Kybertoimintaympäristö ei ole villi länsi

Modernit yhteiskunnat ovat riippuvaisia tietoverkkojen ja -järjestelmien toiminnasta ja näin ollen myös haavoittuvaisia niihin kohdistuville häiriöille. Covid-19 pandemia on alleviivannut niin tietoverkkojen merkitystä kuin haavoittuvuuksiakin. Myös elintärkeä terveydenhoitosektori on joutunut kyberhyökkäysten kohteeksi.

Kuva: Pete Linforth, Pixabay

Kybertoimintaympäristössä toteutettavia hyökkäyksiä voidaan käyttää poliittisen ja taloudellisen painostuksen välineinä ja vakavassa kriisissä yhtenä vaikuttamiskeinona perinteisten sotilaallisten voimakeinojen ohella. Valtiollisten toimijoiden harjoittaman pahantahtoisen kybertoiminnan ohella vakavaksi haasteeksi on muodostunut myös ei-valtiollisten toimijoiden harjoittama haitallinen kybertoiminta ja kyberrikollisuus, joko ansiotarkoituksessa tai jonkun valtion palveluksessa.

Kansainvälinen oikeus soveltuu kybertoimintaympäristössä

YK:n hallitustenvälinen asiantuntijaryhmä (GGE, jossa suurlähettiläs Marja Lehto toimi asiantuntijana vuosina 2016-17) on vahvistanut, että ”kansainvälinen oikeus ja varsinkin Yhdistyneiden Kansakuntien peruskirja ovat sovellettavissa [kyberympäristössä] ja olennaisia tekijöitä rauhan ja turvallisuuden ylläpitämisen samoin kuin avoimen, turvallisen, vakaan, saavutettavan ja rauhanomaisen informaatio- ja kommunikaatioteknologisen ympäristön edistämisen kannalta”. Tätä pidetään kansainvälisenä konsensuksena ja sen katsotaan sisältävän erityisesti YK:n peruskirjan määräykset, kuten valtioiden suvereeni tasavertaisuus, voimankäytön kielto, riitojen rauhanomainen ratkaiseminen, sisäisiin asioihin sekaantumisen kielto ja ihmisoikeuksien kunnioitus.

Lisäksi vuonna päättynyt GGE 2015 sopi yhdestätoista vapaaehtoisesta ja ei-sitovasta normista, joiden avulla voidaan edistää vakaata kybertoimintaympäristöä. Nämä normit heijastavat esimerkiksi sitä periaatetta, että valtion ei tule tietoisesti sallia alueidensa käyttöä kansainvälisen oikeuden vastaisiin tekoihin tieto- ja viestintätekniikan avulla.

Valtiot kuitenkin erimielisiä siitä, millä lailla kansainvälinen oikeus soveltuu

YK:n piirissä keskusteluja on kuitenkin leimannut vahva polarisoituminen. Näkemykset jakaantuvat yhtäältä avointa, ihmisoikeusperustaista ja monitoimijamalliin perustuvaa kybertoimintaympäristöä vaalivien länsimaiden ja toisaalta nk. kybersuvereniteettia tavoittelevien maiden kesken. Siinä missä länsiryhmän ja samanmielisten maiden mukaan kansainvälinen oikeus soveltuu niin kineettisessä kuin kyberympäristössäkin – vaikka kybertoimintaympäristön erityispiirteiden vuoksi yksityiskohdista pitääkin neuvotella –  niin toista mieltä olevien maiden mielestä kybertoimintaympäristö on niin perustavanlaatuisesti erilainen, että siihen tarvittaisiin omat, erilliset säännöt.

Näiden maiden näkemys on ristiriidassa kansainvälisen yhteisön yllä kuvatun konsensuskannan kanssa, koska vaatimus erillisestä kybersääntelystä merkitsee, että kybertoimintaympäristö olisi tällä hetkellä sääntelemätön ala.

Kansalliset kannanotot vahvistavat viestiä kansainvälisen oikeuden relevanssista kyberympäristössä

Kun kansainvälisten neuvottelujen tie takkuaa, yksittäiset valtiot ovat katsoneet tarpeelliseksi tuoda julki näkemyksiään kansainvälisestä oikeudesta kyberympäristössä. Näin ovat toimineet mm. Yhdysvallat, Iso-Britannia, Viro, Ranska, Alankomaat, Australia, ja nyt Suomi (15.10.). Useat muut maat ovat indikoineet valmistelevansa kansallisia kannanottoja.

