 76 9.2.5 Hybridisodankäynti ...... 78 9.3 Kybersodankäyntikonsepti ...... 80 9.4 Sotilaalliset kyberoperaatiot...... 83 9.4.1 Määrittelyä ...... 83 9.4.2 Kyberpuolustuksen kehittämisen strategiset linjaukset Suomessa .... 87 9.4.3 Proxien käyttö kyberhyökkäyksissä ...... 87 9.5 Kyberpelote ...... 88

10 KYBERTURVALLISUUS JA LAILLISUUSNÄKÖKULMA ...... 90 10.1 Kyberjuridiikkaa ...... 90 10.1.1 Säädöksiä YK- ja EU-tasolla ...... 90 10.1.2 EU:n yleinen tietosuoja-asetus ...... 94 10.1.3 Euroopan unionin verkko- ja tietoturvadirektiivi ...... 96 10.2 Kyberpolitiikka ja -diplomatia ...... 98 10.3 EU:n kyberturvallisuusstrategia 2020 ...... 99

11 KYBERTURVALLISUUTTA RAKENTAMASSA ...... 100 11.1 Kyberturvallisuuden määrittelyä ...... 100

11.2 Suomen kyberturvallisuusstrategia 2019 ...... 102 11.3 Kyberriskinhallinta ...... 102 11.4 Kyberturvallisuuden toimenpidekokonaisuudet ...... 104 11.5 Kyberfyysisen järjestelmän suojauksen toteuttaminen ...... 110 11.5.1 Suojauksen perusteita ...... 110 11.5.2 Kyberturvallisuuden teknologisia ratkaisuja ...... 113 11.6 Kyberturvallisuuden strateginen johtaminen ...... 116 11.7 Kyberturvallisuuskonsepti ...... 119 11.8 Kokonaisturvallisuus, infrastruktuuri ja resilienssi ...... 121 11.8.1 Kokonaisturvallisuus ...... 121 11.8.2 Kriittisen infrastruktuurinen suojaaminen ...... 122 11.8.3 Resilienssi ...... 123

LÄHTEET ...... 125

LIITE 1 KRIITTINEN INFRASTRUKTUURI ...... 132

LIITE 2 SOTILAALISET KYBEROPERAATIOT ...... 133

LIITE 3 KYBEROPERAATIO-ESIMERKKI ...... 135

1 JOHDANTO

1.1 Määrittelyjä

Sana kyber tulee kreikan sanasta kybereo (kreik. κυβερεω) - ohjata, opastaa, hallita. Amerikkalainen matemaatikko Norbert Wiener (1894–1964) otti käyttöön sanan kyber- netiikka 1940-luvun lopulla kuvaamaan tietokoneita käyttäviä ohjausjärjestelmiä. Hänen mukaansa kybernetiikka kuvasi tieteitä, jotka käsittelevät koneiden ja organismien kont- rollointia kommunikaation ja palautteen avulla. Kybernetiikan paradigman mukaan in- formaation välittämistä, manipulointia käytetään biologisten, fyysisten ja kemiallisten systeemien kontrollointiin. Kybernetiikka koskee vain konemaisia järjestelmiä, joissa systeemin toiminta ja lopputulos ovat matemaattisesti mallinnettavissa, määrättävissä tai ainakin ennakoitavissa. Kyberneettinen systeemi on suljettu järjestelmä, joka ei vaihda energiaa tai ainetta ympäristönsä kanssa.5

Norbert Wiener vieraili keväällä 1947 matematiikan konferenssissa Nancy:ssä Rans- kassa, jonka jälkeen vieraili kolmen viikon ajan Englannissa mm. Manchesterin yliopis- tossa ja National Physical Laboratory:ssä, Teddingtonissa. Siellä hänellä oli mahdollisuus tutustua huippunopeisiin tietokoneisiin ja keskustella kybernetiikan perusteista Dr. Alan Turingin kanssa. Kun Wiener käsitteli alun perin kybernetiikkaa systeemiajattelun poh- jalta (engl. systems engineering), niin Alan Turingin ja professori John von Neumannin kybernetiikka käsitteli tietojenkäsittelytieteitä, tekoälyä ja robotiikkaa. 6

Norbert Wiener laajensi vuoden 1961 teoksestaan ja otti mukaan epälineaariset ongel- mat ja satunnaisuuden pyrkien niitä analysoimaan matemaattisesti. Lisäksi hän analysoi

5 Ståhle Pirjo. 2004. Itseuudistumisen dynamiikka - systeemiajattelu kehitysprosessien ymmärtämisen perustana, verkkodokumentti, 2004, s. 2. Porter Arthur. 1969. Cybernetics simplified, English University Press, London 1969, s. vii. Wiener Norbert. 1961. Cybernetics, Second Edition, the MIT Press and John Wiley & Sons, Inc, New York 6 Wiener Norbert. 1961. Cybernetics, Second Edition, the MIT Press and John Wiley & Sons, Inc, New York. Umpleby Stuart A. 2008. A Short History of Cybernetics in the United States, ÖZG 19.2008, pages 28-40.

9 tietokoneen kykyä oppia analyyttisesti kokemastaan luomalla teoriaa koneoppimisesta (engl. Learning and Self-reproducing).7

Eri kyberkäsitteiden määrittelyä vaikeuttaa niiden epäyhtenäinen käyttö. Kyber-sanaa käytetään yleensä yhdyssanan määriteosana. Sanan merkityssisältö liittyy yleensä digi- taalisessa muodossa olevan informaation käsittelyyn: tietotekniikkaan, digitaaliseen viestintään (tietoverkkoihin), tietojärjestelmiin tai tietokonejärjestelmiin. Yleensä vasta koko yhdyssanalla (määriteosan ja perusosan yhdistelmällä) voidaan ajatella olevan oma merkityksensä.8

Sanan kyberavaruus (engl. cyber space) otti käyttöön yhdysvaltalainen tieteiskirjailija William Gibson (1948- ) vuonna 1984 ilmestyneessä kirjassaan Neuromancer.9 Tieteis- kirjallisuudessa ja -elokuvissa gibsonilainen kyberavaruus - tai "matriisi" - esitetään glo- baalina informaation tietokoneverkkona, jossa data on koodattu kolmiulotteiseen, mo- niväriseen muotoon. Käyttäjä kytkeytyy kyberavaruuteen tietokonepäätteen kautta, jonka jälkeen hän voi "lentää" itseään edustavassa kyberruumiissa halki kyberavaruuden tai tutkia tiettyjä alueita kaupungissa menemällä dataa esittävien rakennusten sisään.

Kyberavaruus on tavallisin virtuaaliympäristöistä käytetty nimitys teknologisen tutki- muksen ulkopuolella. Gibsonilaisella kyberavaruudella tarkoitetaan tavallisesti kolmi- ulotteisena näyttäytyvää tietoverkkoa, johon käyttäjä voi kytkeytyä puhelin- tai kaapeli- verkkoa pitkin ja liikkua siellä virtuaalisesti. Kyberavaruus olisi toisin sanoen internetin ja virtuaalitodellisuuden yhteen sulautuma - monen käyttäjän virtuaaliympäristö. Tekes- raportin määritelmän mukaan kyberavaruus on "tieteisromaanityyppinen nimitys syn- teettiselle todentuntuiselle usean käyttäjän yhteiselle tilalle, jossa tietokonedataa esite- tään jokaiselle ja useille aisteille".

Kyberavaruus on siis eräs virtuaalitodellisuuden osa-alue, joka on kokonaan keinotekoi- nen tietokoneen generoima. Kyberavaruuden termiä käytetään kirjallisuudessa kuiten- kin myös tästä poiketen virtuaalitodellisuuden yläkäsitteenä. Featherstonen ja Burrow- sin poikkeuksellisen määritelmän mukaan kyberavaruus on yleiskäsite, jonka variantteja ovat "barlovilainen" kyberavaruus eli kansainvälinen tietokoneverkko, virtuaalitodelli- suus eli tietokoneen generoima näkö-, kuulo- ja tuntoaistimukseen perustuva multime- diaesitys sekä gibsonilainen tieteiskirjallisuuden kyberavaruus.10 Myös Michael Heim käyttää virtuaalitodellisuuden sijasta mieluummin yleiskäsitettä kyberavaruus, joka voi sisältää monia virtuaalimaailmoja.11

7 Wiener Norbert. 1961. Cybernetics, Second Edition, the MIT Press and John Wiley & Sons, Inc, New York. 8 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea. 9 Gibson William. 1984. Neuromancer, the Berkley Publishing Group, New York. 10 Featherstone Mike, Burrows Roger. 1995. Cyberspace/cyberbodies/cyberpunk: cultures of technologi- cal embodiment, SAGE Publications Ltd., London. 11 Heim Michael. 1993. The Metaphysics of Virtual Reality, Oxford University Press, New York.

10

Yhdysvaltain puolustusministeriö määrittelee kyberavaruuden ”globaaliksi, informaatio- ympäristön sisäiseksi alueeksi, joka koostuu keskinäisriippuvaisista informaatioteknolo- giainfrastruktuureista ja niissä sijaitsevasta datasta, mukaan lukien internet, telekom- munikaatioverkot, tietokonejärjestelmät, sekä näihin sisältyvät prosessorit ja hallinta- laitteet.”12

Kuehl määrittelee kyberavaruuden ”globaaliksi, informaatioympäristöön kuuluvaksi alu- eeksi, jonka erityistä ja ainutlaatuista luonnetta kehystää elektroniikan ja elektromag- neettisen spektrin käyttö informaation luomiseen, varastointiin, muokkaamiseen vaih- tamiseen ja hyödyntämiseen toisistaan riippuvaisten ja keskenään kytkettyjen verkkojen kautta käyttäen informaatiokommunikaatioteknologioita”.13

Kybertoimintaympäristö (engl. cyber environment) on yhdestä tai useammasta digitaa- lisesta tietojärjestelmästä muodostuva toimintaympäristö. Kybertoimintaympäristölle on tunnusomaista elektroniikan ja sähkömagneettisen spektrin käyttö datan ja infor- maation varastointiin, muokkaamiseen ja siirtoon viestintäverkkojen avulla. Ympäris- töön kuuluvat myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet. Esi- merkkejä kybertoimintaympäristöistä ovat tietojärjestelmiin perustuvat ydinvoimalan ohjausjärjestelmä, elintarvikkeiden kuljetus- ja logistiikkajärjestelmä, liikenteen ohjaus- järjestelmät sekä pankki- ja maksujärjestelmät.14

Kyberdomain (engl. cyber domain) viittaa yleensä sotilaalliseen kybertoimintaympäris- töön15. Usein kyberdomain esitetään vastaavana toimintaympäristönä kuin maa, meri, ilma ja avaruus.

Kybermaailma, -avaruus, -domain, -ekosysteemi, -toimintaympäristö ja -kulttuuri voi- daan määritellä seuraavalla tavalla:

- Kybermaailma: inhimillisen postmodernin olemassaolon oleminen maapallolla - Kyberavaruus: bittien muodostama dynaaminen ja verkottunut artefaktinen tila - Kyberdomain: määritellyillä rajoilla varustettu ja jonkun hallinnassa oleva toi- minta-alue - Kyberekosysteemi: kybersysteemien, -toimijoiden ja -toimintaympäristön muo- dostama kokonaisuus - Kybertoimintaympäristö: ihmisten, organisaatioiden ja fyysisten systeemien muodostama vaikutusympäristö - Kyberkulttuuri: yhteisön tai koko ihmiskunnan henkisten ja aineellisten kyber- maailman saavutusten kokonaisuus

12 Congressional Research Service. 2020. Defense cyberspace operations. https://fas.org/sgp/crs/natsec/IF10537.pdf 13 Kuehl, D.T. 2009. From cyberspace to cyberpower: defining the problem. Teoksessa F. D. Kramer, S. Starr & L. K. Wentz (toim.), Cyberpower and national security (s. 24–42). Washington D.C.: National De- fense University Press. 14 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea. 15 Joint Publication 1-02. 2010. Department of Defense (DoD) Dictionary of Military and Associated Terms.

11

1.2 Digitaalinen kybermaailma

Digitalisaatiosta on tullut yhä tärkeämpi osa yritysten ja ihmisten toimintaa. Digitaali- suus on tänä päivänä myös yhä syvemmällä ihmisten ja yritysten arjessa; digitaaliset palvelut helpottavat yritysten ja ihmisten arkea ja elämää. Digitaalisuuteen pohjautu- via innovaatiomahdollisuuksia syntyy yhä enemmän. Näköön, kuuloon ja kosketukseen perustuvat teknologiat luovat uusia mahdollisuuksia ja tapoja käsittää maailma ja olla yhteyksissä maailman kanssa aivan uudella tavalla. Tavaroista ja palveluista tulee älyk- käämpiä ja ne liittyvät toisiinsa sekä ihmisiin aivan uusilla tavoilla. Myös yritykset voi- vat luoda syvempiä reaaliaikaisia suhteita kumppaneihin, asiakkaisiin, palvelun- ja tava- rantoimittajiin sekä julkishallintoon. Samaan aikaan digitalisaation seurauksena syntyy yhä uudenlaisia uhkia. Digitaalinen kybermaailma houkuttelee rikollisia, jotka etsivät uusia mahdollisuuksia varastaa, hyödyntää ja myydä tietoa. Tiedon ja informaation siir- tyminen verkkoon on tuonut sinne myös tiedusteluorganisaatiot. Terroristeille kyber- maailma on yhteydenpidon, viestinnän ja vaikuttamisen toimintaympäristö, minkä li- säksi se on heille houkutteleva hyökkäyskohde. Asevoimien digitalisaatio on luonut so- tilaallisen kybermaailman, jossa vaikuttavat verkottuneiden sotilaiden lisäksi älykkäät ja yhä itsenäisemmät asejärjestelmät. 16

Digitaalinen murros perustuu ihmisten muuttuneisiin odotuksiin, yhteiskunnan palve- lurakenteiden ja -tuotannon kasvaneisiin tehokkuusvaatimuksiin ja teknologioiden tar- joamiin mahdollisuuksiin. Uudet teknologiat, työkalut ja toimintatavat muuttavat ih- misten tapaa toimia arjessa ja työssä, organisaatioiden tapaa toteuttaa tehtäviään ja julkishallinnon tapaa tuottaa palveluita.17

Modernin yhteiskunnan toiminta perustuu kansallisen kriittisten infrastruktuurin usei- den eri osien yhteistoimintaan. Niiden keskinäinen toimintakyky riippuu yhä enemmän kyberturvallisista ja korkean käyttövarmuuden omaavista sähköjärjestelmistä ja tie- donsiirtoverkostoista sekä muista luotettavista ja tietosisällöltään eheistä hallinnon ja kansalaisten palveluista. Teknologinen kehitys on johtanut tuotannon, palvelujen ja koko yhteiskunnan digitalisoitumiseen, verkostoitumiseen ja keskinäisten riippuvuuk- sien kasvuun. Kyse on myös kansalaisten luottamuksen ylläpitämisestä yhteiskunnan toimintaan. Kyberhyökkäykset, haittaohjelmat, palvelunestohyökkäykset ja erilaiset in- formaatiovaikuttamisen muodot lisääntyvät jatkuvasti. Tämän kehityksen vuoksi on li- sättävä edelleen varautumista kyberuhkiin ja -häiriötilanteisiin, jotka vaarantavat yh- teiskunnalle välttämättömien tietoteknisten järjestelmien ja rakenteiden toimivuutta jo normaalioloissa. Suomalaisen yhteiskunnan ja yritysten riippuvuus kybertoimin- taympäristöstä kasvaa entisestään tulevina vuosina.

Digitalisaatiokehitys on ollut nopeaa: • Vuonna 1998 3,6 prosenttia maailman väestöstä käytti internettiä. Nyt käyttäjiä on noin 4,66 miljardia (59,0 %).

16 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212. 17 Ibid.

12

• Päivittäin maailmalla lähetetään yli 200 miljardia sähköpostiviestiä, 500 miljoo- naa twiittia ja käytetään Googlen hakukonetta 3,5 miljardia kertaa. • Matkapuhelinten käyttäjiä maailmassa on yli 6,95 miljardia (89,1 %). • Älypuhelinten käyttäjiä maailmassa on yli 3,5 miljardia. • Vuonna 2020 maailmassa yli 30 miljardia verkkoon kytkettyä laitetta. Vuonna 2025 arvioidaan olevan yli 75 miljardia IoT-laitetta (engl. Internet-of Things).

Raha on suuremmaksi osaksi bitteinä avaruudessa, samoin sähkön- ja vedenjakelu sekä tieto. Siinä, missä vuonna 2003 yhteensä 25 prosenttia kaikesta maailman tiedosta oli tallennettu sähköisesti, on luku tänä päivänä jo 99 prosenttia.

Kybermaailmassa muutosajureita on useita, niistä keskeisin on aika. Kyberhyökkäyksen valmistelu on mahdollista toteuttaa salassa ja pitkän ajan kuluessa, mutta itse hyök- käys voidaan toteuttaa erittäin lyhyessä ajassa. Tammikuussa 2003 verkkomato Slam- mer levisi noin 10 minuutissa hyökkäyksen aloittamisesta arviolta 90 prosenttiin suun- nitelluista kohteista (internettiä ohjaavat palvelimet). Slammer aiheutti internetin toi- minnan maailmanlaajuisen hidastumisen. Arvioiden mukaan Slammer-verkkomadon kustannukset nousivat 750 miljoonaan euroon.

Lähes 15 vuotta myöhemmin toukokuussa 2017 levisi internetin kautta WannaCry ki- ristys-haittaohjelma, joka saastutti yli 200 000 konetta yli 150 maassa muutamassa vuorokaudessa. Arvioiden mukaan hyökkäyksen taloudelliset menetykset voivat nousta 4 miljardiin dollariin.

Tietoverkkoihin ja -järjestelmiin kohdistuu yhä enemmän kohdistettuja hyökkäyksiä, tietoturvaloukkauksia sekä haittaohjelmatartuntoja. Vuosien 2012–2020 aikana vuo- den aikana havaittujen haittaohjelmien määrä on kasvanut 100 miljoonasta yli 1,1 mil- jardiin. Verkosta löydetään noin 400 000 uutta haittaohjelmaa joka päivä ja noin 2,5 miljoonaa vanhojen haittaohjelmien variantteja. Hyökkäyksiä kohdistetaan kansallisiin salassa pidettäviin tietoihin, aineettomiin pääomiin, henkilötietoihin ja kriittisen infra- struktuurin toimintoihin. Tiedusteluorganisaatiot pyrkivät keräämään heitä kiinnosta- vaa tietoa poliittisen, taloudellisen tai sotilaallisen edun saavuttamiseksi.

Nykyään taloudellisiin hyötyihin tähtäävien kyberrikollisten ja kehittyneiden valtion sponsoroimien hyökkääjien toiminta ja kyvykkyystaso eivät ole vain hämärtyneet - niitä ei enää ole olemassa. Kyberhyökkäystekniikat ja -työkalut ovat laajasti levinneet eri motivaatioilla toimivien kyberhyökkääjien käyttöön. On tapahtunut konvergenssi, jossa toimijoiden nimeäminen (attribuutio-ongelma) ja heidän motivaationsa paljastaminen yhä vaikeampaa.

Kybertoimintaympäristön ominaisuuksiin kuuluu kehityksen suuri nopeus, tapahtu- mien hektisyys ja eri järjestelmien kompleksisuus. Informaatioteknologian kehityssykli on lyhyt ja sama trendi koskee eri kyberhyökkäysmuotoja ja haittaohjelmia. Kybertoi- mintaympäristölle on leimallista muutosnopeus, mikä edellyttää kaikelta toiminnalta nopeaa reagointikykyä – ketteryyttä, sekä varautumista myös tilanteisiin, joita ei täysin kyetä ennakoimaan.

13

Tulevaisuuden digitaaliset palvelut perustuvat ihmisten, innovatiivisten toimijoiden ja älykkäiden koneiden ekosysteemiin. Kehittyvässä digitaalisessa yhteiskunnassa mahdol- lisuuksien tila laajenee. Tilaa laajentavat kyberfyysiset toisiinsa kytkeytyneet järjestel- mät, vuorovaikutteisuus, itse tuottaminen ja jakaminen, sekä koneiden älykkyyden ja kyvykkyyden kasvu. Digitaalitalouden kehitystä edistävät kansalaisten identiteetin ja tie- tokäytäntöjen siirtyminen verkkoon sekä organisaatioiden palvelurakenteiden digitali- saatio yhdistettynä luottamukseen systeemin turvallisuudesta. Näin muodostuu digitaa- linen alustatalous, jossa elementteinä ovat teollinen internet, erilaiset sosiaalisen me- dian ja viestinnän alustat sekä hajautetut ja yhteisölliset palvelut. Kansalaisten elämä pyöriikin yhä enemmän ja enemmän interaktiivisten älypuhelinten, -tietokoneiden, -so- vellusten, -autojen ja -kotien ympärillä. Samalla se tarkoittaa sitä, että myös rikollisuus aina omaisuusvarkauksista verkkovakoiluun siirtyy kyberaikaan.18

Kuviossa 1 on esitetty kybermaailman viitekehys. Siinä kyberturvallisuus ja kyberpuolus- tus ovat osa kansallista kokonaisturvallisuutta.

KUVIO 1 Kybermaailman viitekehys

1.3 Internetin rakenne

Internet on maailmanlaajuinen toisiinsa kytkettyjen tietoverkkojen järjestelmä, joka käyttää internet-protokollaa (TCP/IP) yhdistämään tietoteknisiä laitetta toisiinsa. Se on tietoverkkojen tietoverkko, joka koostuu eri kokoisista miljoonista yksityisistä, julkisista, akateemisista, liike-elämän sekä valtiohallintojen tietoverkoista, jotka kytkeytyvät toi- siinsa erilaisten teknisten laitteistojen avulla (esim. langattomat ja optiset verkkotekno-

18 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212.

14 logiat). Internetissä on laaja valikoima erilaisia tietovarantoja ja -palveluita, kuten esi- merkiksi web-sivut, sähköposti, puhelinpalvelut, verkkopankki ja tiedostojen jakamiseen käytetyt vertaisverkot.

Suurimmalle osalle internetin käyttäjistä internet on näkyvä palvelu, jota he käyttävät päivittäin. Todellisuudessa internet on monikerroksinen teknologisten ratkaisujen, pro- tokollien, sisällön, laitteiden (engl. hardware) ja ohjelmistojen (engl. software) muodos- tama ekosysteemi.19

Ensimmäinen Internetin kerros on Surface Web, Internetin näkyvä osa eli pintaverkko, jota ihmiset käyttävät päivittäin. Se on julkinen ja avoin internetin pintakerros, johon on pääsy kaikilla web-selaimille kuten Mozilla Firefox, Microsoft Edge tai Google Chrome.20

Toinen kerros on Deep web eli pinnan alla oleva salatumpi internetin kerros, jonne ei ole pääsyä web-selaimien hakutoiminnoilla ilman erillistä URL- tai IP-osoitetta tai sala- sanaa. Palveluita voidaan kuitenkin käyttää tavanomaisilla web-selaimilla. Vaikka Deep web ei näy hakukonepalveluissa, siihen kuuluu suuri määrä julkisia ja tavallisilla se- laimilla saavutettavia verkkosivuja, esimerkiksi Suomen julkisten kirjastojen virtuaalis- ten kortistojen sisältö. Samoin tyypillisiä Deep webin osia ovat monet maksumuurein suojatut verkkosivut. Deep webiin kuuluvat myös esimerkiksi sellaiset verkkokeskuste- lufoorumien alueet, jotka eivät ole lainkaan selattavissa ilman jäseneksi rekisteröity- mistä ja sisäänkirjautumista. Deep Web ei käytä yleisimpiä domain-selaimia (TLDs) ku- ten .com, .gov, tai .edu., jotta hakukoneet eivät löydä reittejä sivustoille. 21

Kolmas internetin kerros on Dark web, internetin pimeä osa, jonne päästäkseen on käy- tettävä erityisiä sovelluksia. Dark webin osia ovat esimerkiksi Tor, I2P ja Freenet. Tor- verkon (engl. The Onion Router) kehitti Yhdysvaltojen laivasto 1990-luvulla anonyymin yhteydenpidon mahdollistamiseksi verkossa. Se on serverien verkosto, joita pitkin tieto- pyynnöt kulkevat salaten samalla IP-osoitteet. Tor-selaimen ja Tor-verkon käyttö mah- dollistaa pääsyn sellaisille sivustoille, jotka olisivat muuten estetty. Tor-verkon käyttö estää sivustojen evästeasetusten tallennuksen ja siten selaushistorian seuraamisen sekä IP:n sijaintihistorian tallennuksen. Dark webissä toimitaan anonyymisti. Pimeä verkko on tullut tunnetuksi rikollisesta toiminnasta mutta tästä huolimatta pimeä verkko ei ole lai- ton vaan sitä voi periaatteessa hyödyntää kuka vain. 22

Kuvio 2 kuvaa internetin kolmea kerrosta ja niiden osuutta koko internetistä.23

19 Global Commission on Internet Governance 2016. 20 Center for Internet Security (CIS). 2020. 21 Ibid. 22 Ibid. 23 https://libguides.spokanefalls.edu/c.php?g=879387&p=6316729

15

KUVIO 2 Internetin kolme kerrosta

1.4 Esineiden internet

1.4.1 Määrittelyjä

Vuonna 1999 Kevin Ashton loi termin "esineiden Internet". Teknologia sai kuitenkin vauhtia 2010-luvun alussa, jolloin Gartnerin raportti lisäsi sen uusien nousevien teknii- koiden luetteloon. Esineiden internet (engl. Internet of Things, IoT) tarkoittaa esineiden liittämistä internetiin. Internetin välityksellä laitteet voivat jakaa tietoa toisilleen sekä vastaanottaa tietoa. Sensorit voivat kerätä tietoa fyysisestä ympäristöstä. Tiedon perus- teella laitteet voivat toimia itsenäisesti tai osana laajempaa järjestelmää, eli osa lait- teista on kaksisuuntaisia. Ne eivät pelkästään tuota dataa vaan saavat ulkopuolelta da- taa, käsittelevät sitä ja data ohjaa niiden toimintaa. Teknisesti IoT-järjestelmä koostuu joko langattomasta tai kiinteästä verkosta ja siihen kytketyistä laitteista. IoT-laite voi olla lähes mikä tahansa fyysinen laite. 5G on suunniteltu erityisesti esineiden internetin tar- peita ajatellen tarjoten korkean kapasiteetin ja lyhyet viiveet.

IoT-laitteet voivat toimia ja kommunikoida itsenäisesti, muodostaen älykkäitä systee- mejä. Jokaisella IoT-laitteella on yksilöllinen tunniste (engl. Unique Identifier, UID), joka tekee siitä tunnistettavan. IoT-sovelluksia on tällä hetkellä viisi tyyppiä:24

24 Maayan Gilad David. 2020. The IoT Rundown For 2020: Stats, Risks, and Solutions, Security today, on- line blog, Jan 13, 2020.

16

• Kuluttajien esineiden internet (engl. Consumer IoT): esimerkiksi valaisimet, ko- dinkoneet ja ääniapu vanhuksille. • Kaupallinen IoT (engl. Commercial IoT): sovelluksia terveydenhuolto- ja liikenne- teollisuudessa, kuten älykkäät sydämentahdistimet, valvontajärjestelmät ja ajo- neuvojen välinen viestintä (V2V). • Teollinen esineiden internet (engl. Industrial Internet of Things IIoT): sisältää esi- merkiksi digitaaliset ohjausjärjestelmät, tuotannon tietojen keräys sensoreista, älykkään maatalouden ja teollisen Big datan. • Infrastruktuuri IoT (engl. Infrastructure IoT): mahdollistaa älykkäiden kaupun- kien liitettävyyden infrastruktuuriantureiden, hallintajärjestelmien ja käyttäjä- ohjelmien avulla. • Sotilaallinen IoT (engl. Military IoT): IoT-tekniikoiden soveltaminen sotilasalalla, kuten valvontarobotit ja sotilailla käytettävät biometriset laitteet.

Esineiden internet voidaan jakaa kuuteen eri elementtiin (kts. kuvio 3), joilla on kaikilla omat tehtävänsä. Näitä ovat tunnistaminen, aistiminen, kommunikointi, laskenta, pal- velut sekä semantiikka. Tunnistaminen on kriittinen osa esineiden internettiä, jotta eri palvelut voidaan erottaa toisistaan. Erilaisia tunnistamistapoja on useita, esimerkiksi elektroninen tuotekoodi (engl. EPC) sekä uCode, jolla voidaan tunnistaa asioita yksilölli- sesti. Aistiminen liittyy datan keräämiseen eri objekteilta, ja sen käsittelyyn. Tämä käsit- tää yleisesti kaikki sensorit ja laitteen mitkä kykenevät aistimaan ympäristöään ja mit- taamaan sitä joillain keinoilla. Näitä voivat olla esimerkiksi verkkoon kytketyt lämpömit- tarit tai puettavat älylaitteet. Kommunikointi mahdollistaa laitteiden välisen kommuni- koinnin eri tekniikoiden avulla. Näitä tekniikoita ovat edellä mainittujen lisäksi IEEE 802.15.4, Z-wave sekä LTE-advanced ja Near Field Communication (engl. NFC), sen tie- donsiirtokyky on RFID:tä kehittyneempi. Laskennan tarkoituksena on toimia laitteen ai- voina, ja toteuttaa kaikki laskentaa vaativat tehtävät. Tämä elementti vaatii toimiakseen toimivat fyysiset komponentit sekä käyttöjärjestelmän, jotta kokonaisuutta voidaan hal- lita. Palveluiden avulla kerättyä dataa saadaan hyödynnettyä, näitä ovat esimerkiksi eri- laiset sovellukset, joiden avulla laitteiden keräämää dataa päästää tutkimaan sekä siir- tämään eteenpäin. Semantiikka mahdollistaa oman suppean tekoälyn laitteiden sisälle. Tämän avulla esineiden internet osaa toimia viisaasti sekä jakaa resurssinsa järkevästi.25

KUVIO 3 Esineiden internetin eri elementit (Al-Fuqaha et al., 2015)

25 Koshizuka, N., & Sakamura, K. 2010. Standards & Emerging Technologies Ubiquitous ID. Context, 9(4), 98–101. Al-Fuqaha, A., Guizani, M., Mohammadi, M., Aledhari, M., & Ayyash, M. 2015. Internet of Things: A Sur- vey on Enabling Technologies, Protocols, and Applications. IEEE Communications Surveys and Tutorials, 17(4), 2347–2376.

17

IoT laitteisiin liittyy haavoittuvuuksia, joista 10 tärkeintä ovat Open Web Application Se- curity Project (OWASP-2018) mukaan: 26

1. Heikot, helposti arvattavat ja julkisesti saatavilla olevat tai kovakoodatut salasa- nat. 2. Ei-turvalliset tai tarpeettomat verkkopalvelut, jotka saattavat altistaa arkaluon- teisia ja taloudellisia tietoja tietomurroille ja salakuuntelulle. 3. Ei-turvalliset ekosysteemiliitännät, kuten laitteiden ulkoiset rajapinnat. Tällaiset liitännät voivat vaarantaa laitteen ja sen komponentit. 4. Turvallisen päivitysmekanismin puute, kuten esimerkiksi salaamattomien tieto- jen siirtyminen ulkoisista lähteistä laitteeseen ja huono tietoturvan valvonta. 5. Ei-turvallisten tai vanhentuneiden komponenttien käyttö, kuten avoimen lähde- koodin ja kolmansien osapuolien komponentit, joita ei skannattu haavoittuvuuk- sien varalta.

1.4.2 IoT-botnet

IoT-botet on ohjelmistorobotti, joka asennettuna johonkin IoT laitteeseen (esim. valvon- takamera, älytelevisio tai -jääkaappi) alkaa etsiä muita haavoittuvia laitteita tarkoituk- sena tehdä niistä itsensä kaltaisia ”zombeja”. Leviämisprosessi on automatisoitu, eikä siihen tarvita ihmistä. Botnettiä hallitsee ns. botmaster, joka antaa käskyjä saastuneille laitteille, käynnistäen esimerkiksi DDoS hyökkäyksen valitsemaansa kohteeseen. Yhtey- denpito botteihin tapahtuu salattuja viestintämenetelmien avulla, mm. IRC (engl. Inter- net Relay Chat) protokollaa käyttäen. Botnetit voivat olla rakenteeltaan keskitettyjä tai hajautettuja. Keskitetyssä verkossa laitteilla on yksi ja sama komentokeskus, kun taas hajautetussa on useita komentokeskuksia. Hajautettua botnetiä on vaikeampi havaita ja pysäyttää mutta vastaavasti sen hallitseminen on hyökkääjälle monimutkai- sempaa. Perinteisen ja IoT-botnetin eroina on kaapattujen laitteiden lisäksi myös mene- telmät, miten laitteeseen päästää käsiksi, kuten käytetyt hyökkäysprotokollat. IoT-bot- netin muodostaminen on helpompaa yleensä heikomman suojauksen, pienemmän muistiin ja laskentatehon takia. Havaitseminen on vaikeampaa itsenäisen toiminnan ta- kia ja sen vaikuttavuus on suurempi, koska IoT botnet voi levitä nopeasti ja kasvaa hyvin laajaksi.27

Botnetin komponentit ovat seuraavat:28

26 Holopainen Ville. 2020. IOT - tietoturva, botnetit ja Mirai, ITKST41-loppuraportti Maayan Gilad David. 2020. The IoT Rundown For 2020: Stats, Risks, and Solutions, Security today, on-line blog, Jan 13, 2020. 27 Dange S. and Chatterjee M. 2019. IoT Botnet: The Largest Threat to the IoT Network. Conference Paper. Holopainen Ville. 2020. IOT - tietoturva, botnetit ja Mirai, ITKST41-loppuraportti 28 Holopainen Ville. 2020. IOT - tietoturva, botnetit ja Mirai, ITKST41-loppuraportti McAfee.2017. Threats Report. https://www.mcafee.com/enterprise/enus/ assets/reports/rp-quarterly-threats-mar-2017.pdf

18

• Bot: Saastunut laite, joka tartunnan jälkeen luo yhteyden botnetia ohjaavaan serveriin, skannaa verkosta avoimia Telnet ja SSH portteja, brute-force menetel- mää käyttäen pyrkii kirjautumaan laitteille ja toteuttamaan DDoS hyökkäyksiä. • Ohjausserveri: Hyökkääjän hallinnassa oleva serveri, jolla monitoroidaan kaapat- tuja IoT-botteja. ja josta hyökkääjä käynnistää DDoS hyökkäykset. • Skanneri: Ottaa vastaan tietoa skannatuista laitteista (IP-osoite ja kirjautumis- tunnukset), jotka se välittää latausserverille. • Latausserveri: vastaanottaa varastettujen laitteiden kirjautumistunnukset ja tä- män jälkeen lataa haittaohjelman IoT laitteelle.

Mirai- haittaohjelman avulla on muodostettu tunnetuin IoT-botnet toistaiseksi. Syk- syllä 2016 tehtiin DDoS hyökkäys (yltäen 1,2 Tbps liikenteeseen) kohdistuen DNS-pal- veluita tarjoavaan amerikkalaiseen Dyn yritykseen. Kaksivaiheinen hyökkäys aiheutti muutaman tuntien pituisia käyttökatkoja monille tunnetuille www-sivuille Pohjois- Amerikassa ja Euroopassa. Miran leviämismenetelmä oli hyvin tehokas ja pelkästään Telnet haavoittuvuuden kautta 380 000 loT-laitteen arvellaan joutuneen Mirain uh- riksi.29 Kuviossa 4 on esitetty Mirai botnetin arkkitehtuuri.

KUVIO 4 Mirai Botnet arkkitehtuuri (McAfee Labs Threats Report, 2017)

29 Holopainen Ville. 2020. IOT - tietoturva, botnetit ja Mirai, ITKST41-loppuraportti Dange, S. and Chatterjee, M. 2019. IoT Botnet: The Largest Threat to the IoT Network. Conference Paper.

19

2 KYBERMAAILMAN RAKENTEET

2.1 Kybermaailman rakennemalleja

Kybermaailma muodostuu erilaisista digitaalisessa muodossa olevan informaation käsit- telyyn tarkoitetuista tietoverkoista ja -laitteista, tietojärjestelmistä sekä niiden käyttä- jistä, käyttöympäristöistä ja toimintaprosesseista.

Kybermaailman kriittinen infrastruktuuri koostuu julkisinten ja yksityisten instituutioi- den verkostoista kuten vesi- ja viemäriverkostosta, kansanterveysjärjestelmästä, pelas- tuspalvelusta, hallinnosta, puolustusteollisuudesta, tieto- ja tietoliikennejärjestelmistä, energiaverkostosta, logistiikasta, pankki- ja rahoitusjärjestelmästä. Kriittisen infrastruk- tuurin vuoksi kyberpuolustus on yhteiskunnille välttämätöntä. Kyberavaruus fuusioi kaikki tietoliikenneverkot, tietokannat ja informaatiolähteet globaaliksi virtuaalisystee- miksi. Kyberkonflikti voidaan määritellä kyberavaruusperusteisiksi hyökkäyksiksi niin so- tilas- kuin siviili-infrastruktuuria vastaan. Yhdysvaltalainen Dr. James Mulvenon määrit- telee kyberkonfliktin ”laajamittaiseksi poliittisesti fokusoiduksi konfliktiksi, jossa käyte- tään hyökkäyksellisiä ja puolustuksellisia suorituskykyjä digitaalisten järjestelmien, verk- kojen ja infrastruktuurien häiritsemiseksi”.30

Kyberavaruuteen liittyy termejä, joita on vaikea määritellä jo kyberavaruuden luonteen vuoksi (anonymiteetti ja kiistämättömyys). Kybermaailman eri aktiviteettien tarkka määrittely on vaikeaa, koska niiden rajat ovat hämäriä ja päällekkäisiä. Kyberavaruus on ylikansallinen, josta aiheutuu suvereenisuus- ja turvallisuusristiriitoja kansallisvaltioiden välille. Kyberhyökkäysten potentiaalisen strategisen vaikutuksen vuoksi, voidaan myös kybersota määritellä.

Tässä uudessa virtuaalimaailmassa, johon kuuluvat sekä nopeasti kehittyvä teknologia että valtiolliset ja ei-valtiolliset toimijat, joudutaan kyberavaruutta määrittelemään myös suhteensa laillisuus- ja eettisyyskysymyksiin. Tärkein kyberkonflikteihin liittyvä lail- lisuuskysymys kohdistuu vaikutuksiin siviili-, sotilas- ja liiketoimintaverkostoissa. Merkit- tävä kysymys on se, milloin kyberhyökkäys voidaan tulkita aseelliseksi hyökkäykseksi ja milloin se on todellinen sotatoimi. Minkälaiset kyberhyökkäykset ovat sotarikoksia? Li- säksi tulisi tutkia mahdollisuuksia kansainvälisen yhteistyölle ja asevalvonnalle kybera- varuudessa. Lisäksi hallitukset joutuvat ottamaan kantaa ensi-iskuun kyberasein.31

30 Mulvenon James. 2005. Toward a Cyberconflict Studies Research Agenda, the IEEE Computer Society, 2005, s. 52-55. 31 Liaropoulos Andrew. 2010. War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Pro- ceedings of the 9th European Conference on Information Warfare and Security, Department of Applied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 177-182.

20

Eteläafrikkalaiset tutkijat (Council for Scientific and Industrial Research, Pretoria ja Uni- versity of Venda) ovat luoneet mallin kybermaailman tärkeimmistä rakenteista. Nämä rakenteet ovat:32

• Talous • Politiikka • Asevoimat • Psykologia • Informaatio

Tässä mallissa talouden rakenteet ovat merkittävä kyberuhkien kohde. Poliittiset raken- teilla on vastuu kansallisesta turvallisuudesta ja avoimen yhteiskunnan toimivuudesta. Asevoimien tehtävä on ylläpitää kansallista turvallisuutta ja suoja yhteiskuntaa kyberso- dankäynnin vaikutuksilta. Psykologisella ulottuvuudella on merkittävä vaikutus kyber- maailmassa. Psykologisin operaatioin voidaan vaikuttaa ihmisten ajatteluun ja käyttäy- tymiseen. Vallankumoukset Pohjois-Afrikassa osoittavat, mikä merkitys medialla on ih- misen ajatteluun. Informaatio on tärkein osa jokaisessa rakenteessa. Läntiset informaa- tioyhteiskunnat ovat riippuvaisia informaation olemassaolosta, sen luotettavuudesta ja saatavuudesta.33

Toiset tutkijat lisäävät kybermaailmaan vielä yhteiskunta- ja infrastruktuuridomainin. Yhteiskunta käsittää kansalaiset ja heidän tarpeensa ja odotuksensa digitaalisessa ym- päristössä. Infrastruktuuridomainiin kuuluvat sellaiset verkostot ja systeemit, kuten energia-, kuljetuslogistiikka-, yhdyskuntatekniikka-, elintarvikehuolto- ja terveys- ja hy- vinvointiverkosto.

Yhdysvaltalainen Prof. Martin C. Libicki on luonut kybermaailmaan rakenteen, jonka idea perustuu OSI-malliin (engl. Open Systems Interconnection Reference Model). OSI- malli kuvaa tiedonsiirtoprotokollien yhdistelmän seitsemässä kerroksessa. Kukin kerrok- sista käyttää yhtä alemman kerroksen palveluja ja tarjoaa palveluja yhtä kerrosta ylem- mäs.34 Soveltaen Libickin kybermaailman mallia nelikerroksista on mallinnettu viisiker- roksinen hierarkkinen verkostomalli, jossa kerroksina ovat fyysinen, syntaktinen, se- manttinen, palvelut ja kognitiivinen.

1. Fyysiseen kerrokseen kuuluvat tiedonsiirtoverkon fyysiset osat, kuten verkko- laitteet, kytkimet, reitittimet sekä kiinteät että langattomat yhteydet. 2. Syntaktinen kerros muodostuu erilaisista järjestelmien ohjaus- ja hallintaohjel- mista, liityntäteknologioista sekä toiminnoista, joilla verkkoon kytketyt laitteet

32 Grobler Marthie, van Vuuren Joey Jansen and Zaaiman Jannie. 2011. Evaluating Cyber Security Aware- ness in South Africa, Proceedings of the 10th European Conference on Information Warfare and Secu- rity, The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011, s. 114-115. 33 Ibid. 34 Libicki Martin C. 2007. Conquest in Cyberspace – National Security and Information Warfare, Cam- bridge University Press, New York 2007, s. 236-240.

21

ovat vuorovaikutuksessa keskenään, kuten verkkoprotokollat, virheenkorjaus, kättely jne. 3. Semanttiseen kerrokseen kuuluu käyttäjien ja operaattoreiden järjestelmissä oleva informaatio ja tietosisällöt sekä erilaiset käyttäjän hallinnassa olevien toi- mintojen ohjaus. 4. Palvelukerros sisältää erilaiset yksityiset ja julkiset sähköiset palvelukokonaisuu- det. 5. Kognitiivinen kerros kuvaa päätöksentekijän ja yksittäisen toimijan informaation ongelmanratkaisu- ja tulkintaympäristöä, maailmaa, jossa informaatiota tulki- taan ja muodostetaan henkilökohtainen tilannetietoisuus.

Kuviossa 5 on esitetty Libickin mallista kehitetty kybermaailman viisikerroksinen malli.

KUVIO 5 Kybermaailman viisi kerrosta

Kybertoimintaympäristön hierarkkista rakennemallia voidaan havainnollistaa käytän- nönläheisellä esimerkillä, jossa ihmisen identiteettiin kohdistuvat eri tekijät jakaantuvat rakennemallin kerroksille 35. Esimerkki perustuu tosiseikkaan, jonka mukaan tämän päi- vän digitaalinen maailma on luonut ihmiselle erilaisia digitaalisia ja virtuaalisia identi- teettejä. Digitaalinen maailma voidaan tällöin jakaa edellä kuvattuun viiteen kerrokseen, jotka ovat fyysinen-, syntaktinen-, semanttinen-, palvelu- ja kognitiivinen kerros. Näissä eri kerroksissa ihmisen digitaalinen identiteetti ilmenee eri tavoin. Fyysisessä kerrok-

35 Sartonen, M., Huhtinen, A-M., Lehto M. 2016. Rhizomatic Target Audiences of the Cyber Domain. Journal of Information Warfare, 15(4), 1–13. 2016.

22 sessa ovat ihmisen digitaaliset päätelaitteet, kuten älypuhelin tai tietokone. Syntakti- sessa kerroksessa käyttäjä ilmentyy IP-osoitteina, sähköpostiosoitteina, käyttäjätunnuk- sina ja useina virtuaali-identiteetteinä, joiden perusteella ihminen voidaan liittää tiet- tyyn fyysiseen laitteeseen tai käyttämäänsä palveluun. Semanttisessa kerroksessa sijait- see meidän henkilökohtainen datamme ja informaatiomme, jotka voivat olla digitaalisia kuva-, teksti- ja äänitiedostoja. Palvelukerroksessa olemme jäseninä erilaisissa sosiaali- sen median palveluiden verkostoissa, kuten Facebook- tai Twitter-ryhmissä, ystäväryh- missä, blogiverkostoissa jne. Virtuaalisen identiteettimme avulla voimme muodostaa erilaisia verkostoja, joissa toimimme kuhunkin verkostoon valitsemallamme identitee- tillä. Kognitiivisessa kerroksessa ilmennymme inhimillisinä olentoina, joihin voidaan vai- kuttaa kognitiivisin ja psykologisin menetelmin. Kognitiivisella tasolla ihmisellä on tietä- miseen ja ymmärtämiseen liittyvää ajattelua, johon liittyvät sekä emootiot että ratio- naalisuus sekä kyky tehdä havaintoja ja päätöksiä.

Nämä digitaalisen maailman kerrokset muodostavat kokonaisuuden, jossa jokaisessa kerroksessa vaikuttavat omat sääntönsä ja lainalaisuutensa. Noustessa fyysisestä ker- roksesta ylöspäin abstraktiotaso kasvaa ja ilmentymät laajentuvat. Näihin identiteettei- hin liittyy yksityisyys, joka tarkoittaa luonnollisen henkilön oikeutta suojautua ulkopuo- liselta puuttumiselta. Se tarkoittaa erityisesti kyberturvallisuuteen liittyvien riskien tun- nistamista rakenteessa kerroksittain, jolloin lopputuloksena on järjestelmätasoinen tar- kastelu. Viisikerroksista rakennemallia voidaan siten pitää järjestelmätason kuvauksena ja siten systeemikäsitteen viitekehyksenä organisaation digitaalisia rakenteita tarkastel- lessa.

2.2 Kyberuhkien määrittelyä

2.2.1 Kyberuhat yhteiskunnan näkökulmasta

Kyberuhka on mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku, joka koh- distuu kybertoimintaympäristöön ja toteutuessaan vaarantaa siitä riippuvaisen toimin- non. Kyberuhkat voivat aiheutua paitsi toteutuneista tietoturvauhkista myös digitaali- sessa viestintäympäristössä toteutettavista, yhteiskunnan turvallisuutta vaarantavista teoista. Kyberuhkat voivat kohdistua yhteiskunnan elintärkeitä toimintoja, kansallista kriittistä infrastruktuuria tai kansalaisia vastaan joko suoraan tai välillisesti. Ne voivat olla peräisin maan rajojen sisältä tai niiden ulkopuolelta. Esimerkkejä kybertoimintaym- päristöistä riippuvaisista toiminnoista ovat ydinvoimalan ohjaus, elintarvikkeiden kulje- tus ja logistiikka sekä liikenteen ohjaus. 36

36 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea.

23

Vastaavasti tietoturvauhka on mahdollisesti toteutuva haitallinen tapahtuma tai kehi- tyskulku, joka kohdistuu tietoturvaan ja toteutuessaan vaarantaa sen.37 Uhat yhteiskun- nan elintärkeitä toimintoja vastaan voivat kohdistua suoraan tai välillisesti kansallisia järjestelmiä ja/tai kansalaisia vastaan maan rajojen sisältä tai ulkoa.

Fyysisiä uhkia ovat: • Luonnon katastrofit (mm. maanjäristys, tsunami, tulivuoren purkaus, tulva) • Ympäristökatastrofit (mm. ydinlaskeuma, öljypäästö, kemikaalipäästö) • Laajat tekniset häiriöt tieto- ja viestintäjärjestelmissä • Perinteinen sota kineettisin asejärjestelmin • Terrorismi kineettisin asejärjestelmin • Kansalaistottelemattomuus (ilkivalta, sabotaasi)

Taloudellisia uhkia ovat: • Syvä kansantalouden lama • Syvä maailmantalouden lama • Kansallisen tai kansainvälisten rahoitusmarkkinoiden toimintahäiriö • Globaali tavaroiden ja palveluiden saatavuuden romahdus Kuviossa 6 on esitetty yhteiskunnan elintärkeiden toimintojen turvaaminen eri uhkia vastaan.38

KUVIO 6 Yhteiskunnan elintärkeiden toimintojen turvaaminen eri uhkia vastaan

37 Ibid. 38 Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia, Valtioneuvoston periaatepäätös, 2.11.2017.

24

Uhat voivat myös ilmentyä kaikissa kolmessa em. uhkaulottuvuudessa yhtä aikaa. Esi- merkiksi tavanomaiseen sodankäyntiin voidaan liittää kyberoperaatioita ja vastustajan talouden romahduttamiseen tähtääviä toimia. Terrorismissa voidaan fyysistä tuhoa ai- heuttaviin iskuihin liittää erilaisia operaatioita kybermaailmassa ja talousjärjestelmässä.

