Tuleeko Venäjältä kyber­hyökkäys? Nyt kannattaa hengittää syvään ja varautua vaikka huonoon omaan­tuntoon

Suojelupoliisi on varoittanut, että Suomeen voi matkalla Natoon kohdistua kyberhyökkäyksiä. Tietoturva on kehittynyt huimasti ja hyökkäyksiä torjutaan, mutta tunteemme ovat vaarassa.

Palvelunestohyökkäys Suomen ulkoministeriön ja puolustusministeriön verkkosivuille sattui samalle päivälle kuin Ukrainan presidentin Volodymyr Zelenskyin puhe Suomen eduskunnalle.

12.5. 2:00 | Päivitetty 12.5. 15:53

15 vuotta sitten naapurissa tapahtui jotain, mikä muutti käsitystä sodankäynnistä pysyvästi.

Tapahtumat liittyivät neuvostoaikaiseen patsaaseen Tallinnan keskustassa.

Kun Viro päätti siirtää patsasta, Venäjällä suututtiin. Seurasi mellakointia ja lukuisia voimakkaita palvelunestohyökkäyksiä. Verkkohyökkäykset kestivät noin kolme viikkoa.

Tietoliikenneyhteyksien pettämisen takia esimerkiksi virolaisia sanomalehtien sisältöjä piti viedä käsipelillä painotaloihin, koska sähköinen lähetys ei toiminut. Hyökkäysten voima oli hämmentävä, jopa pelottava.

Silloin emme olleet vielä nähneet sosiaalisen median voimaa arabikevään vallankumouksissa emmekä tietovuotaja Edward Snowdenin hyytäviä paljastuksia verkkovakoilun laajuudesta. Suomi ei ollut vielä nähnyt, että Venäjän ulkomaantiedustelu oli vakoillut ulkoministeriön verkkoja jo vuosia.

Emme vielä tunteneet oloamme voimattomiksi loputtoman uhkien kaleidoskoopin edessä. Internet oli iloinen asia.

Vasta kun opimme, ettemme ole turvassa, aloimme oppia suojautumaan.

Viron poliisi käytti kyynelkaasua mielenosoituksessa Tallinnassa 26. huhtikuuta 2007. Mielenosoittajat vastustivat hallituksen päätöstä siirtää neuvostoaikainen Pronssisotilas-patsas pois Tallinnan keskustasta.

Tietoturvan markkina kasvaa yli kymmenen prosentin vuosivauhtia: analytiikkayhtiö Fortune Business Insights laski maaliskuussa että vuonna 2022 maailman tietoturvamarkkina on arvoltaan vajaat 156 miljardia dollaria. Vertailun vuoksi: vuonna 2015 Forbes-lehti kertoi, että globaali markkina oli 75 miljardia dollaria.

Seitsemässä vuodessa markkinan arvo siis kaksinkertaistuu.

Seitsemän vuotta on vain puolet siitä, mitä maailman ensimmäiseksi kybersodaksi kutsutusta Viron Pronssisoturi-kiistasta on kulunut. Paljon muutakin on ehtinyt muuttua.

Nykyään suomalainen tietoturva on kansainvälisesti arvioiden huippuluokkaa, pankit erinomaisesti varautuneita ja tietoverkot melko puhtaita.

Meillä menee mukavasti, mutta silti Suomen Nato-hakemuksen häämöttäessä aivan nurkan takana voi tapahtua erilaisia hyökkäyksiä.

Ukrainalaisen kyberturvallisuuteen keskittyneen ISSP-tietoturvayhtiön työntekijä yhtiön Kiovan-toimistolla heinäkuussa 2017.

Palvelunestohyökkäykset

Palvelunestohyökkäys eli DDoS on verkkohyökkäyksistä yleisin ja yksinkertaisin. Kuka tahansa voi tehdä sellaisen vuokraamalla pimeässä verkossa kaapattujen koneiden hyökkäystehoa tai muita helppoja hyökkäystyökaluja.

Kun Ukrainan presidentti Volodymyr Zelenskyi puhui Suomen eduskunnalle huhtikuun alussa, sekä ulkoministeriön että puolustusministeriön verkkosivuihin kohdistui voimakas palvelunestohyökkäys. Myöhemmin amerikkalaisyhtiö Security Scorecard (SSC) kertoi, että hyökkäykset tehtiin Žadnost-nimisellä bottiverkolla.

