Ukrainan tukena kyber­taistelussa ovat karvaat opit menneisyydestä ja ”tiikeritiimit”

Ukraina on selviytynyt myös kybersodan rintamilla yllättävän hyvin. Syitä löytyy niin ukrainalaisten ja sen liittolaisten omista kyvyistä kuin venäläisten tekemistä strategisista virheistä.

Ukraina on panostanut muun muassa kyberpuolustukseen vuosien ajan, koska Venäjä on käyttänyt maata kybersodan koelaboratorionaan. Kuvassa työntekijä Kiovassa sijaitsevassa kyberturvallisuuskeskuksessa vuonna 2021.

25.10. 2:00 | Päivitetty 25.10. 12:53

Jouluna 2015 Länsi-Ukrainassa katkesivat sähköt kymmeniltätuhansilta ihmisiltä. Syynä ei ollut luonnonkatastrofi eikä edes aseellinen isku voimalaitoksiin.

Jäljet johtivat digimaailmaan. Venäläinen Sandworm-ryhmittymä käytti Blackenergy-nimistä haittaohjelmaa lamauttaakseen sähkönjakelun. Kyseessä oli tutkijoiden mukaan maailman ensimmäinen julkisesti myönnetty kyberhyökkäys, joka johti sähkönjakelun katkeamiseen.

Isku oli Jyväskylän yliopiston turvallisuuden ja strategisen analyysin työelämäprofessorin Martti J. Karin mukaan venäläisten harjoittelua Ukrainassa.

”He ovat hyökänneet sinne ja tiedustelleet kyberympäristössä, pyrkineet vaikuttamaan siellä.”

Martti J. Kari

Venäläiset loivat Ukrainasta siis kybersotansa koelaboratorion. Siellä venäläiset ovat voineet kokeilla ja hioa kybersodan käymisen taitojaan.

Kybersota on Karin mukaan ollut tähän mennessä yllättävän vaisua. Yhtenä syynä on todennäköisesti se, että kybersodan tietotaitoa on karttunut myös Ukrainalle ja Ukrainan liittolaisille. Se on voinut liittolaisineen kehittää puolustusohjelmiaan ja kovettaa järjestelmiään.

Ukrainan liittolaisia kyberrintamalla ovat Karin mukaan erityisesti Yhdysvallat ja Viro ja yrityspuolelta ohjelmistojätti Microsoft.

”Kaiken kaikkiaan ukrainalaisten kyberpuolustus oli aika hyvässä kunnossa helmikuussa 2022. He olivat oppineet edellisvuosien hyökkäyksistä yksin sekä yhdysvaltalaisten avulla.”

Yhdysvallat siirsi jo vuosina 2015–16 Puolaan ”tiikeritiimejä”. Ne koostuivat kyberturvallisuus­ammattilaisista, joilla on suora yhteys Yhdysvaltain kyberpuolustuksen viranomaisiin, kuten tiedustelu­palveluihin ja asevoimien komentajiin.

Yhdysvallat vahvisti tiikeritiimejä vuonna 2016, kun paljastui, miten laajasti Venäjä onnistui vaikuttamaan Yhdysvaltain presidentinvaaleihin.

Markus Holmgren

Joulukuun 2015 isku oli yksi Ukrainan ja Venäjän kybersodan suurista operaatioista. Venäjä oli jo vallannut Krimin ja kävi sotaa Itä-Ukrainassa.

”Termin mukaisesti kybersota on sellaisia operaatioita, jotka tapahtuvat sodan aikana”, sanoo Ulkopoliittisen instituutin tutkija Markus Holmgren.

Venäjän kyberhyökkäykset vuonna 2015 Ukrainassa ja vuonna 2016 Yhdysvaltojen presidentinvaalien yhteydessä olivat kuitenkin strateginen virhe. Tai ainakin niillä oli kaavailematon sivuvaikutus.

”Monet yritykset ja valtiot moninkertaistivat, joidenkin arvioiden mukaan parhaimmillaan jopa kahdeksankertaisesti, kyberpuolustus- tai turvallisuusbudjettinsa näiden iskujen seurauksena”, Holmgren sanoo.

