20/04/2012

Kyberturvallisuutta kansalaisen näkökulmasta


Minulta kysytään usein, pitääkö yksittäisen kansalaisen ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin Hollywoodin elokuvissa.

Pyrin tässä blogipostauksessa nostamaan esille juuri tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan tietotekniikkaa.

Minkä takia pitää ymmärtää kyberturvallisuuden perusasiat?

Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä yksityishenkilönä että työntekijän/antajan ominaisuudessa.

Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen kohdistuvat uhkat.

Taloudellisen uhkan muodostavat verkkorikolliset, jotka pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.

Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja, luottokorttinumeroita, jne.

Työntekijänä henkilöön voi kohdistua tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation toimintaan myöhemmin.

Mitä pitää ymmärtää?

Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411 miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden ennen kuin kukaan ehtii sanoa ”kyber”.

Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä maalaisjärkeä pärjää pitkään!

Miten varaudun?

Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:

  1. Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
  2. Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
  3. Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
  4. Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
  5. Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
    • En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!


Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai tietoliikenneverkko olisi nurin. Mitä sitten?

Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.

Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että viranomaisten ja uutislähteiden www-sivuihin on yritetty  murtautua ja yritetty muuttaa tietoja; ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.

Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä. 

Miten parantaa yleistä kyberturvallisuustietoisuutta?

Miten saisimme kyberturvallisuusymmärryksen paremmalle tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?

Itse henkilökohtaisesti toivon sitä, että jokainen kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta, kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön vähättelyynkään.

Toivon aiheesta vilkasta keskustelua!!

25/03/2012

Viiden minuutin sota?


YLEn verkkosivuilla maalaillaan Suomen pahinta uhkakuvaa: "viiden minuutin sota".

Artikkeli on kieltämättä herättänyt keskustelua viikonlopun aikana. Mutta onko skenaario faktaa vai fiktiota?

Artikkelissa mainittujen hyökkäysten suorittaminen onnistuneesti on teknisesti mahdollista. Se kuitenkin edellyttäisi, että kohdejärjestelmiin on suunnattu ympäristötiedustelua teknisten haavoittuvuuksien löytämiseksi, että edellä mainitut tiedusteluoperaatiot ovat jääneet havaitsematta, että hyökkäykset suunnitellaan ja ajoitetaan huoleellisesti ja että niitä johdetaan ja koordinoidaan. Hyökkäysten suunnittelu saattaa edellyttää myös ihmisiin kohdistuvia toimenpiteitä, kuten tietojen kalastelua, kiristystä, huijaamista (esim. saamalla viemään saastunutta muistitikkua kohdejärjestelmään) tai palkkaamista myyräksi. Mikäli jollain taholla on riittävän vahva motivaatio, esimerkiksi poliittinen tai ideologinen, ja riittävät resurssit tämän tekemiseen, niin hyökkäysoperaation onnistuminen on mahdollista: ei välttämättä helppoa, mutta ei mahdotonta. Tässä skenaariossa on oletettavaa, että tekijänä olisi joko valtio tai ideologinen ryhmä, eikä perinteistä verkkorikollisorganisaatiota, koska rikollisorganisaation tavoitteena on usein raha. Verkkorikolliset tarvitsevat toiminnalleen toimivat tietoliikenneyhteydet siinä missä muukin yhteiskunta.

Se faktasta. Fiktiota on taas se, että maa lamaantuisi viidessä minuutissa. Tietojärjestelmien ja –verkkojen lamaantuminen ei ole sama kuin yhteiskunnan lamaantuminen. Yhteiskunnan lamaantuminen kestää pidempään ja edellyttäisi myös, että viranomaisella ja yksityisellä sektorilla ei ole riittävää kykyä hyökkäyksistä toipumiseen ja sitä mukaa palveluiden palauttamiseen yhteiskunnan käyttöön. Kriisinvalmiutta harjoitellaan yhteistoiminnassa julkisen ja yksityisen sektorin kanssa esimerkiksi TIETO-harjoituksissa, mikä osaltaan varmistaa sen, että toipumissuunnitelmat ja niiden harjoittelu eivät pitäisi jäädä pelkästään kauniiksi ajatuksiksi.

