Jarno Limnéll
Syntynyt 1973
Aalto-yliopiston kyberturvallisuuden professori
Maanpuolustuskorkeakoulun kyberturvallisuusjohtamisen dosentti, dosentuurit myös Tampereen teknisessä yliopistossa ja Jyväskylän yliopistossa
Sotatieteiden tohtori, valtiotieteiden maisteri, majuri evp
Toimitusjohtaja etäyhteysteknologiayhtiö Tosiboxissa vuodesta 2018
Aiemmin mm. kyberturvallisuusjohtaja Insta Groupissa, McAfeessä sekä Stonesoftissa
”Lyhyt vastaus on, että kyllä sodan kynnys voi madaltua.
Näin vastaa Aalto-yliopiston kyberturvallisuuden professori Jarno Limnéll kysymykseen, voiko vaikutuksiltaan kriittinen kyberhyökkäys madaltaa sodan kynnystä ja johtaa fyysisin asein käytävään sotaan.
Liukasliikkeiset digitaaliset kyberturvallisuuden keinot ovat alituisessa dynaamisessa kehitystilassa, eikä niiden käyttäminen johda vääjäämättä aseelliseen sotaan. Vaikka kyberturvallisuudella on looginen yhteys perinteisin keinoin hoidettavaan laaja-alaiseen turvallisuuspolitiikkaan, on sodan syttymisen kynnys edelleen olemassa, ja sen ylittäminen vaatii poliittisia päätöksiä. Selkeimmissä tapauksissa on silloin kysymys sodan julistamisesta.
Limnéll korostaa, ettei hän halua olla pelonlietsoja, joka maalaa pirua seinälle, mutta tosiasioista on silti uskallettava puhua niiden oikeilla nimillä. Turvallisuus ja siitä huolehtiminen on hänelle positiivinen asia, joka mahdollistaa kaiken sen hyvän, mistä modernissa siviiliyhteiskunnassa nautitaan.
– Pitää olla maltillinen varsinkin kybersota-käsitteen kanssa. Muutenkin vähän harmittaa, että kyberasioista puhuminen keskittyy uhkiin ja riskeihin, jolloin siitä jää pelottava kuva. Minulle turvallisuus näyttäytyy positiivisena asiana. Se on mahdollistaja.
Limnéll itse ei puhu mielellään kybersodasta. Kyberturvallisuus ja kyberhyökkäykset ovat riittäviä termejä.
– Kybersota tarkoittaisi mielestäni sitä, että silloin sotaa käydään ainoastaan kyberkeinoin. Silloin yhteiskunta on kuitenkin jo sotatilassa. On vaikea nähdä puhdasta kybersotaa. Mutta kun puhutaan sodankäynnistä ja yhteiskunnan turvallisuudesta, niin kyberasiat ovat siinä ehdottomasti erottamattomana osana. Uskon vahvasti, että niiden merkitys kasvaa jatkossa, kun suomalainenkin yhteiskunta entisestään digitalisoituu. Yleisesti valtiot panostavat yhä enemmän kyberhyökkäyskykyjen kehittämiseen.
Ei ole sotaa – ei rauhaa
Äärimmäisellä sodan syttymiskynnyksellä siirrytään harmaalle alueelle, jossa värin muuttuminen mustaksi tarkoittaa vakavien yhteiskuntaan kohdistuvien uhkien ja ehkä jo tapahtuneiden tuhojen tunnistamista. Kyberhyökkäyksillä voidaan lamauttaa sekä siviili- että sotilassektoria. Analyyttisesti erillään olevilla digimaailman ja fyysisen maailman uhkilla on selkeä yhteys laaja-alaisessa turvallisuuspolitiikassa.
Limnéll sanoo, että puhdasta rauhaa tai sotaa ei ole enää aikoihin ollut. Yhteiskunnat ja valtiot elävät ikään kuin niiden välitilassa, milloin lähempänä toista, milloin toista. Hänen mielestään valtiot ja näistä isoista asioista päättävät tahot hämärtävät joskus tahallaankin sodan- ja rauhan määrittelyä.
Laajamittaiselle sodan syttymiselle on silti edelleen selkeä kynnys, jonka ylittäminen vaatii Limnéllin mukaan demokraattisessa yhteiskunnassa poliittisia päätöksiä.
– Mutta kyberhyökkäyksien ja fyysisen sodan yhteyden pohtiminen on vielä sellainen poliittisesti jäsentymätön alue, josta ennakkotapauksia on varsin vähän. Nyt on kyllä alkanut asiasta tulla enemmän erilaisia julistuksia. Esimerkiksi Iso-Britannia on ilmoittanut, että vakava kyberhyökkäys voi johtaa fyysisiin sodankäynnin vastatoimiin.
Muitakin vastaavia määrittelyjä sodan mahdollisuudelle on maailmalla tehty.