Sen lisäksi, että kantojaan ilmaisevat valtiot vahvistavat viestiä kansainvälisen oikeuden soveltuvuudesta kyberympäristössä, ne myös ilmaisevat tapaoikeuden muodostumisen kannalta välttämätöntä nk. subjektiivista elementtiä, opinio juris’ta, eli näkemystä siitä, että tietynlainen käyttäytyminen on kansainvälisen oikeusnormin vaatimaa. Kun valtiot miettivät ja artikuloivat kantojaan, on niillä lisäksi myös paremmat edellytykset osallistua aiheesta käytäviin kansainvälisiin neuvotteluihin.

Suomen linjaus kansainvälisestä oikeudesta kybertoimintaympäristössä

Suomen julkistaman linjauksen tarkoituksena on yhtäältä vahvistaa samanmielisten maiden ryhmän yhteistä viestiä kansainvälisen oikeuden relevanssista kybertoimintaympäristössä ja luoda pohjaa syventäville keskusteluille, jotka kybertoimintaympäristön erityispiirteiden vuoksi ovat tarpeen.  Linjaus palvelee sekä YK:ssa käytäviä keskusteluja, EU:n kyberdiplomatia-dialogin kehittämistä, että Suomen profiloitumista kyberkysymysten asiantuntijana ja edelläkävijänä. Samalla se tukee myös EU-laajuisen deterrenssin kansallista muodostamista, selkiyttää kansallista suorituskyvyn kehittämistä ja ohjaa suorituskyvyn rakentamista.

Suomen linjaukset lähtevät tarpeesta 1) vahvistaa, että Suomella on mahdollisuus reagoida poliittisen itsenäisyytensä tai alueellisen koskemattomuutensa loukkauksiin myös silloin, kun ne tapahtuvat kybertoimintaympäristössä, 2) vahvistaa, että kaikilla valtioilla on oikeudellinen velvoite välttää rajat ylittäviä vakavia haittoja myös kybertoimintaympäristössä ja 3) torjua sellaisia tulkintoja, joihin sisältyy merkittävä aggressiivisen kybertoiminnan eskaloitumisen uhka.

Kyberhyökkäykseen vastuullisen tahon identifioiminen ja valtiovastuu

Jos valtion kyberoperaatio loukkaa valtion kansainvälisen oikeuden mukaisia velvoitteita, kyseessä on kansainvälisesti oikeudenvastainen teko, joka johtaa valtion kansainväliseen vastuuseen ja luo velvoitteen hyvittää teolla mahdollisesti aiheutettu vahinko. Tämä edellyttää, että teko on luettavissa valtion syyksi. Syyksilukemista koskevat tapaoikeudelliset säännöt, joita on kodifioitu YK:n kansainvälisen oikeuden toimikunnan valtiovastuuartikloissa, pätevät myös kyberympäristössä.

On kuitenkin huomattava, että vaikka tekniset valmiudet kyberhyökkäysten jäljittämiseen ovat parantuneet, syyksilukeminen ei käytännössä ole ongelmatonta. Valtiot ovat toistaiseksi olleet varsin varovaisia nimeämään toista valtiota syylliseksi.

EU:n kyberdiplomatian työkalupakki ja kyberpakoteregiimi

EU:ssa hyväksyttiin vuonna 2017 nk. kyberdiplomatian työkalupakki (A Joint EU Diplomatic Response to Malicious Cyber Activities). Siinä määritellään erilaisia toimia, joita voidaan ottaa käyttöön vihamieliseen kybertoimintaan vastattaessa. Toimet ulottuvat korkean edustajan lausunnoista aina pakotteisiin saakka.

Sittemmin EU:n neuvosto on vuonna (2019) hyväksynyt erillisen pakoteregiimin kyberhyökkäysten estämiseksi ja niihin reagoimiseksi.  Heinäkuun lopussa asetettiin ensimmäistä kertaa rajoittavia toimenpiteitä kuutta henkilöä ja kolmea yhteisöä vastaan. Näiden katsotaan olevan vastuussa tai osallisina erilaisissa kyberhyökkäyksissä, mukaan lukien ”WannaCry”, ”NotPetya” ja ”Operation Cloud Hopper” -hyökkäykset ja hyökkäys kemiallisten aseiden kieltojärjestöä vastaan. Neuvoston määräämiin seuraamuksiin sisältyy mm. matkustuskieltoja ja varojen jäädyttämisiä. Rajoittavilla toimenpiteillä osoitetaan poliittisesti, että vihamielisellä kybertoiminnalla on seurauksia. Suomi on alusta alkaen vahvasti tukenut pakotejärjestelmän luomista ja sen soveltamista.

 

 LINKKI um.fi-uutiseen