Tankar om datasäkerhet

Med anledning av mitt föregående inlägg (på finska) så vill jag ge mina läsare lite att tänka på angående datasäkerhet. Först i orderform ett par grundsaker med förklaringar, som förhoppningsvis alla är medvetna om (?) och sedan en liten lista över vardagliga saker som jag tycker Du ska se över och sätta i skick i Ditt digital liv.

Du skall icke upprepa Dig

Använd aldrig samma lösenord i olika tjänster. Har Du svårt att komma ihåg dina lösenord, så kan Du t.ex. ge den uppgiften till en applikation, som låser dom bakom ett huvudlösenord eller förvara dem krypterat på en särskild minnessticka som du inte använder för något annat eller helt enkelt ha dom på papper i ett kassaskåp.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Ett bra lösen kräver inte en massa specialtecken (om inte tjänsten kräver det). Du väljer bara slumpmässigt fyra eller fem ord och ersätter en eller två tecken med siffror och specialtecken. Bäst är ord som inte finns i någon ordbok, t.ex. dialektala uttryck. Vi tar en titt på styrkan hos två olika fiktiva lösen för musiktjänsten Spotify:

  • Spotify:spo#fyr4töt4ltslump4deörd (läs: ”fyra totalt slumpade ord”)
  • $pO7I§µ (anm. unga lär skriva så här på nätet)

För det första lösenordet finns 6,49 x 1045 kombinationer. Dagens bästa superdator kan pröva 16,32 x 1012 kombinationer i sekunden. På ett år finns 31 536 000 sekunder. Datorn arbetar således i 1,26 x 1025 år. Med energiförbrukning i klass A++ skulle detta kräva en monopol på Solens energi i över 140 000 år.

Perspektiv: Universum är cirka 4,33 x 1017 sekunder gammalt.

P.S. Det andra lösenordet bryts på 5 sekunder…

Du ska både bära föremål och minnas lösenord

Med stark autentisering avses en elektronisk metod där identifieringen och verifieringen grundar sig på minst två av följande tre alternativ:

  1. ett lösenord eller någonting annat som en innehavare av ett identifieringsverktyg vet,
  2. ett smartkort eller någonting annat som en innehavare av ett identifieringsverktyg har i sin besittning, eller
  3. fingeravtryck eller någon annan egenskap som identifierar en innehavare av ett identifieringsverktyg.

Vid en bankomat autentiseras Du med både kort och PIN-kod. Traditionellt använder webbtjänster bara användarnamn och lösenord. Användarnamnet är ofta offentligt eller dåligt skyddat. Flere webbtjänster erbjuder stark autentisering. Ta vara på erbjudandet och använd stark autentisering åtminstone i de viktigaste tjänsterna. Om Du inte vaknade till i förra kapitlet, så är det nu skäl att avbryta läsandet och sätta ett skal till på Din digitala säkerhet.

P.S. Läs http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ och ta en funderare hur lätt det vore att hacka Ditt digitala jag.

Sätt grundsakerna i skick!

Här har Du en förteckning på några åtgärder som Du ska skrida till, i syfte att öka Din säkerhet.

