Puhuja 1 [00:00:00]: Yleisesti kyberoperaatiolla tarkoitetaan suunnitelmallista toimintojen kokonaisuutta kybertoimintaympäristössä, millä pyritään vaikuttamaan kohteen toimintaan. Suomessa lainsäädäntö määrittelee minkä tyyppisiä toimintoja voidaan tehdä.

Puhuja 2 [00:00:27]: Jyväskylän yliopiston informaatioteknologian tiedekunta ja maanpuolustuskoulutus MPK toteuttavat yhteistyössä kansalaisen kyberturvallisuus -verkkokurssin. Tavoitteena on tutustuttaa kaikki kiinnostuneet suomalaiset kyberturvallisuuteen niin yksilön, yhteisöjen kuin yhteiskunnankin tasolla. Tämä haastattelu on tehty osana tätä kurssia. Haastateltavana tänään on Maanpuolustuskorkeakoulun kyberopettaja, everstiluutnantti Tom Malmström. Puheenaiheina ovat muun muassa puolustusvoimien rooli kyberpuolustuksessa sekä mitä sotilaallisia keinoja on käytössä kybertilan puolustamiseen. Haastattelijana toimii Jemina Lakka-Kolari.

Haastattelija 1 [00:01:15]: Miten kriisit ja sodankäynti ovat viime vuosikymmeninä muuttuneet, ja miten kyberympäristö on vaikuttanut niihin? 

Puhuja 1 [00:01:23]: Kriisit ja sodankäynti ovat muuttuneet sillä tavalla, että toimintaympäristö yleisesti on muuttunut, ja sodankäyntihän seuraa toimintaympäristöä. Globalisaatio isona kokonaisuutena on muuttanut sitä, että valtioiden merkitys on vähentynyt, ja yksittäisten toimijoiden merkitys taas sitten kasvanut. Kaikki on nopeutunut ja monimutkaistunut, ja keskinäisvaikutusten määrä on kasvanut merkittävästi. Tämä on myös johtanut siihen, että erilaisten toimijoiden tunnistaminen on vaikeutunut, ja esimerkiksi jonkun syyllisyyden osoittaminen on merkittävästi vaikeutunut. Ja kun uhkat ovat muuttuneet monella tapaa sellaisiksi, että niitä ei tunneta, niin miten voidaan varautua siihen, mitä ei tunne? Jos ajatellaan, että 1800-luvulla sotilaallisia toimintaympäristöjä oli kaksi. Oli maa ja meri. Tänä päivänä me ajattelemme, että meillä on maan ja meren lisäksi ilma, avaruus, kyber- ja informaatioympäristö. Se monimutkaisuus, mikä on tullut kaikessa muussa, niin on seurannut myös sodankäyntiin.

Puhuja 1 [00:02:40]: Sodalle on luonteenomaista, että se voi eskaloitua hallitsemattomaksi. Kyber toimii siellä kaikissa muissa toimintaympäristöissä, ja se voi myös toimia kipinänä muissa toimintaympäristöissä tapahtuvalle sodankäynnille. Kyberillä on helppo toimia sodankäynnin pinnan alapuolella, mutta raja on erittäin häilyvä. Meidän elinympäristö muuttuu koko ajan enemmän digitaalisemmaksi ja monimutkaisemmaksi, ja jos ajatellaan viime vuosikymmeniä, niin se digitaalisuus on kasvanut räjähdyksenomaisesti. Digitaalisuuden merkitys on kasvanut yksilöiden, yhteisöjen, valtioiden ja yritysten toiminnassa aivan merkittävästi, ja palvelut ovat siirtyneet digitaalisiksi. Samaan aikaan turvallisuus on noussut merkittäväksi tekijäksi, koska kaikkien palveluiden ja tietovarantojen pitää olla kuitenkin käytettävissä koko ajan. Siihen haasteeseen vastataan kyberturvallisuudella, ja se koskettaa ihan kriittistä infrastruktuuria, aina sieltä asti, yksittäiseen kuluttajaan saakka. Jos kyberturvallisuus ei ole kunnossa, niin silloin se vaikuttaa kaikkeen tähän kirjoon, mitä siinä välissä on. 