”Varsinkin Ukrainassa herättiin näiden operaatioiden toimivuuteen ja mahdollisuuteen, että haitallisia iskuja ja hyökkäyksiä tulee lisää Venäjältä. Puolustusta alettiin rakentaa määrätietoisesti ja hyvin paljon yhteistyössä Microsoftin kanssa.”

Microsoft oli luontevasti osa puolustusta, koska suuri osa Ukrainan kyberinfrastruktuurista on Microsoftin tuotteita. Näitä ovat esimerkiksi Windows-käyttöjärjestelmät.

”Microsoft on maailman suurin operoija tällä alalla, eikä Ukraina ole poikkeus tässä. Microsoft on myös maailman ykköskohde, joka on todennäköisesti saanut eniten kyberhyökkäyksiä osakseen maailmassa”, Holmgren sanoo.

Kybersotaa käydään ympäristössä, jonka ovat pitkälti rakentaneet yksityiset yritykset. Siksi ne ovat myös luonteva taho huolehtimaan sen turvallisuudesta.

”Jos sinne tullaan ulkopuolelta, ollaan aina valtavasti jäljessä. Rakentajat ja ylläpitäjät tietävät parhaiten, miten ne järjestelmät toimivat.”

Kun Microsoft suojelee omia järjestelmiään, se osallistuu myös Ukrainan puolustamiseen. Yhtiö on rakentanut maata tukevan kuvan itsestään myös viestinnällään.

”Puolustusta alettiin rakentamaan määrätietoisesti ja hyvin paljon yhteistyössä Microsoftin kanssa.”

”Tämä on mielenkiintoinen kehityskulku ainakin näin tutkijaperspektiivistä, että yritykset avoimesti rakentavat itsestään kuvaa keskeisinä valtiollisten intressien puolustajina”, Holmgren kertoo.

Tämä tulee kiihtymään, kun yritykset ymmärtävät roolinsa kyberturvallisuudessa. Samaan aikaan valtion pitää ymmärtää, että yrityksille pitää antaa siitä korvauksia.

”Kaikkia kustannuksia ei voida sysätä yritysten niskaan, koska konkurssiin menevät yritykset eivät ole kyberturvallisia.”

Venäjän onnistunein kyberisku oli kaupallisen Viasat-yhtiön KA-SAT-satelliitin toiminnan häiritseminen helmikuun 24. päivänä eli samana päivänä kun Venäjä aloitti suurhyökkäyksensä Ukrainaan. Iskun vaikutukset levisivät myös Ukrainan ulkopuolelle.

Sotilaallista etua iskulla ei saatu aikaan. Isku ei ehkä onnistunut, tai satelliittijärjestelmä saatiin toimintakykyiseksi ennakoitua nopeammin.

Vuonna 2017 Ukrainaan kohdistui kyberisku, joka lamaannutti muun muassa kauppojen kassajärjestelmiä. Kuvassa työntekijä kirjoittaa käsin kuittia asiakkaalle Kiovassa samaisena vuonna.

Tehokkaimmillaan digimaailman iskut toimisivat perinteisempien operaatioiden tukena. Vihollisen viestintälaitteistoon saatetaan esimerkiksi tehdä kyberisku hieman ennen kuin ammutaan vihollisen asemiin epäsuoraa tulta. Silloin digitaalinen isku voi estää tiedon välittämisen asemista eteenpäin.

Myös kybersodassa on mukana ei-valtiollisia toimijoita. Näitä ovat esimerkiksi internetissä toimivien hakkeri-aktivistien eli haktivistien ryhmittymät kuten Anonymous sekä ja kyberrikollisryhmät kuten Killnet.

Nyt ryhmittymiä on ennätyksellisen paljon. Sveitsissä toimivan Cyber Peace Institute -järjestön (CPI) laskelmien mukaan Ukrainan puolesta iskuja on tehnyt 18 tahoa, Venäjän puolesta 32.

Anonymous-ryhmittymän käyttämään Guy Fawkes -naamariin pukeutunut mielenosoittaja Brysselissä vuonna 2012. Anonymous on väitetysti tehnyt useita kymmeniä iskuja Ukrainan puolesta kybersodassa.

”Nyt koetaan hyväksyttävämmäksi tehdä kyberrikoksia venäläisiä kohteita vastaan”, Holmgren sanoo.