Häiriötilanteet voivat vaikuttaa ja levitä ulottuvuudesta toiseen. Esimerkiksi luonnonka- tastrofi voi aiheuttaa laajoja sähkön saantiin liittyviä häiriöitä. Nämä voivat aiheuttaa ongelmia maksuliikennejärjestelmiin ja elintarvikeketjun toimintaan, mitkä ongelmat voivat pitkittyessään johtaa kansalaistottelemattomuuteen.

2.2.2 Kyberuhkamalli motiivin perusteella

Kyberuhat voidaan jakaa kuusitasoiseen malliin, jossa luokittelu perustuu toimijoiden motiiveihin. Esitetty malli on laajennettu ja muokattu Dr. Myriam Dunn Caveltyn (Head of the New Risk Research Unit at the Center for Security Studies, Zürich) esittämästä viisitasoisesta rakennemallista.39

Tason 1 muodostaa kybervandalismi, johon kuuluvat hakkerointi, haktivismi ja kyber- parveilu. Ne saavat julkisuudessa paljon näkyvyyttä, mutta ovat yleensä vaikutuksiltaan suhteellisen lyhytaikaisia ja osin vaarattomia (pl. kyberparveilu, jossa internetin ja mat- kapuhelinten avulla kootaan ja johdetaan usein väkivaltaisia mielenosoituksia). Yksittäi- sen yrityksen tai yksilön tasolla toiminta saattaa aiheuttaa merkittäviäkin taloudellisia vahinkoja. Erilaisten anonymous -hakkeriryhmien toiminta on ollut vaikutuksiltaan aikai- sempaa tehokkaampaa.

Tason 2 muodostaa kyberrikollisuus. EU komissio määrittelee kyberrikollisuuden rikok- siksi, "jotka tehdään sähköisiä viestintäverkkoja ja tietojärjestelmiä hyödyntäen tai jotka kohdistuvat mainittuihin verkkoihin ja järjestelmiin". Tietoverkkorikollisuus voidaan ko- mission mukaan jakaa kolmeen alaryhmään. 1. Perinteiset rikollisuuden muodot, jotka on tehty käyttäen hyväksi sähköisiä vies- tintäverkkoja ja tietojärjestelmiä. Tällaisia rikoksia voivat olla erilainen häirintä, uhkailu tai taloudellinen hyväksikäyttö. 2. Laittoman sisällön julkaiseminen sähköisissä viestimissä, kuten lapsen seksuaali- seen hyväksikäyttöön tai rasismiin liittyvän materiaalin levittäminen sähköisissä viestimissä. 3. Rikokset, joita esiintyy ainoastaan sähköisissä verkoissa, kuten hyökkäykset tie- toverkkoa vastaan, palvelunesto tai hakkerointi.

Tason 3 muodostaa kybervakoilu. Kybervakoilu voidaan määritellä toimiksi, joilla han- kitaan salaisia tietoja (sensitiivinen, yksityisoikeudellinen tai turvaluokiteltu) yksityisiltä

39 Dunn Cavelty, Myriam. 2010. The Reality and Future of Cyberwar, Parliamentary Brief, 30th March 2010. Ashenden Debi. 2011. Cyber Security: Time for Engagement and Debate, Proceedings of the 10th Euro- pean Conference on Information Warfare and Security, The Institute of Cybernetics at the Tallinn Uni- versity of Technology Tallinn, Estonia, 7-8 July 2011, s. 15.

25 ihmisiltä, kilpailijoilta, ryhmiltä, hallituksilta ja vastustajilta poliittisen, sotilaallisen tai ta- loudellisen edun saavuttamiseksi käyttäen laittomia menetelmiä internetissä, verkoissa, ohjelmistoissa tai tietokoneissa.40

Tason 4 muodostaa kyberterrorismi, jossa tietoverkkoja käytetään hyökkäyksiin kriitti- siä informaatiojärjestelmiä kohtaan ja niiden kontrollointiin. Hyökkäysten tavoitteena on tuottaa vahinkoa ja levittää pelkoa ihmisten keskuuteen sekä painostaa poliittista johtoa taipumaan terroristien vaatimuksiin.41

Tason 5 muodostaa kybersabotaasi. Se on toimintaa, jossa hyökkääjä (valtiollinen toi- mija tai sen tukema ryhmittymä) operoi sotaa alemmalla tasolla. Tavoitteina voivat olla epävakauden aiheuttaminen kohdemaassa, offensiivisten kyberhyökkäyskykyjen testaa- minen, hybridioperaatioiden valmistelu tai sodan valmistelu. Esimerkkinä on Stuxnet- operaatio. Kyberuhka SCADA-verkoissa nousi otsikoihin Stuxnet-verkkomadon myötä vuonna 2010. Verkkomato pääsi Iranin ydinpolttoainerikastamoon ja sen sentrifugien taajuushallintajärjestelmään. Hallintajärjestelmän kautta vaikutettiin sentrifugien toi- mintaan niin, että rikastusprosessi epäonnistui nostamalla sentrifugien nopeus niin suu- reksi, että rikastusprosessi epäonnistui. Samalla valvontajärjestelmälle näytettiin aiem- min nauhoitettuja normaaleja arvoja, jotta sabotaasia ei huomattaisi.42

Tason 6 muodostaa kybersodankäynti, jolle käsitteelle ei ole yleisesti hyväksyttyä mää- ritelmää ja sitä käytetään hyvinkin laajasti kuvamaan valtiollisten toimijoiden operaati- oita kybermaailmassa. Meillä kybersodankäynti on tietoverkkoja ja niiden haavoittu- vuuksia hyödyntävä, valtioiden välinen vihamielinen toiminta43. Varsinainen kyberso- dankäynti edellyttää valtioiden välistä sotatilaa, jossa kyberoperaatiot ovat osa muita sotilaallisia operaatioita. Esimerkkinä tällaisesta voidaan pitää Venäjän ja Georgian vä- listä sotaa elokuussa 2008. Useat georgialaiset ja eteläossetialaiset verkkosivut joutuivat 8. elokuuta palvelunestohyökkäysten kohteiksi. Venäjän uutistoimiston RIA Novostin ja RussiaTodayn sivuille hyökättiin ja ne kaatuivat muutamaksi tunniksi 10. elokuuta.

Keväältä 2007 Viroon kohdistui verkkohyökkäysten sarja, jonka kohteina olivat kolmen viikon ajan mm. valtiojohto, poliisi, pankkilaitos, media ja yritysmaailma. Päätoiminta- muotoina olivat palvelunestohyökkäykset, joiden kohteina olivat mm. web- serverit, e- mail- serverit, DNS- serverit ja reitittimet. Tätä hyökkäystä ei voida pitää varsinaisena kybersodankäyntinä vaan se oli enemmän ilmentymä kybersabotaasista.

Kuviossa 7 on esitetty kyberuhkien rakennemalli.

40 Liaropoulos Andrew. 2010., War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Pro- ceedings of the 9th European Conference on Information Warfare and Security, University of Macedonia Thessaloniki Greece 1-2 July 2010. 41 Beggs Christopher. 2006. Proposed Risk Minimization Measures for Cyber-Terrorism and SCADA Net- works in Australia, Proceedings of the 5th European Conference on Information Warfare and Security, National Defence College, Helsinki, Finland, 1-2 June 2006. 42 Zetter Kim. 2014. Countdown to Zero day, Broadway Books, New York. 43 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea.

26

KUVIO 7 Kyberuhkien rakennemalli

2.3 Kybermaailman haavoittuvuuksia

2.3.1 Määrittelyjä

Haavoittuvuus voi olla mikä tahansa heikkous, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamisessa. Haavoittuvuuksia voi olla tietojärjes- telmissä, prosesseissa ja ihmisen toiminnassa.44

Ohjelmistohaavoittuvuus viittaa organisaation jonkin tärkeän resurssin tai tiedon (engl. asset) tunnettuun heikkouteen, jota yksi tai useampi hyökkääjä voi hyödyntää. Nolla- päivä-haavoittuvuus (engl. zero-day) on ohjelmistojen turvallisuusongelma, jonka joku on löytänyt tai jonka ohjelmistotoimittaja tuntee, mutta jolle ei ole korjaustiedostoa vian korjaamiseksi. Nollapäivän hyväksikäyttö (engl. zero-day exploit) tarkoittaa nolla- päivähaavoittuvuuden käyttämistä hyökkäykseen. Tietojärjestelmien haavoittuvuudet muuttuvat jatkuvasti päivitysten ansiosta. Kun haavoittuvuus löydetään, niihin julkais- taan paikkaus (engl. patch) yleensä suhteellisen nopeasti. Paikkausten ikä määritetään päivinä paikkausten julkaisusta. Nollapäivähaavoittuvuus on nimensä mukaisesti haa- voittuvuus, jonka paikkaus on julkaistu nolla päivää sitten, eli ei vielä lainkaan. Vuonna 2006 julkaistun tutkimuksen mukaan paikkausaikojen keskiarvo oli 56,5 päivää ja medi- aani 19 päivää. Suuri keskiarvo johtuu siitä, että joidenkin paikkausten julkistaminen vei vuosia.45

44 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea. 45 Arora, A., Krishnan, R., Telang, R., & Yang, Y. 2006. An empirical analysis of software vendors' patching behavior: Impact of vulnerability disclosure. ICIS 2006 Proceedings, 22.

27

Yksittäinen nollapäivähaavoittuvuus ja sen hyväksikäyttö antavat hyökkääjälle mahdol- lisuuden ajaa omaa koodiaan hyökkäyksen kohteena olevassa koneessa. Hyökkääjä ha- luaa yleensä pääkäyttäjän oikeudet (engl. root access), mutta myös alemman tason oi- keuksilla tai rajatummalla pääsyllä voi suorittaa haluamansa työn. Nykyisin ohjelmistot rakennetaan modulaarisiksi ja kerroksellisiksi, joka vaikeuttaa hyökkääjän pääsyä ko- neelle.46

Pelkästään nollapäivähaavoittuvuuden tunteminen ei auta, vaan haavoittuvuudelle pi- tää rakentaa sitä hyväksikäyttävä hyökkäystapa (engl. exploit) ja sen jälkeen suunnitella varsinainen hyökkäys. Hyökkäyksessä saadaan tietyt oikeudet hyökättävälle koneelle ja pystytään ajamaan koneella omaa koodia. Nollapäivähaavoittuvuudet ja niitä hyväksi- käyttävät hyökkäykset maksavat niin paljon, että niitä käyttävät yleensä vain valtiolliset toimijat. Vuosina 2012–2015 FireEye löysi 26 valtiollisiksi epäiltyä nollapäivähaavoittu- vuuksia hyväksikäyttävää hyökkäystä ja vuosina 2016–2019 30 hyökkäystä.47

Yleisesti haavoittuvuudet ovat ohjelmistoissa tai käyttöjärjestelmissä havaittuja tahat- tomia puutteita. Haavoittuvuudet voivat olla seurausta virheellisistä tietokone- tai tie- toturvakonfiguraatioista ja ohjelmointivirheistä. Jos niitä ei korjata, haavoittuvuudet luovat Järjestelmässä olevia heikkouksia, joita kyberrikolliset voivat hyödyntää. Haavoit- tuvuuksien testaaminen on ratkaisevaa järjestelmien jatkuvan turvallisuuden varmista- miseksi tunnistamalla heikkouksia ja kehittämällä nopeaa reagointi- ja paikkauskykyä.

Kyberturvallisuudessa uhka, haavoittuvuus ja riski muodostavat toisiinsa liittyvän koko- naisuuden. Lähtökohtana on jokin arvoa sisältävä fyysinen esine, tieto, osaaminen tai muu immateriaalinen oikeus (engl asset), joka halutaan suojata ja turvata. Uhka (engl. threat) on jokin haitallinen kybermaailman tapahtuma, joka saattaa tapahtua. Uhan nu- meerinen arvo on todennäköisyys. Haavoittuvuus (engl. vulnerability) on järjestelmässä oleva heikkous, joka lisää tapahtuman todennäköisyyttä tai kasvattaa sen aiheuttamia vahinkoja. Vaikutusarviossa otetaan huomioon omaisuuden edustama arvo organisaa- tiolle ja seuraukset, kun omaisuuden luottamuksellisuus, eheys, saatavuus tai yksityisyys vaarantuu uhkan kautta.48

Kuviossa 8 on kuvattu malli haavoittuvuuden suhteesta uhkaan, riskiin, suojattavaan kohteeseen ja vastatoimenpiteisiin.

46 Wang, J. & Williams, M. Zero-Day Vulnerabilities: How Do You Stop a Threat You Can't See Coming? DZone, 2017. 47 Metrick, K., Semrau, J. & Sadayappan, S. (2020). Intelligence for Vulnerability Management. FireEye. 48 ENISA, Threat Landscape, Responding to the Evolving Threat Environment, September 2012.

28

KUVIO 8 Kyberuhkien keskinäisvaikutusmalli (ENISA, 2012)

Haavoittuvuus voidaan jakaa ihmisten toiminnassa (engl. people), prosesseissa (engl. processes) tai teknologiassa (engl. technology) ilmentyviin. Tätä haavoittuvuuskokonai- suutta kuvataan yleensä käsitteellä PPT (engl. People-Processes-Technology). Riski viit- taa mahdolliseen menetykseen tai vahingoittumiseen, kun hyökkääjä hyödyntää haa- voittuvuutta eli uhka realisoituu. Esimerkkejä riskeistä ovat taloudelliset tappiot, jotka johtuvat liiketoiminnan häiriöistä, yksityisyyden menetyksestä, maineesta johtuvista va- hingoista, oikeudellisista seurauksista ja voivat jopa sisältää ihmishenkien menetyksiä. Lisäksi järjestelmän toiminnan palauttaminen aiheuttaa merkittäviä kustannuksia. Riski voidaan määritellä myös seuraavasti: Riski = Uhka x Haavoittuvuus. Riski (engl. risk) on siis vahingon odotusarvo.

ICT-järjestelmien kompleksisuus tekee mahdottomaksi kokonaan eliminoida haavoittu- vuuksia sekä havaita ja jäljittää tunkeutumisia systeemin sisälle. Verkottuminen lisää te- hokkuutta ja suorituskykyä, mutta samalla se lisää kyberturvallisuutta vaarantavia haa- voittuvuuksia.

Kuviossa 9 on esitetty tyypillisiä toimintaan liittyviä haavoittuvuuksia sijoitettuna aiem- min esitettyyn viisiportaiseen kyberrakennemalliin.49

49 Lehto Martti. 2014. Kybertaistelu ilmavoimaympäristössä, Kybertaistelu 2020 (Tuija Kuusisto Edit.) MPKK, Taktiikan laitos, julkaisusarja 2, n:o 1, 2014, s. 157–178.

29

KUVIO 9 Kybertoimintaympäristön haavoittuvuuksia

Yhteiskunta on yhä riippuvaisempi ohjelmistosta, tietokonelaitteistosta ja verkottu- neesta toiminnasta ja siksi ICT-järjestelmät ja informaatioperustaiset järjestelmät ja toi- minnat ovat kyberhyökkäysten kohteita.

ICT-järjestelmien kompleksisuus tekee mahdottomaksi kokonaan eliminoida haavoittu- vuudet sekä havaita ja jäljittää tunkeutumiset systeemin sisälle. Verkottuminen lisää te- hokkuutta ja suorituskykyä mutta samalla se lisää kyberturvallisuutta vaarantavia haa- voittuvuuksia.

2.3.2 Ohjelmistohaavoittuvuudet

Missä tahansa ohjelmistossa voi olla virheitä, jotka altistavat ohjelman ja tiedon tieto- turvaloukkauksille. Ohjelmiston haavoittuvuus on virhe ohjelman koodaamisessa, kon- figuroinnissa tai hallinnoinnissa. Ohjelma voi olla algoritmi, sovellus, käyttöjärjestelmä, selain yms. Tällöin puhutaan haavoittuvuuksista, jotka saattavat mahdollistaa haittaoh- jelmien levityksen, pääsyn käsiksi salassa pidettäviin tietoihin tai vaikka ohjelmiston toi- minnan estämisen. Carnegie Mellon yliopiston CyLab Sustainable Computing Consor- tium on arvioinut, että ”kaupallisessa ohjelmistossa on 20–30 koodivirhettä jokaista 1000 koodiriviä kohden. Applied Visions, Inc. arvioi, että vuosittain koodataan 111 mil- jardia riviä uutta ohjelmistokoodia, joka sisältää miljardeja haavoittuvuuksia.

30

Hakkerit käyttävät haavoittuvuuksia ohjelmistohyökkäyksissä pakottaakseen järjestel- mät antamaan heille pääsyn luvattomaan dataan, haitallisen koodin suorittamiseen, etähallinnan hankkimiseen tai saamaan järjestelmä levittämään tartuntaa.

Ohjelmistohaavoittuvuuden hyväksikäyttö voi olla osa varsinaista haittaohjelman levit- tämis- tai aktivoitumismekanismia. Lisäksi alemman tason oikeuksilla aktivoitunut hait- taohjelma voi hyväksikäyttää paikallista ohjelmistohaavoittuvuutta korkeamman tason oikeuksien saamiseen. Tyypillisiä sähköpostin kautta leviävien haittaohjelmien hyväksi- käyttämiä haavoittuvuuksia ovat sellaiset sähköpostiohjelmistojen tai selainten haavoit- tuvuudet, jotka mahdollistavat haittaohjelman aktivoitumisen ilman liitetiedoston avaa- mista. Lisäksi sähköpostin liitetiedostoina leviävät virukset voivat hyväksikäyttää lähes kaikkia liitetiedoston käsittelyyn käytettyjen sovellusohjelmistojen haavoittuvuuksia. Tällöin olennaista on pyrkiä hallitsemaan haavoittuvuuksia. Käytännössä organisaation on järjestettävä turvapäivityksien aktiivinen seuranta työasemissa ja palvelimissa, sekä ohjeistettava toimenpiteet löydettäessä haavoittuvuus.50

Kaikki laitteet, jotka sisältävät ohjelmistoja, ovat alttiita kyberriskeille. Laitteiden valmis- tajilla tulee olla laadunhallintajärjestelmä, joka osoittaa, miten kyberriski on minimoitu laitteen suunnittelun, kehittämisen, valmistuksen ja toimittamisen aikana, ja miten jäl- kimarkkinavaatimukset täyttyvät. Tämä on ratkaisevan tärkeää, jotta voidaan vähentää todennäköisyyttä, että kyberturvallisuushaavoittuvuuksia muodostuu ja hyökkääjät käyttävät niitä hyväkseen.51

2.3.3 Laitetason haavoittuvuudet

Laitetasolla uhkan muodostavat laitejärjestelmien komponenteissa olevat haittaohjel- mat, takaportit (engl. backdoors) ja ns. tappokytkin (engl. kill switch). Laitteiden turval- lisuusriski on se, että ne voivat mahdollisesti altistaa sekä laitteeseen liittyvän datan, että itse laitteen hallinnan joutumisen ulkopuolisen haltuun. Uhkakuva edellyttää yhä tiiviimpää sidosryhmäyhteistyötä erityisesti järjestelmä-/laitesuunnittelun ja sääntelyn osalta. Sidosryhmäyhteistyöhön liittyvät sääntelyviranomaiset, laitevalmistajat, käyttä- jäorganisaatiot, IT-toimittajat ja myös käyttäjät. 52

2.3.4 Datamanipulaatio

Datamanipulaatiossa dataa eli tiedon esitystä tai sen esittämistä käsittelykelpoisessa muodossa pyritään muuttamaan alkuperäisestä. Sähköisen tiedon manipuloiminen on ollut rikollista 1960-luvulta lähtien. Manipuloidun tiedon käytöllä saattaa olla merkittä- viäkin haittavaikutuksia. Virheellisen datan käyttö voi aiheuttaa esimerkiksi virheellistä

50 www.vahtiohje.fi/web/guest/kuinka-valttaa-tartunta 51 Australian Government. 2018. Department of Health, Medical device cyber security Draft guidance and information for consultation, Version 1.0, December 2018. 52 Grimes Stephen L. 2016. Best Practices for Medical Device Cybersecurity Management, CE-IT Collabo- ration Town Hall Series March 23-24. 2016.

31 toimintaa, jonka seurauksena saattaa aiheutua uhkaa tai vahinkoa henkilöille.53 Henki- löiden lisäksi uhkaa tai vahinkoa saattaa aiheutua myös materiaalille ja järjestelmille.

Yksinkertaisimmillaan datan manipulointi voidaan toteuttaa muuttamalla esimerkiksi jonkin sensorin antamaa tietoa. Toisessa ääripäässä voidaan murtautua syvälle järjestel- mään ja muuttaa siellä olevaa tietoa.

Datan manipuloinnissa varsinaista eli järjestelmässä käytettävää tietoa (data) manipu- loidaan näyttämään toiselta, kuin mitä esimerkiksi fyysiset sensorit ovat sitä lähteestä alun perin keränneet. Manipulointi kohdistetaan johonkin haluttuun dataan, jotta saa- daan vaikutettua järjestelmään piilossa. Loppukäyttäjä käyttää tätä muunnettua tietoa päätöksentekemiseen tai järjestelmän tai kokonaisen systeemin ohjaamiseen. Tämä toi- minta voi olla esimerkiksi koordinaattien siirtoa, jonkin laitteen tai tapahtuman ohjaa- mista tai muuta vastaavaa toimintaa. Manipulointi voidaan suorittaa useassa kohdassa datan elinkaaren ja siirtojen aikana. Dataa voidaan muokata sen lähtöpisteessä, siirtä- misen aikana tai datan tallennuspaikassa.54

Digitaalisesti muokattua kuvaa, videota ja ääntä käytetään yhä laajemmin kyberrikok- sissa ja informaatiovaikuttamisessa. Tällaisia ovat syväväärentäminen (engl. deepfake) ja morfaus (engl. morphing).

Deepfake on tekoälyä ja koneoppimista käyttäen manipuloitua kuva-, ääni- sekä video- materiaalia, jonka vääräksi tunnistaminen on erittäin vaikeaa ihmissilmälle. Deefakea voidaan hyödyntää usealla tavalla esimerkiksi henkilön ääninäytteen väärentämiseen, videossa henkilön korvaamiseen toisella tai kuvan luomiseen kokonaisuudessaan keino- tekoisesti.55

Morfaus on menetelmä, jonka avulla kahden eri henkilön kasvokuvat sulautetaan digi- taalisesti yhdeksi kuvaksi, pitäen sisällään riittävän määrän tunnistamiseen tarvittavia kasvonpiirteitä kummastakin henkilöstä.56

Deepfaken ja morfauksen keskeisin ero on lopputulos. Yksinkertaisimmillaan Deepfakessa kuva, video tai ääni korvataan toisella. Morfauksessa puolestaan yhdiste- tään kahden eri kuvan piirteet samaan kuvaan.57

2.3.5 Inhimilliset riskit

Useat tutkimusraportit osoittavat, että yrityksen sisäpiiriläiset ovat merkittävä kybe- ruhka. IBM:n mukaan sisäpiiriläiset tekivät jopa 60 % kaikista hyökkäyksistä. Kaspersky

53 Limnéll, J., Majewski, K., Salminen, M. 2014. Kyberturvallisuus, Docendo. 54 Lehtonen Marko. 2017. Datan manipulointi kyberhyökkäyksessä, Tampereen teknillinen yliopisto 55 Kietzmann J, Lee L, McCarthy I, Kietzmann T. 2019. Deepfakes: Trick or treat? Business Horizons https://www.sciencedirect.com/science/article/abs/pii/S0007681319301600. 56 Ngan M, Grother P, Hanaoka K, Kuo J. 2020. Face Morphing – Threats, Technology, and What’s Next https://pages.nist.gov/ifpc/2020/presentations/26_frvt_morph_ifpc2020_ngan.pdf. 57 Ibid.

32 puolestaan arvioi, että 21 % organisaatioista oli menettänyt luottamuksellista tietoa sisäpiiriuhkan vuoksi. Tämän lisäksi Kasperskyn tutkimus osoitti, että 73 %:ssa organi- saatioista oli ollut sisäpiirin aiheuttama tietoturvatapahtuma vuonna 2015. Sekä IBM että ENISA sisällyttävät tähän ryhmään tahattomat ja tahalliset tekijät. IBM ilmoitti li- säksi, että kokonaismäärä oli kasvanut edellisen vuoden lukemista. Verizonin tutki- missa tapauksissa 77 % käyttöoikeuksien väärinkäytöstä oli sisäpiiriläisten tekemiä. Ve- rizon tutki vielä tarkemmin näiden sisäpiiriläisten roolia yrityksessä ja totesi, että kol- masosa oli loppukäyttäjiä, joilla oli käyttöoikeudet luottamukselliseen tietoon. Ainoas- taan 14 % oli esimiesroolissa tai rooleissa, jossa suuremmat käyttöoikeudet johtuivat erityisroolista (esim. järjestelmähallinta tai kehittäjä). Verizonin tutkimus suosittaa, että ”tervehenkistä epäilyä on syytä harrastaa kaikista työntekijöistä”. Motivaationa hyökkääjillä oli joko taloudellinen hyöty (34 %) tai vakoilu (25 %).58

Merkittävänä kyberuhkana voidaan pitää myös henkilökunnan järjestelmien käyttöta- poja ja salasanakäytänteitä. Käyttäjät voivat toimia kyberturvallisuuspolitiikan vastai- sesti asettaessaan yhteiskäyttösalasanoja tai estääkseen vaikkapa aikalukituksen päälle menoa laitteessa. Tiedon jakamista ja kyberturvallisuuden merkityksen korostamista ei voi tehdä liikaa. Se on tuotava organisaation kulttuuriin ja työntekijöille sitä on paino- tettava säännöllisesti. Käyttäjät ovat helpoin kohde tietojen kalasteluun rikollisiin tar- koituksiin.59

2.4 Kyberhyökkäysten kohteet

Kyberoperaatioiden sotilaallisia maaleja yhdysvaltalaisen määrityksen mukaan ovat ase- teollisuus, puolustushallinto ja asevoimat. Poliittisia kohteita ovat hallinnon eri organi- saatiot, toiminnat ja infrastruktuuri. Yhteiskunnallisena kohteena on kriittinen infra- struktuuri, joka muodostuu mm. seuraavista kohteista:60

• Maatalous ja ruoka • Vesi ja jätevesi • Terveydenhuolto • Turvapalvelut • Informaatio- ja telekommunikaatiojärjestelmät • Energia • Kuljetus • Pankki- ja talousjärjestelmä • Kemianteollisuus ja vaaralliset aineet • Postijärjestelmä

58 Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T., Salminen M. 2017. Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017. 59 Siwicki, B. 2016. Healthcare staff lacking in basic security awareness, putting medical infrastructure at risk. 60 DCSINT .2006. Handbook No. 1.02: Critical Infrastructure Threats and Terrorism, 10 August 2006.

33

Kuviossa 10 on esitetty yhdysvaltalainen näkemys kriittisestä infrastruktuurista.

KUVIO 10 Yhdysvaltalainen näkemys kriittisestä infrastruktuurista

2.5 Kyberaseet

Kyberaseella tarkoitetaan tietokoneohjelmaa, joka toimii muissa kuin aseen käyttäjän tietokoneissa, samaan tapaan kuin tietokonevirus. Kyberase voi olla luonteeltaan itse- näisesti liikkuva ja leviävä virus, mutta liikkuvuus ei ole välttämätön edellytys. Onnistu- neimmat kyberaseet ovat luonteeltaan flegmaattisia, liikkuen varovasti vain lähiver- kossa tai ei laisinkaan. Jälkimmäisessä tapauksessa kyberase on solutettava jokaiseen kohteeseen erikseen. 61

Havaitut kyberaseet, kuten Stuxnet ja sen sukulaiset Flame, Duqu ja Gauss ovat modu- laarisia hyökkäysohjelmistoja, joissa haluttu toiminnallisuus on koottu useammasta osasta. Näistä on selvästi tunnistettavissa varsinaisen toiminnallisuuden toteuttava tais- telukärki ja sitä kuljettava lavettiosa.62

Lavettia ohjaa ohjausjärjestelmä, joka toimii täysin itsenäisesti tai pitää yhteyttä hallin- tapalvelimiin ja saa niiltä käskyjä. Ohjausjärjestelmä kohdistaa ja käynnistää taistelukär- kikomponentit, se saattaa myös ladata uusia taistelukärkiä verkon kautta. Ohjausjärjes- telmä hallitsee myös kyberaseen liikkuvuutta. Stuxnet havaittiin ohjausjärjestelmässä olevan virheen takia, joka sai sen leviämään innokkaammin kuin oli tarkoitus.63

61 Kiravuo Timo, Särelä Mikko ja Manner Jukka. 2013. Kybersodan taistelukentät, Sotilasaikakauslehti 3/2013. 62 Ibid. 63 Ibid.

34

Jotta ase pääsisi kohteisiin, sen mukana on yksi tai useampia murtautumismoduuleita, jotka on ohjelmoitu hyödyntämään tietojärjestelmien haavoittuvuuksia. Haavoittuvuuk- sia on erilaisia, jokin saattaa esimerkiksi mahdollistaa oman ohjelmakoodin syöttämisen tietoliikenneohjelmalle siten, että se saadaan suorittamaan ohjelmakoodia, toinen haa- voittuvuus saattaa koostua tietyn automaatiojärjestelmän standardisalasanasta. Näiden haavoittuvuuksien kautta kyberase saa kohdejärjestelmän osittain haltuunsa ja saatu- aan näin jalan ovenrakoon pääsee kopioimaan itsensä eteenpäin.64

Varsinaisen kopioinnin ja liikkuvuuden toteuttaa murtautumismoduuleita hyväkseen käyttävä mobiliteetti- ja asennusmoduuli, joka asentaa aseen kohdekoneen käyttöjär- jestelmään. Tunnetut kyberaseet osaavat hyödyntää käyttöjärjestelmävalmistajien ser- tifiointeja ja pystyvät siten asentumaan laiteohjaimina tai ohjelmistokirjastoina sangen huomaamattomasti. Kyberase voi myös sisältää tässä kohdassa asentuvan rootkit-toi- minnallisuuden, joka vaikuttaa käyttöjärjestelmään siten, että kyberaseen käynnissä olevia prosesseja ja tiedostojärjestelmässä olevia tiedostoja ei näytetä, kun järjestelmää tutkitaan.65

Jos kyberase on suunniteltu leviämään kohdeorganisaation lähiverkossa, on se ensin saatava palomuurien suojaamaan verkkoon. Tämä voidaan saavuttaa esim. saastunei- den USB-muistitikkujen avulla tai lähettämällä kyberase sähköpostilla kohteeseen kuten Duqu-ohjelmaa on levitetty. Tällöin kyberase paketoidaan dropper-paketiksi, joka näyt- tää esimerkiksi tekstinkäsittelydokumentilta.66

Näistä moduuleista koottu lavetti kuljettaa sitten mukanaan varsinaisen taistelukärjen tai useita sellaisia. Taistelukärki saattaa suorittaa tiedustelutehtävää, etsien tietyntyyp- pisiä tiedostoja kohdekoneesta tai verkkolevyiltä, lukien salasanoja näppäimistöltä, kuunnellen huonetta mikrofonin kautta jne. Toinen taistelukärki saattaa tehdä tuhoa, etsien automaatiojärjestelmiä ja rikkoen niitä, sotkien tietokantoja ja tehden muuta va- hinkoa. 67

Kuviossa 11 on esitetty kyberaseen periaatteellinen rakenne.

64 Ibid. 65 Ibid. 66 Ibid. 67 Ibid.

35

KUVIO 11 Kyberaseen periaatteellinen rakenne

Kyberaseet koostuvat siis joukosta hyvin sofistikoituneita tietokoneohjelmia, joiden toi- minnallisuus ratkaisee niiden käyttökohteet. Kyberaseita käytetään kaikissa kyberope- raatioissa. Tyypillisiä kyberaseita ja hyökkäysmuotoja ovat:68 • Adware • Backdoor • Denial of Service Attacks (DOS) • Distributed denial of service attack (DDOS) • E-mail Spoofing • IP Address Spoofing • Keystore Logging • Password Cracking • Root-kit • Scareware • Sniffer • Spamming • Spyware • Trojan Horse • Logic Bomb • Time Bomb • Viruses • Worms • Zero-day Attack • Zombie

68 DCSINT. 2005. Handbook No. 1.02: Cyber Operations and Cyber Terrorism, 15 August 2005, s. II-8 – II- 11.

36

2.6 Kyberhyökkäysvektoreita

Kybervandalismi ja hakkerointi tietokoneissa ja tietoverkoissa alkoi tammikuussa 1986, kun pakistanilaisveljekset kehittivät ensimmäisen pc-ympäristöön tarkoitetun tietoko- neviruksen nimeltään Brain.

Joulukuussa 1989 “AIDS Trojan” hyökkäisi Bolognan yliopiston AIDS-tutkimuskeskusta vastaan, jonka seurauksena menetettiin 10 vuoden työn tulokset.

Harrastelijoiden hakkerointia kesti vuoteen 2000, jolloin verkkoihin ilmestyi ensimmäi- set ammattilaisten haittaohjelmat, kuten Blaster-, Sasser- ja Slammer -madot.

2000-luvun puolivälissä alkoi verkkoihin ilmestyä ensimmäiset vakoiluohjelmat, jotka kohdistuivat mm. aseteollisuuteen, valtionhallintoon, kansalaisjärjestöihin.

Vuosi 2010 oli uuden aikakauden alku. Valkovenäläinen tietoturvallisuusyritys VirusBlo- kAda löysi heinäkuussa Windows-spesifisen tietokonemadon Stuxnet, joka oli jo vuonna 2009 päässyt Iranin ydinlaitokseen saastuneessa USB-muistitikussa.

ENISA käyttää kyberuhkamallia, joka muodostuu uhkatekijöistä. Näihin uhkatekijöihin kuuluu sekä hyökkäysmenetelmiä ja -tekniikoita, haittaohjelmia että fyysisen maailman uhkia: 69

TAULUKKO 1 Kyberhyökkäysmenetelmiä ja tekniikoita Cyber attacks and tech- Malwares Physical threats niques • Drive-by Exploits • Exploit Kits • Physical • Code Injection Attacks • Worms/Trojans Theft/Loss/Damage • Botnets • Rogueware/Scareware • Rogue certificates • Denial of service • Spam • Hack/Shack/Lab/Fab • Phishing attack • Compromising confidential • Component corrup- information tion • Targeted Attacks • Identity Theft • Abuse of Information Leak- age • Search Engine Poisoning

Samalla kun haittaohjelmien levinneisyys on pienentynyt, ne ovat muuttuneet toimin- nallisesti aiempaa paljon monimutkaisemmiksi ja vaarallisemmiksi. Vanhat virukset kiu- sasivat käyttäjää viesteillään ja enintään poistivat tiedostoja. Nykyiset troijalaiset varas- tavat salasanoja ja luottamuksellisia tiedostoja, kaappaavat verkkopankkien istuntoja

69 ENISA. 2012. Threat Landscape, Responding to the Evolving Threat Environment, September 2012.

37 sekä mahdollistavat tietokoneen valjastamisen rikolliseen toimintaan. Näille haittaoh- jelmille on ominaista erinomainen kyky piiloutua käyttäjältä. Troijalainen voi majailla ko- neella pitkiäkin aikoja ilman havaittavaa muutosta. Tänä aikana se voi esimerkiksi lähet- tää roskapostia ja kerätä tietoja. Kun hyökkäys tavalla tai toisella paljastuu, vahingot voi- vat olla suuria.70

Haitan aiheuttaja toteuttaa kyberhyökkäyksiä kybermaailman eri rakenteisiin. Kyberra- kenteen fyysiseen kerroksen voidaan kohdistaa sekä kineettistä että ei-kineettistä vai- kutusta. Kineettisellä asevaikutuksella voidaan tuhota fyysisiä verkkoja, järjestelmiä ja niiden osia sekä tietovarastoja (engl. Data Warehouse). Fyysisen tilaturvallisuuden tai laitevalvonnan puutteita hyödyntämällä voidaan päästä käsiksi tietoteknisiin laitteisiin ja lisätä niihin haitallisia ominaisuuksia, tehdä laitevarkauksia tai tuhota niiden tietosi- sältöjä. Fyysisen maailman uhkia ovat myös laitejärjestelmien komponenteissa olevat haittaohjelmat ja takaportit.

Hyökkäyksellä syntaktista kerrosta vastaan tavoitellaan järjestelmän tai sen osien saa- mista hallintaan. Hyökkäyksillä voidaan häiritä organisaation verkon toimintaa tai avata mahdollisuuksia hyökkäyksille muita kerroksia vastaan.

Kyberhyökkäyksen kohteena semanttista kerrosta vastaan on informaatio. Kybervakoilu tai tietovarkaus voidaan määritellä toimeksi, jolla hankitaan salaisia tietoja (sensitiivi- nen, yksityisoikeudellinen tai turvaluokiteltu) yksityisiltä ihmisiltä, kilpailijoilta tai eri ryh- miltä poliittisen tai taloudellisen edun saavuttamiseksi käyttäen laittomia menetelmiä internetissä, verkoissa, ohjelmistoissa tai tietokoneissa.71

Hyökkäyksellä palvelukerrosta vastaan pyritään mm. lamauttamaan verkkopalveluiden toiminta. Palvelunestohyökkäys (engl. Denial of Service, DoS) tarkoittaa verkkohyök- käystä, jossa pyritään estämään verkkosivuston tarkoitettu käyttö.

Hyökkäys kognitiivista kerrosta vastaan voi kohdistua hyökkäyksenä johtoa tai muita päätöksentekijöitä kohtaan, tai vaikutusyrityksenä jollekin asiantuntijatasolle tai hyök- käyksenä kaikkia järjestelmien käyttäjiä vastaan. Hyökkäyksillä pyritään estämään esi- merkiksi toiminnan oikeanlaisen tilannetietoisuuden syntyminen. Kuviossa 12 on esi- tetty erilaisia hyökkäysmalleja ja -vektoreita kybermaailman eri kerroksia vastaan.72

70 Ibid. 71 Liaropoulos Andrew. 2010. War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Pro- ceedings of the 9th European Conference on Information Warfare and Security, the Department of Ap- plied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 177-182 72 Lehto Martti. 2014. Kybertaistelu ilmavoimaympäristössä, Kybertaistelu 2020 (Tuija Kuusisto edit.), 2014. MPKK, Taktiikan laitos, julkaisusarja 2, n:o 1, s. 157–178.

38

KUVIO 12 Hyökkäystavat kybermaailman eri kerroksiin

2.7 Haittaohjelmia ja huijauksia

2.7.1 Kiristyshaittaohjelma

Useat tutkimukset mainitsivat yhdeksi suurimmista trendeistä kiristyshaittaohjelmat ja niiden määrä ja vaikuttavuus on vahvassa kasvussa. Kiristyshaittaohjelmista syntyy jat- kuvasti uusia kehittyneempiä muotoja, ja tämän lisäksi kiristyshaittaohjelma palveluna - konsepti on hyvin suosittu Dark Webissä.

Kiristysohjelma on haittaohjelma, joka salaa tai manipuloi laitteella olevia tietoja. Tyy- pillisesti ohjelma vaatii käyttäjältä lunnaita salauksen purkamiseksi. Ohjelma voi tulla tietokoneeseen esimerkiksi sähköpostin liitetiedostona. Käyttäjän avattua liitetiedoston kiristysohjelma latautuu koneelle, minkä jälkeen ohjelma esimerkiksi muuntaa joitakin tiedostoja salakirjoitettuun muotoon. Haavoittuneita tiedostoja ei voi avata ilman oi- keaa salauksenpurkuavainta. Kiristysohjelman levittäjä lupaa antaa avaimen lunnaita vastaan. Tiedostojen muuntamisen lisäksi haittaohjelma voi myös uhata levittää tai pal- jastaa luottamuksellista tietoa. 73

Kiristyshaittaohjelmat kohdistuvat myös pankki- ja rahoitustoimialalle sekä julkishallin- toon. Kiristyshaittaohjelmia kehitetään yhä enemmän myös päätelaitteisiin, erityisesti

73 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea.

39

älypuhelimiin, koska päätelaitteiden ja älypuhelinten käyttö on lisääntynyt edelleen. Ki- ristyshaittaohjelmat kohdistuvat yhä enenevässä määrin myös yrityksiin. Kiristyshaitta- ohjelma voi levitä koko yrityksen sisäverkkoon, jolloin se voi pahimmillaan salata kaikki verkkolevyt sekä pilvipalvelujen tiedostot. 74

Vuoden 2017 toukokuussa levinnyt WannaCry oli Crypto -kiristyshaittaohjelma, joka vaati 300 dollarin Bitcoin-lunnaita. WannaCry hyödynsi Microsoftin Windowsin Server Message Blockissa (SMB) olevaa haavoittuvuutta, joka salli koodin suorittamisen etänä. WannaCry-ohjelma koostui useista eri komponenteista. Se tarttui tietokoneelle Droppe- rin muodossa itsenäisenä ohjelmana, joka sisälsi tarvittavat sovelluskomponentit. Tällai- sia komponentteja olivat muun muassa sovellus, joka salaa ja purkaa tiedot sekä salaus- avaimia sisältävät tiedostot. WannaCry oli saastuttanut 15. toukokuuta 2017 mennessä noin 200 000 tietokonetta.75

Microsoft oli julkaissut järjestelmiä suojaavan suojauspäivityksen lähes kaksi kuukautta ennen WannaCry -ohjelman hyökkäyksen alkamista. Käyttäjät, jotka eivät olleet päivit- täneet tietokoneitaan eivät myöskään saaneet suojausta, mistä johtuen EternalBlue- koodin hyväksikäyttämä haavoittuvuus jätti käyttäjät alttiiksi hyökkäykselle. WannaCry -ohjelman oletettiin levinneen alun perin tietojenkalastelukampanjan kautta.

2.7.2 Palvelunestohyökkäys

Palvelunestohyökkäys eli DoS (engl. Denial of Service) tarkoittaa mitä tahansa keinoa, jolla estetään tietojenkäsittelypalvelun käyttö siihen oikeutetuilta henkilöiltä. Hajau- tettu palvelunestohyökkäys eli DDoS (engl. Distributed Denial of Service) tarkoittaa use- asta lähteestä tulevaa verkkoliikennettä, joka ylikuormittaessaan kohteen aiheuttaa pal- velunestotilan. Yleisin hyökkäyksen toimintatapa on täyttää palvelun kone ulkoisilla kut- suilla, jolloin se ei pysty vastaamaan oikeille kutsuille. Hyökkäykset voivat tehdä palvelun pois käytöstä pahimmillaan päiviksi. Joskus hyökkäyksiin voi sisältyä myös kiristämisyri- tyksiä. Verkko- ja kuljetuskerroksiin perustuvat hyökkäykset käyttävät useimmiten hy- väkseen TCP, UDP, ICMP ja DNS protokollia ja keskittyvät häiritsemään sallittujen käyt- täjien yhteyksiä hidastamalla uhrin verkon kaistaa. Sovelluskerroksiin perustuvat hyök- käykset keskittyvät hidastamaan käyttäjien palveluita hyökkäämällä suoraan palvelimen resursseihin.76

Palvelunestohyökkäyksin voidaan vaikeuttaa merkittävästi internet-pohjaisiin palvelui- hin. Vuonna 2016 nimipalveluyhtiö Dyn joutui Mirai-botnetilla toteutetun massiivisen

74 Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T., Salminen M. 2017. Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017. 75 Fruhlinger, J. 2018. CSO-online. What is WannaCry ransomware, how does it infect, and who was re- sponsible? https://www.csoonline.com/article/3227906/what-is-wannacry-ransomware-how-does-it-in- fect-and-who-was-responsible.html. 76 Yan, Q., Yu, F. R., Gong, Q., & Li, J. 2016. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges. IEEE Communications Surveys & Tutorials, 18(1), 602–622.

40 kyberhyökkäyksen kohteeksi. Botnettiin oli kaapattu verkkoon kytkettyjä IoT-laitteita kuten turvakameroita, printtereitä, digibokseja, itkuhälyttimiä, kotireitittimiä. Tämän botnetin avulla voitiin estää kymmenien palveluntarjoajien toiminta kuten Twitter, Amazon, CCN, New York Times, AirBnB, Spotify ja Netflix. Hyökkäysten haittaliikenne oli huippukohdissaan yli terabitin sekunnissa, joten se riitti estämään palvelun suurim- miltakin kohteilta.

2.7.3 Teknisen tuen huijaukset

Teknisen tuen huijauksessa huijari ottaa yhteyden soittamalla ja väittää olevansa tekni- sen tuen asiantuntija tunnetusta yrityksestä, kuten esimerkiksi Microsoft. Useimmiten yhteydenotto on puhelinsoitto, ilman minkäänlaista ennakkotiedustelua tai muuta vas- taavaa toimintaa. Huijari kertoo, että uhrin koneella on haittaohjelma. Huijari yrittää saada kohteen toiminaan hänen ohjeidensa mukaan nopeasti, jottei haittaohjelma pää- sisi leviämään koneella. Huijarien motiivina on saada uhrinsa kone aluksi haltuunsa ja lopullisena tavoitteena huijarilla on saada uhrilta rahaa jollakin keinolla. Esimerkiksi uhri huijataan maksamaan jonkinlainen maksu tai saadaan uhrin pankkitunnukset kokonaan haltuun.

Huijari pyytää uhrejaan ajamaan erilaisia komentoja kuten ASSOC, NETSTAT, tapahtu- mienvalvonta tai muita vastaavia komentoja. Komennot antavat tuloksia tietokoneen toiminnasta ja asetuksista. Huijari tulkitsee käyttäjän koneen antamia vastauksia itsel- leen hyödyllisellä tavalla ja yleensä kertoo, että koneella on hakkeri tai muu tietoturva- ongelma. Nyt huijari yrittää saada kohteen asentamaan koneelleen etähallintaohjelman. Jos huijari onnistuu pääsemään uhrin koneelle etäyhteyden avulla, hänen on mahdol- lista saada haltuunsa kaikki sillä olevat tiedot.77

2.7.4 Sosiaalinen manipulointi

Sosiaalisella manipuloinnilla tai käyttäjän manipuloinnilla (engl. Social Engineering) hyökkääjä pyrkii sosiaalisella vuorovaikutuksella suostuttelemaan yksilön tai organisaa- tion toimimaan haluamallaan tavalla.

Kalasteluhyökkäykset (engl. phishing) ovat yksi yleinen sosiaalisen manipuloinnin muoto. Siinä hyökkääjä pyrkii toimimaan luotettavana toimijana, ja saamaan näin haltuunsa esimerkiksi uhrin henkilökohtaisia tietoja, kuten salasanoja, käyttäjätun- nuksia tai luottokorttitietoja.

77 Kyberturvallisuuskeskus. 2020. Tietoturva nyt! – Väärennettyjä puheluita teknisen tuen nimissä. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/vaarennettyjapuheluita-teknisen- tuen-nimissa.

41

2.8 Kyberhyökkäysmalleja

Uhkamallinnus on mallien käyttämistä turvallisuusongelmien löytämiseksi. Uhkamallin- nuksen avulla luodaan järjestelmän abstraktio; profiloidaan mahdolliset hyökkääjät ja niiden mahdolliset tavoitteet ja metodit, luetteloidaan potentiaaliset uhat, joita voi esiintyä.

Kyberhyökkäysmallit kuvaavat hyökkäyksen rakennetta vaiheittain. Ne tarjoavat keinon käsitellä hyökkäyksen eri puolia. On kuitenkin tärkeää ymmärtää, että kaikkien hyök- käysten ei tarvitse suorittaa kaikkia vaiheita menestyäkseen. Itse asiassa monet hyök- käykset toistuvat rekursiivisesti hyökkäysmallin vaiheiden läpi. Mallit on kehitetty eri verkkohyökkäysten motiivien ja tavoitteiden perusteella.

Kyberoperaatioiden sekä kyberhyökkäysten mallintamisen menetelmien tavoitteena on auttaa analysoijia hahmottamaan uhkaympäristöä ja suunnittelemaan puolustusmeka- nismeja uhkia vastaan.