Žadnost oli jo aiemmin havaittu kolmeen eri otteeseen hyökkäämässä useiden Ukrainan ministeriöiden verkkosivujen ja kahden paikallisen pankin kimppuun. Suomalaisministeriöiden jälkeen Žadnost otti huhtikuun lopulla kohteekseen Ukrainan postilaitoksen samalla, kun posti yritti myydä huippusuosittua Venäjän asevoimille irvailevaa postimerkkiä verkkokaupassa.

Suomalaisissa yrityksissä on Venäjän hyökättyä Ukrainaan koettu myös ainakin yksi sitkeä palvelunestohyökkäys erääseen datakeskukseen. HS:n tietojen mukaan hyökkäys kesti noin viikon. Tiedossa ei ole, onko hyökkäyksellä ollut yhteyttä Venäjään, mutta yritys oli ennen hyökkäystä ilmoittanut lopettavansa toimintansa Venäjällä sekä ilmoittanut pyrkivänsä tukemaan Ukrainaa.

Kyberturvallisuuskeskuksen mukaan Suomeen kohdistuneet palvelunestohyökkäykset eivät ole kuluvana vuonna lisääntyneet. Keskukselle tulleiden ilmoitusten määrä hyökkäyksistä on saattanut hiukan kasvaa, mutta tästä ei voi päätellä juuri muuta kuin että ihmiset ovat nyt tarkkaavaisia.

Kiristyshaittaohjelmat

Noin vuosi sitten yksi Yhdysvaltojen merkittävimmistä polttoaineen jakelijoista joutui keskeyttämään toimintansa kiristyshaittaohjelman takia. Esimerkiksi polttoaineen hinta nousi Yhdysvalloissa kansalaisten ostopaniikin johdosta korkeimmilleen sitten vuoden 2014, ja useat bensa-asemat möivät ei-oota.

Colonial Pipeline -yhtiön verkkoihin hyökkäsi Darkside-niminen venäläinen rikollisryhmä. Darksiden ei tiedetä toimineen Venäjän valtion puolesta tai hyväksi, mutta tapaus käy esimerkistä: tällaista kiristyshaittaohjelmasta voi seurata.

Lääkekonserni Merck sai kimppuunsa Notpetya-kiristyshaittaohjelman kesällä 2017. Vakuutusyhtiöt eivät halunneet korvata tuhoja, sillä Notpetya on Venäjän sotilastiedustelun rakentama tuhoväline. Vakuutusyhtiöiden mielestä kiristyshaittaohjelma oli sodanjulistus eivätkä rauhan ajan vakuutukset kata sotaa. Tammikuussa Merck sai vakuutusyhtiöt korvaamaan Notpetyasta aiheutuneet tuhot pitkän oikeusriidan päätteeksi.

Kiristyshaittaohjelma Contia kehittävä rikollisryhmä on venäläinen, ja se on toiminut vuodesta 2020. Viime vuonna sen arvioitiin kiristäneen uhreiltaan reilut 170 miljoonaa euroa. Aiemmin toukokuussa Costa Rica joutui julistamaan kansallisen hätätilan Conti-ryhmän aiheuttamien tuhojen takia.

Conti on ilmoittanut tukevansa Venäjän sotaa Ukrainassa. Siksi mikä tahansa Venäjän virallista linjaa vastaan toimiva yhteisö, valtiollinen yksikkö tai yritys voisi olla nyt Contille houkutteleva kohde.

Kyberturvallisuuskeskuksen mukaan Contista on Suomessa vain yksittäisiä havaintoja. Niiden vähäisyyttä kuvaa, että ilmoituksia on tullut harvemmin kuin yksi kuukaudessa.

Ihmiset jonottivat huoltoasemalla Washingtonissa toukokuussa 2021 sen jälkeen, kun ryhmä Venäjällä toimivia kyberrikollisia oli murtautunut Colonial Pipeline -öljyputken tietojärjestelmään.

”Yksityinen sektori”

Conti-ryhmän ei tiedetä olevan suoraan kytköksissä Venäjän valtioon, mutta verkossa kuka vain voi liittyä mukaan. Venäjän helmikuisen hyökkäyksen jälkeen yhä useampi hakkeri on valinnut puolensa.

Hakkeriaktivismia monitoroivan Cyberknow-nimimerkin laskelmien mukaan toukokuun alussa Ukrainan hyväksi toimi 46 hakkeria tai hakkeriryhmää ja Venäjän hyväksi 26.

