Kuinka suojautua hybridi- ja kyberuhilta?

Hybridiuhat ovat yhteiskuntaan laaja-alaisesti kohdistuvia uhkia, joilla pyritään vaikuttamaan niihin varautumattomaan yhteiskuntaan ja valtioon. Näin määrittelee Teija Tiilikainen, joka johtaa Helsingissä toimivaa Euroopan hybridiuhkien torjunnan osaamiskeskusta.

Hybridiuhkien keinovalikoima on muuntuva ja yllättävä, ja siksi niitä vastaan on vaikea varautua. Kun vanhoja opitaan torjumaan, hyökkääjät luovat kilvan uusia menetelmiä.

Kun vanhoja opitaan torjumaan, hyökkääjät luovat kilvan uusia menetelmiä.

Kriittisen infrastruktuurin, kuten sähkön- ja energianjakelun sekä sairaaloiden ja kuljetusreittien lamaannuttamisella aiheutetaan merkittävää haittaa yhteiskunnalle. Keinona voivat olla kyberhyökkäys, sabotaasi tai kriittisten toimintojen työntekijöihin kohdistuva vaikuttaminen.

– Tarvitsemme jatkuvaa tilannetietoisuutta siitä, mitä voi olla tulossa, Tiilikainen sanoo.

Uusille uhille rakennetaan jo jalansijaa

Informaatioympäristön manipulointi. Yhteiskunnallisen vastakkainasettelun lietsominen. Laiton maahanmuutto epävakautta ja poliittista jakautumista edistävänä tekijänä. Vaalikeskustelun ohjaaminen teemoihin, jotka lisäävät yhteiskunnan epävakautta.

– Kaikkia näitä välineitä on käytetty Suomeakin kohtaan. Niitä vastaan pyrimme varautumaan ja rakentamaan resilienssiä, Tiilikainen sanoo.

Uusi teknologia tuo mukanaan uusia uhkia. Kun esimerkiksi keinoälyn käyttö lisääntyy digitaalisissa laitteissa ja palveluissa, sen hyödyntäminen on mahdollista myös hybridivaikuttamisessa.

– Teknologinen ympäristö on erittäin keskinäisriippuvaista, mikä lisää haavoittuvuuksia, Tiilikainen huomauttaa.

Teknologinen ympäristö on erittäin keskinäisriippuvaista, mikä lisää haavoittuvuuksia

Insinöörieversti Janne Jokinen katsoo muuttuvia uhkakuvia Pääesikunnan Johtamisjärjestelmäosaston kyberpuolustuksesta vastaavana apulaisosastopäällikkönä.

Hän nostaa päällimmäiseksi uhaksi kriittisen infrastruktuurin palveluiden lamauttamisen, joka häiritsisi yhteiskuntaamme huomattavasti. Jopa niin, että se johtaisi ihmishenkien menetykseen.

Päällimmäinen uhka on kriittisen infrastruktuurin palveluiden lamauttaminen.

Valtion päätöksenteko ja turvallisuusviranomaistoiminta on Jokisen mukaan toinen alue, johon vieraat valtiot pyrkivät tunkeutumaan jo ennen kriisiä ja näin valmistelemaan myöhempiä vaikuttamisoperaatioitaan.

– Massiivisia hyökkäyksiä emme ole Suomessa havainneet, mutta valtiolliset toimijat pyrkivät rakentamaan jalansijaa eri järjestelmiin tulevia hyökkäyksiään varten, Jokinen kuvailee vallitsevaa uhkatilannetta.

Kolmas uhka on valtion päätöksentekoon, Puolustusvoimien toimintaan ja elinkeinoelämään liittyvä kybervakoilu.

Ennätysmäärä kyberhyökkäyksiä Ukrainan sodan alettua

Kun Ukrainan nykyinen fyysinen sota alkoi, myös kyberhyökkäykset lisääntyivät.

– Ukraina on ollut Venäjän kyberlaboratorio jo vuodesta 2014. Nyt vuonna 2022 Venäjä on tehnyt sinne yli 250 onnistunutta kyberhyökkäystä, joista julkisuuteen on kerrottu runsaasta 40 merkittävästä. Koskaan aiemmin ei ole tehty näin lyhyessä ajassa näin paljon hyökkäyksiä yhteen maahan, Digi- ja väestötietoviraston johtava erityisasiantuntija Kimmo Rousku sanoo.

