Defending Ukraine: Early Lessons from the Cyber War

Venäjä odotetusti kohdisti varhaisessa vaiheessa risteilyohjushyökkäyksen Ukrainan hallituksen tietokeskukseen, ja muutkin paikalliset palvelimet olivat alttiita hyökkäyksille tavanomaisilla aseilla. Venäjä kohdisti tuhoisat "pyyhkimishyökkäyksensä" myös paikallisiin tietokoneverkkoihin. Ukrainan hallitus on kuitenkin onnistunut ylläpitämään siviili- ja sotilasoperaatioitaan toimimalla nopeasti ja siirtämällä digitaalisen infrastruktuurinsa julkiseen pilvipalveluun, jossa sitä on isännöity eri puolilla Eurooppaa sijaitsevissa tietokeskuksissa.

Tämä on edellyttänyt kiireellisiä ja poikkeuksellisia toimia koko teknologia-alalta, myös Microsoftilta. Vaikka teknologia-alan työ on ollut elintärkeää, on myös tärkeää miettiä, mitä pidempiaikaisia opetuksia näistä ponnisteluista saadaan.

Koska kybertoimintaa ei ole silmin nähtävää, toimittajien ja jopa monien sotilasanalyytikkojen on vaikeampi seurata sitä. Microsoft on nähnyt Venäjän armeijan käynnistävän useita tuhoisia kyberhyökkäyksiä 48 eri ukrainalaista virastoa ja yritystä vastaan. Ne ovat pyrkineet tunkeutumaan verkkotoimialueisiin vaarantamalla aluksi satoja tietokoneita ja levittämällä sitten haittaohjelmia, joiden tarkoituksena on tuhota tuhansien muiden tietokoneiden ohjelmistot ja tiedot.

Venäjän kybertaktiikka sodassa on erilainen kuin NotPetya-hyökkäyksessä Ukrainaa vastaan vuonna 2017. Hyökkäyksessä käytettiin "madotettavia" tuhoisia haittaohjelmia, jotka pystyivät hyppäämään tietokoneen toimialueelta toiselle ja näin ollen ylittämään rajat muihin maihin. Venäjä on vuonna 2022 ollut varovainen ja rajoittanut tuhoisat "pyyhkimisohjelmistot" tiettyihin verkkotoimialueisiin Ukrainan sisällä. Viimeaikaiset ja meneillään olevat tuhoisat hyökkäykset ovat kuitenkin olleet kehittyneempiä ja laajempia kuin monissa raporteissa tunnustetaan. Ja Venäjän armeija mukauttaa edelleen näitä tuhoisia hyökkäyksiä muuttuviin sotatarpeisiin muun muassa yhdistämällä kyberhyökkäyksiä ja tavanomaisten aseiden käyttöä.

Näissä tuhoisissa hyökkäyksissä on tähän mennessä ollut ratkaisevaa kyberpuolustuksen vahvuus ja suhteellinen menestys. Vaikka nämä kyberpuolustukset eivät olekaan täydellisiä ja jotkut tuhoisat hyökkäykset ovat onnistuneet, ne ovat osoittautuneet vahvemmiksi kuin kyberhyökkäysvalmiudet. Tämä kuvastaa kahta tärkeää ja viimeaikaista suuntausta. Ensinnäkin uhkatietämyksen kehittyminen, mukaan lukien tekoälyn käyttö, on auttanut havaitsemaan nämä hyökkäykset entistä tehokkaammin. Ja toiseksi internetiin kytkettyjen päätelaitteiden suojaus on mahdollistanut suojaavan ohjelmistokoodin nopean jakelun pilvipalveluihin ja muihin kytkettyihin tietotekniikkalaitteisiin haittaohjelmien tunnistamiseksi ja poistamiseksi käytöstä. Ukrainan hallituksen kanssa meneillään olevat sota-ajan innovaatiot ja toimenpiteet ovat vahvistaneet tätä suojaa entisestään. Tämän puolustuksellisen edun säilyttäminen edellyttää kuitenkin todennäköisesti jatkuvaa valppautta ja innovointia.

Microsoft on havainnut venäläisten verkkomurtoja 128 organisaatiossa 42 maassa Ukrainan ulkopuolella. Vaikka Yhdysvallat on ollut Venäjän ykköskohde, myös Puola, jossa koordinoidaan suurta osaa sotilaallisen ja humanitaarisen avun logistiikkatoimituksista, on ollut etusijalla tässä toiminnassa. Venäjän toiminta on kohdistunut myös Baltian maihin, ja viimeisten kahden kuukauden aikana vastaavanlainen toiminta on lisääntynyt Tanskan, Norjan, Suomen, Ruotsin ja Turkin tietoverkoissa. Myös muiden Nato-maiden ulkoministeriöihin kohdistuva vastaava toiminta on lisääntynyt.

