lauantai, 10. joulukuuta 2011

Kyber - uhka vai mahdollisuus?


Kenraali Ohra-Aho kirjoittaa omassa blogissaan kyberistä ja kehottaa meitä heti otsikossaan haistamaan kyberiä. Siihen ei voi sanoa muuta, kuin ”haista IT!!” ;-) 

Yhdyn Ohra-ahon näkemykseen siitä, että keskustelu on pääsääntöisesti ollut uhkalähtöistä. Ohra-aho kysyykin, miten voimme elää maailmassa, jossa tietoverkkorikolliset, haktivistit ja valtiolliset toimijat vakoilevat, kiristävät ja kalastelevat “kybervesissä”? Uhka on maailmanlaajuisesti tunnistettu, mutta entäpä sitten mahdollisuus? Millaisia mahdollisuuksia teknologiaosaaminen – erityisesti IT-alalla – tämä antaa Suomelle? Haluan tällä blogipostauksella jatkaa Ohra-ahon erinomaisen hyvin tiivistettyä ja asiallista postausta nostamalla esiin kyberaiheen kaksiteräisyyttä ja fokusoida uhkien sijasta mahdollisuuksiin.

Aloitetaan pohtimalla arabikevättä, joka on arabimaissa noussut mielenosoitusten ja kansannousujen aalto. Se alkoi Tunisian vallankumouksesta vuodenvaihteessa 2010–2011, jossa yli 20 vuotta presidenttinä toiminut Zine el-Abidine Ben Ali pakotettiin lähtemään maasta tammikuussa 2011. Tunisian vallankumouksen innoittamat protestit levisivät lähes kaikkialle arabimaailmaan. Siitä seurasi muun muassa Egyptin kansannousu, Libyan sota, Syyrian ja Jemenin levottomuudet sekä Bahrainin ja Saudi-Arabian protestit. Mikä on näille ollut ominaista? Aivan keskeiseen asemaan nousee kyberavaruudessa toimiva sosiaalinen media, jonka avulla oli mahdollista järjestäytyä, viestittää ja levittää tietoisuutta valtioiden yrittäessä tukahduttaa kansannousut muun muassa sensuroimalla ja estämällä Internetin käytön. Onko kyberulottuvuus tässä ollut uhka vai mahdollisuus? Kyseisten valtioiden johtoportaalle taatusti uhka, mutta kansalle taas aivan uudenlainen mahdollisuus.

Palataan sitten takaisin kyberuhkien maailmaan. Ne eivät tule poistumaan vain sitä toivomalla. Trenditkin osoittavat nousevaa käyrää. Tässä viitekehyksessä Suomella, teknologisesti kehittyneenä maana, on mahdollisuus nousta kyberturvallisuuden ja miksei myös tietoturvallisuuden yhdeksi edelläkävijämaaksi, niinkuin kansalliset olemassa olevat ja työn alla olevat strategiat maailailevatkin. Ilmaiseksi tällaista statusta ei kuitenkaan saavuteta. Näen seuraavat asiat keskeisinä:

