Tekstivastine - Jyrki Isokangas
Suorituksen vaatimukset
[00:00] Intro
[01:14] Haastattelija: Elikkä tänään meillä on podcastissa aiheena kyberesodankäynti osana Ukrainan-sotaa. Aloitetaan sillä, että aluksi esittele lyhyesti itsesi, että kuka olet ja mitä teet.
[01:26] Jyrki Isokangas: Joo. Olen Jyrki Isokangas, yliopiston opettaja Jyväskylän yliopiston informaatioteknologian tiedekunnassa, ja opetan tiedustelua ja tiedusteluanalyysiä meidän turvallisuus- ja strateginen-analyysi maisteriohjelmassa. Ennen tätä nykyistä tehtävää mä palvelin puolustusvoimissa noin 30 vuotta, ja reserviin jäämisen jälkeen valmistuin meiltä kyberturvallisuuden maisteriksi.
[01:52] Haastattelija: Okei, eli siinä on aluksi ollut sitten puolustustaustaa ollut pitkä ura sitten ja sitten päätynyt tänne sitten opettamaan.
[01:57] Jyrki Isokangas: Kyllä, juuri näin.
[01:58] Haastattelija: Ja oliko aikaisempaa opetustaustaa vai alkoiko se ihan tästä?
[02:02] Jyrki Isokangas: Ei, siis opetustaustaa on tietysti aikaisemmalta, että kyllä puolustusvoimissa uraan kuuluu aina jollakin tavalla varusmiesten tai reserviläisten opetus, eli sinänsä opetustaustaa on…. on entuudestaan ja myöskin varsinkin tiedustelu on tietysti tuttua edelliseltä uralta… et kyberiin ehkä olen enemmän panostanut sitten tai painottanut tässä opintojen aikana sitten tuon sotilas uran jälkeen.
[02:24] Haastattelija: Okei ja siinä laajentanut sitten tietämystäsi…tähänkin puoleen
[02:26] Jyrki Isokangas: Kyllä, kyllä juuri näin.
[02:29] Haastattelija: Siitä kyberistä puheen ollen, mehän puhutaan tänään sitten tietenkin tosta Ukrainan sodan tilanteesta ja… aloitetaan sillä sitten kun kysymällä, että… kun Venäjästä aina puhutaan meillä mediassa paljon, niin… minkälaisesta näkökulmasta Venäjä katsoo valtioiden toimintaa yleisesti verkossa?
[02:47] Jyrki Isokangas: Joo. Venäjä oikeastaan vois tarkastella vähän… tai lähteä vähän kauempaa tarkastelemaan asiaa. Eli tää voidaan aloittaa tämmöisestä Venäläisestä näkökulmasta ylipäätään sotaan ja rauhaan, ja tämähän on hyvin erilainen kuin mitä meillä lännessä. Meillähän ajatellaan aika usein, että maa on joko sodassa tai rauhassa ja mitään ei ole tässä välillä, mutta ehkä tämä hybridin vaikuttamisen käsite on tietysti muokannut meilläkin tätä ajatusmallia jonkin verran.
[03:18] Mut Venäjällä tämän sodan ja rauhan välissä on useita eri asteita, ja tää asetelma ei ole myöskään täysin pysyvä. Eli Venäjä voi aktiivisesti joko kiristää tai liennyttää tilannetta omien tavoitteidensa mukaisesti. Ja lähtökohtaisesti se pyrkii saavuttamaan nämä tavoitteensa ilman asevoimankäyttöä, esimerkiksi heikentämällä erilaisilla keinoilla kohteena olevaa yhteiskuntaa. Tästä keinovalikoimasta meillä käytetään yleensä termiä hybridivaikuttaminen, ja kyber on usein yksi näistä keinoista.
[03:52] Myös tässä kyberin käsitteessä on eroja. Kun me lännessä puhutaan kybervaikuttamisesta, me ajattelemme ensisijaisesti teknologiaa, tietojärjestelmiä ja tietoverkkoja. Venäjällä kyber- ja informaatiovaikuttaminen ymmärretään enemmänkin yhtenä kokonaisuutena, jolloin terminologisesti puhutaan informaatioteknisestä ja informaatiopsykologisesta vaikuttamisesta. Ja tää informaatiotekninen vaikuttaminen vastaa lähinnä meidän käsitystämme kyberistä, ja informaatiopsykologinen vaikuttaminen enemmänkin meidän käsitystämme sitten informaatiovaikuttamisesta. Eli Venäjälle nämä kyberoperaatiot ovat informaatioympäristössä toteutettavia operaatioita, joiden tavoite voi olla yhtä hyvin tekninen kuin psykologinen. Ja teknologia voi joissain tapauksissa olla vain työväline, jolla saadaan aikaan psykologinen vaikutus. Lännessä kyber- ja informaatiovaikuttaminen nähdään pitkälti erillisenä ilmiöllä.
[04:52] Haastattelija: Eli he kattoo enemmän, että he… vähän niin kuin yksi yhteen sitä teknistä ja sitä psykologista puolta, ja sitten meillä se kannetaan ihan itsenäisinä kokonaisuuksina.
[05:00] Jyrki Isokangas: Kyllä juuri näin, että se on niin kuin… Teknologia ja se psykologinen vaikuttaminen liittyvät hyvin läheisesti toisiinsa. Ja tosiaankin tavoite voi venäläisessä kybervaikuttamisessa olla ihan yhtä hyvin tekninen, kuin se psykologinen. Juuri näin.
