Tilaisuudessa julkistettiin OTM Pia Palojärven ulkoasiainministeriölle tekemä tutkimus “Battle in Bits and Bytes: Computer Network Attacks and the Law of Armed Conflict”, joka käsittelee verkkohyökkäysten oikeudellista luonnetta ja selventää humanitaarisen oikeuden soveltuvuutta verkkohyökkäyksiin.
Persianlahden sodan jälkeen lanseerattu informaatiosodan käsite sisältää yhtenä alueena tietoverkkohyökkäykset ja sodankäynnin tietoverkoissa. Yleistä, kansainvälisesti sovittua määritelmää sotatoimina pidettävistä tietoverkkohyökkäystoimista ei kuitenkaan ole olemassa.
Alustuspuheenvuorossaan Palojärvi pohti, voiko sodankäynti siirtyä tietoverkkoihin, voivatko tietoverkkohyökkäykset olla uusi tapa käydä sotaa ja miten niitä tulisi oikeudellisesti arvioida kansainväl sen humanitaarisen oikeuden näkökulmasta.
Esimerkkinä tietoverkkohyökkäyksestä osana asevoimien valtiollista voimankäyttöä hän mainitsi operaatio ”Iraqi Freedomin” vuodelta 2003, jolloin Irakin pankkijärjestelmää kohtaan harkittiin tietoverkkohyökkäystä yhtenä sotilaallisen operaation osa-alueena. Hyökkäystä ei kuitenkaan käynnistetty, koska se olisi voinut halvaannuttaa irakilaisen yhteiskunnan lisäksi Euroopan pankkijärjestelmän.
Viime vuonna valmistuneen valtioneuvoston puolustuspoliittisen selonteon mukaan tietoverkkohyökkäykset ovat nykyajan informaatioyhteiskunnassa vakavasti otettavia turvallisuusuhkia. Informaatiosodankäynnin kohteina voivat olla päättäjät, kansalaiset, tiedotusvälineet, energialähteet, tietoverkot tai maanpuolustuksen keskeiset elementit, kuten ilmapuolustus.
Palojärven mukaan humanitäärisen oikeuden soveltuminen tietoverkkohyökkäyksiin on monitieteellinen ja haasteellinen kysymys, jota on arvioitava niin tietotekniikan, oikeustieteen kuin sotatieteenkin näkökulmasta. Kansallisen tietoverkkorikosoikeudellisen sääntelyn vaietessa ja kansainvälisen yhteisen rikosoikeudellisen sääntelynkin ollessa vielä kehitysasteella, turvasatamia globaalille verkkorikollisuudelle löytyy ympäri maailmaa.
Sotaa tykein ja tietokonein
Voivatko tietoverkkohyökkäykset yksinään ylittää kansainvälisen aseellisen konfliktin kynnyksen? Palojärven mukaan kysymyksen tarkastelu edellyttää tilanteen kokonaisharkintaa. Vakavimmillaan hyökkäykset yhdistyvät sotavoiman käyttöön. Vakavuusasteikon lievimmässä päässä tekijöinä ovat yksittäiset henkilöt ja teot tapahtuvat syvän rauhan aikana. Tällöin asiaa arvioidaan pikemminkin kansallisen rikosoikeuden näkökulmasta.
Palojärvi suosittelikin kansainvälisen keskustelun käynnistämistä tietoverkkohyökkäyksiä koskevan oikeudellisen sääntelyn kokonaisrakenteesta: miten kansainvälinen yhteisö suhtautuu tekoihin, jotka jäävät aseellisen kynnyksen alapuolelle ja missä menee raja rikosoikeudellisten ja aseellisen konfliktin ylittävien tekojen välillä?
Sotilaslakimies Kari Takamaa maanpuolustuskorkeakoulusta piti tietoverkkohyökkäysten uhkakuvia todellisina niin siviili- kuin sotilaspuolellakin. Puolustusteollisuus eri maissa käyttää huomattavia summia ulkoisilta uhilta puolustautumiseen, mutta silti inhimillinen tekijä voi lamauttaa puolustuksen. Näin kävi esimerkiksi Yhdysvalloissa vuonna 2001, jolloin armeijan entinen työntekijä pääsi tunkeutumaan laivaston tietokonejärjestelmään.
Asejärjestelmään puuttuminen tietoverkkohyökkäyksen avulla, komentoketjun ja johtamisjärjestelmän romahduttaminen ilman ensimmäisenkään laukauksen ampumista ovat houkuttelevia tavoitteita sodankäynnissä. Koska siviilimaailman kohteet ovat heikoimmin suojattuja, sotilaalliset tavoitteet voidaan saavuttaa myös lamauttamalla yhteiskunnan perustoiminnot, kuten energiantuotanto ja -jakelu.
Sota tietoverkoissa on todellisuutta
Viestintäviraston Cert-Fi -tietoturvayksikön päällikölle Erka Koivuselle verkkohyökkäykset ovat arkipäivää. Manuaalisesti käsiteltävien tapausten määrä on kasvanut muutamassa vuodessa parista sadasta neljään tuhanteen ja robotti käy lävitse jopa 200 000 tietoturvauhkaa vuodessa. Suurin osa verkkohyökkäyksistä on proosallisemmin roskapostia, oire haltuun otetusta tietokoneesta, jota voidaan käyttää vakavampien verkkohyökkäysten toteuttamiseen.