Kyberhyökkäykset voidaan jakaa neljään luokkaan seuraavasti:

1. APT-hyökkäys 2. Kyberfyysinen hyökkäys kriittistä infrastruktuuria vastaan 3. Tietomurtohyökkäys 4. Sotilaalliset kyberoperaatiot

2.8.1 Advanced Persistent Threat

Erityisen haitallisia ovat kohdistetut hyökkäykset (engl. Advanced Persistent Threat, APT), joissa kohde on valittu tarkasti ja kohteesta on myös kerätty tarvittava määrä tie- toa hyökkäyksen mahdollistamiseksi. Kohdistetuissa hyökkäyksissä hyökkääjä hyödyn- tää aktiivisesti löydettyjä kohdeorganisaation palvelujen haavoittuvuuksia ja heikkouk- sia. Haavoittuvuuksia on ihmisten toiminnassa, organisaatioiden turvallisuusproses- seissa ja teknologiassa (ohjelmistoissa ja laitteissa). Hyökkäyksiä voidaan muuntaa ja kehittää, jotta voidaan hyödyntää kohdeorganisaation heikkouksia mahdollisimman hyvin. Kohdistetut hyökkäykset toteutetaan usein kampanjoina, jolloin ne koostuvat sarjasta epäonnistuneita ja onnistuneita yrityksiä päästä syvemmälle ja syvemmälle kohdeorganisaation verkkoon.

Kohdistettuja hyökkäyksiä eri tahoja kohtaan on tehty itsenäisinä operaatioina sekä osana laajempaa kokonaisuutta. Esimerkiksi Ukrainan sotaan liittyen kybertoimintaym- päristössä ovat vaikuttaneet useat eri toimijat monilla eri motiiveilla varustettuna. Toi- mijoina on nähty esimerkiksi kyberrikollisia, haktivisteja, erikoisjoukkoja ja APT-ryhmiä. Kohdistettuun pitkäjaksoiseen uhkaan erikoistuneita APT-ryhmiä on tällä hetkellä lis- tattuna useita kymmeniä. Ryhmien epäillään saavan ohjausta ja tukea valtiolliselta ta- holta. APT-ryhmien alkuperämaina Fire Eyen (2020) listauksessa mainitaan Iran, Kiina,

42

Pohjoiskorea, Venäjä ja Vietnam. Näiden lisäksi mainitaan ryhmiä, joiden alkuperä- maasta ei ole varmuutta. Suurinta osaa ryhmistä ei ole voitu suoraan sitoa yhdenkään valtion toimijaksi, mutta suoritettujen operaatioiden ja teknisten sekä inhimillisten piir- teiden, kuten koodin kirjoittamisajankohtien, perusteella ryhmien alkuperää on voitu yrittää varmentaa. Tämä on kuitenkin haastavaa ja useat tahot välttäväkin valtioiden nimeämistä ryhmien toimintaa analysoitaessa.78

Advanced Persistent Threat -käsitteen Advanced -sanalla tarkoitetaan, että hyökkääjä voi käyttää laaja-alaisesti eri hyökkäystapoja- ja keinoja. Hyökkääjät voivat käyttää kaikkein tavallisimpia ja julkisesti saatavilla olevia hyötykeinoja (engl. exploits) tunnet- tuja haavoittuvaisuuksia vastaan tai hyökkääjät voivat kehittää kustomoituja keinoja riippuen hyökkäyskohteesta ja hyökkäyksen päämäärästä. Advanced tarkoittaa myös sitä, että hyökkääjät käyttävät hyväkseen monia tekniikoita tiedonkeruussa, haittaoh- jelmien kehittämisessä ja hyökkäysten toteuttamisessa. Lisäksi edistyneiden social en- gineering -taitojen hyödyntäminen on yksi edistynyt taktiikka.79

Persistent -sanalla tarkoitetaan hyökkääjän sinnikkyyttä suorittaa tehtävä. Hyökkääjä käyttää laadittuja toimintaohjeita ja -malleja, jotta hyökkäys voi saavuttaa sille asete- tut tavoitteet. Sinnikkyydellä ei välttämättä tarkoita valitun kyberaseen jatkuvaa käyt- töä, vaan hyökkääjän vuorovaikutuksen ylläpitämistä kohteen kanssa, kunnes hyökkää- jät pääsevät haluttuun päämääränsä.80

Threat eli uhka tarkoittaa, että hyökkääjät ovat järjestäytyneitä, hyvin rahoitettuja ja hyvin motivoituneita toteuttamaan tehtävänsä. Hyökkääjät koostuvat usein monista ryhmistä, jotka taas koostuvat huippuosaavista operaattoreista. Uhka mielletään usein olevan hyökkäyksessä käytettävä haittaohjelma, mutta hyökkäyksen toteuttajat eivät koostu ohjelmointikoodista. APT-hyökkäyksen toteuttajat tai toimeenpanijat ovat hyökkäyksen oikea uhka. 81

APT-hyökkäyksien analysointiin on tehty useita malleja kuten:

• MITRE ATT&CK™ • Mandiant’s Attack Lifecycle Model • LM Cyber Kill Chain, CKC • Unified Kill Chain, UKC • Hybrid Cyber Kill Chain, HCKC

78 Fire Eye. 2020. Advanced Persistent Threat Groups: Who's who of cyber threat actors. https://www.fireeye.com/current-threats/apt-groups.html. 79 Tipton, H. F., & Krause, N. M. (Eds.). 2012. Information security management hand-book, volume 6. ProQuest Ebook Central, pages 338-339 80 Ibid. 81 Ibid.

43

2.8.2 Kyberfyysinen hyökkäys kriittistä infrastruktuuria vastaan

ATP-hyökkäysmalleja on käytetty myös kriittisen infrastruktuurin kyberfyysisten hyök- käysten mallintamiseen. Kriittiseen infrastruktuuriin kohdistuvat kyberfyysiset hyök- käykset voivat vahingoittaa kyseistä fyysistä omaisuutta ja aiheuttaa laajoja tappioita kolmansille osapuolille. Kyber-fyysinen hyökkäys elintärkeää infrastruktuuria vastaan ta- pahtuu, kun hyökkääjä pääsee tietokonejärjestelmään, joka käyttää laitteita tuotanto- laitoksessa, öljyputkiverkossa, jalostamossa, sähköntuotantolaitoksessa tai vastaavassa ja pystyy hallitsemaan kyseisen laitteen toimintaa vahingoittaa kyseistä järjestelmää.

Kyber-fyysisiin hyökkäyksiin kriittistä infrastruktuuria kohtaan on tehty seuraavia mal- leja:

• Cyber Attack Modell for Smart Grid Environments • ATT&CK™ for ICS82

Liitteessä 3 on kuvattu esimerkkinä vuonna 2015 tehty kyberhyökkäys Ukrainan sähkön- siirtoverkkoon.

2.8.3 Tietomurto

Tietomurto tarkoittaa tietojärjestelmään tunkeutumista murtamalla jokin käytössä oleva turvajärjestely. Tyypillisesti murtautuminen tapahtuu käyttämällä murtautujalle kuulumatonta käyttäjätunnusta. Tietomurto voi kohdistua myös tietojärjestelmän erik- seen suojattuun osaan. Tietomurto on myös tietojärjestelmän käyttöoikeudet omaavan käyttäjän murtautuminen sellaiseen tietojärjestelmän osaan, johon hänellä ei ole nor- maalisti käyttöoikeutta.

Rikoslaki määrittelee tietomurron toiminnaksi, jossa käytetään käyttäjätunnusta luvat- tomasti tai tietojärjestelmän turvajärjestely ohitetaan järjestelmään murtautumiseksi. Tietomurto ja sen yritys ovat aina rikoksia. Tunnetuin tapa kirjautumistietojen varasta- miseen on tietojenkalastelu (engl. phishing). Siinä uhrilta huijataan kirjautumistiedot käyttämällä esimerkiksi aidolta näyttävää kirjautumissivua, joka kerää käyttäjien tun- nuksia rikollista toimintaa varten.83

Tietomurtojen mallinnukseen on käytettävissä mm. Raytheon’s cyber kill chain.

2.8.4 Yleinen kyberhyökkäysmalli

Verkkohyökkäysmallit tarjoavat meille keinot hajottaa hyökkäys erillisiksi vaiheiksi. Näitä puolestaan voidaan käyttää tunkeutumisen jälkeiseen analyysiin ennustamaan pa- remmin ja välttämään tulevia hyökkäyksiä. On myös mahdollista luoda menetelmiä

82 https://collaborate.mitre.org/attackics/index.php/Main_Page 83 https://poliisi.fi/tietomurrot

44 hyökkäyksen havaitsemiseksi hyvin varhaisessa vaiheessa (varhaisvaroitus). Ymmärtä- mällä hyökkääjän taktiikat, tekniikat ja menettelytavat (engl. tactics, techniques and procedures, TTP) opimme, kuinka uhkatoimijat toimivat, ja meillä on keinot arvioida puolustuskeinojamme ja kehittää toimintamenetelmiä hyökkäysten torjumiseksi.

Oheisessa kuviossa 13 on esitetty yleinen kyberhyökkäysmalli, johon on koottu periaat- teita ja elementtejä eri hyökkäysmalleista.

KUVIO 13 Kyberhyökkäyksen yleinen malli

45

3 YHTEISKUNNAN KRIITTISET RAKENTEET

3.1 Kriittinen infrastruktuuri

Kybermaailmassa uhan tärkeimpänä kohteena on kriittinen infrastruktuuri (engl. Critical Infrastructure, CI). Kriittinen infrastruktuuri käsittää ne rakenteet ja toiminnot, jotka ovat välttämättömiä yhteiskunnan jatkuvalle toiminnalle. Siihen kuuluu sekä fyysisiä lai- toksia ja rakenteita että sähköisiä toimintoja ja palveluja. Näiden turvaaminen tarkoittaa yksittäisten kriittisten kohtien löytämistä ja turvaamista, koko ajan silmällä pitäen infra- struktuurikokonaisuuden toimintaa.84

Useimmilla mailla on kriittisestä infrastruktuurista tarkka määritelmä, jossa ilmenee sen tärkeys yhteiskunnalle, siihen kohdistuvat uhat, sen eri osat ja sektorit sekä usein myös tapa, jolla sitä turvataan. Määritelmä on yleensä syntynyt uuden, sisäistä turvallisuutta koskevan lainsäädännön yhteydessä. Monessa tapauksessa tällaista lainsäädäntöä on ryhdytty laatimaan syyskuun 2001 terrori-iskujen jälkeen. Kriittisen infrastruktuurin tur- vaamisessa on kolme ulottuvuutta:85

• Poliittinen • Taloudellinen • Tekninen

Poliittinen ulottuvuus on syntynyt eri maiden yhteisistä intresseistä turvata infrastruk- tuurijärjestelmänsä ja sitä kautta kasvaneesta yhteistyöstä. Poliittiseen ulottuvuuteen kuuluu kansallinen lainsäädäntö ja kansalliset turvallisuustarpeet sekä kansainvälinen yhteistyö näiden ympärillä. Kansainvälisellä yhteistyöllä pyritään samankaltaisiin ratkai- suihin maissa, joiden tarpeet ovat samanlaisia. Yhtenäinen turvaamislainsäädäntö ja tur- vallisuuspolitiikka mahdollistavat teknisen yhteistyön etenkin tilanteissa, joissa infra- struktuurit ovat usean maan yhteiset. 86

Taloudellinen ulottuvuus käsittää kaikki ne yritykset ja muut taloudelliset toimijat, jotka rakentavat, omistavat ja hallinnoivat infrastruktuurijärjestelmiä ja -laitoksia ja jotka toi- mivat taloudellisten intressien mukaisesti. Taloudelliseen ulottuvuuteen kuuluu myös turvaamiskustannusten oikeudenmukainen jakaminen eri toimijoiden kesken. 87

Tekninen ulottuvuus käsittää tekniikan kehittymisen ja sen hyödyntämisen sekä kaikki ne käytännön ratkaisut ja toimenpiteet, joita valtiot ja yritykset tekevät turvatakseen kriittisen infrastruktuurinsa toimivuutta mahdollisten häiriöiden varalta.88

84 Huoltovarmuuskeskus. http://www.huoltovarmuus.fi/tietoa-huoltovarmuudesta/kriittinen-infra- struktuuri-kasite/ 85 Ibid. 86 Ibid. 87 Ibid. 88 Ibid.

46

Yhteiskunnan turvallisuusstrategian uhkamalleista voidaan johtaa näkemys suomalai- sesta käsityksestä kriittisestä infrastruktuurista. Siihen kuuluvat:89

• Energiaverkosto • Tietoliikenneverkosto • Kuljetuslogistiikkaverkosto • Yhdyskuntatekniikkaverkosto • Elintarvikehuoltoverkosto • Pankki- ja rahoitusverkosto • Terveys- ja hyvinvointiverkosto • Turva- ja turvallisuusverkosto

Nämä verkostot eivät ole erillisiä entiteettejä vaan muodostava kansallisen kriittisen inf- rastruktuuriverkoston, jossa on paljon keskinäisriippuvuuksia. Yhden systeemin lamaan- tuminen tai romahtaminen vaikuttaa verkoston muihin osiin. Tämän vuoksi kriittisen inf- rastruktuurin analyysi edellyttää mallintamista, jotta verkoston eri osien keskinäisriip- puvuudet voidaan saada esille.90 Kuviossa 14 on esitetty semanttinen kuva kriittisen inf- rastruktuurin verkostoista ja niiden välisistä vaikutussuhteista.

KUVIO 14 Kriittinen infrastruktuuriverkosto vuorovaikutussuhteineen

89 Valtioneuvoston kanslia. 2010. Yhteiskunnan turvallisuusstrategia, Helsinki, 16.12.2010, s. 65–78. 90 Pye Graeme and Warren Matthew. 2011. Analysis and Modelling of Critical Infrastructure Systems, Proceedings of the 10th European Conference on Information Warfare and Security, The Institute of Cy- bernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011, s. 194-201.

47

Huoltovarmuuskeskuksen käyttämän määritelmän mukaan ”kriittinen infrastruktuuri muodostuu niistä välineistä ja laitteista, palveluista ja tietojärjestelmistä, jotka ovat kan- sakunnille niin elintärkeitä, että niiden toimintakyvyttömyydellä tai tuhoutumisella olisi heikentävä vaikutus kansalliseen turvallisuuteen, kansantalouteen, yleiseen terveyteen ja turvallisuuteen sekä valtionhallinnon tehokkaaseen toimintaan. 91

Australian kyberturvallisuusstrategia määrittelee kriittiseen infrastruktuuriin kuuluvaksi sellaisia järjestelmiä ja kokonaisuuksia kuten sähköverkko, veden varastointi- ja jakelu- järjestelmä, lento- ja laivaliikenne ja televiestintäverkot. Näiden lisäksi kriittiseen infra- struktuuriin kuuluu korkean taloudellisen arvon omaavia järjestelmiä kuten sähkönsyöt- töjärjestelmät, tärkeät immateriaalioikeudet kuten bioteknologiapatentit ja muut kau- pankäyntiin liittyvät asiat. Kriittisellä infrastruktuurilla on siten yhteys talouselämän toi- mintakykyyn, kansainväliseen kilpailukykyyn, sisäiseen turvallisuuteen, kansalaisten hy- vinvointiin sekä kansalliseen puolustukseen ja turvallisuuteen.92

Liitteessä 1 on esitetty Euroopan komission vihreän kirjan mukaan kriittisen infrastruk- tuurin sektorit ja niiden tuotteet tai palvelut.

3.2 Kriittinen informaatioinfrastruktuuri

Kriittisen infrastruktuurin sisälle on muodostunut kyberturvallisuuden kannalta merkit- tävä kokonaisuus, joka on kriittinen informaatioinfrastruktuuri (engl. Critical Informa- tion Infrastructure, CII). Euroopan komission mukaan ”tieto- ja viestintäteknologiatoi- miala on elintärkeä yhteiskunnan kaikille lohkoille. Yritysmaailma on siitä riippuvainen sekä suorien myyntitulojen että sisäisten prosessien tehostamisen kautta. Tieto- ja vies- tintäteknologia on innovoinnin kriittinen komponentti, ja se edustaa lähes 40 prosenttia tuottavuuden kasvusta. Tieto- ja viestintäteknologia on myös jo kiinteä osa julkishallin- tojen työtä: sähköisen hallinnon palveluja on otettu käyttöön kaikilla tasoilla, samoin kuin uudempia innovatiivisia sovelluksia terveydenhuollon, energian ja poliittisen osal- listumisen alalla. Tämän takia julkinen sektori on erittäin riippuvainen tieto- ja viestintä- teknologiasta. Mutta myös kansalaiset käyttävät yhä enemmän sitä arkielämässään: elintärkeiden tietoinfrastruktuurien turvallisuuden parantaminen lisäisi kansalaisten luottamusta tieto- ja viestintäteknologiaa kohtaan, varsinkin kun henkilötietojen ja yksi- tyisyyden suoja paranisivat.”93

Liikenne- ja viestintäministeriön vuonna 2009 asettaman työryhmän mukaan ”turvalli- set ja huoltovarmuusvaatimukset täyttävät tieto- ja viestintäjärjestelmät ovat tietoyh- teiskunnan elinkeinoelämälle, julkiselle hallinnolle ja kansalaisten arjen asioinnille vält-

91 Ibid. 92 Australian Government. 2009. Australian Cyber Security Strategy, Commonwealth of Australia. 93 EU komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle elintärkeiden tietoinfrastruktuureiden suojaamisesta, KOM(2009) 149 lopulli- nen, Bryssel 30.3.2009

48 tämätön ehto. Viestintäverkot muodostavat yhteiskunnan verkottuneessa infrastruk- tuurirakenteessa välttämättömän elementin, jolla on sekä suorat että välilliset vaikutuk- set huoltovarmuuden perustavoitteiden saavuttamiseen.”94

3.3 SCADA

Kyberturvallisuuden näkökulmasta kriittisen infrastruktuurin ja informaatioinfrastruk- tuurin alueella on merkittäväksi toiminta-alueeksi muodostunut erilaiset teollisuusjär- jestelmien ohjausjärjestelmät (engl. Supervisory Control and Data Acquisition, SCADA). SCADA muodostuu fyysisistä ja ohjelmistollisista komponenteista, joita ovat sensorit ja anturit, tiedonsiirtoverkot, ohjaimet, viestintälaitteet, käyttöliittymä (HMI) ja ohjelmis- tot. SCADA-järjestelmillä voidaan valvoa niin suuria kuin pieniäkin järjestelmiä. SCADA:n piirissä on sellaisia järjestelmiä kuten ydinvoimalat, öljyn ja kaasun jalostuslaitokset, te- lekommunikaatioverkot, logistiikkajärjestelmiä, kiinteistöjen kulunvalvonta-, lämmitys-, jäähdytys- ja sähköjärjestelmiä, veden jakelujärjestelmiä ja jätevedenkäsittelyjärjestel- miä.

Kyberuhka SCADA-verkoissa nousi otsikoihin Stuxnet-verkkomadon myötä vuonna 2010. Stuxnet kykeni pääsemään haluttuun kohteeseen eli Iranin ydinpolttoainerikasta- moon ja sen sentrifugien ohjausjärjestelmään. Ohjausjärjestelmän kautta vaikutettiin sentrifugien toimintaan niin, että rikastusprosessi epäonnistui nostamalla sentrifugien nopeus niin suureksi, että laitteet hajosivat. Samalla ohjausjärjestelmälle näytettiin aiemmin nauhoitettuja normaaleja arvoja, jotta sabotaasia ei huomattaisi.

Oheisessa kuviossa 15 on esitetty SCADA-järjestelmän yleinen rakenne.95

KUVIO 15 SCADA-rakenne

94 Toimintavarmojen televerkkojen tarjonnan edistäminen, Liikenne- ja viestintäministeriön julkaisuja 26/2009, 4.6.2009. 95 Office of the Manager National Communications System. 2004. Supervisory Control and Data Acquisi- tion (SCADA) Systems, Technical Information Bulletin 04-1, October 2004.

49

4 KYBERVANDALISMI

4.1 Perusteita

Kybervandalismi ja hakkerointi tietokoneissa ja tietoverkoissa alkoi tammikuussa 1986, kun pakistanilaisveljekset kehittivät ensimmäisen pc-ympäristöön tarkoitetun tietoko- neviruksen nimeltään Brain. Harrastelijoiden hakkerointia kesti vuoteen 2000, jolloin verkkoihin ilmestyivät ensimmäiset ammattilaisten haittaohjelmat.96

Kybervandalismi on hakkerin tai hakkeriryhmän tekemä ilkivalta, jolla tekijä pyrkii ai- heuttamaan vahinkoa tai hankkimaan mainetta. Hakkeri on henkilö, joka tunkeutuu tai vaikuttaa tietoverkkoon, tietojärjestelmään tai niiden sisältämään tietoon ja käyttää oh- jelmaa, palvelua tai muuta resurssia. Tunkeutuminen saattaa olla luvallista, esimerkiksi yritys voi palkata niin sanotun valkohattuhakkerin (engl. White Hat) etsimään tietover- kostaan tai -järjestelmästään tietoturva-aukkoja tai haavoittuvuuksia. Vihamielinen hak- keri (engl. Black Hat) saattaa esimerkiksi tuhota tietojärjestelmästä tietoja tai käyttää järjestelmää omiin tarkoituksiinsa. Hakkeri-sanalla voidaan viitata myös taitavaan tieto- koneharrastajaan. 97

Rikollinen kyberaktivismi on lisääntynyt internet-maailmassa. Kybervandaalit tunkeutu- vat verkkosivustoille ja tuhoavat ja manipuloivat siellä olevaa materiaalia. Hakkerit pyr- kivät tunkeutumaan verkkosivustoille ja murtamaan mahdollisia suojauksia. Hakkerei- den toimintaan liittyy myös tiedon tuhoamista, manipulointia ja tietovarkauksia. Uusin ja nykyisellään vaikuttavin laittoman kyberaktivismin muoto on haktivismi, jolla tarkoi- tetaan yhteiskunnallisia liikkeitä, jotka ottavat haltuunsa ja käyttöönsä tietoverkkojen mahdollisuuksia edistäessään omia tavoitteitaan. Kybervandaalien ja hakkereiden mo- tiiveina on usein henkilökohtainen halu tuottaa vahinkoa ja osoittaa erinomaisuuttaan internet-maailmassa. Kyberaktivistit voivat käyttää toiminnassaan myös luonteeltaan ri- kollisia keinoja.

Tietoja erilaisista kybervandalismin, hakkeroinnin ja haktivismin muodoista saadaan säännöllisesti. Julkisuutta ovat saaneet erilaiset Anonymous–aktivismiryhmät, jotka hak- keroivat sensitiivisiä tietoja, joita sen jälkeen julkaistaan internetissä. Yhdysvalloissa Anonymous on hakkeroinut ja julkaissut tietoja FBI:n sisältä. Anonymous-ryhmä hakke- roi tietoturvayhtiö Symantecin pcAnywheren lähdekoodin ja julkaisi noin gigatavun ver- ran koodia internetissä. Hakkeriryhmä AntiSec murtautui joulukuussa 2011 tiedustelu- palvelu Stratforiin. Tietomurron uhriksi joutui yhteensä 860 000 ihmistä, joiden tietoja AntiSec-ryhmä julkaisi tiedostojenjakelusivulla. Murron seurauksena internettiin on vuotanut satojen myös suomalaisten henkilötietoja ja luottokorttitietoja. Suomalainen Anonymous-ryhmä julkaisi internetissä joulukuussa 2011 yli 16 000 suomalaisen käyttä- jätunnukset, salasanat ja sähköpostiosoitteet.

96 Hyppönen Mikko. 2010. Luento AFCEA-seminaari, Helsinki, 7.12.2010. 97 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea, 2018.

50

Sandor Vegh jaottelee tietoverkoissa tapahtuvan aktivismin kahteen päätyyppiin: inter- net-vahvisteiseen ja internet-perustaiseen. Edellisellä hän tarkoittaa aktivismia, jossa in- ternetiä käytetään pikemminkin ylimääräisenä kommunikaatiokanavana tai tietoisuu- den levittämisessä. Jälkimmäinen on mahdollista vain internetissä kuten Jordankin esit- tää.98

4.2 Haktivismi

Haktivismilla (hacktivism) tarkoitetaan tiekone- ja verkkovälitteisen aktivismin eri muo- toja, useimmiten internetissä. Termi koostuu sanoista hakkeri (engl. hacker) ja aktivismi (engl. activism). Haktivismia on yksittäisen henkilön tai ryhmän kybertoimintaympäris- tössä harjoittama tavoitteellinen tai aatteellinen toiminta, jolla voidaan tavoitella huo- miota tai muutosta johonkin asiaan. Haktivistien motiivit ovat yleensä yhteiskunnallisia tai poliittisia.99

Haktivismi on muodostunut omaksi haarakseen kansalaisaktivismin tutkimuksessa, mutta termi on edelleen vakiintumaton käsitteellisesti. Syynä on se, että toisaalta kan- salaisaktivismi voi käyttää hakkerien kehittämää keinovalikoimaa ja toisaalta hakkerit voivat edistää omia intressejään.100

Haktivismilla viitataan usein yhteiskunnallisiin liikkeisiin, jotka ottavat haltuunsa ja käyt- töönsä tietoverkkojen mahdollisuudet keinovalikoimaansa joko omatoimisesti tai hak- kerien avustamana.101 Esimerkiksi Meksikon zapatistat ottivat internetin käyttöönsä 1994 yhtenä varhaisimmista. Tällaisessa haktivismissa teknologialla on siis ensisijaisesti vain välineellinen rooli eikä teknologian käyttö sinänsä eroa itsetarkoituksellisesti muusta yhteiskunnallisten liikkeiden keinovalikoimasta. Tim Jordan määrittelee hakti- vismiksi toiminnan, joka on mahdollista ainoastaan netissä ja on riippuvainen teknologi- sesta asiantuntemuksesta. Vastaavasti hakkerit itse mieltävät haktivismin aktivismiksi, jossa vastustetaan teknologiaan ripustettuja asiakysymyksiä, kuten Internet-sensuuri.102

98 Vegh Sandor. 2003. Classifying Forms of Online Activism. The Case of Cyberprotests against the World Bank, in McCaughey, M. & Ayers, M. D. (Edit.) Cyberactivism. Online Activism in Theory and Practice, Routledge New York 2003. 99 Ibid. 100 Hintikka Kari A. Haktivismi, Kansalaisyhteiskunnan tutkimusportaali, http://kans.jyu.fi/sanasto/sanat- kansio/haktivismi 101 McCaughey Martha, Ayers Michael D. 2003. Cyberactivism: Online Activism in Theory and Practice, Routledge, New York, 2003. 102 Jordan Tim. 2008. Hacking: Digital Media and Technological Determinism, Polity Press, Cambridge UK. Hintikka Kari A. Haktivismi, Kansalaisyhteiskunnan tutkimusportaali, http://kans.jyu.fi/sanasto/sanat- kansio/haktivismi

51

5 KYBERRIKOLLISUUS

5.1 Määrittelyjä

Kyberrikollisuus voidaan määritellä eri tavoin riippuen kontekstista ja käyttötarkoituk- sesta. Yleisesti voidaan kuitenkin sanoa, että kyberrikollisuuden määritelmän täyttääk- seen rikos joko toteutetaan käyttäen hyväksi tietoteknisiä laitteita, rikoksen kohteena voi olla tietotekninen laite tai tietotekniset laitteet voivat olla toissijaisia apuvälineitä tai kohteita. Kyberrikoksina voidaan nähdä tietojärjestelmiin kohdistuvat toimet, joilla pyritään vaikuttamaan järjestelmän ja sen tietojen luottamuksellisuuteen, saatavuuteen tai muuttu- mattomuuteen, mutta niihin voidaan lukea myös mm. identiteettivarkaudet, maksuväli- nepetokset jne., joilla päästään käsiksi arkaluonteisiin tietoihin.103

Termiä kyberrikollisuus käytti ensimmäisen kerran Sussman ja Heuston vuonna 1995, mutta kyberrikoksia on tehty jo ennen sitä. Ensimmäiset vakavat kyberrikostapaukset ovat 1980-luvulta ja ensimmäinen kyberrikoksiin liittynyt tuomio annettiin vuonna 1989. Kyberrikokset tulivat mukaan lainsäädäntöön ensimmäisen kerran vuonna 1973 Ruot- sissa. Vain muutama vuosi tämän jälkeen, vuonna 1977, luotiin USA:ssa nykyaikaisen kyberrikollisuutta koskevan lainsäädännön pohja.104

Kyberrikollisuus muodostuu viestintäverkkoja ja tietojärjestelmiä hyödyntäen tehdyistä sekä niihin kohdistuvista rikoksista. Kyberrikollisuuden vaikutukset kohdistuvat tietojär- jestelmien kautta niin valtioihin, yksityisiin kansalaisiin kuin organisaatioiden toimin- taan. Kyberrikoksia ovat esimerkiksi tietojen kalastelu, identiteettivarkaudet ja palve- lunestohyökkäykset.105

EU komissio määrittelee kyber/tietoverkkorikollisuuden (engl. cyber crime) rikoksiksi, "jotka tehdään sähköisiä viestintäverkkoja ja tietojärjestelmiä hyödyntäen tai jotka koh- distuvat mainittuihin verkkoihin ja järjestelmiin". Rikollisuus hyödyntää internetiä lä- hinnä seuraavilla tavoilla:

• Jakelukanavana • Kommunikaatiovälineenä • Rikoksentekovälineenä

Tietoverkkorikollisuus voidaan komission mukaan jakaa kolmeen alaryhmään. 1) Ensim- mäiseen ryhmään kuuluvat perinteiset rikollisuuden muodot, jotka on tehty käyttäen hyväksi sähköisiä viestintäverkkoja ja tietojärjestelmiä. Tällaisia rikoksia voivat olla eri- lainen häirintä, uhkailu tai taloudellinen hyväksikäyttö. 2) Toiseen ryhmään kuuluu lait-

103 Valkama Sari. 2019. Kyberrikoksista ilmoittaminen poliisille – Kaupunkien ja poliisin välinen yhteistyö, Jyväskylän yliopisto, pro gradu -tutkielma. 104 Ibid. 105 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea, 2018.

52 toman sisällön julkaiseminen sähköisissä viestimissä. Tyypillisiä esimerkkejä tähän ryh- mään kuuluvista rikoksista ovat lapsen seksuaaliseen hyväksikäyttöön tai rasismiin liit- tyvän materiaalin levittäminen sähköisissä viestimissä. 3) Kolmas tietoverkkorikollisuu- den ryhmä ovat rikokset, joita esiintyy ainoastaan sähköisissä verkoissa, kuten hyök- käykset tietoverkkoa vastaan, palvelunesto tai hakkerointi. Tällaiset hyökkäykset saatta- vat vaikuttaa myös elintärkeisiin yhteiskunnan toimintoihin ja hyökkäyksillä voi siten olla vakavia seurauksia kansalaisten turvallisuuden kannalta.106

Kyberrikokset on määritelty Suomen rikoslain (19.12.1889) uudemmassa luvussa 38 (21.4.1995/578) tieto- ja viestintä rikoksista ja osa luvussa 36, joka käsittelee petoksia. Suomen rikoslaissa rikoksiksi on määritelty: 1. Salassapitovelvollisuuden rikkominen 2. Viestintäsalaisuuden loukkaus tai sen yritys 3. Tietoliikenteen häirintä 4. Tietojärjestelmän häirintä tai sen yritys 5. Tietomurrot 6. Suojauksen purkujärjestelmä rikos 7. Henkilörekisteririkos 8. Identiteettivarkaus

5.2 Kyberrikollisuuden ilmentymiä

Kyberrikollisuuden yleisiä kehityssuuntauksia:

• Tietoverkkorikollisuus lisääntyy jatkuvasti, ja rikollisten toiminta on yhä kehitty- neempää ja samalla kansainvälisempää.107 • Selvät todisteet viittaavat siihen, että tietoverkkorikollisuudessa on yhä useam- min mukana järjestäytyneitä rikollisryhmiä.

Vielä 10 vuotta sitten virusten kirjoittaminen oli nuorehkojen miesten harrastus, jolla he tavoittelivat huvia ja mainetta vertaistensa joukossa. Nykyisin verkkorikollisuus on am- mattimaista toimintaa, jolla tavoitellaan taloudellista hyötyä. Rikolliset toimivat harvoin yksin, mutta eivät välttämättä muodosta kiinteää organisaatiota. Tyypillisintä on alihan- kinnan kaltainen yhteistyö, jossa rikolliset ovat omaksuneet eri rooleja. Taitava ohjel- moija voi kirjoittaa haittaohjelmia ja myydä niitä edelleen bot-verkon ylläpitäjälle. Yllä- pitäjä puolestaan myy verkkonsa palveluja roskapostittajalle tai palvelunestohyökkäyk- sillä yrityksiä uhkaavalle kiristäjälle. Myös luottokortteja ja pankkitilejä kauppaavat ta- hot ovat taipuvaisia myymään tietonsa eteenpäin sen sijaan, että käyttäisivät niitä itse.

106 EC. 2007. EU komission tiedonanto, Tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torju- miseksi, Bryssel 22.5.2007, KOM(2007) 267 lopullinen. 107 Suurin osa tietoverkkorikollisuuden kehityssuuntauksia koskevista tiedoista on peräisin komission vuonna 2006 tilaamasta tutkimuksesta Study to assess the impact of a communication on cyber crime (sopimus nro JLS/2006/A1/003).

53

Nämä monimutkaiset ketjut tekevät rikosten selvittämisestä äärimmäisen vaikeaa, var- sinkin kun syylliset voivat olla hajaantuneina eri puolille maailmaa. Monesti jäljet päät- tyvät maahan, jonka viranomaisilta puuttuu tahto, resurssit tai toimivalta tapausten sel- vittämiseen. Erityisesti Kiinan, Etelä-Amerikan osien sekä entisen Neuvostoliiton tiede- tään houkuttelevan verkkorikollisia. Suuri osa haittaohjelmista on yleisen käsityksen mu- kaan kirjoitettu Venäjällä, joskin niiden hyödyntäjät ovat levittäytyneet eri puolille maa- ilmaa. Koska kiinnijäämisen riski on vähäinen, verkkorikollisuus on varsin kannattavaa toimintaa. Potentiaalisten uhrien joukko on niin laaja, että se korvaa pienen onnistumis- prosentin tai vähäisen yksikköhyödyn. Näytön puuttuminen kotimaisista verkkorikolli- sista ei tarkoita, ettei heitä olisi. Yhtä lailla on mahdollista, että hyökkäykset kierrätetään esimerkiksi Venäjän kautta jälkien peittämiseksi. 108

Rikosjäljet, kuten tekopaikka, tekotapa, rikoshyöty ja tekijä on mahdollista nopeasti tie- totekniikan avulla häivyttää kyberavaruuteen. Tällöin syntyy ns. attribuutio-ongelma, mikä tarkoittaa hyökkäyksellisen kyberoperaation toteuttajan tunnistamisen, paikanta- misen ja tarvittaessa oikeudelliseen vastuuseen saattamisen vaikeutta. Hyökkäykselli- sen kyberoperaation toteuttaja käyttää usein kaapattuja tietokoneita, palvelimia ja muita verkkoon kytkettyjä laitteita. Tästä syystä toteuttajaa ei pystytä paikantamaan IP- osoitteen perusteella, mikä tekee tämän tunnistamisesta ja paikantamisesta vaikeaa. Li- säksi valtioiden erilaiset oikeudelliset käytännöt estävät hyökkäyksen toteuttajan saa- misen lailliseen edesvastuuseen, vaikka tämä olisi tunnistettu ja paikannettu. 109

Verkkomaailmaa hyödyntävä kyberrikollisuus on kasvava ala. Tietoverkkorikollisuuden maailmanlaajuiset kustannukset kasvavat 15 prosenttia vuodessa seuraavien viiden vuo- den aikana, saavuttaen 10,5 biljoonaa dollaria vuodessa vuoteen 2025 mennessä, kun se oli 3 biljoonaan dollaria vuonna 2015. Tämä edustaa historian suurinta taloudellisen vaurauden siirtoa, vaarantaa innovaatioiden ja investointien kannustimet, on eksponen- tiaalisesti suurempi kuin luonnonkatastrofien aiheuttamat vahingot vuodessa, ja se on kannattavampaa kuin kaikkien laittomien huumeiden maailmanlaajuinen kauppa yh- teensä.110 Arvioiden mukaan kyberrikollisuuden osuus globaalista BKT:sta on yli 1,0 %111.

Kyberrikolliset kohdistavat hyökkäyksiä hyvin aktiivisesti. Kuviossa 16 on esitetty kyber- rikollisuuden eri muotoja ja arvioitu päivittäistä aktiviteettia.112

108 Ibid. 109 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea. 110 Intrusion. 2020. Cybercrime to Cost the World $10.5 Trillion Annually By 2025, on-line info, Novem- ber 18, 2020. 111 McAfee. 2020. The Hidden Costs of Cybercrime, December 2020. 112 McAfee. 2018. Economic Impact of Cybercrime - No Slowing Down, February 2018.

54

KUVIO 16 Kyberrikollisuuden muotoja ja päivittäinen aktiivisuus

Raporttien mukaan kyberuhkien merkittävimmät trendit olivat kiristyshaittaohjelmien kasvu, haavoittuvuuksien hyödyntäminen, laitteistoihin kohdistuvat uhkat, yrityksen sisäpiiri hyökkäyskanavana, liiketoiminnan tuhoamiseen tähtäävät hyökkäykset sekä henkilötietojen varastamiseen tähtäävät hyökkäykset. Myös huijaukset ja tietojen ka- lastelut, palvelunestohyökkäykset, kohdistetut hyökkäykset sekä jatkuvat hyökkäykset mainittiin useassa raportissa.113

Kuviossa 17 on esitetty kyberrikollisuuden aiheuttamien kustannusten kasvu vuosina 2013–2020. 114

KUVIO 17 Kyberrikollisuuden alueellinen jakautuminen 2017

113 Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T., Salminen M. 2017. Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017. 114 McAfee. 2020. The Hidden Costs of Cybercrime, December 2020.

55

Cisco on vuoden 2016 kyberuhkaraportissaan nostanut haavoittuvuudet edelleen yh- deksi päätrendiksi kyberuhkien alueella. Haavoittuvuudet antavat rikollisille mahdolli- suuden aikaikkunan toimia. Tätä rikolliset osaavat hyödyntää; hyökkäyskampanjoita ehditään käynnistää ennen kuin sovelluksen heikot kohdat löydetään. Rikolliset hyö- dyntävät mm. hyökkäystyökalupakkeja, kiristys- ja muita haittaohjelmia, käyttäjän ma- nipulointia yms. Vaikka palvelun tarjoajat uudistavat ja hienosäätävät sovelluskehityk- sen prosesseja, kehittävät kyberhyökkääjät kuitenkin jatkuvasti uusia taitoja, jotta tie- toturva-aukot löydettäisiin nopeasti ja pystyttäisiin hyödyntämään hyökkäyksissä. Ky- berhyökkääjät tekevät yhä enemmän hyökkäyksiä, jotka ovat yhä monimutkaisempia sekä haasteellisempia puolustaa. Tietoturva-asiantuntijoiden on jatkuvasti pidettävä yllä ymmärrystä ja tietoa haavoittuvuuksista sekä käytettävä vahvaa ja huolellista kor- jaustiedostojen päivitysrutiinia. 115

Hyökkääjät etsivät sisäänpääsyä yritysten järjestelmiin yhä alempaa, laitteistojen yti- mestä. Hyökkäyksiä on tehty levyasemien laiteohjelmiin sekä grafiikan prosessointiyk- siköihin. Hyökkäykset, jotka hyödyntävät BIOS tai muita laiteohjelmien haavoittuvuuk- sia, osoittavat, että kontrollia saavutetaan sitä enemmän, mitä alemmaksi mennään. Onnistuneiden laitteistohyökkäyksien avulla hyökkääjä pääsee koko fyysiseen konee- seen ilman hälytyksiä. Virtuaalikoneet, koko muistialue, kaikki levyasemat jatkavat toi- mintaa normaalisti jopa uudelleenkäynnistyksen ja uudelleenasennuksen jälkeen.

Yksi merkittävistä kybertoimintaympäristön trendeistä on eri tavoin liiketoiminnan tu- hoamiseen tähtäävät hyökkäykset. Mandiant raportoi tutkimuksessaan, kuinka hyök- kääjät tuhosivat kriittisiä liiketoiminnan järjestelmiä, julkaisivat luottamuksellista tie- toa, kiristivät yrityksiä ja pilkkasivat yritysten johtoa. Joidenkin hyökkääjien motiivina oli raha, jotkut kostivat, jotkut kostivat poliittisista syistä ja jotkut halusivat häväistä. Mandiant myös mainitsee, että tuhoamiseen tähtäävät hyökkäykset eroavat perintei- sistä ”hitaista ja hiljaisista” hyökkäyksistä, joissa verkkoon on tunkeuduttu ja tietoa va- rastettu ilman, että on jääty kiinni. Tuhoamiseen tähtäävillä hyökkäyksillä halutaan tuoda julkisuutta hyökkääjälle tai hyökkääjän ajamalle asialle. Lisäksi tuhoamiseen täh- täävät hyökkäykset johtivat usein luottamuksellisen tiedon julkistamiseen – sen seu- rauksena häväistykseen sekä maineen pilaamiseen. Joissakin tapauksissa yritykset ei- vät enää pystyneet jatkamaan liiketoimintaa. Hyökkäyksen seurauksena yritysten joh- tohenkilöitä joutui eroamaan, suuria lunnassummia jouduttiin maksamaan sekä kalliita järjestelmän uusimisia jouduttiin tekemään. Mandiant arvioi, että liiketoiminnan tu- hoamiseen tähtäävät hyökkäykset ovat kasvussa. Tämä johtuu siitä, että hyökkäyksellä saadaan korkea vaikutus alhaisella kustannuksella. Tuhoamiseen tähtäävää ”kyberky- vykkyyttä” kutsutaan asymmetriseksi, koska se voi aiheuttaa hyvin merkittävää ja suh- teetonta tuhoa ilman, että hyökkääjillä tarvitsee olla suuria resurssimääriä tai teknistä edistyksellisyyttä. 116

115 Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T., Salminen M. 2017. Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017. 116 Ibid.

56

Mandiant on myös tutkimuksissaan havainnut, että henkilötietojen varastamiseen täh- täävät hyökkäykset ovat lisääntyneet. Tutkituissa tapauksissa näytti siltä, että varas- tettu tietomäärä oli niin suuri, että tavoitteena oli kerätä mahdollisimman paljon hen- kilötietoja eikä niinkään saada käsiin yksittäisten ihmisten tietoja. Mandiantin tutki- musten mukaan nämä toimijat voidaan jäljittää Kiinaan. Hyökkäykset kohdentuivat usealle eri toimialalle: terveystoimialaan, matkustamiseen, rahoitusalaan sekä jul- kishallintoon. Hyökkääjät tähtäsivät erityisesti sellaiseen tietoon, jota he voisivat käyt- tää todentaakseen henkilöllisyyden, esimerkiksi sosiaaliturvavakuutustietoihin, synty- mäpäiviin, työnantajahistoriatietoihin ja kysymys/vastaus -tietoihin. 117

5.3 Yhteistyö kyberrikollisuutta vastaan lisääntyy

Rikosten ennaltaehkäisy-, torjunta- ja tutkintavastuu on useilla toimijoilla:118

• Vastuu verkkokäyttäytymisestä ja henkilökohtaisista suojausratkaisuista on jo- kaisella käyttäjällä itsellään • Vastuu ohjelmistohaavoittuvuuksien korjaamisesta on ohjelmistojen valmista- jilla • Vastuu palvelun laillisuudesta, toimivuudesta ja turvallisuudesta on palveluntar- joajalla • Vastuu tietoteknisen infrastruktuurin toimivuudesta ja turvallisuudesta on ope- raattoreilla ja viranomaisilla • Vastuu tietoverkkorikosten tutkinnasta on poliisiviranomaisilla

Valtiot, yritykset ja poliisijärjestöt pyrkivät yhä tiiviimpään yhteistyöhön verkkorikolli- suutta vastaan. Kansainvälisen verkkoturvallisuusliittouma (International Cyber Secu- rity Protection Alliance, ICSPA) perustettiin syksyllä 2010 tehtävänään asiantuntemusta ja tietoja jakamalla auttaa verkkorikollisuutta tutkivia poliisiorganisaatioita eri puolilla maailmaa. Liittouma ohjaa myös rahoitusta julkiselle sektorille verkkorikollisuuden vas- taiseen toimintaan. Lontoossa perustetun järjestön takana ovat Iso-Britannia, Yhdys- vallat, Kanada, Australia ja Uusi-Seelanti. Lisäksi toimintaan osallistuu Europol sekä kansainvälisiä yrityksiä kuten Cassidian (nykyisin Airbus), Core Security Technologies, McAfee Inc., Shop Direct Group, Transactis, Trend Micro, Visa Europe, Yodel.119

Europolin kyberrikollisuuskeskus (European Cybercrime Centre, EC3) aloitti toimintansa 1.1.2013. EC3 on ollut johtavassa asemassa lainvalvontaviranomaisten reagoidessa lun- nashaittaohjelma-hyökkäyksiin. EU:n tietotekniikan CERT-kriisiryhmä on tehnyt tiivistä yhteistyötä Euroopan kyberrikollisuuskeskuksen, hyökkäyksen kohteeksi joutuneiden

117 Ibid. 118 Secmeter. http://www.secmeter.com/verkkorikollisuus.html 119 ICSPA. www.icspa.org/home/

57 maiden tietoturvaloukkausten käsittelyryhmien, kyberrikollisuusyksiköiden ja keskeis- ten teollisuuskumppaneiden kanssa uhan lievittämisessä ja uhrien auttamisessa.120

Interpolin Global Complex for Innovation (IGCI) kyberrikollisuuden torjuntaan on perus- tettu Digital Crime Centre. Interpol auttaa koordinoimaan kansainvälisiä tietoverkkori- kollisuutta koskevia tutkimuksia ja operaatioita joko paikan päällä tai etäyhteydellä. Interpol kansallisia poliiseja kentällä toimivissa taktisissa tehtävissä, joiden tarkoituk- sena on hajottaa erilaisten tietoverkkorikollisuuden rikollisverkostot ja selvittää tieto- verkkorikollisten identiteetti rikosten takana. Vuonna 2016 toteutettiin yhteinen ope- raatio Interpolin ja Nigerian talous- ja rahoitusrikoskomission (Nigerian Economic and Financial Crime Commission) välillä. Operaatiossa poliisi pidätti kansainvälisen rikollis- verkoston takana toimineen johtajan, jonka vastuulla oli tuhansia verkkopetoksia yh- teensä yli 60 miljoonan dollarin arvosta. Rikollisverkostoon osallistui ainakin 40 henkilöä Nigeriasta, Malesiasta ja Etelä-Afrikasta.121

5.4 Yksityisyyden suoja

Yksityisyyden suojalla viitataan Suomen perustuslain yksityiselämän suojaa käsittele- vään kymmenenteen pykälään, rikoslain lukuun, jossa kielletään kotirauhan ja viestin- täsalaisuuden rikkominen sekä sellaisen toisen ihmisen yksityiselämää koskevan tiedon saattaminen lukuisten ihmisten saataville, josta voi aiheutua hänelle vahinkoa, kärsi- mystä tai häneen kohdistuvaa halveksuntaa. Tietosuojalaissa sekä viranomaisten toi- minnan julkisuutta käsittelevässä laissa säädetään yksityisyyden suojan piiriin kuuluvista henkilökohtaisten ja henkilökohtaisiin oloihin liittyvien asiakirjojen ja tietojen tallenta- mis- ja säilytysoikeudesta ja salaamisvelvollisuudesta sekä tietojen tarkistus- poistatta- mis- ja korjausoikeudesta eli tietosuojasta.

Perustuslain määrittelemästä yksityiselämän suojasta voidaan poiketa ainoastaan ta- pauksissa, joissa se on välttämätöntä perusoikeuksien turvaamisen, rikosten selvittämi- sen, yksilön tai yhteiskunnan turvallisuuden sekä vankeusrangaistuksen aikana, mikäli tällaisesta poikkeamisesta on säädetty erikseen laissa.

Oikeus yksityisyyden suojaan on Suomen perustuslain turvaama henkilöllinen oikeus- hyvä eli oikeusjärjestyksen suojelema etu. Suomen perustuslain 10 §:n mukaan henkilö- tietojen suojasta säädetään lailla. Henkilötietojen käsittelyä koskevia erillisiä vaatimuk- sia tulee osaltaan myös Euroopan unionin normeista sekä muista kansainvälisistä sään- nöksistä, normeista ja suosituksista. Yksityisyyden suojaan vaikuttavat lait ovat henkilö- tietolaki, laki viranomaisten toiminnan julkisuudesta, laki yksityisyyden suojasta työelä-

120 EU komissio. 2017. Tiedonanto Euroopan parlamentille, Eurooppa neuvostolle ja neuvostolle - Seitse- mäs raportti edistymisestä kohti toimivaa ja todellista turvallisuus-unionia, COM(2017) 261 final, Stras- bourg 16.5.2017 121 INTERPOL. https://www.interpol.int/Crimes/Cybercrime/Our-cyber-operations

58 mässä, Tietoyhteiskuntakaari (ent. sähköisen viestinnän tietosuojalaki) sekä EU:n direk- tiivit: henkilötietodirektiivi (46/1995/EY) ja sähköisen viestinnän tietosuojadirektiivi (58/2002/EY).