[05:14] Haastattelija: Eli siinä voida käyttää myös sitten sekaisin...
[05:16] Jyrki Isokangas: Kyllä, kyllä. Tämä on ihan merkittävä ero. Ja tietyllä tavalla tää saattaa meillä ehkä välillä vaikeuttaa niin kuin sen Venäläisen toimintatavan ymmärrystä, koska se kuitenkin näkökulma näihin kahteen ilmiöön on erilainen meillä kuin Venäjällä.
[05:31] Haastattelija: Toki. Ja… Ketkä tällaista toimintaa mahdollisesti tekevät sitten venäjälaisesta näkökulmasta?
[05:39] Jyrki Isokangas: Joo, keskeisiä kybervaikuttamisen toimijoita Venäjällä ovat tiedustelupalvelut, eli turvallisuuspalvelu FSB, sotilastiedustelu GRU ja ulkomaantiedustelu SVR. Ja merkittävä osa näistä julkisuudessakin esiintyvistä nimenomaan suorituskykyisimmistä hakkeriryhmistä ovat joko osa näitä tiedustelupalveluita, tai ainakin ne toimivat erittäin lähellä näitä tiedustelupalveluita. Ja… näiden tiedustelupalveluiden kanssa hyvin läheisessä yhteistyössä toimii myös erilaisia peiteyrityksiä, jotka toisaalta tukevat, mutta myöskin osallistuvat sitten näihin tiedustelupalveluiden informaatiotekniseen ja myös informaatiopsykologiseen vaikuttamiseen… Ja ennen Venäjän laajamittaista hyökkäystä Ukrainaan näitä yrityksiä oli myös lännessä tukemassa Venäjän operaatioita kohdevaltioissa, ja ehkä tunnetuin näistä yrityksistä on Pietarissa sijaitsevat trollitehtaaksikin kutsuttu Internet Research Agency.
[06:44] Ja poikkeuksena läntisiin demokratioihin verrattuna on se, että Venäjä antaa varsin vapaasti erilaisten hakkeriryhmien ja hakkerikollektiivien toimia, kunhan niiden kohteet ovat Venäjän ulkopuolella ja se kybervaikuttaminen ei ole Venäjän politiikan vastaista. Ja tämän toiminnanvapauden lisäksi tiedustelupalvelut myös mahdollisesti antavat toimeksiantoja sitten näille hakkeriryhmille.
[07:11] Haastattelija: Okei, eli vaikka täällä länsimaissa sitä hakkeriryhmien toimintaa voitaisiin luokita rikolliseksi, niin sitten Venäjällä se sallitaan sitten mikäli se on Venäjän valtion tahdon mukaista toimintaa.
[07:23] Jyrki Isokangas: Kyllä, juuri näin. Eikä sen hakkeriryhmien toiminnan tarvii välttämättä olla suoranaisesti Venäjän valtion tavoitteiden mukaista, kunhan se ei ole Venäjän valtion tavoitteiden vastaista.
[07:34] Haastattelija: Okei, eli niin kauan kun ei ruveta itse sorkkimaan heidän sitten varpaille niin kaikkia on kunnossa…
[07:39] Jyrki Isokangas: Kyllä, juuri näin.
[07:40] Haastattelija: Okei… ja sitten vasta, jos se lähtee siihen, niin sitten ruvetaan jotenkin toimimaan heitä vastaan sitten.
[07:46] Jyrki Isokangas: Kyllä varmasti näin, jos tämmöinen tilanne tulisi, mutta mä luulen, että kovin moni hakkeriryhmä, varsinkaan Venäjällä, ei ei ehkä halua lähteä toimimaan kuitenkaan valtiota vastaan koska tää niinkuin pelisääntö on selvä molemmille puolille.
[08:00] Haastattelija: Selväpyy… Ja sitten… siirrytään Venäjästä keskittymään enemmän tuohon Ukrainaan sitten tietenkin, koska Venäjähän on osallinen siellä tänhetkisessä sodan käynnissä ja touhuissa sitten, eli… Puhutaan siitä, että miten tämä Venäjän kybervaikuttaminen on näkynyt Ukraina-sodan aikana, esimerkiksi sen alussa ja… sen jälkeen ja myöskin varsinaisten sotatoimien aloitettua.
[08:25] Jyrki Isokangas: Tämä Venäjän kybervaikuttaminen Ukrainaa kohtaahan itse asiassa alkoi jo ennen Krimin miehitystä 2014. Ja vuonna 2013 Venäjä toteutti tämmöisen kyberoperaation Ukrainaa kohtaan, ja tällöin kohteena oli Ukrainan valtionhallinto, asevoimat ja myöskin telekommunikaatioyrityksiä. Ja tällöin keinona olivat lähinnä tietojen kalastelu ja hajautetut palvelunestohyökkäykset. Ja joidenkin lähteiden mukaan tämä Venäjän kyberhyökkäys tai kyberisku vuonna 2013 oli ennen kaikkea niin kuin tarkoitettu testaamaan Ukrainan kyberpuolustuskykyä.