Osa toimijoista on vakavammin otettavia kuin toiset: joukkoon mahtuu niin todellisia tietomurto-osaajia, kekseliästä kampanjaväkeä kuin alaikäisiä suunpieksäjiä. Heistä voi olla vaihtelevasti iloa tai harmia, osaamisesta ja valitusta puolesta riippuen.

Lue lisää: Vapaa­ehtoiset ottivat Ukrainan kyber­sodan hoitaakseen – Rosvot ja poliisit hyppäsivät samalle puolelle

Dataa tuhoavat haittaohjelmat

SeN JÄLKEEn, kun Venäjä valtasi Ukrainalta Krimin niemimaan vuonna 2014, on Ukrainan tietoverkoissa nähty erilaisia kokeiluja. Blackenergy-nimellä tunnettu haittaohjelma on liitetty Venäjään jo vuosia sitten, ja joulun alla vuonna 2015 se löydettiin Länsi-Ukrainassa toimivan sähköyhtiön verkosta. Tämä tapahtui sen jälkeen, kun sen aiheuttama toimintahäiriö oli vienyt sähköt noin puolelta Ivano-Frankivskin asukkaista.

Blackenergy oli ohjelmoitu tuhoamaan käyttöjärjestelmän toiminnan kannalta välttämättömiä tiedostoja. Vastaavista hyökkäyksistä ovat kärsineet jo ennen Venäjän helmikuussa aloittamaa sotilaallista hyökkäystä ainakin rautatieyhtiö, Kiovan lentokenttä ja ainakin yksi matkapuhelinoperaattori.

Haittaohjelmia on viime aikoina naamioitu kiristyshaittaohjelmiksi. Tarkoitus ei kuitenkaan ole ollut salakirjoittaa tiedostoja, jotta ne voitaisiin palauttaa rahaa vastaan. Haittaohjelmat yksinkertaisesti vain tuhoavat ne.

Tällaisia haitakkeita kutsutaan nimellä wiper eli pyyhkijä. Pyyhkijätyyppiä oli myös lääkeyhtiö Merckin kimppuunsa saama Notpetya.

Venäjään liittyvissä palvelunestohyökkäyksissä käytetyn Žadnost-bottiverkon tunnistanut amerikkalaisyhtiö SSC uumoili Suomeen kohdistuneista hyökkäyksistä kertoessaan, että Žadnost teki hyökkäyksen ulko- ja puolustusministeriöidemme sivuille.

SSC kirjoitti, että kun Suomen pyrkimys kohti Nato-jäsenyyttä etenee, on todennäköistä, että verkkohyökkäykset pahenevat.

”Jos historian kuuluu toistaa itseään, seuraava näytös Venäjän verkkouhkien pelikirjassa ovat dataa pyyhkivät [haittaohjelmien] hyökkäykset, mahdollisesti kriittistä infrastruktuuria tai valtionhallintoa vastaan”, SSC kirjoitti.

Myyjä kirjoitti käsin kuittia asiakkaan tekemistä ostoksista kaupan kirjanpitoa varten Kiovassa, Ukrainassa kesäkuussa 2017. Monet yhtiöt sulkivat tuolloin sähköisiä järjestelmiään firmoihin kohdistuneiden kyberhyökkäysten takia.

Verkkovakoilu

Suojelupoliisi kertoi viime vuonna, että koronapandemian johdosta vakoilun painopiste siirtyi verkkoon. Koska tiedustelupalveluiden toiminta on pitkäjänteistä, on aihetta olettaa, että verkkovakoilu jatkuu entiseen malliin.

Myös entuudestaan tunnetut venäläiset verkkovakoilukampanjat kuten APT28, APT29 ja Turla ovat jatkaneet toimintaansa. Kansainvälisten tietoturvayritysten havaintojen mukaan vaikuttaa siltä, että nämäkin kolme ovat viime kuukausina kohdistaneet huomionsa ensi sijassa Ukrainaan.

Venäjän sotilastiedustelu GRU:n APT28 muistetaan parhaiten Yhdysvaltojen demokraattiehdokkaan Hillary Clintonin kampanjatoimiston vakoilusta. APT29 ja Turla ovat todennäköisesti Venäjän ulkomaantiedustelu SVR:n käsialaa, ja Turla löydettiin alkuvuodesta 2013 Suomen ulkoministeriön verkoista.