YLE:n artikkeli esittää viisi askelta laajamittaisessa hyökkäysoperaatiossa:
  1. Maksuliikenteen häirintä
  2. Tieliikenteen häirintä
  3. Elintarviketoimitusten logistikkajärjestelyiden häirintä
  4. Tietoliikenneverkkojen häirintä
  5. Sähköverkkojen häirintä

Maksuliikenteen häirintä aiheuttaisi Suomelle taloudellisia tappioita myös lyhyessä aikavälissä. Tämä olisi ongelma erityisesti elinkeinoelämälle. Yksittäisten ihmisten kannalta tilanne olisi toinen; elämä ei muutamassa minuutissa vielä kaatuisi. Vaikka kortit eivät toimisi eikä rahaa saisi nostettua automaatista, ei tilanteeseen vähään aikaan reagoitaisi kovinkaan voimakkaasti. Ruokaa on vielä pakastimessa, rahaa lainattaisiin kavereilta tai kauppiaitten kanssa sovittaisiin ruokaostosten maksujärjestelyistä, kunhan tekniset viat saadaan korjattua. Viranomaiset ja vapaaehtoiset järjestöt järjestäisivät soppakeittiöitä ja vedenjakelua. Tilanne olisi hankala, mutta ei mahdoton. Vasta jos tilanne näyttäisi jatkuvan pidempään rupeaisi tilanne muuttumaan: kaupoista ja ravintoloista loppuisi ruoka, apujärjestelyt eivät sujuisi energiapuutteen takia, kansalaiset nousisivat kapinaan ja kaduilla olisi mellakoita. Tästä onkin nopea tie yhteiskunnan lamaantumiseen, mutta tähän vaaditaan pidempää aikajaksoa, kuin se viisi minuuttia. Mikäli toipumissuunnittelu ja –harjoittelu on viranomaisten ja keskeisten elinkeinoelämän toimijoiden kanssa tehty asianmukaisesti, ei tällaiseen tilanteeseen välttämättä edes päädytä.

Tieliikenteen häirintä voisi olla kiusallista, mutta olisiko se vaivan arvoista saatujen hyötyjen osalta? Suomessa on niin vanha autokanta, että voidaan kyseenalaistaa, vaikuttaako kyberhyökkäykset kovinkaan moneen autoon lainkaan… Pääkaupunkiseudun ruuhkatkin ovat  mitättömiä verrattuna jo Keski-Eurooppaan. Ehkä sattuisi muutama keskisormen lihasten revähdys, mutta muilta osin yksityisautoilun kiusaaminen olisi toimenpiteenä kyseenalainen. On siis mahdollista, mutta miksi? Viidessä minuutissa kaaos ei kuitenkaan vaikuttaisi yhteiskunnan lamaantumiseen, vaan se tulkittaisiin perinteiseksi ärsyttäväksi liikenneruuhkaksi.  Tilanne saattaisi jatkua ärsyttävänä pitkäänkin, mutta julkisen liikenteen ja yksityisautoilun häirintä ei välttämättä riittäisi kansalaisten nujertamiseen.

Elintarviketoimitusten logistiikan häirintä olisi yhteiskunnan kannalta ikävä temppu. Sen vaikutukset eivät kuitenkaan lamaannuttaisi yhteiskuntaa viidessä minuutissa. Kaupoissa olisi vielä elintarvikkeita muutamiksi päiviksi, samoin ravintoloissa. Kieltämättä elintarvikkeet rupeaisivat pikkuhiljaa hiipumaan ja hinnat nousemaan kunnes ruoka yksinkertaisesti olisi loppu. Kaupungeissa seuraisi mellakoita ja rötöstelyä. Tähänkään ei päädytä, mikäli toipumissuunnitelmat on tehty ja harjoiteltu.