[09:07] Jyrki Isokangas: 2015 ja 2016 Venäjän kyberiskut kohdistuivat erityisesti Ukrainan sähkönjakeluverkkoon, ja näistä nimenomaan tämä ensimmäinen oli siinä suhteessa vakavampi, että se lamautti hetkellisesti alueellisia sähkösiirtojärjestelmiä. Ja nämä iskut olivat tietysti siinä suhteessa merkittäviä, että näissä iskuissa kyberympäristön kautta pystyttiin vaikuttamaan fyysiseen ympäristöön, eli keskeinen vaikutus oli sähkönjakelun katkaiseminen tietystä osasta Ukrainaan yhteiskuntaa.
[09:41] Jyrki Isokangas: Ja näillä iskuilla oli hyvin keskeinen vaikutus taas sitten Ukrainan kyberpuolustuskykyyn siinä suhteessa, että Iskujen seurauksena Ukraina aloitti vuonna 2015 tämmösen kyberturvallisuuteen liittyvän yhteistoiminnan Yhdysvaltojen kanssa. Ja vuonna 2016 Ukraina julkaisi uuden kyberstrategian, tai kyberturvallisuusstrategian, jossa keskeisinä asioina olivat verkkojen valvonta, kyberhyökkäysten tunnistaminen ja nopea reagointi, sekä maan sisäisen ja ulkomaisen yhteistyön lisääminen. ja näillä toimenpiteillä oli todennäköisesti hyvin keskeinen vaikutus siihen, kuinka hyvin Ukraina sitten lopulta on pystynyt suojautumaan Venäjän kybervaikuttumiselta sitten tämän laajamittaisen hyökkäyksen aikana.
[10:28] Jyrki Isokangas: Jos sitten jos tarkastellaan sitä itse hyökkäystä, niin ennen tätä laajamittaisesta hyökkäystä, joka siis alkoi helmikuussa 2022, niin Venäjä pyrkii tietysti hankkimaan ennen kaikkea tiedustelutietoa tietoverkoista. Ja tämä tiedustelutiedon hankinta on tietysti jatkunut koko tämän operaation ajan. ja tämän operaation aloittamiseen liittyen silloin helmikuussa 2022… tähän liittyy hyvin laaja tämmöinen kyberoperaatio tai kybervaikuttaminen. Ja tässä kohteena oli muun muassa Ukrainan-valtionhallinto, asevoimat ja myöskin pankkeja ja tähän operaatioon liittyi myöskin sitten tällainen kybervaikuttaminen tämmöiseen Viasat-co:n satelliittikommunikaatiojärjestelmään. Ja tän jälkimmäisen kyberiskun tarkoituksena oli ilmeisesti ennen kaikkea vaikeuttaa sitten Ukrainan tilannekuvan muodostamista ja johtamista, mutta vaikutukset jäi…jäi ilmeisen vähäiseksi.
[11:28] Jyrki Isokangas: No sit keväästä 2022 lähtien nämä kyberiskut ovat olleet osa Venäjän operaatiota, vaikkakin paljon pienemmässä mittakaavassa kuin siinä operaation alussa. Ja… tämän operaation aikana näitä kybervaikuttamisen keinoja ovat olleet hajautetut palveluestohyökkäykset, erilaiset haittaohjelmat, kuten Viperit, eli tämmöiset haittaohjelmat, jotka pyrkii pyyhkimään tai tuhoamaan tietojärjestelmien tietoja.
[11:58] Jyrki Isokangas: Lisäksi Venäjä on pyrkinyt edelleen tunkeutumaan Ukrainassa teollisuuden ja kriittisen infrastruktuurin valvonta- ja ohjausjärjestelmiin saadakseen aikaan vaikutuksia myös fyysisessä ympäristössä. Venäjä pyrkinyt jonkin verran yhdistämään näitä kybervaikuttamista asevoimienkin kineettisiin operaatioihin, ja sodan aikana on saatu havaintoja ajallisesti ja paikallisesti koordinoiduista ohjus- ja lennokki- ja kyberiskuista. Mutta se, että mikä vaikutus kyberiskulla tai kybervaikuttamisella tämän kineettisen vaikuttamisen ohessa on ollut, niin siitä nyt ei ole varmaa tietoa.
[12:35] Jyrki Isokangas: Mielenkiintoista on myös se, että tämän Venäjän laajamittaisen hyökkäyksen alussa tämä kybervaikuttaminen kohdistui ehkä korostetusti Ukrainaan. Mutta sitä mukaan, kun länsimaat aloittivat ja lisäsivät aseapua Ukrainalle, tämä venäjä kybervaikuttaminen on kohdistunut myös Ukrainan ulkopuolelle esimerkiksi Puolan rautatiekuljetuksiin, Baltian maihin, Saksaan ja myös Suomeen. Ja useimmin näissä hyökkäyksissä kyse on ollut erilaisten hakkeriryhmien toteuttamista palvelunestohyökkäyksistä, jotka ovat aika usein liittyneet johonkin sen kohdemaan tekemään päätökseen tai toimintaan, jonka sitten Venäjä on kokenut itselleen kielteiseksi.
[13:17] Haastattelija: Okei, liittyykö nämä jotenkin siihen Ukraina-sotaan suoraan nämä päätökset, et… tapahtumat mitä muut valtiot ovat tehnyt vai onko se enemmän jotain muuta sitten, jota koetaan Venäjän vastaiseksi toiminnaksi?
[13:29] Jyrki Isokangas: Näiden valtioiden päätökset, joidenka seurauksena sitten Venäjä on aloittanut tätä pääsääntöisesti hajautettuja palvelunestohyökkäyksiä, niin nämä valtioiden päätökset ovat nimenomaan liittyneet jollakin tavalla joko Ukrainan tukemiseen tai sitten maissa on tehty päätöksiä, jotka sitten Venäjä on kokenut heitä tai heidän kansalaisiaan kohtaan jollakin tavalla kielteisiksi.