Identiteettivarkaus (engl. identity theft) tarkoittaa toisen henkilötietojen kuten nimen tai henkilötunnuksen eli identiteetin oikeudetonta käyttöä. Usein varas pyrkii tekemään rahanarvoisia sitoumuksia toisen henkilön identiteetin nimissä.[1] Identiteettivarkaudet ovat yleistyneet ja helpottuneet sähköisten tietoverkkojen käytön yleistyessä 2010-lu- vulla. Esimerkiksi Yhdysvalloissa, jossa ei ole minkäänlaista henkilökorttijärjestelmää eikä väestörekisteriä, niitä paljastuu vuosittain miljoonia ja Suomessakin yhä enemmän pikavippien yhteydessä.

Identiteettivarkaus tuli rangaistavaksi 4.9.2015 voimaan tulleella lainuudistuksella (368/2015). Rikoksen täyttymiseksi tekijän tulee erehdyttää kolmatta osapuolta ja ai- heuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa uhrille. Oikeudellisesti identiteettivarkaudessa voi olla kyse myös esimerkiksi väärän henkilötiedon antami- sesta viranomaiselle (rikoslain 16. luku), petoksesta (rikoslain 36. luku) tai maksuväli- nepetoksesta (rikoslain 37 luku).

Kyberrikolliset käyttävät hyväkseen sosiaalista manipulointia saadakseen käyttäjien henkilökohtaisia tietoja käyttämällä valekäyttäjätilejä ja rakentamalla luottamusta uh- riin. Toiminta perustuu ihmisten luontaiseen luottamukseen toisiaan kohtaan. Sosiaali- sen median laajentuessa sosiaalinen manipulointi on noussut yhdeksi isoimmista uhista virtuaaliyhteisöissä. Sosiaalisen manipuloinnin päävaiheet ovat tiedon keräys avoimista lähteistä, kohteen sosiaalisen verkoston median analysointi, kohteen sosiaalinen mani- pulointi, tiedon kokoaminen.122

Erilaisilla hyökkäysmuodoilla pyritään tavoitteeseen. Spoofing tarkoittaa hyökkäystä, jossa henkilö tai ohjelma naamioituu toiseksi. Yleensä sitä käytetään muuttamaan verkko-osoite tai -sivu toiseksi. Phishing on spoofingin muoto, jossa nettisivu on luotu- näyttämään aidolta, mutta se sijaitsee hyökkääjän hallitsemalla palvelimella. Yleensä käyttäjä yritetään saada tällaiselle nettisivulle sähköpostin kautta. Sivustolla on tarkoi- tus saada tietoon käyttäjän henkilökohtaisia tietoja. Näitä hyökkäyksiä tehdään sekä yk- sityisille henkilöille, että yrityksille. Pharming on hyökkäys, jossa hakkeri yrittää ohjata nettisivun liikenteen toiselle valenettisivulle. Saaduilla henkilökohtaisilla tiedoilla voi- daan tehdä maksuja tai valetilejä sekä estää uhrin pääsy omille tileilleen.123

122 Thakur, Kutub, Thaier Hayajneh, ja Jason Tseng. 2019. Cyber Security in Social Media: Challenges and the Way Forward, IT Professional 21, no. 2 (2019): 41-49. 123 Thakur, Kutub, Thaier Hayajneh, Jason Tseng. 2019. Cyber Security in Social Media: Challenges and the Way Forward. IT Professional 21, no. 2 (2019): 41-49. Ramakrishnan, Ullas, J K. Tandon. 2018. The Evolving Landscape of Cyber Threats. Vidwat 11, no. 1 (2018): 31-35.

59

6 KYBERTIEDUSTELU JA -VAKOILU

6.1 Määrittelyä

Kybertiedustelu on julkisiin ja ei-julkisiin lähteisiin kohdistuvaa tiedonhankintaa, jonka tarkoituksena on kartoittaa ja lisätä ymmärrystä erilaisista uhista, riskeistä ja muutok- sista niin maan sisällä kuin rajojen ulkopuolella. Tiedustelutoiminnan tavoitteena on tuottaa varhaisvaiheen tietoa, joka mahdollistaa uhkiin, riskeihin ja muutoksiin vaikut- tamisen ja varautumisen. Tiedusteluun kuuluu tiedon analysointi, jonka avulla erilaisia turvallisuusympäristön epävarmuustekijöitä pyritään jäsentämään.

Kybervakoilu voidaan määritellä toimiksi, joilla hankitaan salaisia tietoja (sensitiivinen, yksityisoikeudellinen tai turvaluokiteltu) yksityisiltä ihmisiltä, kilpailijoilta, ryhmiltä, hal- lituksilta ja vastustajilta poliittisen, sotilaallisen tai taloudellisen edun saavuttamiseksi käyttäen laittomia menetelmiä internetissä, verkoissa, ohjelmistoissa tai tietoko- neissa.124

Kolmannen kokonaisuuden muodostaa tiedonhankinta, jota eri palveluntarjoajat teke- vät yleensä sitä perustellen ”käyttäjäkokemusten parantamisella”. Erilaisten digitaalis- ten palveluiden käyttäjinä olemme antaneet luvan tietojen kokoamiseen, jakamiseen ja käyttämiseen.

Kuviossa 18 on esitetty noiden kolmen tiedonkeräämisen kokonaisuus.

KUVIO 18 Kybertiedustelu, kybervakoilu ja tietojen kokoaminen

124 Liaropoulos Andrew. 2010. War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Pro- ceedings of the 9th European Conference on Information Warfare and Security, the Department of Ap- plied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 177-182.

60

Kybertoimintaympäristössä tapahtuva vakoilu voi jatkua jopa vuosia huomaamatta. Tur- vallisuusviranomaisten arvion mukaan useat ulkovallat pyrkivät kohdistamaan laajaa ja teknisesti edistynyttä kybervakoilua Suomen valtionhallintoon ja kansantaloudellista merkitystä omaaviin yrityksiin. Kybervakoilussa tekovälineenä ei ole tavallinen kaupalli- sella virustorjuntaohjelmalla havaittava haittaohjelma, vaan teknisesti kehittynyt ja mo- nipuolinen verkkohyökkäystyökalu. Työkalun ensimmäisenä tehtävänä on verkon tietyn osan haltuunotto ja seuraavana tehtävänä kehittyneimpien hyökkäyksellisten vakoilu- ja haittaohjelmien asentaminen. Vakoiluoperaatio on ennakkoon tarkoin suunniteltu ja sillä on täsmällinen operatiivinen tavoite kerätä tietoa esimerkiksi kohdevaltion ulko- ja turvallisuuspolitiikkaan, talouteen ja teollisuuteen liittyvistä seikoista. Tiedusteluohjel- mien lisäksi voidaan tietojärjestelmiin toimittaa haittaohjelmia, jotka aktivoituvat kriisin alkaessa. Uudet teknologiat luovat uusia mahdollisuuksia kyberoperaatioilla käytävään sodankäyntiin, jonka vaikutukset kohdistetaan koko yhteiskuntaan, ei ainoastaan ase- voimiin.125

Kybervakoilun ja -operaatioiden merkitys kasvaa tulevina vuosina entisestään. Syitä tälle ovat mahdollisuus toteuttaa kybertoimintaympäristössä tekoja alhaisin kustannuksin, suojautumisen vaikeus ja kalleus sekä vähäinen kiinnijäämisriski. Myös kaikki Suomen turvallisuusympäristön kehityksen kannalta olennaiset ulkovallat panostavat määrätie- toisesti ja mittavasti offensiivisen kyberkapasiteettinsa rakentamiseen.126

Kybertiedustelu/vakoilu jakaantuu kahteen alaryhmään. Ensimmäisen muodostaa toi- minta, jolla hankitaan tietoja tietoverkkojen avulla osana muuta tiedustelua. Toisen ryh- män muodostaa toiminta, jolla hankitaan tietoja muiden kyberoperaatioiden toteutta- miseksi kuten esimerkiksi salasanoja talousrikosten toteuttamiseksi tai järjestelmätie- toja hyökkäyksiin kriittistä informaatioinfrastruktuuria kohtaan.

Kybervakoilua käydään koko ajan. Eri maiden kyberorganisaatiot hakkeroivat mahdolli- sia vastustajiaan jatkuvasti. Kysymys ei ole ilkivallasta, vaan ammattimaisesta vakoilusta, jolla etsitään vastustajan heikkoja kohtia ja hankitaan strategisen tason tietoja. Suuria ja perinteisiä toimijoita ovat USA, Kiina ja Venäjä, mutta myös Israel, Ranska, Iran ja Poh- jois-Korea ovat aktiivisia. Intia, Pakistan ja Etelä-Korea rakentavat parhaillaan kyberka- pasiteettiaan. Uusin tulokas alalla on Brasilia. Kiina perusti ensimmäisen kybersotayksik- könsä osaksi asevoimiaan vuonna 2003. Pohjois-Korealla on neljä kybersodan yksikköä, ja sen uskotaan toimivan läheisessä yhteistyössä Kiinan kanssa, koska sitä kautta on pa- remmat yhteydet maailmalle. Etelä-Korea koki pahimman hyökkäyksen, kun vuonna 2009 vajaan 170 000 koneen botnet kävi sen pankkien kimppuun. Koneet olivat jakau- tuneet 74 maahan.127

Yhdysvaltain ja Kiinan välisiä taloudellisia ja turvallisuussuhteita seuraavan komission jä- sen Larry Wortzel piti todennäköisimpänä, että vuodenvaihteen 2010–2011 suurten

125 Puolustusministeriö. 2013. Suomalaisen tiedustelulainsäädännön suuntaviivoja. Tiedonhankintalaki- työryhmän mietintö, 13.12.2013. 126 Ibid. 127 Bergqvist Jaakko. 2010. Sinä olet sodassa; Sofistikoitujen algoritmien kamppailua kyberavaruudessa, Suomen sotilas 5/2010.

61 verkkohyökkäysten takana on Kiinan hallitus, jonka tavoitteena oli heikentää Kiinan hal- lituksen vastaista kritiikkiä. Vaikka Kiinan hallituksen osallisuudesta ei olekaan varmaan näyttöä, logiikka viittasi hallituksen osallisuuteen. Google toi julki tammikuussa, että sitä ja useita muita yhdysvaltalaisyrityksiä vastaan oli tehty laajoja verkkohyökkäyksiä Kii- nasta käsin viime vuoden lopulla. Wortzelin mukaan ottaen huomioon hyökkäysten kes- ton, systemaattisuuden ja hienostuneisuuden, ne ovat mitä todennäköisimmin valtion ohjaamia. Yrityshyökkäysten lisäksi Kiinasta käsin on pyritty hankkimaan myös sotilaal- lista, teknologista ja tieteellistä informaatiota.128

6.2 Esimerkkejä vakoiluhyökkäyksistä

Huhtikuussa 2009 kybervakoilijat tunkeutuivat Pentagoniin ja siellä Joint Strike Fighter - projektin tiedostoihin ja anastivat millisekunneissa useita teratavuja dataa, joka liittyi F- 35 häivehävittäjän suunnitteluun ja elektroniikkaan. Hyökkääjää ei voitu varmasti iden- tifioida, mutta epäilyt kohdistuivat Kiinaan.

GhostNet on maaliskuussa 2009 paljastettu suuri elektroninen vakoiluverkosto, joka oli tunkeutunut ainakin 1295 tietokoneeseen 103 maassa. Murrettujen järjestelmien jou- kossa on suurlähetystöjen, ulkoministeriöiden ja muiden virastojen tietokoneita, joita voitiin ohjailla ja valvoa. Jäljet johtivat Kiinaan, joka on kieltänyt olleensa operaation ta- kana.

Kesällä 2011 paljastui laaja kybervakoiluoperaatio, joka oli kestänyt ainakin viisi vuotta. Tässä Shady RAT -operaatiossa pääkohde oli Yhdysvallat ja sen hallinto ja aseteollisuu- den yritykset. Yhteensä voitiin tunnistaa varmasti 72 kohdetta, joita oli Yhdysvaltojen lisäksi Intiassa, Etelä-Koreassa, Taiwanissa, Vietnamissa ja Kanadassa. Toiminta oli jat- kunut jo viiden vuoden ajan. Samana vuonna havaittiin verkossa Duqu-haittaohjelma, joka keräsi tietoa teollisuuslaitoksista kyberhyökkäysten valmistelemiseksi. Duqun arvi- oitiin toimeen verkossa neljä vuotta.

Kybertiedustelun huippua edustaa toukokuussa 2012 paljastunut Flame-vakoiluoh- jelma, joka on ollut toiminnassa jo useiden vuosien ajan. Ohjelma kykenee kaappaa- maan tietoa saastuneen tietokoneen näppäimistöltä, ruudulta ja monista erilaisista tie- dostoista. Se osaa salakuunnella tietokoneen mikrofonia ja käyttää hyväkseen tietoko- neeseen bluetooth-yhteydellä liitettyjä päätelaitteita. Flame saastuttaa koneeseen kyt- kettyjä usb-muistitikkuja. Flamen taustalla ovat olleet alansa ehdottomat huiput, sillä Flamen kehittäminen on edellyttänyt alan uusimpien teknologioiden syvällistä tunte- mista. Tämän ohjelman arvioitiin toimineen verkossa viisi vuotta.

Vuonna 2013 raportoitiin NetTraveler-haittaohjelmasta, joka oli ollut toiminnassa vuo- desta 2004. Tässä ainakin vuoteen 2016 jatkuneessa operaatiossa kohteena on ollut yli

128 Siljamäki Heikki. 2010. Kiinan hallitus todennäköisesti hyökkäysten takana, marraskuu 2010, http://www.tietoviikko.fi.

62

350 organisaatiota 40 maasta. Hyökkäyskohteita ovat olleet avaruus-, nano, energia-, ydin-, laser- ja tietoliikenneteknologian sekä farmasian tietovarannot.

Vuonna 2014 havaittiin Regin-haittaohjelma, joka oli ollut käytössä jo vuodesta 2008 asti. Regin on enemmän ohjelmisto kuin yksittäinen ohjelma ja se oli tuolloin historian kehittynein ja monipuolisin. Tämä monitasoinen vakoiluohjelma kykeni hallitsemaan kohdettaan täydellisesti ja leviämään tehokkaasti. Kohteita oli ainakin 14 maassa.

Vuonna 2015 Yhdysvaltain Office of Personnel Management (OPM) ilmoitti, että se oli joutunut tietomurron kohteeksi, jossa siltä anastettiin noin 21,5 miljoonan liittovaltion työntekijän (nykyisiä ja entisiä) henkilörekisteritietoja kuten sosiaaliturvatunnus, nimi, syntymäaika ja -paikka sekä osoite.

Vuonna 2016 raportoitiin Remsec-haittaohjelma-alustasta (ProjectSauron). Sen arvioi- daan toimineen vuodesta 2011. Kohteita sillä on ollut ainakin 30 useassa maassa ja se kykenee asentamaan takaovia, varastamaan tietoja ja tallentamaan näppäimistön käyttöä.

Vuonna 2021 Supo kertoi tunnistaneensa vuonna 2020 eduskuntaan kohdistuneen ky- bervakoiluoperaation, jossa yritettiin tunkeutua eduskunnan tietojärjestelmiin. Suoje- lupoliisin tietojen mukaan kybervakoilu tuli Kiinaan yhdistetyltä taholta. Tiedustelutie- tojen mukaan kyseessä oli niin kutsuttu APT31-operaatio, eli valtiollinen kybervakoi- luoperaatio, jossa yritettiin tunkeutua eduskunnan tietojärjestelmiin. Kyberhyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa. Hyökkäyksessä eduskunnan sähköpostitilien tietoturva vaarantui. Osa vaarantuneista sähköpostitileistä kuului kan- sanedustajille. Eduskunta on vahvistanut vakoilun jälkeen tietoturvaansa.129

Keskeistä kybertiedustelun kehitykselle on ollut haittaohjelmien monimutkaisuuden ja kyvykkyyden kasvu samalla kun niiden havaitseminen on käynyt yhä vaikeammaksi.

Suojelupoliisin vuoden 2019 raportti nostaa esille kybervakoilun. SUPO:n päällikön Antti Pelttarin mukaan tiedustelun määrä on pysynyt viime vuosina samana. Tiedus- telu kohdistuu erityisesti suomalaiseen tietoon ja taitoon.130

– Varsinkin kybervakoilulla on käytännön vaikutuksia suomalaisten yritysten kilpailuky- kyyn. Kybervakoilun kautta voidaan viedä esimerkiksi suomalaista tietoa, jota ei Suo- messa kyetä hyödyntämään.

Supon arvion mukaan tiedustelu voi kohdistua teknologian osaamiseen Suomessa tai vientivalvonnan alaisiin tuotteisiin. Vuonna 2020 havaittiin intensiivisiä valtiollisia kyber- vakoiluyrityksiä, jotka kohdistuivat Suomen ulko- ja turvallisuuspoliittisen päätöksen- teon valmisteluun. 131

129 https://yle.fi/uutiset/3-11843261 130 SUPO. 2019. Vuosikirja 2019. 131 SUPO. 2020. Vuosikirja 2020. SUPO. 2019. Vuosikirja 2019.

63

7 KYBERTERRORISMI

7.1 Määrittelyjä

Kyberterrorismille ei ole olemassa yksittäistä, laajasti hyväksyttyä määritelmää. Määrit- telyn kannalta erityisen keskeistä on se, kuinka kyberterrorismi on erotettavissa muista kyberrikollisuuden muodoista ja kyberekstremismistä. Määrittelyn kannalta keskeisiä elementtejä ovat teon oikeudellinen konteksti, kyberavaruus toimintaympäristönä sekä teon tavoitteet.132

Maailman johtavat valtiot ovat nimenneet kyberterrorismin yhdeksi lähitulevaisuuden vakavimmaksi turvallisuusuhkaksi. Viimeaikaisten, eri puolilla maailmaa tapahtuneiden terrorihyökkäysten sekä taistelun The Islamic State of Iraq and the Levant (ISIL)/ISIS jär- jestöä vastaan arvioidaan lisänneen kyberterrorismin uhkaa. Silti on esitetty voimakkaita väitteitä siitä, että kyberterrorismi ei ole realistinen uhka lainkaan ja sen vakavuutta lii- oitellaan. Tämän kaltaisen keskustelun myötä kyberterrorismi on saanut osakseen li- sääntyvän määrän huomiota, ja samanaikaisesti koko kyberterrorismin käsite on muut- tunut yhä vaikeaselkoisemmaksi ja helpommin väärin ymmärretyksi.133

Swansean yliopiston tutkija Andrew Whiting esitteli vuonna 2013 kyberterrorismia kä- sittelevässä konferenssissa näkemyksensä siitä, että vaikkakin kyberterrorismi on käsit- teenä tullut yhä tunnetummaksi viime vuosien aikana, on käsitteen sisältö muuttunut yhä kiistanalaisemmaksi. Kyberhyökkäykset aiheuttavat edelleen vain harvoin fyysisiä vahinkoja ja näin ollen niiden käyttö terrori-iskuissa on ollut vähäistä. On myös väitetty, että kyberterrorismin uhka ei ole todellinen, koska ei ole olemassa tunnettuja tai kirjat- tuja tapauksia, joissa informaatioteknologian avulla olisi aiheutettu hengenvaaraan tai kuolemaan johtaneita tilanteita. On kuitenkin arvioitu, että kyberterrorismin lisääntymi- nen ja sen myötä lisääntynyt julkisuus uhkaavat mitätöidä informaatioteknologian kehi- tyksen mukanaan tuomia hyötyjä, mikäli tähän ei varauduta asianmukaisesti. Vuonna 2015 julkaistussa Iso-Britannian kansallisessa turvallisuusstrategiassa sekä kyber että terrorismi olivat nimetty kuuden suurimman lähitulevaisuuden uhkan joukkoon.134

Iqbal & Iqbal (2020) erittelevät artikkelissaan kaksi erilaista lähestymistapaa kyberterro- rismin selittämiseksi. Nämä näkökulmat ovat:135

132 Akhgar, B., Bosco, F. & Staniforth, A. 2014. Cyber Crime and Cyber Terrorism Investigator’s Handbook. Syngress. 133 Laari Tommi. 2018. kyberterrorismin uhka Euroopassa, kyberturvallisuuden Pro gradu, Jyväskylän yli- opisto, Informaatioteknologian tiedekunta. 134 Ibid. 135 Iqbal, Z. & Iqbal, K. 2020. Cyber Terrorism: A Case Study of Islamic State. Journal of Social Sciences and Humanities, 56(2), 67–79. https://doi.org/10.46568/jssh.v56i2.46

64

1. Vaikutusperusteinen: Tietoverkossa toteutetut iskut ovat vaikutuksiltaan yhtä tuhoisia ja suurta pelkoa aiheuttavia kuin perinteisin toimin toteutetut terrori- iskut. 2. Aikomusperusteinen: Laittomilla iskuilla pyritään käyttämään pakkovaltaa halli- tukseen poliittisten tavoitteiden saavuttamiseksi tai taloudellisen infrastruktuu- rin tuhoamiseksi.

7.2 Kyberterrorismin ilmentymiä

Kyberterrorismissa käytetään tietoverkkoja hyökkäyksiin kriittisiä informaatiojärjestel- miä kohtaan ja niiden kontrollointiin. Hyökkäysten tavoitteena on tuottaa vahinkoa ja levittää pelkoa ihmisten keskuuteen. Kyberterrorismihyökkäyksillä halutaan vaikuttaa kansallisella ja kansainvälisellä tasolla.136

Kyberterrorismin potentiaaliset kohteet painottuvat erityisesti kriittiseen infrastruktuu- riin, kuten esimerkiksi telekommunikaatiojärjestelmiin, julkiseen liikenteeseen tai säh- köverkkoihin. Keinovalikoimaan kuuluvat myös esimerkiksi palvelunestohyökkäykset tai verkkosivujen manipulointi. Kyberterrorismi on terroristien suorituskykyjen uusi muoto, jonka uudet teknologiat ja verkostot tarjoavat ja se sallii terroristien toteuttaa operaati- oita lähes ilman heihin kohdistuvaa fyysistä riskiä. Kyberterrorismin määrittely on vai- keaa ja keskustelua käydään siitä, onko se erillinen ilmiö vai informaatiosodankäynnin muoto, jota terroristit käyvät.137

Kyberterrorismi poikkeaa muista terrorismiteknologioista, koska siihen kuuluu offensii- visia informaatioteknologisia suorituskykyjä yksin tai yhdessä muiden hyökkäysmuoto- jen kanssa. Kyberterrorismin fokuksena on tuottaa fyysistä tuhoa informaatiojärjestel- mille (sekä laitetaso että ohjelmistotaso) tai henkilöstölle ja laitteille tietotekniikkaa hy- väksi käyttäen. Esimerkkinä tällaisista menettelytavoista voisivat olla kaaoksen ja tuhon aikaansaaminen häiritsemällä lennonvarmistusjärjestelmiä tai junaliikenteen ohjausjär- jestelmiä tai vesi- ja sähköverkon tuotanto- ja ohjausjärjestelmiä tai pankki- ja rahoitus- järjestelmiä.138

ISIS:llä on ainakin kuusi tunnettua kyberjaostoa, jotka kantavat verkossa erilaisia vastuu- alueita. Näihin lukeutuvat:

• Caliphate Cyber Army (CCA) • Islamic State Hacking Division (ISHD) • Islamic Cyber Army (ICA)

136 Beggs Christopher. 2006. Proposed Risk Minimization Measures for Cyber-Terrorism and SCADA Net- works in Australia, Proceedings of the 5th European Conference on Information Warfare and Security, National Defence College, Helsinki, Finland, 1-2 June 2006, s. 9-18. 137 Arquilla John and Ronfeldt David, edit. 2001. Networks and Netwars, RAND 2001, Santa Monica. 138 Laari Tommi. 2018. Kyberterrorismin uhka Euroopassa, kyberturvallisuuden Pro gradu, Jyväskylän yli- opisto, Informaatioteknologian tiedekunta.

65

• Rabitat Al-Ansar (League of Supporters) • Sons Caliphate Army (SCA) • United Cyber Caliphate (UCC)

Jaostot ovat toteuttaneet lukuisia kyberiskuja, muun muassa hakkeroineet henkilötie- toja sekä järjestäneet suuria propagandakampanjoita verkossa. Joukossa on ollut myös tietoteknisesti erittäin kokeneita ja taitavia tekijöitä. UCC toimii tällä hetkellä eräänlai- sena kattojärjestönä, jonka kautta kyberterroristit verkostoituvat ja toteuttavat kybera- varuuden manipulointiaan. 139

Kyberterroristille tietoverkko on siis menetelmä/väline, jonka avulla kyberhyökkäys to- teutetaan. Tällainen kybersodankäynti edellyttää, että erilaiset kyberaseet (erimuotoi- set haittaohjelmat) voidaan toimittaa verkon yli haluttuun kohteeseen. Tämä tarkoittaa sitä, että terroristien on tarkoin harkittava millainen tuho tietoverkossa kannattaa fyysi- sesti tai tietoteknisesti toteuttaa, jotta se vielä tarvittaessa toimisi kyberaseiden siirto- verkkona. 140

Tietokoneverkkojen ulkopuoliset tietoliikenneverkot voivat myös olla vaikuttamisen kohteina. Tällaisella hyökkäyksellä voi olla merkittäviä vaikutuksia hallinnon ja asevoi- mien toimintaan, mikäli ne ovat riippuvaisia kaupallisista verkoista, operaattoreista ja internetistä. Tuhoamiseen ja häirintään suunnitellut kyberhyökkäykset todennäköisesti tukevat fyysiseen vaikutukseen perustuvia operaatioita. Verkon kaappaaminen tai otta- minen omaan valvontaan saattaa tukea toista kyberoperaatiota tai sillä tavoitellaan it- senäistä vaikutusta. Kyberterrorismi saattaa myös kohdistua televisiolähetysjärjestel- miin, jolloin terroristit voivat osoittaa vaikuttavuuttaan, saada tavoitteitaan esitetyksi mediassa, aiheuttaa kaaosta ja näyttää valtaansa. 141

Muita näkemyksiä kyberterrorismista ovat mm. ei-fyysisten kohteiden manipulointi, muuttaminen ja tuhoaminen kuten tietokannat, web-sivut, kansalaisten moraali ja asen- teet. Kyberhyökkäykset, jotka laajamittaisesti tuhoaisivat pankkijärjestelmästä elektro- niset tiedostot, voivat aiheuttaa suurta tuhoa kybermaailmassa. Vastustajan web-sivu- jen kaappaamisella terroristit voivat levittää omaa propagandaansa ja vääriä tietoja. 142

Liittovaltion poliisi FBI määrittelee kyberterrorismin seuraavasti: ”Kyberterrorismi on ri- kollista toimintaa, jota tehdään käyttäen hyväksi tietokoneita ja -verkkoja, aiheuttaen digitaalisissa palveluissa sekaannusta, epävarmuutta ja/tai tuhoa luomalla pelkoa, joka aiheuttaa sekaannusta ja epävarmuutta kansalaisten keskuudessa, tavoitteena vaikut- taa hallitukseen ja väestöön, jotta ne mukautuisivat terroristien haluamiin poliittisiin, yhteiskunnallisiin tai ideologisiin tavoitteisiin.”143

139 Iqbal, Z. & Iqbal, K. 2020. Cyber Terrorism: A Case Study of Islamic State. Journal of Social Sciences and Humanities, 56(2), 67–79. https://doi.org/10.46568/jssh.v56i2.46 140 Laari Tommi. 2018. Kyberterrorismin uhka Euroopassa, kyberturvallisuuden Pro gradu, Jyväskylän yli- opisto, Informaatioteknologian tiedekunta. 141 Ibid. 142 Ibid. 143 Ibid.

66

Netscapen entinen päästrategi Kevin Coleman määritteli kyberterrorismin seuraa- vasti: ”Kyberterrorismi on sellaisten keinojen harkittua käyttöä tai käytöllä uhkaamista tietokoneita ja/tai -verkkoja vastaan, tavoitteena aiheuttaa vahinkoa yhteiskunnalli- sessa, ideologisessa, uskonnollisessa, poliittisessa tai vastaavissa toimintaympäris- töissä.” 144

Bostonin yliopiston tutkijaryhmän mukaan kyberterroristien tavoitteena on aiheuttaa kuolemanpelkoa ja fyysisiä vammoja, siten lisäten ihmisten halukkuutta alistua terroris- tien poliittisiin tai taloudellisiin vaatimuksiin. Kyberterroristi katsoo tietoa ja tietoliiken- nettä ja kriittistä infrastruktuuria kohteina, joihin hyökkäämällä voidaan tuottaa pelkoa ja terroria tai voiman lisääjänä (engl. force multiplier) yhdessä muiden hyökkäysmuoto- jen kanssa.145

Ero kyberrikollisen, kybertaistelijan ja kyberterroristin välillä on motivaatio. Kyberrikol- linen tavoittelee taloudellista hyötyä, kybertaistelija toimii sotilaallisten tavoitteiden saavuttamiseksi ja kyberterroristi omien tavoitteidensa tai terroristiryhmänsä tavoittei- den saavuttamiseksi. Yhdysvaltain kongressin tutkimusyksikön raportin mukaan kaikki nämä ryhmät käyttävät samanlaisia taktiikoita ja tekniikoita. Motivaatio ja tavoitteet erottelevat nämä ryhmät toisistaan.146

Terrorismin uhka Suomessa on Suojelupoliisin arvion mukaan neliportaisen asteikon ta- solla kaksi. Uhkataso on säilynyt ennallaan vuoteen 2019 verrattuna, mutta äärioikeis- ton tilannekuva on aiempaa huolestuttavampi. Suojelupoliisi on tunnistanut äärioikeis- tolaisia toimijoita, joilla on kyky ja motivaatio terrori-iskun toteuttamiseen. Myös viit- teitä konkreettisesta valmistelusta on tullut ilmi.147

SUPO:n päällikön Antti Pelttarin mukaan "Suojelupoliisin tunnistamat äärioikeistolaiset terrorismin torjunnan kohdehenkilöt kytkeytyvät tyypillisesti äärioikeiston kansainväli- seen verkkoympäristöön.”

Radikaali-islamistisen terrorismin uhka on säilynyt Suomessa aiemmalla tasollaan. Ter- roristijärjestö ISIL kykenee edelleen inspiroimaan kannattajiaan, ja se pyrkii toteutta- maan iskuja myös Euroopassa. Vierastaistelijailmiö on lisännyt ja vahvistanut Suomen radikaali-islamististen toimijoiden kansainvälisiä yhteyksiä. Syyrian konfliktialueelta pa- lasi Suomeen vuonna 2020 useita henkilöitä. Suurin osa konfliktialueelta palaavista to- dennäköisesti jatkaa toimintaansa radikaali-islamistisissa verkostoissa, esimerkiksi rek- rytoimalla ja levittämällä ääri-ideologiaa.148

144 Ibid. 145 Jacobs Stuart, Chitkushev Lou and Zlateva Tanya. 2010. Identities, Anonymity and Information War- fare, Proceedings of the 9th European Conference on Information Warfare and Security, University of Macedonia Thessaloniki Greece 1-2 July 2010, pages 120-127. 146 Congressional Research Service. 2008. Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, US-CRS. 147 SUPO. 2020. Vuosikirja 2020 148 Ibid.

67

Suojelupoliisi seuraa myös äärivasemmistolaisen liikehdinnän ja EU:n terroristijärjes- töksi luokitteleman Kurdistanin työväenpuolueen (PKK) Suomen turvallisuudelle muo- dostamaa uhkaa. Suomessa PKK on keskittynyt aktiiviseen toimintansa tukemiseen kur- dialueilla. Suomesta on matkustanut Syyrian konfliktialueelle muutamia vapaaehtoisia kurditaustaisiin aseellisiin järjestöihin.149

149 Ibid.

68

8 KYBERSABOTAASI

Aiempaan taksonomiaan nähden on kybersabotaasi otettu uudeksi uhkamuodoksi. Se on toimintaa, jossa hyökkääjä operoi sotaa alemmalla tasolla pyrkien pysymään sodan kynnyksen alapuolella. Tavoitteina voivat olla epävakauden aiheuttaminen kohde- maassa, offensiivisten kyberhyökkäyskykyjen testaaminen, hybridioperaatioiden val- mistelu tai sodan valmistelu.

Kybersabotaasin aikakausi alkoi Stuxnet-verkkomadon myötä vuonna 2010. Se oli en- simmäinen virus, joka kohdisti hyökkäyksen toiminnan ohjausjärjestelmään (SCADA). Stuxnet oli tuolloin omaa luokkaansa. Keskimääräiset virukset olivat tuolloin kooltaan noin 10 kt tavua. Stuxnet oli 500 kt. Oli myös epätavallista, että virus sisältää nollapäivän haavoittuvuuden, Stuxnetissa niitä oli 4. Stuxnet toimi myös kuin rootkit - piilottaen toi- mintansa ja läsnäolonsa. 150

Se levitettiin Iranin Natanzin rikastuslaitoksen Flash Drive -aseman kautta USB-tikulla saastuttaen vain kolme konetta todennäköisesti rajoittaakseen paljastusmisriskiä. Se etsi koneita, joissa on Siemens Step 7 -ohjelmisto (käytetään PLC-ohjaukseen). Tavoit- teena oli muokata ohjelmia, joita käytetään ohjaamaan Siemensin Programmable Logic Controllers (PLC). Se pääsi läpi tulostuksen ohjausjärjestelmän haavoittuvuuden avulla (nollapäivä-haavoittuvuus), ja käyttäen myös haavoittuvuutta etäkutsutekniikassa (engl. Remote Procedure Call, RPC).151

Stuxnetin toiminallisuus oli seuraava: 152

• Itse replikoituva USB-tikkujen avulla kautta, mahdollistaen automaattisen hait- taohjelman suorittamisen • Leviää lähiverkossa Windows Print Spooler -sovelluksen haavoittuvuuden kautta • Kopioi ja suorittaa itsensä etätietokoneisiin verkon jakojen kautta • Kopioi ja suorittaa itsensä etätietokoneissa, joissa on WinCC-visualisointiohjelma • Kopioi itsensä Step 7:ssä siten, että Stuxnet latautuu automaattisesti, kun Step7 suoritetaan • Ota yhteyttä komento- ja hallintapalvelimeen, jonka avulla hyökkääjä voi ladata ja suorittaa koodin • Sisältää Windowsin juurikoodin, joka piilottaa sen binäärit • Ohittaa tietoturvarakenteet • Sisältää varmenteet tiettyyn SCADA-järjestelmään ja mahdollistaa muokata Sie- mens PLC –koodia • Piilottaa muokatun koodin PLC:issä

150 Zetter Kim. 2014. Countdown to Zero day, Broadway Books, New York. 151 Ibid. 152 Ibid.

69

Tunkeutumisen ja asentumisen rinnalla toinen osa Stuxnetistä poisti käytöstä kaikki au- tomaattiset hälytykset, jotka olisivat sammuttaneet järjestelmän haitallisten komento- jen seurauksena. Se peitti myös PLC:ssä tapahtuneet muutokset pysäyttämällä PLC:ltä Step7-koneelle lähetetyt tilaraportit ja poistamalla kaikki merkit haitallisista komen- noista Step7-koneesta, joten PLC:tä tarkkailevat työntekijät näkivät sitten laitteella vain lailliset komennot. 153

Stuxnetin tehtävä oli asentautua tiettyihin koneisiin ja peittää jälkensä, ottaa Step 7 hal- tuunsa, jotta PLC:itä voitiin hallita. Luoda PLC:hen uusi sentrifugeja ohjaava sekvenssi ja tiedon kokoaminen sekä ottaa WinCC haltuun, jotta valvontakeskukseen voitiin tuot- taa ”oikeaa tietoa”. Lopputuloksena oli, että Natanzissa toteutettiin sentrifugien alasajo ja rikastusprosessi keskeytyi. Arvioiden mukaan hyökkäys viivästytti Iranin ydinohjelmaa 3–4 vuotta.

Kuviossa 19 on esitetty Stuxnetin toiminta SCADA-ympäristössä.

KUVIO 19 Stuxnetin toiminnallisuus

153 Ibid.

70

Shamoon on modulaarinen tietokonevirus vuodelta 2012. Virusta käytettiin tietoverk- kohyökkäykseen Saudi-Arabian ja Qatarin RasGasin kansallisia öljy-yhtiöitä vastaan. Hyökkäys kohdistuessaan 35 000 Saudi-Aramcon työasemaan aiheuttaen yrityksen toi- mintaan viikon katkoksen, joka tarvittiin palveluiden palauttamiseen ennalleen. Ryhmä nimeltään "Cutting Sword of Justice" otti vastuun hyökkäyksestä.

Joulukuussa 2015 hakkerit iskivät ukrainalaiseen energiayhtiöön ja onnistuivat katkai- semaan sähkönjakelun. Tämä usealla eri tavalla toteutettu kyberhyökkäys jätti 225 000 ukrainalaista ilman sähköä kuudeksi tunniksi. Samanlainen hyökkäys toteutettiin Kievin alueella joulukuussa 2016. Hyökkäyksen takana epäillään olleen valtiollisen toimijan.

Kesäkuussa 2017 Petya-haittaohjelma saastutti Ukrainassa laajasti käytetyn M.E.Doc - kirjanpito-ohjelmiston, jonka kautta se levisi nopeasti ukrainalaisiin ja kansainvälisiin toimijoihin, joilla yhteys tuohon kirjanpito-ohjelmaan. Ukrainassa mm. pankit, ministe- riöt, sanomalehdet ja sähköyhtiöt joutuivat kohteeksi. Yli 80 prosenttia kohteista oli Ukrainassa, mutta kymmenet kansainväliset toimijat olivat myös kohteina. Tähän saakka hyökkäyksestä aiheutuneet kustannukset ovat olleen yli 2,2 miljardia dollaria.

Petya/NonPetyä-haittaohjelmia käyttävä joukko tehokkaita hyökkäyksiä alkoi 27. kesä- kuuta 2017, jolloin Ukrainassa mm. pankit, ministeriöt, sanomalehdet ja sähköyhtiöt joutuivat kohteeksi. NotPetyan lähtöpisteeksi määritettiin M.E.Doc-nimistä kirjanpito- ohjelmaa kehittäneen Linkos Group-yhtiön palvelinhuone Kiovassa, Ukrainan pääkau- pungissa. Hyökkääjillä oli ollut täysi pääsy Linkos Groupin järjestelmiin todennäköisesti jo kuukausia, mutta NotPetya päästettiin leviämään M.E.Docin käyttäjien järjestelmiin saastuneena päivityksenä vasta 27.6. Haittaohjelma levisi niin tehokkaasti, että se pys- tyi saastuttamaan suuria järjestelmiä ennennäkemättömällä nopeudella. Suuren ukrai- nalaisen pankin järjestelmän kaatamiseen kului ohjelmalta vain 45 sekuntia. Leviämis- nopeus johti NotPetyan leviämiseen myös Ukrainan ulkopuolelle.154

Ei-ukrainalaisia kohteita olivat mm: • Food processor Mondelez International, • Shipping company A.P. Moller-Maersk, • FedEx shipping subsidiary TNT Express, • Chinese shipping company COFCO Group, • French construction materials company Saint Gobain, • Advertising agency WPP plc, • Heritage Valley Health System of Pittsburgh, • Law firm DLA Piper, • Pharmaceutical company Merck & Co • Consumer goods maker Reckitt Benckiser, • Software provider Nuance Communications.

Petya/NonPetya naamioitiin kiristyshaittaohjelmaksi, mutta lunnaiden vaatiminen oli vain savuverho. Hyökkäyksen todellinen tarkoitus oli lamauttaa yhteiskunnan kriittisiä

154 Greenberg, A. 2018. The Untold Story of NotPetya, Wired. https://www.wired.com/story/notpetya- cyberattack-ukraine-russia-code-crashed-the-world/

71 toimintoja ja aikaansaada poliittista epävakautta tai ainakin testata hyökkäysoperaa- tion toimivuutta. Tämä valtiollisen toimijan toteuttama monivaiheinen hyökkäys oli myös osoitus hyökkääjän kyvykkyydestä – tuotettiin pelotevaikutusta.

Helmikuussa 2021 Floridassa vesilaitoksen järjestelmään murtautunut hakkeri yritti saastuttaa juomaveden lipeällä. Hakkeri onnistui lisäämään prosessissa käytettävän li- peän määrää etäyhteydellä hetkellisesti yli satakertaiseksi, mutta asian havainnut vesi- laitoksen työntekijä puuttui nopeasti tilanteeseen. Hakkeri oli murtautunut etäohjel- maan, jota vesilaitoksen työntekijät käyttävät. Liikaa lipeää saanutta vettä ei päässyt kuluttajille, eikä varsinaista vaaratilannetta ehtinyt syntyä.

Em. esimerkit osoittavat, kuinka kriittistä infrastruktuuria vastaan hyökätään ja aiheu- tetaan vakavia vaurioita yhteiskunnan elintärkeille toiminnoille ja pahimmassa tapauk- sessa ihmisten hengelle ja terveydelle.

Yhdysvaltain tiedustelutoiminnan korkein johtaja James R. Clapper (Director of National Intelligence, 2010–2017) nosti jo vuoden 2014 keväänä globaaleista uhkista suurim- maksi kriittiseen infrastruktuuriin kohdistuvat kyberhyökkäykset ja kybervakoilun, vaikka pitikin suuren tietoverkkohyökkäyksen mahdollisuutta vähäisenä vielä seuraa- vien kahden vuoden kuluessa.

Kesällä 2016 Englannin sisäisestä turvallisuudesta vastaavan MI5:n entinen johtaja Jo- nathan Evans totesi laajamittaisen kyberhyökkäyksen (esimerkiksi sähköverkkojen la- mauttamisen tai pankkiliikenteen keskeyttämisen) pystyvän pahimmillaan lamaannut- tamaan koko brittiyhteiskunnan.

72

9 KYBERSODANKÄYNTI

9.1 Määrittelyä

Kybersodankäynti-käsitteelle ei ole yleisesti hyväksyttyä määritelmää ja sitä käytetään hyvinkin laajasti kuvamaan tapahtumia ja toimia digitaalisessa kybermaailmassa ts. re- aalimaailman ulkopuolisessa maailmassa. Kybersota-käsite tuli voimakkaasti esiin vuo- sina 2008–2010 ja se osin syrjäytti aikaisemmin käytetyn informaatiosodankäynti-käsit- teen, joka oli lanseerattu 1990-luvun puolivälissä. Toisille kybersota on sotaa virtuaali- maailmassa, toisille se on vastakohta kineettiselle sodankäynnille. OECD:n vuoden 2011 raportin mukaan kybersotaan liittyy samat sotilasdoktriinit kuin ns. tavalliseen sotaan- kin: kosto ja pelote. Tutkijat yhtyvät käsitykseen siitä, että kybersodankäynnin määritte- lyn tulisi perustua sodan tavoitteisiin ja motiiveihin eikä niinkään kyberoperaatioiden muotoihin. Heidän mielestään sota on aina muodoltaan laaja-alainen käsittäen kaikki sodankäynnin muodot, jolloin kybersota on yksi sodankäynnin muoto, jota käytetään perinteisen kineettisen vaikuttamisen rinnalla.155

Asevoimat ovat vastaavalla tavalla kuin koko yhteiskunta kehittyneet informaatiosta, verkostoista, sähköenergiasta ja digitaalisista palveluista riippuvaisiksi, siis koko elektro- nisesta maailmasta, jossa tietotekniikan erilaiset sovellukset ovat kiinteä osa asevoimien laitteita ja järjestelmiä. Nykyisellään kyberavaruus fuusioi kaikki tietoliikenneverkot, tie- tokannat ja informaatiolähteet globaaliksi virtuaalisysteemiksi.

9.2 Evoluutio kohti kybermaailmaa

9.2.1 Kommunikaatiosodankäynti

Asevoimien käyttämät kommunikaatiojärjestelmät ovat aina olleet tiedustelun, häirin- nän ja lamautuksen kohteina. Kommunikaatiosodankäynti (engl. Communication War- fare) kohdistui kaikkeen sähköiseen viestintään sen eri muodoissa. Lennätin oli sala- kuuntelun kohde ja lennätinlinjat katkaisun kohde heti lennättimen käyttöönoton jäl- keen. Sodankäynnissä lennätin vaikutti ensimmäisen kerran Krimin sodassa 1853–1856. Sähköisillä viestivälineillä on ollut merkitystä lähes kaikissa sen jälkeisissä sodissa kuten Yhdysvaltain sisällissodassa 1861–1865. Lennätin mahdollisti rautateiden tehokkaan käytön ja joukkojen nopean keskittämisen valtakunnan haluttuun osaan. Ensimmäisessä maailmansodassa tästä tuli erittäin merkittävä osa sodan alkuvaiheen suunnitelmia. 156

155 OECD. 2001. OECD/IFP Project on Future Global Shocks, report: Reducing Systemic Cybersecurity Risk, 14.1.2001, s. 13. 156 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212.

73

Radioviestintää kuunneltiin ja häirittiin välittömästi radion sotilaallisen käyttöönoton jälkeen. Laivasto oli ensimmäinen puolustushaara, joka näki radioviestinnän potentiaa- lin, kun radion avulla tuli mahdolliseksi koordinoida laivasto-operaatioita aivan uudella tavalla. Kaikki 90 saksalaista sotalaivaa varustettiin langattomalla viestinnällä vuonna 1909. Venäjän ja Japanin välisessä merisodassa 1904–1905 radiokuuntelulla ja -häirin- nällä oli vaikusta taistelujen lopputulokseen.157

Erityisesti saksalaiset kehittivät langatonta teknologiaa 1900-luvun alussa. Saksa käytti kuuntelutiedustelua menestyksellisesti Venäjää vastaan Tannenbergin taistelussa 1914, sillä Venäjä käytti radioliikenteessä selväkielitekstiä. Menestyksen jälkeen perustettiin ensimmäinen kuunteluasema (saksaksi Funkställe) vuonna 1915. Kuuntelutiedustelupal- velu (saksaksi Horchdienst) perustettiin 1917. Nämä toimivat myöhemmin esimerkkeinä muiden maiden kuuntelutiedustelun kehittämiselle. 158

9.2.2 Elektroninen sodankäynti

Toisen maailmansodan aikana sähkömagneettinen ulottuvuus laajeni entisestään erityi- sesti ilmasodankäynnin alueella. Etenkin tutkajärjestelmän kehittäminen ja tulo opera- tiiviseen käyttöön mullisti ilmasodan toisen maailmansodan aikana. Tutkan saaminen palveluskäyttöön oli ollut pitkän evoluutioprosessin tulosta. Ennen kuin tutkan toimin- taperiaate ilmiönä ymmärrettiin ja se kyettiin muokkaamaan haluttuun käyttöön, sitä oli edeltänyt usean sadan vuoden tutkimisen, keksimisen ja kokeilujen sarja. 159

Elektronisen sodankäynnin (engl. Electronic Warfare, EW) keinoin hyökkääjä pyrkii vai- kuttamaan informaation kulkuun siten, että johtamisen ja tulenkäyttöjärjestelmien luo- tettavuus alenee ja informaatiorakenteiden käytettävyys pienenee. Elektronisen sodan- käynnin operaatiot jaetaan elektroniseen vaikuttamiseen, elektroniseen suojautumi- seen ja elektroniseen tukeen. Elektroninen vaikuttaminen tarkoittaa häirintää ja har- hauttamista, elektroninen tuki tarkoittaa tiedustelua ja valvontaa. Elektroninen suojau- tuminen on elektronisten järjestelmien käyttäjien suojautumistoimenpiteitä vastustajan elektronisen sodankäynnin operaatioita vastaan. Kaikilla näillä on yhteys informaatio- ja kyberoperaatioihin sekä ilmasodankäynnin kokonaisuuteen. 160

Elektroninen vaikuttaminen käsittää kaikki ne toimenpiteet, joilla sähkömagneettisen spektrin välityksellä pyritään estämään, hidastamaan tai vähentämään vihollisen sähkö- magneettista säteilyä hyödyntävien tai elektroniikasta riippuvien järjestelmien käyttöä taikka suuntaamaan käyttö oman toiminnan kannalta edulliselle alueelle. Elektroninen vaikuttaminen jakautuu häirintään, harhauttamiseen, lamauttamiseen ja tuhoami- seen.161

157 Ibid. 158 Ibid. 159 Ibid. 160 Ibid. 161 Kosola Jyrki & Jokinen Janne. 2004. Elektroninen sodankäynti, osa 1 – taistelun viides dimensio. Tek- niikan laitos, julkaisusarja 5, No 2/2004, Helsinki: Maanpuolustuskorkeakoulu.