Tietoliikenneverkkojen häirintä taas olisi pahempi asia, koska se vaikuttaisi moneen muuhun toimintaan. Se vaikuttaisi valtion toimintaan, elinkeinoelämään ja yksittäisiin ihmisiin. Vaikutukset rupeaisi tuntumaan melko nopeasti. Yksittäiseen ihmiseen se ei vaikuttaisi vielä viidessä minuutissa: eihän suomalainen mökkikansa selviäisi hengissä edes kesäkauden, mikäli elämä olisi kiinni siitä, että kännykkä ja netti toimii jatkuvasti ja 24/7. Lähinnä huolet kohdistuisivat siihen, ettei lähimpiin saada yhteyttä eivätkä mahdolliset hätäpuhelut mene läpi. Toki esimerkiksi nettiriippuvaisilla voisi olla tukalat oltavat, kuten monella muullakin, mutta tuskin niin tukalat, että elämä loppuisi seinään. Valtionhallintoon ja elinkeinoelämään tilanne vaikuttaisi tuntuvammin; yhteydet ulkomaailmaan olisivat poikki ja taloudelliset menetykset lähtisivät nousuun. Silti, kansallinen tietoliikennekatkos ei viidessä minuutissa kaataisi koko yhteiskuntaa.

Sähköverkkojen häirintä olisi myös ikävä asia, kuten monet viime aikaisten myrksyjen uhrit voivat vahvistaa. Kriittisimmät toiminnot pyörisivät kuitenkin varavoimalla jonkin aikaa. Silti, pysyvä vaurio energiatuotantoon lienee kaikista pahin skenaario, koska pidemmän päälle; ilman sähköä ei ole tietoliikennettä, eikä tietojärjestelmiä, ja silloin tietoyhteiskunta lopulta kyykähtää. Mutta siihen menee enemmän, kuin viisi minuuttia.

No, kyykähtääkö Suomi?

Suomeen kohdistuva suunniteltu, resurssoitu ja johdettu hyökkäys voisi teknisestä näkökulmasta onnistua. Hyvin tehtynä, se voisi viidessä minuutissa kaataa useampaa yhteiskunnan toiminnallisuuden kannalta keskeistä järjestelmää. Tässä Suomi ei ole paremmassa tai huonommassa asemassa kuin yksikään muu tietoyhteiskunta. Jokaisella yhteiskunnalla (maatalous-, teollisuus- tai tietoyhteikunnalla) on omat vahvuutensa ja heikkoutensa. Tietoyhteiskunnalla on paljon vahvuuksia, mutta sen teknisen perustan haavoittuvuudet ovat kieltämättä sen heikkous.

Koko yhteiskunta tuskin kuitenkaan kaatuisi samaa vauhtia kuin tietoyhteiskuntaa ylläpitävät järjestelmät ja verkot. Viidessä minuutissa yhteiskunta ei vielä olisi herännyt siihen, mitä tapahtui. Muutamassa päivässä tilanne olisi todennäköisesti toinen, kun vaikutukset rupeavat tuntumaan.

Tässä viitekehyksessä on kuitenkin kaksi kriittistä komponenttia:
  1. Mikä on valtionhallinnon ja yksityisen sektorin kyky selvittää ja toipua resurssoidusta ja kohdistuneesta hyökkäyksestä
  2. Mikä on meidän jokaisen yksilön kriisinsietokyky; kuinka pitkään kestämme kylmää, pimeyttä, nälkää ja tilanteesta johtuvaa tietämättömyyttä menettämättä tilanteen hallintaa? 

Jos toipumissuunnitelmat on tehty ja harjoiteltu, voidaan tilanteesta toipua ennen kuin vaikutukset laajentuvat koko yhteiskuntaan. Jos kriisinsietokykymme on kansallisesti riittävän hyvä, tulemme pärjäämään. Mutta jos emme varaudu kyberuhkiin, on mahdollista, että yhteiskuntamme lamaantuu.

Sen takia Suomen kyberturvallisuusstrategiatyö on käynnistetty poikkihallinnollisella kokoonpanolla, yksityistä sektoria huomioiden. Työ on yhteiskunnan kannalta todella tärkeä. YLE:n toisessa artikkelissa käsitelläänkin tätä kyberturvallisuusstrategiaa; suosittelen lukemaan!