  • Använd i internet en tjänst som håller reda på Dina lösen. T.ex. F-Secure Key eller KeePass. Med dessa kan du lätt förvara, använda och skapa lösen. Kom trots allt ihåg att byta lösen tillräckligt ofta. Ett gammalt lösen är alltid ett gammalt lösen.
  • Kommentar: I världen efter Snowden blir vi lätt rädda för att överlåta våra lösen till en applikation. Du kan minska denna ångest genom att bekanta Dig med hur krypteringen fungerar. Det viktigaste är att Du väljer en tjänst som både skyddar förbindelsen och datan med stark kryptering. De ovannämnda är sådana. Jag brukar inte göra reklam eller rekommendera, men F-Secure för PC och mobilen är stenhård. Själv har jag ett par andra lösningarr ibruk, som närmast härstammar från ett nördaktigt kontrollbehov, men då jag tidigare använt F-Secure har jag aldrig blivit besviken. Vill Du ha en lätt, säker och pålitlig lösning, så ska Du köpa finskt.
  • Uppbackningar är viktiga och dom ska Du skydda. Du kan t.ex använda TrueCrypt programvaran. Märkväl att hotet av ”brute force” angrepp inte försvinner, så ha ett starkt lösen.
  • Använd sk tvåstegs autentisering alltid (när tillgänglig), där Du alltså ska ge en skild bekräftning efter att ha matat lösen. Detta kan vara ett svar på ett SMS eller YubiKey-autentisering.
  • Traditionella anti-virusprogram räcker inte längre. Se till att Du också har skydd mot sk malware, t.ex med MalwareBytes eller SpyBot jne.
  • Reklamer är lätta att klicka på, i synnerhet om datorn används gemensamt/offentligt. Du får stopp på reklamer i Din webbläsare med sk. add-ons, t.ex AdBlock.
  • På webbläsare i offentligt bruk ska Du använda incognito-funktionen, som inte lagrar historia eller annan data efter sessionen. Kom dock ihåg att stänga läsaren helt efter användning, eftersom vissa läsare kortvarigt lagrar data under pågående session.
  • Kom ihåg att skydda Din mobil och pekplatta. Samma program och lösningar finns mobilt och det är skäl attt skaffa dom!
  • Du ska städse uppdatera och uppbbacka. Automatisera gärna denna rutin och låt datorn göra jobbet så ofta som Du bestämmer. Granska regelbundet uppbackningarnas integritet.
  • Gardera Dig på sociala medier. SoMe är modernt och ger fler möjlligheter och dimensioner för kommunikation. Kom ihåg att skydda Dina (och andras) kontaktuppgifter. Du gör väl i att lämna känsliga ärenden och provocerande åsikter utanför sociala medier.
  • IRL: Vid bankomaten ska Du skydda din PIN-kod med handen.
  • E-posten fylls med phishingförsök, där man alltså frågar efter lösen och annat. Öppna aldrig dessa.

Här var nåra enkla tankar från en enkel soldat till andra enkla användare. Synpunkter och flera tips tas emot i kommentarsfältet nedan. I mitt nästa inlägg ska jag mera ingående svara på frågan varför?

Let’s keep ourselves and the internet safe!

Ajateltavaa tietoturvasta

Edelliseen blogimerkintääni liittyen tahdon antaa lukijoilleni mietittäväksi muutaman tietoturvaan liittyvän asian. Ensin käskymuotoon otsikoituna pari perusasiaa tarkasteluineen, jotka kaikki toivottavasti tietävät (?) ja sen jälkeen pieni listaus ihan jokapäiväisistä asioista, jotka Sinullakin pitäisi olla kunnossa.

Sinun ei pidä itseäsi toistaman

Älä koskaan käytä samaa salasanaa usemmassa palvelussa. Jos muistaminen on haaste, niin voit antaa sen tehtävän sovellukselle, joka lukitsee ne yhden pääsalasanan taakse tai säilyttää ne salakirjoitettuna tähän tarkoitukseen varatulla muistitikulla tai ihan yksinkertaisesti paperilla kassakaapissa.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Salasanassa ei tarvitse olla loputtomasti erikoismerkkejä. Vahvaan salasanaan päästään valitsemalla esimerkiksi satunnaisesti 4-5 sanaa ja korvaamalla 1-2 merkkiä numeroilla ja erikoismerkeillä. Murresanat ja muut, jotka eivät löydy sanakirjasta ovat parhaimpia. Tarkastellaan esimerkkinä kahden fiktiivisen Spotify-palvelun salasanan vahvuutta:

  1. nelj4ih4n$47unnais7a$4naa (lue: ”neljä ihan satunnaista sanaa”)
  2. $pO7I§µ (nuorille tyypillistä nettikirjoittelua, kirj. huom.)

Ensimmäiselle salasanalle on käytettyyn merkkiavaruuteen perustuen vähintään noin 6,49×1045 kombinaatiota. Maailman tehokkain supertietokone pystyy kokeilemaan 16,32×1012 kombinaatiota sekunnissa. Yhteen vuoteen mahtuu 31 536 000 sekuntia. Tietokone työskentelee siis 1,26×1025 vuotta. A++ energiatehokkuudella tämä toimitus vaatisi energiamonopolisopimuksen auringon kanssa 140 000 vuodeksi.