[13:50] Jyrki Isokangas: Eli Suomessa esimerkiksi tämmöinen palvelunestohyökkäys todettiin siinä vaiheessa, kun todettiin, että Suomessa ei voi enää tietyn päivämäärän jälkeen esimerkiksi olla Venäjän rekisterissä olevia ajoneuvoja.
[14:02] Haastattelija: Siinä se näkyy selvä suhde sitten siihen...
[14:05] Jyrki Isokangas: Kyllä, et ikään kuin tällä palveluksenestohyökkäyksellä osoitetaan mieltä siitä, että joku valtio tekee Venäjän valtionvastaista tai heidän kielteiseksi kokemiaan päätöksiä.
[14:16] Haastattelija: Selvä. Kuinka mielestäsi Ukraina on onnistunut tässä yleisessä kyberpuolustuksessaan näitä iskuja kohtaan?
[14:23] Jyrki Isokangas: Joo, tämä on sillä tavalla tietysti mielenkiintoinen kysymys, että ihan varmaa tietoahan meillä ei ole. Eli aika paljon riippuu siitä, että paljonko julkisuuteen annetaan tietoa sitten näistä kyberiskujen vaikutuksista… Mutta tällä hetkellä kuitenkin käsitys on se, että nämä kyberiskut ovat vaikuttaneet jonkin verran Ukrainan hallinnon asevoimien ja ylipäätään yhteiskunnan toimintaan… Mutta toisaalta näiden iskujen vaikutus on ollut lopulta pienempi, kuin ehkä etukäteen on oletettu. Ja tästä tietysti osoituksena se, että Venäjä pyrkii edelleen iskemään Ukrainaan ohjuksilla ja lennokeilla ja nimenomaan Ukrainan yhteiskuntaa ja infrastruktuuria vastaan. Eli mikäli nämä iskut kyettäisiin tekemään tai vaikuttaminen kyettäisiin tekemään kyberillä, niin todennäköisesti näitä kineettisiä asejärjestelmiä ei käytettäisi tässä laajuudessa, kun niitä nyt on käytetty.
[15:20] Jyrki Isokangas: Ukraina on onnistunut tässä kyberpuolustuksessaan ilmeisen hyvin. Tosiaan merkittävin syy tässä on varmasti ollut vuonna 2016 laadittu kyberturvallisuusstrategia, jossa tosiaan korostettiin valvontaa, nopeaa reagointia ja yhteistyötä.
[15:37] Jyrki Isokangas: Ja toinen tällainen keskeinen tekijä on tietysti ollut Ukrainan saama tuki muilta valtioilta ja ennen kaikkea Yhdysvalloilta. Ja huomattavaa ehkä tässä yhteistyössä on se, että keskeisessä asemassa tässä yhteistyössä ovat olleet yhdysvaltalaiset informaatioteknologia- ja kyberturvallisuusyritykset, ei niinkään Yhdysvaltojen valtionhallinto. Ja käytännössä tämä yhteistyö on toteutunut siten, että valtiot, esimerkiksi Yhdysvallat ja Ukraina, valtioina ovat sopineet yhteistoiminnasta, ja sitten nämä yritykset ovat sen toteuttaneet. Ja tokihan Ukraina on tietysti saanut tukea muiltakin valtioilta kuin Yhdysvalloilta, mutta Yhdysvaltojen rooli on tässä ihan keskeinen.
[16:21] Haastattelija: Eli USA on toisin sanottuna ollut myös kyberpuolella sitten tämä isoin tukija…
[16:25] Jyrki Isokangas: Kyllä, ihan merkittävä tukia. Ja Yhdysvalloilla on ollut ihan merkittävä rooli siinä, että miten Ukrainan kyberpuolustus on onnistunut niin hyvin, kuin se on onnistunut.
[16:36] Jyrki Isokangas: Tuon… kybervaikuttamisen haasteena on tietysti tämmöinen tietynlainen suorituskykyjen kertakäyttöisyys, eli kun jokin haittaohjelma on käytetty, ja se puolustaja kykenee suojautumaan siltä, hyökkäjä joutuu joko muokkaamaan sitä haittaohjelmaa tai sitten tekemään uuden haittaohjelman, jonka se jälleen pitää saada asennettua sinne kohteena olevaan verkkoon.
[17:03] Jyrki Isokangas: Venäjähän on pyrkinyt kuitenkin aktiivisesti muuttamaan toimintatapoja tämän sodan aikana. Se ei ole aina pyrkinyt… voisiko sanoa sen tietoverkon ytimeen, vaan ajoittain nämä tiedustelupalvelut ovat varmistaneet sen läsnäolonsa siellä kohdeverkossa toimimalla niin sanotusti sen kohteen reunoilla, esimerkiksi reitittimissä tai sähköpostipalvelimissa. Ja tällä hetkellä näyttää siltä, että tiedustelupalvelut toimivat verkossa myös niin sanotun Living of the Land-toimintatavalla, jossa verkkoon tunkeudutaan, mutta sinne ei asenneta ensimmäisenä haittaohjelmaa. Vaan Venäjän tiedustelupalvelu tunkeutuu sinne kohdeverkkoon ja käyttää ainakin alussa hyväksi verkossa laillisten ohjelmien haavoittuvuuksia pyrkien tällä tavalla pysymään piilossa siellä verkossa ennen sitä varsinaista vihamielistä vaikuttamista.