”Merkittävimmät kybertaistelut tullaan käymään ihmisten mielistä.”
– Vakavan kyberhyökkäyksen ei tarvitse välttämättä tuottaa suurta fyysistä tuhoa. Tämä on se asia, josta kansainvälisestikin keskustellaan vakavasti. Natohan on linjannut, että esimerkiksi vakava kyberhyökkäys jotakin liiton jäsentä kohtaan voi johtaa artikla viiden eli yhteisen puolustuksen aktivointiin.
Kyberturvallisuus on kuuma asia. Siitä huolehtiminen vaatii jatkuvaa teknisten resurssien, niiden käytön osaamisen ja kyberturvallisuutta koskevien poliittisten prosessien kehittämistä. Kaikki tämä tarkoittaa Limnéllin mukaan yhä enemmän eri valtiollisten toimijoiden kansainvälisen yhteistyön kehittämistä.
Limnéll sanoo, että kyberturvallisuudessa on kysymys monentasoisesta kilpajuoksusta, joka koskee kykyjen kehittämistä sekä hyökkäysten havainnoinnissa, niiden torjunnassa, mutta myös omissa aktiivisissa toimissa. Kilpajuoksussa kyvykkäänä pysyminen vaatii teknistä, älyllistä, psykologista, poliittista ja yhteistyöosaamista.
– Yhä enemmän korostuu se, että tämä on jatkuvaa kilpajuoksua myös erilaisten pahantahtoisten toimijoiden kanssa.
Siviiliyhteiskunta useimmiten kohteena
Kyberturvallisuudesta puhuminen saattaa kuulostaa valveutuneestakin kansalaisesta teoreettiselta ja kaukana arjesta olevalta. Käytännössä kyberturvallisuus on kuitenkin lähempänä jokapäiväisiä siviiliyhteiskunnan toimia kuin perinteisiin aseisiin varautuva turvallisuuspolitiikasta huolehtiminen.
Kyberhyökkäykset voivat kohdistua tietoverkkojen kautta tarkasti rajattuihin kohteisiin. Niillä voidaan urkkia tietoja, väärentää ja myös tuhota tietoja. Tarkkaan kohdennetut kybervaikuttamiset eivät useinkaan nouse julkiseen keskusteluun – varsinkaan jos ne kohdistuvat liike-elämään ja siellä vaikkapa tuotekehittelyyn, koska paljastumisesta saattaa koitua haittaa niin taloudellisesti kuin imagollekin.
Merkittävät siviiliyhteiskuntaa vahingoittavat kyberhyökkäykset kohdistuvat arkisiin asioihin. Limnéll arvioi vakaviksi hyökkäykset suomalaista infrastruktuuria kohtaan. Niihin hän lukee erityisesti sähköntuotantoon, sähkönjakelun ja terveydenhuoltoalan toimiin sekä tietojärjestelmiin kohdistuvat tuhot.
– Toinen vakava uhka-alue ovat kohtalokkaat tietomanipulaatiot. Tällöin manipuloidaan tietoja valtionhallinnon järjestelmissä ja vaikkapa terveydenhuollon piirissä. Silloin ei voisi enää luottaa tiedon oikeellisuuteen. Se saattaisi tuottaa ikäviä seurauksia. Mahdollisia ovat myös hyvin ikävät tietovuodot sensitiivisistä salaisista asioista, joita ei ole tarkoitettu ulkopuolisten silmiin. Suurimittaiset tietovuodot voivat saada Suomen maineelle ja politiikalle isoja kolhuja aikaan.
Valtiot panostavat yhä enemmän kyberhyökkäyskykyjen kehittämiseen.
Muutama vuosi sitten ulkoministeriön tietojärjestelmiin hakkeroiduttiin. Asia paljastui vasta kahden vuoden päästä siitä, kun hakkerointi alkoi.
– Tämäkin tapaus kertoo jatkuvasta kilpajuoksusta. Yhä enemmän korostuu havaintokyvykkyyden kehittäminen, eli se, että pystytään yhä paremmin havainnoimaan sitä, mitä tietoyhteyksissämme ja tietojärjestelmissämme liikkuu. Siellä saattaa liikkua niin kehittyneitä asioita, että emme vain kykene niitä huomaamaan.
Virheellinen turvallisuuden tunne, joka voi johtua teknisestä kyvyttömyydestä ja osaamattomuudesta, on Limnéllin mukaan merkittävä kyberuhka.
Kybertoiminnassa ei synny ruumiita
Kybermaailman näkökulmasta Euroopan unioni ei ole sama asia kuin konkreettisten jäsenmaiden yhteen laskettu kokonaisuus. Jäsenmaidensa kapasiteettien päälle EU:n kyvykkyyden ja toiminnan lisäarvo rakentuu ennen kaikkea sen korkeateknologisissa tietojärjestelmissä. Tämä koskee mitä tahansa modernien nyky-yhteiskuntien toimialueita. Erityisesti EU:lle ominaiset tietojärjestelmäkonstruktiot koskevat finanssiasioita, taloutta, poliittista yhteistyötä ja sääntelyä sekä maiden rajat ylittävää toimintaa.
