Kyberuhat ja tietoverkkovaikuttaminen
- Uusin hybridivaikuttamisen väline ja uhan muoto
- Kohteina tietoverkot
- Kolmenlaista haitallista kybertoimintaa: tiedustelu (vakoilu), hyökkäys ja tietojen manipulointi
- Tietoverkkotiedustelun tarkoituksena tietojen kerääminen
- Tietoverkkohyökkäys kohdistuu erityisesti yhteiskunnan sähkö-, kommunikaatio-, vesi-, rahoitus- ja kriittisten järjestelmien tietoverkkoinfrastruktuureihin
- Kybermanipuloinnin tarkoitus muuttaa tietoverkkoon tallennettuja tietoja
- Viimeaikaisia trendejä
- 2017: lunnaiden vaatimisohjelmia
- 2018: komponenttien ja laitteiden haavoittuvuuksiin liittyviä kyberuhkia
- 2019: peiteltyjä sotilasoperaatioita kyberavaruudessa
- tietoverkkotoiminta valtioiden välisten konfliktien uutena muotona
- monien maiden kriittinen infrastruktuuri vaarannettu ja verkkoihin voitu istuttaa haavoittuvuuksia, joita voidaan myöhemmin aktivoida
Lisää aiheesta
Tämä uusin hybridivaikuttamisen väline ja uhan muoto on edelleen vaikeimmin käsitettävissä, vaikka se on ollut käytettävissä jo parikymmentä vuotta. Tietoverkkoihin voidaan kohdistaa haitallista kybertoimintaa kolmella tavalla: tiedustelulla (vakoilulla), hyökkäyksellä ja tietojen manipuloinnilla (käsittelyllä).
Tietoverkkotiedustelu eli kybertiedustelu on samanlaista kuin perinteinen tiedustelu- ja vakoilutoiminta, jonka tarkoituksena on kerätä tietoja. Kybertiedustelulla kerätyt, varastetut tiedot voidaan pitää salassa omana tietona omiin tarpeisiin tai vuodattaa vaikuttamistarkoituksessa (esim. Wiki Leaks) osana hybridivaikuttamista.
Kahden tunnetun hakkeriryhmän (APT 28 / Fancy Bear ja APT 29 / Cozy Bear), joilla on siteitä Venäjän tiedustelupalveluihin, tiedetään suorittaneen vakoiluoperaatioita tietoverkoissa muita valtioita vastaan. Vuonna 2015 APT 29 tunkeutui Yhdysvaltojen Valkoisen talon tietoverkkoon ja lisäksi useiden Länsi-Euroopan, Keski- ja Itä-Aasian sekä Keski- ja Etelä-Amerikan organisaatioiden verkkoihin. APT 28:n todettiin myös murtautuneen sotilas- ja puolustusalan yritysten verkkoihin Amerikassa, Euroopassa ja Aasiassa. Se oli myös Saksan valtiopäivien ja Ranskan TV5 Monden verkkoihin tapahtuneiden tunkeutumisten takana vuonna 2015.
Peitelty tiedonkeruu ei ole uutta, mutta kyberulottuvuus tuo uusia työkaluja ja alentaa kustannuksia. Kyberoperaatiot ovat edullisia ja riskit pieniä, ja ne voivat tuottaa hyviä tuloksia. Tämä tekee kybertyökalut houkutteleviksi myös köyhemmille maille.
Tietoverkkohyökkäys eli kyberhyökkäys on kybertiedustelun jatkumo ja tarkoittaa hyökkäystä, joka kohdistuu erityisesti yhteiskunnan sähkö-, kommunikaatio-, vesi-, rahoitus- ja kriittisten järjestelmien tietoverkkoinfrastruktuureihin. Toistaiseksi niitä on ollut suhteellisen vähän, mutta toiminta on viime vuosina lisääntynyt huomattavasti.
Stuxnetin löytyminen vuonna 2010 Iranin tietokonejärjestelmistä merkitsi uudentyyppisen kybersotamenetelmän toteutumista. Tämä ”maailman ensimmäinen digitaalinen ase” poikkesi aiemmista tietoverkkohaittaohjelmista siinä, että tietojen varastamisen lisäksi se tuhosi tietokoneiden ohjauksessa olevia fyysisiä laitteita. Hyökkäyksessä oli kaksi erilaista versiota: ensimmäinen vahingoitti Iranin ydinrikastamojen sentrifugit ja toinen manipuloi yritysten tietokonejärjestelmiä. Kyseiset yritykset toimittivat Iranin ydinohjelmaan teollisuuden ohjaus- ja prosessointijärjestelmiä.
