Venäjän lähialueillaan toteuttamien kyberoperaatioiden analysointi

Abstract

Vuonna 2007 Venäjä toteutti Viron valtiota vastaan useita viikkoja kestäneen kyberoperaation. Tämä oli ensimmäinen kerta, kun valtio toteutti järjestelmällisen, hyökkäyksellisen operaation tietoverkkojen kautta toista valtiota vastaan. Vaikka vahingot jäivät lopulta vähäisiksi, herätti se huomiota erityisesti länsimaissa. Viron jälkeen Venäjän kyberoperaatioiden kohteina ovat olleet erityisesti sen naapurimaat. Nämä valtiot ovat tyypillisesti olleet vanhoja neuvostotasavaltoja, jotka ovat pyrkineet irtautumaan Venäjän valtapiiristä ja lähentymään länsimaiden kanssa tai asettuneet vastustamaan Venäjän geopoliittisia tavoitteita. Tämä pro gradu -tutkielma tutki Venäjän lähialueillaan toteuttamia kyberoperaatioita, jotka toteutettiin vuosien 2007 ja 2017 välisenä aikana. Tutkimuksen tutkimusstrategiana käytettiin monitapaustutkimusta, joka soveltuu hyvin tutkimuksiin, joissa kiinnostuksen kohteena on useampi kuin yksi tapaus. Tutkimus on saanut vaikutteita postpositivistisen tieteenfilosofian suuntauksesta. Tutkimuksen kirjallisuuskatsauksessa määriteltiin attribuution ja kyberoperaation käsitteet, selvitettiin, mitä kyberoperaatioita Venäjä on toteuttanut lähialueillaan sekä millaisia kyberhyökkäyksen mallintamisen menetelmiä on kehitetty. Katsauksen perusteella tutkimukseen valikoitui yhteensä kuusi operaatiota, jotka on toteutettu Viroa, Liettuaa, Georgiaa ja Ukrainaa vastaan. Ukrainaa kohtaan toteutettiin kolme erillistä kyberoperaatiota. Lisäksi operaatioiden analysointiin valittiin sovellettu yhdistetty tappoketju, joka on muokattu yhdistetyn tappoketjun pohjalta. Tappoketjun analysoinnin pohjalta saadut tulokset tulkittiin strategisen kulttuurin teorian avulla. Tutkimustuloksista käy ilmi, että Venäjän kyberoperaatiot ovat muuttuneet sekä tavoitteiltaan että rakenteeltaan kymmenen vuoden aikana. Ensimmäiset kyberoperaatiot toteutettiin ideologisista syistä, eikä niillä saavutettu juuri lyhytaikaisia vaikutuksia suurempaa lopputulosta. Liettuaa vastaan suoritetun operaation jälkeen operaatiot ovat olleet monimutkaisempia, paremmin suunniteltuja, ne on toteutettu geopoliittisista syistä ja niillä on tavoiteltu pitempiaikaista hyötyä. Kirjallisuuskatsauksen perusteella löydetyt mallintamisen menetelmät eivät myöskään sovellu täysin kyberoperaatioiden analysointia varten, sillä nämä ovat suunniteltu kyberhyökkäyksien analysointia varten. Mallille, joka on kehitetty kyberoperaatioiden analysointia varten, on siis tarvetta.

In 2007, Russia conducted a cyber operation against Estonia. This was the first time when a country was attacked by another country through cyber environment. Even though the operation caused only minimal losses, the Western democracies realised that this was only a precedent. Afterwards, Russia has conducted multiple cyber operations against its neighbouring countries. These countries have typically been post-Soviet republics, which have tried to distance themselves from Russia. Cyber operations have been conducted against these countries after they had moved closer to the Western sphere of influence, or after Russia had deemed that these countries threaten the geopolitical objectives of Russia. The focus of this thesis is on the cyber operations that Russia has carried out between 2007 and 2017. The research strategy used in the study was a multiple case study strategy, which is especially useful when the researcher is interested in multiple cases. This research is based on the postpositivist paradigm. The literature review focused on defining the concepts of attribution and cyber operation, explaining the different cyber operations Russia has carried out against neighbouring countries, and presenting different kinds of attacking modelling techniques. Based on the literature review, six different cyber operations were chosen for the analysis: cyber operations against Estonia, Lithuania, Georgia and three different operations against Ukraine. A modified unified kill chain attacking modelling technique was chosen as the analysis tool. Strategic culture theory was used to explain the results. The results show that the goals and the structure of the Russian cyber operations have changed over the course of a decade. The first operations were based on ideological reasons, and they did not achieve any long-term goals. After the operation against Lithuania, these cyber operations were better planned, more complex, based on geopolitical reasons and they strived for longer-term results. A need for the development for a separate cyber operation modelling technique was also recognized for most of the current techniques are developed for cyber-attack analysis.