  1. Yhdessä tekemisen meininki yhteisten tavoitteiden saavuttamiseksi. Suomi on liian pieni maa hiekkalaatikkotappeluille. Meidän pitäisi miettiä, miten yhdistämällä voimavarojamme – osaamisemme – voisimme saavuttaa jotain yhteistä hyvää, jolla näpäytämme ketä tahansa sormille, joka yrittää horjuttaa toimintamme valtiona ja yhteiskuntana, yksilöön asti. Tämä on tahtotila- ja asennekysymys - joukkuepeliä, eikä politiikkaa, lainsäädäntöä tai byrokratiaa. Jälkimmäiset ovat tärkeitä, mutta ne seuraavat edellisistä.
  2. Suomalaisten alan yritysten tukeminen ja kilpailukyvyn edistäminen myös kansainvälisillä markkinoilla. Suomessa on paljon potentiaalia, mitä innovaatioihin tulee, mutta hyvä idea ei yksin riitä. Hyvän idean lisäksi pitää olla ilmapiiri, jossa yrittäjyyttä tuetaan, erityisesti panostaen tuotteistamiseen ja markkinointiin. Markkinointi tulee ulotaa myös kansainvälisille markkinoille. Pieniä yrityksiä ei tule hävetä tai vähätellä, koska asiansa hyvin osaavat tekijät avaavat osaamisellaan ja uskottavuudellaan ovia myös muille samasta maasta tuleville. En aio tässä mainita yrityksiä erikseen, mutta voin kokemuksesta sanoa, kuinka monia meidän pieniä yrityksiä kehutaan maailmalla, ja kuinka se on helpottanut Suomen asioiden käsittelyä vain sen takia, että osaamisemme on tunnistettu. Tämä on mahdollisuus pienelle Suomelle, ja meidän pitäisi edesauttaa tätä!
  3. Asiantuntijoiden kuuleminen ja heidän työnsä arvostaminen. Monesti (erityisesti valtionhallinnon) hankkeet joutuvat kamppailemaan korkeasti lentävien tavoitteiden ja kustannussäästöpaineitten ristiaallokossa, kiireellisestä aikataulusta puhumattakaan. Enemmän pitää saada aikaan vähemmällä. Tällöin tietoturvallisuus on yksi ensimmäisistä osa-alueista, joista halutaan oikaista. Sitä nähdään vain kustannuksia aiheuttavana ja toimintaa lamauttavana asiana, mikä on hyvin lyhytnäköistä. Ehkä se edistää kyseistä hanketta, mutta edistääkö tällainen lyhytnäköisyys sitä tulevaa toimintaa jatkossa, hankkeen jo päättyessä? Mitä sitten, kun toiminta kärsii heikon tietoturvallisuuden takia? 10 000 euroa maksavan tietoturvaominaisuuden toteuttamatta jättäminen maksaakin yhtäkkiä organisaatiolle mainetta ja miljoonia. Tietoturvapäälliköt toimivat yleensä tässä viitekehyksessä tietoturvavaatimusten sanansaattajina. Tästä hyvästä he saavat helposti leimat otsaansa huonon onnen tuojina, vaatimuksista ruikuttajina, ja mörköjen näkijöinä, joita ei haluta kuunnella, koska se on epämukavaa. Puhumattakaan siitä, että heille haluttaisiin maksaa moisesta ruikuttamisesta asianmukaista palkkaa!! Tietoturvallisuus on kuitenkin edullinen ”henkivakuutus”. Tietoturvallisuutta on mahdollista toteuttaa kustannustehokkaasti, jos työtä tukee asiansa osaava ihminen. Osaavia ihmisiä tulee kuunnella ja heidän työnsä tulee arvostaa. Vahventamalla tietoturvallisuutemme luomme samalla viestin siitä, että meihin ei kannata hyökätä, koska se vie aikaa ja energiaa eikä välttämättä johda mihinkään. Osaaminen ja arvostaminen kunniaan!
  4. Koulutusta kaikilla tasoilla. Nettivalistusta jo peruskouluihin, ammattimaista koulutusta yliopistoihin ja ammattikorkeakouluihin ja jatkokursseja alan asiantuntijoille. Entäs sitten varusmiehet? Voisiko ajatella, että jokaiselle varusmiehelle tarjottaisiin aiheeseen liittyvää perusopetusta, mikä varusmiespalveluksen jälkeen toisi vahvaa perusosaamista tietoturvauhkista suojaamisesta niin yksityisen kuin julkisen sektorin organisaatioille? Entäs jos pienemmälle osalle annettaisiin tehostettua koulutusta, vrt. elektronisen sodankäynnin koulutukseen? Koulutus luo joka tapauksessa osaamista, ja siitähän tässä on pähkinäkuoreessa kysymys. Koulutuspuolella on paljon mahdollisuuksia!!

Edellisessä postauksessani kirjoitin kyberpuolustuksesta osana maanpuolustusta. Myös tässä asiassa kaksiteräisyys korostuu. Mahdollisten vihamielisten valtioiden suorittamat kyberhyökkäykset olisivat konkreettinen uhka Suomelle ja Suomen puolustukselle. Toisaalta, oman suorituskyvyn kehittäminen edesauttaisi edellä mainittujen uhkien torjuntaa, ja loisi yhtä keskeistä suorituskykyä lisää perinteisten maa-, meri- ja ilmapuolustuskykyen rinnalle. Tämä on nähtävä mahdollisuutena! Jos tätä mahdollisuutta ei hyödynnetä, jäämme väistämättä kehityksestä jäljelle.