Vertailun vuoksi: maailmankaikkeuden ikä on noin 4,35×1017 sekuntia.

P.S. Toinen salasana murtuu 5 sekunnissa…

Sinun pitää sekä esinettä kantaman että salasana muistaman

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

  1. salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  2. sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  3. sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

Pankkiautomaatilla todennus tapahtuu sekä kortin että PIN-koodin avulla. Perinteisesti internetin eri palvelut käyttävät käyttäjänimeä ja salasanaa. Käyttäjänimi on useimmiten julkinen tai ainakin huonosti suojattu. Jotkut yleiset ja suositut palvelut tarjoavat vahvaa tunnistamista. Tartu tarjoukseen ja käytä vahvaa tunnistamista ainakin tärkeimmissä palveluissa. Verkkopalvelujen vahva tunnistaminen perustuu yleensä sekä salasanaan, jonka syötät ja esineeseen, joka on hallussasi (esim. puhelin tai tietokone). Jos et edellisestä salasanoihin liittyvästä varoituksesta ottanut vaarin, niin laita nyt heti yksi turvataso lisää tärkeimpiin palveluihin.

P.S. Lue http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ ja mieti miten helppoa Sinun sähköisen minäsi hakkerointi olisi.

Laita perusasiasi kuntoon!

Tässä listamuodossa muutamia vinkkejä.

  • Käytä internetpalveluita varten keskitettyä salasanojen hallintaa. Esimerkiksi F-Secure Key tai KeePass. Näillä voit helposti hallinnoida ja generoida uusia tehokkaita salasanoja. Muista kuitenkin vaihtaa salasanat säännöllisesti!
  • Kommentti: Snowdenin jälkeisessä maailmassa pelkäämme helposti salasanojen luovuttamista keskitettyyn hallintaan. Tästä huolesta voit helposti vapautua tutustumalla siihen, miten salaus toimii. Tärkeintä on, että valitset palvelun, jossa sekä yhteys että tiedot ovat vahvasti salattuja. Yllä mainitut ovat sellaisia. En yleensä mainosta tai suosittele, mutta F-Secure PC:lle ja mobiilille on jäätävän kova. Itse käytän paria muuta ratkaisua, johtuen nörttimäisestä kaikkien asetusten ja toimintojen hallitsemisen tarpeesta (ja sen myötä tulevasta tuskasta), mutta käyttäessäni aiemmin F-Securea en koskaan pettynyt. Vuoden 2011 jälkeen konetta hidastava vaikutus ja muistin käyttö on saatiin ohjelmistossa hyvin hallintaan. Suosi siis tässä suomalaista, jos haluat jotain helppoa, varmaa ja luotettavaa.
  • Varmistukset ovat tärkeitä ja ne on syytä suojata. Tähän voit esimerkiksi käyttää TrueCrypt ohjelmistoa. Tämä tosin ei ikinä poista salasanaan kohdistuvaa ”brute force” -tyyppisen hyökkäyksen uhkaa.
  • Käytä aina salasanojen kanssa niin sanottua ”kahdensuuntaista” autentikaatiota, jossa salasanan lisäksi sinun pitää antaa vielä erillinen vahvistus. Tämä voi olla vastaus tekstiviestiin tai YubiKey-autentikaatio.
  • Perinteiset virustorjuntaohjelmistot (anti-virus) eivät nykyään enää riitä. Haittaohjelmistojen havaitsemiseen ja poistamiseen on kuitenkin hyviä ohjelmistoja kuten, MalwareBytes, SpyBot jne.
  • Selaimiin on myös saatavilla lisäosina (add-on) mainosesto, mikä on hyvä olla varsinkin, jos laite on yhteiskäytössä (lapset klikkaavat helposti mainoksia). Yksi tällainen ohjelmisto on AdBlock.
  • Yhteiskäyttöisessä selaimessa kannattaa aina käyttää ns. turvamoodia, jolloin historiaa ja muita tietoja ei talleneta. Muista kuitenkin sulkea istunnon jälkeen selain kokonaan, sillä istunnon aikana tietyt tiedot tallentuvat levylle tietyissä selaimissa.
  • Muista myös älypuhelimen ja tabletin tieoturva! Kyseisiin laitteisiin löytyy samat ohjelmat tai vastaavat ratkaisut ja ne on syytä hankkia.
  • Muista säännöllinen päivitys ja varmistus. Automatisoi mielellään tämä rutiini, jolloin kone tekee sen niin usein kuin Sinä määräät. Tarkista välillä myös varmistusten eheys.
  • Turvaa sosiaalisen median käyttö. Some on nykypäivää ja antaa lisää mahdollisuuksia ja ulottuvuuksia yhteydenpitoon. Muista kuitenkin suojata yhteystietosi. Somessa ei myöskään kannata kovin arkaluontoista tai provosoivaa mielipidettä esitää.
  • IRL: Pankkiautomaatilla Sinun pitää toisella kädellä suojata PIN-koodin syöttäminen.
  • Sähköposteihin voi tulee niin sanottuja salasanojen ja tunnusten kalasteluhyökkäyksiä (phishing). Älä koskaan avaa näitä.

