1. KANSAINVÄLINEN OIKEUS8 ruotuväki 10/2014
On kevät 2007. Viron ja Venäjän kiista toisen maailmansodan ja neuvostovallan symbolista Pronssisoturi-patsaasta on kärjistynyt. Kaduilla
on mellakoita. Pronssisoturin siirtoa vastustavat hakkerit kaatavat palvelunestohyökkäyksin valtiovallan, poliisin, koulujen, sanomalehtien
ja pankkien sivustoja. Maan reformipuolueen Internet-sivuille ilmestyy pääministeri Andrus Aspin nimellä kirjoitettu tekaistu
anteeksipyyntö, jonka kuvituksissa pääministerin kasvoille on muokattu Hitler-viikset.
Vastaavasti esi-
merkiksi virus, jol-
la hallinnoitaisiin
kemiallisia aseita
on kielletty.
V
iroon kohdiste-
tut hyökkäykset
herättivät paljon
oikeudellisia ky-
symyksiä. Hel-
singin yliopiston kansainvälisen
oikeuden professorin tehtäviä
hoitavan, Erik Castrén -instituu-
tin varajohtajan Jarna Petmanin
mukaan keskeinen kysymys oli,
miten kansainvälinen oikeus so-
veltuu kyberavaruuteen.
– Kokonaisen valtion seka-
sortoon saattaneet ja siten tieto-
yhteiskuntien haavoittuvuuden
paljastaneet kyberiskut johtivat
lähes World Trade Centerin ter-
rorihyökkäysten kaltaiseen pa-
niikkiin: pohdittiin, rajoittaako
mikään kyberoperaatioita, Pet-
man kertoo.
Kansainvälinen oikeus mää-
rittää sodan oikeussääntöjä.
Kansainvälisen humanitäärisen
oikeuden keskeiset oikeusläh-
teet ovat Haagin ja Geneven
sopimukset, jotka muun muassa
rajoittavat sodankäyntikeinoja ja
suojaavat niitä, jotka eivät osal-
listu taisteluihin. Yhdistyneiden
kansakuntien (YK) peruskirja
puolestaan säätää, milloin valtiot
ovat oikeutettuja sotatoimiin.
– Tällä hetkellä tilanne ei ole
niin paniikinomainen kuin esi-
merkiksi vielä viitisen vuotta
sitten. Valtaosa valtioista on kui-
tenkin nyttemmin sisällyttänyt
kybervalmiuden sotilaallisiin
strategioihinsa, Petman kertoo.
Perustana vanhat säännöt
Merkittävin kansainvälistä oi-
keutta ja kyberkonflikteja kä-
sittelevä teos on Tallinnan ma-
nuaali, joka on tehty Naton ky-
berpuolustuskeskuksessa (Nato
Cooperative Cyber Defence
Center of Excellence). Keskuk-
sen oikeudellisella osastolla työs-
kentelevän tutkijan Liis Vihulin
mukaan kyseessä on akateemi-
nen tutkimus, joka lähtee siitä,
että kansainvälinen oikeus sovel-
tuu kyberavaruudessa.
– Tallinnan manuaali ei edus-
ta Naton tai minkään sen jäsen-
maan mielipidettä, vaan lakiasi-
antuntijoiden mielipidettä, Vihul
kertoo.
Kybermaailman kansainväli-
sen oikeuden kysymykset jaka-
vat Petmanin mukaan valtioita
kahteen leiriin. Yhdysvaltojen,
Euroopan valtioiden, Naton ja
useimpien maiden mukaan pe-
rinteisen, niin sanotun kineet-
tisen sodan säännöt pätevät
kyberkonflikteissa.
– Toisenlaista näkemystä edus-
tavat muun muassa Venäjä, Kiina
ja joukko Keski-Aasian entisiä
neuvostotasavaltoja, joiden mu-
kaan kybersodalle pitäisi tehdä
uudet säännöt YK:n puitteissa,
Petman sanoo.
Vihulin mukaan viime vuosi
oli kyberkonfliktien kansainvä-
lisen oikeuden kannalta vallan-
kumouksellinen, kun YK:n alai-
nen hallitusten asiantuntijoiden
ryhmä lausui viime vuonna, että
kansainvälinen oikeus ja erityi-
sesti YK:n peruskirja pätevät
kyberavaruudessa.
Kyberhyökkäykseen voi
vastata aseilla
Keskeinen kysymys on, milloin
kyberoperaatio ylittää aseellisen
hyökkäyksen kynnyksen, sillä
YK:n peruskirjan mukaan val-
tiolla on oikeus vastata aseelli-
seen hyökkäykseen voimankäy-
töllä. Yleissääntönä pidetään,
että kyberhyökkäyksen oikeu-
dellinen asema määritellään ai-
heutetun vahingon perusteella.
– Jos hyökkäys aiheuttaa kuo-
lonuhreja tai vakavaa aineellista
tuhoa, aseellisen hyökkäyksen
kynnys ylittyy. Hyökkäyksiä ar-
vioitaessa täytyy katsoa, mitä
seurauksia hyökkäyksillä on,
Petman kertoo.