[17:59] Haastattelija: Okei. Ja onko siellä myöskin mahdollisesti paljon tiedustelua siellä verkossa, vai onko se enemmän tällaista vihamielistä toimintaa, joka pyrkii vaikuttamaan Ukrainan tapahtumiin ja sen sisäiseen kapasiteettiin toimia?
[18:10] Jyrki Isokangas: Siis kaikki toimintaa tietysti aina perustuu tiedusteluun. Eli ensin joka tapauksessa hankitaan aina tietoa, ennen kuin tehdään päätös sitten millä tavalla vaikutetaan. On se sitten kyberissä tai missä muussakaan niin kuin toimintaympäristössä.
[18:23] Haastattelija: Selvä. Entä onko tietoa siitä, että onko Ukraina mahdollisesti itse tehnyt mahdollisia kyberhyökkäyksiä Venäjää kohti?
[18:33] Jyrki Isokangas: Ukraina on toteuttanut kyberoperaatiota Venäjää vastaan, mutta selkeästi… Venäjää pienemmässä mittakaavassa. Et Ukrainassahan perustettiin vapaaehtoisvoimin heti tämän sodan alussa tämmöinen joukko kuin IT Army of Ukraine, ja tämä oli lähtökohtaisesti tämmöinen vapaaehtoisuuteen perustuva hakkerikollektiivi, joka ilmeisesti on sitten lopulta kuitenkin liitetty osaksi Ukrainan turvallisuuspalveluita.
[19:01] Jyrki Isokangas: Ja myös muutamat sitten ihan globaalisti toimivat hakkeriryhmät, kuten esim. Anonymous, ovat tehneet kyberiskuja Venäjälle. Näitä iskuja on kohdistunut esimerkiksi Venäläisiin pankkeihin, mutta ilmeisesti vaikutukset ovat olleet aika vähäisiä tai ehkä eniten tämmöisiä psykologisia. Ja esimerkiksi vuonna 2022 hakkerit tilasivat tämmöisen Moskovalaisen taksiyrityksen autoja samaan paikkaan aiheuttaen liikenteen ruuhkautumisen. Vuonna 2023 ukrainalaiset hakkerit onnistuivat tunkeutumaan venäläisten radioasemien tietojärjestelmiin ja lähettämään radiossa muutamissa Venäläisissä kaupungeissa varoituksia tulevasta ilmahyökkäyksestä. Eli julkisuuteen on tullut lähinnä tämmöisiä niin kuin ehkä ulospäin kaikkein näkyvimpiä kyberiskuja, mutta muuten Ukrainan kyberiskusta Venäjälle ja niiden vaikutuksista on aika vähän tietoa.
[20:01] Haastattelija: Entäs näissä tapauksissa, jotka on toistaiseksi tiedossa julkisuudessa, niin onko tietoa, et miten Venäjä on mahdollisesti reagoinut näihin hyökkäyksiin?
[20:10] Jyrki Isokangas: Virallista tai julkista tietoahan tästä ei ole. Tokihan nämä on aina tän tyyppinen vaikuttaminen on jollakin tavalla niin kuin huono merkki Venäjän kyberpuolustuksen näkökulmasta, mutta niin kuin sanoin, niin nää on lopulta aika pienimuotoisia tapahtumia, mitä niin kuin ukrainalaiset tai Ukrainaa tukevat hakkerit ovat saaneet aikaan. Eli ei näillä niin kuin tän sodan kokonaiskuvassa näillä tapahtumilla ei ole ainakaan kovin suurta merkitystä.
[20:37] Haastattelija: Selvä. Ja mainitsitte tossa niin selvästi ukrainalaiset hakkeriryhmät ja venäläiset hakkeriryhmät, niin onko nää hakkeriryhmät puolestaan näkyneet tässä merkittävästi Ukraina-sodassa vai onko se keskittynyt enemmän näihin mahdollisesti valtionhallinnon tekemiin kyberhyökkäyksiin?
[20:54] Jyrki Isokangas: Molempia näkyy, joo. Molemmista on havaintoja, ja tällä hetkellä näyttäisi siltä, että nämä kaikkein vaativimmat kyberiskut, niin näistä vastaa Venäjän tiedustelupalvelut. Lähinnä nyt tuo Sotilastiedustelu GRUn Sandworm-ryhmä ja sitten turvallisuuspalvelu FSB:hen liitetty Turla-ryhmä. Toki muitakin toimijoita on. Ja taas sitten näillä hakkeriryhmillä näyttäisi olevan taas sitten oma roolinsa taas tehdä näitä vähän yksinkertaisempia kyberiskuja, kuten esimerkiksi palvelunestohyökkäyksiä, joko näiden tiedustelupalveluiden toimeksiannosta tai sitten ainakin Venäjän viranomaisten sallimana, niin kuin jo tossa aikaisemmin tuli jo mainittua.
[21:39] Haastattelija: Ja usein kun pyritään tunnistamaan, että kuka on tehnyt hyökkäyksen, niin puhutaan yleisesti tällaisista asioista kuin attribuutio-ongelma. Niin voisitko selittää, mikä tämä attribuutio-ongelma on?
