sotilaallista suorituskykynä

Transkriptio

1 Viestimies 2/ Kapteeni Anssi Kärkkäinen työskentelee Pääesikunnan Johtamisjärjestelmäosastolla. TEKSTI: ANSSI KÄRKKÄINEN Tietoverkkosodankäynti sotilaallisena suorituskykynä Sotilasoperaatioiden näkökulmasta tarkasteltuna tietoverkkosodankäynti on suhteellisen uusi taistelulaji. Sen aiheuttama uhka on kasvanut voimakkaasti 1980-luvun lopulta lähtien. Uhka on todellinen ja jokapäiväinen, koska kuka tahansa tietokoneen, internetyhteyden ja hakkerointityökalut omistava voi tehdä hyökkäyksen. Mahdolliset uhkan muodostavat useat erityyppiset toimijat, kuten valtiot, terroristiryhmät, rikollisjärjestöt ja yksittäiset henkilöt. Globalisaatio ja erityisesti uudet teknologiat edistävät verkkosotaa. Verkkosodankäynnin ymmärtäminen onkin tärkeää, koska kyky vaikuttaa yhteiskuntiin ja niiden rakenteisiin juuri tietoverkkojen kautta on kasvanut merkittävästi niiden avautuessa verkottumisen seurauksena. Yhä enemmän ja enemmän kriittisiäkin tietojärjestelmiä kytketään internetiin. Taistelua tiedosta ja sen jakamisesta Tietoverkkosodankäyntiä kuvaavien määritelmien ja termien kirjo on laaja. Eri lähteissä mainitaan muun muassa verkkosodankäynti, verkkopuolustus, cyber-sodankäynti, verkkosota ja hakkerisodankäynti. Tässä kirjoituksessa käytetään termiä tietoverkkosodankäynti, jolla tarkoitetaan vaikuttamisesta, puolustuksesta ja tiedustelusta muodostuvaa sotilaallista suorituskykyä. Tietoverkkosodankäynnin vaikuttamisen tavoitteena on aiheuttaa vastustajalle vahinkoa (ase- ja tietojärjestelmien toimimattomuus, harhauttaminen, viallinen toiminta) hyödyntäen tietoverkkoja ja tietojärjestelmien haavoittuvuuksia. Tietoverkkopuolus- tuksen tavoitteena on suojata omat järjestelmät vastustajan hyökkäyksiä vastaan. Tietoverkkotiedustelun avulla pyritään löytämään tietoa vastustajasta tietoverkkoja hyödyntäen. Tietoverkkoihin kohdistuvat hyökkäykset ovat yleistyneet viime vuosina. Globalisoituminen ja verkottuminen muodostavat entistä paremman toimintaympäristön tietoverkkosodankäynnille ja ennen kaikkea hyökkääjille. Nopeat internet-yhteydet, suoritintehojen kas- Tietoverkkosodankäynti on sotilaallista suorituskykyä, joka muodostuu vaikuttamisesta, puolustuksesta ja tiedustelusta. Sen keskeisin tekijä on tallennettu tieto, josta jo vuonna 2002 yli 90 prosenttia oli digitaalisessa muodossa, muun muassa tietokoneiden kiintolevyillä. (Kärkkäinen)

2 10 Viestimies 2/2009 vu ja levykapasiteetin lisääntyminen ovat kasvattaneet tietojärjestelmien kykyä suoriutua tämän päivän vaatimuksista, mutta samalla ne ovat myös lisänneet potentiaalisten hyökkäyskohteiden määrää ja hyökkäysten kiinnostavuutta. Pääsy internetiin on tehty helpoksi ja sitä voidaan pitää jo lähes perusoikeutena kehittyneissä länsimaissa. Kehitysmaissakin verkkojen rakentaminen etenee nopeasti. Tietoverkkosodankäynnin keskeisin tekijä on tieto, joten esimerkiksi tiedustelu, media, internet ja koulutus (ulkomailla) ovat keskeisiä tietoverkkosodan välineitä. Jo vuonna 2002 yli 90 prosenttia maailmassa taltioidusta tiedosta oli digitaalisessa muodossa, muun muassa tietokoneiden kiintolevyillä. Verkossa tallennettuna olevan tiedon lisäksi tietoa ovat muun muassa verkon jäsenten ja heidän osaamisensa tunteminen. Toiseksi