Toivoisin tästäkin aiheesta keskustelua, tällä kertaa kääntäen fokuksen uhkista mahdollisuuksiin! Millaisia mahdollisuuksia te, hyvät lukijat, näette Suomen kannalta? Mihin meidän kannattaisi panostaa? Miten voisimme luoda jotain yhteistä hyvää kaikilla kyberin osa-alueilla? Miten voimme hyödyntää IT-osaamisemme mahdollisuuksien luomiseksi kyberavaruudessa?
Lähettänyt klo

6 kommenttia:

  1. Sakari Ahvenainen: Kommentoin seuraavasti: En vastaa juurikaan alla Catharinan kysymyksiin suoran, mutta valotan toivottavasti taustoja.
    Mahdollisuuksiin? No asia on sama kuin leipäveitsellä tai ilmailulla. Molemmat ovat uhka ja mahdollisuus. Mahdollisuuksissa tulevaisuustutkijana on mielestäni oleellista seuraava kehitys (luvut viitteellisiä ”bruttokansatuotetta” per henkilö havainnollistavia kertoimia. Luvut ovat myös pitkälti sama asia kuin hyvinvointi, ainakin tavaroiden määrässä mitattuna):
    - keräys- ja metsästysyhteiskunta: 1
    - maatalousyhteiskunta: 10
    - teollisuusyhteiskunta:100
    - informaatioyhteiskunta: 1000 (palveluyhteiskunta?)
    Yrityksen omistajan kannalta pointti on seuraava ja aivan oleellinen: Haluatko pysyä vertailuluvussa 100 vai satsata omassa toiminnassa jatkossa vertailulukuun 1000?
    Toiseksi edelliseen liittyen: Suomi on jo 90 prosenttisesti palvelutalous. Palvelu tarkoittaa tässä muuta kuin suoraa tavaroiden tuotantoa, Siihen kuuluu siis tutkimus ja kehitys, suunnittelu, rahoitus, logistiikka, markkinointi, huolto … (s. 7). Nokian N95:n 547 euron hinnasta 31 prosenttia on Nokia sisäisiä ”tukitoimintoja” ja 16 prosenttia liikevoittoa, vain 37 prosenttia osista johtuvia ja huom! vain 11 prosenttia valmistusta (s. 14). NSN on em. tarkastelussa 97 prosenttisesti palveluyritys (s. 84)! Vastaavan muutoksen on tehnyt parissakymmenessä vuodessa IBM (s. 85). Valmius on, toisin kuin ennen, vain pienin osa yritysten toimintaa (s. 87).
    Kyse on siis siirtymisestä informaatioyhteiskuntaan (vrt. edellä oleva ”havainnollistava” lukuvertailu). Siinä yhteydessä teollisuus ei poistu, maatalous ei poistu, metsästys ja keräily ei poistu, mutta suurin merkitys on tietoon liittyvällä toiminnalla. Sen yhteydessä teollisuus informatisoituu (robotit), maatalous informatisoituu (ks. esim.: http://www.automaatioseura.fi/index/tiedostot/Automaatio_maataloudessa.pdf) jne.
    Em. viitekehyksessä on selvää, että suurin hyvinvointi saadaan informaation kautta. Ja kyber on informaation ulottuvuus. Tässä sitä mahdollisuutta! Lisäksi tämä ei ole vain mahdollisuus mahdollisuus vaan myös uhka mahdollisuus (ymmärtämättömyys).
    Sivuviitteet kirjaan: Pajarinen & Rouvinen & Ylä-Anttila (2010): ”Missä arvo syntyy – Suomi globaalissa kilpailussa” (ETLA, Sarja B 247, Taloustieto Oy, Helsinki)

    VastaaPoista

  2. Uhka, mahdollisuus vai välttämättömyys

    Jos ja kun tieto ja sen käsittelyn tuottama lisäarvo ovat meille tärkeitä, on näitä suojattava kaikissa prosesoinnin vaiheissa. Tämä koskee niin tiedon taltiontia, välittämistä ja käsittelyä teknisessä ja prosessointimielessä kuin tätä toteuttavaa ihmistäkin.