[21:53] Jyrki Isokangas: Joo. Kun puhutaan attribuutiosta, niin tarkoitetaan syyksilukemista, eli sitä, kuka on kyberiskun takana, ketä siitä kyberiskusta voidaan syyttää tai asettaa vastuuseen. Ja kybermaailmassa on hyvin tyypillistä, että nämä kyberiskuihin osallistuvat tai niitä tekevät toimijat pyrkii yleensä salaamaan sen oman osallisuutensa iskuihin, ellei niiden tarkoitus ole sitten nimenomaisesti nostaa sen kyseisen ryhmän omaa profiilia. Tietysti tällöinkään ei voida olla aina ihan varmoja siitä, tekikö iskun todellisuudessa sen suorittajaksi ilmoittautunut ryhmä.
[22:31] Jyrki Isokangas: Aika usein tilanne on se, että iskun suorittajaa ei saada selvitettyä täysin varmasti. Ja tämän takia nämä erilaiset hakkeriryhmät ovat Venäjälle äärimmäisen tärkeitä, nimenomaan tämän attribuution näkökulmasta. Eli käyttämällä tämmöisiä isänmaallisia tai rikollisia hakkeriryhmiä, Venäjän valtio voi virallisesti kiistää osallistumisensa kyberoperaatioihin tai iskuihin ja syyttää niistä hakkereita, vaikka itse olisikin viime kädessä siinä iskujen takana. Ja yleensä tosiaan tämän kyberiskun tekijän varma tunnistaminen on aika vaikeaa. Keinoja voi tietysti olla tämmöiset käytetyt haittaohjelmat ehkä sieltä koodista löytyvät pienet viitteet tai vaikka iskun takana olevan ryhmän vuorokausirytmi ja niin edelleen. Mutta tämän tekijän mahdollinen tunnistaminen yleensä tapahtuu ehkä sitten tämmöisten enemmänkin välillisten todisteiden kautta, kuin konkreettisen todisteen kautta.
[23:29] Haastattelija: Eli se on enemmän tällaisia välillisiä todisteita, mutta sitten näitä suuria todisteita, jotka todistaisi lakisääteisesti, niin ei yleensä löydy.
[22:37] Jyrki Isokangas: Niitä tulee aika harvoin, joo. Ja tämä on ihan tyypillistä nimenomaan tässä kybertoimintaympäristössä. Et joku hyökkää, mutta ei välttämättä tiedetä ihan varmasti, että kuka se hyökkääjä on tai ainakaan ei voida syyttää jotain tiettyä hyökkääjää siitä hyökkäyksestä, vaikka aavistuksia olisi siitä hyökkäyksen lähtökohdasta.
[23:54] Haastattelija: Okei, eli näistä pienistä mahdollisesti viittaavista todistuslähteistä lähteistä muodostetaan se käsitys, että kuka on todennäköisimmin tehnyt sen hyökkäyksen.
[24:01] Jyrki Isokangas: Kyllä, ja sitten se on tietysti aina kyseisen hyökkäyksen kohteena olevien maan viranomaisten päätettävissä, että kuinka vahvasti sitten niillä todisteilla lähdetään sitten syyttämään jotain tiettyä osapuolta sen kyberhyökkäyksen suorittamisesta.
[24:17] Haastattelija: Selvä pyy… Ja… Sitten, kun ollaan puhuttu yleisesti kybervaikuttamisessa tässä podcastissa, niin onko Ukraina-sota ensimmäinen sota, jossa tämä kybervaikuttaminen on näkynyt sitten merkittävässä roolissa? Tai jos siellä on ollut aikaisemmin, niin antaisitko esimerkkiä, et missä muissakin tilanteissa kybervaikuttamista on käytetty sodan käynnissä?
[24:34] Jyrki Isokangas: Joo. Mä en ole ihan varma, onko kyber ollut merkittävässä roolissa edes tässä sodassa, vaikka Venäjä toki on sitä yrittänyt. Mutta on totta, että kyberoperaatioilla on ollut tässä Venäjän laajamittaisessa hyökkäyksessä Ukrainaan suurempi merkitys tai rooli, kuin missään aikaisemmassa sodassa. Mutta kyllähän tämäkin sota on edelleen ollut ennen kaikkea perinteistä kineettistä sodankäyntiä ja kineettistä vaikuttamista.
[25:09] Haastattelija: Okei. Mitä tarkoitetaan tällä kineettisellä?
[25:11] Jyrki Isokangas: Siis tämmöistä perinteistä asevoimien käyttöä, joukkojen taistelua, ohjusten käyttöä, no lennokkien käyttöä ja tän tyyppinen niin kuin kineettinen vaikuttaminen.
[25:22] Jyrki Isokangas: Ja sinänsä Kyberillä on kyllä tuettu aikaisemminkin operaatioita. Toki jossain määrin pienemmässä muodossa. Venäjä hyökkäsi naapurimaahansa Georgiaan elokuussa 2008. Ja tiettävästi tätä operaatiota tuettiin ainakin pienimuotoisesti myös kybervaikuttamisella. Ja ilmeisesti Venäjä oli tässä operaatiossa aloittanut sen kyberoperaationsa tai kybervaikuttamisen noin kuukautta ennen hyökkäystä, ja sen kohteena olivat lähinnä Georgian valtionhallinto, media, liikenne ja telekommunikaatio. Sinänsä aika tyypillisiä kohteita mille tahansa kybervaikuttamiselle. Virallisesti Venäjä valtiona kiisti nämä kyberiskut, ja tekijäksi väitettiin rikollisia hakkeriryhmiä, eli taas palataan tähän attribuuttiseen ongelmaan.
