Viime vuosikymmeninä yli 40 osavaltiota on julkisesti perustanut jonkinlaisen sotilaallisen kyberkomennon, ja ainakin kymmenkunta muuta aikoo tehdä niin. Tästä leviämisestä huolimatta tehokkaan kyberkäskyn vaatimaa aika- ja resurssien määrää ei ymmärretä edelleenkään.
Kirjassani No Shortcuts: Why States Struggle to Develop a Military Cyber-Force jaan tehokkaan kyberkomennon rakentamisen haasteet viiteen kategoriaan, joita kutsun PETIO-kehykseksi: ihmiset, hyväksikäytöt. , työkalut, infrastruktuuri ja organisaatiorakenne. Mitä tämä tarkoittaa pyrkiville kybervoimille? Ensinnäkin tärkein elementti hyökkäävän kyberkapasiteetin kehittämisessä ovat ihmiset – eivät vain teknisesti taitaneet, vaan myös lingvistit, analyytikot, front-office-tuki, strategit, lakiasiantuntijat ja operaatiokohtaiset konsultit. Toiseksi, paljon huomiota on kiinnitetty osavaltioiden nollapäivän eli tuntemattomien hyväksikäyttöjen käyttöön. Tunnetut hyväksikäytöt ja työkalut voivat kuitenkin olla myös erittäin tehokkaita, jos hyökkääjällä on ylivoimainen tieto kohteensa ja kyvyistään. Kolmanneksi infrastruktuuri-investoinnit – kuten kyberalueen perustaminen koulutusta ja testausta varten – ovat olennainen edellytys hyökkäävän kyberkapasiteetin kehittämiseksi, ja ne tulevat kalliiksi.
Liity jäseneksi
Tekniset ihmiset eivät riitä
Yritysjohtamisessa yleinen näkemys on, että kun työn kognitiiviset taidot lisääntyvät, ihmiset – tekniikan sijaan – tulevat yhä tärkeämmiksi. Nämä "ajatustyöt", kuten Daniel Pink niitä kutsuu, vaativat suurempia ongelmanratkaisutaitoja ja luovaa ajattelua, mikä tarkoittaa, että yritykset voivat menestyä vain, jos ne viljelevät kulttuuria, joka asettaa etusijalle inhimillisen elementin. Pyrkiville kybervoimille tämä koskee muutakin kuin teknisiä asiantuntijoita.
Tietenkin sotilaallinen kyberorganisaatio tarvitsee haavoittuvuusanalyytikkoja tai vianmetsästäjiä. Nämä työntekijät etsivät ohjelmiston haavoittuvuuksia. He tarvitsevat myös kehittäjiä, operaattoreita, testaajia ja järjestelmänvalvojia voidakseen suorittaa toiminnon onnistuneesti ja varmistaakseen, että ominaisuudet kehitetään, otetaan käyttöön, ylläpidetään ja testataan luotettavasti.
Mutta hyökkäävän kyberkapasiteetin rakentaminen vaatii myös kattavampaa työvoimaa. Ensinnäkin tarvitaan etulinjan apua toimijoiden ja kehittäjien toiminnan tukemiseksi. Tämä voi sisältää toimintoja, kuten tilien rekisteröintiä tai toimintojen ostamista yksityisiltä yrityksiltä. Toiseksi sotilas- tai tiedusteluorganisaatio, jolla on maailman parhaat kybervoimat, epäonnistuu ilman strategista ohjausta. Operatiivinen tai taktinen menestys ei ole sama kuin strateginen voitto. Toiminto voi olla täydellisesti suoritettu ja luottaa virheettömään koodiin, mutta tämä ei automaattisesti johda tehtävän onnistumiseen. Esimerkiksi US Cyber Command voi onnistuneesti pyyhkiä tiedot iranilaisen öljy-yhtiön palvelimelta varmistamatta itse asiassa mitään muutosta Iranin ulkopolitiikkaan. Organisaatio voi toimia vain, jos on selkeä käsitys siitä, kuinka käytettävissä olevilla keinoilla saavutetaan halutut päämäärät. Strategien tärkeä tehtävä on koordinoida toimintaa muiden sotilasyksiköiden ja kumppanivaltioiden kanssa. He ovat mukana myös kohdepakettien valinnassa, vaikka "kohdistetuille" luodaan usein erillinen paikka. Kohderyhmät nimeävät kohteita, arvioivat sivuvaurioita, hallitsevat ristiriitojen purkamista ja auttavat toimintaprosessin suunnittelussa.