keskeisin tekijä on kyky jakaa tietoa eli tietoliikennejärjestelmä ja sen kontrolli. Tärkeässä roolissa ovat ohjelmistot, tietoliikennejärjestelmät ja internetin mahdollistama verkottuneisuus. Satunnaisista kokeiluista koordinoiduiksi hyökkäysoperaatioiksi Tämän päivän tietoverkkosodankäynnin taistelut muistuttavat enemmänkin satunnaisia ilkivaltayrityksiä, hakkerien kokeiluja tai järjestäytyneiden rikollisten toimintaa. Vakavampaa toimintaa ovat osoittaneet muun muassa Viron patsaskiistan ja Georgian sodan aikaiset verkkohyökkäykset, mutta osana sodankäynnin kokonaisuutta ne ovat olleet lähinnä epämääräisiä ja heikosti organisoituja yrityksiä vaikuttaa yleiseen mielipiteeseen. Toisaalta verkkotiedusteluun on suhtauduttava vakavasti. Keväällä 2009 paljastunut GhostNet-verkkovakoilutapaus, jossa kohteita oli yli sata usealla mantereella, osoittaa tiedustelun olevan jokapäiväistä toimintaa. Useassa tapauksessa jäljet johtavat muun muassa Kiinaan, vaikkakaan valtiollisen tahon osallistumisesta ei ole näyttöä. Vaikka tietoverkkosodankäynnin hyödyntäminen sotilaallisena välineenä on ollut vähäistä, mahdollisuus suorituskyvyn käyttöön on olemassa. Todennäköistä on, että useat maat kehittävät tietoverkkosodankäynnin potentiaalia, jolla voidaan saada aikaan vakavia vaikutuksia puolustavalle asevoimalle. Myös internet-verkossa tapahtuvien hyökkäyksien on huomattu muuttuvan yksittäisistä hakkeroinneista erilaisten yhteisöjen ja toimijoiden koordinoiduiksi hyökkäysoperaatioiksi. Tietoverkkosodankäynnin uhkatyyppejä on lukuisia. Käytetty hyökkäystyyppi riippuu usein hyökkääjän motiivista ja tavoitteista. Esimerkkejä hyökkäystyypeistä ovat palvelunestohyökkäys, luvaton käyttö ja tietomurto. Palvelunestohyökkäyksellä (DoS, Denial of Service) hyökkääjä pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa. Esimerkiksi pankin verkkosivustoja voidaan kuormittaa niin paljon että palvelu ei ole enää saatavilla. Luvaton käyttö on kyseessä silloin, kun hyökkääjä luvatta käyttää kohteen resursseja hyödykseen. Hyökkääjä voi esimerkiksi ohjata tilisiirron omalle tililleen. Tietomurto tapahtuu, kun hyökkääjä murtautuu kohdejärjestelmään tavoitteena vaikkapa tietojen anastaminen, muuttaminen tai tuhoaminen. Vuonna 2006 Yhdysvallat päätti perustaa ilmavoimien alaisuuteen tietoverkkosodankäyntiin erikoistuneen johtoportaan, AFCYBERin (Air Force Cyber Command). ( Tietoverkkohyökkäykset jatkavat informaatiooperaatioita Viron patsaskiistan aattona, vuoden 2007 huhtikuussa Viron ja Venäjän välille leimahti kiista Tallinnan keskustassa sijainneen patsaan siirtämisestä. Kiistan aikana siihen liittyi informaatio-operaatioiksi tulkittavien tapausten lisäksi myös tietoverkkohyökkäyksiä. Laskutavasta riippuen kriisin aikana suoritettiin todennäköisesti vaikuttanutta informaatio-operaatiota, joista alle neljännes oli virolaisten suorittamia. Venäjän toiminta oli huomattavasti suunnitellumpaa, aktiivisempaa ja pitkäjänteisempää. Myöhemmin on käynyt ilmi, että patsaskiistan aikaisten verkkohyökkäysten takana oli venäläinen Nashi-nuorisojärjestö. Georgiassa kriisi leimahti avoimeksi sodaksi vuoden 2008 heinäkuussa. Perinteisen sodankäynnin lisäksi sotaa käytiin verkossa. Hyökkäykset Georgian presidentin ja hallituksen nettisivuja