Suomen vahvuudet varautumisessa ovat meidän osaamisen taso ja verkostoituminen. Määrä ja massa eivät aina välttämättä lisää vahvuutta varautumiseen. Yhdessä tekemällä ja oppimalla voimme saavuttaa paljon kyberuhkien torjunnassa. Senkin takia toivon tästäkin postauksesta aktiivista keskustelua ja hyvien ideoiden heittelyä kehiin – miten voisimme yhdessä olla vahvempia sekä torjumaan että toipumaan?

07/03/2012

Saako sanoa kyber?


Monesti, kun käyn esitelmöimässä kyberturvallisuudesta tai kyberpuolustuksesta, käy niin, että joku kuulija lähestyy minua esitelmän jälkeen seuraavalla palautteella: ”Ihan hyvä esitelmä, mutta onko pakko käyttää termiä kyber?” Viimeksi vastasin pilke silmäkulmassa, että ”haittaakse?”.

Pidin itsekin termiä kyber aikoinaan vähän hassuna. Nyt olen muuttanut mieleni. Nyt olen sitä mieltä, että kyber tulisi käsitteenä hyväksyä.

Ensinnäkin kukaan ei ole keksinyt mitään parempaa käsitettä. Kyberturvallisuus ei ole synonyymi tietoturvallisuudelle, verkkoturvallisuudelle, atk-turvallisuudelle, tai millekään muulle turvallisuustermille. Rajapintoja ja päällekkäisyyksiä on, mutta mikään vanha termi ei kata kyberturvallisuuden osa-aluetta. Käsitteistä jaksetaan kyllä keskustella loputtomasti, mutta parempaa käsitettä ei ole esitetty ja keskustelun ydin on loppujen lopuksi ollut se, että ”kunhan ei käytetä sanaa kyber”.

Puolustusvoimat käyttää tällä hetkellä virallisesti termiä ”tietoverkkopuolustus” omasta osa-alueestaan, vaikka termi kyberpuolustus olisi helppokäyttöisempi. Termi tietoverkkopuolustus on harhaanjohtava, koska se antaa ymmärtää, että toiminta rajoittuu vain tietoverkkoihin. Se, että jokin komponentti ei ole tietoverkossa kiinni ei kuitenkaan tee siitä kyberuhkalle ulottumattoman. Tottakai voidaan saivarrellen viitata verkkoteoriaan, jonka mukaan yksikin solmu muodostaa verkon (jonka koko on 1) tai jonka mukaan monta yksittäistä solmua muodostaa verkon, joka nyt vaan sattuu olemaan epäyhtenäinen. Tämä ei kuitenkaan avautuisi kovinkaan monelle.

Mistä termi tietoverkkopuolustus sitten tulee? Epäilen, että sille löytyy kaksi selitystä. Ensimmäinen on se, että kaikkea ilmiöön liittyvää kuvattiin ennen kattotermillä tietoverkkosodankäynti, joka on sittemmin terminä vanhentunut, koska puhdasta tietoverkkosodankäyntiä tuskin on olemassakaan. Toinen syy on se, että ennen kuin termi cyber vakiintui englanninkielessä käytettiin usein ”computer network” –alkuisia käsitteitä, esim. computer network attack, computer network exploit, computer network defence, computer network operations, jne. Kuten arvata saattaa, ovat nämäkin termit käytännössä vanhentuneet, mutta käännös ”tietoverkko” jäi elämään. No, ehkä kolmas selitys on se, että olen itse ollut vakiinnuttamassa termiä ”tietoverkkopuolustus” paremman termin puutteessa. Nyt rupean kuitenkin vahvasti kallistumaan kyberpuolustus käsitteen kannalle.

Pelkäämmekö sitten kyber-sanaa liikaa? Kieletkin kehittyvät ajan myötä kattamaan uusia ilmiöitä ja asioita. Jos ei suomenkielistä vastinetta löydy, onko se niin väärin suomentaa vieraskielistä termiä? Lisäksi kyber kuvastaa tietynlaista kokonaisuutta ja ilmiötä, mihin vanhat termit eivät kykene. Ja loppujen lopuksi; jopa kyber-termin vihaajat käyttävät termiä kyber, sitruunahapan virne naamalla, koska hekään eivät ole keksineet sille mitään parempaa vastinetta. Mutta toisaalta, osaako kukaan sanoa, miksi sana kyber on huono? Minä en osaa. Ja kun siihen tottuu, niin se ei ole enää edes kovinkaan hassu.