Jokainen sotilas- tai siviilivirasto, joka suorittaa kyberoperaatioita osana hallitusta, jolla on oikeudellinen kehys, on myös tekemisissä asianajajien armeijan kanssa. Nämä lakiasiantuntijat osallistuvat koulutukseen, neuvontaan ja seurantaan. Sotalain, aseellisen selkkauksen lain ja muiden lakisääteisten toimeksiantojen noudattaminen edellyttää lainopillisen koulutuksen tarjoajia, kehittäjiä ja järjestelmänvalvojia estämään rikkomukset. Lakiasiantuntijat tarjoavat suunnittelutukea neuvoessaan, tarkastellessaan ja valvoessaan toimintasuunnitelmia. Esimerkiksi U.S. Cyber Commandin vuoden 2016 Operation Glowing Symphony -operaation suunnittelussa, joka pyrki häiritsemään ja kieltämään ISILin internetin käytön, nämä asiantuntijat auttoivat määrittämään ilmoitussuunnitelman, tehtävän tarkistuslistan ja lupaprosessin.
Lakiasiantuntijoiden sisällyttäminen kyberoperaation eri vaiheisiin on vaikeaa. Itse asiassa se vaatii todennäköisesti lukuisia kriittisiä keskusteluja johdon ja operatiivisten ryhmien kanssa varmistaakseen, että he ymmärtävät riittävästi, mitä ehdotetaan, ennen kuin he voivat antaa hyväksynnän. Myös tapa, jolla tietyt toiminnot suoritetaan, vaikeuttaa oikeudellista seulontaa. Esimerkiksi Stuxnetin kaltaisten itse levittävien haittaohjelmien tapauksessa on vaikea palata takaisin.
Tämän jälkeen tarvitaan monipuolinen joukko teknisiä analyytikoita käsittelemään tietoja toiminnan aikana ja sen jälkeen. Myös ei-tekniset analyytikot ovat välttämättömiä, jotta voidaan ymmärtää, miten kohdeverkon ihmiset reagoivat kyberoperaatioon. Tämä edellyttää analyytikoita, joilla on erityistä tietoa maasta, kulttuurista tai kohdeorganisaatiosta. Myös etätyöntekijöitä tarvitaan. Kuten turvallisuustutkija ja entinen NSA:n työntekijä Charlie Miller sanoo, "Kybersotaa avustavat edelleen ihmiset, jotka sijaitsevat ympäri maailmaa ja suorittavat salaisia toimia." Esimerkiksi Stuxnet-hyökkäysten tapauksessa mekaanikkona esiintynyt hollantilainen myyrä auttoi Yhdysvaltoja ja Israelia keräämään tiedustelutietoja iranilaisista ydinsentrifugeista, joita käytettiin viruksen päivittämiseen ja asentamiseen.
Lopuksi kyberkomento tarvitsee järjestelmänvalvojia henkilöstöresursseihin, yhteydenpitoon muiden asiaankuuluvien kotimaisten ja kansainvälisten instituutioiden kanssa ja tiedotusvälineiden kanssa puhumiseen. Kuten Jamie Collier huomauttaa, "[G]on aikoja, jolloin vakoojavirastoja ei ollut virallisesti olemassa" ja he pitivät "henkilöstönsä ja toimintansa salaa poissa julkisuudesta". Viestintä voi auttaa voittamaan julkisen skeptisismin. Tämä ei koske vain tiedustelupalveluja, vaan jossain määrin myös sotilaallisia kyberkomentoja, varsinkin kun niiden tehtävät laajenevat ja huolet kärjistymisestä, normien heikkenemisestä tai liittoutuneiden kitkasta kasvavat. Lisäksi julkisuus voi auttaa rekrytointitarkoituksiin erittäin kilpailluilla työmarkkinoilla.
