• Tommi Sakari Aalto

Kyberturvallisuus

Suomi ei ole turvassa kyberkonflikteilta eikä kyberrikollisuudelta. Tietoliikenneverkkomme ovat kansainvälisesti verrattuna hyvin suojattuja, mutta suomalaiset yritykset eivät ole liian pieniä ollakseen kiinnostavia. Turvallisuusharhaa ruokkii myös julkisuus, sillä vain noin prosentti kaikista hyökkäyksistä tulee laajemmin tietoon.



Suomalainen Algol-konserni joutui kesällä 2018 laskutushuijauksen uhriksi ja maksoi 140 000 euroa tekaistulle kiinalaistilille. Suuremman taloudellisen vahingon esti vain pankin onnistunut valvonta.


Kybertaistelun tekee haastavaksi se, että hyökkääjinä voi olla mitä erilaisimpia tahoja. Jotkut tekevät kiusaa tullakseen oman avaruutensa sankareiksi. Yhdet haluavat tehdä vahinkoa tai anastaa tietoa, toiset ovat osa laajaa, valtioiden välistä vakoilua.


Lisäksi pitää muistaa, että monet tietoturvahyökkäykset tulevat edelleen organisaatioiden sisältä. Esimerkiksi Edward Snowden oli Yhdysvaltain turvallisuusviranomaisten alihankkijayrityksen työntekijä. Panama-paperit taas vuotivat julkisuuteen oletettavasti verojärjestelyitä tehneen asianajotoimiston työntekijältä.

Miten paljon kotonasi käytetään erilaisia internettiin yhdistettyjä laitteita - pysyykö tietoturvasi perässä?

Näivä voi olla esim. älykello, älyvaaka, televisio, tabletti, jopa kahvinkeitin tai jääkaappi ja pesukone taikka ilmatointilaite. Tietoturva ei kuitenkaan ole samaan tapaan sisäänrakennettuna kuin yrityslaitteissa, joten siihen kannattaa kiinnittää erityistä huomiota. Nykyään mitä erilaisimmat laitteet kahvinkeittimestä älytelevisioon ovat myös kiinni kodin intervetverkossa ja voivat sitä kautta avata vahingossa ovia vääriin paikkoihin.


Kuinka moni tietää mm. useiden älykoti laitteiden kuten Amazon Alexan, johon voi yhdistää useita laitteita hallittavaksi ja ohjattavaksi - kuntelevan käyttäjäänsä ympäri vuorokauden ja kommunikoinvan lähettäen dataa internettiin valmistajan palvelimelle parin minuutin välin jokaisena päivän tunina. Philipsin älyhammasharja Yhdysvalloissa lähettää tietoja käyttäjän hapaiden harjaustottumuksista ja säännöllisyydestä valmistajan palvelimelle josta se myydään edelleen yksityisille hammaslääkäri klinikoille ja vakuutusyhtiöille.


Internet of Things moninkertaistaa hyökkäyspinta-alan

mutta ongelmat voi kuitenkin välttää fiksulla verkon suojaamisella sekä älykkäillä palomuureilla, kun vain laitteiden käyttöä suunnitellessa muistaa pitää myös tietoturvasta huolen. Kansalaisen kannattaa valita esim SENSE-tietoturvareititin joka suojaa kaiken nettiselaamisen kotona, estää haitalliset sivustot ja muut uhat sekä suojaa kaikki verkkoon yhdistetyt laitteet hyökkäyksiltä.


Esineiden internet yleistyy vauhdilla

myös yritysmaailmassa. Yksinkertaiset anturit, verkossa kiinni olevat sorvit tai nosturit tai muut työkalut sekä automatisoitu seuranta ovat arkipäiväistyneet. Samalla on moninkertaistunut se pinta-ala, jonka kautta yritysverkkoihin voi hyökätä, sillä jokainen IoT-laite tarjoaa mahdollisuuden löytää haavoittuvuuksia verkosta. Uhkana on esim. ransomwaren tapainen kiristys tai haavoittuvan laitteen käyttäminen porttina esimerkiksi verkon salakuunteluun tai tietomurtoon.


Jos motiivi on riittävän hyvä, kyberrikollinen voi ohittaa lähes minkä tahansa perustason suojauksen. Puutteellisesti suojatut, verkkoon kytketyt laitteet ovat kyberrikollisille eräänlainen taivas. Niistä näppärät hakkerit saavat hetkessä väylän yritysverkkoon, mikä mahdollistaa tietomurrot.


Verkkoon kytkettyjen laitteiden määrä kasvaa muutamassa vuodessa jopa sataan miljardiin. Siksi saamme todennäköisesti lukea jatkossa yhä enemmän uutisia hakkeroinnin kohteeksi joutuneista jääkaapeista, televisioista ja erilaisista tuotantolaitteista.


Kasvava uhka on henkilöihin kohdistuvat tietojenkalastelu- ja huijausyritykset, joilta on teknisesti vaikea suojautua. Tietoja kalastellaan yhä hienostuneemmin uskottavan näköisillä viesteillä tunnetuista osoitteista. Esimerkiksi Suomessa rikolliset ovat onnistuneet murtautumaan monen yrityksen Office 365 -sähköpostitileille.

Kyberrikolliset käyttävät haltuun saamiaan sähköpostitilejä tietojen vakoiluun, uusien kalasteluviestien lähettämiseen tai huijauksiin.


Vakavamman tason ongelmia on sitten, jos paljastuu, että laitteisiin on upotettu jo valmistusvaiheessa jotain sinne kuulumatonta. Näitä vastaan tavallisten ihmiseten ja yritysten on vaikea lähteä suojautumaan, mutta etenkin kriittisiä järjestelmiä suunnitellessa on hyvä muistaa, että kyse ei ole ainoastaan ohjelmistoista ja palomuureista – myöskään laitteisiin ei voi aivan sataprosenttisesti luottaa.