74

Elektroninen suojautumisen toimenpitein varmistetaan omien järjestelmien tehokas käyttö huolimatta vihollisen elektronisesta, vaikuttamisesta. Elektronien suojautuminen jakautuu aktiiviseen ja passiiviseen suojautumiseen. Operatiiviselta kannalta kysymys on suojautumisesta elektroniselta tiedustelulta ja vaikuttamiselta sekä niiden tukemalta asevaikutukselta.162

Elektroninen tuki tuottaa elektronisten lähetteiden ilmaisun ja paikantamisen perus- teella tilannekuvaa ja sitä täydentäviä tietoja. Se on reaaliaikaista tiedustelua ja valvon- taa, joka kohdistuu sähkömagneettista säteilyä käyttäviin järjestelmiin. Elektroninen tuki jakautuu elektroniseen tiedusteluun ja valvontaan, elektroniseen maalinosoituk- seen ja elektroniseen uhkavaroitukseen.163

9.2.3 Informaatiosodankäynti

Vietnamin sodasta aina Irakin ensimmäiseen sotaan 1991 saakka johtamisen ja päätök- senteon tarvitseman informaation riittämättömyyttä taistelukentällä pyrittiin ratkaise- maan tietotekniikan avulla. Taistelukentän epävarmuuden uskottiin johtuvan informaa- tion puutteesta. Uusi aika pyrki ratkaisemaan ongelmia tietokoneiden laskentakyvyn avulla ja luomalla uusia kommunikaatioteknologioita. Kylmän sodan aikana informaatio- teknologiaa kehitettiin ratkaisuksi taistelukentän kaaoksen ja epävarmuuksien ratkaise- miseen. Tietoteknisten järjestelmien miniatyyrisoinnin, diffuusion ja uusien kommuni- kaatiovälineiden seurauksena on ollut informaatioparadigman kehittyminen. Kaaos- ja kompleksisuusteorioiden kehittyminen on lisännyt ymmärtämystä verkostojen ja hajau- tetun johtamisen mahdollisuuksista.

Tieto on aina ollut tärkeää taistelukentällä. Taistelukenttä on laajentunut taistelutilaksi, jossa joukot ja sotilaat ovat tulleet riippuvaiseksi informaatiosta, sähköisestä tiedonsiir- rosta ja energian jakelusta. Prof. Martin C. Libicki määritteli vuonna 1995 informaatio- sodankäynnin (engl. Information Warfare, IW) osa-alueiksi: 164

1. Johtamissodankäynti (engl. Command-and-Control Warfare, C2W) 2. Tiedusteluperusteinen sodankäynti (engl. Intelligence-Based Warfare, IBW) 3. Elektroninen sodankäynti (engl. Electronic Warfare, EW) 4. Psykologiset operaatiot (engl. Psychological Operations, PSYOPS) 5. Hakkerisota (engl. Hackerwar) 6. Taloudellinen informaatiosodankäynti (engl. Information Economic Warfare, IEW) 7. Kybersota (engl. Cyberwar)

Hänen määrittelyssään informaatiosodankäynnistä tuli yläkäsite, joka sisältää sekä elektronisen sodankäynnin että kybersodankäynnin osa-alueet.

162 Ibid. 163 Ibid. 164 Libicki Martin C. 1995. What Is Information Warfare? Strategic Forum Number 28 May 1995.

75

2000-luvun alussa suomalaisen näkemyksen mukaan ”informaatiosodankäynti on yh- teiskunnalliseen ja sotilaalliseen päätöksentekoon ja toimintakykyyn sekä kansalaisten mielipiteisiin vaikuttamista ja tältä suojautumista käyttämällä hyväksi informaatioympä- ristöä. Informaatiosodankäyntiä voidaan käydä yhteiskunnallisin, poliittisin, psykologi- sin, sosiaalisin, taloudellisin ja sotilaallisin keinoin kaikilla sodankäynnin tasoilla. Infor- maatiosodankäynti koskee koko yhteiskuntaa ja on siten luonteeltaan pääosin turvalli- suuspoliittista sekä toiminnallisesti valtakunnallista strategista tasoa koskettavaa toi- mintaa. Informaatiosodankäynnissä päämääränä on kansallisten tavoitteiden mukai- sesti hankkia ja ylläpitää informaatioylivoima.” 165

Informaatiosodankäynnin operaatioiden avulla pyritään hankkimaan informaatioyli- voima eli tilanne, jossa on kyetty luomaan itselleen edullisen asetelman informaatioym- päristössä. Tällöin informaatioylivoiman omaavalla on luotettavampaa, tarkempaa ja oi- kea-aikaisempaa tietoa. Informaatioylivoiman haltijalla on käytettävissä hyvät tiedon saamis- ja hyödyntämismahdollisuudet, ajankohtainen ja tarkka tilannekuva sekä ope- ratiivinen toimintavapaus operaatioalueella.

2020-luvun kybermaailman suurimmat taistelut käydään ihmisten mielissä. Strategi- sessa kommunikaatiossa (engl. Strategic Communication) ei-kineettisten operaatioiden avulla tavoitellaan sodan voittamista käyttäen mahdollisimman vähän kineettistä voi- maa. Strategisesta kommunikaatiosta on tullut valtioille toimintatapa, jolla se pyrkii luo- maan kansallista turvallisuutta ja kansakunnan yhtenäisyyttä sekä vahvistamaan tarvit- tavia uhkakuvia kansalaisten ja sotilaiden mielissä. Strategisen kommunikaation para- digmassa koko maailma on kybertaistelutila, jossa informaatiota on vaikea hallita. Sosi- aalisen median eri muodot ulottuvat taistelukentälle ja se haastaa valtiollisen kontrollin.

Jo rauhan aikana informaatiovaikuttamisella pyritään järjestelmällisesti vaikuttamaan yleiseen mielipiteeseen, ihmisten käyttäytymiseen ja päätöksentekijöihin sekä sitä kautta yhteiskunnan toimintakykyyn eri kampanjoiden avulla –> informaatiotilan hal- linta.

Strategisen kommunikaation paradigma ei hylkää kineettisten suorituskykyjen suunnit- telua, kehittämistä, rakentamista ja käyttöä, mutta niiden ensisijaisuus asetetaan ky- seenalaiseksi. Siinä missä kineettisten suorituskykyjen käyttö on näkyvää, niin strategi- nen kommunikaatio on näkymättömämpää ja se halutaankin verhota esimerkiksi pat- riotismin ja kansallisten etujen suojaamisen taakse.

Kyberajan informaatio-operaatiot kohdistuvat tietoon/informaatioon. Informaatio-ope- raatiossa on tarkoitus vaikuttaa siihen, miten ihmiset ajattelevat ja toimivat. Tällöin kei- noina voivat olla myös suorat taktiset toimet, joilla pyritään vaikuttamaan tai tuhoa- maan vastustajan kyky välittää omaa viestiään. Käytännössä informaatio-operaatiossa voidaan esimerkiksi väärentää tietoa tai estää vihollisen tiedonsiirto. Sotilaalliset infor- maatio-operaatiot vahvistavat ja tukevat joukkojen operaatiokykyä. Informaatio-ope-

165 Valtioneuvoston kanslia. 2004. Valtioneuvoston selonteko 6/2004, Suomen turvallisuus- ja puolustus- politiikka, Helsinki 24.9.2004, s. 156.

76 raatioita ovat operaatioturvallisuus, harhauttaminen, psykologiset operaatiot ja vies- tintä. Operaatiot sovitetaan yhteen muiden ei-kineettisten operaatioiden ja kineettisten operaatioiden kanssa. Informaatio-operaatioiden avulla vahvistetaan kansallisia sodan- käynnin päämääriä, puolustusvoimien toimintakykyä aina komentajatasolta yksittäisiin taistelijoihin saakka. Tavoitteena on erityisesti suojata omat kriittiset informaatiotoimin- not.

9.2.4 Verkkokeskeinen sodankäynti

Yhdysvaltalaisessa diskurssissa tuli 1990-luvun lopulla käyttöön käsite verkkokeskeinen sodankäynti (engl. Network Centric Warfare, NCW), jossa informaatiota tärkeämmäksi nostettiin verkosto. NCW-konsepti tuli julkisuuteen vuonna 1998 US Naval Instituten jul- kaisussa “Network-Centric Warfare: Its Origin and Future”, jonka olivat laatineet vara- amiraali Arthur K. Cebrowski (1942–2005) (Director for Space, Information Warfare, and Command and Control on the U.S. Navy staff) ja John Gartska. Heidän mu- kaansa ”melkein 200 vuoden ajan välineet ja sodankäynnin taktiikka ovat kehittyneet sotilaallisten teknologioiden kanssa. Nyt perustavanlaatuiset muutokset vaikuttavat so- dan luonteeseen”.166

Verkkokeskeinen sodankäynti ja kaikki siihen liittyvät sodankäynnin alalla tapahtuneet vallankumoukselliset muutokset syntyvät ja saavat voimansa Yhdysvalloissa tapahtu- vista perustavaa laatua olevista yhteiskunnallisista muutoksista. Näille muutoksille on ollut ominaista ennen muuta yhtäaikainen kehitys talouselämän, tietotekniikan, liike- elämän toimintatapojen ja organisaatioiden aloilla ja niitä yhdistää kolme teemaa:167 • Painopiste on siirtynyt alustoista verkostoihin. • On siirrytty tarkastelemasta toimijoita itsenäisinä tekijöinä tarkastelemaan niitä osana jatkuvasti mukautuvaa ekosysteemiä ja • On alettu ymmärtää, kuinka tärkeitä strategiset valinnat ovat tällaisiin ekosys- teemeihin mukautumiselle tai jopa niissä selviytymiselle

Konsepti julkaistiin myöhemmin kirjassa Network Centric Warfare, jonka kirjoittajia oli- vat John Gartskan lisäksi David S. Alberts (OASD-NII tutkimusjohtaja), ja Frederick P. Stein (MITRE Corporation). Heidän määrittelynsä mukaan verkostokeskeinen sodan- käynti on informaatioylivoiman mahdollistava toimintakonsepti, joka luo kasvavaa tais- teluvoimaa verkottamalla sensorit, päätöksentekijät ja asejärjestelmät saavuttamaan ja- ettu tietoisuus, kasvava päätöksenteon nopeus, suurempi toiminnan nopeus, suurempi kuolettavuus, suurempi eloonjäämistodennäköisyys ja suurempi itsesynkronointi.168

166 Cebrowski Arthur K. and Garstka John J. 1998. Network-Centric Warfare: Its Origin and Future, Naval Institute Proceedings, Annapolis Maryland, January 1998. Senenko Christopher M. 2007. Network Centric Warfare and The Principles of War, Master of Science Degree, Joint Forces Staff College, Joint Advanced Warfighting School, 5 April 2007, s. 1-6. 167 Cebrowski Arthur K. and Garstka John J. 1008. Network-Centric Warfare: Its Origin and Future, Naval Institute Proceedings, Annapolis Maryland, January 1998. 168 Alberts David S., Garstka John J., and Stein Frederick P. 2000. Network Centric Warfare: Developing and Leveraging Information Superiority, 2d revised ed., Washington, D.C.: CCRP, 2000, s. 2.

77

Verkostokeskeinen sodankäynti käsitteenä kuvaa laajasti ottaen sellaista täysin tai osit- tain voimatekijäksi verkostoituneiden strategioiden, uusien taktiikoiden, tekniikoiden, menetelmien ja organisaatioiden yhdistelmää, jolla voidaan saavuttaa ratkaiseva etu so- tatoimien ollessa käynnissä.169

Kaikkia edellä kuvattuja osa-alueita tulee tarkastella sekä hyökkäyksellisestä että puo- lustuksellisesta näkökulmasta. Informaatiosodankäynnissä ja informaatio-operaatioissa informaatio on ajattelun keskiössä. Informaatio nähdään neljäntenä operatiivisena teki- jänä, joka sitoo yhteen operatiivisina perustekijöinä pidetyt joukot, tilan ja ajan. Infor- maatiosodankäynnissä informaatio käsitetään missä tahansa muodossa tai järjestel- mässä olevana datakertymänä, joka on hyödynnettävissä eri tekijöiden väliseen kom- munikointiin ja vaikuttamiseen. Lisäksi informaatiosodankäynti sisältää käsitteet infor- maatiojärjestelmät, informaatioympäristö, informaatiotoiminnot ja informaatioyli- voima.170

Verkkokeskeinen sodankäynti nähtiin informaatioajan sodankäyntiteoriana ja toiminta- konseptina. Laajasti käsittäen NCW kuvasi strategioiden, operaatiotaidon ja taktiikan, teknologian, toimintatapamallien ja organisaatioiden kombinaatioita, joiden avulla ver- kottunut asevoima voi tuottaa ylivoimaa taistelukentällä. NCW:n ydinajatus oli taistelu- voiman kasvattaminen yhdistämällä sensorit, päätöksentekijät ja asealustat, jotta voi- daan saavuttaa yhteinen tilannetietoisuus, kasvattaa johtamisen nopeutta ja operaa- tionopeutta, kasvattaa kineettisen voimankäytön vaikuttavuutta, lisätä joukkojen selviy- tymiskykyisyyttä ja itseorganisoitumista.

Kuviossa 20 on esitetty ei-kineettisen sodankäynnin evoluutio 1900-luvulta lähtien.

KUVIO 20 Ei-kineettisen sodankäynnin evoluutio 1900-luvulta lähtien

169 Garstka John J. 2003. Network-Centric Warfare Offers Warfighting Advantage, Signal, May 2003, s. 58. 170 PVTT. 2008. Sotatekninen arvio ja ennuste 2025, osa 2, Puolustusvoimien Teknillinen Tutkimuslaitos, julkaisuja 15, Helsinki 2008, s. 111–117.

78

9.2.5 Hybridisodankäynti

2000-luvun asymmetrinen sodankäynti on luonut uuden asetelman, jossa raja perintei- sen ja epätavanomaisen sodankäynnin välillä on hämärtynyt, tai paremminkin sitä on pyritty tietoisesti hämärtämään. Hybridisodankäynti-käsite on hankala, koska hybridiso- dankäynnissä toimitaan sodan ala- ja ulkopuolella. Sodankäynti sodan ulkopuolella on vaikeasti määriteltävissä, koska kansainvälinen oikeus ei määrittele tämän tyyppistä ti- lannetta. Toiminta perinteisin sodankäyntikäsittein sodan ja osittain fyysisen maailman ulkopuolella virtuaalisessa kybermaailmassa on haasteellista.171

Hybridisodankäynti voidaan määritellä valtiolliseksi tai ei-valtiolliseksi toiminnaksi, jossa käytetään useita sodankäynnin muotoja kuten tavanomaista asevoimaa, epätavan- omaista taktiikkaa, informaatio-operaatioita ja rikollista toimintaa. Hybridivaikuttami- sella puolestaan ymmärretään suunnitelmallista toimintaa, jossa valtiollinen tai ei-valti- ollinen toimija voi hyödyntää samanaikaisesti erilaisia keinoja vaikuttaakseen kohteena olevan valtion heikkouksiin ja saavuttaakseen omat tavoitteensa. Määritelmiä on toki muitakin. Oleellista on huomioida sodan kynnyksen ala- ja ulkopuolella toimiminen, ja hybridi-termin hyödyllisyys viitekehyksenä nykypäivän uhkien ja niiltä puolustautumisen moniulotteiseen tarkasteluun ja varautumiseen.172

Hybridisodankäynnistä on esimerkkejä, jossa kineettistä sodankäyntiä on jatkettu mata- lan intensiteetin kineettisten ja ei-kineettisten operaatioiden avulla. Venäjän sotatoimet Ukrainassa vuonna 2014 ovat esimerkki sodankäynnistä, jossa erikoisjoukkojen rajoite- tun voimankäytön, poliittisen, sotilaallisen ja taloudellisen painostuksen, strategisen kommunikaation sekä erilaisten ei-kineettisten operaatioiden avulla on luotu epävakaa Itä-Ukrainan alue, jota Venäjä hallitsee. 173

Kybertaistelutila ja miehittämättömyys ovat alentaneet sodankäynnin kynnystä samalla muuttaen perinteistä sota-rauha -asetelmaa. Tähän liitettiin kylmän sodan aikana käsite harmaasta vaiheesta, jolla ymmärrettiin aikaa ennen varsinaista sotaa. Hybridisodan- käynti on tuonut tilan, joka voi edeltää perinteistä sotaa, ilmetä sodan aktiivisen vaiheen jälkeen tai ilman perinteistä sodankäyntiä. Uusi sodankäynnin paradigma on syrjäyttä- mässä perinteisen mallin sodan julistamisesta rauhan sopimukseen luomalla tilan, jossa sotaa ei julista eikä rauhaa solmita, vaan hybridisodankäynnin kohde joutuu elämään hyvinkin pitkään konfliktin ja epävakauden keskellä, jossa yhä enenevässä määrin kyber- toimintaympäristö on toiminnan kohteena. 174

2020-luvun sodankäyntiin sekoittuu uusia elementtejä erityisesti kybertoimintaympäris- tössä tavoitteena pysyttäytyä sodan kynnyksen alapuolella. Tarkoituksellisen epävakau-

171 Lehto Martti. 2014. Kybertaistelun toimintaympäristön teoreettinen tarkastelu kirjassa Kybertaistelu 2020 (Tuija Kuusisto Edit.) Maanpuolustuskorkeakoulu, Taktiikan laitos, Julkaisusarja 2, n:o 1, 2014, s. 67–89. 172 Ibid. 173 Ibid. 174 Ibid.

79 den ylläpito ei-kineettisten operaatioiden avulla erityisesti suurvalta voi perustella läs- näoloa ja vaikuttamista tietyllä alueella. Toimintaa perustellaan rauhanturvaamisella, tasapainon säilyttämisellä, omien etujen ja kansalaisten suojaamisella tai liittolaisten tu- kemisella, kaikella näennäisesti hyväksyttävällä toiminnalla. Kybertoimintaympäristö on luonut uuden tilan vaikuttaa toisen valtion alueella käyttäen hyväksi erilaisia sotilaallisia ja ei-sotilaallisia painostuskeinoja poliittisten ja sotilaallisten tavoitteiden saavutta- miseksi. Kybertoimintaympäristön hyväksi käyttäminen soveltuu hyvin hybridisodan- käyntiin ja sen eri muotoihin. 175

Elektronisen sodankäynnin, informaatiosodankäynnin ja kybersodankäynnin operaatiot muodostavat kyberajan ei-kineettisten verkostoperustaisten operaatiokokonaisuuden. Kybersodankäynti ei ole syrjäyttänyt aikaisempia ei-kineettisiä sodankäynnin muotoja vaan laajentunut kybermaailman uusille bittien muodostamille toiminta-alueille. Ohei- sessa kuviossa 21 on esitetty verkkokeskeinen toimintaympäristö, jossa eri ei-kineettiset sodankäynti muodot muodostavat verkottuneet kokonaisuuden. 176

KUVIO 21 Ei-kineettisen sodankäynnin toimintaympäristö

175 Ibid. 176 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212.

80

9.3 Kybersodankäyntikonsepti

Kybersodankäynti on 2000-luvun malli, johon on koottu yli 100 vuoden elektronisen toi- mintaympäristön evoluutio. Kyberajattelun myötä on haluttu tuoda informaatioympä- ristön keskiössä olevan informaation rinnalle kyberavaruuden rakenteet eli kriittinen inf- rastruktuuri ja sodankäynnin johtamis- ja toimeenpanoprosessit. Lisäksi kyberajatte- lussa on esitetty uudelleen ajatus totaalisesta sodasta, jossa vaikuttamisen kohteena ei ole vain sotilaallinen toimintaympäristö vaan koko yhteiskunta ja sen rakenteet.

Erilaiset verkostot ovat levittäytyneet lähes kaikille elämän alueille. Yhteiskunnan kaikki elintärkeät toiminnat ovat enemmän tai vähemmän verkottuneita. Verkottuneisuus tar- koittaa ajasta ja paikasta riippumatonta toimintaa ja toimintojen hallintaa. Informaation ohella verkkorakenteista on tullut tärkeitä. Toinen merkittävä muutos on siinä, että in- formaatiosodankäynti katsotaan kuuluvaksi kriisien ja sodan aikaa, mutta kyberuhat ovat osa jokapäiväistä ihmisten ja organisaatioiden arkea.

Asevoimat ovat vastaavalla tavalla kehittyneet informaatiosta, verkostoista, sähköener- giasta riippuvaisiksi, siis koko elektronisesta maailmasta, jossa tietotekniikan erilaiset sovellukset ovat kiinteä osa asevoimien laitteita ja järjestelmiä. Kyberavaruus fuusioi kaikki tietoliikenneverkot, tietokannat ja informaatiolähteet globaaliksi virtuaalisystee- miksi.

Useat valtiot kehittävät kykyään suorittaa operaatioita kyberavaruudessa maan, meren, ilman ja avaruuden lisäksi osana sotilaallista voimankäyttöä. Suorituskyky perustuu tie- dusteluun ja vaikuttamiseen. Tiedustelulla pyritään selvittämään kohteen järjestelmien ja verkkojen kokoonpanoa ja haavoittuvuuksia sekä vastapuolen kykyä suorittaa kybe- roperaatioita. Vaikuttamisen tavoitteena on saada aikaa haluttu poliittinen ja/tai soti- laallinen vaikutus vastapuolen järjestelmien ja verkkojen kautta. 177

Kyberoperaatioita voidaan toteuttaa kolmella tasolla: strateginen, operatiivinen ja tak- tinen. Lisäksi kyberoperaatioita toteutetaan sotaa alemmissa konflikteissa osana soti- laallista, poliittista ja taloudellista painostusta. Kybersodassa kohteina voivat olla ase- voimat, yhteiskunnan kriittinen infrastruktuuri, kansalaisten käyttämät palvelut sekä vi- ranomaisten järjestelmät ja verkot.

Kybersodankäynnin strategisen tason kyberoperaatioissa valtio pyrkii vaikuttamaan toi- sen valtion toimintaan sekä toimintakykyyn. Operatiivisella ja taktisella tasolla kybe- roperaatioita suoritetaan osana muuta sotilaallista voimankäyttöä. Tavoitteena voi esi- merkiksi olla sotilaallisen johtamisen häiritseminen, lamauttaminen tai harhauttaminen tai sotilaallisen voimankäytön estäminen tai viivästyttäminen.

177 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212.

81

Kybersodan operatiivisella ja taktisella tasolla kysymys on kyberoperaatioista osana yh- teisoperaatioita, joissa toimenpiteet kohdistuvat ensisijaisesti joukkojen johtamisjärjes- telmiin. Näillä kyberoperaatioilla pyritään lamauttamaan vastustajan joukkojen tilanne- tietoisuuden muodostaminen sekä kyky tehokkaaseen joukkojen ja toiminnan johtami- seen. Sodan aikana toteutetuista kyberoperaatioista esimerkkinä voidaan pitää Venäjän ja Georgian välisessä sodassa vuonna 2008 esiintyneitä verkkohyökkäyksiä. Eri arvioiden mukaan Yhdysvallat harkitsi kyberoperaatioita Libyan operaation yhteydessä vuonna 2011. Suunnitelmissa oli lamauttaa Libyan ilmatorjunnan tietoverkot ja siten turvata sen omat ilmaoperaatiot. 178

Esimerkiksi Venäjälle kybersodankäynnin tavoitteena on: • Tappioiden tuottaminen informaatiojärjestelmille, prosesseille ja resursseille, kriittisesti tärkeille ja muille rakenteille • Poliittisten, taloudellisten ja sosiaalisten järjestelmien lamauttaminen • Massamainen psykologinen operointi yhteiskunnan ja valtion epätasapainoon saattamiseksi • Valtion pakottaminen tekemään vastustajalle edullisia päätöksiä.

Sotaa alempitasoisemman konfliktin yhteydessä valtiollinen toimija tai tämän tukema ja/tai suojaama ryhmittymä voi kohdistaa kyberhyökkäyksiä toista valtiota vastaan il- man, että valtiot olisivat sodassa keskenään. Näille hyökkäyksille on tavanomaista, että tekijät pyrkivät pysymään tuntemattomina ja että valtiot kykenevät kiistämään osalli- suutensa niihin. Näkyvin tällainen operaatio tapahtui keväältä 2007, kun Viroon kohdis- tui verkkohyökkäysten sarja, jonka kohteina olivat kolmen viikon ajan mm. valtiojohto, poliisi, pankkilaitos, media ja yritysmaailma. Päätoimintamuotoina olivat palvelunesto- hyökkäykset. 179

Kyberhyökkäysten vaikuttavuus nousi uudelle tasolle, kun vuonna 2010 paljastui Iranin ydinlaitoksiin kohdistunut hyökkäys, jossa Stuxnet-haittaohjelma vaurioitti uraanin ri- kastamiseen tarkoitettuja sentrifugeja. Iranin epäillään vastatoimenpiteenään perusta- neen kybersodankäynnin yksikkönsä vuonna 2010 ja tehneen hyökkäyksiä Yhdysvaltoja ja Iso-Britanniaa vastaan.

Etelä- ja Pohjois-Korea syyttävät toisiaan jatkuvista kyberiskuista, joita ovat olleet mm. pankkien hakkerointi ja palvelunestohyökkäykset. Israelin sekä Palestiinan ja sitä tuke- vien maiden välillä on jatkuva pienimuotoinen kyberkonflikti, jossa eri hyökkäysmuo- doin pyritään häiritsemään valtion hallintorakenteita, asevoimia sekä pankki- ja teolli- suussektorin toimintaa.

178 Ibid. 179 Ibid.

82

Kybersotaan pätevät sodankäynnin yleiset periaatteet. Kyberoperaatioita ei toteuteta satunnaisesti, vaan niitä edeltää tilannekuvan muodostaminen tiedustelun ja vakoilun avulla sekä maalien analysointi ja valinta.180

Kybersodankäynnissä käytetään hyväksi globaaleja tietoverkkoja. 2000-luvulla erilaisista verkkohyökkäyksistä on tullut lähes jokapäiväistä toimintaa. Yhteiskuntaan kohdistuvan kyberuhan kohteista keskeisiä ovat kansallisen turvallisuuden kohteet sekä yhteiskun- nan elintärkeät toiminnot, joilla turvataan kansalaisten elinmahdollisuudet. Keväältä 2007 Viroon kohdistui verkkohyökkäysten sarja, jonka kohteina olivat kolmen viikon ajan mm. valtiojohto, poliisi, pankkilaitos, media ja yritysmaailma. Päätoimintamuotoina oli- vat palvelunestohyökkäykset, joiden kohteina olivat mm. web-, e-mail- ja DNS-serverit sekä reitittimet. Virolaisten mukaan tätä hyökkäystä ei voida pitää varsinaisena kyber- sodankäyntinä vaan se oli kyberkonflikti.181 Muodoiltaan siinä oli elementtejä, jotka an- tavat viitteitä valtiollisesta kybersodankäynnistä, mutta Viron oman määrittelyn mukai- sesti kysymys oli sotaa alemmasta kyberkonfliktista, koska Viro ja Venäjä eivät olleet sotatilassa keskenään.

Venäjän ja Georgian välinen sota, toiselta nimeltään Etelä-Ossetian sota oli elokuun 2008 ensimmäisellä viikolla Georgian sotavoimien ja Etelä-Ossetian armeijan sekä Venä- jän federaation joukkojen välillä käyty sota. Useat georgialaiset ja eteläossetialaiset verkkosivut joutuivat jo 8. elokuuta palvelunestohyökkäysten kohteiksi. Georgialaisia si- vustoja vastaan hyökkäys alkoi 9. elokuuta vastaisena yönä. Hyökkäykset kohdistuivat Georgian valtion ja presidentin sivustoille sekä Georgia-online-sivustolle. Georgian vi- ranomaiset päättivät 11. elokuuta taistella ”disinformaatiota” vastaan ja keskeyttivät kaikkien venäläisten televisiokanavien lähetykset maassa. Georgian johtava internetyh- teyden tarjoaja Caucasus Online esti pääsyn kaikki .ru-päätteen verkkosivulle. Venäjän uutistoimiston RIA Novostin sivuille hyökättiin ja ne kaatuivat muutamaksi tunniksi 10. elokuuta. Venäläisen englanninkielisen tv-kanavan RussiaTodayn sivuilla hyökättiin ja ne kaatuivat 12. elokuuta noin vuorokauden ajaksi. Georgian keskuspankin ja puolustusmi- nisteriön sivuille murtauduttiin, joissa kuvamateriaalia muutettiin.182

Valtioiden kybersodankäynnin kyvykkyydet tulevat edelleen kehittymään sekä hyök- käysten laajuudessa että edistyksellisyydessä. Valtioiden tekemät kyberhyökkäykset tulevat vaikuttamaan poliittisiin suhteisiin sekä valtarakennelmiin ympäri maailmaa. Lisäksi valtiollisten toimijoiden käyttämät kybertyökalut valuvat jollakin aikavälillä myös kyberrikollisryhmien käyttöön.

180 Filiol Eric. 2009. Operational Aspects of Cyberwarfare or Cyber-Terrorist Attacks: What is truly Devas- tating Attack Could do, Proceedings of the 8th European Conference on Information Warfare and Secu- rity, University of Minho and the Military Academy Lisbon, Portugal 6-7 July 2009, s. 71-79. 181 Rain Ottis. 2008. Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective, Proceedings of the 7th European Conference on Information Warfare and Security Univer- sity of Plymouth, UK, 30 June – 1 July 2008, s. 163-167. 182 Wikipedia

83

Kyberoperaatioissa korostuu vaatimus toiminnan nopeudesta, laajuudesta ja vaikutta- vuudesta. Kybersodankäynnissä ei ole näkyviä rintamalinjoja, vaan sodankäynti tapah- tuu kaikkialla kybertilassa. Kyberhyökkäykset ja hyökkäysvektoreiden muutokset ovat hyvin nopeita ja toiminnassa on siirrytty päivä- ja tuntiluokasta minuutteihin ja sekun- teihin.

Britannia voi tarvittaessa hajottaa, lamauttaa ja tuhota vihollisensa kriittistä infrastruk- tuuria kybersodankäynnin keinoin, sanoo maan asevoimien strategista esikuntaa joh- tava kenraali Sir Patrick Sanders. Tavoitteena on varmistaa Ison-Britannian asemaa johtavana, täyden keinovalikoiman kybermahtina, joka pystyy paitsi puolustautumaan kyberuhkia vastaan, myös toteuttamaan itse hyökkäyksiä. Sanders kertoo hyökkäyksel- lisiä kybersuorituskykyjä kehitetyn tiiviissä yhteistyössä maan signaalitiedustelusta vas- taavan turvallisuusviranomaisen (GCHQ) kanssa. Kyberhyökkäyksiä voidaan hänen mu- kaansa kohdistaa vihollisen kriittisiin suorituskykyihin ja infrastruktuuriin. Kohteet voi- vat olla niin strategisia kuin taktisia, ja niihin saatetaan iskeä joko yksinomaan kyber- menetelmin tai rinnan perinteisen sotilaallisen voiman kanssa.183

Tulevaisuudessa kybertaisteluista voi tulla merkittävämpiä kuin taisteluista fyysisessä maailmassa. Joka tapauksessa raja rauhan ja sodan välillä hämärtyy toimittaessa kyber- toimintaympäristössä. Digitalisaation vahvistuessa ja yhteiskuntien riippuvuuden kas- vaessa kriittisestä infrastruktuurista kyberhyökkäysten kohteena kehittyy keskeinen te- kijä tulevissa konflikteissa ja sodankäynnissä. Älykkyyden kehittyessä osaava toimija voi pienilläkin resursseilla luoda huipputason kyvykkyyttä kybertaistelukentälle.

9.4 Sotilaalliset kyberoperaatiot

9.4.1 Määrittelyä

Kyberoperaatiot voidaan määritellä strategiaksi, jolla horjutetaan vastustajan tieto- ja informaatioperusteisia järjestelmiä samalla, kun suojataan omia sekä defensiivisin että offensiivisin keinoin. Kybersodankäynnissä kyberoperaatiot eivät ole kokonaan itsenäi- siä, muusta sodankäynnistä erillään olevia operaatioita, vaan kiinteä osa kokonaisope- raatioita.

Kyberoperaatiot (engl. Cyber Operations, CO) voidaan jakaa seuraavasti: hyökkäykselli- set kyberoperaatiot (engl. Offensive Cyberspace Operations), puolustukselliset kybe- roperaatiot (engl. Defensive Cyberspace Operations), kybertiedustelu (engl. Exploitation Cyberspace Operations) ja tietoverkkojen suojaaminen (engl. Information Network Ope- rations). Tietoverkkojen suojaaminen on asevoimien päivittäistä toimintaa, jossa suoja- taan omia verkkoja ilman selkeästi tunnistettua uhkaa vastaan. Puolustukselliset kybe- roperaatiot kohdistuvat tunnistetun kyberhyökkäyksen torjuntaan.184

183 Hakala Heikki. 2020. Komentaja sanoo Britannian kykenevän tuhoisaan iskuun, Verkkouutiset 27.09.2020 184 JP 3-12. 2013. Cyberspace Operations, Joint Publication 3-12 (R), 5 February 2013.

84

Kyberhyökkäyksissä kyberaseita voidaan käyttää erilaisiin hyökkäysmuotoihin. Dr. Neil Rowe (U.S. Naval Postgraduate School, Monterey CA) luokittelee kyberhyökkäykset seu- raavasti:185

1. Salaustekninen hyökkäys (engl. Cryptographic attack) 2. Monimutkaistamishyökkäys (engl. Obfuscating attack) 3. Informaationestohyökkäys (engl. Withholding-information attack) 4. Huijaushyökkäys (engl. Resource-deception attack)

Kyberhyökkäykset voidaan jakaa myös sen perusteella, käytetäänkö tietokonetta ja - verkkoa hyökkäysvälineenä vai ovatko ne varsinaisia kohteita.186

Yhdysvaltalaisen näkemyksen mukaan kyberoperaatioissa käytetään kybersuoritusky- kyjä, joiden käytön perimmäisenä tarkoituksena on sotilaallisten tavoitteiden tai vaiku- tuksen saavuttaminen kyberavaruudessa. Tähän kuuluvat kyberoperaatiot ja toimenpi- teet, joilla puolustetaan Yhdysvaltain sotilaallista tietoverkkoa (engl. Global Information Grid, GIG).187

Kyberajattelun myötä on haluttu tuoda informaatioympäristön keskiössä olevan infor- maation rinnalle kyberavaruuden rakenteet eli kriittinen infrastruktuuri sekä sodan- käynnin johtamis- ja toimeenpanoprosessit. Lisäksi kyberajattelussa on esitetty uudel- leen ajatus totaalisesta sodasta, jossa vaikuttamisen kohteena ei ole vain sotilaallinen toimintaympäristö vaan koko yhteiskunta ja sen rakenteet. Erilaiset verkostot ovat levit- täytyneet lähes kaikille elämän alueille. Yhteiskunnan kaikki elintärkeät toiminnat ovat verkottuneita.

Asevoimat ovat vastaavalla tavalla kehittyneet informaatiosta, verkostoista, sähköener- giasta riippuvaisiksi, siis koko digitaalisesta maailmasta, jossa tietotekniikan erilaiset so- vellukset ovat kiinteä osa asevoimien laitteita ja järjestelmiä. Kyberavaruus fuusioi kaikki tietoliikenneverkot, tietokannat ja informaatiolähteet globaaliksi virtuaalisysteemiksi.

Elektronisen sodankäynnin, informaatiosodankäynnin ja kybersodankäynnin operaatiot muodostavat kyberajan ei-kineettisten verkostoperustaisten operaatioiden kokonaisuu- den. Kybersodankäynti ei ole syrjäyttänyt aikaisempia ei-kineettisiä sodankäynnin muo- toja vaan laajentunut kybermaailman uusille bittien muodostamille toiminta-alueille.

Kyberoperaatiot muodostavat kokonaisuuden, jolla horjutetaan vastustajan kybertoi- mintaympäristön tieto- ja informaatioperusteisia järjestelmiä ja rakenteita sekä eri toi-

185 Rowe Neil. 2010. Towards Reversible Cyberattacks, Proceedings of the 9th European Conference on Information Warfare and Security, the Department of Applied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 261-267. 186 Seruga Jan. 2011. Head of School of Arts & Sciences, Australian Catholic University, Sydney, luento Jyväskylän yliopistossa 12.8.2011. 187 Joint Publication 1-02. 2010. Department of Defense (DoD) Dictionary of Military and Associated Terms, 2010.

85 mijoiden tilannetietoisuuden muodostumista samalla, kun suojataan omia sekä defen- siivisin että offensiivisin keinoin. Kybersodankäynnissä kyberoperaatiot eivät ole koko- naan itsenäisiä, muusta sodankäynnistä erillään olevia operaatioita, vaan kiinteä osa ko- konaisoperaatioita.

Suomalaisen taksonomian mukaan kyberoperaatiot voidaan jakaa hyökkäyksellisiin toi- miin (kybervaikuttaminen), puolustuksellisiin toimiin (kybersuojautuminen) ja tieduste- luun (kybertiedustelu) kybertoimintaympäristön eri rakenteissa.

Kyberpuolustuksen suorituskyvyt merkitsevät uusia määrittelyitä ja tarkennuksia voi- mankäytön säännöksiin erityisesti kybertiedustelun ja -vaikuttamisen osalta. Kybervai- kuttamisen kehittämisen tavoitteena tulee olla, että siihen soveltuisivat samat periaat- teet kuin perinteiseen voimankäyttöön.

Kybervaikuttamisen suorituskyvyllä vaikutetaan vastustajan toimintaan kohdistamalla toimenpiteitä sen järjestelmiin ja verkkoihin niiden haavoittuvuuksia hyödyntäen. Vai- kuttamisen tavoitteena on vastustajan tietojärjestelmien, tietoverkon ja sen laitteiden toiminnan häiritseminen, tietoverkon tai sen sisältämän tiedon käytön rajoittaminen, käytettävyyden heikentäminen tai tuhoaminen sekä kyberylivoiman saavuttaminen ky- bertilassa.

Kybervaikuttamisen kehittämisessä korostuu systeeminen ajattelu. Kybermaalien valin- nassa niitä tulee tarkastella systeemin osina, jolloin saadaan aikaan suoraa ja epäsuoraa vaikutusta. Maalien valinnassa on järkevää valita sellaisia, jotka nopeimmin, pitkävaikut- teisimmin ja tehokkaimmin aikaansaavat systeemimuutoksen. Sotilaalliset operaatiot edellyttävät tarkkaa analysointia, joiden kohteina ovat vastustajan painopisteet, kriitti- set rakenteet ja elintärkeät toiminnat ja niiden haavoittuvuudet. Vain tällaista kokonais- valtaista lähestymistapaa käyttämällä voidaan strategiset tavoitteet saavuttaa kineetti- sillä ja ei-kineettisillä operaatioilla. Esimerkiksi liittouman hyökkäyksessä Bagdadiin vuonna 1991 ilmahyökkäyksellä tuhottiin vain 10 % sähköverkosta, mutta aiheutettiin strateginen lamautus koko kaupungissa. Nyt tällainen strateginen lamautus on mahdol- linen kyberhyökkäyksen avulla. Muutos saadaan tehokkaimmin toteutettua, kun toteu- tetaan kineettisiä ja ei-kineettisiä rinnakkaisoperaatioita kaikissa taistelutilan ulottu- vuuksissa. Jokaista ulottuvuutta vastaan voidaan hyökätä suorasti tai epäsuorasti, ja pa- ras toimintamalli riippuu kulloisestakin tilanteesta. Strategisessa ajattelussa tulee huo- mio kohdistaa systeemivaikutuksiin eikä yksittäisiin maaleihin. 188

Kybersuojautumisen suorituskyvyllä estetään, rajataan ja lievennetään hyökkääjän eri järjestelmiin ja verkkoihin toteuttamien kyberoperaatioiden vaikutuksia. Kybersuojaa- minen käsittää sellaisia tietoverkoissa tapahtuvia toimia kuten havainnointi, valvonta, analysointi ja vastatoimenpiteiden toteuttaminen verkkohyökkäyksiä, tunkeutumisia ja

188 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212.

86 muita luvattomia toimia sekä häiriöitä vastaan. Suojautumisen tavoitteena on kyky suo- jata oma tieto sekä johtamis- ja tietojärjestelmät säilyttäen riittävä operaatioiden johta- miskyky.189

Kybertiedustelun suorituskyvyllä tuotetaan tietoa kybertoimintaympäristön toimijoiden järjestelmien ja verkkojen kokoonpanoista ja haavoittuvuuksista sekä arviota toimijoi- den kyvyistä toteuttaa tietoverkko-operaatioita. Kybertiedustelun tavoitteena on luoda suojautumisen ja vaikuttamisen edellyttämä tilannetietoisuus, uhkavaroitus ja maa- linosoitus. 190

Kyberhyökkäysten kohteena eivät ole vain asevoimat vaan yhteiskunnan elintärkeät toi- minnat. Yhteiskunnan elintärkeät toiminnot on pystyttävä turvaamaan kaikissa tilan- teissa. Suomi on tietoyhteiskuntana riippuvainen tietoverkkojen ja -järjestelmien toi- minnasta ja siksi kybertoimintaympäristössä toteutettavia hyökkäyksiä voidaan käyttää poliittisen ja taloudellisen painostuksen välineinä ja vakavassa kriisissä yhtenä vaikutta- miskeinona perinteisten sotilaallisten voimakeinojen ohella. Näin kansallisesta kyber- puolustuksesta muodostuu kiinteä osa kokonaismaanpuolustusta. 191

Kyberhyökkäyksiin pyritään löytämään vielä tunnistamattomia haavoittuvuuksia, joita hyödynnetään niin rauhan kuin sodan aikana. Kriisitilanteessa hyökkääjälle kohteen tun- temattoman haavoittuvuuden arvo on erittäin merkittävä. Tulevaisuuden sodan voi voittaa hankkimalla ylivoiman kybertoimintaympäristössä ja tässä kyberylivoiman han- kinnassa auttavat ulkoistetut toimijat rauhan aikana. 192

Viime vuosien aikana on voitu havaita kyberhyökkäyksissä yhä systemaattisempaa toi- mintatapaa ja hyvää toiminnan organisointia ja johtamista. Hyökkäysmenetelmät ovat yhä kehittyneempiä ja käytetyt kyberaseet yhä tehokkaampia. Ennusteiden mukaan myös valtioiden kybersodankäynnin kyvykkyydet tulevat edelleen kehittymään sekä hyökkäysten laajuudessa että kehittyneisyydessä. Valtioiden tekemät kyberhyökkäykset tulevat vaikuttamaan poliittisiin suhteisiin sekä valtarakennelmiin ympäri maailmaa. Valtioiden käyttämät työkalut valuvat sitten jollakin aikavälillä myös kyberrikollisryh- mien käyttöön.193

Liitteessä 2 on esitetty kuvaus sotilaallisista kyberoperaatioista.

189 Ibid. 190 Ibid. 191 Ibid. 192 Ibid. 193 Valeriano Brandon & Maness Ryan. 2015. Cyber War versus Cyber Realities, Cyber Conflict in the In- ternational System, Oxford University Press, New York. Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T. 2017. Salminen M., Suomen kyberturvallisuuden ny- kytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017.

87

9.4.2 Kyberpuolustuksen kehittämisen strategiset linjaukset Suomessa194

Kybertoimintaympäristön aiheuttamiin uhkiin vastaamiseksi ja kybertoimintaympäris- tön tarjoamien mahdollisuuksien hyödyntämiseksi on merkityksellistä, että puolustus- hallinnossa on määritetty strateginen tavoitetila.

Kyberpuolustuksen suorituskyvyn merkittävä tekijä on riittävän korkeatasoinen kansal- linen osaaminen. Keskeisimmiksi kyberpuolustuksen osaamisalueiksi on tällä hetkellä tunnistettu mm. tietoturvallisuus, havainnointi, kyberforensiikka ja haittaohjelma-ana- lyysi, tiedonsiirtotekniikka, ohjelmistokehitys, suurten tietomäärien käsittely, kryptolo- gia, tekoäly ja kvanttilaskenta. Osaamisalueiden kehittymistä, uusien osaamisalueiden merkityksen kasvamista ja mahdollisten osaamisvajeiden kehittymistä seurataan jatku- vasti.

Kyberuhkiin varautuminen ja niiden torjuminen edellyttävät yhteiskunnan kaikilta osa- puolilta entistä nopeampaa, läpinäkyvämpää ja paremmin koordinoitua toimintaa, sekä erikseen että yhdessä. Yhteistoimintaa kehitetään muiden viranomaisten ja yritysten osaamisen hyödyntämiseksi myös kyberpuolustuksessa kyberturvallisuusstrategian osoittamalla tavalla.

Kyberteknologian alalla keskeisimmiksi teknologia-alueiksi on tunnistettu mm. haavoit- tuvuustutkimus, tunkeutumisen havaitsemis- ja estojärjestelmät, salausteknologia, suu- ren ja strukturoimattoman tietomäärän käsittely ja tekoälyteknologiat.

Muita linjauksia ovat yhteistyö ja kumppanuuden alan yritysten kanssa, puolustushallin- non, yhteistyökumppaneiden ja tutkimusverkostojen tutkimustoimintaa suunnataan ky- berpuolustuksen teknologiaennakoinnin kehittämiseksi sekä kansainvälistä yhteistoi- mintaa kehitetään.

Kokonaisuutena kyberpuolustuksen suorituskykyjä pyritään hyödyntämään osana kan- sallista kyberturvallisuutta.

9.4.3 Proxien käyttö kyberhyökkäyksissä

Viimeisen vuosikymmenen aikana erityisesti suurvallat ovat ryhtyneet käyttämään ky- beroperaatioissaan proxeja (engl. cyber proxies). Nämä ovat valtion virallisten organi- saatioiden (asevoimat, tiedustelupalvelut) ulkopuolella toimivia henkilöitä tai ryhmiä, jotka toteuttavat em. valtiollisten toimijoiden sijasta ja valtuuttamana erilaisia kybe- roperaatioita. Sijaisten käyttämisellä valtio välttyy mahdolliselta syyllisyysolettamalta, jos kyberhyökkääjä voidaan identifioida. Yhteistyöstä hyötyvät kumpikin osapuoli. Proxit voivat valtioiden tuella parantaa heidän teknisiä taitojaan, saada huippuluokan laitteita

194 PLM. 2019. Kyberpuolustuksen kehittämisen strategiset linjaukset.

88 ja saada taloudellista etua. Valtio vastaavasti saa huippuluokan osaajia, joita voivat käyt- tää peitteenä operaatioissaan. 1990-luvulta saakka on esimerkkejä operaatioista, joissa nimenomaan proxit olivat kyberoperaatioiden takana, kuten:195

• Black Hand -ryhmä (pro-Serbia hakkerit) Kosovon kriisin aikana, 1996–1999, • Red Hackers, kiinalainen patrioottihakkeriryhmä, Kosovon kriisin aikana, 1996– 1999, • Iranin valtion tukemat hakkerit ovat yrittäneet murtautua yliopistojen tietoverk- koihin Euroopassa, Yhdysvalloissa ja Australiassa keväällä 2020, • SolarWinds-yhtiön työkalun avulla on tunkeuduttu Yhdysvalloissa yli 250 yrityk- sen ja valtion viraston järjestelmiin. Venäjän hallinnon tukemat hakkerit ovat pääepäiltyinä, syksyllä 2020.

Mutta on myös esimerkkejä ryhmistä, jotka ovat itsenäisesti ovat toteuttaneet mieles- tään oikeutettuja kyberoperaatioita, kuten Chinese Hacker Emergency Conference Indo- nesiaa vastaan elokuussa 1998.196

9.5 Kyberpelote

Pelotteen luominen kyberympäristöön on kansainvälisesti tällä hetkellä hyvin ajankoh- tainen aihe. Kyberpelotetta tulevat ainakin kaikki suurvallat rakentamaan, mutta keinot pelotteen luomiseen ovat epäselviä. Kyberpelotetta ei välttämättä pystytä uskottavasti luomaan samankaltaisin metodein kuin pelotetta fyysiseen maailmaan. Kyberpelottee- seen voi kuitenkin katsoa kuuluvaksi neljä keskeistä elementtiä: 197

1) Ensiksi kyvykkyys puolustautua kyberympäristössä yhteiskunnan laajuisesti sekä ky- vykkyys vahvaan sietokykyyn, eli kyvykkyyteen toimia voimakkaankin hyökkäyksen koh- teeksi jouduttaessa.

2) Toiseksi kyse on kyvykkyydestä hyökkääjän tunnistamiseen eli attribuutiosta. Kyber- pelotteeseen kuuluu kyky paikallistaa hyökkääjä, ja tähän tarvitaan yleensä vahvaa kan- sainvälistä yhteistyötä.

3) Kolmanneksi kyse on hyökkäyskyvykkyydestä ja valmiudesta vastata myös poliittisesti kyberhyökkäyksiin. Haasteena on se, että miten valtio pystyy viestimään ja näyttämään

195 Wu, X. 2007. Chinese Cyber Nationalism: Evolution, Characteristics, and Implications, Lexington Books, Plymouth. Geers, K. 2017. Cyberspace and the Changing Nature of Warfare, NATO Publications, https://www.sto.nato.int/publications/.../$MP-IST-076-KN.pdf. Borghard, E. and Lonergan, S. 2016. Can States Calculate the Risks of Using Cyber Proxies? Orbis: a quar- terly journal of world affairs, Vol60, No. 3, pp. 395-416. 196 Ibid. 197 Limnéll Jarno. 2013. The Cyber arms race is accelerating – what are the consequences? Journal of Cyber Policy, Vol 1, Issue 1, 2013.