Se on enemmän kuin pelkkää nollapäivää
Hyökkäävän kyberkapasiteetin kehittämisen puhutuin osatekijä ovat hyväksikäytöt. Nämä jakautuvat kolmeen eroluokkaan: nollapäivän hyödyntämiset, korjaamattomat N-päivän hyödyntämiset ja korjatut N-päivän hyödyntämiset. Nollapäivän hyväksikäyttö on sellainen, joka paljastaa haavoittuvuuden, jota myyjä ei tunne. Korjaamaton N-päivän hyväksikäyttö on sellainen, joka paljastaa ohjelmiston tai laitteiston haavoittuvuuden, jonka myyjä tietää, mutta jossa ei ole korjaustiedostoa virheen korjaamiseksi. Korjattu N-päivän hyväksikäyttö on sellainen, joka paljastaa ohjelmiston tai laitteiston haavoittuvuuden, jonka myyjä tuntee ja jossa on korjaustiedosto virheen korjaamiseksi. Usein hyökkääjien on yhdistettävä useita haavoittuvuuksia hyökkäysketjuksi, joka tunnetaan hyväksikäyttöketjuna hyökätäkseen tiettyyn kohteeseen.
Politiikka kiinnittää paljon huomiota osavaltioiden nollapäivien keräämiseen. Jason Healey, vanhempi tutkija Columbian yliopiston kansainvälisten ja julkisten asioiden koulusta, suoritti vuonna 2016 tutkimuksen selvittääkseen, kuinka monta nollapäivän haavoittuvuutta Yhdysvaltain hallituksella on. Healey toteaa erittäin luottavaisina, että vuosina 2015/2016 Yhdysvaltain hallitus säilytti "[ei] satoja tai tuhansia vuodessa vaan luultavasti kymmeniä". Tämä vastaa pitkälti muita raportteja. Kypsemmät sotilas- ja tiedusteluorganisaatiot hyötyvät huolellisesti suunnitelluista menettelyistä hyödyntääkseen hyökkäyksiään mahdollisimman tehokkaasti.
Emme kuitenkaan saa liioitella nollapäivien merkitystä. "[Ihmiset] ajattelevat, että kansallisvaltiot käyttävät tätä nollapäiväistä moottoria. Menet ulos pääluurankoavaimellasi ja avaat oven ja olet sisään. Se ei ole sitä", Rob Joyce sitten -NSA:n räätälöityjen käyttötoimintojen toimiston johtaja, sanoi Enigma-konferenssin esitelmän aikana. Hän jatkoi: "Ottakaa nämä suuret yritysverkot, nämä suuret verkostot, mikä tahansa suuri verkko - kerron teille, että sinnikkyys ja keskittyminen vievät sinut sisään, saavuttaa tuon hyväksikäytön ilman nollapäivää. On niin paljon enemmän vektoreita, jotka ovat helpompia, vähemmän riskialttiita ja usein tuottavampia kuin tällä reitillä kulkeminen."
Erityisesti sotilaallisille kyberjärjestöille kilpailu N-päivistä on usein yhtä tärkeää. Käytettäessä N-päivän hyväksikäyttöä hyökkäykset voivat hyödyntää korjaustiedoston kehittämiseen kuluvaa aikaa ja korjaustiedoston käyttöönottoon kuluvaa aikaa. Keskimääräinen viive hyväksikäytön korjaamisessa vaihtelee toimittajan koon, haavoittuvuuden vakavuuden ja paljastuksen lähteen mukaan. Vaikka tuotannossa olevien verkkosovellusten "keskivakavien haavoittuvuuksien" korjaaminen kestää keskimäärin hieman yli kuukauden, toimittajilta kuluu keskimäärin 150 päivää valvonta- ja tiedonkeruujärjestelmien haavoittuvuuksien korjaamiseen. Korjauksen käyttöönotto voi myös viedä huomattavasti aikaa – erityisesti ympäristöissä, joissa ei ole standardointia, kuten teollisuuden ohjausjärjestelmissä. Osittain teollisuuden ohjausjärjestelmän korjausvaiheen pitkästä läpimenoajasta johtuen olemme nähneet useita huomattavia hyökkäyksiä näitä laitteita ja protokollia vastaan. Esimerkiksi joulukuussa 2016 Kremlin tukema hakkeriryhmä Sandworm käytti CrashOverride- tai Industroyer-nimistä haittaohjelmia pimentääkseen suuren osan Ukrainasta. Tätä varten hyökkääjät ohittivat automatisoidut suojatut järjestelmät ukrainalaisella sähköasemalla käyttämällä tunnettua haavoittuvuutta sen Siemens SIPROTEC -releissä.