Puhuja 1 [00:04:00]: Kyberturvallisuuden laajuus ja levinneisyys tarkoittaa sitä, että sitä ei voida hoitaa minkään yksittäisen tahon toimin, vaan se vaatii merkittävää yhteistyötä niin valtiolta kuin yrityksiltä kuin yksilöiltä. Kybertoimintaympäristö on tärkeä osa myös maanpuolustusta, koska puolustusvoimat on riippuvainen viestintäjärjestelmistä ja -palveluista. Samaan aikaan kybertoimintaympäristössä toimivat vastustajat aiheuttavat merkittävän uhkan kybertoimintaympäristölle. Siitä huolimatta kybertoimintaympäristö tulee nähdä sotilaallisessa toiminnassa voimavarana ja mahdollisuutena. 

Haastattelija 1 [00:04:33]: Millaisia kyberuhkia Suomeen ja suomalaiseen yhteiskuntaan kohdistuu? 

Puhuja 1 [00:04:40]: Suomalaiseen yhteiskuntaan kohdistuu erilaisia kyberuhkia. Tietoverkkotiedustelua ja -vaikuttamista kohdistuu valtioon, valtion johtamiseen, kriittiseen infrastruktuuriin, yrityksiin ja myöskin yksilöihin. Ehkä yleisimpiä ovat palvelunestohyökkäykset ja kiristyshaittaohjelmat, tai ainakin ne näkyvät kaikkein eniten. Samaan aikaan näkymättömämmät toimijat voivat olla vaarallisempia, koska niitä ei havaita, ja ne saattavat toimia pitkäänkin huomaamattomina. Kun niitä ei havaita, niille ei pystytä tekemään mitään. Niiden vaarallisuus johtuu siitä, että niillä on täysi toiminnanvapaus ja aikaa toimia. Älylaitteiden yleistymisen myötä vakoilu on siirtynyt hyvin pitkälle tonne, tai lisääntynyt tuolla älylaitteissa, koska ne ovat kaikilla aina mukana. Ne on yritysjohtajilla, ihan tavallisilla kansalaisilla, valtionjohtajilla aina mukana. Lisäksi yritysten tuote- ja liikesalaisuudet ovat erittäin haluttua tavaraa. Niissä on mahdollisuus saada taloudellisia voittoja, tai sitten varastaa tietoja omien valtioiden kehitykseen. Tuotekehitykseen. Kybervakoilua tuetaan muilla tiedustelumenetelmillä, esimerkiksi avoimilla lähteillä tai henkilötiedustelulla. 

Haastattelija 1 [00:06:04]: Miksi Suomeen kohdistuu kyberuhkia?

Puhuja 1 [00:06:09]: Suomeen kohdistuu kyberuhkia siksi, että lähes kaikki informaatio on tänä päivänä digitaalisessa muodossa. Tämä koskee niin valtiota kuin yksittäisiä toimijoita. Digitaaliseen informaatioon pääsee tietoverkkojen kautta käsin pitkänkin etäisyyden päästä. Samaan aikaan kun digitaalista informaatiota on paljon tarjolla, niin tarjonta luo kysyntää. Saattaa olla tilanteita, että tilaisuus tekee varkaan tällaisessa tilanteessa. Tietoverkkoja pitkin pystyy helposti tiedustelemaan ja vaikuttamaan. Kiinnijäämisen riski on todella pieni, ja vastuuseen joutumisen riski on aivan olematon.

Haastattelija 1 [00:06:48]: Ketkä ovat Suomeen kohdistuvien kyberuhkien takana?