vastaan alkoivat 8. elokuuta - samaan aikaan kuin venäläiset maajoukot siirtyivät Etelä-Ossetiaan. Verkkohyökkäyksiä jatkui viiden päivän ajan. Hyökkäysten kohteina olivat myös uutistoimistot ja pankit, jotka nopeasti sulkivat sivunsa estääkseen identiteettivarkaudet. Nettisivuja kaadettiin palvelunestohyökkäyksillä. Myös viruksia ujutettiin verkkoon. Georgian ulkoministeriön sivustoille syötettiin väärennettyä aineistoa, jossa muun muassa presidentti Mihail Saakašhviliä verrattiin Hitleriin. Elokuun hyökkäystä oli edeltänyt tunnusteleva toiminta jo kesäkuussa. Vastatoimenpiteenä georgialaisia verkkopalveluja siir-

3 Viestimies 2/ rettiin toimimaan ulkomaalaisilta, muun muassa amerikkalaisilta ja virolaisilta palvelimilta. Varsinaisessa hyökkäyksessä Georgiaa pommittivat sadattuhannet tietokoneet, jotka oli kaapattu bot-verkkoihin. Varmoja todisteita siitä, kuka oli hyökkäysten takana, ei ole. Voidaan kuitenkin arvioida, että Venäjän armeijalla olisi ollut tarvittavat välineet hyökkäyksen suorittamiseen. Hyökkäysten teho osoittaa, että operaatio oli ammattimaisesti ja keskitetysti johdettu. Ainakin eräillä keskustelupalstoilla oli yllytetty ja opastettu hyökkäysten tekemisessä. Tutkijat uskovat, että asialla oli huonomaineinen kybermafia Russian Business Network (RBN), jonka toiminta on pitkälti keskittynyt nettirikollisuuteen. On epäilty, että RBN-yhteisöllä on kytkentöjä Kremliin tai ainakin sitä siedetään. Tietoverkkosodankäyntikykyjen integrointi asearsenaaliin Tietoverkkosodankäynnin uhkat ja suorituskyvyn kehittäminen on otettu vakavasti eri maiden asevoimissa. Kansalliset tietoverkkosodankäynnin strategiat ja niiden toteuttaminen tosin vaihtelevat laajasti. Resursseista ja uhkakuvista riippuen suorituskykyyn panostetaan eri tavalla. Esimerkiksi Yhdysvallat käyttää runsaasti resursseja suorituskyvyn rakentamiseen perustamalla organisaatioita ja työkaluja, kun taas pienet ja vähemmän resursseja omaavat maat keskittyvät uhkan huomioimiseen integroidusti kaikessa tietoverkkoihin ja -järjestelmiin liittyvissä toiminnoissa. Yhdysvallat on kohdentanut runsaasti resursseja tietoverkkosodankäynnin hyökkäys- ja puolustuskykyjen kehittämiseen. Tietoverkkosodankäynnin kykyjä on integroitu aggressiivisesti asearsenaaliin, ja puolustusministeriön informaatio-operaatioiden kykyjä on parannettu. Keskeisenä tavoitteena on tuottaa robusti suorituskykyvalikoima, jolla kyetään täysimittaiseen elektroniseen ja tietoverkkohyökkäykseen. Vuonna 2006 Yhdysvallat päätti perustaa ilmavoimien alaisuuteen tietoverkkosodankäyntiin erikoistuneen johtoportaan (Air Force Cyber Command, AFCYBER:n (Air Force Cyber Command) tehtävät on suunniteltu siirrettäväksi ilmavoimien avaruuspuolustuskomentoportaan (Air Force Space Command) alaiselle 24. Ilmavoimille. Komentoportaan informaatiosodankäynnin upseereita seuraamassa tilannetta. ( AFCYBER). Yksikön piti olla toimintavalmis kesällä 2007, mutta vuoden 2008 aikana päätettiin, että se perustetaan vain tilapäisesti. Tavoitteena on siirtää AFCYBER:n tehtävät ilmavoimien avaruuspuolustuskomentoportaan (Air Force Space Command) alaiselle 24. Ilmavoimille. Eräänä mielenkiintoisena tapauksena tuli ilmi Yhdysvaltojen ilmavoimien suunnitelma rakentaa bot-verkkoja omia tietokoneitaan