Erka Koivunen (vas.) ja Jarmo Limnéll sanovat, että digitalisaatio tuo kyberturvallisuuteen jatkuvasti uusia ulottuvuuksia. Jopa tietoturva-alan asiantuntijoilla on täysi työ pysyä mukana nopeassa muutoksessa.

Digitalisaation eteneminen tuo kyberturvallisuuteen jatkuvasti uusia haasteita. Hyökkääjien ja heidän käyttämiensä menetelmien kirjo laajenee. Peliä ei ole kuitenkaan menetetty, sanovat Erka Koivunen ja Jarno Limnéll.

Kyberturvallisuuden haastavin trendi on jatkuvasti vauhtiaan lisäävä teknologian kehitys ja digitalisaatio. Tätä mieltä on Aalto-yliopiston kyberturvallisuuden professori ja Insta Group Oy:n kyberturvallisuusjohtaja Jarno Limnéll.

”Jopa meillä asiantuntijoilla on täysi työ pysyä mukana tässä muutoksen nopeudessa”, Limnéll sanoo.

Hyvä esimerkki on niin sanotun esineiden internetin eli Internet of Thingsin nopea eteneminen.

”Nyt internetiin yhdistetään viisi miljoonaa uutta ja yhä mielikuvituksellisempaa asiaa ja esinettä joka tunti. Vauhdin odotetaan kiihtyvän tulevina vuosina. Monissa IoT-sovelluksissa ei ole kuitenkaan mietitty tietoturvaa lainkaan. Älykäs ei saa tarkoittaa samaa kuin haavoittuva tai hyväksikäytettävä.”

Hyökkääjillä uusia aseita

Tietoturvayhtiöiden työnkuvaan kuuluu laatia uhkakuvia, joista media tekee mielellään näyttäviä otsikoita.

F-Securen kyberturvallisuusneuvonantaja Erka Koivunen myöntää, että riskien runsas maalailu ja mediarummutus ovat aiheuttaneet turtumista koko aihepiiriin.

”Monelta bisnespäättäjältä on päässyt hämärtymään, mitä tämä kaikki voi tarkoittaa omalle liiketoiminnalle”, Koivunen huomauttaa.

Oman organisaation tietoturvauhkien arviointia vaikeuttaa se, että kybermaailmassa rikolliseen toimintaan syyllistyvä joukko on entistä kirjavampi yksittäisistä rikollisista valtioiden palkkaamiin vakoilijoihin.

Myös hyökkäysmenetelmät ovat monipuolistuneet huomattavasti. Haittaohjelman tai tietomurron uhriksi voi joutua nyt muutenkin kuin surffaamalla hämäräperäisillä sivustoilla.

”En halua lannistaa, mutta iso osa aiemmin olankohautuksella ohitetuista uusista uhista ovat osoittautuneet oikeiksi, vieläpä valitettavan nopealla aikataululla.”

Koivunen puhuu hyökkäystekniikoiden proliferaatiosta eli leviämisestä.

”Jos muutama vuosi sitten jokin tekniikka oli ainoastaan (Yhdysvaltain kansallisen turvallisuuspalvelun) NSA:n eliittijoukkojen käytössä, niin nyt samaa tekniikkaa käyttävät tavalliset itäeurooppalaiset rikolliset.”

Tietoturva johdon agendalle

Koivusen mukaan moni suomalainen yritys ajattelee, että julkisuutta viime vuosina hallinneet verkkovakoilu ja -häirintä eivät niitä kosketa. Koivunen kehottaa kuitenkin miettimään uudelleen.

”Voit olla kohde, jos toimit alihankkijana vaikkapa valtiolle, satut tuntemaan vakoilijoita kiinnostavia ihmisiä tai yrityksesi käy kauppaa kriisialueella.”

Koivunen muistuttaa, että kaikki tietojärjestelmiä vastaan hyökkäävät eivät ole valtiovaltojen vakoilijoita tai sotilaita. Asialla voivat olla myös taloudellista hyötyä tavoitteleva kilpailija.

Erka Koivunen korostaa, että lamaantua ei kannata.

”Kannattaa käydä keskustelua omassa organisaatiossa ja selvittää, mitkä kulloisistakin tietoturvatrendeistä ovat relevantteja ja nostettava johdon agendalle.”

F-Securessa on jaoteltu tietoverkoissa vaanivia hyökkääjiä sekä heidän motiivejaan ja resurssejaan (ks. oheinen luettelo).

”Ryhmittely on tärkeää, jotta ymmärrämme, millaisia resursseja vastustajilla on käytössään, millaisiin kohteisiin he tähtäävät ja mikä heidän kykynsä saada aikaan vahinkoja.”

Suomalainen osaaminen kilpailuvaltti

Jarno Limnéllin mielestä tietoturvaa koskeva keskustelu keskittyy liikaa teknologiaan ja yksittäisiin uhkakuviin. Turvallisuus tulee hänen mukaansa ymmärtää mahdollistajana.