Puhuja 1 [00:06:53]: Suomeen kohdistuvien kyberuhkien takana pääsääntöisesti on valtiot ja kyberrikolliset. Valtiollisiksi toimijoiksi voidaan luokitella virallisten toimijoiden lisäksi tällaiset ryhmät, jotka toimivat valtion lukuun. Ne eivät välttämättä ole valtion palkoilla, mutta ne toimivat valtion resursseilla ja luvalla, ja niillä on jonkinlainen yhteys valtiollisiin toimijoihin. Menetelmät verkkorikollisilla tai valtiollisilla toimijoilla käytännössä ovat samoja, mutta motiivit ja resurssit vaihtelevat. Valtiollisilla toimijoilla on paljon resursseja ja paljon aikaa, kun taas verkkorikolliset yleensä etsivät helppoja kohteita ja nopeita taloudellisia voittoja. Yleisimmin uhriksi kybertoimintaympäristössä joutuu se, jolla ei ole kyberturvallisuusasiat ja -suojaukset kunnossa. Sen takia kaikkien, niin valtion, kuntien, yritysten yksilöiden, omalta osaltaan täytyy huolehtia omasta kyberturvallisuudestaan. 

Haastattelija 1 [00:08:04]: Käydäänkö verkoissa ja tietojärjestelmissä sotaa, eli voidaanko sinun mielestäsi perustellusti puhua kybersodasta ja kybersodankäynnistä?

Puhuja 1 [00:08:14]: Se voidaanko puhua kybersodasta tai kybersodankäynnistä, niin on vähän tulkinnallista. On vähän vaikeaa kuvitella sellaista tilannetta, että kaksi valtiota kävisivät esimerkiksi hallitsematonta sotaa toisiaan vastaan pelkästään kybertoimintaympäristössä. Parempi olisi puhua operaatioista kybertoimintaympäristössä osana muuta sodankäyntiä. Kun puhutaan sodankäynnistä yleisesti, niin keskeinen kysymys on, että milloin valtio katsoo olevansa sodankäynnin kohteena. Kybertoimintaympäristössä kun on helppo toimia siellä sodankäynnin kynnyksen alapuolella hyvinkin pitkään, niin tämä tulkinta jää käytännössä jokaisella valtiolle itselleen. 

Haastattelija 1 [00:09:03]: Voitko kertoa parista tapauksesta, jotka voisivat olla esimerkkejä kybersodankäynnistä?

Puhuja 1 [00:09:10]: Esimerkkejä kybersodankäynnistä löytyy. Jälleen kerran se, että mikä lasketaan kybersodankäynniksi on tulkinnallista, mutta jos otetaan muutama esimerkki, niin vuonna 2007 Israelin ilmavoimat tuhosi ydintutkimuslaitoksen Syyriassa osana yhteisoperaatiota. Käytännössä Syyrian ilmapuolustusjärjestelmään syötettiin haittaohjelma, joka antoi väärää ilmatilannekuvaa, ja kun ilmapuolustus ei toiminut, niin Israelin ilmavoimat iskivät tähän kyseiseen laitokseen, ja laitos tuhoutui. Sitten tietenkin ajassa kun mennään eteenpäin, niin varmaan se kuuluisin ja tunnetuin esimerkki vuodelta 2010, Stuxnet, jossa valtioiden välillä ei ollut fyysisen maailman aseellista konfliktia, vaan joku taho onnistui syöttämään suljettuun verkkoon Iranissa, uraanirikastamoon tai laitokseen, jossa rikastettiin uraania, haittaohjelman, mikä vahingoitti näitä uraanin rikastamiseen tarkoitettuja sentrifugeja. Tämä ohjelma, Stuxnet, levisi kuitenkin ympäri maailman, mutta vaikutti ainoastaan tässä kyseisessä laitoksessa. Mikään valtio ei ole tunnustanut tätä tapausta, mutta on esitetty, että tämä oli Israelin ja Yhdysvaltojen yhteinen operaatio. 

