Artikkelit

#kapakesä: Kyberturvallisuus osaksi kaikkea toimintaa

Digitalisoituvassa maailmassakin tietoturva lähtee siitä, että jokainen käyttäjä ymmärtää häntä uhkaavat riskit, sanoo Kimmo Rousku. Pomminvarmaa tietoturvaa ei maailmaan nimittäin saada ilman tekoälyä tai kolmannen asteen yhteyttä – jos silloinkaan.

Digitaalisessa maailmassa riskit koskevat jokaista meistä. Niitä ei kuitenkaan ymmärretä tai ainakaan niihin ei yleensä reagoida, ennen kuin vahinko osuu omalle kohdalle, toteaa Kimmo Rousku.

– Moni kotikäyttäjä ajattelee niin, ettei kotikoneellani ole mitään, mikä ketään kiinnostaisi. Ongelma on, että konetta itseään voidaan kaapattuna käyttää palvelinestohyökkäyksen välineenä tai muihin rikollisiin tarkoituksiin.

 

Rousku toimii pääsihteerinä valtiovarainministeriössä valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmässä VAHTIssa. Ennen siirtymistään nykyisiin tehtäviin hän työskenteli muun muassa Valtion tieto- ja viestintätekniikkakeskus Valtorin riskienhallintajohtajana.

Kyberturvallisuuden yläkäsitteen Rousku jakaa kolmeen alakategoriaan. Tietoturvallisuus käsittää tietojen luottamuksellisuuden, eheyden ja saatavuuden. Jatkuvuudenhallinta ja varautuminen pitävät huolta siitä, että häiriötilanteisiin on varauduttu ja sellaisen sattuessa organisaatio tai palvelu pystyy palautumaan takaisin normaalitoimintaan ilman että häiriöstä koituu sille tai sen asiakkaille merkittävää haittaa. Digiturvallisuuteen Rousku lukee yksityishenkilöiden tieto- ja yksityisyydensuojan, jotka etenkin näin some- ja pilvipalveluiden aikakaudella ovat koetuksella.

– Yksin näistä mikään ei riitä, vaan kaikkien osa-alueiden pitää olla kunnossa. Jotta niitä pystytään kehittämään tarkoituksenmukaisesti ja kohdistamaan esimerkiksi kehittäminen ja investoinnit oikeisiin kohteisiin, edellyttää se säännöllistä riskienarviointia.

Vastuu kyberturvallisuudesta lähtee viime kädessä yksittäisten ihmisten toiminnasta, sanoo Rousku. Jokaisella on vastuu huolehtia oman ympäristönsä turvallisuudesta, niin kotona kuin osin työpaikalla. Milloin viimeksi olet lukenut tai kerrannut oman organisaatiosi ohjeistusta, haastaa Rousku.

– Mutta näitä asioita ei voi ulkoistaa. Jos ulkoiselta palveluntuottajalta ostetaan jokin palvelu, ei vastuuta sen turvallisuudesta voida ulkoistaa tuottajalle.

Ihmisten tietoisuus ja valmius tietoturvallisuusasioissa on Rouskun mukaan muuttunut parempaan suuntaan. Riskejä ei kuitenkaan Rouskun mukaan usein ymmärretä, ennen kuin onnettomuus osuu kohdalle.

– Liian usein tietoturvallisuuskoulutuksissa neuvotaan, että älä tee noin. Jos ihminen ei ymmärrä miksi, ei asiaa sisäistetä. Koulutuksissa pitäisi havainnollistaa paljon selkeämmin mitä voi esimerkiksi tapahtua, jos vaikkapa käyttäjän tietokone saadaan kaapattua haltuun, kun avataan liitetiedosto tai napautetaan linkkiä, jota ei olisi pitänyt napauttaa, Rousku sanoo.

Kyberturvallisuudessa ongelmana on, etteivät sitä parhaiten ymmärtävät asiantuntijat osaa aina ajatella asiaa muiden kannalta ja käyttäjälähtöisesti. Eri organisaatioissa kyberturvallisuus koetaan vielä usein omaksi erikoisalueekseen ja tietoturvallisuusvastaavien tarkkaan rajatuksi läänitykseksi.

– Tietoturvallisuuden tulee olla sisäänleivottu kaikkeen toimintaan. Sitä ei saa eristää omaksi saarekkeekseen.

Riskitietoisuus kodin ja kyberturvallisuuden välillä on myös kovin erilaista, hän huomauttaa. Loppujen lopuksi meistä jokainen voisi olla riskienhallinnan asiantuntija.