Testaus ja infrastruktuuri ovat tärkeitä
Laajalle levinnyt uskomus on, että kyberhyökkäysten käynnistäminen on halpaa, kun taas niitä vastaan puolustaminen on kallista. Mutta kuten Matthew Monte totesi Yhdysvaltojen tiedusteluyhteisössä saamansa kokemuksen perusteella: "Hyökkääjät eivät kompastu olemaan "oikea kerran". He käyttävät aikaa ja vaivaa rakentaakseen infrastruktuurin ja työskentelevät sitten Thomas Edisonin väitetyn '10 000 tapaa, ei toimi.” Tämä vaatii infrastruktuuria, joka on kyberkyvyn ehdottoman tärkeä osa, josta ei puhuta tarpeeksi. Infrastruktuuri voidaan määritellä laajasti prosesseiksi, rakenteiksi ja laitteiksi, joita tarvitaan hyökkäävän kyberoperaation toteuttamiseen.
Infrastruktuuri jaetaan kahteen luokkaan: valvontainfrastruktuuri ja valmisteleva infrastruktuuri. Ohjausinfrastruktuurilla tarkoitetaan prosesseja, joita käytetään suoraan toiminnan suorittamiseen. Ne poltetaan yleensä epäonnistuneen toimenpiteen jälkeen. Tämäntyyppinen infrastruktuuri voi sisältää tietojenkalastelusivustojen verkkotunnuksia, vuotaneita sähköpostiosoitteita tai muita väärin käytettyjä tekniikoita. Se sisältää myös komento- ja ohjausinfrastruktuurin, jota käytetään etäoperaatioissa, jotka ylläpitävät viestintää vaarantuneiden järjestelmien kanssa kohdeverkon sisällä. Tätä infrastruktuuria voidaan käyttää esimerkiksi vaarantuneiden järjestelmien seuraamiseen, haittaohjelmien päivittämiseen tai tietojen suodattamiseen. Toiminnan tavoitteesta ja resursseista riippuen komento- ja ohjausinfrastruktuuri voi olla yhtä perus kuin yksi ulkoisessa verkossa toimiva palvelin.
Kypsenisemmillä toimijoilla on kuitenkin taipumus käyttää monimutkaisempaa infrastruktuuria ja tekniikoita pysyäkseen salaperäisinä ja kestävinä poistoja vastaan. Esimerkiksi Venäjällä toimiva Fancy Bear käytti yli 95 000 dollaria infrastruktuuriin, jota he käyttivät kohdentaakseen ihmisiä, jotka olivat mukana Yhdysvaltain vuoden 2016 presidentinvaaleissa. Ja tässä on usein kyse paljon muusta kuin infrastruktuurin vuokraamisesta: Organisaatio voi suorittaa kokonaisia toimintoja vain vaarantaakseen lailliset verkkopalvelimet käyttämästä niitä tulevien toimintojen hoitamiseen.
Valmisteluinfrastruktuuri liittyy joukkoon prosesseja, joita käytetään asettamaan itsensä valmiustilaan kyberoperaatioiden suorittamiseen. Harvoin hyökkääjä heittää tämän infrastruktuurin pois (epäonnistunut) toimenpiteen jälkeen.
Yksi vaikeimmista asioista luotaessa hyviä hyökkäystyökaluja on testata niitä ennen käyttöönottoa. Kuten tunnettu tietoturva-asiantuntija Dan Geer huomauttaa: "Tietäminen, mitä työkalusi löytää, ja kuinka selviytyä siitä, on varmasti vaikeampaa kuin löytää hyödynnettävissä oleva virhe sinänsä." Suuri osa hyökkäystä valmistelevasta infrastruktuurista koostuu yleensä tietokannoista, joita käytetään kohteen kartoituksessa. Hyökkääjän on tehtävä paljon työtä löytääkseen kohteensa. Verkoston kartoitusharjoitukset voivat auttaa organisaatiota ymmärtämään mahdollisten kohteiden valikoiman, joita joskus kutsutaan myös "kohteen hankinnaksi". Tästä syystä tämän alueen kypsimmät toimijat ovat investoineet valtavia resursseja verkon kartoitustyökaluihin tunnistaakseen ja visualisoidakseen laitteita tietyissä verkoissa.
