Haittaohjelma kuin ase

Vuonna 2021 saatetaan nähdä tahallisesti kuolemaan johtava kyberhyökkäys.

Julkaistu The Economist Maailma-lehdessä. Käännös InPress.
©2020 The Economist Newspaper Limited. Kaikki oikeudet pidätetään.

Kauhukuvia tappavista kyberiskuista on maalailtu vuosikymmeniä. Vuonna 1999 New York Times kirjoitti ”elektronisesta Pearl Harbourista”. Vuonna 2011 Yhdysvaltain silloinen puolustusministeri Leon Panetta esitti, että ”seuraava Pearl Harbour – voi hyvinkin olla kyberhyökkäys” ja mahdollisesti ”yhtä tuhoisa kuin syyskuun 11. päivän terrori-isku”. Suuren luokan tappavaa kyberhyökkäystä ei tiedetä tapahtuneen. Syyskuussa 2020 hyökkäys kuitenkin lamautti sairaalan tietokoneet Düsseldorfissa ja kiireellistä hoitoa tarvinnut nainen menehtyi matkalla toiseen sairaalaan. Tämä ensimmäinen tunnettu kyberhyökkäyskuolema näyttää olleen tahaton. Kiristyshyökkäyksen aiottuna kohteena oli Düsseldorfin yliopiston tietokonejärjestelmä eikä yliopistosairaala. Tapaus kuitenkin todistaa, että tällä tavoin voidaan aiheuttaa kuolema tahallisesti. Sitä ei vielä ole tapahtunut, mutta kun elämämme on yhä tiiviimmin kiinni verkoissa, asia voi muuttua vuonna 2021.

Jos uhrin henki ei ole valmiiksi sairaalahoidon varassa, hyökkäyskoodin on ihmisen vahingoittamista tai surmaamista varten hallittava liikettä tai kemikaaleja. Ilmeisen sopivia kohteita ovat energiantuotantolaitosten ja tehtaiden hallintajärjestelmät. Vuonna 2007 Yhdys­valtain energiaministeriö näytti yleisölle, kuinka 21 rivin koodi sai dieselgeneraattorin savuamaan, tärisemään ja hajoamaan nopealla katkaisimien avaamisella ja sulkemisella. ”Se muistutti kuormitusta, joka auton vaihteistoon kohdistuu, jos ajaja vaihtaa kovassa vauhdissa peruutusvaihteelle”, selitti Ben Buchanan Georgetownin yliopistosta kirjassaan The Hacker and the State.

Vähän myöhemmin Yhdysvaltain ja Israelin Stuxnet-haittaohjelma sai vastaavalla tempulla yli tuhat kaasusentrifugia rikkoutumaan uraaninjalostamossa Iranissa. Vuonna 2016 Ukrainassa muun muassa Stuxnetista vaikutteita saanut venäläinen haittaohjelma lamautti viidenneksen Kiovan sähköverkosta keskellä talvipakkasia. Se kohdistui virtaa ja jännitettä valvoviin suojareleisiin, jotka sammuttavat sähköjärjestelmät epänormaalissa tilanteessa. Ihmisiä voi tietysti vahingoittaa muutenkin kuin saamalla koneet tai virtapiirit toimimaan itsetuhoisesti. Huhtikuussa 2020 israelilaisessa vedenpuhdistamossa havaittiin iranilaisten kyberhyökkäykseksi epäilty tapaus, jossa ilmeisesti yritettiin huijata pumput lisäämään liikaa klooria talousveteen. Ukraina kertoi vastaavasta häiriöstä kloorilaitoksella vuonna 2018.

Kukaan ei kuollut näissä hyökkäyksissä, mutta se olisi ollut mahdollista. Israelin kansallisen kyberdirektoraatin johtajan Yigal Unnan sanoin hyökkäys vedenpuhdistamoon olisi voinut aiheuttaa ”hyvin suurta vahinkoa siviili­väestölle”. Ukrainassa 2016 ei Ben Buchananin mukaan pyrittykään iskemään täydellä voimalla, sillä hyökkäys kohdistui vain yhteen sähköasemaan Kiovassa. Suurempia iskuja voi olla tulossa. Viime vuosina Yhdysvallat ja Venäjä ovat tunkeutuneet toistensa sähköverkkoihin jättäen jälkeensä haittaohjelmia kuin asekätköjä vihollisen linjojen taakse. Vakavassa kriisissä johtajat voisivat käyttää niitä riskialttiimman sotilasoperaation sijaan ja ehkä katkaista virran elintärkeiltä palveluilta.

Palveluihin voidaan iskeä koodilla suoremminkin. Vuonna 2017 pohjoiskorealaiset hakkerit laskivat liikkeelle WannaCry-kiristyshaittaohjelman, joka salasi tietoja ja vaati lunnaita niiden palauttamiseksi. Se saastutti tahattomasti Ison-Britannian terveydenhuolto­järjestelmän vaikuttaen kymmeniin sairaaloihin ja lähes 600 terveysasemaan. Sillä kertaa ei käynyt kuten Düsseldorfissa – potilasmäärät notkahtivat, mutta kuolleisuus ei kasvanut. Erityisesti terveydenhuollon järjestelmiä häiritsemään suunniteltu haittaohjelma voisi kuitenkin varmasti vaarantaa henkiä.

Kyberhyökkäys voi tappaa yksinkertaisemminkin. Toisin kuin sentrifugeissa ja muuntajissa, nopeasti kulkevissa autoissa on sisällä helposti vahingoitettavia ihmisiä, ja nekin ovat yhä useammin yhteydessä internetiin. Näiden yhteyksien suojaukset ovat usein heikot. Hakkerit ovat toistuvasti osoittaneet voivansa hallita liikkuvaa autoa. Yhden tapauksen vuoksi Fiat Chrysler veti takaisin 1,4 miljoonaa autoa vuonna 2015. Markkina­tutkimusyritys ABI arvioi, että 91 prosentissa vuonna 2020 Yhdysvalloissa myydyistä kevyistä ajoneuvoista ja rekoista on internet-yhteys, eikä moottoritienopeuksilla tuhoon tarvita mitään Stuxnetin veroista. Kun hyökkääjät kehittyvät ja mahdolliset kohteet lisääntyvät, tarkoituksella tappava kyberisku on vain ajan kysymys.

Lue lisää