Ääneen ajattelua ja keskustelua suopeassa hengessä ilman pyrkimystä yksimielisyyteen.
torstai 14. maaliskuuta 2013
Kyberkilpavarustelu on käynnissä
Aseellinen kilpavarustelu on ihmiskunnalle vuosituhantinen perinne. Enemmän, isompia, parempia ja tappavampia aseita on hamuttu itselle, vakuuttuneena siitä, että vihollisella on vielä enemmän. Tämän perinteen huipentumana voidaan pitää kylmän sodan varustelukilpaa, jossa eri maat hankkivat ydinasearsenaalin, jolla olisi voinut tuhota ihmiskunnan useampaankin kertaan.
Nyt on pinnalle noussut kybersodankäynti (Valmiuspäällikkö Sakari Ahvenaisen perusteellinen esitys aiheesta, pdf) on tosiaan sodankäynnin muoto siinäkin mielessä, että kilpavarustelu on käynnistynyt. Kybersodankäynnit olemus on vielä hämärää ja puheet ovat suuria siellä sun täällä. Selvää on, että sotilaalliset suurvallat ovat suuria kyberissäkin. Erityisesti Kiina näyttää joko ottaneen tai sille on annettu rooli maailman ykköskyberpahiksena.
Joka tapauksessa tällä hetkellä kaikki epäilevät kaikkia. Yhdysvaltalaiset ohjelmistot, kiinalaiset laitteet ja kaikki muutkin pelit ja vehkeet ovat epäilysten kohteina. Vaikea sanoa, mitä kaikkea verkon ohjelmistoista ja laitteista löytyy, mutta kaiken maailman takaporteista ja muista riittää huhuja. Käytännössä tämä kaikkien epäluulo kaikkia kohtaan tarkoittaa pahimmillaan rajoituksia ja estoja internetiin. Sinällään tämä on ironista, sillä verkonhan piti kutoa maailma yhteen, mutta nyt rajalinjoja ollaan pystyttämässä sielläkin.
Alkuvuodesta julkaistussa Suomen kyberturvallisuusstrategiassa julistettiin maamme pyrkivän hyvin nopealla tahdilla kybersodan kärkimaiden joukkoon. Siihen pyrkimykseen varattiin jopa vähän varojakin ja tästä rajusta satsauksesta merkkinä on turvallisuusasiantuntijoiden palkkaaminen, ihan kaksin kappalein… Kovin selvä on, että tavoitteet ja resurssit ovat pahasti ristiriidassa.
Strategiassa merkittävää on myös se, että se nojaa hyvin voimakkaasti yritysten osallistumiseen Suomen kyberpuolustukseen. Tämä on sinällään linjassa yhteiskunnan läpäisevän turvallisuusajattelun ja maanpuolustushengen kanssa. Yksityiset yritykset ovat tiiviisti mukana myös muiden maiden kybervarautumisessa. Osaamista on ostettavissa niin suurilta turvallisuusalan korporaatioilta kuin varmasti vähän hämärämmiltäkin tahoilta.
Tässä tilanteessa minua epäilyttävä asia on niinikään se, että jos yritykset saavat määritellä kybervarautumiseen liittyviä asioita, niin myyntiosastoilla ollaan suu korvissa. Tottakai yritys pyrkii myymään ainakin vähän pidemmälle meneviä ratkaisuja kuin on tarpeen. Eikä tämä ole yritysten vika, vaan niiden tehtävä ja olemus. Siksi vaaditaan äärimmäisen kovaa osaamista ostaa näitä tarvittavia kyberpuolustuspalveluja. Mutta kuten on niin moneen kertaan nähty, on tietotekniikan palvelujen ostaminen niin kovin vaikeaa ja urakoilla on taipumus paisua isostikin. Tämä varmasti tiedetään myös Puolustusvoimissa.