[26:14] Jyrki Isokangas: No toinen esimerkki, vaikkakin paljon pienempi, on Lähi-idästä. 2000-luvun alussa Syyria oli rakentamassa ydinreaktoria yhteistyössä Pohjois-Korean kanssa Al-Kibarin alueelle Syyrian koillisosassa. Ja Israelin tiedustelu tunnisti tämän rakennustyön, ja Israelin ilmavoimat suoritti lopulta vuonna 2007 ilmaiskun tähän reaktorin rakennustyömaalle ennen kuin se reaktori oli valmis. Ja tätä Israelin ilmaiskua tuettiin tietysti perinteisesti lamauttamalla Syyrian ilmapuolustus kineettisesti, eli ohjuksilla tai tulen käytöllä, ja myöskin elektronisella sodankäynnillä. Mutta ilmeisesti Israel kykeni myöskin tunkeutumaan Syyrian ilmatilannekuvaa käsittelevään tietojärjestelmään ja syöttämään Syyrialle sellaisen ilmatilannekuvan tämän operaation aikana, jossa näitä Israelin ilmavoimien koneita ei sitten näkynyt sinne ilmatilannekuvassa. Eli tämä oli hyvin tämmöinen pieni, mutta hyvin konkreettinen tuki taas sitten tämmöiselle sotilasoperaatiolle, joka kyberillä sitten saatiin aikaan.
[27:20] Haastattelija: Okei, eli niitä on toisin sanottuna käytetty aikaisemminkin tähän sotilastoiminnan tukemiseen…
[27:24] Jyrki Isokangas: Kyllä on käytetty, vaikkakin tähän Venäjän laajamittaisen hyökkäykseen nähden, niin selvästi pienimuotoisemmin.
[27:32] Haastattelija: Selvä, ja… Minkälaisia oppia puolestaan tästä Ukraina-sodan aikaisesta kybervaikuttamisesta voidaan ottaa?
[27:43] Jyrki Isokangas: Joo, tota… Aika paljonkin varmasti, ja osa tietysti opeista on semmoisia, jotka ei ehkä vielä nouse esille. Mutta sitä mukaan, kun tästä sodasta saadaan enemmän havaintoja ja kokemuksia ja sitä tutkitaan enemmän, niin tietysti näitä oppeja nousee.
[28:04] Jyrki Isokangas: Yksi oppi on tietysti se, että niin kuin kybermaailmassa hyökkääjän toiminta on aina helpompi, koska sen hyökkääjän tarvitsee löytää vain yksi haavoittuvuus, mitä kautta se pääsee tietoverkkoon tai tietojärjestelmään. Tai hyökkääjä voi myöskin sitten sen tunkeutumisen jälkeen pysyä huomaamattomana siellä tietojärjestelmässä ja aktivoitua vasta sitten operaation alkaessa.
[28:29] Jyrki Isokangas: Ja taas sitten puolustajan näkökulmasta haasteena on tietysti se, että kaikki tietoverkot ja tietoverkon osat pitäisi pystyä suojaamaan. Ukraina on sinänsä osoittanut, että puolustautuminen kyberuhkia vastaan on mahdollista, ja näiden kyberiskujen vaikutuksia voidaan pienentää tai niiden vaikutuksia voidaan rajoittaa. Mutta kyllä haasteena on edelleen tämmöinen kyky kyberuhkien ennakointiin, kattavaan tilannekuvan muodostamiseen, sekä toisaalta riittävän nopeaan päättämiseen niistä vastatoimista ja niiden vastatoimien nopea toteuttaminen.
[29:07] Haastattelija: Okei, eli tässä kybermaailmassa sitten tämä hyökkäjä on ehkä siinä vahvemmassa asemassa(?)
[29:12] Jyrki Isokangas: Hyökkääjällä on ehkä konkreettisemmin aloite kybermaailmassa, kuin muissa toimintaympäristöissä. Se on ehkä se puolustajan kannalta tietyllä tavalla haaste. Eli edelleenkin tämä toiminta kybermaailmassa on sitä, että hyökkääjä tekee jotain ja sen jälkeen vasta puolustaja miettii, että millä tavalla reagoi, tai millä tavalla toimii sen hyökkäyksen jälkeen. Ja vaikka kuinka paljon ennalta pyritään tietysti suojaamaan niitä omia tietoverkkoja ja tietojärjestelmiä, niin se on aika haastava puolustajan kannalta, mutta ei mahdoton tehtävä sekään.
[29:45] Haastattelija: Ja mainitsitte tähän Ukrainan sodan vaikuttamiseen ja kybervaikuttamiseen on ollut aika vähäinen vaikutus yleisesti niin… Voisiko hypoteettisesti lisätä sitä vaikutusta vai onko se kybervaikuttaminen itsessään sellaista, että se on vaan tällainen ohessa tehtävää tukitoimintaa?
[30:04] Jyrki Isokangas: Ehkä…Ehkä niin kuin ennen tätä sotaa ajateltiin, et kyberillä olisi merkittävämpi rooli sodan käynnissä. Kyllä tämän operaation osalta niin voisi sanoa, että ehkä se vaikutus on tosiaan ollut pienempi, kuin mitä on niin kuin odotettu. Ja niin kuin mainitsin, niin Venäjä on kyllä pyrkinyt liittämään näitä kybersuorituskykyjä tai kyberiskuja asevoimien muihin operaatioihin erityisesti tämän laajamittaisen hyökkäyksen alussa silloin helmikuussa 2022. Mutta nämä tosiaan tästä kineettisten operaatioiden ja kyberoperaatioiden yhteisvaikutuksesta ei ole ihan täysin varmaa tietoa.
