Kyberistä hybridiin?

Kolumnit
Timo Hellenberg

Uskottava kyberturvallisuus on nykyisin kiinteä osa uskottavaa maanpuolustusta. Esimerkiksi ulkomaalaisperäinen ”punainen lokakuu” – urkintaohjelma riehuu parhaillaan Suomessa ja siitä on selvää näyttöä. Uhka on siis todellinen ja siihen on vastattava. Sen sijaan ei ole aivan samantekevää johtaako kybervarautumista valtiovalta vaiko palveluntarjoajana toimivat yritykset. Tästä on maailmalta jo ennakkotapauksia ja kuten muiden kriittisten kohteiden osalta, varautumisen tulee pohjautua kokonaistrategiaan, ei hätiköintiin tai saatavilla oleviin palveluratkaisuihin.

Huhtikuun 27., 2007 veljeskansamme Viro joutui ehkä modernin historian suurimman kyberhyökkäyksen kohteeksi. Noin kolmen viikon aikana maan kaikki julkiset tahot saivat osansa tietoverkkojen lamaantumisesta ja yhteyksiensä osittaisesta tai totaalisesta katkeamisesta. Valtionlaitosten, parlamentin sekä pankkien ja median verkkoyhteydet kaatuivat tai lakkasivat toimimasta. Osansa sai myös pääministerin reformipuolueen sivut. Sattumaa tai ei, mutta tapahtuma ajoittui samaan aikaan kun Viron hallitus siirrätti ristiriitaisen pronssisoturipatsaan pois keskusaukiolta. Etniset venäläiset protestoivat siirtoa, jonka seurauksena 1300 ihmistä pidätettiin, 100 loukkaantui ja yksi henkilö menehtyi. Konflikti sai aikaan niin sanotun DdoS hyökkäyksen (Distributed Denial of Service), jossa käytettiin apuna tuhansia ”zombie” tietokoneita julkisten sivustojen kaatamiseksi. Mukaan kutsuttiin asiantuntijoita Natoa myöten ja kyberavaruudesta tullut mörkö hävisi yhtä nopeasti kuin oli ilmaantunut taivaanrantaan.

Suomeen on viime kuukausien aikana tuotettu lukuisa määrä turvallisuuteen liittyviä perusasiakirjoja, kuten Valtioneuvoston periaatepäätös kokonaisturvallisuudesta sekä Turvallisuuspoliittinen selonteko. Suuremmalle mielenkiinnolle on noussut kuitenkin kansallinen kyberturvallisuusstrategia, jonka myötä Suomesta halutaan tehdä ”edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa”.

Strategia koostuu kymmenestä strategisesta toimenpidesuosituksesta joista yksi on yhteistyötä tukemaan perustettava Suomeen kyberturvallisuuskeskus, nykymuotoisen CERT-FI:n yhteyteen Viestintävirastoon. Fakta on että yksikään maa ei ole kyennyt ratkaisemaan tätä kyberturvallisuus asiaa ilman vastaavaa koordinaatiokeskusta. Sen rooli on tukea toimivaltaisia viranomaisia jotka vastaaavat omasta kyberturvallisuudesta omalla hallinnonalallaan.

Valtioneuvoston periaatepäätöksellä 5.12.2012 perustettu ja 31.1.2013 Puolustusministriön alaisuudessa aloittanut Turvallisuuskomitea tulee yhteensovittamaan kyberturvallisuuteen liittyvää varautumista sekä tukemaan kyberturvallisuuskeskusta yhteistyössä Liikenne – ja Viestintäministeriön kanssa. Nähtäväksi jää, miten moniviranomaisyhteistyö tulee tässä onnistumaan, mutta lähtökohtaisesti kyberturvallisuuskeskuksella on nyt olemassa kaikki onnistumisen edellytykset torjua jopa yllä mainitun kaltaista totaalihyökkäystä suomalaisia yrityksiä ja julkiskohteita kohtaan.

Haasteeksi muodostuu se, miten yritykset aiotaan valjastaa mukaan strategian toteuttamiseen. Tarjolla avuksi on monenlaisia onnenonkijoita, jotka tituleeraavat itseään kyberalan johtaviksi asiantuntijoiksi ja pelottelevat 1930-luvun kaasu-uhkien tavoin ihmisiä tuomiopäivällä. Tässä kuten muillakin turvallisuusalan sektoreilla tekojen tulisi käydä retoriikan edellä. Mallia yritysten motivoimiseen voisi ottaa vaikkapa Yhdysvalloista syyskuun 2001 terrori-iskujen jälkeisessä maailmassa, jossa firmoille tarjottiin verotushelpotuksia, lyhyt listausta julkisiin hankintoihin sekä näkyvyyttä kansallisessa kumppanuusohjelmassa. Ilman näitä kannustimia elinkeinoelämän anti jää yhtä vähäiseksi kuin pyöräilijöiden määrän kasvu itäväylällä autottomana päivänä.

Kansallinen etumme on nyt varmistaa, että kyberstrategiasta ei tulee mitään hybridistrategiaa ja huomio kohdistuu todellisiin kompetensseihin erilaisten mietintöjen sijaan. Ehkäpä tässäkin pätee vanha sanonta ”on aika siirtyä kuormaston marssista ratsuväen ryhmitykseen” eli virolaismallisen kyberhyökkäyksen odottelun sijaan on harjoitetettava omia resurssejamme riittävän pelotteen ja vastahyökkäyksen varalle. Olkoonkin, että sana ”hyökkäys” torpedoitiin heti kättelyssä eduskuntamme punavihreän linjaston toimesta.