Limnéllin mielestä kokonaisuuteen kuuluvat oleellisesti myös eettiset kysymykset ja ihmisten rooli huimaavaa vauhtia etenevässä teknologisessa kehityksessä.

”Välillä pitäisi myös kysyä, pysyykö ihmisen osaaminen ja ylipäänsä ihmisyys digitalisaation ja teknologian vauhdissa.”

Limnéllin mukaan keskustelussa unohtuu lisäksi helposti, että tietoturva on myös mahdollisuus Suomelle ja suomalaisille yrityksille.

”Kansainvälisesti vertaillen Suomessa löytyy näissä asioissa korkeaa osaamista ja laaja yrityskenttä suhteessa maan kokoon. Kaikkein tärkeintä ovat osaavat ihmiset.”

Limnéll arvioi, että kyberturvallisuudessa korostuu jatkossa entistä enemmän luottamus.

”Se on suomalaisten ratkaisujen kilpailuetu, jota kannattaa pitää esillä ja viedä maailmalle.”

Hyökkääjällä on monenlaisia motiiveja

F-Secure jaotteli kyberturvallisuutta horjuttavat hyökkääjät viiteen ryhmään:

1. Hakkerit. Tietojärjestelmiä hyvin tunteva henkilö, joka kokeilee pääsyä vieraisiin järjestelmiin. Aikeet eivät ole välttämättä pahat, mutta hakkerin toimista voi aiheutua isoja vahinkoja kohteelle.

2. Haktivistit. Protestoijia, joista osa ylittää laillisuuden rajat esimerkiksi tietomurroilla. Poliittisten motiivien ohella heillä voi olla kaupallisia tavoitteita. Vastustaja pyritään häpäisemään ja aiheuttamaan taloudellisia vahinkoja paljastamalla esimerkiksi henkilötietoja, liikesalaisuuksia tai asiakkaiden tietoja. Painostuskeinoihin kuuluvat myös palvelunestohyökkäykset.

3. Rikolliset, jotka etsivät digimaailmasta tapoja tehdä nopeasti ja helposti rahaa isolla volyymillä. Perinteisiä tapoja ovat esimerkiksi luottokorttitietojen varastaminen ja pankkitunnusten kalastelu.

4. Valtiolliset toimijat. Etenkin suurvaltojen armeijan ja turvallisuusviranomaisten sähköinen vakoilu nousi julkisuuteen, kun Edward Snowden teki paljastuksia Yhdysvaltain ja Britannian harjoittamasta vakoilusta. Yksittäisen kansalainen voi joutua vakoilun kohteeksi esimerkiksi mielipiteidensä vuoksi. Hän saattaa myös toimia myös ”ponnahduslautana”, jonka kautta urkkija pyrkii lähemmäs varsinaista kohdetta.

5. Extremistit. Esimerkiksi terroristit, joiden kohteena ovat yhteiskunnan toiminnan kannalta arat kohteet.

Nämä asiat korostuvat kyberturvallisuudessa

Jarno Limnéllin mielestä etenkin näihin asioihin kannattaa kiinnittää huomiota:

1. Tietoturva on jatkuva prosessi. Kyse ei ole projektista, vaan digimaailman nopea muutos edellyttää jatkuvaa arviointia, toiminnan jatkuvaa kehittämistä, tilannetietoutta ja jatkuvaa osaamisen kehittämistä.

2. Digiturvallisuutta ei voi erottaa fyysisestä turvallisuudesta, vaan asiat on hahmotettava kokonaisuutena. Ulkoa tulevan tietomurron lisäksi kulkulupia voidaan väärentää ja mennä järjestelmiin tunnuksilla yrityksen sisällä.

3. Ihmiset on nostettava keskiöön. Jokaisen työntekijän tulisi tiedostaa tietoturvan merkitys ja tietää perusasiat. Mahdollisia tietoturvauhkia vastaan tulisi myös harjoitella, jotta toimintatavat ovat selvät, jos jotakin ikävää sattuu.

4. Tietojärjestelmien avautuminen osittain ulkopuolisille tuo omat haasteensa. Jatkossa on oltava entistä paremmat valmiudet havaita järjestelmiin kuulumattomat asiat ja suojata kaikkein tärkeimmät tiedot.

5. Tiedon manipulointi nousee tietovarkauksien rinnalle riskiksi. Pahinta on, jos hyökkääjä pääsee saastuttamaan huomaamatta isoja tietomääriä pitkän ajan kuluessa. Esimerkiksi digitalisoituvassa terveydenhuollossa tällainen tietojen manipulointi olisi katastrofi. Sairaalassa ei voisi enää luottaa, pitääkö järjestelmästä löytyvä tieto potilaan veriryhmästä paikkansa. Luottamus koko tietoainekseen saattaisi romahtaa.

Teksti ja kuva: Matti Remes