    Uskottavuus on meille tärkeä mainetekijä - myös kyberturvallisuuden osalta. Uskottavuuden voidaan katsoa koostuvan sisäisestä ja ulkoisesta osakokonaisuudesta. Sisäisen uskottavuuden syntyyn vaikuttavat mm. luottamus järjestelmien toimintaan ja niiden helppokäyttöisyys sekä toisaalta henkilöstön kyky hyödyntää verkostoa ja tiedon prosessoinnin tuomaa lisäarvoa. Turvallisuuslisä ei voi olla loppukäyttäjän kannalta sarja merkittävästi työllistäviä ylimääräisiä toimenpiteitä. Osaamisen kehittäminen taas edellyttää perehdyttämistä ja koulutusta, jonka tulisi olla jatkuvaa ja ennakoivaa.

    Ilman sisäistä uskottavuutta voi tuskin odottaa ulkoisen uskottavuuden olevan kovin korkealla. Se kuitenkin on merkittävä mainetekijä ja samalla mahdollistaja. Kumppanuuksien luominen on pitkäjänteistä puuhaa, joka perustuu osoitettuun luottamukseen ja todennettuihin kyvykkyyksiin. Verkostokyvykkyyksien luominen taas edellyttää kumppanuuksien syntymistä, koska täysin itsenäisesti tuskin mikään organsiaatio voi suorituskykyjään luoda ja ylläpitää.

    Rahallakaan ei saa kaikkea, mitä haluaa. Myyjä tuskin luovuttaa kriittisiä tietoja, laitteita tai järjestelmiä, joiden käsittelyssä edellytetään turvallisuusmielessä erityisjärjestelyjä, jos emme voi osoittaa sopimuksenmukaisten vaatimusten toteutuvan. Näin ollen tavoiteltu kyvykkyys voi jäädä kokonaan saamatta tai sen saanti voi lykkääntyä merkittävästi. Tämä on aina myös kustannuskysymys. Laiminlyönnit kyberturvallisuudessa voivat kostautua moninkertaisina kuluina jo hankintavaiheessa - puhumattakaan puutteellisesti toimivien järjestelmien ottamisesta tuotantokäyttöön ja näihin vaadittavien jälki-integrointien haasteellisuudesta, kuormittavuudesta ja kustannusvaikutuksista.

    Toisaalta asiakas voi ja sen tuleekin vaatia myyjältä vastaavasti turvallisuusjärjestelyjen saattamista vaadittavalle tasolle. Yksittäisen hankkeen näkökulmasta tuo investointi voi vaikuttaa merkittävältä myös kustannusmielessä, mutta yleensä kyseessä on panostus, joka voidaan hyödyntää myös muissa hankkeissa ja näin ollen se voi olla yrityksen kilpailuvaltti. Tässä luottamusketjussa sekä ostajalla että myyjällä on selkeä ja sovittu - usein määräyksiin perustuva vastuu.

    Jos siis tuo mainetekijä - uskottavuus - on kunnossa, niin kumppanuuksien luominen ja ylläpitäminen meille tärkeiden toimijoiden kanssa mahdollistuu ja tehostuu. Osoitettu suorituskyky on kovaa valuuttaa. Toisaalta se voi olla merkittävä kynnysarvo, joka saattaa ehkäistä aikomuksia kohdistaa verkko-opraatioita suojaamiamme kriittisiä kohteita ja toimintoja vastaan.

    KalleSalmi

    VastaaPoista
    Vastaukset

    1. Uskottava ja luotettava kv-kumppani toimisi eduksi molempiin, tai oikeammin kaikkiin, suuntiin. Kuten tiedustelussa, niin myös cyberin kovassa maailmassa paremmat tekijät tunnetaan suht pienissä piireissä.
      CC mainitsi, että Suomessa on paljon kovaa osaamista ja joka voisi hyödyttää myös muita, kunhan taloudelliset raamit olisivat kunnossa. Tällaiseen kv-kumppanuuteen tulen lähiaikoina tarjoamaan uskottavaa partneria.