Virossa on ehdotettu jo mahdollisuutta suorittaa asepalvelus kyberjoukoissa, mutta se ole ainakaan ihan heti toteutumassa. Sen sijaan sikäläinen suojeluskunta, Kaitseliit, on perustanut Cyber-osaston. Tähän aktiivisuuteen lienee syynä mm. Pronssisoturi-jupakan yhteydessä maahan kohdistetut kyberhyökkäykset.
Vaikka kyberissä asymmetria on hyvinkin mahdollista, niin Suomen pyrkimys maailman huipulle näillä resursseilla on lähinnä itsepetosta. Kyber maksaa ja jos haluaa olla huipulla, se maksaa paljon. Varsinkin kun poliittiset päättäjät ovat allergisia kaikenlaiselle yhteistyölle NATOn kanssa. Tuossa Suomenlahden toisella puolella kun olisi NATOn kyberturvallisuuskeskus, jossa lienee olisi valmiutta yhteistyöhön. Karusti sanottuna tässäkin tilannne on siis sama kuin perinteisen sodankäynnin puolella: on selvä tahto itsenäiseen, uskottavaan puolustukseen, mutta ei rahaa siihen.
Saa nähdä muuttuko rahoitustilanne mitenkään nyt käynnissä olevan suurharjoituksen jälkeen. Sen yhtenä tehtävänä lienee briifata valtakunnan virkamies- ja poliitikkojohto maailman muutoksesta tässä asiassa.
Joka tapauksessa tämä vielä varsin outo sodankäynnin muoto varmaankin saa tarkempia hahmoja lähivuosina, kun erilaiset kyber-operaatiot tulevat näkyviin. Kyber-sota on käynnissä koko ajan, mutta ei vaadita kovin kummoista pessimismiä todeta, että emme ole nähneet tällä saralla vielä paljoakaan.
Lisäys: Hyvä yhteenveto aiheesta Digitodayssä.
Tilaa:
Lähetä kommentteja (Atom)
Rock bottom!
VastaaPoistaTahdon uskoa, että päättäjät kokevat "tiedon lisäävän tuskaa" harjoituksessa - vaikkei skenaariopohjaisilla harjoituksilla olekaan mitään tekemistä kybersodankäynnin kanssa, auttavat ne ymmärtämään informaation hallinnan, tilannekuvan ja johtamisen vaikeutta.
Varsinaisia kyberaseita (alustoja) saamme odottaa Suomessa vielä jonkin matkaa, varsinkin ennenkuin niitä tarjotaan "telahaupitsien rinnalla" asemessuilla. Suurvallat rakentavat kykyä em. rintamalla, ja heillä kyllä platformisaatio on jo pitkällä. Alle 2v niin Boeing, LMCO ja SAIC tarjoavat kaikki valmiita plättäreitä.
Kyberase ei ole yksittäinen "ase", joten aivan tuo haupitsivertaus ei toimi. Kyse on paljon monimutkaisemmasta kokonaisuudesta. En mene tähän tässä nyt tarkemmin, mutta ajatuksia voipi lukea blogista.
Ja viimeisen kerran, ensimmäistä kertaa suomeksi: Stuxnet ei ole/ollut kyberase, vaan teknologiademonstraattori.
Eihän meillä Suomessakaan ole ollut yhtenäisiä asejärjestelmiä vielä kun tovi. Mitä jää siis vaihtoehdoksi? Vaikka pieni maa kykeneekin tekemään paljon puolustaakseen ei se silti kykene välttämättä kehittämään samalla skaalalla kuin isoilla panostuksilla olevat valtiot tahi muut toimijat (!) kykenevät. Näkeehän sen budjeteista, projekteista ja palkoista suoraan, valitettavasti. Eikä vähiten käytävästä keskustelusta.
Epäsymmetrisestä sodankäynnistä kun puhutaan, niin riskit ovat korkeat, panostukset myös. Ts. ei voida verrata miesylivoimalla suoraan. Tähän meillä tosin ON jo pidemmät, varsin kunniakkaatkin perinteet.