On myös muita kohdistettuja tietokantoja. Esimerkiksi GCHQ ylläpitää erityistä tietokantaa, joka tallentaa tiedot tietokoneista, joita käyttävät insinöörit ja järjestelmänvalvojat, jotka työskentelevät "verkkokäyttökeskuksissa" eri puolilla maailmaa. Syy, miksi insinöörit ja järjestelmänvalvojat ovat erityisen kiinnostavia kohteita, johtuu siitä, että he hallitsevat verkkoja ja heillä on pääsy suuriin tietokantoihin.
Havainnollistava, korkean profiilin tapaus on Belgacomin, osittain valtion omistaman belgialaisen puhelin- ja Internet-palveluntarjoajan hakkerointi, jonka asiakaskuntaan kuuluvat Euroopan komissio, Euroopan parlamentti ja Eurooppa-neuvosto. Brittiläinen vakoojatoimisto GCHQ, mahdollisesti muiden Five-Eyesin jäsenten avustuksella, käytti kehittämiään haittaohjelmia päästäkseen käsiksi Belgacomin GRX-reitittimiin. Sieltä se saattoi toteuttaa "Man in the Middle -hyökkäykset", jotka mahdollistivat salaa kaapata älypuhelimilla verkkovierailevien kohteiden viestintää. Kuten toimittajat havaitsivat, Belgacom Hack, koodinimeltään Operation Socialist, "tapahtui vaiheittain vuosien 2010 ja 2011 välillä, joka kerta tunkeutuen syvemmälle Belgacomin järjestelmiin ja lopulta vaarantaen yrityksen verkkojen ytimen."
Kyberhyökkäuksiin valmistautuminen edellyttää myös kyberalueen luomista. Tämä on alusta vuorovaikutteisten simulaatioympäristöjen kehittämiseen ja käyttöön, joita voidaan käyttää koulutukseen ja osaamisen kehittämiseen. Yritykset ovat viime vuosina investoineet yhä enemmän pilviteknologiaan perustuviin kyberalueisiin. Nämä valikoimat on kehitetty joko julkisille pilvipalveluntarjoajille - kuten Amazon Web Services, Microsoft Azure tai Google - tai yksityisille pilviverkoille, jotka on otettu käyttöön tiloissa. Pilviverkkovalikoimat tarjoavat yleensä joustavia käytännön oppimisympäristöjä, joissa on kätevät click and play -skenaariot koulutukseen. Sotilaallisille kyberorganisaatioille perinteiset ei-pilvipohjaiset alueet ovat kuitenkin yleensä edelleen parempia, koska tarvitaan erittäin mukautettavia simulointiympäristöjä ja räätälöityjä toiminnallisia testauksia ja koulutusta.
Yritettäessä pysyä kyberkonfliktien nopean kehityksen tahdissa monet asiantuntijakommentit ovat keskittyneet siihen, voivatko kybervaikutustoiminnot tuottaa strategisia etuja vai voivatko niihin vaikuttaa normit. Ensin meidän on kuitenkin käsiteltävä perustavanlaatuisempaa kysymystä: Milloin valtiot todella pystyvät suorittamaan operaatioita? Vaikka sotilaallisten kyberkomentojen lisääntyminen viittaa siihen, että kybersodankäynnissä on meneillään suuria muutoksia, näiden organisaatioiden työskentely on paljon vaikeampaa ja kalliimpaa kuin miltä näyttää.
Liity jäseneksi
Tämä essee perustuu Oxford University Pressin ja Hurst Publishersin kanssa toukokuussa 2022 julkaistuun artikkeliin No Shortcuts: Why States Struggle to Develop a Military Cyber-Force.
Max Smeets on ETH Zürichin turvallisuustutkimuskeskuksen vanhempi tutkija ja European Cyber Conflict Research Initiativen johtaja,
Kuva: Joseph Eddins, Airman Magazine
Kommentti