Vakoilu keskittyy tavallisesti tiedonhankintaan, mutta poikkeuksiakin on: esimerkiksi APT28 on julkisesti yrittänyt käyttää saamiaan tietoja. Donald Trumpin ollessa vielä Yhdysvaltojen presidenttiehdokas APT28-ryhmän käyttäjät esittivät olevansa romanialainen hakkeri ja vuotivat demokraattipuolueelta varastettuja tietoja tietovuotosivusto Wikileaksille.

Entä voisiko vastaavaa tapahtua Suomessa? Todennäköisesti tarkalleen samaa temppua ei käytettäisi enää uudestaan, sillä se olisi liian helppoa tunnistaa. Mutta samankaltainen metku eli tietovarkaus ja tietojen vuotaminen on mahdollista.

Informaatiovaikuttaminen

APT28-vakoilijoiden Wikileaks-sivuston kanssa toteuttama tietovuotojekku oli informaatiovaikuttamista. Venäläisen vaikuttamisen pirullisuus piileekin juuri keinojen yhdistelemisessä: kun mukaan lasketaan vaikkapa kaupallisen meriliikenteen häiritseminen tai siirtolaisvirtojen ohjailu, puhutaan hybridivaikuttamisesta.

Siksi olisi vähän lapsellista ajatella, että tekniset menetelmät olisivat jotenkin etusijalla siinä, mistä juuri nyt pitää olla huolissaan. Me jäämme jälkeen, jos emme hahmota sitä, miten vastustaja ajattelee.

Venäjällä erotellaan informaatiotekninen ja informaatiopsykologinen ulottuvuus. Informaatioteknisessä ulottuvuudessa ovat ip-osoitteet, reititysprotokollat, verkkosivut, älypuhelinten näytöt ja Twitter – niin sanottu bittien maailma. Informaatioteknisessä ulottuvuudessa on keinoja ja alustoja, joissa informaatiopsykologinen ulottuvuus toteutuu.

Informaatiopsykologisessa ulottuvuudessa ovat meidän tietomme ja tunteemme sekä tavat, joilla toimimme ja teemme päätöksiä yksilöinä ja ryhminä.

Informaatiopsykologisessa ulottuvuudessa asuvat ne pelot, joita otsikot tai vaikkapa nettitrollit meissä herättävät. Informaatiopsykologisessa ulottuvuudessa ovat toiveet toisten ihmisten reaktioista, joita herää, kun julkaisemme suositun meemin tai yritämme palaverissa tehdä vaikutuksen sekä pomoon että työkavereihin.

Näistä ulottuvuuksista on puhunut jo useita vuosia Suomen kysytyimmäksi asiantuntijaksi noussut apulaistiedustelupäällikkö ja eversti evp, yliopisto-opettaja Martti J. Kari.

Internet on ihmeellinen tietoliikenteen kudelma, mutta ihmisen mieli on vielä ihmeellisempi. Mitä enemmän pelkäämme, sitä hyödyllisempää se on vastustajalle. Pelolla on taipumus rajoittaa toimintaa, ja Venäjän hallinnon kannalta paras ratkaisu olisi jättää toimimatta – eli Nato-hakemus lähettämättä.

Mikäli vastustaja haluaisi hämmentää suomalaisia, se voisi myös jättää kyberhyökkäykset tai muun pelottelun myöhempään ajankohtaan. Kun olemme varautuneita ja varpaillamme, reagoimme herkemmin.

Venäjä voisi sekoittaa pakkaa osoittamalla inhimillisiä piirteitä, kuten kertomalla olevansa surullinen Suomen Nato-tavoitteista ja muistelevansa lämmöllä hyviä naapuruussuhteitamme.

Siitä saattaisi seurata huono omatunto. Kyllä ujoa suomalaista taas nolottaisi.

Artikkelia varten on käyty taustakeskusteluja suojelupoliisin sekä kansainvälisen tietoturvayhtiön ja Kyberturvallisuuskeskuksen edustajien kanssa.

Oikaisu 12.5.2022 kello 15.53: Jutussa mainittu lääkeyhtiö on Merck, ei Maersk kuten ensin virheellisesti kirjoitettiin.

Seuraa ja lue artikkeliin liittyviä aiheita

Osaston uusimmat

Luitko jo nämä?

Osaston luetuimmat