Viestintävirastolla on enemmän liikkumavapauksia tietoturvaloukkaustilanteiden tutkimiseen kuin poliisilla tai armeijalla. Oleellista ei ole pohtia, onko kyse yritys- tai valtiollisten salaisuuksien urkkimisesta, verkkohyökkäyksestä tai sodankäynnistä. Tärkeintä on hoitaa tietoverkon suojaus murron jäljiltä kuntoon.
Koivunen nosti esille vuoden 2007 konfliktin, jossa virolainen yhteiskunta pantiin polvilleen suunnitelmallisella tietoverkkohyökkäyksellä. Valtiollista kohdetta vastaan hyökättiin anonyymillä infrastruktuurilla, joka oli alunperin tarkoitettu roskapostin lähettämiseen. Olipa taustatahona yksittäiset siviilit, vieras valtio tai armeija, varmaa näyttöä rikoksen tekijästä ei tähän päivään mennessä ole löytynyt.
Rikollistahon tunnistamattomuus on ongelmallisin tekijä tietoverkkohyök-käyksissä. Kun taustatekijöitä on vaikea osoittaa, vielä vaikeampaa on käynnistää vastatoimia hyökkääjää kohtaan. Hyökkäykseen syyllisen voisi näppärästi myös lavastaa. Koivusen mukaan tärkeintä on se, että valtiot huolehtivat Suomen tavoin verkoistaan siten, ettei niitä käytetä laittomuuksiin muita valtioita vastaan.
Tutkimusjohtaja Mikko Hyppönen F-Securelta pitää tietoverkkoja reaalimaailman heijastumana. Kun maailmassa on rikollisuutta ja sotia, miksei myös verkossa? Riskit eivät kuitenkaan tee tietoverkoista käyttökelvottomia.
Koska verkossa ei ole etäisyyksiä eikä valtioiden rajoja, Suomi on ihan yhtä hyvä hyökkäyksen kohde kuin mikä muu maa tahansa. Kotitietokoneen haltuun-otto, näppäimistön nauhoittaminen ja luottokortin numeron varastaminen ovat normaaleja arjen hyökkäyksiä. Verkkosodankäynti olisi ääriesimerkki valtioiden välisestä konfliktista, jossa käytettäisiin myös sotilaallista voimaa. Se voisi käsittää puolustusjärjestelmiin tunkeutumista tai siviilikohteisiin tehtäviä ylikuormitushyökkäyksiä, joissa palveluja ja julkisia nettisivuja tukitaan.
Julkiset kohteet eivät kuitenkaan yleensä sisällä kriittistä infrastruktuuria. Esimerkiksi eduskunnan palvelimen kaatumista ei välttämättä monikaan huomaisi. Äärettömän näyttävä ja symbolinen teko kuitenkin olisi.
Näyttävyys ja informaatioarvo ovatkin Hyppösen mukaan tietoverkkohyökkäysten suurimpia päämääriä. Toisaalta esimerkiksi verkkopankkeja vastaan tehty hyökkäys voisi pitkään kestäessään lamauttaa koko yhteiskunnan.
Kybersota valtaa verkon
Todennäköisesti maailman ensimmäinen kokonaista valtiota vastaan suunnattu laajamittainen verkkosota syttyi 27. huhtikuuta 2007 kello 22.30. Sen kohteena oli Viron yhteiskunta verkossa: hallitus, poliittiset organisaatiot, puolustusministeriö, poliisi, koulut, pankit ja teleoperaattorit.
Pronssisoturi-patsas oli vasta päivää aikaisemmin siirretty Tallinnan keskustasta, mikä suututti monet vironvenäläiset. Kaupungin keskustassa puhkesi rajuja mellakoita ja myös verkossa alkoi tapahtua.
Ensimmäiset palvelunestohyökkäykset oli suhteellisen helppo torjua, mutta kolmen seuraavan viikon aikana sota laajeni. Pahimmillaan ympäri maailmaa haltuun otetuilta tietokoneilta hyökättiin yli neljän miljoonan datapaketin sekuntivauhdilla virolaista yhteiskuntaa vastaan.
Palvelunestohyökkäyksellä tarkoitetaan kohteena olevan verkkopalvelun ylikuormittamista siten, ettei sen normaali käyttö ole mahdollista. Myös syyllisiä on vaikea jäljittää, kosta hyökkäykset voidaan toteuttaa itsestään leviävien ja toimivien haittaohjelmien avulla.
Koska Viro kuuluu maailman verkottuneimpiin valtioihin, sodan vaikutukset olivat merkittäviä. Pahimman hyökkäysvaiheen aikana jouduttiin muun muassa puolustusministeriön sähköposti sulkemaan eikä pankkipalveluihin ollut asiaa. Hyökkäysten torjuntaan osallistui tietoturvayksiköitä useista Euroopan maista, myös Suomen Cert-Fi.
Täysin varmaa tietoa tekijöistä ei ole saatu. Hyökkäysten päätyttyä julkisuuteen astui kansallismielisen Nashi-nuorisojärjestön jäsen Konstantin Gološkov, joka väitti toimineensa yksin muutaman ystävänsä kanssa. Virallinen Venäjä on kieltänyt osallisuutensa tekoihin. Palvelunestohyökkäysten massiivisuuden vuoksi asiantuntijat arvelevat hyökkääviä ryhmiä olleen useita.
Tapauksen johdosta Nato päätti perustaa Viroon internet-sodankäynnin keskuksen, jonka tehtävänä on kehittää puolustusmekanismeja ja tekniikoita vastaavien hyökkäysten varalle.