Yksi huolestuttavimpia hyökkäyksiä on ollut Kiinan armeijaan yksikön 61398 yhdistetyn kybertoimintaryhmän (APT 1 / Comment Crew / Comment Panda) onnistunut hyökkäys kanadalaisen Telvent-yhtiön tietoverkkoon. Yhtiö suunnittelee öljy- ja kaasuputkiyhtiöille sekä sähköverkko-operaattoreille etäkäyttöohjelmistoja venttiileihin, kytkimiin ja turvajärjestelmiin. Telvent pitää yksityiskohtaisia suunnitelmia yli puolelle kaikista Pohjois- ja Etelä-Amerikan öljy- ja kaasuputkista, ja sillä on pääsy niiden järjestelmiin.
Tietoverkkohyökkäyksiä kriittiseen infrastruktuuriin, erityisesti sähköverkkoihin on tapahtunut lähes kaikkien viimeaikaisten poliittisten ja sotilaallisten kriisien yhteydessä, mm. Virossa 2007, Balkanilla, Georgiassa 2008, Ukrainassa vuodesta 2014 alkaen, Syyriassa ja muualla Lähi-idässä.
Kybermanipuloinnissa hakkeriryhmät voivat manipuloida tai muuttaa tietoverkkoon tallennettuja tietoja päästyään järjestelmään. Manipulointi voi olla vakava haaste tulevaisuudessa. Toistaiseksi suurin osa tietoverkkoihin tunkeutumisista on ollut tietovarkauksia. Uhkana on, että järjestelmään tunkeutuja alkaa manipuloida ja muuttaa tietoja niin, ettei verkon omistaja enää voi uskoa ja luottaa omaan järjestelmäänsä. Mm. Yhdysvaltojen aiempi kansallinen tiedustelujohtaja (DNI) James Clapper on ilmaissut huolensa tästä: ”Uskon, että näemme lisää kyberoperaatioita, jotka muuttavat tai käsittelevät sähköistä tietoa vaarantaakseen sen eheyden”. Yksi vakavimmista sähköisen manipulaation tapahtumista oli vuonna 2013, jolloin syyrialaiset hakkerit pääsivät uutistoimisto Associated Pressin Twitter-tilille ja twiittasivat väärän uutisen Valkoisen talon räjähdyksestä. Tämä vaikutti suoraan myös Yhdysvaltojen pörssikursseihin. Yksi ensimmäisistä yrityksistä manipuloida tietoja poliittisten tavoitteiden saavuttamiseksi tapahtui Yhdysvaltojen vuoden 2016 presidentinvaalien aikana. Venäläiset hakkerit, jotka pääsivät Illinoisin osavaltion äänestäjätietokantaan, yrittivät muuttaa rekisteritietoja siinä kuitenkaan onnistumatta.
Viimeaikaisia trendejä
Vuoden 2017 aikana tuli julki monia lunnasohjelmia (ransomware; WannaCry, NotPetya ja BadRabbit), lähes epidemian tyyliin. Vuonna 2018 paljastui, kuinka puutteellisia ovat valmiudet kohdata kyberuhkia, jotka liittyvät sivu-kanavahyökkäyksiin ja mikroprosessorien sekä erilaisten komponenttien ja laitteiden haavoittuvuuksiin (tampered eli peukaloidut komponentit). Vuodesta 2019 lähtien kyberavaruudessa alkoi tapahtua peiteltyjä sotilasoperaatioita, jotka liittyvät valtioiden välisiin konflikteihin. Tämän vuoksi kyberuhan tutkijat ympäri maailmaa ovat alkaneet kiinnittää huomiota taloudellisesti motivoiduista verkkorikollisista myös valtioiden tukemaan kybertoimintaan.
Esineiden internet (Internet of Things, IoT) on viime vuosina tuonut kybermaailmaan uuden ulottuvuuden, jota voidaan hyödyntää kyberoperaatioissa. Laitteiden heikon turvallisuus- ja suojaustason vuoksi niiden kautta on mahdollista päästä tietoverkkoihin ja levittää haittaohjelmia.