89 kyberhyökkäyskykyjään julkisesti pelotetta luoden, kun kyberhyökkäyskyvyt ovat sa- laista tietoa. Voi arvioida, että valtiot tulevat joiltain osin paljastamaan joitain ky- berhyökkäyskykyjään ja tekemään esimerkiksi ”koehyökkäyksiä” luodakseen uskotta- vuutta kyvykkyyksilleen.

4) Neljänneksi pelotteeseen kuuluu myös valtion kyberomavaraisuus ja osaamisen taso. Hieman pelkistäen voi todeta, että osaavat ihmiset ovat paras ”kyberase”, ja korkeaa osaamista osoittava valtio pystyy tällä tavoin viestimään turvallisuusympäristöönsä ky- vykkyytensä tasosta. Valtion on myös pelotteen luomisen näkökulmasta kyettävä riittä- vään omavaraisuuteen turvallisuusteknologian tuottamisessa. 198

Viestinnällä on myös oleellinen merkitys pelotteen luomiseen. Esimerkiksi Kiina on jul- kisesti ilmoittanut rakentavansa kyberpelotteen ydinpelotteen rinnalle. Kyberpelotteen kehittämistä kiihdyttää sen edullisuus. Siinä missä modernin häivehävittäjän hinta on yli 150 miljoonaa euroa, hyökkäysohjelmien koodaaminen maksaa korkeimmillaan kymme- niä miljoonia euroja. Koulutettuja osaajia ei tarvita kyberaseiden suunnitteluun, kehit- tämiseen ja käyttöön tuhansia, vaan kymmenillä huippuosaajilla voidaan tuottaa maail- manluokan kybersuorituskykyjä. Tässä uudessa tilanteessa maailmanpolitiikan voima- suhteet saattavat muuttua, jos useat maat todella investoivat kyberkyvykkyyksiin ja myös käyttävät niitä.199

198 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212. 199 Ibid.

90

10 KYBERTURVALLISUUS JA LAILLISUUSNÄKÖKULMA

10.1 Kyberjuridiikkaa

10.1.1 Säädöksiä YK- ja EU-tasolla

Kyberuhat ja niiden torjunta nostaa myös esille kysymyksen laillisuusperiaatteista. Län- simaisen käsityksen mukaan yksityisyyden suoja on hyvin merkittävä osa kansalaisen oi- keutta avoimessa yhteiskunnassa. Toinen laillisuusnäkökulma liittyy kansainväliseen oi- keuteen, sillä kyberuhkille on tyypillistä, että ne ovat valtioiden rajat ylittäviä. Eroavai- suudet kansallisessa lainsäädännössä ja sen valvonnassa antavat rikollisille kybertoimi- joille mahdollisuuden sijoittaa toimintansa itselleen sopiviin valtioihin. Rikollinen toi- minta tietoverkoissa ja niitä vastaan ylittää kansalliset rajat. Jo 1990-luvulla YK tunnisti tietotekniikan väärinkäytön valtioiden rajat ylittäväksi rikokseksi. Kansallisen ja kansain- välisen lainsäädännön tulee ottaa käyttöön se kieli, jota kybermaailmassa käytetään. Haasteena tässä kontekstissa on se, että teknologia kehittyy paljon nopeammin kuin uu- det lait lainsäädäntöprosesseissa. ICT-järjestelmien käyttö leviää hyvin nopeasti, jolloin uuden lainsäädännön kirjoittamisen ja implementoinnin tulisi kehittyä samassa tah- dissa, mikä on lähes mahdotonta. Tilanteesta huolimatta toiminta kyberuhkia vastaa edellyttää kansainvälistä yhteistoimintaa ja yhteisiä globaaleja toimia.200

YK julkaisi vuonna 2000 asiakirjan koskien ylikansallisen organisoidun rikollisuuden tor- juntaa (United Nations Convention against Transnational Organized Crime). Vaikka asia- kirja ei suoraan puhu kyberrikollisuudesta, sitä voidaan pitää kansainvälisenä kehysasia- kirjana myös kyberrikollisuuden torjunnassa. Vuonna 2004 YK julkaisi asiakirjan, jolla oh- jeistettiin vuoden 2000 ohjeen implementaatiota (Legislative Guides for The Implemen- tation of the United Nations Convention Against Transnational Organized Crime and the Protocols Thereto).201

YK piirissä työskentelee monikansallinen työryhmä, jonka käsittelee kyberrikollisuutta. Työryhmässä käsitellään kyberrikollisuuden problematiikkaa, siihen liittyviä laillisuuspe- riaatteita, toimintaan tarvittavia suorituskykyjä, alan kansainvälisiä organisaatioita ja teknologisia kysymyksiä.202

200 Skórzewska-Amberg Małgorzata. 2011. Legal Protection of Digital Information in the era of Infor- mation Warfare, Proceedings of the 10th European Conference on Information Warfare and Security The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011, s. 237- 244. 201 United Nations. 2000. Convention against Transnational Organized Crime, adopted by General As- sembly resolution 55/25 of 15 November 2000. United Nations. 2004. Legislative Guides for the Implementation of the United Nations Convention against Transnational Organized Crime, 2004, www.unodc.org/pdf/crime/legislative_guides/Legisla- tive%20guides_Full%20version.pdf. 202 UNODC. 2011. Expert group on cybercrime, Working Paper: Draft collection of topics for considera- tion within a comprehensive study on impact and response to cybercrime, Vienna, 17-21 January 2011.

91

Euroopan parlamentti ja neuvosto toteavat vuoden 2000 direktiivissä sähköisestä kau- pankäynnistä, että ”tietoyhteiskunnan palvelujen kehittämistä yhteisössä haittaavat tie- tyt sisämarkkinoiden moitteettoman toiminnan oikeudelliset esteet, jotka ovat omiaan tekemään sijoittautumisvapauden ja palvelujen vapaan liikkuvuuden soveltamisen vä- hemmän houkuttelevaksi. Esteet johtuvat lainsäädäntöjen eroavuuksista sekä oikeudel- lisesta epävarmuudesta siltä osin, mitä kansallisia säännöksiä sovelletaan näihin palve- luihin.”203 EU haluaa ohjauksellaan varmistaa sekä vapaan liikkuvuuden toimivuuden sekä yksilösuojan ja oikeusturvan toteutumisen.

Euroopan neuvosto julkaisi Budapestissa 23.11.2001 tietoverkkorikollisuutta koskevan yleissopimuksen (Convention on Cybercrime), jonka tavoitteena on lisätä kansainvälistä yhteistyötä, jotta tietojärjestelmien, tietoverkkojen ja datan luottamuksellisuuden, eheyden ja käytettävyyden loukkaukset säädetään kansallisilla laeilla rangaistaviksi.204

Euroopan neuvosto julkaisi helmikuussa 2005 päätöksen koskien tietojärjestelmiin koh- distuvia hyökkäyksiä (Council Framework Decision 2005/222/JHA of 24 February 2005, on attacks against information systems). Kehysasiakirjan tavoitteena oli kehittää oikeus- viranomaisten ja muiden toimijoiden kuten poliisin toimintaa jäsen valtioissa, kehittä- mällä tarvittavaa lainsäädäntöä.205

Suomessa lainsääntöä tarkistettiin tämän mukaiseksi (HE 153/2006 vp) ja se tuli voi- maan 1.9.2007. Esityksessä ehdotettiin, että rikoslakiin, pakkokeinolakiin, esitutkintala- kiin ja kansainvälisestä oikeusavusta rikosasioissa annettuun lakiin tehtäisiin yleissopi- muksen voimaansaattamisesta johtuvat muutokset. Rikoslakiin lisättiin uudet tietojär- jestelmän häirintää ja tietoverkkorikosvälineen hallussapitoa koskevat säännökset. Tie- toverkkorikosvälineen levittämisen osalta sääntely laajennettiin kattamaan tietokonevi- rusten ja muiden vastaavien haittaohjelmien lisäksi myös tietomurtovälineet ja laitteet. Yhteisövastuuta laajennettiin sopimuksen edellyttämällä tavalla. Pakkokeinolakiin lisät- tiin uudet datan takavarikkoa, säilyttämismääräystä ja tietojärjestelmän haltijan tieto- jenantovelvollisuutta koskevat säännökset. Esitutkintalakiin lisättiin säännös, jonka mu- kaan todistaja on velvollinen esittämään hallussaan olevan datan tai muun todistusai- neiston. Lakiin kansainvälisestä oikeusavusta rikosasioissa tehtiin muutos, jonka mukaan datan säilyttämismääräystä koskevan oikeusapupyynnön osalta ei edellytetä kaksoisran- gaistavuutta.206

203 EC. 2000. Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, 8.6.2000, tietoyhteiskunnan pal- veluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökoh- dista (”Direktiivi sähköisestä kaupankäynnistä”), s.1. 204 EC. 2001. Convention on Cybercrime, Budapest, 23.XI.2001. 205 EC. 2005. Council Framework Decision 2005/222/JHA of 24 February 2005, on attacks against infor- mation systems. 206 HE. 2006. Hallituksen esitys HE/153 eduskunnalle Euroopan neuvoston tietoverkkorikollisuutta koske- van yleissopimuksen hyväksymisestä, laiksi sen lainsäädännön alaan kuuluvien määräysten voimaansaat- tamisesta sekä laeiksi rikoslain, pakkokeinolain 4 luvun, esitutkintalain 27 ja 28 §:n ja kansainvälisestä oikeusavusta rikosasioissa annetun lain 15 ja 23 §:n muuttamisesta.

92

Uutta ehdotusta EU:n direktiiviksi tietojärjestelmiin kohdistuvista hyökkäyksistä valmis- teltiin 2000-luvun puolivälistä alkaen. Direktiiviehdotuksen tavoitteena on edistää tieto- järjestelmiin kohdistuvien rikosten torjuntaa. Direktiivissä annettaisiin vähimmäissään- nöt jäsenvaltioiden kansallisissa laeissa olevista rikostunnusmerkistöistä ja rangaistuk- sista sekä määrättäisiin jäsenvaltioiden välisestä rikosoikeudellisesta yhteistyöstä. Ehdo- tuksessa on kysymys nykyisen tietojärjestelmiin kohdistuvista hyökkäyksistä tehdyn pui- tepäätöksen kumoamisesta ja uuden direktiivin säätämisestä sen tilalle. Uusi ehdotettu direktiivi sisältää nykyiseen puitepäätökseen sisältyvät säännökset, mukaan lukien laiton tunkeutuminen tietojärjestelmään, laiton järjestelmän häirintä, laiton datan vahingoit- taminen, rikokseen yllyttäminen ja avunanto tai rikoksen yritys, oikeushenkilön vastuu ja rikosoikeudellinen lainkäyttövalta. Ehdotuksessa on myös uusia rangaistava tekoja koskevia säännöksiä, jotka sisältyvät Euroopan neuvoston tietoverkkorikollisuutta kos- kevaan yleissopimukseen. Nämä koskevat rikoksen tekemisessä käytettyjä laitteita ja vä- lineitä sekä viestintäsalaisuuden loukkaamista. Raskauttavia olosuhteita koskeviin sään- nöksiin on lisätty hyökkäysten laajamittaisuus eli ns. bot-verkkojen käyttö ja tekijän hen- kilöllisyyden salaaminen siten, että aiheutetaan vahinkoa henkilöllisyyden oikealle hal- tijalle.

Komissio antoi toukokuussa 2007 tiedonannon neuvostolle, Euroopan parlamentille ja alueiden komitealle tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torju- miseksi. Tiedonannon tarkoituksena oli hahmotella yleinen toimintapolitiikka tietoverk- korikollisuuden torjunnan tehostamiseksi Euroopan tasolla ja kansainvälisesti. Siinä esi- teltiin toimenpidekokonaisuus, jonka avulla pyritään hillitsemään kyseistä rikollisuutta ja parantamaan eri toimijoiden välistä yhteistyötä Euroopan unionissa. Tarkoituksena on parantaa lainvalvontaviranomaisten välistä yhteistyötä, tehostaa jäsenvaltioiden toi- mien keskinäistä koordinointia, tehdä poliittista ja oikeudellista yhteistyötä kolmansien maiden kanssa, lisätä elinkeinoelämän kanssa käytävää vuoropuhelua sekä toteuttaa asiaan liittyviä valistus-, koulutus- ja tutkimustoimia.207

Komissio antoi syyskuussa 2010 ehdotuksen tietojärjestelmiin kohdistuvista hyökkäyk- sistä, jolla korvataan aikaisempi puitepäätös. Komission mukaan tietoverkkorikollisuu- den suurin syy on eri tekijöistä johtuva haavoittuvuus. Lainvalvontamekanismien riittä- mättömät toimet helpottavat näiden ilmiöiden esiintymistä ja pahentavat niistä aiheu- tuvia vaikeuksia, sillä tietyntyyppiset rikokset ovat kansainvälisiä. Raportointi tämän tyyppisestä rikollisuudesta on usein riittämätöntä osaksi siksi, että eräitä rikoksia ei ha- vaita, ja osaksi siksi, että uhrit (toiminnanharjoittajat ja yritykset) eivät ilmoita rikoksista pelätessään saavansa huonon maineen ja haavoittuvuutensa julkitulon vaikuttavan tu- leviin liiketoimintamahdollisuuksiin. Lisäksi kansallisten rikoslainsäädäntöjen ja menet- telyjen eroavaisuudet voivat johtaa eroihin tutkinnassa ja syytetoimissa, minkä johdosta eroavaisuuksia on myös tavassa, jolla näihin rikoksiin puututaan. Tietotekniikan kehitys on pahentanut näitä ongelmia, sillä kehityksen myötä on helpompi tuottaa ja levittää välineitä (haittaohjelmia ja bottiverkkoja), rikoksentekijät voivat toimia anonyymisti ja vastuu teoista jakautuu eri lainkäyttöalueille. Syytteen nostamiseen liittyvien vaikeuk-

207EC. 2007. Komission tiedonanto neuvostolle, Euroopan parlamentille ja alueiden komitealle, Tavoit- teena yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi, KOM(2007) 267.

93 sien vuoksi järjestäytynyt rikollisuus voi saada huomattavia voittoja riskin ollessa vähäi- nen. Tässä ehdotuksessa otetaan huomioon uudet tietoverkkorikollisuuden menetel- mät, erityisesti bottiverkkojen käyttö.208

Tietoverkkorikos ei aina sisällä rikoksen perinteisiä aineksia, joten sen kansainvälinen määrittäminen ei ole helppoa. Tämän vuoksi on hyvin tärkeää, että kansallisella tasolla prosessioikeudelliset seikat käydään tarkasti läpi ennen kuin kansainvälinen yhteistyö voi olla mahdollista. Kyberrikollisuustapauksissa tapauksien tutkiminen ja syyttäminen harvoin käsittää vain yhtä valtiota ja siksi maailmanlaajuinen verkko ja yhteistyö ovat tärkeitä. Kansainvälinen vertailu on osoittanut, että monenkeskiset sopimukset auttavat kansallisen lain yhtenäistämisessä.209

Perinteisen sotateorian käyttö teoreettisena viitekehyksenä analysoitaessa kyberkon- flikteja on osoittanut tarpeen määritellä kyberhyökkäykset tarkemmin kuin aseelliset hyökkäykset. Kyberhyökkäykset Viroa ja Georgiaa vastaan painottavat tarvetta määri- tellä, minkälaiset vastatoimenpiteet ovat hyväksyttäviä ja sallittuja kohteeksi joutuneen valtion taholta. Kansainvälisen lainsäädännön tulisi kehittyä ja mukautua kybermaail- man uusiin uhkiin ja toimintatapoihin. 210

Joidenkin tutkijoiden mielestä kyberhyökkäysten riski on niiden mahdollisesti aiheutta- missa oheisvahingoissa. Haagin vuoden 1899 ja 1907 sopimukset, sekä Geneven sopi- mukset vuosilta 1949 ja 1977 käsittelevät sodan oikeussääntöjä. Vuoden 1977 Geneven sopimuksen lisäpöytäkirjan artikla 51 kieltää sellaiset hyökkäysmenetelmät ja -keinot, joiden vaikutuksia ei voida hallita tai niiden aiheuttama vahinko siviiliväestölle on koh- tuuton. Artikla 51:n mukaan ”umpimähkäinen aseellinen toiminta on kiellettyä”. Artikla 57 mukaan ”sotatoimien aikana on siviiliväestöä, siviilihenkilöitä ja siviilikohteita aina pyrittävä suojelemaan”. Tämän voidaan katsoa myös koskevan kyberaseita. Nykyiset ky- beraseet saattavat olla liian tehokkaita ja aiheuttaa kohtuutonta vahinkoa siviiliväestön keskuudessa. Joka tapauksessa sodan oikeussäännöstöä tulee kehittää uudessa kyber- sotaympäristössä.211

Toisen kokonaisuuden muodostavat kyberkonfliktien eri toimijoiden ja toimintatapa- mallien määrittely. Kuinka kriisinhallinnan ja sodankäynnin määritelmät sopivat mielen- osoittajiin, haktivisteihin tai hakkereihin? Mikä vaikutus sodan oikeussäännöillä on sii- hen, kuinka valtiolliset ja ei-valtiolliset toimijat kehittävät suorituskykyjä käydä kyberso-

208 EC. 2010. Euroopan parlamentin ja neuvoston direktiivi tietojärjestelmiin kohdistuvista hyökkäyksistä, KOM(2010) 517, 30.9.2010. 209 Talihärm Anna-Maria. 2011. International Criminal Cooperation in the Context of Cyber Incidents, Proceedings of the 10th European Conference on Information Warfare and Security, The Institute of Cy- bernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011, s. 253-260. 210 Liaropoulos Andrew. 2010. War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Pro- ceedings of the 9th European Conference on Information Warfare and Security, the Department of Ap- plied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 177-182. 211 Rowe Neil. 2010. Towards Reversible Cyberattacks, Proceedings of the 9th European Conference on Information Warfare and Security, the Department of Applied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010, 261-267.

94 taa? Kuinka kybersodankäynti vaikuttaa sellaisiin toimintoihin kuten rauhan aikaansaa- minen, rauhanturvaaminen ja kriisinhallinta? Mikä yhteys ja vuorovaikutteisuus kyber- sodan teknologioilla on sellaisiin teknologioihin kuten bio- ja nanoteknologia? Kyberso- dankäynti ja -konfliktit ovat luoneen uuden toimintaympäristön, jossa perinteiset sodan oikeussäännöt eivät välttämättä toimi. Tämä tilanne edellyttää kansainvälistä yhteistoi- mintaa ja oikeuskäytäntöä.212

10.1.2 EU:n yleinen tietosuoja-asetus

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (engl. General Data Pro- tection Regulation, GDPR) annettiin 27 päivänä huhtikuuta 2016. Se astui voimaan 25.5.2018.

EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vah- vistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetuksen tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Lisäksi pyritään parantamaan luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. EU:n yleinen tietosuoja- asetus korvaa vuonna 1995 annetun henkilötietodirektiivin. Asetus sisältää säännökset mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista (myös sopimuk- set), rekisteröiden suostumuksen edellytyksistä ja arkaluonteisten tietojen käsitte- lystä.213

EU tietosuoja asetus tavoitteet:214

• EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Koska kyseessä on kaikissa jäsenvaltioissa suoraan sovellet- tava asetus, tulee se yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu jäsenvaltioiden epäyhtenäisestä sääntelystä. • EU:n tietosuoja-asetus tulee olemaan suoraan sovellettavaa lainsäädäntöä Suo- messa. Oikeusministeriö vastaa Suomessa asetuksen täytäntöönpanon edellyt- tämistä lainsäädäntötoimista. Joissakin osissa asetus antaa kuitenkin tilaa tar- kemmille säännöksille kansallisessa lainsäädännössä (ns. kansallinen liikkuma- vara) ja Suomen säännökset henkilötietojen käsittelystä voivat siksi olla myös jat- kossa voimassa joillakin aloilla. Tämä koskee esimerkiksi henkilötietojen käsitte- lyä viranomaisissa.

212 Mulvenon James. 2005. Toward a Cyberconflict Studies Research Agenda, the IEEE Computer Society, s. 52-55. 213 EC. 2016. Euroopan unionin tietosuoja-asetus (GDPR), 95/46/EC, 27.4.2016. 214 Opi tietosuojaa, https://opitietosuojaa.fi/index.php/fi/56-lainsaeaedaentoe/lait/eun-tietosuoja-ase- tus/23-tuleva-eu-n-tietosuoja-asetus.

95

• Asetus sisältää täsmennyksiä voimassa olevaan sääntelyyn sekä merkittäviä uu- sia velvoitteita ja sanktioita. Tietosuojavelvoitteensa laiminlyöville rekisterinpi- täjille voidaan langettaa merkittäviä seuraamusmaksuja. • EU:n tietosuoja-asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsitte- lyn kohteena olevan henkilön oikeudet. Tällaisia oikeuksia ovat omia henkilötie- toja koskeva tiedonsaantioikeus, oikeus saada tiedot oikaistua, oikeus tulla unohdetuksi sekä oikeus tietojen poistamiseen ja tietojenkäsittelyn vastustami- seen. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä. • EU:n tietosuoja-asetuksen sääntelyn lähtökohtana on ns. riskipohjainen lähesty- mistapa. Sääntelyssä otetaan huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit. Pyrkimyksenä on yhtäältä välttää vähäriskisten toimien ylisäänte- lyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa (huomi- oiden mm. tietojen laatu/luonne, käsittelytarkoitus ja laajuus). Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä. • Asetus tulee luomaan Euroopan unionille ajanmukaisen ja yhtenäisen kehyksen henkilötietojen käsittelyyn. Asetuksen tavoitteena on parantaa luottamusta on- line-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. Organisaation henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa. Monet ase- tukseen sisältyvät velvoitteet sisältyvät jo nykyisin Suomen henkilötietolakiin. • Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsitte- lyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tieto- varantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle. • Erityisesti verkkoympäristössä henkilötietojen käsittelyyn liittyvät puutteet koe- taan ongelmana asioinnin luotettavuuden ja käytettävyyden kannalta. Asiakkai- den ja sidosryhmien luottamus organisaation menettelytapoihin henkilötietojen käsittelyn on toimintaa vahvasti tukeva tekijä. Riskien minimointi, hyvän mai- neen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan me- nestymiselle. • Asetuksessa tuo rekisterinpitäjille noudatettavaksi niin sanottua tilintekokykyi- syys -periaatetta (engl. accountability). Näin ollen jatkossa ei riitä, että rekiste- rinpitäjä passiivisesti noudattaa lakia (engl. compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilinteko/osoitusvelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suun- nittelussa ja toteutuksessa. Todistustaakka ja näyttövelvollisuus tietosuojakysy- mysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla.

96

Olennaiset eurooppalaiset takeet (Recommendations 02/2020 on the European Essen- tial Guarantees for surveillance measures) ovat suosituksia, jotka EU:n tietosuojaviran- omaisista koostuva Euroopan tietosuojaneuvosto on laatinut sen arvioimiseksi, onko kolmannessa maassa tapahtuva tiedustelu yhteensopivaa tietosuojan ja yksityisyyden suojan näkökulmasta. Tiedustelutoiminta voi tapahtua joko kansallisten tiedusteluviran- omaisten tai lainvalvontaviranomaisten tekemänä. Kyseinen arviointi liittyy EU:n yleisen tietosuoja-asetuksen V lukuun koskien kansainvälisiä henkilötietojen siirtoja, joka edel- lyttää sitä, että henkilötiedoille taataan olennaisilta osin saman tasoinen suoja kuin EU:n alueelle myös siirrettäessä niitä kolmansiin maihin.215

Suositusten lähteenä ovat EU:n tuomioistuimen EU:n perusoikeuskirjaan tietosuojaa ja yksityisyyden suojaa koskevia artikloja (artiklat 7 ja 8) käsittelevä oikeuskäytäntö sekä Euroopan ihmisoikeustuomioistuimen ratkaisukäytäntö koskien Euroopan ihmisoikeus- sopimukseen osallisten valtioiden tiedustelutoimintaa (Recommendations 02/2020). Olennaisia takeita päivitettiin EU-tuomioistuimen Schrems II -tuomion myötä. Olennai- sia takeita on yhteensä neljä ja ne muodostuvat seuraavista tekijöistä:216

• Henkilötietojen käsittelyn on pohjauduttava selkeään, täsmälliseen ja saatavilla olevaan sääntelyyn, • Käsittelylle tulee olla oikeutettu tavoite, joka on oikeasuhtainen ja tarpeellinen (yksityisyyteen ja henkilötietojen suojaan puuttumisen laajuus vs. todennetta- vissa oleva yleisen edun mukainen tavoite käsittelylle – esim. yleisluontoinen, rajoitukseton pääsy sähköisen viestinnän sisältöön ei ole sallittua), • Käsittelyllä tulee olla tehokas, itsenäinen ja puolueeton valvontamekanismi, • Yksilöillä tulee olla asianmukaiset oikeussuojakeinot.

10.1.3 Euroopan unionin verkko- ja tietoturvadirektiivi

Euroopan unionin verkko- ja tietoturvadirektiivi (engl. Network and Information Security directive, NIS) annettiin heinäkuussa 2016 ja sen soveltaminen alkoi jäsenvaltioissa 10. toukokuuta 2018. Direktiivin tavoitteena on parantaa jäsenmaiden tietoturvaa ja sitä kautta sisämarkkinoiden toimintaedellytyksiä. Se koskettaa suoraan digitaalisia toimi- joita ja erikseen määriteltyjä keskeisiä toimijoita, mutta sen vaikutusten voidaan olettaa ulottuvan myös näiden ryhmien ulkopuolelle muun muassa palveluntarjoajiin. NIS-di- rektiivin katsotaan olevan tärkeä osa EU:n kyberstrategiaa, jonka tavoitteena on kehit- tää avoin ja turvallinen kyberympäristö, joka reagoi kyberhäiriöihin ja -hyökkäyksiin sekä pyrkii ehkäisemään niitä. Ennen direktiivin voimaantuloa kansalliset käytänteet ja yksi- tyisen sektorin toimijoiden varautuminen kyberuhkiin vaihteli laajasti jäsenmaiden vä- lillä ja siksi katsottiin, että yhtenäistäminen on välttämätöntä. Epäyhtenäinen lähesty-

215 Hallivuori Tiia. 2020. Yhdysvaltojen kybertiedustelu ja eurooppalaiset olennaiset takeet, TSAS7041 kurssiraportti. 216 Ibid.

97 mistapa loi riskin koordinoimattomista sääntelytoimista, sekavista strategioista ja toisis- taan poikkeavista standardeista, jotka yhdessä ovat riittämätön suoja EU:n alueen ky- berturvallisuudelle.217

NIS-direktiiville on listattu seuraavat päätavoitteet, joiden tarkoituksena on unionin alu- eella yhdenmukaisen ja korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden saa- vuttaminen ja ylläpitäminen:218

1. Parantunut kansallinen kyvykkyys jäsenvaltioissa: a. Koska internet on ylikansallinen toimintaympäristö tulisi kaikkien jäsen- maiden kyetä reagoimaan siellä esiintyviin häiriöihin, jotta sisämarkkinoi- den toiminta ei vaarannu oleellisesti. Direktiivissä jokaista jäsenvaltiota vaaditaan kehittämään kansallinen kyberstrategia sekä direktiivin mukai- set kansalliset lait ja asetukset. Jäsenvaltioiden täytyy myös perustaa kan- sallisia toimielimiä, jotka ovat vastuussa NIS-direktiivin täytäntöönpa- nosta sekä tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö eli CSIRT-toimija, joka vastaa poikkeamien käsittelystä. 2. Kehittynyt EU-tason yhteistyö: a. NIS-direktiivi luo yhteistyöympäristön, jonka tavoitteena on jakaa par- haita käytänteitä sekä tietoja jäsenmaiden välillä esimerkiksi ajankohtai- sista riskeistä ja uhista. Tämän nähdään myös luovan pohjaa EU:n yhtei- sen kyberturvallisuusrintaman luomiselle. Näiden lisäksi halutaan paran- taa nykyisiä valmiuksia, sillä niiden ei katsota olevan riittävällä tasolla. Reagoinnin verkko- ja tietojärjestelmien haasteisiin edellyttää EU:n yhte- näistä lähestymistapaa. 3. Turvallisuus- ja tietoturvatapahtuma ilmoitusvaatimukset: a. Direktiivillä pyritään parantamaan verkko- ja tietojärjestelmien turvalli- suutta ja luotettavuutta ja sitä kautta turvaamaan sisämarkkinoiden toi- minta. Järjestelmien katsotaan olevan olennaisen tärkeitä useille talou- den ja yhteiskunnan toiminnoille. Jotta direktiivin pyrkimys riskienhallin- takulttuurin kehittämisestä ja vakavimpien tietoturvatapahtumien rapor- toinnista toteutuisi, on direktiivi asetettu koskemaan keskeisiä toimijoita ja digitaalisia toimijoita. Ilmoitusvelvollisuus luo myös paremman mah- dollisuuden muille toimijoille suojautua kyseiseltä uhalta

217 Rantala Jonna. 2017. NIS-direktiivin kahdet kasvot – riskit ja riskienhallinta, Jyväskylän yliopisto, IT- tiedekunta, pro gradu, 24.9.2017. 218 Ibid.

98

10.2 Kyberpolitiikka ja -diplomatia

”Kybertoimintaympäristöön liittyvistä kysymyksistä, mukaan lukien digitalisaatio ja ky- berturvallisuus, on tullut yhä keskeisempi osa ulko-, turvallisuus- ja puolustuspolitiik- kaa.”219

Niin kansallisessa kuin kansainvälisessä politiikassa painottuu kyberasioiden poliittinen luonne (engl. cyber politics). Kybertoimintaympäristö itsessään ja siihen vaikuttaminen ovat voimakkaassa muutoksen tilassa, ja tätä kehitystä pyritään poliittisin keinoin ohjaa- maan. Kyberturvallisuuden asiat ovat esillä yhä laajemmin ja vahvemmalla painoarvolla kansainvälisillä foorumeilla ja järjestöissä kuten ETYJ:ssä, EU:ssa, NATO:ssa, OECD:ssä ja Eurooppa-neuvostossa. 220

Kyberturvallisuudessa etenkin valtioiden välisen luottamuksen lisääminen on keskeinen kysymys. Siihen pyritään tiivistämällä valtioiden välistä keskustelua kybertoimintaympä- ristöön liittyvistä kysymyksistä niin monenvälisesti, alueellisesti kuin kahdenvälisestikin. Kansainvälisillä yhteistyöfoorumeilla ja valtioiden kahdenvälisissä suhteissa vaikuttami- nen on yksi keskeinen keino edistää Suomen kyberturvallisuuden kannalta myönteisiä asioita. Ulkoministeriö koordinoi Suomen osallistumista kansainväliseen yhteistyöhön ja osallistuu aktiivisesti kybertoimintaympäristöä koskevaan kansainväliseen keskuste- luun. Kybertoimintaympäristö ja kyberturvallisuus ovat lyhyessä ajassa nousseet Suo- men ulko- ja turvallisuuspolitiikan tärkeäksi osaksi. Huomionarvoisena voi myös pitää erityisen kybersuurlähettilään viran perustamista Ulkoministeriöön Suomen kyberdiplo- matian edistämiseksi. 221

Useat valtiot sekä esimerkiksi NATO ovat rinnastaneet kyberhyökkäykset sotilaallisiin toimiin, joihin voidaan vastata kaikin mahdollisin keinoin. Toistaiseksi kyberoperaatiot on tulkittu niin sanotuiksi pehmeiksi toimiksi, minkä vuoksi niiden käyttökynnys on alempi kuin perinteisten sotilasoperaatioiden ja poliittiset riskit näyttäytyvät hyökkää- jälle pienempinä. Hiljalleen niin valtiot kuin eri yhteisöt ovat kehittämässä poliittisia kei- noja vastata kybervaikuttamiseen. Hyvänä esimerkkinä voi pitää Eurooppa-neuvoston aloitetta ”kyberdiplomatian työkalupakin kehittämisestä”. Kyse on diplomaattisista kei- noista ja sanktioista, joita Euroopan unioni voisi langettaa toimijalle, joka hyökkää EU- jäsenmaita vastaan digitaalisessa ympäristössä. 222

219 Valtioneuvoston kanslia. 2016. Valtioneuvoston ulko- ja turvallisuuspoliittinen selonteko, Valtioneu- voston julkaisusarja 7/2016. 220 Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edit.) Tiede- ja Ase, 2017, sivut 179–212. 221 Ibid. 222 Ibid.

99

10.3 EU:n kyberturvallisuusstrategia 2020223

Euroopan unionin kyberturvallisuusstrategiassa esitetään koko yhteiskunnan kattava lä- hestymistapa, joka mahdollistaa tehokkaan ja koordinoidun reagoimisen nopeasti muuttuviin uhkaympäristöihin. Turvallisuus on kansalaisten vaurauden ja hyvinvoinnin edellytys. Turvallisuuspolitiikkojen tulee perustua arvoihin ja perusoikeuksiin. Niillä taa- taan tarpeellisuuden, suhteellisuuden ja laillisuuden periaatteet sekä asianmukaiset vas- tuuvelvollisuudet ja oikeussuojakeinot.

Uudella kyberturvallisuusstrategialla pyritään turvaamaan maailmanlaajuinen ja avoin internet ja samalla tarjoamaan suojakeinoja turvallisuuden varmistamiseksi sekä myös eurooppalaisten arvojen ja kaikkien perusoikeuksien suojelemiseksi. Strategia esittää kolme kehittämiskohdetta:

1. Häiriönsietokyky, teknologinen riippumattomuus ja johtajuus o Tässä toimintalinjassa komissio ehdottaa, että verkko- ja tietojärjestel- mien turvallisuutta koskevia sääntöjä uudistetaan antamalla direktiivi toi- menpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi unionissa (tarkistettu verkko- ja tietoturvadirektiivi eli ”NIS 2”). 2. Operatiivisten valmiuksien kehittäminen uhkien ehkäisemiseksi ja torjumiseksi ja niihin vastaamiseksi o Komissio valmistelee asteittaisessa ja osallistavassa prosessissa jäsenval- tioiden kanssa uutta yhteistä kyberturvallisuusyksikköä, jonka tehtävänä on vahvistaa yhteistyötä EU:n elinten ja kyberhyökkäysten ehkäisemi- sestä ja torjumisesta ja niihin vastaamisesta vastaavien jäsenvaltioiden viranomaisten välillä, mukaan lukien siviili-, lainvalvonta-, diplomaatti- ja puolustusalan kyberturvallisuusyhteisöt. 3. Maailmanlaajuisen ja avoimen kybertoimintaympäristön edistäminen lisäämällä yhteistyötä o EU tehostaa yhteistyötä kansainvälisten kumppaneiden kanssa sääntöi- hin perustuvan maailmanjärjestyksen vahvistamiseksi, kansainvälisen turvallisuuden ja vakauden edistämiseksi kybertoimintaympäristössä sekä ihmisoikeuksien ja perusvapauksien suojelemiseksi verkossa.

223 EU komissio. 2020. Euroopan kyberturvallisuusstrategia, COM(2020), 605 final, Bryssell, 27.4.2020

100

11 KYBERTURVALLISUUTTA RAKENTAMASSA

11.1 Kyberturvallisuuden määrittelyä

Kyberturvallisuus voidaan määritellä lyhyesti toimenpiteiksi, joilla suojaudutaan ky- berhyökkäyksiä ja niiden vaikutuksia vastaan sekä toteutetaan tarvittavia vastatoimen- piteitä. Kyberturvallisuus rakentuu organisaation tai instituution uhka-analyysille. Ky- berturvallisuusstrategian ja -ohjelman rakenne ja elementit riippuvat organisaation ar- vioiduista uhkatekijöistä ja riskeistä. Useissa tapauksissa on välttämätöntä laatia organi- saatiolle useita kohdennettuna kyberturvallisuusstrategioita/ohjeita.

Yhteiskunnan turvallisuusstrategia (2010) määrittelee tietoturvallisuuden seuraavasti: ”Tietoturvallisuudella tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi kaikissa turvalli- suustilanteissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietoturvallisuus on myös asiantila, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhkat eivät aiheuta merkittävää riskiä.”224

Suomen kyberturvallisuusstrategia (2013) määrittelee kyberturvallisuuden seuraavasti: ”Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voi- daan luottaa ja jossa sen toiminta turvataan.” Tähän määritelmään on lisätty kolme tar- kennusta: 225

Tarkennus 1 Tavoitetilassa kybertoimintaympäristöstä ei aiheudu vaaraa, haittaa tai häiriötä sähköi- sen tiedon (informaation) käsittelystä riippuvaiselle toiminnalle eikä sen toimivuudelle.

Tarkennus 2 Luottamus kybertoimintaympäristöön perustuu siihen, että sen toimijat toteuttavat tar- koituksenmukaisia ja riittäviä tietoturvallisuusmenettelyjä (”yhteisöllinen tietoturva”). Menettelyjen avulla pystytään estämään tietoturvauhkien toteutuminen, ja niiden mah- dollisesti toteutuessa estämään, lieventämään tai sietämään niiden vaikutuksia.

Tarkennus 3 Kyberturvallisuus käsittää yhteiskunnan elintärkeisiin toimintoihin ja kriittiseen infra- struktuuriin kohdistuvat toimenpiteet, joiden tavoitteena on saavuttaa kyky enna- koivasti hallita ja tarvittaessa sietää kyberuhkia ja niiden vaikutuksia, jotka voivat aiheut- taa merkittävää haittaa tai vaaraa Suomelle tai sen väestölle.

224 Valtioneuvoston kanslia. 2010. Yhteiskunnan turvallisuusstrategia, valtioneuvoston periaatepäätös 16.12.2010, s. 92. 225 Turvallisuuskomitea. 2013. Suomen kyberturvallisuusstrategia, Valtioneuvoston periaatepäätös 24.1.2013.

101

Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvit- taessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. Kybertoimintaympäristön toimin- nan häiriytyminen aiheutuu usein toteutuneesta tietoturvauhkasta, joten kyberturvalli- suuteen pyrittäessä tietoturva on keskeinen tekijä. Tietoturvan lisäksi kyberturvallisuu- teen pyritään muun muassa toimenpiteillä, joiden tarkoituksena on turvata häiriyty- neestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman toiminnot. Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, ky- berturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin. 226

Kyberturvallisuus selitetään tyypillisesti kolmisanaisina joukkoina, jotka kuvaavat alan ammattilaisten tavoitteita, näkökulmaansa kyberturvallisuuteen ja heidän metodejaan. Oheiset kolme joukkoa kuvaavat kyberturvallisuutta tyypillisimmin:

• Estää, tunnistaa, vastata (engl. protect, identify, respond) • Ihmiset, prosessit, teknologia (engl. people, processes, technology) • Luottamuksellisuus, eheys ja saatavuus (engl. confidentiality, integrity, availa- bility)

Kansallisessa kyberturvallisuusstrategiassa (2013) on esitetty kyberturvallisuuden vi- sio:227

• Suomi kykenee suojaamaan elintärkeät toimintonsa kaikissa tilanteissa kyberuh- kaa vastaan • Kansalaisilla, viranomaisilla ja yrityksillä on mahdollisuus tehokkaasti hyödyntää turvallista kybertoimintaympäristöä ja sen suojaamiseen syntyvää osaamista sekä kansallisesti että kansainvälisesti • Vuonna 2016 Suomi on maailmanlaajuinen edelläkävijä kyberuhkiin varautumi- sessa ja niiden aiheuttamien häiriötilanteiden hallinnassa

Turvallisuuskomitean toimeenpano-ohjelmassa vuosille 2017–2020 tarkastellaan kyber- turvallisuuden kehittämistä valtion, maakuntien, kuntien, yritystoiminnan ja kolmannen sektorin muodostamassa palvelukokonaisuudessa, jossa kansalainen, yksilö on asiak- kaana. Digitaalisista palveluista ja niiden kyberturvallisuudesta valtaosa tuotetaan elin- keinoelämän toimesta kansallisissa ja kansainvälisissä palvelukokonaisuuksissa ja -ver- kostoissa.228

226 Sanastokeskus. 2018. Kyberturvallisuuden sanasto, Turvallisuuskomitea. 227 Ibid. 228 Turvallisuuskomitea. 201. Suomen kyberturvallisuusstrategian toimeenpano-ohjelma 2017–2020.

102

11.2 Suomen kyberturvallisuusstrategia 2019229

Suomen kyberturvallisuusstrategiassa 2019 asetetaan keskeisimmät kansalliset tavoit- teet kybertoimintaympäristön kehittämiseksi ja siihen liittyvien elintärkeiden toiminto- jen turvaamiseksi. Strategia nojautuu Suomen kyberturvallisuusstrategian 2013 yleisiin periaatteisiin. Suomen tavoite on edelleen olla kansainvälisesti kyberturvallisuuden kär- kiosaajien joukossa.

Strategiassa on määritelty kolme strategista linjausta:

1. Kansainvälisen yhteistyön kehittäminen a. Suomi huolehtii kybertoimintaympäristöstään aktiivisen kansainvälisen ja EU-yhteistyön tukemana. 2. Kyberturvallisuuden johtamisen, suunnittelun ja varautumisen parempi koordi- naatio a. Kansallisen kyberturvallisuuden kokonaistilaa parannetaan kehittämis- ohjelmalla sekä sen suunnittelua ja seurantaa edistävällä yhteistyöllä. 3. Kyberturvallisuuden osaamisen kehittäminen a. Kansallinen kyberturvallisuuden osaaminen varmistetaan tunnistamalla osaamistarve sekä vahvistamalla koulutusta ja tutkimusta.

Kyberturvallisuusstrategia 2019 käynnisti kansallisen kyberturvallisuuden kehittämisoh- jelman valmistelun, mikä julkaistaan 2021.

11.3 Kyberriskinhallinta

Uhka viittaa uuteen tai äskettäin havaittuun tapahtumaan, joka voi vahingoittaa järjes- telmää tai organisaatiota yleisesti. Uhkia on kolmenlaisia: luonnolliset uhat (esim. tulvat, maanjäristys tai tornado), tahattomat uhat (kuten työntekijä pääsy vahingossa väärään tietoon) ja tahalliset uhkat. On olemassa monia esimerkkejä tahallisista uhkista, kuten vakoiluohjelmista, haittaohjelmista, mainosohjelmista tai työntekijän laittomasta toi- minnasta. Haavoittuvuuksia esiintyy ihmisten toiminnassa, organisaation prosesseissa ja teknologiassa. 230

Kyberturvallisuudessa uhka, haavoittuvuus ja riski muodostavat toisiinsa liittyvän koko- naisuuden. Organisaatio itse määrittelee riskien hallintaan liittyvät toimintatapansa. Toimintatavan valintaan vaikuttavat esimerkiksi hallintajärjestelmän kattavuusvaati- mukset, arviointiympäristö ja toimiala. ISO/IEC 27000 -standardin menettelyjä voidaan

229 Turvallisuuskomitea. 2019. Suomen kyberturvallisuusstrategia 2019, Valtioneuvoston periaatepäätös 3.10.2019. 230 Watts, Stephen. 2017. IT Security Vulnerability vs Threat vs Risk: Understanding the Differences? bmc blogs, June 21, 2017.

103 soveltaa kaiken tyyppisissä organisaatioissa. Ohjeessa ISO/IEC 27005 riskeihin liittyvät tietoturvallisuuden hallintaprosessi on mainittu koostuvan seuraavista vaiheista: 231

1. Arviointiympäristön määrittämisestä. 2. Riskien arvioinnista. 3. Riskien käsittelystä. 4. Riskin hyväksynnästä. 5. Riskeistä viestimisestä. 6. Riskien tarkkailusta ja katselmoinnista.

Riskiä voidaan tarkastella sekä taloudellisen arvon että maineen menettämisen kan- nalta. Riskien arvioinnin tuloksista tulee johtaa päätösprosessi esimerkiksi kuvion 22 mu- kaisesti. Riskien käsittelyvaihtoehdot ulottuvat halitusta riskein säilyttämisestä riskien pienentämiseen, välttämiseen tai siirtämiseen muun muassa vakuuttamalla toimintaa niin, että jäännösrikit ovat organisaatiossa hyväksyttävällä tasolla. Riskejä voidaan pie- nentää tai joiltakin osin jopa välttää sääntelytoimenpitein, kehittämällä organisaation prosesseja ja yhteisöllisyyttä sekä kehittämällä teknologisia ratkaisuja.

KUVIO 22 ISO27005: Riskien käsittely232

Riskiä voidaan pienentää sääntelytoimenpitein, kehittämällä organisaation prosesseja ja yhteisöllisyyttä sekä kehittämällä teknologisia ratkaisuja. Riskejä vähennetään laatimalla

231 Suomen Standardisoimisliitto SFS ry.2012. SFS-käsikirja 327. Informaatioteknologia. Turvallisuus. Tie- toturvallisuuden hallintajärjestelmät. SFS ry, Helsinki, s. 361. 232 Ibid.

104 ja toteuttamalla riskienhallintasuunnitelmaa. Riskejä voidaan käsitellä seuraavilla ta- voilla:233 1. Riskin hyväksyminen (engl. Risk assumption) 2. Riskin pienentäminen (engl. Risk alleviation) 3. Riskin välttäminen (engl. Risk avoidance) 4. Riskin rajoittaminen (engl. Risk limitation) 5. Riskiin varautuminen (engl. Risk planning) 6. Riskin siirtäminen (engl. Risk transference)

Riskien hallinnan vaiheissa voidaan erotella seuraavat osakokonaisuudet: 234

• Suojattavien kohteiden tunnistaminen • Uhkien tunnistaminen • Riskin arviointi • Riskin käsittely • Kontrollikeinojen selvittäminen • Kustannusanalyysi ja kontrollien valinta • Dokumentointi • Seuranta ja jatkokehittäminen

11.4 Kyberturvallisuuden toimenpidekokonaisuudet

Kyberturvallisuustoimenpiteet voidaan jakaa kolmeen kokonaisuuteen: kyberturvalli- suuden johtaminen, kyberkulttuuri ja kybersuojaus.

Kyberturvallisuuden johtamisen perustana on alan lainsäädäntö kuten rikoslaki, EU:n tietosuoja-asetus, NIS-direktiivi ja VAHTI-ohjeistus. Nämä antavat juridisen perustan ja velvoitteet kyberturvallisuuden toteuttamiselle organisaatiossa. Lisäksi tarvitaan orga- nisaaton oma kyberturvallisuusstrategia/politiikka, jolla määritellään kyberturvallinen toimintatapamalli. Organisaation johdon vastuulla on toimivan kyberturvallisuusstrate- gian/politiikan laatiminen ja sen tehokas jalkauttaminen ja kehittäminen. Kyberturvalli- suusstrategian/politiikan avulla ylin johto määrittelee organisaation kyberturvallisuu- den päämäärät, periaatteet ja toimintatavat sekä ohjaa kyberturvallisuuden huomioon ottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Kyberturvallisuuden johtaminen on koko organisaation läpi ulottuva toiminta aina strategiselta tasolta toi- minnan tasolle saakka. Johdon on kyettävä näkemään organisaatio kokonaisuutena, jotta prosesseihin liittyvät osatekijät ja niiden riskit voidaan tunnistaa.

Tarvittavan kyberosaamisen hallinta on johdon vastuulla. Kaikilla organisaation työnte- kijöillä tulee olla riittävät perustiedot kyberturvallisuudesta ja tarvittavat kyberturvalli-

233 Ilvonen Ilona. 2013. Knowledge Security – A Conceptual Analysis, Thesis for the degree of Doctor of Science in Technology Tampere University of Technology, 29.11.2013. 234 Ibid.

105 suusosaaminen omaan tehtävään liittyen. Johdon tulee tarjota organisaation kyberam- mattilaisille tarvittavat työkalut ja ajantasainen koulutus, jotta nopeasti muuttuvaa ky- bertoimintaympäristöä voidaan hallita.

Kyberkulttuuri on organisaation ylimmän johdon luoma toimintakulttuuri, jossa kaikki työntekijät ymmärtävät ja noudattavat kyberturvallisuusohjeita. Yrityksen toimivalla johdolla ja hallituksella on vastuu toimia esimerkkeinä kyberturvallisuuden toteuttami- sesta. Tutkimusten mukaan C-tason henkilöt vievät mukanaan luottamuksellisia tiedos- toja kaksi kertaa useammin kuin työntekijät. 58 % johtajista on vahingossa lähettänyt tärkeää dataa väärälle henkilölle (25 % työntekijöistä). 87 % johtajista lataa yrityksen luottamuksellisia tiedostoja säännöllisesti omille henkilökohtaisille sähköpostitileilleen tai pilvijärjestelmiin. 63 % johtajista pitää samat salasanat kaikissa käyttämissään järjes- telmissä ja palveluissa. Toimintakulttuuri ilmenee organisaation henkisinä, aineellisina ja sosiaalisina käytäntöinä235. Toimintakulttuuriin sisältyvät muun muassa yhteisön ar- vot, odotukset, normit, säännöt, roolit ja menettelytavat, jotka usein ovat epävirallisia. Lisäksi siihen kuuluvat sääntely ja oikeusnormit Toimintakulttuuri ei ole staattinen ja sitä voidaan muuttaa ja siihen voidaan vaikuttaa.236

Kybersuojauksen toteuttaminen perustuu hyvään tilannekuvaan. Tutkimusten mukaan 8 % yrityksistä kykenee erittäin nopeaan kyberhyökkäysten havainnointiin, 11 % yrityk- sistä kykenee nopeaan kyberhyökkäysten havainnointiin ja 21 prosentilla yrityksistä on yksi yhteinen näkymä datavarantoihin. RSA:n johtaja Amit Yoranin mukaan ”Yritykset eivät kokoa oikeita tietoja, eivät hyödynnä keräämiään tietoja ja käyttävät uhkien torju- miseen vanhanaikaisia tekniikoita.”237

Kuviossa 23 on esitetty kyberuhkien ja riskien hallinnan kokonaisuus.