Tässä näitä yksinkertaisen sotilaan ajatuksia ja vinkkejä muille yksinkertaisille peruskäyttäjille. Korjauksia ja tarkennuksia sekä lisää vinkkejä saa mielellään lisätä kommenttikenttään. Seuraavassa merkinnässä vastaan tarkemmin kysymykseen miksi?

Pidetään maailma turvallisena!

Propagandaa tai mielipiteitä?

Vieraskynä 7.4.2014, anonyymi.

Julkaisen poikkeuksellisesti anonyymin vieraskynän. Syynä tähän on saatuun tietoon liittyvä julkaisurajoitus. Lähteestä haluan kertoa sen verran, että kyseessä on suomalainen kyberturvallisuuden asiantuntija. Tekemäni hyvin pienet korjaukset alkuperäistekstiin on esitetty korostettuina.

Image: Cyber war button
Kuva: www.thesleuthjournal.com
Metadata
Author/Operator [redacted]
Status CONFIDENTIAL (see Release note)
Date 06/04/2014
Category Information security, social network analysis, media/information channels
Release Free for users provided under certain conditions: Authors contact info & COM/DOC metadata is classified/protected
Version Final

Text

Sosiaalisessa mediassa kuohuu. Ukrainan kriisin myötä syntyneet jännitteet ovat syventäneet epäluuloja ja vahvoja mielipiteitä. Tutkiva journalismi ja valveutuneet ihmiset ansiokkaasti paljastivat jopa maassamme toimineen valeuutissivuston. Internetin blogipalstoilla esitellään myös varsin kriittisiä mielipiteitä, varsin kyseenalaisilla lähteillä. Voimakkaita mielipiteitä (lukija tulkitkoon) on myös esitetty myös suosituissa Facebookissa ja Twitterissä.

Ukrainassa tilanne tietoverkkojen osalta on varsin kyseenalainen. Demokraattisilla vaaleilla valittujen kansanedustajien puhelimia on häiritty, sekä operaattorien tiloihin on tunkeuduttu. Nämä ovat vaarallisia ja arvaamattomia toimia.

Ajan ollessa vaikea on tärkeää pitää se seikka mielessä, että ihmiset seuraavat mediaa tarkemmalla silmällä. Sanojensa takana pitää pystyä seisomaan kritiikkiä esitettäessä. Disinformaatio (ja tarvittavan informaation puute) haittaa myös tärkeää ja valveutunutta viranomaisten/ihmisten aikaa, sekä työtä. Hyvä opetus tästä on se, että kaikki esitetty kyseenalaiset asiat/mielipiteet voidaan helpommin/nopeammin pystyä tarkastamaan (hakukoneet, operaattorit jne.) jälkikäteen.