Kuvalähde: Focus 2020. The Norwegian Intelligence Service’s assessment of current security challenges
Valtioiden ja niiden tukemien ryhmien kybertoiminnan painopiste on tiedustelussa. Maailmalla toimii toistasataa aktiivista ryhmää, joita on yhdistetty lähes 20 maan organisaatioihin. Tällaisia maita ovat ainakin Etelä-Korea, Intia, Iran, Israel, Kiina, Libanon, Nigeria, Pakistan, Palestiina, Pohjois-Korea, Syyria, Venäjä, Vietnam, Turkki, Yhdistyneet Arabiemiirikunnat ja Yhdysvallat. Useat länsimaat kuten esimerkiksi Britannia, Ranska, Saksa ja Yhdysvallat toimivat kyberavaruudessa tiedustelu- ja puolustusorganisaatioiden osana olevilla toimijoilla.
Kyberoperaatiot yhdistettynä muihin hybridivaikuttamisen keinoihin ovat tuoneet valtioille mahdollisuuksia toimia tavalla, joka voidaan ainakin jossain määrin toteuttaa salassa ja niin, että valtioiden osallisuus paljastuviin tapauksiin voidaan kiistää. Hyökkäyksellisiä kybertoimia on käytetty erityisesti Ukrainan kriisin ja Krimin miehittämisen yhteydessä sekä Lähi-idässä Syyrian sisällissodan ja Iranin tilanteen yhteydessä.

Kuvalähde: Estonian Foreign Intelligence Service, 2018
Valtioiden tukemista kyberoperaatiotoimijoista venäläiset toimijat ovat aktiivisimpia ja aiheuttaneet suurinta tuhoa. Niiden tärkeimpiä kohteita ovat vuodesta 2014 lähtien olleet Ukrainan hallitus ja sen lainvalvontaelimet ja asevoimat. Vuodesta 2017 alkaen venäläisten toimintaa on kohdistettu myös Euroopan ja Yhdysvaltojen kriittistä infrastruktuuria ja energiasektoria kuten ydinvoimaloita vastaan. Ainakin seitsemän venäläistä ryhmää on tunnistettu, ja ne toimivat vaihtelevilla nimillä.
Kiinalaisten ryhmien on havaittu suuntautuvan hallituksen Made in China 2025 -suunnitelmassa asetettuihin vaatimuksiin teknologian, energian ja terveydenhuollon aloille. Viime vuosina kiinalaisten ryhmien aktiivisuudessa on havaittu kasvua, mikä liittyy ainakin osittain Yhdysvaltojen ja Kiinan suhteiden huonontumiseen.
Iranilaiset ryhmät ovat viime vuosina tehostaneet toimintaansa uusilla taktiikoilla, tekniikoilla ja menettelytavoilla. Niihin sisältyy esimerkiksi strategisia web-kompromettointikampanjoita ja mobiilihaittaohjelmia. Niitä on käytetty alueellisia kilpailijoita vastaan, maan opposition toiminnan rajoittamiseen sekä omien ”pehmeän sodan” kampanjoiden tukemiseen.
Myös pohjoiskorealaiset ryhmät ovat lisänneen aktiivisuuttaan viime aikoina. Kohteiden joukossa erottuvat painopistealueina finanssiala ja Etelä-Koreaan suunnattu tiedustelu.
Lähteitä ja linkkejä
Kansallisia ja monikansallisia viranomaisorganisaatioita:
- Danish Defence Intelligence Service: https://fe-ddis.dk/eng/Pages/English.aspx
- Estonian Foreign Intelligence Service: https://www.valisluureamet.ee/sec_env.html
- The European Centre of Excellence for Countering Hybrid Threats: https://www.hybridcoe.fi/
- European Union Institute for Strategic Studies: https://www.iss.europa.eu/
- Norwegian Intelligence Service: https://forsvaret.no/presse_/ForsvaretDocuments/Focus2020-web.pdf
- State Security Department of Lithuania: https://www.vsd.lt/en/threats/threats-national-security-lithuania/
- US CERT (Department of Homeland Security & Federal Bureau of Investigation): https://us-cert.cisa.gov/
Kybertoimintaa seuraavia ja tutkivia yksityisiä yrityksiä ja organisaatioita:
- Attack Mitre: attack.mitre.org
- Balkan Service Group: balkanservicegroup.wordpress.com
- CrowdStrike: crowstrike.com
- Eset: eset.com
- Fireeye: fireeye.com
- Intezer: intezer.com
- Kaspersky Lab: kaspersky.com
- Palo Alto Networks Unit 42: paloaltonetworks.com
- Symantec: broadcom.com
- Wired: wired.com