Venäjä on asettanut etusijalle hallitukset, erityisesti Nato-jäsenmaissa. Kohteisiin on kuitenkin kuulunut myös ajatushautomoita, humanitaarisia järjestöjä, tietotekniikkayrityksiä sekä energian ja muun kriittisen infrastruktuurin toimittajia. Sodan alusta lähtien tunnistamamme venäläiset hyökkäykset ovat onnistuneet 29 prosentissa tapauksista. Neljännes näistä onnistuneista tunkeutumisista on johtanut organisaation tietojen varmistettuun poistamiseen, mutta kuten raportissa selitetään, tämä todennäköisesti aliarvioi venäläisten onnistumisen astetta.

Olemme edelleen eniten huolissamme hallituksen tietokoneista, joita käytetään paikallisesti eikä pilvipalvelussa. Tämä kuvastaa hyökkäyksellisen kybervakoilun ja puolustuksellisen kybersuojauksen nykyistä ja maailmanlaajuista tilannetta. Kuten SolarWindsin tapaus 18 kuukautta sitten osoitti, Venäjän tiedustelupalveluilla on erittäin kehittyneet valmiudet istuttaa koodia ja toimia edistyneenä jatkuvana uhkana (APT), joka voi jatkuvasti hankkia ja poistaa arkaluonteisia tietoja verkosta. Puolustussuojan alalla on tuosta ajasta lähtien tapahtunut huomattavaa edistystä, mutta näiden edistysaskeleiden täytäntöönpano on edelleen epätasaisempaa Euroopan hallituksissa kuin Yhdysvalloissa. Tämän seurauksena kollektiivisessa puolustuksessa on edelleen merkittäviä heikkouksia.

Näissä yhdistyvät FSB:n vuosikymmenien aikana kehittämät taktiikat uuteen digitaalitekniikkaan ja internetiin, joiden avulla ulkomaiset vaikuttamisoperaatiot saavat laajemman maantieteellisen ulottuvuuden, suuremman volyymin, tarkemman kohdentamisen sekä suuremman nopeuden ja ketteryyden. Valitettavasti riittävällä suunnittelulla ja hienostuneisuudella nämä kybervaikuttamisoperaatiot pystyvät hyvin hyödyntämään demokraattisten yhteiskuntien pitkäaikaista avoimuutta ja yleisön polarisoitumista, joka on ominaista nykyiselle ajalle.

Ukrainan sodan edetessä Venäjän virastot ovat keskittäneet kybervaikuttamistoimintansa neljään eri kohderyhmään. Ne kohdistuvat Venäjän väestöön tavoitteenaan ylläpitää tukea sotatoimille. Ne kohdistuvat Ukrainan väestöön tavoitteenaan heikentää luottamusta maan halukkuuteen ja kykyyn vastustaa Venäjän hyökkäyksiä. Ne kohdistuvat amerikkalaisiin ja eurooppalaisiin väestöihin tavoitteenaan horjuttaa länsimaiden yhtenäisyyttä ja torjua kritiikkiä Venäjän sotarikoksia kohtaan. Ja ne ovat myös alkaneet kohdistaa toimintaansa liittoutumattomien maiden väestöön, mahdollisesti osittain säilyttääkseen tukensa Yhdistyneissä Kansakunnissa ja muissa yhteyksissä.

Venäjän kybervaikuttamisoperaatiot perustuvat muihin kybertoimintoihin kehitettyihin taktiikoihin ja liittyvät niihin. Kuten Venäjän tiedustelupalveluissa toimivat APT-ryhmät, myös Venäjän valtion virastoihin liittyvät Advance Persistent Manipulator (APM) -ryhmät toimivat sosiaalisen median ja digitaalisten alustojen kautta. Ne varastoivat vääriä tarinoita valmiiksi tavalla, joka on samanlainen kuin haittaohjelmien ja muun ohjelmistokoodin varastoiminen. Sen jälkeen ne aloittavat laajapohjaisen ja samanaikaisen "raportoinnin" näistä kertomuksista hallituksen hallinnoimilta ja vaikuttamilta verkkosivustoilta ja vahvistavat kertomuksiaan sosiaalisen median palvelujen hyödyntämiseen suunnitelluilla teknologisilla työkaluilla. Viimeaikaisia esimerkkejä ovat muun muassa Ukrainassa sijaitseviin biolaboratorioihin liittyvät kertomukset ja useat yritykset peitellä Ukrainan siviilikohteisiin kohdistuvia sotilaallisia hyökkäyksiä.

Osana Microsoftin uutta aloitetta käytämme tekoälyä, uusia analyysityökaluja, laajempia tietojoukkoja ja kasvavaa asiantuntijahenkilöstöä seurataksemme ja ennustaaksemme tätä kyberuhkaa. Näiden uusien valmiuksien avulla arvioimme, että Venäjän kybervaikuttamisoperaatiot lisäsivät Venäjän propagandan leviämistä sodan alkamisen jälkeen 216 prosenttia Ukrainassa ja 82 prosenttia Yhdysvalloissa.