Vihulin mukaan vielä ei ole
selvää, minkälaiset kyberope-
raatiot kansainvälinen oikeus
kieltää.
– Lakeja tekevät valtiot, eivät
asiantuntijat. Oppineet voivat
sanoa, että tämä menee näin,
mutta valtioilta ei vielä ole tullut
vastauksia.
Ongelmia syntyy, jos kyber-
hyökkäys ylittää aseellisen
hyökkäyksen kynnyksen. Mihin
perinteisin keinoin hyökätään?
– Hyökkäyksiä on vaikea jäl-
jittää. Yhdestäkään hyökkäyk-
sestä ei tiedetä varmasti, kuka
on iskujen takana. Tietokoneet
on helppo valjastaa viruksella,
joka johtaa hyökkäyksen jäljet
väärään koneeseen eri puolelle
maailmaa, Petman sanoo.
Kyberhyökkäyksiä voivat teh-
dä valtioiden lisäksi ei-valtiolliset
toimijat eli esimerkiksi ryhmitty-
mät,terroristit tai yksittäiset hak-
kerit. Petmanin mukaan valtiolla
on velvollisuus estää ei-valtiol-
lisia toimijoita tekemästä lain-
käyttöalueeltaan kyberhyökkä-
yksiä toisia valtioita vastaan, jos
se on niistä tietoinen.Jos valtio ei
kykene tai ei halua lopettaa täl-
laisia aseelliseksi hyökkäykseksi
luokiteltavia iskuja, kyberhyök-
käyksen kohteeksi joutuneella
valtio on oikeus käynnistää puo-
lustustoimet sen alueella olevia
kyberhyökkääjiä vastaan.
– Kyberhyökkäysten vastaisis-
ta itsepuolustustoimista päättä-
villä valtioilla on hirvittävän iso
vastuu. Valtio, joka provosoituu
aseelliseen itsepuolustukseen,
voikin itse syyllistyä hyökkäys-
tekoon. Silloin puolestaan siihen
voidaan kohdistaa sotilaallisia
operaatioita. Verkossa ei-valtiol-
liset toimijat voivat myös sijaita
monien valtioiden alueella, Pet-
man korostaa.
Vihulin mukaan säännöt ovat
periaatteessa selkeitä, mutta on-
gelmaksi muodostuu todistelu.
– Sama sääntö pätee perintei-
sissä konflikteissa. Esimerkiksi
Syyrian konfliktissa meillä on
vahvoja epäilyksiä,että tietyt val-
tiot tukevat ei-valtiollisia toimi-
joita. Silti on vaikea todistaa, että
näin on. Kybermaailmassa todis-
taminen on vielä vaikeampaa.
Voimankäyttö ei saa olla
kohtuutonta
Kansainvälinen oikeus suojelee
siviilikohteita valtioiden sotatoi-
milta. Esimerkiksi siviiliydinvoi-
malat, sairaalat, koulut, siviililen-
tokoneet ja -laivat sekä Punaisen
Ristin ja Punaisen Puolikuun
avustustoiminta ovat kansainvä-
lisen oikeuden suojelemaa.Ei ole
niin tärkeää, tuhotaanko esimer-
kiksi pato kyberhyökkäyksellä
vai ohjusiskulla.
– Kiellettyjä kohteita pohtiessa
mietitään seuraamuksia, ei niin-
kään keinoja, Petman sanoo.
Kansainvälinen oikeus rajoittaa
myös voimankäyttöä. Perinteisen
sodankäynnin maailmassa esimer-
kiksi kemiallisten aseiden käyttö
on kielletty. Petmanin mukaan
vastaavasti esimerkiksi virus, jolla
hallinnoitaisiin kemiallisia aseita
on kielletty.
Kansainvälisen oikeuden mu-
kaan voimankäyttö ei saa olla
kohtuutonta. Kybermaailmassa
kohtuuttomuuden välttäminen
on vaikeampaa, koska aloitettua
hyökkäystä on vaikeampi kohdis-
taa ja rajoittaa.
– Hyökkäys aiheuttaa jokseen-
kin vääjäämättä enemmän seura-
uksia kuin on tavoiteltu. Eskalaa-
tiota on vaikea hillitä, koska tie-
toverkossa asiat ovat linkittyneet
toisiinsa, ja kaikella on seuran-
naisvaikutuksia, Petman toteaa.
Entä onko kansainvälisellä
oikeudella oikeasti merkitystä
sodankäynnissä? Lehdistä saa
toistuvasti lukea kansainvälisen
oikeuden sääntöjen loukkauksis-
ta. Petman lyö nyrkin pöytään.
– Vaikka ihmisiä murhataan, ei
kukaan kyseenalaista rikoslain
merkitystä. Kyllä kansainvälinen
oikeus rajoittaa konflikteja, vaik-
ka sitä joskus rikotaan.