Tietoturva-asiantuntijat mm. Israelissa ovat jo vuosia varoittaneet että Länsimaisissa 80-90-luvuilla rakennetuissa tietoverkot ja hallintajärjestelmät ovat haavoittuvaisia yksinkertaisen teknlogiansa takia jota ei ole suunniteltu 2020-luvun heinostuneille ohjelmistoille ja monikukaisille laitteistoille. Osaan järjestelmistä on jo todennäköisesti ujutettu ”kill-switch”, ”tappo-kytkin”, jolla voidaan tarpeen tullen voidaan lamaannuttaa esim. valtion sähkö- tai televerkko. Kärjistyvän geopolitiikan keinona tällaisia hyökkäyksiä voidaan käyttää toisen valtion sekasortoon saamiseen ilman aseellista konfliksia.


Hankaluuksia aiheuttaa myös, jos hyökätään laajalti käytössä oleviin tausta- palveluihin, kuten Suomi.fi-tunnistautumispalvelu sai kokea syyskuussa 2018. Valtorin ylläpitämän palvelun tunteja kestänyt häiriö esti pääsyn muun muassa Kelan, Trafin ja Verohallinnon palveluihin.

Kaapattujen laitteiden bottiverkkoihin perustuvat DDoS (Distributed Denial of Service) -hyökkäykset aiheuttavat noin kolmasosan järjestelmien toimintakatkoista.


Uuten 5G-verkkotekniikkaan siirryttäessä on olava hyvin tarkkoja siinä missä ja kuka uudet 5G-tukiasemat ja verkot rakentaa. Viimeaikaisten turvallisuus huolien seurauksena Noki Solutions and Networks lienee valikoituneen rakentamaan Elisa Oyj:n kanssa ensimmäisiä kaupallisia 5G-verkkoja Suomeen Nokian kilpailijan Huawein sijaan.


Toinen hienostuneempi tietoturvauhka on, että verkossa täysin harmittomalta näyttävä laite ei ole se, mitä se esittää olevansa. Tässä toimitilojen turvallisuus korostuu, sillä laitteiden vaihtaminen vaatii tietoteknisen osaamisen lisäksi tiloihin pääsyn esimerkiksi huoltomieheksi tekeytymällä. Hyökkäyksen logiikka on samanlainen kuin muutenkin kyberrikollisuudessa: haavoittuvuutta käytetään joko: rahan kiristämiseen yritykseltä, yksityiseltä henkilöltä, yritysjohtajalta, poliitikolta; tai sen kautta päästään käsiksi henkilö- tai muihin tietoihin, joita sitten myydään eteenpäin tai hyödynnetään vaikkapa valelaskujen lähettämisessä.


Kyberrikollisuus ja -hyökkäykset

eivät enää keskity murtamaan vain verkkoja tai ohjelmistoja. Myös laitteista löytyy nykyään paljon reittejä päästä käsiksi yritysten ja valtion verkkoihin tai tietoihin.


Henkilöstön tietoturvakoulutus on usein laiminlyöty asia, joka kostautuu helposti. Parhaissakin tietoturvaratkaisuissa on ihmisen kokoinen aukko, jos henkilöstö ei ymmärrä, miten ja miksi tietoturvasta pitää huolehtia. Tietoturvariski ei edellytä aina rikollisuutta, vaan kyse voi olla myös ajattelemattomuudesta.


Tietoturva ei ole helppo laji. Nykyaikainen tietoliikenteen ympäristö on monimutkainen ja uhkat muuttavat jatkuvasti muotoaan. Yhden tietoturva-aukon paikkaaminen on vain lyhytkestoinen riemu, sillä kyberrikollisten automatisoidut hyökkäykset jatkavat väsymätöntä uusien haavoittuvuuksien etsimistä. Samaan aikaan yhä useamman yrityksen liiketoiminnan kaikkein arvokkain ja varjelluin osa on tavalla tai toisella digitaalisessa muodossa. Tahosta riippuen tämä voi tarkoittaa tuotteiden tai tuotantoprosessien dokumentaatiota, asiakastietokantaa, verkkokauppaa, tekoälyn algoritmeja tai vaikka kaikkia näitä.



Toinen ongelma tietoturvalle on työn tekemisen uudet muodot. Työtä tehdään yhä enemmän ajasta ja paikasta riippumatta. Laitteiden kirjo on valtava – työntekijällä on usein käytössään ainakin työpaikalta saatu tietokone ja älypuhelin, joskus myös tabletti ja omia laitteita näiden rinnalla. Osa palveluista pyörii omassa konesalissa, osa yksityisessä pilvessä ja osa julkisessa pilvessä. Työntekijät käyttävät yritysverkon lisäksi omia henkilökohtaisia yhteyksiään tai jopa lentokentän tai kahvilan tarjoamaa kolmannen osapuolen yhteyttä.


Valtion hallinnossa ja virastoissa näihin asiohin on kiinnitettävä erityistä huomiota ja tarkuutta jottei kansallinen kilpailukykymme ja turvallisuutemme vaarannu huolimattomuuden takia.


#tietoturva #kansallinenturvalliuus #tiedejatukimus #kilapulietu #kyberhyökkäys #kyberrikollisuus #yritysvakoilu #vaikuttaminen #tietojärjestelmähyökkäys #etätyö #IoT #esineideninternet #5G #vakoilu #kyberkonflikti #tietoliikenneverkko

Copyright © 2020 Tommi Aalto | #UusiPolitiikanAalto