Puhuja 1 [00:10:57]: Vuonna 2019 Israelin asevoimat tuhosi Hamasin hakkeriryhmän ja rakennuksen, missä tämä ryhmä sijaitsi, sen jälkeen kun tämä hakkeriryhmä oli tehnyt kyberhyökkäyksen Israeliin. Osana puolustuksellista kyberoperaatiota tämä hakkeriryhmä onnistuttiin paikantamaan, ja rakennus tuhottiin. Oletettavaa on, että tämä ryhmä saatiin tuhottua, koska se hyökkäyksestä kulunut aika siihen itse ilmaiskuun oli kohtuullisen lyhyt. Tietenkin ennen tätä Yhdysvallat oli jo käyttänyt lennokki-iskuja Isisin hakkeriryhmiin, mutta tämä oli ensimmäinen kerta, kun kybertoimintaympäristössä havaittuun sotatoimeen vastattiin kineettisellä voimalla. 

Haastattelija 1 [00:11:51]: Miten suomalaisen yhteiskunnan kyberturvallisuuden varmistaminen on toteutettu?

Puhuja 1 [00:12:00]: Suomalaisen yhteiskunnan kyberturvallisuuden varmistaminen on toteutettu lainsäädännöllä ja vastuunjaolla viranomaisten kesken eri hallinnon aloille. Käytännössä toimenpiteet, mitä siellä tehdään, on varautumista ja sitten yhteistyötä eri viranomaisten kesken niin hallinnollisesti kuin ihan kenttätasolla. Tällaisessa tilanteessa se herkkyys pitää olla erittäin korkealla, havaita poikkeamia. Jos verrataan yleisesti maailmalle, niin Suomessa viranomaiset tekevät poikkeuksellisen hyvin yhteistyötä keskenään kyberturvallisuuden osalta. Kuitenkin tässä vastuun jakamisessa, yhteisessä koordinoinnissa ja yhteistoiminnassa on vielä paljon kehitettävää. Sitä kehittämistä ja vastuunjaon parantamista tehdään ihan joka päivä.

Haastattelija 1 [00:13:00]: Mikä on puolustusvoimien rooli Suomen kyberturvallisuuden varmistamisessa?

Puhuja 1 [00:13:06]: Suomen kyberturvallisuusstrategia edellyttää puolustusvoimilta sitä, että puolustusvoimat luo kokonaisvaltaisen suorituskyvyn kybertoimintaympäristössä omiin lakisääteisiin tehtäviinsä liittyen. Kyberpuolustus tarkoittaa kansallisen kyberturvallisuuden maanpuolustuksellista osa-aluetta. Se muodostuu tiedustelun, suojaamisen ja vaikuttamisen suorituskyvyistä. Kyberpuolustuksella suojataan maanpuolustuksen kannalta kriittinen tieto, tietojärjestelmät ja tietoliikennejärjestelyt, osaltaan mahdollistetaan puolustusvoimien operaatiot ja tuetaan päätöksenteon pohjaksi tarvittavan tilannekuvan muodostamista. 

Haastattelija 1 [00:13:58]: Mitä ovat sotilaalliset kyberoperaatiot?

Puhuja 1 [00:14:03]: Yleisesti kyberoperaatiolla tarkoitetaan suunnitelmallista toimintojen kokonaisuutta kybertoimintaympäristössä, millä pyritään vaikuttamaan kohteen toimintaan. Suomessa lainsäädäntö määrittelee minkä tyyppisiä toimintoja voidaan tehdä. Kyberoperaatioita voidaan toteuttaa itsenäisinä, mutta yleensä ne toteutetaan yhteistoiminnassa puolustushaarojen tai toimialojen kanssa. Sotilaallisia operaatioita kybertoimintaympäristössä ovat johtamisjärjestelmäoperaatiot, puolustukselliset kyberoperaatiot, hyökkäykselliset kyberoperaatiot ja tukioperaatiot. Johtamisjärjestelmäoperaatiot ovat jatkuvia prosesseja. Ne siis ovat koko ajan käynnissä. Niillä ylläpidetään, rakennetaan, arvioidaan ja kehitetään tietojärjestelmiä ja palveluita. Tietenkin myös testataan tietoturvaa, ja tehdään kaikkia muita, mitkä sinänsä eivät näy välttämättä jokapäiväiselle käyttäjälle ollenkaan. Johtamisjärjestelmäoperaatioiden päätavoite on tuottaa kyberturvallinen toimintaympäristö.