– Kaikkihan me mietimme tarkasti vaikkapa kotoa lähtiessämme, onko ovi jäänyt auki, tai kahvinkeitin päälle, tai mitä sanomme avio/avopuolisollemme Samanlainen ajattelu pitäisi saada siirrettyä myös työpaikoille ja kyberturvallisuuteen.

 

Mikä uhkaa suomalaisten kyberturvallisuutta tulevaisuudessa?

– Suurimmat uhat ovat rahan motivoimat järjestäytyneet rikollisryhmät, jotka kehittävät koko ajan edistyneempiä keinoja rahan saamiseen muodossa tai toisessa. Palvelunestohyökkäykset tuntuvat olevan nyt suosittu keino, jonka takana on yleensä rahan saaminen kiristämällä, Rousku toteaa.

Palvelunestohyökkäykseen tarvittavaa osaamista saa jo ostettua muutamilla sadoilla euroilla, Rousku kertoo. Tällaisella hyökkäyksellä voisi saada jo tavallisen suomalaisen organisaation kaatumaan ainakin hetkellisesti. Toisena mahdollisena kohteena Rousku mainitsee suuria asiakastietokantoja sisältävät kauppaketjut. Suomessa ei tietomurtoja tällaisille tahoille ole tehty – Yhdysvalloissa asiakkaiden luottokorttitietoja on varastettu juuri suurilta tavarataloketjuilta ja aiheutettu jopa satojen miljoonien eurojen osin välilliset ja välittömät vahingot.

Väestörekisterikeskuksen palveluarkkitehtuuri-ohjelmassa rakennetaan paraikaa arkkitehtuuria ja alustaa digitaalisille palveluille, jotka sijaitsevat kansalaisen kannalta helposti yhden virtuaalisen luukun takana. Onko tällainen palveluiden keskittäminen tietoturvariski?

– Kaikissa keskitetyissä järjestelmissä on samoja ongelmia, ja tärkeää tietoa on jo julkishallinnossa keskitetty vaikkapa Verohallinnossa, Maanmittauslaitoksessa tai juuri Väestörekisterikeskuksessa.

– Vaikka tietoa palveluarkkitehtuurissa keskitetään, ei se tarkoita, että kerran yhteen paikkaan murtauduttua kaikki olisi auki kuin Pandoran lippaassa, vaan on siellä eri palvelut ja tietokannat vielä erikseen suojattuna. Toki palveluväylä tulee varmasti olemaan mielenkiinnon kohteena myös kyberturvallisuuden näkökulmasta.

Rousku muistuttaa, että erityisesti valtiollisilla organisaatioilla on käytännössä keinot ja resurssit murtautua minne vaan.

– Esimerkiksi Yhdysvaltojen koko tiedustelutoiminnan budjetti on arvioiden mukaan yli 50 miljardia dollaria vuodessa. Tuleehan siinä välillä vähän kyynisyyttä siitä, että miten tällaisen varalta suojautuu. Toki valtiollisten toimijoiden intressit ainakaan levittää murrettuja tietoja ovat rajalliset verrattuna tietoverkkorikollisiin, Rousku pohtii.

– Suomihan ei verkkotiedustelua vielä tee. Olemme tässä suhteessa ehkä vielä vähän sinisilmäisiä, ja verkkotiedustelun realiteetteihin pitäisi herätä.

Yhteiskunnan tasolla Suomen valmius torjua verkkohyökkäyksiä on edelleen hyvä.

– Suomessa on edelleen puhtaat, erinomaisesti hallitut tietoliikenneverkot ja verkko-operaattorimme voivat tehokkaasti ohjata ja estää vahingollista verkkoliikennettä. Nokian perintö heijastuu osin tällä tavalla tietoverkkojen luotettavuuteen. Osaajista alkaa tosin pienessä maassa olla hieman pulaa.

 

Niin kauan kun maailmassa on ollut digitaalista tietoa, on ollut myös tietomurtoja. Pääsevätkö tietoturvallisuusasiantuntijat koskaan inhimillisten erheiden, tiedustelupalveluiden tai rikollisryhmien edelle kehittämällä täysin turvallisia tietojärjestelmiä?

– Niin kauan kuin sovelluksia ja tietoturvaa kehittävät ihmiset, jää tilaa myös virheille. Seuraavan sukupolven tekoälyn kehittämä tietoturva voi ehkä olla idioottivarmempaa, mutta tällaistakin saa odotella.

– Toki apu jostakin ulkoavaruudesta voisi vaikkapa tunnissa mullistaa kaiken inhimillisen teknologian, hän toteaa sopivasti loppukevennyksenä.

 

 

Lisätietoa valtionhallinnon tieto- ja kyberturvallisuudesta voi lukea tästä tuoreesta selvityksestä.