Venäjä on tehnyt Ukrainaan vuoden 2022 toukokuun alkuun mennessä yli 250 onnistunutta kyberhyökkäystä.

Suomessa on havaittu monenlaisia, myös valtiollisia toimijoita vastaan tehtyjä kyberoperaatioita. Palvelunestohyökkäyksiä on tehty ja gps-häirintää on havaittu pitkin Suomen itärajaa. Tämä on ulottunut myös laajemmin Itä-Euroopan alueelle.

– Meidän täytyy analysoida kaikki Ukrainasta saatavat opit ja rakentaa puolustustamme tämän mukaisesti. Suomen täytyy kehittää kybertoimintaympäristöön liittyviä viranomaisten toimivaltuuksia, tiedonvaihtoa ja yhteistoimintarakenteita, Jokinen sanoo.

Käynnissä on globaali taistelu arvoista

Venäjä ei vielä käytä Rouskun arvion mukaan kovimpia kyberaseita, vaan säästää niitä pidemmälle sotaan. Myös länsi pidättelee massiivista kyberiskua Venäjää vastaan samasta syystä.

– Voisi sanoa, että iso määrä nollapäivähaavoittuvuuksien hyödyntämisiä vastaa strategista kohdistettua ydinaseiskua, Rousku vertaa.

Nollapäivähaavoittuvuudella tarkoitetaan tietoturva-aukkoa, jota voidaan hyödyntää kyberhyökkäyksessä.

Venäjän rinnalla myös Iran ja Kiina ovat Teija Tiilikaisen mukaan tehneet viime aikoina aktiivisesti hybridihyökkäyksiä.

– Nyt käydään taistelua kansainvälisen järjestyksen perustasta, eli minkälaisiin arvoihin, normeihin ja instituutioihin tuleva kansainvälinen järjestys nojaa. Kiinalla ja Venäjällä on julkilausuttuja tavoitteita siitä, miten nykyinen läntinen järjestys pitää korvata niiden maailmankuviin nojautuvilla arvoilla, Tiilikainen sanoo.

Nyt käydään taistelua kansainvälisen järjestyksen perustasta, eli minkälaisiin arvoihin, normeihin ja instituutioihin tuleva kansainvälinen järjestys nojaa.

Kiinan hybridivaikutus näkyy siinä, miten se on vaivihkaa hankkinut kriittistä infrastruktuuria, kuten satamia, rautateitä, lentokenttiä ja osuuksia eurooppalaisista yrityksistä. Investoinnit ovat kasvaneet satoihin miljardeihin euroihin.

– Kiinalaissijoitukset eivät ole markkinalähtöisiä vaan poliittisia ja strategisia. Siksi pitää olla tarkkana, mikä niiden lopullinen tarkoitusperä on. Pitää varoa, ettei ongelmien ilmaantuessa ole jo liian myöhäistä reagoida, Tiilikainen sanoo.

Hybridi hämärtää hyökkäyksen

Hybridiuhat eivät asetu mihinkään aiempiin normeihin, kuten YK:n määrittelemiin sodankäynnin sääntöihin. Hybridiuhkien käytöllä on kuitenkin samat tavoitteet kuin sotilaallisilla toimilla eli tuottaa haittaa ja heikentää kohdetta.

Hybridiuhat ovat perinteisiä hyökkäyskeinoja kustannustehokkaampi tapa saada tuhoa aikaan. Hyökkääjä voi myös piilottaa jälkensä helpommin kuin perinteisessä sodankäynnissä.

Laittomat rajanylittäjät leimataan turisteiksi, informaatiovaikuttaminen sananvapauden puolustamiseksi ja oudoille poluille viety vaalikeskustelu mielipiteiden vaihdoksi.

Hybridisota tuottaa uusia ongelmia hyökkäyksen kohteelle: mitä oikeuksia itsepuolustukseen on hybridihyökkääjää vastaan.

Mitä oikeuksia itsepuolustukseen on hybridihyökkääjää vastaan?

Vuonna 2016 NATO lähetti signaalin, että se tulkitsee kyberhyökkäykset samanlaisiksi hyökkäyksiksi kuin perinteiset sotilaalliset hyökkäykset siten, että vastaisku tulee.

– NATOssa keskustellaan parhaillaan, voidaanko esimerkiksi kriittiseen infrastruktuuriin kohdistuvaa hyökkäystä tai muita vastaavia hybridiuhkatoimia pitää artikla viiden määritelmän mukaisena aggressiona, Tiilikainen kertoo.