Nämä Venäjän meneillään olevat operaatiot perustuvat viimeaikaisiin hienostuneisiin pyrkimyksiin levittää vääriä tarinoita COVID-19:stä useissa länsimaissa. Näihin kuuluivat vuonna 2021 toteutetut valtion tukemat kybervaikuttamisoperaatiot, joilla pyrittiin estämään rokotteiden käyttöönotto englanninkielisten Internet-raporttien avulla ja samanaikaisesti kannustamaan rokotteiden käyttöön venäjänkielisillä sivustoilla. Viimeisen puolen vuoden aikana samanlaisilla Venäjän kybervaikuttamisoperaatioilla pyrittiin lietsomaan yleisön vastustusta COVID-19-politiikkaa vastaan Uudessa-Seelannissa ja Kanadassa.

Jatkamme Microsoftin työn laajentamista tällä alalla tulevina viikkoina ja kuukausina. Tähän sisältyy sekä sisäistä kasvua että viime viikolla ilmoittamamme sopimus Miburo Solutionsin ostamisesta, joka on johtava kyberuhkien analysointi- ja tutkimusyritys, joka on erikoistunut ulkomaisten kybervaikutusoperaatioiden havaitsemiseen ja niihin reagoimiseen.

Olemme huolissamme siitä, että monet Venäjän nykyisistä kybervaikuttamisoperaatioista kestävät kuukausia ilman asianmukaista tunnistamista, analysointia tai julkista raportointia. Tämä vaikuttaa yhä enemmän moniin tärkeisiin instituutioihin sekä julkisella että yksityisellä sektorilla. Ja mitä kauemmin sota Ukrainassa jatkuu, sitä tärkeämmäksi nämä operaatiot todennäköisesti muodostuvat Ukrainalle itselleen. Tämä johtuu siitä, että pidempi sota edellyttää yleisen tuen säilyttämistä suuremman väsymyksen aiheuttaman väistämättömän haasteen edessä. Tämän pitäisi lisätä kiireellisyyttä länsimaiden puolustuksen vahvistamiseksi tämäntyyppisiä ulkomaisia kybervaikutushyökkäyksiä vastaan.

Kuten Ukrainan sota osoittaa, vaikka näissä uhkissa on eroja, Venäjän hallitus ei harjoita niitä erillisinä pyrkimyksinä, eikä meidän pitäisi laittaa niitä erillisiin analyyttisiin siiloihin. Lisäksi puolustusstrategioissa on otettava huomioon näiden kyberoperaatioiden koordinointi kineettisten sotilasoperaatioiden kanssa, kuten Ukrainassa on nähty.

Näiden kyberuhkien torjumiseksi tarvitaan uusia edistysaskeleita, ja ne perustuvat neljään yleiseen periaatteeseen ja (ainakin korkealla tasolla) yhteiseen strategiaan. Ensimmäisessä puolustusperiaatteessa olisi tunnustettava, että Venäjän kyberuhkia kehittävät yhteiset toimijat Venäjän hallituksen sisällä ja sen ulkopuolella ja että ne perustuvat samanlaisiin digitaalisiin taktiikoihin. Tämän vuoksi niiden torjumiseksi tarvitaan digitaalitekniikan, tekoälyn ja datan kehitystä. Tämän perusteella toisen periaatteen pitäisi tunnustaa, että toisin kuin menneisyyden perinteisissä uhkissa, kyberuhkien torjunnan on perustuttava laajempaan julkiseen ja yksityiseen yhteistyöhön. Kolmantena periaatteena olisi oltava hallitusten tiiviin ja yhteisen monentahoisen yhteistyön tarve avoimien ja demokraattisten yhteiskuntien suojelemiseksi. Neljännen ja viimeisen puolustuksellisen periaatteen pitäisi puolustaa sananvapautta ja välttää sensuuria demokraattisissa yhteiskunnissa, vaikka uusia toimia tarvitaankin, jotta voidaan puuttua kaikkiin kyberuhkiin, joihin kuuluvat myös kybervaikuttamisoperaatiot.

Tehokkaan reagoinnin on perustuttava näihin periaatteisiin neljän strategisen pilarin avulla. Näiden pitäisi lisätä yhteisiä valmiuksia (1) havaita ulkomaisia kyberuhkia, (2) puolustautua niitä vastaan, (3) keskeyttää ne ja (4) torjua niitä. Tämä lähestymistapa näkyy jo monissa yhteisissä ponnisteluissa tuhoisten kyberhyökkäysten ja kybervakoilun torjumiseksi. Niitä sovelletaan myös kriittiseen ja jatkuvaan työhön, jota tarvitaan kiristysohjelmahyökkäysten torjumiseksi. Tarvitsemme nyt samanlaista ja kattavaa lähestymistapaa, jossa on uusia ominaisuuksia ja puolustuskeinoja Venäjän kybervaikuttamisoperaatioiden torjumiseksi.

Kuten tässä raportissa esitetään, Ukrainan sota ei tarjoa vain oppeja vaan myös kehotuksen tehokkaisiin toimenpiteisiin, jotka ovat elintärkeitä demokratian tulevaisuuden suojelemiseksi. Yrityksenä olemme sitoutuneet tukemaan näitä pyrkimyksiä muun muassa tekemällä jatkuvia ja uusia investointeja teknologiaan, dataan ja kumppanuuksiin, jotka tukevat hallituksia, yrityksiä, kansalaisjärjestöjä ja yliopistoja.

Jos haluat lisätietoja, lue koko raportti.