käyttäen. Suunnitelman tultua ilmi keskustelu aiheesta kävi kiivaana, kunnes se hylättiin vähin äänin. Suurin vaikutin lienee ollut se, että käyttäessään bot-verkkoaan Yhdysvallat olisi antanut kohteelleen selkeän osoitteen hyökkäyksen alkuperästä. Yhdysvaltain puolustusministeriön (DoD) tietoverkko-operaatiot ovat tulleet elintärkeiksi kyvyiksi Yhdysvaltain asevoimille. Haasteena on tietoverkkojen määrän nopea kasvu, jonka vuoksi puolustusministeriön kapasiteetti niiden suojaamiseksi ei aina riitä. Toisaalta haasteita aiheuttavat verkkohyökkäyksien monimutkaistuminen ja niiden määrän lisääntyminen. Hälyttävää on myös se, että DoD:lla ei ole doktriiniperustaa tietoverkkosodankäynnille. Olemassa olevat doktriinit ja säännöt kohdistuvat kansalliseen tietoturvaan ja verkkoturvallisuuteen, mutta eivät itse tietoverkkosodankäyntiin. Lisäksi vähäinen historia ja kokemus tietoverkkosodankäynnistä hankaloittavat tehokkaan doktriinin luomista. Osaamiskeskukset kansainvälisinä yhteistyökumppaneina Venäjällä informaatiosodankäynnillä on pitkät perinteet. Perinteisesti Venäjä on ollut vahva informaatiosodankäynnin hyödyntämisessä jo ennen tietotekniikan esiintuloa. Tietoverkot ovat tavallaan synnyttäneet uuden tavan jatkaa informaatio-operaatioita. Venäjä on määritellyt tietoverkkosodankäynnin yhdeksi suurimmista uhkista sen turvallisuudelle. Venäjän asevoimat ovat nostaneet tietoverkkosodankäynnin samalle tasolle kuin ydinsodan. Venäjä säilyttää oikeuden käyttää tavanomaisia aseita tietoverkkohyökkääjää vastaan. Asevoimat pitävät tietoverkkosodankäyntiä tehokkaana voiman kasvattajana ja elintärkeänä työkaluna. Tietoverkkopuolustus on merkittävässä roolissa myös sotilasliitto Naton suorituskykyjen kehittämisessä. Keskeisimpänä tietoverkkosodankäynnin ja

4 12 Viestimies 2/2009 erityisesti puolustuksen kehittämisen vauhdittajana on toiminut Viron patsaskiista. Kiistan jälkeen Naton piirissä ymmärrettiin, että puolustusliitolle tarvitaan tietoverkkopuolustuksen politiikka ja nopeasti. Selviä toimintamalleja tai ohjeita kiistan kaltaisten hyökkäyksien torjuntaan tai käsittelyyn ei aikaisemmin ollut. Naton tietoverkkopuolustuspolitiikka (cyber defence policy) hyväksyttiin syksyllä Patsaskiista vaikutti myös Naton tietoverkkosodankäynnin osaamiskeskuksen (Nato Cooperative Cyber Defence Centre of Excellence, CCDCOE) perustamiseen vuonna 2007 Viroon. Keskuksen tarkoituksena on edistää verkkopuolustusta ja parantaa yhteistoimintaa ja yhteensopivuutta jäsenvaltioiden välillä. Keskus tuottaa asiantuntijuutta erityisesti doktriinin ja konseptikehityksessä sekä arvioinnissa, koulutuksessa ja harjoittelussa. Keskus ei ole operatiivinen johtoporras tai toimija, eikä sillä ole valmiudellista roolia. Verkkotiedustelu syntyi kopiointikulttuurin seurauksena Kiinan sotilasdoktriinissa annetaan painoarvoa asymmetriselle sodankäynnille, jonka osana tietoverkkosodankäynti on halpa keino lisätä operaatioiden tehokkuutta. Verkkohyökkäyksillä voidaan iskeä ylivoimaisen vastustajan heikkoihin kohtiin, kuten tietoteknisiin asejärjestelmiin ja suojaamattomia verkkoja käyttävään väestöön. Tietoverkkotiedustelu juontaa juurensa Kiinan perinteiseen teknologian ja ulkomaisten tuotteiden kopiointikulttuurista. Verkkotiedustelun avulla kerättyä