Iskut ovat jääneet vaikutuksiltaan vähäisiksi. On ehkä tehty palvelunestohyökkäyksiä tai hakkeroitu venäläisiä televisiokanavia, joissa on näytetty Ukrainan presidentin Volodymyr Zelenskyin puheita.

Palvelunesto­hyökkäykset ruuhkauttavat jonkin verkkosivun tai palvelimen eivätkä yksinään johda vaikkapa arkaluonteisen aineiston vuotamiseen.

”Nyt koetaan hyväksyttävämmäksi tehdä kyberrikoksia venäläisiä kohteita vastaan.”

Yksi syy siihen, että suuria ja vaikuttavia iskuja ei ole juuri nähty, on se, että hyökkäysohjelmistot täytyy räätälöidä kohteensa mukaan.

Ukrainan ja Venäjän väliseen kybersotaan on ottanut osaa ennätyksellisen monta eri hakkeriryhmää. Kaksi ukrainalaisen RUH8-hakkeriryhmän jäsentä kuvattuna Kiovassa vuonna 2016.

”Ohjelmisto on suunniteltu siihen yhteen laitokseen, ja sinulla on usein se yksi yritys aikaa tehdä onnistunut hyökkäys.”

Internetin maailma mielletään sellaiseksi, jossa dataa voidaan monistaa periaatteessa loputtomasti. Tilanne on hyökkäys­ohjelmistojen kohdalla päin­vastainen.

”Toisin kuin luoteja tai ohjuksia, kriittistä infrastruktuuria tuhoavia ohjelmia on hyvin hankala tai jopa mahdotonta soveltaa useisiin kohteisiin. Niiden osia voidaan kyllä uusiokäyttää”, Holmgren kertoo.

Minkälaisia oppeja digitaalisilta taistelukentiltä sitten on saatu? Esimerkkinä voidaan ottaa Microsoftin kesällä julkaisema Defending Ukraine: Early Lessons from the Cyber War -raportti.

Sen loppupäätelmissä mainitaan, että valtioiden pitää sotatilassa pystyä hajauttamaan digitaalisia toimintojaan ja dataansa valtion rajojen ulkopuolelle.

Ukraina on siirtänyt palveluitaan pilveen ja muissa maissa sijaitseviin datakeskuksiin. Tällöin Venäjällä on Karin mukaan korkeampi kynnys hyökkäyksiin, koska ne voivat rikkoa toisten maiden suvereniteettia.

Ukrainalainen Andrew-nimellä esiintynyt henkilö esitteli Ukrainan puolesta kybersodassa taistelevan ryhmän mainosta Odessassa huhtikuussa.

Raportti mainitsee myös kokonaisvaltaisen strategian tarpeen kyberpuolustuksessa.

Samaa peräänkuuluttaa Martti J. Kari. Hänen mukaansa Suomessa on kyllä melko hyvin kyberpuolustus hallussa, mutta samaa ei voida sanoa kognitiivisesta turvallisuudesta. Se tarkoittaa kykyä torjua disinformaatiota.

”Meillä ei ole kognitiivinen turvallisuuden strategiaa, ei mitään organisaatiota, kuten Ruotsilla on, joka hoitaisi kognitiivisen turvallisuuden käytännön toiminnat.”

Venäjän ajattelussa tekninen ja psykologinen kybervaikuttaminen ovat yhtä. Vaikuttamiselta voidaan suojautua huolehtimalla ihmisten kognitiivisesta turvallisuudesta. Ihmisille siis opetetaan, miten disinformaatiota voi tunnistaa ja torjua.

Kognitiivinen turvallisuus pitäisi Karin mukaan saada mukaan seuraavaan hallitusohjelmaan.

”Tehtäisiin doktriini tai strategia ja mietittäisiin, kuka toteuttaisi käytännön toimia ja miten kehitetään yliopisto-opetusta sekä tutkimusta alalla. Ainakin nämä pitäisi saada kuntoon.”

Jutussa on käytetty lähteinä myös Microsoftin Defending Ukraine: Early Lessons from the Cyber War ja James A. Lewisin Cyber War and Ukraine raportteja.

Osaston uusimmat

Osaston luetuimmat