[30:49] Jyrki Isokangas: Se haaste on tietyllä tavalla se, että kybervaikuttaminen yleensä tapahtuu hyvinkin niin strategisella tasolla, joten se ei aina sovellu suoraan sotilasoperaatioiden tukemiseen. Mutta et on todennäköistä että niin Venäjällä, Ukrainassa kuin sitten lännessäkin tutkitaan hyvin tarkkaan tämän sodan opetuksia, ja varmaankin kehitetään kybersuorituskykyjä ja niiden käyttöä myöskin sitten asevoimien operaatioiden tukemisessa. Ja se mihin tämä voi johtaa on se, että tämä todennäköisesti lähentää sitten kybervaikuttamisen ja elektronisen sodankäynnin suorituskykyjen käyttöä näissä taistelevissa joukoissa. Esimerkiksi jos halutaan lamauttaa taistelukentällä kohteena olevan joukon johtamisjärjestelmä tai vastassa oleva joukon johtamisjärjestelmä, se voidaan lomauttaa joko elektronisella häirinnällä, tai sitten syöttämällä haittaohjelma siihen johtamisjärjestelmään, tai vaikka näiden yhdistelmällä.
[31:53] Haastattelija: Eli mahdollisesti niitä voidaan käyttää tällaisena niin kuin… esimerkiksi näiden johtokomentoketjun sitten estämiseen sitten?
[32:01] Jyrki Isokangas: Esimerkiksi, kyllä. Ja nyt tosiaan se, että toi kyber ei ole näkynyt kovin vahvasti kuitenkaan tässä Venäjän sotilasoperaatiossa, ei siis tarkoita sitä, etteikö kyberillä kyettäisi tosiaan tukemaan tämmöistä operaatiota. Mutta ehkä se haaste on ollut nimenomaan se… tähän mennessä kybersuodatuskyvyt, ja se mitä kybermaailmassa tehdään on tapahtunut strategisella tasolla, eli tietyllä tavalla sen taistelevien joukkojen operaatioiden ja sen taktisen toiminnan yläpuolella, minkä vuoksi se ei ole sopinut kauhean hyvin sitten tähän operaatiotukemiseen.
[32:38] Haastattelija: Okei, eli siinä kun se on strategisella puolella, niin siihen ei voi nopeasti reagoida sitten jalat maassa tapahtuvaa toimintaan.
[32:44] Jyrki Isokangas: Juuri näin. Joo, juuri näin.
[32:37] Haastattelija: Okei. Ja… Onko muuten muilla tavoilla sitten tämä Ukrainan-sodan aikana tapahtuva toiminta muokannut ymmärrystä verkossa tapahtuvasta toiminnasta?
[32:59] Jyrki Isokangas: Joo, tämä Venäjän laajamittainen hyökkäys ei ole ehkä sinänsä muuttanut kauhean paljon kyberin roolia sodan käynnissä ainakaan vielä. Mutta tietysti tämän sodan perusteella voidaan sillä tavalla tehdä tämmöinen johtopäätös, että joskus menneisyydessä saatettiin vielä puhua ikään kuin tämmöisestä puhtaasta kybersodasta, joka käydään vain tietoverkoissa. Eli tämä näkemys nyt ei ainakaan tämän sodan perusteella ole vielä kovin realistinen. Mutta tämä ei tietenkään vähennä sen kybervaikuttamisen merkitystä ja myöskään sitä tulevaisuuden kehitystä, mutta tällä hetkellä nyt näiden kokemusten perusteella, niin kyber on tukevassa roolissa näihin kineettisiin kykyihin.
[33:40] Jyrki Isokangas: Venäjä pyrkii vaikuttamaan sen kohteena oleviin valtioihin niin tällä informaatioteknisellä, kuin informaatiopsykologisellakin vaikuttamisella. Ja tällöin tavoitteena on saada kohteena olevien valtioiden johto toimimaan Venäjän haluamalla tai sitten Venäjän toimintaa tukevalla tavalla. Ja tällöinhän Venäjä pääsee tähän kyber- ja informaatiovaikuttamisella siihen haluamaansa lopputulokseen ilman asevoimien käyttöä. Ja asevoimien operaatioiden tukemisessa on mahdollista, että kyberillä on nykyistä suurempi rooli. Ja kyllä mä tosiaan uskon, että aika monessa valtiossa tutkitaan nyt hyvin tarkkaan sitten tämän Venäjän hyökkäyksen ja Ukrainan puolustuksen oppeja siitä, että millä tavalla kyberiä voidaan käyttää sitten osana sodankäyntiä, tai mikä ylipäätään on kyberin rooli sitten, kun vaikutetaan kohteena olevaan valtioon.
[34:34] Haastattelija: Okei. Eli mahdollisesti nämä valtiot ottavat oppeja sitten, jota he mahdollisesti voivat käyttää sitten tulevaisuuden sotavoimien kehittämiseen.
[33:42] Jyrki Isokangas: Kyllä, juuri näin.
[34:44] Haastattelija: Kiitos.
Viimeksi muutettu: tiistaina 3. syyskuuta 2024, 09.53