Strategisesti ja taktisesti kyber- ja hybridiuhkia vastaan

5.10.2017  |  Artikkelit, Riskienhallinta

John R. Allen puhui Cyber Security Nordic -seminaarissa Helsingissä syyskuussa 2017. Kuva: Petri Mast.

Johtaja, varmista, että sinulla on päätöksenteon tueksi oikeat informaatiokanavat ja kyvykkyydet myös big datan käsittelyyn. Pyri samalla ymmärtämään lyhyen aikavälin strateginen ympäristö, mutta katso samalla kauemmas. Näin neuvoo John R. Allen, entinen Yhdysvaltain merijalkaväen kenraali kriittisistä menetystekijöistä yhä kehittyvien kyberuhkien torjunnassa.

John R. Allenin mukaan nyt eletään 21. vuosisadan taistelukentällä, jota leimaa erittäin monimutkainen ja vaarallinen ympäristö kyber- ja hybridisotineen. Tulevaisuudessa taistelukentät muuttuvat yhä monimuotoisemmiksi ja niin sanotuiksi hypersotatantereiksi.

Allen kävi Suomessa syyskuun lopulla. Hän on aiemmin toiminut muun muassa kriisinhallintaoperaatiossa Afganistanissa sekä ollut tiiviisti mukana Lähi-idän rauhanprosessissa.

PwC toi Allenin puhujaksi Helsinkiin teemana modernit taistelukentät. Allen siteeraa kuuluisaa sotateoreetikkoa Carl von Clausewitzia ja sanoo, että kaikki sodat ovat ainutlaatuisia.

Jokaisella konfliktilla on yleinen luonne ja erityiset ominaisuudet. Nämä molemmat on kyettävä ottamaan huomioon yhtä aikaa.

Sodankäynnin luonnetta on määritellyt ihmisen kyky käydä sotaa, sodan inhimillinen ulottuvuus. Sodankäynnin ominaisuuksia puolestaan määrittelee mm. teknologia.

Allen kehottaa pohtimaan, ovatko nämä kaksi tasapainossa. Entä mitä siitä seuraa, jos näin ei ole? Hän itse vastaa huomauttamalla, että seuraukset voivat olla valtavat.

Digitaalisuudella on yhä vahvempi rooli yhteiskunnissamme, ja vapaissa demokratioissa kaikki kansalaiset ovat verkottuneita. Samaan aikaan kyberrikollisuus ja muut ei toivotut ilmiöt kasvavat, ja näillä ryhmittymillä on erittäin moderneja keinoja digitaalisten järjestelmien manipulointiin.

Megatrendien vaikutuksia ei voi sivuuttaa

Tulevaisuuden menestyksen kannalta on ratkaisevaa, että samanaikaisesti osataan nähdä ja ymmärtää lyhyen ja pitkän aikavälin strategisia haasteita.

Pitkän aikavälin megatrendeistä on puhuttu paljon, mutta Allen epäilee, ymmärretäänkö niiden merkityksellisyys todellisuudessa.

Turvallisuuteen olennaisesti vaikuttavat globaalit megatrendit ovat taloudellisen vallan siirtyminen lännestä itään, väestön demografinen muutos, kaupungistuminen, teknologinen kehitys sekä raaka-aineiden vähyys ja ilmastonmuutos.

Allen huomauttaa, että vuoteen 2050 mennessä E7-valtioiden (Kiina, Intia, Indonesia, Brasilia, Venäjä, Meksiko ja Turkki) taloudellinen kapasiteetti on kaksinkertainen G7-maihin (USA, Britannia, Saksa, Ranska, Kanada, Japani ja Italia) verrattuna.

Terveydenhuoltoon ja tuotannon tehokkuuteen tuo kehittyneissä yhteiskunnissa omat haasteensa väestön ikääntyminen. Viidennes maailman väestöstä on yli 60-vuotiaita vuonna 2050. Sen sijaan kehittyvissä maissa on yhä enemmän nuoria, joilla on odotuksia talouskasvulle – mutta siellä ei välttämättä ole siihen tarjolla mahdollisuuksia.

Tämä on demografinen aikapommi. Ensimmäiset merkit siitä nähtiin 2011 arabikevään aikana.

Kaupungistuminen puolestaan synnyttää megakaupunkeja mutta myös megaslummeja.

Nykyään noin joka viides ihminen asuu kaupungissa, vuonna 2050 tuo luku on yli 70 prosenttia. Useimmat noista kaupungeista ovat sellaisia, joilla on rajalliset resurssit kehittää infrastruktuuriaan. Noita alueita kutsutaan hallinnottomiksi alueiksi, niitä ei toisin sanoen pystytä hallitsemaan laillisesti. Tilaa jää rikollisjoukkioille, jotka ottavat alueet omaan hallintaansa.

Teknologian nopea kehittyminen avaa samalla uudenlaisia mahdollisuuksia, mutta luo myös uhkia. Esineiden Internet (IoT), keinoäly ja yhä tehokkaampi viestiliikenteen salaus ovat esimerkkejä tällaisista. IoT avaa eteemme todelliset ubiikkiyhteiskunnan mahdollisuudet, keinoälyn hyödyntämisvaihtoehdot ovat lähes rajattomat, viestiliikenteen salaus mahdollistaa yhä paremman tietosuojan. On tärkeää kuitenkin ymmärtää, mitä nämä mahdollisuudet tarkoittavat uhkina rikollisten tai valtiollisten hyökkääjien hyödyntäessä niitä omiin tarkoitusperiinsä.