Suomessa laajaa keskustelua eri viranomaisten välillä on käyty Suomeen perustettavasta kyberturvallisuusvirastosta. Snowdenin paljastukset (ja niistä seuraavat toimet) varmasti vaikeuttavat tätä käynnissä olevaa hanketta.

Turkissa yritettiin varsin epäonnisesti tukahduttaa sosiaalisen median välineitä kuten Youtube ja Twitter. Tämä herättää sen varsin mielenkiintoisen kysymyksen: voiko Internetiä edes kontrolloida? Vaikeina talous aikoina on varsin vaikeaa rakentaa sen rinnalle omaa verkkoaan. Senpä takia kannattaa käyttää tervettä järkeä, ja parantaa/kehittää jokaisen omaa henkilökohtaista tietoturvaansa.

Yleisesti Internetissä on ollut hieman laajemmin palvelunestohyökkäyksiä, sekä blogisivustoihin kohdistuneita kohdennettuja hyökkäyksiä (WordPressin aukot). Myös Googlen nimipalvelimiin hyökättiin. Jännittyneen tilanteen vuoksi, yritysten on kyllä syytä muistaa mahdollinen teollisuusvakoilu. Jos kommunikaatio maiden välillä tulehtuu, on tämän mahdollisuuden kasvu varsin luonnollista. Kannattaa nyt silti päivittää se mahdollinen Windows XP, sekä antivirus/muut tietoturvaohjelmistot lähitulevaisuudessa.

End of text

Windows XP SP3 ja Office 2003 tuki päättyy 8. huhtikuuta 2014. Linkki aikaa jäljellä -laskuriin.

Kommentti

Mainittuun valeuutissivustoon liittyen sain ylläolevaan tekstiin tämän kommentin, jonka lähteenä on suomalainen kyberturvallisuuteen perehtynyt toimittaja.

Toimittajan ja Suomessa oikeiksi tunnustettujen työtapojen puolesta sekä Finnbayn, sosiaalisessa mediassa keskusteluun osallistuneiden että joidenkin suomalaismedioiden suhde lähdekritiikkiin on huolestuttava. Mikäli Finnbay olisi viestimen kriteerit Suomessa täyttävä entiteetti, se tarvittaessa täsmentäisi saamiensa tietojen lähteitä. Nyt Finnbay pyrkii valkopesemään julkaisemaansa sisältöä. Teksti sisältää toimittajan näkökulmasta seuraavat puutteet:

  1. Se esittää raskaita väittämiä (Yle on rasisti) perustelematta niitä riittävän kattavasti.
  2. Finnbay ei tarjoa vastuullista henkilöä, keneen ottaa yhteyttä tarvittaessa. Vastaavan toimittajan roolista säädetään Suomen laissa.

Kyber, osa 2 – kyberavaruus ja kyberhyökkäys.

Taistelutilasta

Edellisessä kirjoituksessani kyberistä käsittelin taistelutilan ulottuvuuksia. Aiheen käsittely ja ajatukset nojasivat hyvin perinteiseen ja yksinkertaistettuun kuvaan taistelutilasta, joka on enemmänkin tyypillinen kaltaiselleni ja vanhemmille teollisen ajan dinosauruksille, kuin informaatioajan sotakoneelle. Kyberavaruuden käsitteen ja sen sotilaallisten ulottuvuuksien hahmottamiseksi on syytä ottaa pari askelta taaksepäin ja kriittisesti tarkastella hahmottelemaani taistelutilaa. Tällä tavalla päästään ehkä myös käsiksi kyberhyökkäyksen käsitteeseen ja voidaan löytää vastaus siihen mikä se voisi olla ja miksi sitä tarvitaan.

Aloitan yksinkertaistamalla maailman yhtäältä fyysiseksi aineen ja energian maailmaksi tai atomeiden maailmaksi ja toisaalta keinotekoiseksi ihmisen luomaksi tiedon maailmaksi, joka on kasvavassa määrin digitaalinen bittien maailma. Tämä yksinkertaistus voidaan myös ulottaa taistelutilan käsitteeseen. Taistelutila on samalla tavalla yhtäältä fyysinen ja toisaalta keinotekoinen. Fyysistä taistelutilan osaa voidaan matemaattisesti kuvata neliulotteisena aika-avaruutena.