Kaikkia EU-järjestelmiä voidaan pahimmin hakkeroida, manipuloida ja tuhota juuri kyberhyökkäyksillä. Haitallisen toiminnan estämiseksi on tehty paljon, ja edelleen on paljon tehtävää.
Limnéll kertoo arvioineensa hiljattain asiantuntijana yhdessä Euroopan komission nykyisen varapuheenjohtajan Jyrki Kataisen kanssa, että EU:n alueella on 350 000 kyberosaajan vaje vuonna 2022.
– Pitää muistaa, että se kaikkein tärkein voimavara kyberturvallisuudessa on osaava ihminen. Tarvitaan teknisiä resursseja, mutta monesti unohdetaan, että osaavista ihmisistä tämä on ensisijaisesti kiinni. Ja niitä tarvitaan hurja määrä lisää.
Onnistuneesta kybertoiminnasta, oli se sitten hyökkäystä tai torjuntaa, ei yleensä synny ruumiita eikä välttämättä fyysisiä tuhoja. Siitä syntyy ainoastaan digitaalisia saavutuksia.
Kyberturvallisuudesta huolehtiminen ja siihen varautuminen on yleensä paljon halvempaa kuin varustautuminen asein, vaikka siihen ei liiaksi kiinnitetä huomiota.
Kyberpuolustus on yhteistyötä
Limnéll tähdentää, että kyberkykyjen kehittäminen on kansainvälistä yhteistyötä.
– Kyberosaamista kehitettäessä pitää aina pitää mielessä se iso kuva, ettei mikään valtio, ei edes Yhdysvallat, voi omata kyberylivoimaa pelkästään kansallisin voimin. Kyberosaaminen perustuu hyvin vahvasti kansainväliseen verkostoon ja yhteistyöhön.
Yhteistyön ulkopuolella ovat siihen haluttomat valtiot ja omia etujaan tavoittelevat organisaatiot. Molemmat tahot aiheuttavat kyberturvattomuutta.
Kyberturvallisuus on lähempänä arjen siviilielämää kuin asevarainen turvallisuus.
– On hyvin tärkeätä pitää jatkuvasti mielessä, kun suomalaista kyberturvallisuutta kehitetään, että sitä ei voi nykymaailmassa tehdä pelkästään kansallisin voimin eikä kansallisten fyysisten rajojen sisällä, vaan se on yhä enemmän aktiivista yhteistyötä samanmielisten valtioiden kanssa, joilla on yhteisiä tavoitteita. Kyberturvallisuus on tänä päivänä ensisijaisesti poliittinen ja strateginen asia.
EU:ssa on kehitelty cyber diplomacy toolboxia eli kyberdiplomatian työkalupakkia. Sitä luotaessa on mietitty yhteisiä keinoja siihen, jos jokin EU-maa joutuu kyberhyökkäysten tai -vaikuttamisen kohteeksi.
Limnéll sanoo, että kyberturvallisuudesta huolestuminen liittyy laajaan demokratian kriisiin.
– Uskon, että vaaleihin vaikuttaminen maailmassa tulee jatkossa lisääntymään. Siihen käytetään entistä enemmän kyberteknisiä ja kyberpsykologisia keinoja. Merkittävimmät kybertaistelut tullaan käymään ihmisten mielistä. Se ei ole sitä niin sanottua teknistä hakkeroitumista vaan vaikuttamista psykologisesti digitaalisen maailman kautta ajatteluumme.
Tutkimuspuolella on käytössä termi cyber politics, eli kyberturvallisuutta koskevat asiat, kyberpolitiikka.
– Nämä ovat poliittisia asioita pohjimmiltaan. Tämä korostuu yhä enemmän. Kun nämä asiat ovat yhä enemmän ulko-, turvallisuus- ja puolustuspolitiikkaa, niin se edellyttää myös poliittisilta päättäjiltä vahvempaa ymmärrystä siitä, minkälaista kyberpolitiikan agendaa halutaan kansainvälisesti edistää. Se on alue, jossa meillä on vielä parannettavaa.
Jarno Limnéll
Syntynyt 1973
Aalto-yliopiston kyberturvallisuuden professori
Maanpuolustuskorkeakoulun kyberturvallisuusjohtamisen dosentti, dosentuurit myös Tampereen teknisessä yliopistossa ja Jyväskylän yliopistossa
Sotatieteiden tohtori, valtiotieteiden maisteri, majuri evp
Toimitusjohtaja etäyhteysteknologiayhtiö Tosiboxissa vuodesta 2018
Aiemmin mm. kyberturvallisuusjohtaja Insta Groupissa, McAfeessä sekä Stonesoftissa