tietoa hyödynnetään korkean teknologian asejärjestelmien kehittelyssä. Viitteitä asevoimien osallisuudesta verkkohyökkäyksiin on saatu. Vuonna 2007 paljastettiin kiinalaisten sotilashakkereiden suunnitelmat iskeä amerikkalaisen lentotukialuksen tietojärjestelmiä vastaan. Taustalla oli Pekingin tukema kansan vapautusarmeijan kampanja saada elektroninen ylivoima globaalisti, erityisesti Yhdysvaltoihin, Iso-Britanniaan, Venäjään ja Etelä-Koreaan nähden. Sotilaallisten lähteiden mukaan Kiinan tavoitteena on tuhota vastustajan taloudellinen, sotilaallinen ja tietoverkkojen suorituskyky konfliktin alkuvaiheessa. Kiinan asevoimat määrittävät tietoverkkohyökkäysoperaatiot kriittisenä tekijänä aloitteen tempaamisessa sodan alkumetrillä. Asevoimilla tiedetään olevan jopa erityisiä hakkerikilpailuja, joiden avulla etsitään sopivimmat sotilaat tietoverkkosodankäynnin joukkoihin. Suomessa tietoverkkosodankäynnin uhkat on tiedostettu ja varautumista tehdään niin viranomaisten kuin yrityselämän puolella. Tietoverkkohyökkäykset mainitaan uhkana myös uusimmassa turvallisuus- ja puolustuspoliittisessa selonteossa, joka antaa perusteet puolustusvoimien toiminnan kehittämiselle. Toki maininnat ovat kohtuullisen vaatimattomia verrattuna tietoverkkosodankäynnin saamaan mediahuomioon maailmalla. Selonteossa viitataan vain muutamassa kohdassa tietoverkkojen turvallisuuteen. Tekstistä ei löydy lukua, jossa olisi määritelty Suomen tietoverkkopuolustuksen periaatteet, vaikka Viron ja Georgian tapahtumat ovat tuoreessa muistissa. Sotilaallista puolustusta kehittämisessä tietoverkkosodankäynti huomioidaan. Se näkyy muun muassa arvioitaessa kehitettävien tietojärjestelmien tietoturvallisuutta. Tietoverkkopuolustuksen konsepti tarvitaan Tietoverkkosodankäynnissä puolustajan taistelutapa ilmenee ennen kaikkea tietoverkko- ja tietoturvapolitiikan toteutuksesta eli tavasta toimia tietoverkkojen avulla. Verkostopuolustuksen hengessä suurin haaste ei välttämättä liity teknologiaan, välineisiin ja verkkoihin, vaan eri toimijoiden tapoihin ja johtamiskulttuureihin. Verkottuneella yhteiskunnalla on oltava yhteinen tietoverkkopuolustuksen konsepti, jolla kyetään vastaamaan taistelukentän valmisteluun, riittävän ennakkovaroituksen saamiseen sekä tietoverkkotaistelun Keskeinen osa puolustussodankäyntiä on teknisen tietoturvan taso ja toimivuus. Vaikka tietoturvaa parannetaan jatkuvasti, järjestelmiä tuskin saadaan koskaan täysin aukottomiksi. Kuvassa AES-salaus kaaviokuvana. (Google kuvahaku) haasteisiin. Normaalioloissa toimivia malleja on kyettävä hyödyntämään kriisin aikana. Hyvänä esimerkkinä on CERT (Computer Emergency Response Team) -toiminta viranomaisten kesken. Toiminnan tarkoituksena on jakaa informaatiota tietoturvahaavoittuvuuksista ja -loukkauksista, ja siten tehostaa ennakoivien toimenpiteiden tekemistä eri toimijoiden järjestelmissä. Tietoverkkopuolustuksen konseptiksi on tarjottu syvän puolustuksen konseptia, jonka ajatuksena on järjestelmän (verkot, tietojärjestelmät, ihmiset) kerroksellisuus. Keskeinen osa puolustussodankäyntiä on teknisen tietoturvan taso ja toimivuus. Pelkästään politiikan avulla ei verkkohyökkäyksiltä suojauduta. Uusia tietoturvamekanismeja kehitetään jatkuvasti lisää, mutta samalla myös hyökkääjä