235 Knuuttila Seppo. 1994. Kaiken kattava kulttuuri. Teoksessa J. Kupiainen & E. Sevänen (toim.), Kulttuu- rintutkimus, 9–31, Jyväskylä 1994. 236 http://www.yvi.fi/sanakirja/299-toimintakulttuuri-operational-culture. 237 Perez Juan Carlos. 2016. Top 5 takeaways from RSA Conference 2016, TechBeacon, March 8, 2016.

106

KUVIO 23 Kyberuhkien ja riskien hallinnan kokonaisuus

Kybersuojauksen toteuttamiseksi tarvitaan kokonaisvaltainen kyberturvallisuusarkki- tehtuuri, jonka eri työkaluin toteutettavat ratkaisut implementoidaan kybermaailman eri kerroksissa, jolloin niiden yhteisvaikutuksella voidaan saavuttaa systeemitason ker- roksellinen kybersuojaus.

Edellä olevien hallinnollisten toimenpiteiden lisäksi tiedon turvaamiseen tarvitaan niihin liittyvien tietojärjestelmien suunnitelmallista ja turvallista ylläpitoprosessia, jonka ta- voitteena on ennaltaehkäistä tietoturvapoikkeamia ja minimoida niiden vaikutusta. Se edellyttää kyberturvallisuuden ennakoivaa huomioimista järjestelmien kehittämisessä ja ylläpidossa koko järjestelmän elinkaaren ajan, sekä varsinaisten ylläpitotoimenpitei- den turvallista toteutusta. Turvallisessa ylläpidossa keskeisiä huomioitavia seikkoja ovat esimerkiksi:238

• Kyberturvallisuuden kerroksellisuus ja mahdollisimman suurien kokonaisuuk- sien tehokas suojaaminen: esimerkiksi virustarkistus postipalvelimella ja tehok- kaasti suojatut harvat liityntäpisteet julkiseen verkkoon asettavat vähemmän paineita työasematasolle • Järjestelmien ylläpidossa käytettyjen tietoliikenneyhteyksien tietoturvallisuus verkon ositus siten, että verkon seurantaa ja pääsynvalvontaa voidaan toteut- taa tarkoituksenmukaisesti • Jatkuvuussuunnittelu, erityisesti ohjelmistopäivitysten osalta • Käytettävillä käyttöjärjestelmäversioilla tulee olla toimittajan tuki • Ohjelmistoista ja palveluista on syytä käyttää vain luotettuja versioita

238 VAHTI-ohje. 2009. Tietoturvapoikkeamiin varautuminen, 08.10.2009.

107

• Järjestelmiin tehtävät konfiguraatio- ja ohjelmistopäivitykset sekä muutokset tulee suunnitella ja testata erillisessä testiympäristössä ennen toteutusta itse tuotantojärjestelmässä • Toimenpidesuunnitteluun kuuluu varasuunnitelman laatiminen epäonnistu- neesta päivityksestä tai järjestelmämuutoksesta palautumiseksi • Haittaohjelmilta on syytä suojautua paitsi käyttöjärjestelmäpäivitysten myös ajan tasalla olevan virustorjuntaohjelmiston avulla, erityisesti Windows-järjes- telmissä ja enenevässä määrin erilaisissa mobiililaitteissa käytössä on riittävät menettelyt suunnittelemattomien järjestelmämuutosten havaitsemiseksi (esim. IDS-järjestelmät, tarkistussummat) • Pääkäyttäjän oikeudet on vain nimetyillä ylläpitäjillä ja niiden käyttö on suunni- telmallista (käytetään vain tarvittaessa, oikeudet kasvatetaan pääkäyttäjäksi henkilökohtaisilla ylläpitosalasanoilla eikä pääkäyttäjän salasanalla) laitteistojen ajantasaisuudesta ja riittävästä kapasiteetista sekä varalaitejärjes- telyistä huolehditaan • Huolto- ja ylläpitosopimusten tarve niin laitteistoille kuin ohjelmistoillekin tulee miettiä ja sopimukset pitää ajan tasalla • Kriittisille järjestelmille voidaan harkita myös sopimuksia varajärjestelyistä huoltosopimusten lisäksi laiterikkoihin varaudutaan tarvittaessa laitteistojen tarkoituksenmukaisella kahdennuksella tai laajemmalla monentamisella.

Kyberturvallisuuteen liittyy seuraavia attribuutteja, joita kyberturvallisuusohjeissa tulee ottaa huomioon:239

• Identifiointi: käyttäjien tunnistaminen • Autentikointi: luotettavuuden varmistaminen • Jäljitysketju: tapahtumien jäljitettävyys • Pääsyoikeudet: käyttäjien oikeudet verkkoon ja järjestelmiin • Uudelleenkäytettävyys: mahdollisuus käyttää työkaluja ja menettelytapoja uu- destaan • Virheettömyys: prosessien virheetön toiminta • Toipuminen: toimintakyvyn palauttaminen

Kyberhäiriötilanteiden hallinta on esitetty kuviossa 24.

239 Seruga Jan. 2011. Head of School of Arts & Sciences, Australian Catholic University, Sydney, luento Jyväskylän yliopistossa 12.8.2011.

108

KUVIO 24 Kyberhäiriötilanteiden hallinta

Kyberhäiriötilanteiden hallinta sisältää varautumisen, tilannetietoisuuden, varsinaisen torjuntavaiheen ja palautumisen.

Varautuminen tarkoittaa toimintaa, jolla varmistetaan tehtävien mahdollisimman häi- riötön hoitaminen ja mahdollisesti tarvittavat tavanomaisesta poikkeavat toimenpiteet normaaliolojen häiriötilanteissa ja poikkeusoloissa. Varautumistoimenpiteitä ovat muun muassa valmiussuunnittelu, jatkuvuudenhallinta, etukäteisvalmistelut, koulutus ja val- miusharjoitukset. 240

Reaaliaikaisen tilannekuvan muodostamisen ja jaetun tilannetietoisuuden aikaansaami- sen tulee olla yhä nopeampaa, ja myös tilannekuvan luotettavuuden merkitys korostuu. Johtamisprosessissa tarvitaan sisällöltään mahdollisimman tarkkaa ja oikein aikautettua informaatiota, jotta keskitetty johtaminen ja torjuntatoimenpiteet voidaan toteuttaa te- hokkaasti ja oikea-aikaisesti. Resurssien käytön perusteiden pitää syntyä nopeassa pää- tösprosessissa tilannekuvaa analysoimalla. Tilannetietoisuuden kehittäminen edellyttää tehokasta havainnointikykyä ja siksi tarvitaan kansallisen tason tietoverkkotiedustelun suorituskyvyn kehittämistä jo ennakkovaroituksenkin kannalta.

Palautumisen keskeisiä osatekijöitä ovat ajantasaiset jatkuvuus- ja toipumissuunnitel- mat sekä niihin liittyvät varajärjestelyt ja huoltosopimukset. Palautumista voidaan edis- tää mm. liiketoiminnan jatkuvuuden takaavilla suunnitelmilla (engl. business continuity

240 Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia. Valtioneuvoston periaatepäätös, 2.11.2017.

109 planning). Toiminnan jatkuvuuden takaavien suunnitelmien tavoitteena on varautua poikkeustilanteisiin niin, että niistä palautuminen olisi mahdollisimman nopeaa ja vahin- koja tulisi mahdollisimman vähän. Kolmantena tavoitteena on, että organisaation hen- kilökuntaa koulutetaan, jotta he osaavat toteuttaa laadittua suunnitelmaa käytän- nössä.241

Kyberturvallisuutta varten tarvitaan organisaation johdon ohjaama kyberriskienhallinta- prosessi osana organisaation turvallisuuden hallintaa. Siinä keskeisiä toimenpiteitä ovat:

1. Valvoa IT- resursseja ja kybertoimintaympäristöä (=tilannekuvan luominen) 2. Varmuuskopioida yrityksen tiedot ja varmista palautusprosessi (=jatkuvuuden- hallinta) 3. Huolehtia ICT-järjestelmien päivitysprosesseista (=järjestelmähallinta) 4. Investoida koulutukseen (=kyberosaamisen hallinta) 5. Vähentää riskejä monikerroksisella kybersuojauksella (=kyberriskienhallinta) 6. Vahvistaa riittävillä turvallisuusinvestoinneilla, harjoittelulla ja kyberkulttuurin luomisella kyberresilienssiä

Aina yrityksen toiminta- ja johtamisprosessit eivät ota huomioon kehittyneitä ky- berhyökkäyksiä. FBI:n mukaan toimitusjohtajapetoksissa rikolliset ovat ”ansainneet” yli 2,3 miljardia dollaria viime vuosina ja tammikuusta 2015 lähtien tapausten kasvu on ol- lut 270 %. Organisaation prosessien tunnistamisessa ja turvaamisessa organisaation joh- dolla on ratkaiseva rooli. Johdon on kyettävä näkemään organisaatio kokonaisuutena, jotta prosesseihin liittyvät osatekijät ja niiden riskit voidaan tunnistaa.

Kun yrityksessä on toimittu ohjeiden vastaisesti, kysymys on usein osaamisen puut- teesta. Yrityksen johdon tuleekin esittää seuraava kysymys: Mitä jokaisen johtajan, IT- ammattilaisen, kyberturvallisuusosaajan ja jokaisen työntekijän tulee tietää kybertur- vallisuudesta? Yrityksen johto määrittää tavoitteet ja resurssit kyberturvallisuusosaa- misen hallinnalle, jotta osaamisvaje ei aiheuta kyberturvallisuusriskejä.

Kyberturvallisuus tulee nähdä osana laajempaa kokonaisuutta luottamuksesta digitaali- siin palveluihin. Luottamus digitaalisiin palveluihin edellyttää teknisten taitojen lisäksi mm. median monilukutaitoa, ymmärtämystä digitaalisen toimintaympäristön lainalai- suuksista ja tietoisuutta informaatiovaikuttamisesta. Digitaaliseen luottamukseen liit- tyvä osaaminen täytyy nähdä kansalaistaitona.

Organisaation turvallisuusratkaisua rakennettaessa joudutaan luomaan tasapaino ky- berturvallisuuden, järjestelmien toiminnallisuuden ja käyttäjien kokeman käyttömuka- vuuden välille kuten kuviossa 25 on esitetty. Toiminnallisuuden ja käyttömukavuuden epätarkoituksenmukaiset ratkaisut luovat organisaation sisälle hyvin suuren haavoittu- vuuden.

241 Valkama Sari. 2019. Kyberrikoksista ilmoittaminen poliisille – Kaupunkien ja poliisin välinen yhteistyö, Jyväskylän yliopisto, pro gradu -tutkielma.

110

KUVIO 25 Kyberturvallisuus, toiminnallisuus ja käyttömukavuus

11.5 Kyberfyysisen järjestelmän suojauksen toteuttaminen

11.5.1 Suojauksen perusteita

Kyberfyysinen järjestelmä on määritelty järjestelmäksi, jossa yhteen liitetyt ohjelmistot kontrolloivat fyysisiä laitteita. Kyberfyysiset järjestelmät ovatkin siten ohjelmistoalus- toja, joilla valvotaan, ohjataan ja suojataan toimintaprosesseja242. Nämä ohjelmistoalus- tat tarvitsevat myös palvelimia ja muita laitteistoja, jolloin kokonaisuudesta muodostuu digitaalinen toiminta-alusta. Kyberfyysisissä järjestelmissä verkon avulla yhteen liitetyt laitteet ohjelmistoineen kontrolloivat fyysisiä prosesseja. Organisaatioiden toimintaan liittyy merkittävä määrä teknillisiä laitteita ja niistä koostuvia toiminnallisia kokonaisuuk- sia.

Perinteiset organisaation ICT-infrastruktuurin syvyyssuuntaisiin vyöhykkeisiin suojaus- kehiin243 perustuvat turvallisuusratkaisut eivät vastaa enää riittävästi tämän päivän ke- hittyneisiin uhkiin, jotka tulevat laajalta alueelta joko organisaation ulkoa tai sisältä. Näin ollen integroidussa turvallisuusjärjestelmässä tulee voida teknillisillä ratkaisuilla luoda vyöhykkeisiä suojauskehiä täydentävä vahva käyttäjä-, tietoverkko- ja datavaran- tojen suojaus, päätelaitteiden hallinta ja turvallisuus, datavirtojen aktiivinen monito- rointi, havaintokyvykkyyden luominen ja erilaisten hyökkäysvektoreiden torjunta. Jär- jestelmä edellyttää kyvykkyyttä ymmärtää alati muuttuvaa hyökkäysalaa ja uusia hyök- käysvektoreita.

242 Sadeghi, A. R., Wachsmann, C., & Waidner, M. 2015. Security and privacy challenges in industrial in- ternet of things. Proceedings of the 52nd Annual Design Automation Conference. 243 Suomen Automaatioseura ry. 2005. Teollisuusautomaation tietoturva - Verkottumisen riskit ja niiden hallinta. Turvallisuusjaosto 2005.

111

Älykkäästä kyberturvallisuusarkkitehtuurista voidaan muodostaa kyberturvallisuuteen alustoja, jotka tarjoavat laajan kohdennetun ekosysteemin integroituja turvallisuusrat- kaisuja. Alustaratkaisut mahdollistavat tehokkaan kyberturvallisuusasiantuntijoiden ja tekoälysovelluksen yhteistyön, jossa tekoäly toimii avustavassa roolissa toteuttamalla tarvittavia suojaustoimenpiteitä ja samalla tuottamalla analyysin kautta jalostettua in- formaatiota päätöksenteon pohjaksi. Lisäksi virtualisointi antaa mahdollisuuksia ICT- prosessien valvontaan, lohkoketjutekniikka sopimusten ja datan suojaukseen sekä RFID- tekniikka (engl. Radio Frequency Identification) ja tekoäly laiteseurantaan.

Oheisessa kuviossa 26 on hahmoteltu uuden teknologian mahdollistavia suojausratkai- suja.

KUVIO 26 Uusien teknologioiden mahdollistamia kyberturvallisuusratkaisuja

Ratkaisut voidaan toteuttaa kybermaailman eri kerroksissa, jolloin niiden yhteisvaiku- tuksella voidaan saavuttaa systeemitason kerroksellinen kybersuojaus (engl. security in depth). Systeemitason suojausta voidaan kehittää soveltamalla uusien tekniikoiden avulla ratkaisuja kybermaailman rakenteen jokaiselle tasolle.

Systeemitason ajattelussa kognitiiviselle kerrokselle liittyvät organisaation visiot toimin- nasta ja siitä johdetut toimintastrategiat ja politiikat, ts. kyberturvallisuuden johtami- nen. Organisaation arvot, toimintaohjeet, henkilöstön koulutus ja muut henkilöstön kompetenssia kehittävät tapahtumat, kuten kyberturvallisuuden yhteistyöfoorumit ja muut vastaavat tapahtumat, muodostavat yhdessä edistyksellisten suojaustekniikoiden ja palvelujen kanssa toiminnan jatkuvuuden varmistamiseen hyvän perustan. Tekoäly- ratkaisut voivat soveltua käyttäytymissääntöjen valvontaan, toimintaympäristön seu- rantaan ja esimerkiksi käyttöoikeuksien hallintaan laajasti eri laitteissa ja järjestelmissä.

112

Kognitiivisella tasolla verkottuneessa toiminnassa organisaation riskit liittyvät myös or- ganisaation tietovirtoihin.

Palvelukerros pitää sisällään mm. julkisen tiedonhaun, julkiset ja kaupalliset verkkopal- velut, organisaation palvelut ja viestintäpalvelut. Tekoälyratkaisuja kehittämällä verkko- liikenteestä voidaan seuloa dataa ja siten paljastaa normaalista poikkeavia ilmiöitä. Ver- kon suojaustekniikoiden seuranta tekoälyratkaisuilla mahdollistaa esimerkiksi verkon käyttäjien ja sovellusten tunnistamisen.

Semanttinen kerros pitää sisällään systeemitasolla kaiken sen datan, jota muodostetaan rakenteen eri kerroksilla ja kootaan toiminnan edellyttämällä tavalla. Sen suojaaminen tulee entisestään korostumaan, koska älykkäät alustaratkaisut tuottavat koko ajan aiem- paa enemmän dataa ja koko järjestelmän toiminta tulee perustumaan myös aiempaa enemmän datan käyttöön. Tämän päivän tekoälyratkaisut kykenevät käsittelemään ra- kenteetonta ja rakenteellista dataa sekä relaatiotietokantoja, tietovarastoja erilaisine tietokantoineen. Ne mahdollistavat siten organisaation laajuisen tietovarantojen kyber- turvallisuusanalyysien tekemisen. Tekoälyratkaisuilla tapahtuva dataa tuottavien sovel- lusten seurannalla voidaan saavuttaa mm. datan käsittelijän tunnistaminen, poik- keavuuksien havainnointi, uhkien tunnistaminen ja tietomurtojen pysäyttäminen. Li- säksi datan käsittelyyn tarvitaan luotettavia menettelyjä yhteistyötä tekevien osapuol- ten väleille. Lohkoketjutekniikan soveltaminen mahdollistaa hajautetusti ja luotettavasti erilaisissa tietovirroissa ja -varannoissa suojaamisen organisaatioiden kesken. Lohkoket- jutekniikalla voidaan suojata myös osapuolten välisiä kaupallisia ja muita vastaavia sopi- muksia.

Syntaktinen kerros on teknillinen järjestelmätaso, joka pitää sisällään järjestelmien ja laitteiden ohjaus- ja hallintaohjelmat, niiden kiinteät ja langattomat yhteydet sekä verk- kojen verkkoprotokollat, liikenteen virheenkorjaus- ja kättelymenettelyt. Oletuksena on, että jatkossa tekoälytekniikalla voidaan erilaisista digitaalisignaaleista muodostaa niihin perustuva laitteiden toiminnan kunnonvalvonta, joka palvelee myös kyberhyök- käysten havainnoinnissa. Älykkäässä kyberturvallisuusalustassa tulee ottaa huomioon erityisesti langattomiin yhteyksiin pohjautuvien laitteiden vianilmaisu ja niiden käytön mallinnukseen perustuva vianhavaitsemisjärjestelmä. Virtualisointitekniikan avulla voi- daan suojautua tai puolustautua hyökkääjiä vastaan käyttämällä osoitealueita, joita käyttöjärjestelmässä ei ole käytettävissä. Virtualisointi mahdollistaa useiden käyttöjär- jestelmien ja sovellusten toiminnan yhdellä fyysisellä palvelimella, jolloin vieraskäyttö- järjestelmä ja -sovellukset ovat eristetty muista toiminnoista. Virtualisoinnissa hyödyn- netään virtualisointikomentoja, joilla käyttöjärjestelmä siirretään virtuaalikoneeksi (on- the-fly) ja lisäksi luodaan hypervisori, joka ohjaa toimintaa. Hypervisoria voidaan hyö- dyntää tarttumaan poikkeaviin tapahtumiin.

Fyysinen kerros pitää sisällään teknillisen laitetason, joka koostuu mm. tiedonhallinta- ja käsittelylaitteista, verkkolaitteista, kuten kytkimistä ja reitittimistä, sekä niin fyysisetä kaapeloinnista kuin langattomien yhteyksien laitteista. Kerrokseen liittyvät laitetilojen suojaustarpeet sekä yksittäisten laitteiden paikantamisen ja liikuttamisen seurantatar-

113 peet. Laitetiloja voidaan suojata kehittyneillä kulunvalvontaratkaisuilla ja laitteiden lii- kuttelua voidaan valvoa RFID-tekniikkaa hyödyntämällä. Lisäksi tekoälyratkaisuilla voi- daan valvoa organisaation fyysisiä IT-resursseja.

11.5.2 Kyberturvallisuuden teknologisia ratkaisuja

Luvatonta tunkeutumista tietoverkkoihin ja -järjestelmiin ehkäistään järjestelmiin im- plementoitujen turvallisuusratkaisuiden avulla, eristämällä järjestelmiä toisistaan ja luo- malla turvakerrosratkaisuilla syvyyttä tunkeutumisen torjuntaan.

Virustorjuntaohjelmistojen tarkoituksena on suojella tietokonelaitteita haittaohjelmilta. Työasemakäyttöön tarkoitetuilla virustorjuntaohjelmistoilla on kaksi perustilaa: staatti- nen tiedostojen tarkastustila sekä dynaaminen reaaliaikainen tila. Reaaliaikaisessa ti- lassa ohjelmisto tarkistaa uudet tiedostot ennen kuin käyttäjä avaa ne ja ehkäisee siten muiden tiedostojen saastumisen. Staattisessa tilassa käyttäjä voi puolestaan suorittaa mm. koko kovalevyn tai muistitikun tarkistuksen.244

Palomuuri (engl. firewall) on järjestelmä, joka toteutetaan joko ohjelmisto- tai laitteis- topohjaisesti. Se valvoo verkkojen välillä kulkevaa tietoliikennettä ja suojaa tietokonetta ulkopuolelta tulevilta hyökkäyksiltä. Perusedellytyksenä on, että kaikki verkkoliikenne kulkee palomuurin läpi ja että ainoastaan haluttu verkkoliikenne päästetään läpi. Palo- muuri estää lisäksi palveluihin kohdistuvat hyökkäykset sekä erilaisia reititys- ja lähde- osoitteen väärennykseen perustuvia hyökkäystapoja. Hyvin konfiguroitu palomuuri suo- dattaa kaiken verkkoliikenteen ja oletusarvoisesti kieltää kaiken liikenteen. Suodatus- säännöillä (engl. whitelisting/blacklisting) määritellään erikseen, mikä liikenne sallitaan ja mikä ei. Suodatussäännöt toimivat täten poikkeuksina oletussääntöön, jossa kaikki kielletään. Mikäli kaiken kieltävää oletussääntöä ei olisi, toimisi palomuuri ennemminkin reitittimen tavoin ja sallisi tällöin kaiken liikenteen. Palomuureja on siis sekä laitteisto- pohjaisia, tietokoneen ja Internetin väliin asennettavia erillisiä laitteita (toinen tieto- kone, reititin tms. fyysinen laite) sisältäen palomuuriohjelman, että ohjelmistopohjaisia eli tietokoneelle asennettavia ohjelmia.245

Tunkeilijan havaitsemisjärjestelmä (engl. Intrusion Detection System, IDS) on tietoverk- koon asennettava järjestelmä, joka on ohjelmoitu tunnistamaan verkkoon suuntautuvat hyökkäysyritykset. IDS voi olla konekohtainen (engl. Host IDS) tai verkkopohjainen (engl. Network IDS). Esimerkkejä konekohtaisista IDS-ohjelmista ovat lokeja tarkkailevat tai tiedostojärjestelmän muutoksia tutkivat ohjelmat. Verkkopohjaisissa ratkaisuissa verk- koon sijoitetaan usein erilaisia sensoreita, jotka keräävät liikennettä, ylläpitäjän käyttä- essä jonkinlaista hallintaliittymää murtojen tutkimiseen.246

244 https://www.yksityisyydensuoja.fi/virusturva-ja-palomuuri. 245 Ibid. 246 Wikipedia.

114

Runsaasta datavirrasta pyritään tunnistamaan tiettyjä kuvioita, joiden perusteella voi- daan olettaa tunkeutumisyrityksen olevan käynnissä. Jotkin verkkopohjaiset järjestel- mät osaavat reagoida tällaisissa tilanteissa katkaisemalla oletetun hyökkääjän yhteydet, jolloin kyseessä on tunkeutumisen estojärjestelmä (engl. Intrusion Prevention System, IPS). Järjestelmä voi havaita hyökkäyksen merkkejä joko valmiiden sääntöjen pohjalta (kuten virustentorjuntajärjestelmät) tai poikkeuksia etsien (heuristiikka). Sääntöpohjai- sessa havaitsemisessa ennalta määriteltyjen sääntöjen perusteella tunnistetaan mah- dolliset tunkeutumiset. Tilastollisessa havaitsemisessa verkkoliikennettä verrataan tie- tokantaan, johon on tallennettu otos normaalista liikenteestä.247

SIEM (engl. Security Information and Event Management) tarkkailee organisaation tie- tojärjestelmiä ja -verkkoja sekä hälyttää havaitessaan normaalista poikkeavaa toimin- taa. Tietoturvauhkien havaitseminen mahdollisimman aikaisessa vaiheessa mahdollis- taa nopean reagoinnin ja minimoi vahingot. Palomuuri ja IDS/IPS-tuotteilla, ei pystytä aukottomasti torjumaan kaikkia uhkia. Kohdistettujen hyökkäysten ja kehittyneiden haittaohjelmien taustalla olevat ammattimaiset tahot pyrkivät toimimaan huomaamat- tomasti ja pitkän ajan kuluessa. Organisaation sisäiset väärinkäytökset tai tietovarkau- det saattavat olla ulkoisia hyökkäyksiäkin vaikeammin torjuttavia uhkia. SIEM auttaa ha- vaitsemaan suojausratkaisut läpäisevät hyökkäykset ja reagoimaan niihin nopeasti.248

SIEM:n sensoreina voivat toimia kaikki tietojärjestelmän komponentit, kuten ohjelmis- tot ja palvelimet sekä palomuurit ja muut verkkolaitteet. SIEM käyttää syötteenä näiden komponenttien tuottamia tietoja, kuten lokeja ja verkkoliikenteen tapahtumia. Syöt- teeksi voidaan kytkeä myös ulkoisia lähteitä esimerkiksi ajantasaisten haavoittuvuustie- tojen tuomiseksi. SIEM kerää eri tapahtumalähteiden tiedot yhteen ja tutkii tietomassaa reaaliaikaisesti. SIEM:n kehittyneet havainnointi- ja analytiikkaominaisuudet, kuten ta- pahtumaketjujen tunnistaminen sekä eri tietolähteiden korrelointi, auttavat tunnista- maan myös vaikeasti havaittavat hyökkäykset. Havaitessaan merkkejä mahdollisesta uh- katilanteesta SIEM tekee hälytyksen tietoturvatapahtuman tarkempaa manuaalista ana- lysointia ja tarvittaessa reagointia varten. 249

Nykyaikaiset kyberturvallisuusratkaisut useimmiten sijoittuvat jompaankumpaan seu- raavista kategorioista: ihminen tai kone. Niin kutsutut analytiikkapohjaiset ratkaisut pohjautuvat sääntöihin, joita alan asiantuntijat ovat luoneet ja ne jättävät huomioimatta hyökkäykset, jotka eivät täsmää laadittujen sääntöjen kanssa. Koneoppimiseen perustu- vat lähestymistavat luottavat anomalioiden tunnistamiseen, jotka kuitenkin voivat tun- nistaa vääriä positiivisia tuloksia luoden epäluottamusta järjestelmää kohtaan ja siksi vaaditaan ihmistyövoimaa tapauksia tutkimaan.250

247 Ibid. 248 INSTA, https://www.insta.fi/ajankohtaista/uutiset/insta-defsec/siem-jarjestelma-on-organisaation- kyberturvallisuuden-hermokeskus.html. 249 Ibid. 250 Vähäkainu Petri, Lehto Martti, Neittaanmäki Pekka. 2018. Tekoäly ja kyberturvallisuus Jyväskylän yliopisto, IT-tiedekunta, tutkimusraportti 60/2018.

115

Tekoäly tulee mahdollistamaan aikaisemmin ihmisen osaamista vaatineiden tehtävien automatisoinnin vieden yhteiskunnan digitalisaatiokehityksen aivan uudelle tasolle. Te- koälyn avulla koneet, laitteet, ohjelmat, järjestelmät ja palvelut voivat toimia tehtävän ja tilanteen mukaisesti järkevällä tavalla. Tekoäly kykenee tekemään päätelmiä ole- massa olevan tiedon perusteella ja avustamaan ihmistä eri toiminnoissa.251

Tekoäly mahdollistaa suurten datamäärien varastoinnin sekä prosessoinnin älykkäällä tavalla ja muuntaa relevanttia informaatiota funktionaalisiksi työkaluiksi. Tekoälyä on käytetty hyvin monella sovellusalueella, joista tunnetuimpia ovat kyberturvallisuuden ja avaruustutkimuksen alueet, joissa tulokset ongelmien ratkaisemisessa tietyillä osa-alu- eilla ovat olleet hyviä.252

Tekoäly auttaa automatisoimaan monimutkaisia prosesseja kyberhyökkäysten tunnista- miseksi ja reagoimalla tietomurtoihin. Tämänkaltaiset sovellukset ovat kehittymässä en- tistä paremmiksi tekoälyn hyödyntämisen myötä. Koneoppiminen, yksi tekoälyn osa- alueista, viittaa teknologioihin, joiden avulla tietokoneet voidaan saada oppimaan ja mukautumaan kokemuksien kautta. Kyseinen teknologinen osa-alue simuloi ihmiskog- nitiota, kuten kokemuksista ja malleista oppimista päättelyn sijasta (syy ja seuraus).253

Nykyään syväoppimisen kehitysaskeleet koneoppimisen osa-alueella tarjoavat koneille mahdollisuuden oppia rakentamaan hahmontunnistuksen malleja ilman ihmisen puut- tumista asiaan. Uuden mallin tunnistusta voidaan verrata jo tunnettuihin malleihin, jotta potentiaalinen haitallisuustaso voidaan hahmottaa. Tunnistusprosessin nopeus ja tark- kuus eivät ole mahdollisia ihmisasiantuntijoille mielekkäässä ajassa.254

Tekoäly voi toimia kyberturvallisuusongelman ratkaisijan asemassa. Tekoälyratkaisuja ja kognitiivista tietojenkäsittelyä sovelletaan kyberhyökkäysten havaitsemiseen, torjun- taan ja selvittämiseen. Analytiikkapohjaiset ratkaisut pohjautuvat sääntöihin, joita ky- berturvallisuusasiantuntijat ovat luoneet. Ne jättävät huomioimatta kyberhyökkäykset, jotka eivät täsmää laadittujen sääntöjen kanssa. Perinteiset haittaohjelmien tunnistus- ohjelmat ovat yltäneet 80 % tunnistusasteeseen, joka jää lähes 20 prosenttia syväoppi- misen algoritmeja hyödyntävistä sovelluksista. Haittaohjelmien tunnistamista varten to- teutetut sovellukset ovat kehittyneet jälkiin (engl. signature), heurestiikkoihin ja käyt- täytymiseen perustuvien tunnistusmenetelmien ajasta sandbox-menetelmien255 kautta kone- ja syväoppimiseen perustuvia menetelmiä hyödyntäviin ratkaisuihin. 256

251 Lehto Martti. 2019. Onko tekoäly turvallinen kirjassa Siukonen Timo, Neittaanmäki Pekka, Mitä tulisi tietää tekoälystä, Docendo Oy, 2019. 252 Ibid. 253 Ibid. 254 Ibid. 255 Hiekkalaatikko, joka luo väliaikaisen rajoitetun alueen järjestelmän sisään ja jota voidaan käyttää mm. haittaohjelmilta suojautumiseen. 256 Lehto Martti. 2019. Onko tekoäly turvallinen kirjassa Siukonen Timo, Neittaanmäki Pekka, Mitä tulisi tietää tekoälystä, Docendo Oy, 2019.

116

Integroiduilla ratkaisuilla saadaan tarvittava näkyvyys ICT-järjestelmän kaikille tasoille, jolloin suojautuminen ja torjunta voidaan toteuttaa kokonaisuutena eikä yksittäisinä toi- menpiteinä. Tekoälyn kyvykkyys tulee esille erityisesti alkuvaiheen analyyseissä ja ha- vaintojen läpikäynnissä. Tekoäly kykenee käsittelemään hetkessä satoja tuhansia asia- kirjoja ja tietolähteitä. Tällä hetkellä julkaistaan päivittäin lähes 8 000 tietoturvaa käsit- televää artikkelia, joiden käsittelyyn ja hyödyntämiseen tarvitaan älykästä konetta. 257

Hyökkääjä käyttää hyväkseen organisaatioiden siiloutuneita ratkaisuja, joilla kuitenkin on vaikuttavuutta organisaation koko ICT-järjestelmään. Erityisesti perinteiset suojaus- kehiin perustuvat turvallisuusratkaisut eivät vastaa tämän päivän sofistikoituneisiin uh- kiin organisaation ulko- ja sisäpuolella. Integroidussa turvallisuusjärjestelmässä luodaan vahva tietoverkon suojaus, päätelaitteiden hallinta ja turvallisuus, datavirtojen aktiivi- nen monitorointi, havaintokyvykkyyden luominen ja erilaisten hyökkäysvektoreiden tor- junta. Järjestelmä edellyttää kyvykkyyttä ymmärtää alati muuttuvaa hyökkäysalaa ja uu- sia hyökkäysvektoreita. Älykkäästä kyberturvallisuudesta muodostuu alusta, joka tar- joaa laajan ekosysteemin integroituja turvallisuusratkaisuja. Alustaratkaisu mahdollistaa tehokkaan kyberturvallisuusasiantuntijan ja tekoälysovelluksen yhteistyön, jossa teko- äly toimii avustavan asiantuntijan roolissa toteuttamalla tarvittavia toimenpiteitä ja sa- malla tuottamalla jalostettua informaatiota päätöksenteon pohjaksi. 258

11.6 Kyberturvallisuuden strateginen johtaminen

Kyberturvallisuus on kiinteä osa yhteiskunnan kokonaisturvallisuutta ja sen toiminta- malli noudattaa Yhteiskunnan turvallisuusstrategiassa (YTS 2017) määritettyjä periaat- teita ja toimintatapoja:259 1. Kyberturvallisuus perustuu koko yhteiskunnan tietoturvallisuuden järjestelyihin eli kyberturvallisuuden edellytyksenä on jokaisen kybertoimintaympäristössä toimivan tahon toteuttamat tarkoituksenmukaiset ja riittävät tietojärjestelmien ja tietoverkkojen turvallisuusratkaisut. 2. Kyberturvallisuuden toimintamalli perustuu tehokkaaseen ja laaja-alaiseen tie- don hankinta-, analysointi- ja keruujärjestelmään, yhteiseen ja jaettuun tilanne- tietoisuuteen sekä kansalliseen ja kansainväliseen yhteistoimintaan varautumi- sessa.

Valtiot pyrkivät kyberturvallisuuden johtamisessa tietoperusteiseen päätöksentekoon. Kerätyn datan perusteella muodostuvan tilannekuvan merkitystä painotetaan useissa kansallisen tason turvallisuusstrategioissa. Nopeat strategiset päätökset perustuvat käy- tettävissä olevaan reaaliaikaiseen tietoon, useisiin vaihtoehtoisiin ratkaisuihin, asiantun-

257 Ibid. 258 Ibid. 259 Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia. Valtioneuvoston periaatepäätös, 2.11.2017.

117 tijoiden tukeen ja yksimielisyyteen päätöksen oikeutuksesta. Strategisten päätösten yh- teys muihin organisaation päätöksenteon tasoihin tuottaa tarvittavaa nopeutta strate- giseen päätöksentekoon. 260

Kyberturvallisuusuhat ovat myös osa hybridivaikuttamista. Laaja-alainen yhteistyö riski- analyysissä ja tilanteenmukaiset ratkaisut korostuvat muuttuvan uhkadynamiikan myötä. Kyberriskit tulee arvioida ja vertailla muiden toimintaympäristön riskien kanssa. Uhkien välisten suhteiden ymmärtäminen edellyttää̈ vahvaa ja keskitettyä̈ havainnointi- tilannekuva-johtamisen kyvykkyyttä̈. Kyberturvallisuuden strategisessa johtamisessa tarvitaan tilanneymmärrystä, selkeitä̈ johtamisvastuita ja -rooleja, saumatonta tiedon- kulkua ja -vaihtoa sekä̈ lainsäädännön tulee kaikilta osin tukea koko kansallista kyber- turvallisuusprosessia.261

Strateginen johtaminen on Suomen kyberturvallisuusstrategian – ja suomalaisen kyber- turvallisuuden – pitkän tähtäimen toimeenpanoa. Strateginen johtaminen vie yhteiskun- taa kohti asetettua tavoitetilaa. Strategisen johtajuuden toimeenpanotehtävän perus- tana on digitaalisen toimintaympäristön turvaamisesta johdettujen tavoitteiden tunnis- taminen ja asettaminen. 262

Toiseksi strateginen johtaminen yhteensovittaa, osallistaa ja koordinoi eri toimijoiden yhteistyötä kyberturvallisuuteen liittyvässä toiminnassa ja varautumisessa. Kyberturval- lisuuden ollessa laaja yhteiskunnallinen ilmiö ja sitoessaan hyvin monia toimijoita yh- teen, korostuu yhteistyön koordinointi niin normaalioloissa kuin häiriö- ja poikkeustilan- teissa263. Toiminnassa korostuu riittävät edellytykset päätöksentekoon sekä selkeästi määriteltyihin toimivaltuuksiin. 264

Kolmanneksi kyberturvallisuuden strateginen johtaminen, kyberturvallisuuden ollessa strateginen asia suomalaisessa yhteiskunnassa, on läheisessä vuorovaikutuksessa niin poliittiseen päätöksentekoon kuin operatiiviseen toimintaan. Strategiseen johtamiseen yhdistyy myös suomalaisen kyberturvallisuusidentiteetin vahvistaminen niin kansalli- sesti kuin kansainvälisesti. Kyberturvallisuusidentiteettiin yhdistyy myös kansallisesta kyberomavaraisuudesta huolehtiminen niin kotimaisten tuote- ja palveluratkaisuiden kuin osaamisen ja tutkimuksen osalta. Kotimainen ja kansainvälinen viestintä on tärke- ässä roolissa luotaessa suomalaista kyberturvallisuusidentiteettiä sekä luottamukseen

260 Lehto Martti, Limnéll Jarno, Kokkomäki Tuomas, Pöyhönen Jouni, Salminen Mirva. 2018. Kyberturval- lisuuden strateginen johtaminen Suomessa, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 28/2018, maaliskuu 2018. 261 Ibid. 262 Ibid. 263 Normaaliaikojen ja poikkeusolojen vakavat ja laajamittaiset kyberhäiriötilanteet tarkoittavat uhkaa tai tapahtumaa, joka vaarantaa yhteiskunnan turvallisuutta, toimintakykyä tai väestön elinmahdollisuuk- sia ja jonka hallinta edellyttää viranomaisten ja muiden toimijoiden tavanomaista laajempaa tai tiiviim- pää yhteistoimintaa ja viestintää. 264 Lehto Martti, Limnéll Jarno, Kokkomäki Tuomas, Pöyhönen Jouni, Salminen Mirva, Kyberturvallisuu- den strateginen johtaminen Suomessa. 2018. Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisu- sarja 28/2018, maaliskuu 2018.

118 perustuvaa uskottavuutta. Useat kansainväliset mittarit mittaavatkin juuri kyberturval- lisuusidentiteettiä ja -kyvykkyyttä. Yksi strategisen johtamisen tavoite onkin kansallisen kyberkyvykkyyden (kokonaisuudessaan) tilan jatkuva seuraaminen nykytilan tason ym- märtämiseksi ja kyvykkyyden kehittämiseksi. 265

Neljänneksi strategisella johtamisella luodaan johdonmukaisuutta ja jatkuvuutta Suo- men niin kansalliseen kuin kansainväliseen yhteistoimintaan. Strateginen johtaminen kokoaa kaikki käytettävissä olevat voimavarat yhteen asetettujen tavoitteiden saavutta- miseksi. 266

Tiivistetysti: Kyberturvallisuuden strateginen johtaminen on digitaalisen toimintaym- päristön turvaamisesta johdettujen tavoitteiden tunnistamista, asettamista, toimin- nan ja varautumisen yhteensovittamista sekä laajamittaisten häiriöiden hallinnan joh- tamista.

Kyberturvallisuuden strateginen johtaminen ei eroa merkittävästi muusta strategisesta johtamisesta. Strategista johtamista voidaan kuvata esimerkiksi seuraavalla tavalla: ”strateginen johtaminen on jonkin ilmiön johtamista ylätasolla siten, että johtamisessa pyritään mahdollisimman kokonaisvaltaisesti määrittelemään pitkän aikavälin visio ja ta- voitteet”. 267

Kyberturvallisuus on osa yhteiskunnan turvallisuutta ja erittäin tärkeässä roolissa poh- dittaessa organisaation strategisia päämääriä digitalisoituvassa yhteiskunnassa. Kyber- turvallisuuden strategisen johtaminen on valtion kyvykkyyksien ja elintärkeiden toimin- tojen turvaamista, koska tätä kautta myös yksityinen sektori ja kolmas sektori pystyvät rakentamaan toimintaansa toimivien ja turvallisten tietoverkkojen varaan. Kyberturval- lisuuden strategisen johtamisen tärkein tehtävä on luoda visio ja kansallinen ajattelu- tapa, jotka tunnistetaan kaikilla kyberturvallisuustyöhön osallistuvilla toimijatasoilla. Ky- berturvallisuuden strateginen johtaminen vastaa kysymyksiin mitä teemme ja miksi teemme, jotta kykenemme turvaamaan yhteiskunnan menestyksekkään toiminnan ky- bertoimintaympäristössä. 268

Kyberturvallisuuden strategisen johtajuuden tulee olla tunnistettavissa, jotta valtionhal- linnonaloille ei synny tilannetta, jossa johtajaa ei löydy ja tarvittavia toimenpiteitä ei kyetä tekemään. Nykytilassa kyberturvallisuuden strategisen johtamisen oletetaan hoi- tuvan itsestään, vaikka näin ei tapahdu. Yhteiskunnan eri toimijoiden välisiä keskinäis- riippuvuussuhteita ei ole nykytilassa määritelty. Organisaatioiden ja toimintojen suhtei- den kuvaamisen kautta on mahdollista ennakoida päätösten vaikutuksia yhteiskunnan toimintoihin. Yhteistyötahojen ja tietoa tuottavien toimijoiden sekä sensorien tunnista- minen olisivat tärkeitä ensimmäisiä askelia kohti todellista koko yhteiskunnan läpileik- kaavaa turvallisuusstrategiaa.

265 Ibid. 266 Ibid. 267 Ibid. 268 Ibid.

119

Kyberturvallisuuden strategisen johtamisen toiminnallisuuden kannalta on erityisen tär- keää löytää rakenteet, joilla on mahdollisuus vastata toimintaympäristön asettamiin toi- minnallisiin vaatimuksiin. Toimintaympäristölle on ominaista kiihtyvä muutosnopeus, kompleksisuus ja ennalta-arvaamattomuus. 269

Strateginen johtaminen on luottamuksen rakentamista ja ylläpitämistä. Kyberuhkien torjuminen perustuu jo nykyisin syvään luottamukseen ja yhdessä tekemiseen. Syvä luottamus on Suomessa mahdollistanut poikkeuksellisen hyvän yhteistyön yhteiskunnan eri toimijoiden välillä. Kyberturvallisuuskeskus on hyvä esimerkki siitä, että luottamuk- sella saa enemmän kuin pakolla. Kybertoimintaympäristön turvaaminen on toistaiseksi perustunut avaintoimijoiden tunnistamiseen ja toimijoiden väliseen neuvotteluun eikä niinkään kyberturvallisuuden johtamisrakenteisiin. 270

Johtamisen muutoksen nopeudesta on esitetty erilaisia arvioita. On ennakoitu, että vuo- teen 2022 mennessä perinteiset teollisen aikakauden yritysten johtamismallit korvautu- vat digitaalisen maailman malleilla. Kybertoimintaympäristön uhkat ovat muuttuneet todellisiksi ja digitaalisen toimintaympäristön haavoittuvuus on arkipäivää. Kyberturval- lisuuden määritteleminen on haastavaa, mutta toisaalta ihmiset ymmärtävät uhkien konkretisoitumisen kautta mitä turvattomuus arkipäivän elämässä tarkoittaa. 271

11.7 Kyberturvallisuuskonsepti

Kyberturvallisuus koostuu erilaisista toimintamalleista ja dokumenteista, kuten turvalli- suutta ohjaavat strategiat, arkkitehtuurit, dokumentit ja suunnitelmat sekä raportointi ja arviointimenettelyt. Hallintajärjestelmän tehtävänä on toteuttaa organisaation stra- tegiaa. Sen avulla seurataan ja arvioidaan turvatoimien tehokkuutta ja tarkoituksenmu- kaisuutta.

Kyberturvallisuus on kokonaisturvallisuuden osa-alue, jolla pyritään digitalisoituneen ja verkotetun yhteiskunnan turvallisuuteen. Kyberturvallisuus liittyy yhteiskunnan kriitti- siin toimintoihin ja siinä yhdistyvät niiden tietoturva, toimintojen jatkuvuuden hallinta ja häiriötilanteisiin varautuminen. Kyberturvallisuus yleisesti viittaa kykyyn kontrolloida pääsyä verkossa sijaitseviin järjestelmiin ja informaation, joita ne sisältävät. Kybertur- vallisuuden kontrollien ollessa tehokkaita, myös kyberavaruutta voidaan pitää varmana, joustavana ja luotettavana digitaalisena infrastruktuurina. Kyberturvallisuus viittaa tek- nologioihin, prosesseihin ja käytänteisiin, jotka on suunniteltu suojelemaan verkkoja, laitteita, ohjelmia, dataa hyökkäyksiltä, vahingoilta tai luvattomalta käytöltä. Kybertur- vallisuutta voidaan myös kutsua informaatioteknologian turvallisuudeksi. Kyberturvalli- suus on tietokoneiden ja palvelinten, mobiililaitteiden, elektronisten järjestelmien, verk- kojen ja datan turvaamisen menetelmiä haitallisia hyökkäyksiä vastaan. Termi on laaja-

269 Ibid. 270 Ibid. 271 Ibid.

120 alainen ja soveltuu kaikkeen tietokoneiden turvallisuudesta katastrofeista toipumiseen ja loppukäyttäjien koulutukseen saakka. 272

Kuviossa 27 on esitetty kyberturvallisuusarkkitehtuurin yleinen rakennemalli.

KUVIO 27 Kyberturvallisuusarkkitehtuurin yleinen rakennemalli

Iso-Britannian Government Communications Headquarters:in (GCHQ) johtaja on arvioi- nut, että 80 % kyberturvallisuuden ongelmista voitaisiin ennaltaehkäistä hyvillä tietotur- vallisuusratkaisuilla ja loput 20 % vaativat monimutkaisuutensa vuoksi laajaa yhteistyötä ja erityisiä ratkaisuja.273

John Palfreymanin mukaan kyberturvallisuudessa on kysymys teknologian ja ihmisen välisestä tasapainosta. Teknologialla haemme parempia palomuureja, kehittyneempää haittaohjelmatorjuntaa ja tehokkaampaa salausta. Inhimillisessä tekijässä (engl. Human factor) taas korostuu organisaation johtajuus, oppiminen, kulttuuri ja prosessit (ks. kuvio 28)274

272 Pöyhönen, Jouni. 2020. Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuu- rin organisaation toimintaa – Systeemiajattelu, JYU Dissertations 270. 273 GCHQ Director, Speech given at the International Institute of Strategic Studies, UK 13th October 2010, www.iiss.org/recent-key-addresses/iain-lobban-address/ 274 Palfreyman John. 2012. Smarter Cyber Defence, presentation in NATO NEC Conference 2012 Vienna.

121

KUVIO 28 Kyberturvallisuuden teknologiatekijät vs. inhimilliset tekijät

11.8 Kokonaisturvallisuus, infrastruktuuri ja resilienssi

11.8.1 Kokonaisturvallisuus

Kokonaisturvallisuus on suomalaisen varautumisen yhteistoimintamalli, jossa yhteiskun- nan elintärkeistä toiminnoista huolehditaan viranomaisten, elinkeinoelämän, järjestö- jen ja kansalaisten yhteistyönä. Kokonaisturvallisuus on aiemmista määritelmistään kehittynyt ensisijaisesti yhteistoimintamalliksi, jossa toimijat jakavat ja analysoivat tur- vallisuutta koskevaa tietoa sekä suunnittelevat, harjoittelevat ja toimivat yhdessä. Yh- teistoimintamalli kattaa kaikki relevantit toimijat kansalaisesta viranomaiseen. Yhteis- työn perustana ovat lakisääteiset tehtävät, yhteistyösopimukset ja Yhteiskunnan turval- lisuusstrategia. 275

Yhteiskunnan turvallisuusstrategian toimeenpanon tavoitteet, valtioneuvoston periaa- tepäätös kokonaisturvallisuudesta, turvallisuus- ja puolustuspoliittisen selonteon lin- jaukset ja hallitusohjelma ovat tärkeimpiä komitean toimintaa ohjaavia asiakirjoja. Yh- teiskunnan varautumisen vastuujako ja tehtävät perustuvat lainsäädäntöön. Kokonais- turvallisuuden yleiset periaatteet linjataan Yhteiskunnan turvallisuusstrategiassa. Stra-

275 Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia. Valtioneuvoston periaatepäätös, 2.11.2017.