Sähkömagneettinen spektri

Suurimmaksi osaksi näkymätön maailma, eli sähkömagneettinen (sm) säteily, on mullistanut sodankäynnin ja muodostanut sillan fyysisen ja keinotekoisen avaruuden välille. Kyky lähettää, käsitellä ja analysoida sm säteilyä on muovannut taistelutilaa digitaaliseksi. Tietokoneiden kasvavan laskentatehon mahdollistama kyky monimutkaisten algoritmien avulla tapahtuvaan uskomattoman nopeaan signaalin- ja tietojenkäsittelyn on nostanut sm spektrin omaksi ”ulottuvuudekseen”. Sen käänteentekevää vaikutusta sodankäyntiin ei voi kiistää, mutta sm spektri kuitenkin vain kuvaus energian ja aineen vuorovaikutuksesta fyysisessä avaruudessa. Sähkömagneettinen säteily on osa aika-avaruutta. Energian näkymättömmyys ei tee siitä ”kyberiä” eikä erota sitä fyyysisestä avaruudesta.

Kyberavaruus

Taistelutilan keinotekoinen ulottuvuus on sekä digitaalinen että kognitiivinen. Se koostuu informaatiosta, josta muodostetaan päätöksenteon tukena käytettävä ymmärrys. Informaatio käsittää mm. tietojen hankkimisen, taltioimisen, jakamisen, analysoinnin ja käytön. Tässä tietokoneet ja tietoverkot ja ovat avainasemassa ja siksi tämä ”informaatioulottuvuus” on saanut rinnalleen ”kyberulottuvuuden”. Mielestäni tällainen jako tekee keinotekoisesta taistelutilasta hajanaisen ja vaikeammin ymmärrettävän. Tarkasteltaessa esimerkiksi Internetin mahdollistamaa ihmisten keskinäisen verkostoitumisen lisääntymistä, ihmisen ja koneen liiton vahvistumista vuorovaikutuksen helpottumisen (käyttöliittymien kehittyminen) myötä sekä tiedonkulun ja -käsittelyn nopeutumista ja automatisointia, syntyy mahdollisuus globaalimpaan keinotekoisen ulottuvuuden määrittelyyn. Lisäämällä tietokoneisiin, tietoverkkoihin, algortimeihin, robotiikkaan ja keinoälyyn perustuvaan määritelmään tekijät informaatio, kommunikaatio ja kognitio päästään yhtenäisempään keinotekoisen ulottuvuuden määritelmäään, jota voidaan kutsua kyberavaruudeksi. Edellisessä kirjoituksessani esittämäni taistelutilan viidennet ja kuudennet ulottuvuudet, eli informaatioavaruus ja ”globaali mieliavaruus”, voidaan siis mieltää osaksi kyberavaruutta. Ihminen on siis osa kyberavaruutta ja elää kyberavaruudessa. Ensimmäiset neuvolan ultraäänikuvauksesta tallennetut tiedot ankkuroivat ihmisen tähän ”maailmaan”.

Ihminen voi fyysisessä avaruudessa ja kyberavaruudessa joissain määrin valita vuorovaikutuksensa ja näkyvyytensä määrän. Voidaan puhua ympäristöön jäävästä jalanjäljestä. Irtikytkeytyminen fyysisestä maailmasta on ilmeisen mahdotonta. Kybermaailmasta irtautuminen on niinikään lähes mahdotonta. Sodankäynnissä pelkästään tiedustelu-, valvonta- ja johtamisjärjestelmien kehittyminen on tuonut kyberavaruuden jokaisen sotilaan maailmaan. Etenkin sotilasjohtajat elävät informaation maailmassa, eivätkä voi kytkeytyä siitä irti. Johtaminen ei enää ole pelkästään ihmisten välistä tavoitteellista vuorovaikutusta, vaan myös ihmisen ja koneiden välistä vuorovaikutusta.