kehittää omia kykyjään. Yleisimpiä tietoturvallisuutta lisääviä keinoja ovat muun muassa käyttäjän tunnistaminen, pääsyoikeuksien hallinta, virustarkistus, palomuurit, tiedon salausmenetelmät, julkisen avaimen järjestelmät (kuten PKI), tunkeutumisen havaitsemisjärjestelmät sekä turvallisuusskannerit ja auditointimenetelmät. Edellä mainituilla menetelmillä parannetaan tietojärjestelmien tietoturvaa, mutta aukottomaksi järjestelmiä ei saada. Esimerkiksi virustorjunnan teho perustuu pääosin sormenjälkiin, jolloin vain tunnetut virukset kyetään löytämään. Puolustuksellisten toimenpiteiden suunnittelussa voidaan keskittyä turval-

5 Viestimies 2/ lisuuden perustarpeisiin: ennaltaehkäisyyn, havainnointiin ja hyökkäyksen torjuntaa sekä toipumiseen. Ennaltaehkäisevän toiminnan tarkoitus on estää mahdollisten uhkien toteutuminen. Esimerkkinä ovat edellä mainitut virustarkistus, PKI ja salausmenetelmät. Havaitsevat toimenpiteet on suunnattu havaitsemaan ja dokumentoimaan hyökkäykset, järjestelmien väärinkäytöt ja muu epätavanomainen toiminta. Tunkeutumisen havaitsemisjärjestelmällä saatu oikea-aikainen hyökkäyshavainto on kriittisen tärkeä vahinkojen minimoimiseksi. Dokumentoinnin avulla hyökkäys tai sen yritys voidaan analysoida. Toipumismenetelmien tarkoituksena on taata järjestelmän nopea palautuminen normaaliin toimintatilaan. Palauttamiseen voidaan käyttää manuaalisesti varmuuskopioita tai se voi olla järjestelmään rakennettu automaattinen ominaisuus. Järjestelmien kykyä selviytyä tietoverkkosodankäynnin uhkista voidaan ennakoida myös simuloinnin ja mallinnuksen avulla. Tietoverkkosodankäyntiä hengessä Tietoverkkohyökkäyksiin varautuminen ja niiden ennaltaehkäisy vaatii tietoa ja ymmärrystä tietojärjestelmiin ja - verkkoihin kohdistuvista uhkista. Tietoturvallisuus on ennen kaikkea asennekysymys, jonka vuoksi vakava suhtautuminen uhkiin on ensiarvoisen tärkeää. Toimenpiteiden hyökkääjää vastaan tulisi olla riittävän ennakoivia ja aktiivisia. Suomalainen informaatioyhteiskunta on varautunut kaikissa turvallisuustilanteissa turvaamaan verkottuneen yhteiskunnan informaatioympäristön. Informaatioyhteiskunnan sodankäyntitapaan puolustusvoimat vastaa kehittämällä mallia. Tulevaisuudessa tietoverkkosodankäynti tulee olemaan kiinteä osa suorituskykyä. Verkottunut yhteiskunta, viranomaiset ja asevoimat tarvitsevat kyvyn torjua vastustajan verkkohyökkäykset ja tarvittaessa vastustajaan on kyettävä vaikuttamaan verkko-operaatioiden avulla. Tekniset järjestelmät kehittyvät nopeasti, ja pelkkä panostaminen teknologiaan tuskin tuottaa riittävää valmiutta käydä tietoverkkosotaa. Keskeistä on kyetä luomaan ja jalkauttamaan selkeä ja sisäistettävä tietoverkkopuolustusdoktriini osana verkostopuolustusdoktriinia. Yksittäiset hyökkäykset ehkä kyetään torjumaan kunkin vi- Suomalainen informaatioyhteiskunta on varautunut turvaamaan verkottuneen yhteiskunnan informaatioympäristön. Osana puolustuksellisten suorituskykyjä sillä tulee olla kyky vaikuttaa vastustajaan myös aktiivisten verkkooperaatioiden avulla. (Google kuvahaku) ranomaisen omin toimenpitein, mutta laajan hyökkäyksen torjunnassa vaaditaan todellista verkostopuolustusta, kykyä torjua tietoverkkohyökkäykset kaikkien toimijoiden yhteistyöllä. Akkuvoima Oy Helsinki