Puhuja 1 [00:15:11]: Puolustuksellisten kyberoperaatioiden toimeenpano käynnistyy siinä vaiheessa, kun havaitaan jokin poikkeama, johon johtamisjärjestelmäoperaatiolla ei enää kyetä vastaamaan. Se voi myös perustua uhkatiedustelun arvioon siitä, että jotain on tapahtumassa. Tyypillisesti puolustuksellisen kyberoperaation tehtävänä on etsiä vastustaja, rajoittaa sen toimintaa ja poistaa se vastustaja sieltä omista verkoista. Yleensä nämä toteutetaan omissa verkoissa, mutta ne voivat ulottua myös omien verkkojen ulkopuolelle. Hyökkäyksellisellä kyberoperaatiolla voidaan tarkoittaa mitä tahansa toimia, joilla vaikutetaan kybertoimintaympäristössä tai sen kautta fyysiseen maailmaan. Hyökkäyksellisellä kyberoperaatiolla voi olla monenlaisia haluttuja vaikutuksia. Esimerkiksi voidaan haluta kiistää jonkin palvelun tai laitteen toiminta vastustajan verkossa esimerkiksi määrätyksi ajaksi. Kiistäminen voidaan tehdä monella tavalla, esimerkiksi häiritsemällä, lamauttamalla tai jopa tuhoamalla joku tieto tai laite vastustajan järjestelmässä. Häirintä voi olla esimerkiksi haittaohjelman käyttö, mikä heikentää jonkin laitteen tai palvelun toimintaa. Lamauttaminen voi olla esimerkiksi palvelunestohyökkäys johonkin tiettyyn palveluun tai järjestelmän osaan. Voimakkain muoto tietenkin on tuhoaminen, jossa tuhotaan informaatiota tai jopa fyysisiä laitteita pysyvästi. Tukioperaatioissa kyberoperaatioilla tuetaan joitain muita operaatioita esimerkiksi jossain toisessa toimintaympäristössä.

Haastattelija 1 [00:17:08]: Miten näet kybertoimintaympäristön merkityksen kehittyvän tulevaisuudessa?

Puhuja 1 [00:17:15]: Kybertoimintaympäristön merkitys kehittyy tulevaisuudessa varmasti digitaalisen tiedon määrän ja tiedonsiirtonopeuden kasvamisen myötä siten, että kybertoimintaympäristön merkitys kasvaa niin yhteiskunnallisena kuin sotilaallisena toimintaympäristönä. Automatisaatio on merkittävä suunta tulevaisuuden kehityksessä, ja esimerkiksi tekoälyn käyttö kyberhyökkäyksessä ja -puolustuksessa on varmasti se suunta, minkä me tulemme näkemään. Tämä tarkoittaa siis itsestään oppivaa kyberpuolustusta ja kyberhyökkäystä. Toistaiseksi kuitenkin voidaan pitää, että ihminen on se ratkaiseva tekijä kyberturvallisuudessa. 

Haastattelija 1 [00:18:01]: Miten sinun mielestäsi tähän kehitykseen tulisi Suomessa reagoida?

Puhuja 1 [00:18:06]: Suomen pitää pitää oma kyberturvallisuuteen liittyvä lainsäädäntönsä ajantasaisena ja parantaa viranomaisten toimintamahdollisuuksia kybertoimintaympäristössä. Tarvitaan uskallusta luopua toimimattomista ja jopa vaarallisiksi muuttuneista toimintatavoista. Tämän lisäksi meidän tulee olla eturintamassa määrittelemässä toimintatapoja ja sääntöjä kybertoimintaympäristöön kansainvälisessä kentässä.