Teksti Pauli Engblom Ulkoasu Eero Ketonen
2. KANSAINVÄLINEN OIKEUS 9ruotuväki 10/2014
Tallinnan manuaali
Kyber toimintaympäristö muiden joukossa
Tallinnan manuaali (Tallinn ma-
nual) on merkittävin kyberkon-
fliktien kansainvälistä oikeutta
käsittelevä teos. Se on Naton
kyberpuolustuskeskuksessa (Na-
to Cooperative Cyber Defence
Center of Excellence) tehty aka-
teeminen tutkimus, jonka lähtö-
kohta on, että olemassa olevat
kansainvälisen oikeuden säännöt
pätevät kybermaailmassa.
– Olemme kansainvälinen laitos
ja palvelemme Natoa ja rahoit-
tajavaltioitamme, mutta emme
ole osa Natoa. Tallinnan manu-
aali edustaa mukana olleiden
asiantuntijoiden, ei Naton tai lai-
toksemme rahoittajavaltioiden
näkemyksiä, tutkija Liis Vihul
keskuksen oikeudelliselta osas-
tolta kertoo.
Vihulin mukaan Tallinnan
manuaalin tarkoitus oli tutkia,
miten kaksi isoa kansainväli-
sen oikeuden alaa soveltuvat
kyberkonflikteihin.
– Ensinnäkin katsoimme, mi-
ten pääasiassa Haagin ja Ge-
neven sopimuksiin perustuva
kansainvälinen humanitäärinen
oikeus soveltuu kyberoperaati-
oihin. Toinen tutkimamme kysy-
mys oli YK:n peruskirjassa sää-
delty normisto siitä, millä edel-
lytyksillä valtiot voivat käyttää
voimaa toisiaan vastaan.
Teokseen on koottu asiantun-
tijoiden yhteisymmärryksellä hy-
väksymiä sääntöjä,joilla pyritään
ratkaisemaan kybermaailman oi-
keudellisia ongelmia. Sääntöjen
perässä on kommentaariosio, jo-
hon asiantuntijat ovat kirjanneet
sääntöjen perusteluja ja ehdo-
tuksia, jotka eivät saavuttaneet
yksimielisyyttä.
– Tallinnan manuaali on niin
sanottua soft law’ta eli kansain-
välisessä oikeudessa merkityksel-
liseksi katsottu asiantuntijoiden
mielipide, Helsingin yliopiston
Erik Castrén -instituutin varajoh-
taja Jarna Petman kuvailee.
Puolustusvoimat valvoo ja suo-
jaa omia verkkojaan. Esimer-
kiksi kriittisen infrastruktuurin
suojaaminen ei ole puolustus-
voimien vaan sen omistajien
vastuulla.Viestintäviraston alai-
sen Kyberturvallisuuskeskuksen
tehtävänä on luoda kansallista
tilannekuvaa kyberuhkista.
Catharina Candolin työsken-
telee Pääesikunnan johtamis-
järjestelmäosastolla tietoverk-
kopuolustussektorin johtajana.
Candolinin mukaan kybera-
varuus on toimintaympäristö
samalla tavalla kuin maa, meri,
ilma ja avaruus.
– Tiedustelun, vaikuttamisen
ja suojautumisen suorituskykyjä
voidaan kehittää tähän ympäris-
töön samalla periaatteella.
Puolustusvoimissa kyber-
hyökkäysten estämisessä pa-
nostetaan harjoituksiin, joissa
keskitytään siihen, miten viha-
mielinen toiminta havaitaan
ja estetään. Candolin kertoo
puolustusvoimien osallistuvan
kansallisiin ja kansainvälisiin
harjoituksiin. Lisäksi on sisäisiä
harjoituksia ja harjoituksia yh-
teistyötahojen kanssa.
Miten Suomi toimisi, jos joku
suomalainen alkaisi tehdä ky-
berhyökkäyksiä toisen valtion
alueelle?
– Suomen vahvuutena on
Kyberturvallisuuskeskus ja vi-
ranomaisten yhteistyö operaat-
toreiden kanssa. Jos tällaista
toimintaa havaittaisiin, meillä
olisi hyvä kyky estää se. Suomi
ei olisi se ongelmamaa, jossa ei
kyettäisi tekemään mitään, Can-
dolin arvioi.
Kyberhyökkäysten rajoitta-
misessa ensimmäinen askel on
havaitseminen.Yleinen palvelu-
nestohyökkäys havaitaan usein
heti, mutta aidosti kohdennetun
hyökkäyksen havaitsemiseen
voi mennä kauemmin aikaa, jo-
pa vuosia. Candolinin mukaan
hyökkäyksen havaitsemisen jäl-
keen pyritään palauttamaan pal-
velut toimintaan. Internetin osi-
en sulkemista yleensä vältetään.
Valtiolle ja yrityksille aiheutuu
kustannuksia, jos Internet-pal-
velut ovat poissa käytössä.