Johdolle uusia vaatimuksia

Mitä moderni taistelukenttä, joka on täynnä informaatiota ja jossa päätöksenteon nopeus ylittää villeimmätkin kuvitelmamme, vaatii johtamiselta? Allen kehottaa kaikkia johtajia pohtimaan erittäin tarkasti modernien konfliktien luonnetta ja ominaisuuksia. Niitä on peilattava sekä lyhyen että pitkän aikavälin strategisiin realiteetteihin.

Moraalinen ja hengellinen johtajuus on todella tärkeää, Allen aloittaa listauksensa.

Johtajan on oltava nerokas, päättäväinen ja kykenevä äärimmäisen nopeisiin päätöksiin. Tilanteet vaativat kestävyyttä ja luonteenlujuutta, teräksistä tahtoa viedä prosessit loppuun asti.

Allen kehottaa johtajia varmistamaan, että käytössä on oikeat ja luotettavat kanavat informaation ja big datan käsittelyyn. Niitä tarvitaan päätöksenteon tueksi.

Jotkut kollegoistani ovat sitä mieltä, että me olemme menettämässä konfliktien hallinnan. Heidän mielestään verrattain pienet valtiot ja yksittäiset järjestötkin voivat kehittyneiden tekoälyalgoritmien avulla tehdä valtavasti tuhoa.

Allen puolestaan haluaa uskoa, että pystymme kehittämään konfliktien hallintaan yhä parempia ratkaisuja samalla kun niiden hallinta monimutkaistuu ja vaikeutuu tulevaisuudessa. Hän huomauttaa, että osaamista meillä on, mutta meitä rajoittaa mielikuvituksen puute.

Mielikuvitus, jota käyttämällä voimme pysytellä useimpien uhkien edellä, ei voi olla yksinomaan hallinnon harteilla. Meidän kaikkien on syytä pysähtyä ajattelemaan eri mahdollisuuksia.

Jatkuvaa analysointia tarvitaan

Allen mainitsee, että Suomessa on totuttu varautumaan moniin kriiseihin koko kansakunnan tasolla. Siitä syystä myös kyberuhkiin varautuminen on luontevaa.

Suomi on yksi ensimmäisiä maita, joka on tunnistanut kyberuhkat koko yhteiskunnan laajuudelta. On harvinaista, että hallinto ja yhteiskunta tekevät yhteistyötä suojellakseen hallintoa, ihmisiä ja yrityksiä. Useimmissa maissa kyberstrategia ei ulotu ihmisiin ja yrityksiin.

Tulevaisuutta ajatellen nyt olisi kuitenkin organisoiduttava siten, että kykenemme suojelemaan yhä vahvemmin informaatiotamme, operaatioitamme, identiteettejämme ja näiden asioiden järjestelmällistä käsittelyä.

Hän muistuttaa, että tietoa ympärillä olevasta täytyy analysoida jatkuvasti ja olla tietoinen myös siitä, mitä sosiaalisessa mediassa tapahtuu.

Kyberturvallisuusohjelma menestymisen mahdollistajana

PwC:n digitaalisen turvallisuuden liiketoiminnasta vastaava johtaja Jani Arnell uskoo Allenin näkemykseen kybertoimintaympäristön murroksesta.

On tyypillistä, että osa sotateollisuuden innovaatioista sekä muutoksesta ajautuu myös siviilipuolelle osaksi yritysten ja organisaatioiden arkea.

Hybridisodankäynti on yksi tällaisista esimerkeistä. Teknisten kyberkyvykkyyksien kehittyessä hyökkääjät etsivät eri keinoja tavoitteidensa saavuttamiseksi. Esimerkiksi taloudellisen hyödyn tavoitteluun tähtäävät hyökkäykset ovat jo pitkään pitäneet sisällään psykologisia, sosiaalisia ja teknisiä ominaisuuksia.

Uskon keinoälyn edelleen kehittyessä hyökkäyksien moninaisuuden sekä toisaalta myös tarkkuuden yhä kehittyvän merkittävästi. Tämä asettaa puolustajille aivan uuden tyyppisiä haasteita, joskin keinoäly tulee varmasti helpottamaan osittain myös tätä työtä, Arnell sanoo.

On kuitenkin aivan selvää, että kaikki digitaalisessa toimintaympäristössä toimivat yritykset ja organisaatiot tarvitsevat yhä kokonaisvaltaisempaa strategista otetta nykyisten ja tulevaisuuden uhkien hallitsemiseksi. Yritysten hallitusten ja toimivan johdon on kyettävä ymmärtämään yrityksen toiminnan riippuvuus toimiviin ja luotettaviin digitaalisiin palveluihin ja kuinka nopeasti asiakasluottamuksen voi menettää.

Yksi erinomainen keino sitouttaa koko organisaatio digitaalisen toimintaympäristön haltuunottoon on kokonaisvaltainen digitaalisen turvallisuuden kehitysohjelma. Se luo strategian lailla suunnan ja siten myös selkärangan yrityksen turvallisuuden ja tietosuojan varmistamiselle. Se luo edellytykset myös kybertoimintaympäristössä selviytymiselle ja menestymiselle. Ohjelma muodostaa yritykseen jatkuvan prosessin, jossa toimintaympäristön riskit tunnistetaan, ja jossa niitä hallitaan monipuolisilla ja -ulotteisilla riskienhallintakeinoilla mukaan lukien henkilöstön turvallisuustietoisuus.

Kirjoittaja: Kirsi Riipinen, Kuvat: Petri Mast

Jani Arnell

Digitaalinen turvallisuus

+358 (0)20 787 8844

  

Vastaa

(* merkityt kentät ovat pakollisia. Sähköpostiosoitetta ei julkaista kommentin yhteydessä.)