Lainsäädäntö pinkoo perässä

Hallitus toi huhtikuun lopulla eduskuntaan nopealla aikataululla valmistellun valmiuslain täydennyksen, joka nostaa hybridiuhat sotilaallisten uhkien, kyberuhkien, taloudellisten kriisien ja pandemioiden rinnalle.

Laki mahdollistaisi valmiuslain toimivaltuuksien käytön sellaisessa hybridiuhkatilanteessa, joka vaarantaa kansallista turvallisuutta, yhteiskunnan toimintakykyä tai väestön elinmahdollisuuksia. Eduskunnan odotetaan säätävän laki kevään aikana.

– Koska uhat muuttuvat nopeasti, tärkeintä on jatkuva tilannetietoisuus ja valmius arvioida myös lainsäädäntöön liittyviä muutostarpeita, Tiilikainen sanoo.

Koska uhat muuttuvat nopeasti, tärkeintä on jatkuva tilannetietoisuus ja valmius arvioida myös lainsäädäntöön liittyviä muutostarpeita.

Tietoturvallisuuteen liittyvästä lainsäädännöstä keskeinen on vuoden 2020 tiedonhallintalaki, joka velvoittaa julkisen hallinnon toimijoita kehittämään tietoturvaansa. Aiemmin oli vain vuoden 2010 valtionhallintoa koskenut tietoturvallisuusasetus.

EU:n verkko- ja tietoturvadirektiivi (NIS) säädettiin vuonna 2016, jonka jälkeen sitä on kehitetty niin, että uusi NIS2-versio saataneen EU:ssa valmiiksi tämän vuoden aikana.

Kansainvälisiä harjoituksia ja yhteistyötä

Hybridiuhkien torjunnassa EU on toiminut vaatimalla somejättejä huolehtimaan sisällöistään niin, että disinformaatio ja valeuutiset siivotaan pois niiden alustoilta. Myös huoltovarmuuden ja energiapolitiikan alueilla EU on tehnyt Tiilikaisen mukaan hybridivaikuttamista estävää säätelyä.

– EU tekee aktiivisesti työtä kriisinkestävyyden parantamiseksi. Myös niitä jäsenmaita suojataan, joilla ei ole tähän omia välineitä.

– EU:n intressissä on varmistaa, ettei heikkoja lenkkejä ole. Tämä koskee muun muassa it-järjestelmien laatuvaatimuksia niin, ettei esimerkiksi yhteisen valuuttaunionin puitteissa synny porsaanreikiä, joiden kautta päästään vaikuttamaan koko unionin alueella, Tiilikainen sanoo.

EU:n intressissä on varmistaa, ettei heikkoja lenkkejä ole. Tämä koskee muun muassa it-järjestelmien laatuvaatimuksia.

Sotilaallisella puolella Suomi osallistuu vuosittain lukuisiin kansainvälisiin harjoituksiin, kuten NATOn Cyber Coalition, NATOn kyberpuolustuksen osaamiskeskuksen CCDCOE:n Locked Shields ja EU:n MilCERT. Harjoitukset voivat olla asiantuntijoiden teknistä harjoittelua simulaattoriympäristöissä tai päätöksentekoharjoituksia viranomaisyhteistyön tilanteisiin.

EU:lla on Jokisen mukaan kyberturvallisuuden ja -puolustuksen suorituskykyjen kehittämiseen liittyviä prosesseja ja rahoitusmalleja, joista osaan Suomi osallistuu.

– Kansainvälisessä yhteistyössä opimme osallistujamaiden parhaita käytäntöjä ja testaamme laajoihin kyberhäiriötilanteisiin suunniteltuja toimintamalleja, Jokinen sanoo.

Sanastoa

  • Hybridiuhka vaikuttaa varautumattomaan yhteiskuntaan ja valtioon laaja-alaisesti. Hybridiuhkien keinovalikoima on muuntuva ja yllättävä, ja siksi niitä vastaan on vaikea varautua.
  • Kyberuhka on digitaalisin keinoin toteuttavaa uhkaa, joka kohdistuu digitaaliseen omaisuuteen, järjestelmään tai palveluun.
  • Digitaalinen turvallisuus kattaa kyberturvallisuuden lisäksi digitaalisen ympäristön tietoturvan, tietosuojan, riskienhallinnan sekä toiminnan jatkuvuuden ja varautumisen.