Kyberhyökkäys

Kyberhyökkäys on vaikea käsite. Tämä johtunee osin siitä, että asiantuntijatkin ovat eri mieltä siitä mikä se on, osin taas koko kybertoiminnan ympärillä olevasta okkultista mystiikan verhosta. Joidenkin asiantuntijoiden mielestä kyberhyökkäystä tai kybersodankäyntiä ei ole vielä nähty. Tällaiset näkemykset painottavat usein kybersodankäynnin valtiojohtoisuutta taikka edellyttävät kyberhyökkäykseltä fyysistä tuhoa Die Hard 4.0:n tavoin. Kyber on kuitenkin miellyttävä kattokäsite, jonka alle mahtuu kaikki modernin yhteiskunnan verkottunut tekniikka. Hyvä näin, koska kyberavaruus laajenee jatkuvasti, emmekä vielä näe taikka ymmärrä sen rajoja tai rajattomuutta.

Informaatio, kommunikaatio ja kognitio.

Käsitteenä kyberhyökkäys on ehkä tarpeettoman laaja. Nykytilanteessa voitaisiin puhua aivan yhtä hyvin tietoverkko-operaatioista. Stuxnet on esimerkki tietoverkkohyökkäyksestä, jossa saavutettiin haluttu tekninen tavoite, eli jonkinasteinen fyysinen vaikutus kohteeksi valituissa järjestelmissä. Muut vaikutukset, kuten ydinaseen kehittämistä hidastavat uudet moninkertaiset turvaprotokollat sekä heikentynyt luottamus omiin järjestelmiin ja niiden tuottamaan tietoon, eivät ole sattumanvaraisia roiskeita. Nämä vaikutukset ovat parhaimmassa tapauksessa laajempia ja pitkäkestoisempia kuin ydinohjelmalle aiheutettu viive.

Red October (Rocra) puolestaan on hyvä esimerkki tietoverkkotiedusteluun tarkoitetusta ohjelmasta, joka varastaa tietoa ja paljastuttuaan pakottaa kohteeksi joutuneen toimijan epäilemään oman tietonsa luotettavuutta ja eheyttä ja heikentää sen saatavuutta. Sotilasorganisaatiolle Rocran kaltainen vakoiluohjelma merkitsee monissa asioissa paluuta manuaaliseen tietojenkäsittelyyn, joka hidastaa johtamissykliä ja heikentää päätöksenteon tukena käytettävää tiedon laatua. Tämäkin vaikutus elää vuosia järjestelmien puhdistamisen jälkeen.

Varsin päteviä ”kyberaseita” siis.

Hysteriaa hyökkäyksestä

Suomen uusi kyberstrategia uhkaa tulla rasvaton tervysvaikutteinen kevytstrategia, koska kyberhyökkäyskyvystä on tullut jonkinlainen kiistakapula hallituspuoleiden riveissäkin. Miksi? Kyberaseet ovat käyttökelpoisia kaikissa konfliktin vaiheissa, etenkin painostusvaiheessa. Kyberhyökkäys hämärtää rauhan ja sodan eroja. On ehkä ymmärrettävää että tällaista hyökkäyskykyä ei haluta, koska se vaatisi merkittäviä lakimuutoksia kaikkien viranomaisten osalta. Jarno Limnéll muistuttaa kuitenkin blogissaan osuvasti, että ”on tärkeää pitää mielessä, että kyvyn omaaminen ei tarkoita samaa kuin sen käyttäminen.” Hyökkäyskyvystä luopuminen merkitsee sitä, että puolustusvoimille ei kehitetä mahdollisuutta iskeä hyökkääjän tietoon ja päätöksentekoon kyberavaruudessa. Hysteerinen suhtautuminen kyberhyökkäysaseisiin muistuttaa torjuntahävittäjen ilmasta-maahan aseistuksen hankkimisesta vuonna 2006 käytyä keskustelua, joka jo viime vuonna oli muuttunut rauhallisemmaksi soraäänten noustessa pääosin vasemmalta. Toivoa sopii, että tämäkin keskustelu rauhoittuu ja kyberturvallisuusviranomaiset saavat omat JASSM-ohjuksensa ja ATACMS-rakettinsa.

Varsin päteviä hyökkäysaseita nekin.