122 tegian ajanmukaisuutta seurataan Turvallisuuskomiteassa, ja se päivitetään valtioneu- voston päätöksellä havaitun tarpeen mukaan. Tavoitteena on, että yleiset periaatteet kestäisivät ajallisesti yli hallituskausien. Kokonaisturvallisuuden käytännön toteutus jal- kautetaan hallinnonalakohtaisissa tai poikkihallinnollisissa strategioissa, toimeenpano- ohjelmissa sekä muissa asiakirjoissa. Esimerkkeinä voidaan mainita Sisäisen turvallisuu- den strategia toimeenpano-ohjelmineen sekä Suomen kyberturvallisuusstrategia ja sen toimeenpano-ohjelma. Turvallisuutta käsittelevät valtioneuvoston selonteot ovat oh- jausasiakirjoja, joiden keskeisiä painopisteitä ja tavoitteita toteuttamalla vahvistetaan Suomen turvallisuutta ja edistetään Suomen hyvinvointia nopeasti muuttuvassa ja vai- keasti ennakoitavassa kansainvälisessä toimintaympäristössä. Varautumisen ja turvalli- suuden resursoinnin kannalta toimintaympäristökuvausten rooli on keskeinen.276

Kansallinen kokonaisturvallisuus on tavoitetila, jossa valtion itsenäisyyteen, väestön elinmahdollisuuksiin ja muihin yhteiskunnan elintärkeisiin toimintoihin kohdistuvat uhat ovat hallinnassa. Toiminnot turvataan viranomaisten, elinkeinoelämän sekä järjestöjen ja kansalaisten yhteistoimintana. Turvaamisen toimiin kuuluivat uhkiin varautuminen, häiriöiden ja poikkeustilanteiden hallinta sekä niistä toipuminen. 277

11.8.2 Kriittisen infrastruktuurinen suojaaminen

Kansalliseen kriittiseen infrastruktuuriin kohdistuvat uhat eivät ole kokonaan yhteneviä kyberuhkien kanssa. Esimerkiksi vesihuoltoon tai energiahuoltoon kohdistuvat tärkeim- mät uhat eivät välttämättä ilmene kybermaailmassa. Tämän vuoksi kriittisen infrastruk- tuurin suojaaminen on laajempi kokonaisuus kuin kyberturvallisuus. Karkeasti määritel- tynä kriittisen infrastruktuurin suojaaminen (engl. Critical Infrastructure Protection, CIP) käsittää fyysisen suojaamisen ja suojautumisen kyberuhkilta.

Suomessa erityisiä painopisteitä kriittisen infrastruktuurin toimintakyvyn turvaamisessa ovat energiansaannin varmistaminen, elinkeinoelämän kyberturvallisuusuhkiin varautu- misen ja niistä toipumisen tukeminen, digitaalisen yhteiskunnan tietojärjestelmien sekä viestintäpalveluiden ja -verkkojen varmistaminen, turvatut paikannus- ja aikatietojärjes- telmät sekä toimivat logistiset palvelut ja verkostot.278

Euroopan komission vihreän kirjan mukaan ”elintärkeät infrastruktuurit voivat vaurioi- tua tai tuhoutua tai niiden toiminta voi keskeytyä tahallisten terroritekojen, luonnonmul- listusten, laiminlyöntien, onnettomuuksien, tietokonejärjestelmiin murtautumisen, rikol- listen toimien tai häiriökäyttäytymisen seurauksena.”279

Yhteiskunnan kriittisistä rakenteista syntyy oheisen kuvion 29 mukainen kokonaisuus.

276 Turvallisuuskomitea. https://turvallisuuskomitea.fi/ 277 Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia. Valtioneuvoston periaatepäätös, 2.11.2017. 278 VN.2018. Valtioneuvoston päätös, huoltovarmuuden tavoitteista, 1048/2018, 5.12.2018. 279 EC. 2005. Vihreä kirja - Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma, KOM(2005) 576, 17.11.2005.

123

KUVIO 29 Yhteiskunnan kriittiset rakenteet

11.8.3 Resilienssi

Yhteiskunnan resilienssi ilmentää uutta hallintamentaliteettia, jossa turvallisuus kytke- tään varautumiseen, ennustamattomien riskien kohtaamiseen sekä epävarmuuden kanssa elämiseen. Resilienssin määritelmät ja käsitteen merkitys vaihtelevat käyttöyh- teydestä ja toimintakulttuurista riippuen. Suomen turvallisuus, hyvinvointi ja huoltovar- muus ovat aiempaa riippuvaisempia yhteiskunnan keskeisten, useasti rajat ylittävien ja kansallisen toimivallan ulottumattomissa olevien toimintojen jatkuvuudesta. Huoltovar- muusajattelussa onkin ryhdytty painottamaan organisaatioiden toimintaprosessien jat- kuvuuden varmistamista ja kriittisen infrastruktuurin turvaamista jo normaalioloissa.280

Kaikkiin kuviteltavissa oleviin uhkiin ei ole mahdollista valmistautua tehokkaasti ja kus- tannustehokkaasti. Tämä puolestaan on luonut suotuisat olosuhteet resilienssiin perus- tuvalle lähestymiselle kansallisen turvallisuuden edistämiselle erityisesti kriittisen infra- struktuurin suojaamisessa. Resilienssi-käsite kuvaa kykyä kestää äkillisiä iskuja ja toipua tai palautua takaisin niistä.281

Kyberturvallisuus ja siihen liittyvä resilienssi on keskeinen tekijä yhteiskunnan elintärkei- den toimintojen jatkuvuuden sekä erityisesti sen kriittisen infrastruktuurin toimivuuden

280 Pöyhönen, Jouni. 2020. Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuu- rin organisaation toimintaa – Systeemiajattelu, JYU Dissertations 270, 67–70. 281 Ibid.

124 varmistamisessa. Kyberhuoltovarmuuden turvaamisen toimintalogiikka poikkeaa perin- teisestä huoltovarmuuden turvaamisesta. Kybertoimintaympäristössä korostuvat erityi- sesti prosessi- ja palveluhuoltovarmuus ja siten toimintaympäristö poikkeaa perintei- sestä materiaalisesta huoltovarmuudesta. Kyberturvallisuudessa useat kansalliset kriit- tiset prosessit ovat integroituneet erilaisiin ylikansallisiin toimintaprosesseihin. Tyypilli- sinä käytännön esimerkkeinä toiminnasta ovat ulkomailla sijaitsevat palvelimet, pilvipal- velut ja finanssialan varmennusketjut. Toimintaverkoston huoltovarmuutta on mahdo- tonta ylläpitää tai hallita kansallisin toimin. Toiminta edellyttää rajat ylittävää verkosto- kyvykkyyttä ja kansainvälistä yhteistyötä. Kyberturvallisuuden varmistamista ja kyber- huoltovarmuuden turvaamista haastavat lisäksi toimintaympäristön hajanaisuus, muu- tosten nopeus ja vaikeasti ennustettava kehitys. 282

282 Ibid.

125

LÄHTEET

Alberts David S., Garstka John J., and Stein Frederick P. 2000. Network Centric Warfare: Developing and Leveraging Information Superiority, 2d revised ed., Washington, D.C.: CCRP. Al-Fuqaha, A., Guizani, M., Mohammadi, M., Aledhari, M., & Ayyash, M. 2015. Internet of Things: A Survey on Enabling Technologies, Protocols, and Applications. IEEE Communications Surveys and Tutorials, 17(4), 2347–2376. Akhgar, B., Bosco, F. & Staniforth, A. 2014. Cyber Crime and Cyber Terrorism Investigator’s Handbook. Syngress. Arora, A., Krishnan, R., Telang, R., & Yang, Y. 2006. An empirical analysis of software vendors' patching behavior: Impact of vulnerability disclosure. ICIS 2006 Proceedings, 22. Arquilla John and Ronfeldt David, edit. 2001. Networks and Netwars, RAND 2001, Santa Monica. Ashenden Debi. 2011. Cyber Security: Time for Engagement and Debate, Proceedings of the 10th European Conference on Information Warfare and Security The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7- 8 July 2011 Australian Cyber Security Strategy. 2009. Commonwealth of Australia, 2009 Beggs Christopher. 2006. Proposed Risk Minimization Measures for Cyber-Terrorism and SCADA Networks in Australia, Proceedings of the 5th European Conference on Information Warfare and Security, National Defence College, Helsinki, Finland, 1-2 June 2006 Bergqvist Jaakko. 2010. Sinä olet sodassa; Sofistikoitujen algoritmien kamppailua kyberavaruudessa, Suomen sotilas 5/2010 Borghard, E. and Lonergan, S. 2016. Can States Calculate the Risks of Using Cyber Proxies? Orbis: a quarterly journal of world affairs, Vol60, No. 3, pp. 395-416. Cebrowski Arthur K. and Garstka John J. 1998. Network-Centric Warfare: Its Origin and Future, Naval Institute Proceedings, Annapolis Maryland, January 1998 Center for Internet Security (CIS). 2020. Congressional Research Service. 2008. Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress”, US-CRS 2008 Congressional Research Service. 2020. Defense cyberspace operations. https://fas.org/sgp/crs/natsec/IF10537.pdf Convention on Cybercrime. 2001. Budapest, 23.XI.2001 Dange, S. and Chatterjee, M. 2019. IoT Botnet: The Largest Threat to the IoT Network. Conference Paper. DCSINT. 2005. Handbook No. 1.02: Cyber Operations and Cyber Terrorism, 15 August 2005. DCSINT. 2006. Handbook No. 1.02: Critical Infrastructure Threats and Terrorism, 10 August 2006. Dunn Cavelty, Myriam. 2010. The Reality and Future of Cyberwar, Parliamentary Brief, 30th March 2010, www.parliamentarybrief.com/2010/03/the-reality-and-future- of-cyberwar

126

ENISA. 2012 Threat Landscape, Responding to the Evolving Threat Environment, September 2012. EC. 2005. Council Framework Decision 2005/222/JHA of 24 February 2005, on attacks against information systems. EU komissio. 2000. Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, 8.6.2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (Direktiivi sähköisestä kaupankäynnistä). EU komissio. 2005. Vihreä kirja - Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma, KOM(2005) 576, 17.11.2005. EU komissio. 2006. Study to assess the impact of a communication on cyber crime, sopimus nro JLS/2006/A1/003. EU komissio. 2007. Tiedonanto neuvostolle, Euroopan parlamentille ja alueiden komitealle, Tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi, Bryssel 22.5.2007, KOM(2007) 267 lopullinen. EU komissio. 2009. Tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle elintärkeiden tietoinfrastruktuureiden suojaamisesta, KOM(2009) 149 lopullinen, Bryssel 30.3.2009. EU komissio. 2010. Euroopan parlamentin ja neuvoston direktiivi tietojärjestelmiin kohdistuvista hyökkäyksistä, KOM(2010) 517, 30.9.2010. EU komissio. 2016. Euroopan unionin tietosuoja-asetus (GDPR), 95/46/EC, 27.4.2016. EU komissio. 2017. Tiedonanto Euroopan parlamentille, Eurooppaneuvostolle ja neuvostolle - Seitsemäs raportti edistymisestä kohti toimivaa ja todellista turvallisuus-unionia, COM(2017) 261 final, Strasbourg 16.5.2017. EU komissio. 2020. Euroopan kyberturvallisuusstrategia, COM(2020), 605 final, Bryssell, 27.4.2020 Featherstone Mike, Burrows Roger. 1995. Cyberspace/cyberbodies/cyberpunk: cultures of technological embodiment, SAGE Publications Ltd., London 1995. Filiol Eric. 2009. Operational Aspects of Cyberwarfare or Cyber-Terrorist Attacks: What is truly Devastating Attack Could do, Proceedings of the 8th European Conference on Information Warfare and Security, University of Minho and the Military Academy Lisbon, Portugal 6-7 July 2009. Fruhlinger, J. 2018. CSO-online. What is WannaCry ransomware, how does it infect, and who was responsible? https://www.csoonline.com/article/3227906/what-is- wannacry-ransomware-how-does-it-infect-and-who-was-responsible.html. Garstka John J.. 2003. Network-Centric Warfare Offers Warfighting Advantage, Signal, May 2003. GCHQ Director. 2010. Speech given at the International Institute of Strategic Studies, UK 13th October 2010, www.iiss.org/recent-key-addresses/iain-lobban-address/ Geers, K. 2017. Cyberspace and the Changing Nature of Warfare, NATO Publications, https://www.sto.nato.int/publications/.../$MP-IST-076-KN.pdf. Gibson William. 1984. Neuromancer, the Berkley Publishing Group, New York 1984. Global Commission on Internet Governance 2016.

127

Greenberg, A. 2018. The Untold Story of NotPetya, Wired. https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code- crashed-the-world/ Grobler Marthie, van Vuuren Joey Jansen and Zaaiman Jannie. 2011. Evaluating Cyber Security Awareness in South Africa, Proceedings of the 10th European Conference on Information Warfare and Security The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011. Hakala Heikki. 2020. Komentaja sanoo Britannian kykenevän tuhoisaan iskuun, Verkkouutiset 27.09.2020. Hallivuori Tiia. 2020. Yhdysvaltojen kybertiedustelu ja eurooppalaiset olennaiset takeet, TSAS7041 kurssiraportti. HE. 2006. Hallituksen esitys HE/2006 eduskunnalle Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen hyväksymisestä, laiksi sen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta sekä laeiksi rikoslain, pakkokeinolain 4 luvun, esitutkintalain 27 ja 28 §:n ja kansainvälisestä oikeusavusta rikosasioissa annetun lain 15 ja 23 §:n muuttamisesta. Heim Michael. 1993. The Metaphysics of Virtual Reality, Oxford University Press, New York. Hintikka Kari A. Haktivismi, Kansalaisyhteiskunnan tutkimusportaali, http://kans.jyu.fi/sanasto/sanat-kansio/haktivismi Holopainen Ville. 2020. IOT - tietoturva, botnetit ja Mirai, ITKST41-loppuraportti Huoltovarmuuskeskus. http://www.huoltovarmuus.fi/tietoa- huoltovarmuudesta/kriittinen-infrastruktuuri-kasite/ Hyppönen Mikko. 2010. luento AFCEA-seminaari, Helsinki, 7.12.2010. ICSPA. www.icspa.org/home/ INSTA. https://www.insta.fi/ajankohtaista/uutiset/insta-defsec/siem-jarjestelma-on- organisaation-kyberturvallisuuden-hermokeskus.html INTERPOL. https://www.interpol.int/Crimes/Cybercrime/Our-cyber-operations Ilvonen Ilona. 2013. Knowledge Security – A Conceptual Analysis, Thesis for the degree of Doctor of Science in Technology Tampere University of Technology, 29.11.2013. Intrusion. 2020. Cybercrime to Cost the World $10.5 Trillion Annually By 2025, on-line info, November 18, 2020. Iqbal, Z. & Iqbal, K. 2020. Cyber Terrorism: A Case Study of Islamic State. Journal of Social Sciences and Humanities, 56(2), 67–79. https://doi.org/10.46568/jssh.v56i2.46 Jacobs Stuart, Chitkushev Lou and Zlateva Tanya. 2010. Identities, Anonymity and Information Warfare, Proceedings of the 9th European Conference on Information Warfare and Security, the Department of Applied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010. JP 1-02. 2010. Department of Defense (DoD) Dictionary of Military and Associated Terms, 8 November 2010. JP 3-12. 2013. Cyberspace Operations, Joint Publication 3-12 (R), 5 February 2013. JP 3-12 (R). 2018. Doctrine for Cyberspace Operations, US Department of Defence, 8 June 2018.

128

Jordan Tim. 2008. Hacking: Digital Media and Technological Determinism, Polity Press, Cambridge UK, 2008. Kiravuo Timo, Särelä Mikko ja Manner Jukka. 2013. Kybersodan taistelukentät, Sotilasaikakauslehti 3/2013. Koshizuka, N., & Sakamura, K. 2010. Standards & Emerging Technologies Ubiquitous ID. Context, 9(4), 98–101. Kosola Jyrki & Jokinen Janne. 2004. Elektroninen sodankäynti, osa 1 – taistelun viides dimensio. Tekniikan laitos, julkaisusarja 5, No 2/2004, Helsinki: Maanpuolustuskorkeakoulu. Kuehl, D.T. 2009. From cyberspace to cyberpower: defining the problem. Teoksessa F. D. Kramer, S. Starr & L. K. Wentz (toim.), Cyberpower and national security (s. 24- –42). Washington D.C.: National Defense University Press. Kyberturvallisuuskeskus. 2020. Tietoturva nyt! – Väärennettyjä puheluita teknisen tuen nimissä. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/vaarennettyjapuheluita- teknisen-tuen-nimissa. Laari Tommi. 2018. kyberterrorismin uhka Euroopassa, kyberturvallisuuden Pro gradu, Jyväskylän yliopisto, Informaatioteknologian tiedekunta. Lehto Martti. 2014. Kybertaistelun toimintaympäristön teoreettinen tarkastelu kirjassa Kybertaistelu 2020 (Tuija Kuusisto Edit.) Maanpuolustuskorkeakoulu, Taktiikan laitos, Julkaisusarja 2, n:o 1, 2014, s. 67-89. Lehto Martti. 2019. Onko tekoäly turvallinen kirjassa Siukonen Timo, Neittaanmäki Pekka, Mitä tulisi tietää tekoälystä, Docendo Oy, 2019. Lehto Martti, Limnéll Jarno, Kokkomäki Tuomas, Pöyhönen Jouni, Salminen Mirva. 2018. Kyberturvallisuuden strateginen johtaminen Suomessa, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 28/2018, maaliskuu 2018. Lehto M., Limnéll J., Innola E., Pöyhönen J., Rusi T., Salminen M. 2017. Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 30/2017, helmikuu 2017. Lehto M., Limnéll J. 2017. Kybersodankäynnin kehityksestä ja tulevaisuudesta, kirjassa Silvasti M (Edith) Tiede- ja Ase, 2017, sivut 179-212. Liaropoulos Andrew. 2010. War and Ethics in Cyberspace: Cyber-Conflict and Just War Theory, Proceedings of the 9th European Conference on Information Warfare and Security, University of Macedonia Thessaloniki Greece 1-2 July 2010. Libicki Martin C. 1995. What Is Information Warfare? Strategic Forum Number 28 May 1995. Libicki Martin C. 2007. Conquest in Cyberspace – National Security and Information Warfare, Cambridge University Press, New York 2007. Limnéll Jarno. 2013. The Cyber arms race is accelerating – what are the consequences? Journal of Cyber Policy, Vol 1, Issue 1, 2013. Maayan Gilad David. 2020. The IoT Rundown For 2020: Stats, Risks, and Solutions, Security today, on-line blog, Jan 13, 2020. McAfee. 2017. Threats Report. https://www.mcafee.com/enterprise/enus/ assets/reports/rp-quarterly-threats-mar-2017.pdf McAfee. 2018. Economic Impact of Cybercrime - No Slowing Down, February 2018.

129

McAfee. 2020. The Hidden Costs of Cybercrime, December 2020. McCaughey Martha, Ayers Michael D. 2003. Cyberactivism: Online Activism in Theory and Practice, Routledge, New York. Metrick, K., Semrau, J. & Sadayappan, S. 2020. Intelligence for Vulnerability Management. FireEye. Mulvenon James. 2005. Toward a Cyberconflict Studies Research Agenda, the IEEE Computer Society. Ngan M, Grother P, Hanaoka K, Kuo J. 2020. Face Morphing – Threats, Technology, and What’s Next. https://pages.nist.gov/ifpc/2020/presentations/26_frvt_morph_ifpc2020_ngan. pdf. OECD. 2001. IFP Project on Future Global Shocks, report: Reducing Systemic Cybersecurity Risk, 14.1.2001. Office of the Manager National Communications System. 2004. Supervisory Control and Data Acquisition (SCADA) Systems, , Technical Information Bulletin 04-1, October 2004. Opi tietosuojaa. 2016. https://opitietosuojaa.fi/index.php/fi/56- lainsaeaedaentoe/lait/eun-tietosuoja-asetus/23-tuleva-eu-n-tietosuoja-asetus Palfreyman John. 2012. Smarter Cyber Defence, presentation in NATO NEC Conference 2012 Vienna. Perez Juan Carlos. 2016. Top 5 takeaways from RSA Conference 2016, TechBeacon, March 8, 2016. Porter Arthur. 1969. Cybernetics simplified, English University Press, London 1969. PLM. 2013. Suomalaisen tiedustelulainsäädännön suuntaviivoja. Tiedonhankintalakityöryhmän mietintö, 13.12.2013. PLM. 2019. Kyberpuolustuksen kehittämisen strategiset linjaukset. PVTT. 2008. Sotatekninen arvio ja ennuste 2025, osa 2, Puolustusvoimien Teknillinen Tutkimuslaitos, julkaisuja 15, Helsinki. Pye Graeme and Warren Matthew. 2011. Analysis and Modelling of Critical Infrastructure Systems, Proceedings of the 10th European Conference on Information Warfare and Security, The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011. Pääesikunta. 2004. Sotilaalliset informaatio-operaatiot – doktriini. Pöyhönen, Jouni. 2020. Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuurin organisaation toimintaa – Systeemiajattelu, JYU Dissertations 270. Rain Ottis. 2007. Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective, Proceedings of the 7th European Conference on Information Warfare and Security University of Plymouth, UK, 30 June – 1 July 2008. Rantala Jonna. 2017. NIS-direktiivin kahdet kasvot – riskit ja riskienhallinta, Jyväskylän yliopisto, IT-tiedekunta, pro gradu, 24.9.2017. Rowe Neil. 2010. Towards Reversible Cyberattacks, Proceedings of the 9th European Conference on Information Warfare and Security, the Department of Applied Informatics University of Macedonia Thessaloniki Greece 1-2 July 2010.

130

Sartonen, M., Huhtinen, A-M., Lehto. M. 2016. Rhizomatic Target Audiences of the Cyber Domain. Journal of Information Warfare, 15(4), 1-13. 2016 ISSN 1445-3312 print/ISSN 1445-3347 online. Secmeter. http://www.secmeter.com/verkkorikollisuus.html Senenko Christopher M. 2007. Network Centric Warfare And The Principles Of War, Master of Science Degree, Joint Forces Staff College, Joint Advanced Warfighting School, 5 April 2007. Seruga Jan. 2011. Head of School of Arts & Sciences, Australian Catholic University, Sydney, luento Jyväskylän yliopistossa 12.8.2011. Siljamäki Heikki. 2010. Kiinan hallitus todennäköisesti hyökkäysten takana, marraskuu 2010, http://www.tietoviikko.fi Skórzewska-Amberg Małgorzata. 2011. Legal Protection of Digital Information in the era of Information Warfare, Proceedings of the 10th European Conference on Information Warfare and Security The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011. Ståhle Pirjo. 2004. Itseuudistumisen dynamiikka - systeemiajattelu kehitysprosessien ymmärtämisen perustana, verkkodokumentti, 2004. SUPO. 2019. Vuosikirja 2019. SUPO. 2020. Vuosikirja 2020. Talihärm Anna-Maria, International Criminal Cooperation in the Context of Cyber Incidents, Proceedings of the 10th European Conference on Information Warfare and Security The Institute of Cybernetics at the Tallinn University of Technology Tallinn, Estonia, 7-8 July 2011. Tipton, H. F., & Krause, N. M. (Eds.). 2012. Information security management hand- book, volume 6. ProQuest Ebook Central, pages 338-339. Toimintavarmojen televerkkojen tarjonnan edistäminen, Liikenne- ja viestintäministeriön julkaisuja 26/2009, 4.6.2009. Turvallisuuskomitea, https://turvallisuuskomitea.fi/ Turvallisuuskomitea. 2010. Yhteiskunnan turvallisuusstrategia, Valtioneuvoston periaatepäätös, 16.12.2010. Turvallisuuskomitea. 2013. Suomen kyberturvallisuusstrategia, Valtioneuvoston periaatepäätös 24.1.2013. Turvallisuuskomitea. 2017. Suomen kyberturvallisuusstrategian toimeenpano-ohjelma 2017 – 2020, 2017. Turvallisuuskomitea. 2017. Yhteiskunnan turvallisuusstrategia, Valtioneuvoston periaatepäätös, 2.11.2017. Turvallisuuskomitea. 2019. Suomen kyberturvallisuusstrategia 2019, Valtioneuvoston periaatepäätös 3.10.2019. Umpleby Stuart A. 2008. A Short History of Cybernetics in the United States, ÖZG 19.2008, pages 28-40. UN. 2000. Convention against Transnational Organized Crime, adopted by General Assembly resolution 55/25 of 15 November 2000. UN. 2004. Legislative Guides for the Implementation of the United Nations Convention against Transnational Organized Crime. www.unodc.org/pdf/crime/legislative_guides/Legislative%20guides_Full%20vers ion.pdf

131

UNODC. 2010. Expert group on cybercrime, Working Paper: Draft collection of topics for consideration within a comprehensive study on impact and response to cybercrime, Vienna, 17-21 January 2010. VAHTI-ohje. 2009. Tietoturvapoikkeamiin varautuminen, 08.10.2009 Valeriano Brandon & Maness Ryan. 2015. Cyber War versus Cyber Realities, Cyber Conflict in the International System, Oxford University Press, New York. Valkama Sari. 2019. Kyberrikoksista ilmoittaminen poliisille – Kaupunkien ja poliisin välinen yhteistyö, Jyväskylän yliopisto, pro gradu -tutkielma. Valtioneuvoston kanslia. 2004. Valtioneuvoston selonteko 6/2004, Suomen turvallisuus- ja puolustuspolitiikka, Helsinki 24.9.2004. Valtioneuvoston kanslia. 2016. Valtioneuvoston ulko- ja turvallisuuspoliittinen selonteko, Valtioneuvoston julkaisusarja 7/2016. Valtioneuvoston kanslia. 2017. Valtioneuvoston puolustusselonteko, Valtioneuvoston kanslian julkaisusarja 5/2017. Valtioneuvoston kanslia. 2020. Valtioneuvoston ulko- ja turvallisuuspoliittinen selon- teko, Valtioneuvoston julkaisuja 2020:30, 29.10.2020. Vegh Sandor. 2003. Classifying Forms of Online Activism, The Case of Cyberprotests against the World Bank, in McCaughey, M. & Ayers, M. D. (Edit.) Cyberactivism. Online Activism in Theory and Practice, Routledge New York. VN.2018. Valtioneuvoston päätös, huoltovarmuuden tavoitteista, 1048/2018, 5.12.2018. Vähäkainu Petri, Lehto Martti, Neittaanmäki Pekka. 2018. Tekoäly ja kyberturvallisuus Jyväskylän yliopisto, IT-tiedekunta, tutkimusraportti 60/2018. Wang, J. & Williams, M. 2017. Zero-Day Vulnerabilities: How Do You Stop a Threat You Can't See Coming?. DZone. Watts, Stephen. 2017. IT Security Vulnerability vs Threat vs Risk: Understanding the Differences? bmc blogs, June 21, 2017. Wiener Norbert. 1961. Cybernetics, Second Edition, the MIT Press and John Wiley & Sons, Inc, New York. Wikipedia. Wu, X. 2007. Chinese Cyber Nationalism: Evolution, Characteristics, and Implications, Lexington Books, Plymouth. Yan, Q., Yu, F. R., Gong, Q., & Li, J. 2016. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges. IEEE Communications Surveys & Tutorials, 18(1), 602-622. Zetter Kim. 2014. Countdown to Zero day, Broadway Books, New York, 2014.

132

LIITE 1 KRIITTINEN INFRASTRUKTUURI

Oheisessa taulukossa 2 on esitetty Euroopan komission vihreän kirjan mukaan kriittisen infrastruktuurin sektorit ja niiden tuotteet tai palvelut.

TAULUKKO 2 Kriittisen infrastruktuurin eri sektorit283 Sektori Tuote tai palvelu Energiahuolto 1 Öljyn ja kaasun tuotanto, jalostus, käsittely, varasointi mukaan lukien putki- järjestelmät 2 Sähkön tuotanto 3 Sähkön, kaasun ja öljyn siirto 4 Sähkön, kaasun ja öljyn jakelu Informaatio- ja 5 Informaatiojärjestelmien ja –verkkojen suojaaminen kommunikaatio- 6 Teollisuustuotannon muiden järjestelmien kontrolli ja ohjaus (SCADA jne.) teknologiat, ICT 7 Internet 8 Kiinteät telekommunikaatiopalvelut 9 kiinteät mobiilikommunikaatiopalvelut 10 Radiokommunikaatio ja navigointi 11 Satelliittikommunikaatio 12 Radio- ja televisiolähetykset Vesihuolto 13 Juomaveden saatavuus 14 Veden laaduntarkkailu 15 Veden säännöstely Ruokahuolto 16 Ruokatuotanto ja ruoan turvallisuuden varmistaminen Terveystoimi 17 Lääke- ja sairaalahoito 18 Lääkkeet, seerumit, rokotteet ja farmasiatuotteet 19 Biolaboratoriot ja biotuotteet Talousjärjestelmä 20 Maksupalvelut / yksityiset palkanmaksurakenteet 21 Julkishallinnon maksumääräykset Yleinen järjestys ja 22 Laillisen yhteiskuntajärjestyksen ylläpitäminen, yleinen turva ja turvalli- turvallisuus suus 23 Oikeustoimen ja vankeinhoidon hoitaminen Julkishallinto 24 Julkishallinnon toiminnot 25 Asevoimat 26 Siviilihallinnon palvelut 27 Hätäkeskus- ja pelastuspalvelut 28 Posti- ja kuriiripalvelut Kuljetus ja logis- 29 Tieliikenne tiikka 30 Rautatieliikenne 31 Lentoliikenne 32 Sisävesiliikenne 33 Valtameri- ja meriliikenne Kemian- ja ydinte- 34 Kemiallisten aineiden ja ydinaineiden tuotanto, prosessointi ja varastointi ollisuus 35 Vaarallisten aineiden siirtolinjat (kemialliset aineet) Avaruus ja tutki- 36 Avaruus mus 37 Tutkimus

283 Euroopan yhteisöjen komissio, Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma, KOM(2005) 576 lopullinen, KOM(2005) 576 lopullinen. Annex 2.

133

LIITE 2 SOTILAALISET KYBEROPERAATIOT

Ohessa on esitetty yhdysvaltalainen näkemys sotilaallisista kyberoperaatioista ja niiden tavoitteista.284

Cyberspace Operations (CO): Cyberspace operations (CO) are the employment of cyberspace capabilities where the primary purpose is to achieve objectives in or through cyberspace.

Offensive cyberspace operations (OCO): OCO are CO intended to project power by the application of force in and through cyber- space.

Defensive cyberspace operations (DCO): DCO are CO intended to defend cyberspace.

Cyberspace Actions: Military missions in cyberspace (OCO, DCO) are categorized by intent, these missions will require the employment of various capabilities to create specific effects in cyber- space. To plan for, authorize, and assess these actions, it is important the JFC and staff understand how they are distinguished from one another.

(1) Cyberspace Defense: Actions for securing, operating, and defending the Infor- mation Network. Specific actions include protect, detect, characterize, counter, and mitigate. (2) Cyberspace ISR. An intelligence action conducted by attached SIGNT units under temporary delegated SIGINT operational tasking authority. Cyberspace ISR in- cludes ISR activities in cyberspace conducted to gather intelligence that may be required to support future operations, including OCO or DCO. (3) Cyberspace Operational Preparation of the Environment. OPE consists of the non-intelligence enabling activities conducted to plan and prepare for potential follow-on military operations. (4) Cyberspace Attack. Cyberspace actions that create various direct denial effects in cyberspace (i.e., degradation, disruption, or destruction) and manipulation that leads to denial that is hidden or that manifests in the physical domains. These spe- cific actions are: a. (a) Deny. To degrade, disrupt, or destroy access to, operation of, or availability of a target by a specified level for a specified time. Denial prevents adversary use of resources. i. Degrade. To deny access (a function of amount) to, or operation of, a target to a level represented as a percentage of capacity. Level of degradation must be specified. If a specific time is re- quired, it can be specified.

284 Joint Publication 3-12 (R), Doctrine for Cyberspace Operations, US Department of Defence, 8 June 2018.

134

ii. Disrupt. To completely but temporarily deny (a function of time) access to, or operation of, a target for a period of time. A desired start and stop time are normally specified. Disruption can be considered a special case of degradation where the degradation level selected is 100 percent. iii. Destroy. To permanently, completely, and irreparably deny (time and amount are both maximized) access to, or operation of, a target. b. Manipulate. To control or change the adversary’s information, infor- mation systems, and/or networks in a manner that supports the com- mander’s objectives.

135

LIITE 3 KYBEROPERAATIO-ESIMERKKI285

23.12.2015 Ukrainan sähkönsiirtoverkkoon kohdistettiin hyvin koordinoitu ja valmis- teltu kyberhyökkäys, joka jätti yhteensä 225 000 asiakasta sähköttä kolmella eri jakelu- alueella. Hyökkäyksen toteuttanutta tahoa ei olla kyetty jälkikäteen osoittamaan.

Whitehead ym. (2017) jakaa Ukrainan sähköverkkoihin 2015 tehdyn päähyökkäyksen kahdeksaan vaiheeseen sisältäen kolme erillistä lisähyökkäystä, joilla pyrittiin haittaa- maan tilanteen palauttamista sekä tilannekuvan muodostamista. Booz ym. (2016) puo- lestaan jakaa hyökkäyksen 14 vaiheeseen. Seuraava kuvaus pyrkii yhdistämään nämä vaiheet.286

1. Tiedustelu ja tiedonkeruu. On oletettavaa, että ennen ensimmäistä hyök- käystä hyökkääjät tekivät esim. OSINT-keinoin tiedustelua sopivista kohteista. Tähän todennäköisesti kuului järjestelmäarkkitehtuurin ja hyökkäyksen kol- mannen vaiheen kohdehenkilöiden tunnistaminen.

2. Dropper-paketin luominen, haittaohjelman kehittäminen ja aseistaminen. Hyökkääjät hankkivat tai kehittävät hyökkäyksessä käytetyn BlackEnergy 3 haittaohjelman. Haittaohjelmana BE3 on ns. etäohjattava troijalainen eli RAT (engl. Remote Access Trojan). Hyökkääjät aseistavat Word ja Excel tiedostot VBA komennolla BE3-haittaohjelman dropperiksi. Dropper-paketin tarkoituk- sena on asentaa kohdejärjestelmään haittaohjelma tai haittaohjelman keskei- nen lavettiosa, jolloin varsinaiset taistelukärjet voidaan ladata myöhemmässä vaiheessa ja näin pyrkiä välttämään virustorjunnan havaitsemista. Tiedustelu- vaiheessa kerätyn kohdennustiedon ja dropper-paketin luomisen jälkeen hyökkääjät pystyvät luomaan räätälöityjä hyökkäyksiä kohdeverkkoon.

3. Dropper-paketin (troijalaisen) jakelu. Hyökkäyksen aktiivinen ulkoinen vaihe alkoi maaliskuussa 2015, jolloin hyökkääjät suorittivat räätälöidyn ja kohden- netun kalasteluhyökkäyksen (engl. Spear Phishing) ennalta tiedusteluihin koh- teisiin, joiden avulla hyökkääjät pääsisivät tavoiteltuihin verkkoihin. Verkkour- kinta toteutettiin tiedostoilla, jotka vaikuttivat tulleen Ukrainan energiaminis- teriöstä. Hyökkäys kohdistui työntekijöiden Windows-työasemille. Tässä vai- heessa haittaohjelma vain jaeltiin, sillä sen asentaminen edellytti käyttäjän toi- mia.

285 Kuvaus perustuu Timo Rekusen TSAS7041-kurssiraporttiin. 286 Booz, Allen, Hamilton. 2016. When the lights went out. [Viitattu 18.11.2020]. Saatavissa: https://www.boozallen.com/content/dam/boozallen/documents/2016/09/ukraine-report-when-the- lights-went-out.pdf Whitehead, D., Owens, K., Gammel, D., Smith, J. 2017. Ukraine cyber-induced power outage: Analysis and practical mitigation strategies. Schweitzer Engineering Laboratories. IEEE.

136

4. Troijalaisen asentaminen. Sähköpostiliitetiedostojen vastaanottajat hyväksyi- vät Word- ja Excel-liitetiedostojen makrojen käytön, joka johtaa VBA-komen- toon, joka kopioi haitallisia tiedostoja kohdetyöasemaan. Haittaohjelmana käytetään aiemmin mainittua BlackEnergy 3 –haittaohjelmaa. Hyökkääjien hyödyntämä haavoittuvuus kohdistuu ensisijaisesti kybermallin kognitiiviseen kerrokseen. Tässä tapauksessa ensisijaisena hyökkäysmenetelmänä on ns. So- cial Engineering, sillä makrojen käyttö on sallittava käyttäjien toimesta. Haitta- ohjelman asennuksen jälkeen BE3 ottaa yhteyden kohdeyritysten verkosta ul- koisiin hallinta- ja hyökkäyspalvelimiin.

5. Hallinta- ja hyökkäys -palvelinyhteyden (Command-and-Control) muodosta- minen. Kohdekäyttäjän sallittua makrojen suorittamisen ja VBA-komentojen ladattua haittaohjelman tiedostot, haittaohjelman ohjausjärjestelmä pyrkii muodostamaan yhteyden sisäverkosta hyökkääjän ohjauspalvelimelle http- pyynnöillä. Tällä tavoin hyökkääjät saavat valtuuttamattoman pääsyn kohde- verkkoihin sekä kyvykkyyden BlackEnergy 3 –haittaohjelman lisämoduulien ja- keluun, joilla tässä tapauksessa tarkoitettiin verkon tiedustelua sekä tunniste- tietojen keräämistä (engl. credential harvesting) sekä näppäintallennusta (engl. keylogging).

6. Haittaohjelman uusien moduulien lataaminen ja asentaminen. Haittaohjel- man mobiliteetti ja asennusmoduuli lataa ja asentaa taistelukärjet, jotka tässä tapauksessa ovat moduuleja, joilla haittaohjelma kerää tunnistautumistietoja ja suorittaa sisäverkon tiedustelua. Tässä vaiheessa hyökkääjät täten hyödyn- tävät alkuperäisen hyökkäyksen tuloksia ja BlackEnergy 3 –lavettia lisäten al- kuperäisen haittaohjelman toiminnollisuuksia uusilla edellä mainituilla lisä- osilla. Lisäosien jakelu tapahtuu todennäköisesti https-yhteyden kautta. Kybe- raseen rakenteen kontekstissa kyseiset moduulien voidaan katsoa olevan ns. haittaohjelman taistelukärkiä.

7. Tunnistetietojen keruu ja verkon tiedustelu. Tämän vaiheen arvellaan tapah- tuneen useiden kuukausien aikana BE3 haittaohjelman ja sen lisäosien avulla. Kerättyjen admin-tunnistetietojen perusteella Prykarpattiaoblenergon Active Directory –palvelin oli yksi niistä laitteista, joihin hyökkääjät olivat kyenneet tunkeutumaan. Palvelimen murtautumisen menetelmää ei ole voitu varmen- taa, mutta BE3 työkalun salasanojavarastavan laajennuksen käytöstä ei ollut merkkejä, jonka takia murtautumisessa on saatettu käyttää esim. brute-force menetelmää287. On myös voitu käyttää BE3 haitakkeen tunnistetietoja varas- tavaa keylogger moduulia. Toimialueen ohjaukseen pääsy joka tapauksessa mahdollisti tunnistetietojen lisävarkaudet sekä uusien tilien luomisen. Tämä puolestaan mahdollisti pääsyn sisäverkon eri osiin, pysyvän pääsyn verkkoon sekä sähköverkkojen ohjausjärjestelmään.

287 Brute-Force on kryptoanalyysihyökkäys, jossa yritetään järjestelmällisesti yrityksen ja erehdyksen kautta kokeilemalla löytää oikea salasana tai salausavain johonkin asiaan.

137

8. Kohteiden identifiointi ja sisäverkossa liikkuminen. Hyökkääjät jatkavat koh- teiden tiedustelua sisäverkossa ja hankkivat pääsyoikeuksia uusiin kohteisiin, kuten UPS-laitteiden etähallintajärjestelmä, palvelimet, puhelinjärjestelmän palvelin ja työntekijöiden työasemat. Tässä vaiheessa hyökkääjät todennäköi- sesti käyttävät BE3 haittaohjelmalla saatuja tiedustelutuloksia sekä aiemmin käyttöön saatuja tunnistetietoja.

Huhtikuussa 2015 hyökkääjät asentavat takaoviohjelmistoja saastuneille ko- neille, joiden avulla hyökkääjät pääsevät helpommin saastuneille laitteille. Tä- män vaiheen avulla hyökkääjät kykenevät aloittamaan varsinaisen hyökkäyk- sen valmistelut. Huomioitavaa on myös, että BE3 haittaohjelmalla ei arvella olleen roolia itse lopullisessa hyökkäyksessä.

9. Kohteiden identifiointi sähköverkkojen ohjausjärjestelmässä. Hyökkääjät käyttävät varastettuja tunnistetietoja saadakseen pääsyn sähköverkkojen oh- jausjärjestelmiin mahdollistaen ohjausjärjestelmien tiedustelun. Hyökkääjät käyttivät kohteen omaa VPN-yhteyttä niillä käyttäjätunnuksilla ja salasanoilla, jotka he olivat aiemmin varastaneet. Tämä oli mahdollista, sillä kaksivaiheista tunnistautumista ei ollut käytössä kohdeverkoissa. Hyökkääjät ottivat hyök- käyksen aikaisemmissa vaiheissa hankituilla tunnuksilla VPN etäyhteyden säh- köverkonhallinnan HMI:hin (engl. Human-Machine Interface) hyödyntäen Re- mote Desktop (RDP) etäkäyttöprotokollaa, Windows-pohjaista Remote Admi- nistrator (Radmin) etähallintaohjelmaa ja salattuun tietoliikenteeseen tarkoi- tettu protokollaa Secure Shelliä (SSH). Tämä vaihe mahdollistaa hyökkääjille hyökkäyksen varsinaisen valmistelun ja varsinaisten hyökkäyskohteiden valin- nan.

10. Haitallisen laiteohjelmiston kehittäminen. Sähköverkkojen ohjausjärjestel- mään pääsy mahdollistaa sähköasemilla käytettyjen laitteiden tunnistamisen. Tämä perusteella hyökkääjät kehittävät haitallisen laiteohjelmistopäivityksen (engl. firmware) tietyille sähköasemien serial-ethernet muuntimille, joiden toi- minta on edellytys sähköverkkojen etäohjaamiselle. Hyökkääjät todennäköi- sesti myös tämän jälkeen testaavat päivityksen toimivuuden, toisin sanoen sen, että laitteet lopettavat toimintansa, kohdeverkon ulkopuolella. Tämän vaiheen jälkeen hyökkääjillä on hallussaan kohteelle räätälöity haittaohjelma, jolla voidaan estää sähköverkkojen etäohjaaminen.

11. KillDisk-haittaohjelman jakelu Hyökkääjät todennäköisesti jakelivat KillDisk- haittaohjelman hyökkäyskohteen sisäverkon verkkojakoon ja asettivat sekä ajastavat toimialueen ohjaimen noutamaan ja suorittamaan haitakkeen uudel- leen käynnistyksen yhteydessä. Tämä ajastus mahdollisti hyökkäyksen useisiin kohteisiin mahdollisimman samanaikaisesti.

12. UPS-laitteiden häiriön ajoittaminen. Hyökkääjät ajoittavat toimintakatkoksen puhelinserveriä ja data-servereiden sähkönsyöttöä turvaaville sellaisille UPS- laitteistoille, joilla on etäkäyttöliittymä. Hyökkääjät todennäköisesti käytävät

138

edellisissä vaiheissa hankittuja tunnistustietoja tämän suorittamiseksi. Häiriöt- tömän virran syötön toimintakatkoksen suorittamisen tarkoituksena on toden- näköisesti vaikeuttaa korjaustoimenpiteitä tilanteessa, jossa myös sähköt ovat katkenneet alueelta.

13. Kytkinasemien ohjaaminen. Pääsy yhden sähköjakelukeskuksen HMI-käyttö- liittymän päätelaitteelle mahdollisti hyökkääjille järjestelmän tiedustelun ja käyttäjätunnusten varastamisen. Ennen varsinaista hyökkäystä hyökkääjät kui- tenkin tiedustelevat ja hankkivat pääsyn ainakin 17:n sähkönjakelukeskuksen HMI-päätelaitteisiin, joilla lopullisessa hyökkäyksessä ohjattiin yli 50 sähköase- maa. Tämän vaiheessa yhdeksän tehdyn tiedustelun jälkeen hyökkääjien oli mahdollista ohjata haluamiaan kytkinasemia. Ensimmäiseen sähkönjakelukes- kukseen kohdistunut isku tapahtui 15.30, toiseen jakelukeskukseen minuuttia myöhemmin ja kolmanteen noin 16.00. Sähkönjakelukeskusten operaattorit eivät voineet vaikuttaa hyökkääjien toimiin HMI-käyttöliittymissä ja kykenivät- kin vain videoimaan tapahtumaa.

16.10 yksittäisen sähkönjakelukeskuksen operaattorit ottivat pois käytöstä hyödynnetyn HMI-pääkäyttäjätilin, jonka jälkeen hyökkääjät siirtyivät käyttä- mään toista pääkäyttäjätiliä. Tunti hyökkäyksen alkamisesta kohteen operaat- torit saivat suljettua koko SCADA-järjestelmän ja VPN-yhteyden. Sähköjen pa- lauttaminen edellytti siis manuaalisia toimia kullakin sähköasemalla. Yksi jake- lukeskus onnistui poistamaan VPN-yhteyden käytöstä, jonka takia yksi ainoa sähköasema jäi toimintaan kyseisellä alueella.

Hyökkäyksen tutkinnassa ei havaittu todisteita hyökkäyksen automatisoin- nista, jonka perusteella voidaan päätellä, että hyökkäyksen totuttaneita hen- kilöitä oli useampi, sillä 50 kytkinaseman poiskytkeminen tapahtui vain mi- nuuttien kuluessa. Hyökkäyksen tässä vaiheessa käytettiin järjestelmän omaa etäkäyttöpalvelua sekä valideja käyttäjätunnuksia, joilla saatiin katkaistua säh- köt yli 225 000 asiakkaalta.

14. Ohjausyhteyksien tuhoaminen. Kytkinasemien ohjaamisen jälkeen hyökkääjät jakelevat haitallisen firmware-päivityksen serial-ethernet muuntimille, jonka takia muuntimet eivät enää toimineet, eikä asemia voitu ohjata etäkäyttöi- sesti. Edes laitteiden valmistaja ei saanut saastuneita laitteita toimintakykyi- siksi.

15. Sähkönjakelukeskusten puhelinjärjestelmiin kohdistunut ns. TDos-hyökkäys (engl. Telephony Denial of Service) eli puhelinkeskukseen kohdistunut palve- lunestohyökkäys. Tällä pyrittiin vaikuttamaan Prykarpattiaoblenergon ja Kyivoblenergon tilannekuvanhallintaan estämällä vikailmoituspuhelut eli tie- donsaanti niistä alueista, joilla sähköt olivat katkenneet sekä kommunikointi sähköasemille. TDoS-hyökkäys toteutettiin ulkomaisista puhelinnumeroista automatisoidusti soitetuista puheluista.

139

16. Kriittisiin järjestelmiin vaikuttaminen keskeytymättömän virransyötön (UPS) katkoksen kautta. Tämä toteutettiin ajastuksella. Kohteena oli Kyivoblenergon ja Prykarpattiaoblenergon erään yksityisen haaran UPS järjestelmät. Ajastus toteutettiin näiden toimijoiden omalla etäkäyttöliittymällä (engl. remote ma- nagement interface) ja vaikute kohdistettiin ko. toimijoiden palvelinsaleihin ja puhelinkeskussaleihin. Kyseisen lisähyökkäyksen tarkoituksena oli todennäköi- sesti haitata ko. toimijoiden palautustoimia. Sähkökatkoksella myös aiheutet- tiin pakotettu järjestelmien uudelleen käynnistys ja KillDisk-haittaohjelman suorittaminen.

17. Kriittisen järjestelmätiedon tuhoaminen. Edellisten vaiheiden jälkeen kohde- tietokoneissa suoritettiin KillDisk-haittaohjelma ajastetusti. Kaikissa kolmessa sähkönjakelukeskuksessa hyökkääjät käyttivät KillDisk-haittaohjelmaa pois- taakseen lokitiedostoja sekä korruptoimalla pääkäynnistystietueen estäen sa- malla järjestelmän käytön. KillDisk-haittaohjelmaa käytetiin sekä yritys- että ohjausjärjestelmäverkossa johtaen kriittisen tiedon tuhoutumiseen sekä koh- delaitteiden toimintakyvyttömäksi tekemiseen.