      AJä JKL

      Poista

  3. KalleSalmi: uskottavuus on tärkeä tekijä. Kyberturvallisuuden ja -puolustuksen osalta on kolme keskeistä asiaa: osaaminen, osaajien verkostoituminen ja se, että osaajilla on käytössään ne työkalut, mitä tarvitsevat työnsä tekemiseen ja uuden oppimiseen. Verkosto ei synny ilman uskottavuutta, ja uskottavuus ei synny, ilman osaamista ja osaamisen jatkuvaa kehittämistä. Osaaminen ja osaaminen kehittäminen ei onnistu, jos ei ole oikeita työkaluja. Yksi tärkeä työkalu on väline, jolla kommunikoida verkostonsa kanssa... Kaikki edellä mainitut vaikuttavat toisiinsa.

    t. CC

    VastaaPoista

  4. Käytännön tietoturvapuurtamisesta on jäänyt vuosien mittaan käsitys että perustason ymmärryksen lisäämiseen tähtäävä koulutus on kullanarvoista. Moni organisaatio yrittää lähetystyä tietoturvaa lähinnä ohjeistamalla ja standardoimalla prosesseja, ja varsinainen kyky ymmärtää tilannetta jää vähäiseksi.

    Mitenkään prosesseja ja corporate policya liikaa väheksymättä, olisi tärkeämpää ymmärtää mikä on turvallista, mikä turvatonta, ja miten tyypilliset hyökkäykset toimivat. Olen lukemattomat kerrat joutunut käymään keskusteluja, joissa joudutaan valitsemaan mennäänkö tietohallinnon määräysten mukaan vai halutaanko että järjestelmä toimii, tai onko kuvankäsittelykirjaston denial-of-service-tyyppisen aukon tietoturvapäivitys välttämätön palvelimella, joka ei käsittele kuvia.

    Eversti Boydin OODA-malli toimii yllättävän hyvin kyberturvallisuudenkin parissa, mutta useimmilla organisaatioilla on ongelmia varsinkin observation ja orientation -osioissa.

    VastaaPoista

  5. 1) Kyberin hajusta. Mielestäni Kyberillä on sama haju kuin napalmilla aamutuimaan. Eihän tarvita kuin haittaohjelmia sopivissa (eli siis vihreissä) säätöjärjestelmissä ja siniset maalit muuttuvat keltaisiksi=)

    2) Kyberin tarjoamista mahdollisuuksista puhuttaessa kannattaisi mielestäni puhua enemmän mahdolisuuksista rakentaa konkreettista sotilaallista suorituskykyä. Säätöjärjestelmiä voidaan saada toimimaan väärin (vaikka ampumaan omia), radiojärjestelmiä voidaan muutta radiomajakoiksi (joihin tietysti mukava tähdätä), (tuli)komenteja voidaan korruptoida, ym..

    3) "Miten voisimme hyödyntää IT-osaamisemme mahdollisuuksien luomiseksi kyberavaruudessa?", on hyvä, mutta erittäin kattava kysymys.
    Paloitellaan sitä vähän. Perinteisemmissä aselajeissa olen törmännyt sotilaallisen suorituskyvyn jakoon kolmeksi komponentiksi, On sensoreita ( esim. tiedustelulennokki) , lavetteja ( esim. Hornet) ja vaikutuksen tekeviä komponentteja (pommeja, ammuksia, ym). Nämä kaikki komponentit voidaan toki kehittää itse, mutta väittäisin että kustannustehokkainta olisi ostaa suurin osa joko valmiina tai puolivalmiina. Oman tekemisen keskittäisin tietoliikenneverkkojen sisäänrakennettujen heikkouksien hyödyntämiviin "kyberammuksiin". Sensorit ja lavetit yrittäisin ostaa valmiina tai puolivalmiina.

    Risto Sarala

    VastaaPoista

Tilaa: Lähetä kommentteja (Atom)