Haastattelija 1 [00:18:37]: Miten näet kyberpuolustuksen merkityksen kehittyvän osana maanpuolustusta Suomessa?

Puhuja 1 [00:18:46]: Kyberpuolustuksen merkitys osana maanpuolustusta kasvaa koko ajan. Verkottuneisuus ja tietojärjestelmät ovat koko ajan enemmän osana meidän Suomen puolustuksen suorituskykyjä. Kybertoimintaympäristö ei ole ainoastaan kybersotilaille, vaan se koskee ihan kaikkia. 

Haastattelija 1 [00:19:06]: Onko olemassa erityinen kybertaistelija tai -sotilas? Onko tällainen kybersotilas jotenkin ratkaisevasti erilainen kuin perinteinen sotilas?

Puhuja 1 [00:19:19]: Jokainen on kybertaistelija ja pystyy vaikuttamaan siihen, että miten kyberpuolustus toimii. Osaamista on erilaista, mutta ratkaisevaa on yhteiset arvot ja asenteet. Yksittäiset tietoverkko-osaajat eivät ratkaise, vaan jokaisella, joka kehittää, ylläpitää tai käyttää järjestelmiä ja palveluita, on tärkeä osa kokonaisuudessa. Se, että kyberpuolustus toimii, vaatii jokaisen panoksen.

Haastattelija 1 [00:19:47]: Voivatko varusmiehet ja reserviläiset osallistua kyberpuolustukseen?

Puhuja 1 [00:19:53]: Puolustusvoimat kouluttaa joka vuosi kybervarusmiehiä, ja vapaaehtoisen maanpuolustuksen kautta on mahdollisuus kouluttautua ihan kenen tahansa reserviläisen kybertoimintaympäristössä osaajaksi. Ja tietenkin siviiliopinnot. Niistä on hyötyä, ja sitä kautta pystyy myös osoittamaan osaamistaan ja on mahdollisuus hakeutua myös kyberpuolustuksen puolelle reservissä. Kuitenkin joka tapauksessa kaikki ovat osa kyberpuolustusta. Kaikki Suomen kansalaiset, olivat sitten reserviläisiä tai eivät, ovat osa Suomen kyberpuolustusta. Hyviä nyrkkisääntöjä, joilla jokainen pystyy osallistumaan kyberpuolustukseen: jokainen voi käyttää harkintaa siinä, että mitä tietoja jakaa itsestään esimerkiksi sosiaalisessa mediassa. Jokainen voi käyttää riittävän pitkiä ja monimutkaisia salasanoja, eikä käytä samoja salasanoja eri palveluissa. Myös salasanan hallintasovellukset on erittäin hyvä keino suojata salasanat. Sähköpostien kanssa kannattaa käyttää maalaisjärkeä ja varovaisuutta, mitä linkkejä sieltä klikkailee. Kaikki laitteet kannattaa pitää suojattuna ja päivitykset kunnossa. Jos käyttää työpaikan tai esimerkiksi puolustusvoimien laitteita, omat laitteet tietenkin tulee pitää niistä erillään. Niitä ei voi valitettavasti ristiin käyttää ja kytkeä. USB-tikkua kannattaa käyttää harkitusti. Kannattaa käyttää virustarkistusta ennen kuin laittaa vierasta tikkua omaan koneeseen tai omaa tikkua työpaikan koneeseen. Internetissä on paljon linkkejä, paljon klikattavia kohtia. Kannattaa käyttää harkintaa, että mitä klikkaa. Tietenkin aivan sama käyttääkö tietokonetta vai jotakin muuta älylaitetta: tablettia, puhelinta, niin samat säännöt pätevät.