Siispä olen ruvennut kallistumaan vahvasti kyberkäsitteen kannalle. Puhun jatkossa kyberturvallisuudesta, kyberpuolustuksesta, kyberuhkista, kybersiitä ja kybertästä. Haittaakse?

22/02/2012

Lammas susien vaatteissa


Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”.  Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!

Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)

Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.

Käsitteistä

Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.

Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.

Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on  operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.

Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan

Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.

Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.

Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.

Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?

Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!

14/02/2012

Kyberpuolustus ja varusmieskoulutus?


Olen viimeisten vuosien aikana käynyt luennoimassa sekä siviiliyliopistoilla että Maanpuolustuskorkeakoulussa kyberturvallisuudesta ja erityisesti  sen sotilaallisesta ulottuvuudesta, kyberpuolustuksesta. Koska en halua olla pelkästään ”puhuva pöllö”, olen viime aikoina usein antanut opiskelijoille ryhmätehtäviä herättääkseni keskustelua ja saadakseni aikaan vuorovaikutusta yleisön kanssa. Yksi antamistani aiheista on ollut ”kyberpuolustus ja varusmieskoulutus”. Mitä pitäisi kouluttaa, miten pitäisi kouluttaa, ketä pitäisi kouluttaa? Aihe on herättänyt paljon mielenkiintoista keskustelua, joten päätin kirjoittaa siitä blogipostauksen keskustelun laajentamiseksi.

Ensimmäinen näkökulma, mikä on keskusteluissa noussut esille, on ollut koulutuksen laajuus. Tulisiko koulutusta antaa kaikille vai pienelle joukolle, vai sekä että? Laajalla koulutuksella olisi mahdollista antaa yleissivistävää opetusta kaikille lähinnä suojautumisen osalta. Tämä ei sinänsä kehittäisi puolustusvoimien kyberpuolustuskykyä, mutta se antaisi perusymmärryksen kyberuhkista ja yleisistä suojautumiskeinoista, mikä voisi palvella yhteiskunnan turvallisuutta laajemmin. Varusmieskoulutuksen saaneet kykenisivät paremmin suojaamaan kotikoneitaan sekä toimimaan netissä asioidessaan turvallisemmin, kun perusteet olisi hallinnassa. Osaaminen hyödyntäisi myös heidän tulevia työnantajiaan. Toisaalta voidaan ajatella, että nämä taidot ovat sellaisia perustaitoja, joita tulisi opettaa jo peruskoulussa ihan kaikille. Pienelle joukolle annetun erikoiskoulutuksen kautta taas olisi mahdollista kehittää puolustusvoimien toimintaa tukevaa osaamista, vähän samalla tavalla kuin ELSO-koulutuskin (ELSO = elektroninen sodankäynti). Tällaiseen erikoiskoulutukseen valikoituisi rajoitettu määrä varusmiehiä vuosittain. Vaihtoehtoisesti voisi ajatella, että yleissivistävää koulutusta annetaan jokaiselle joka tapauksessa, mutta pientä joukkoa koulutettaisiin syvällisemmin erikseen.

Erikoiskoulutuksen osalta olisi tärkeätä, että siihen hakeutuisi oikeat osaajat. Monet oppilaat ovat keskusteluissa tuoneet esille sen huolen, että osa potentiaalista menee jo kutsunnoissa hukkaan, koska esimerkiksi kunto tai terveydentila ei ehkä riitä varusmiespalveluksen suorittamiseen - tai voi olla muita syitä, minkä takia perinteinen varusmiespalvelus ei ole mahdollinen. Voisiko tälle olla vaihtoehtoja? Keskusteluissa on noussut esille ajatuksia siitä, että perinteiseen varusmiespalvelukseen kykenemättömille, joilla kuitenkin on kyberalan huippuosaamista, voisi tarjota tietynlaista vapautusta tai kevennystä perinteisistä velvoitteista. Näin he kuitenkin suorittaisivat varusmiespalveluksensa ja kykenisivät tarjoamaan oman osaamisensa maanpuolustukselle, mikä lienee win-win tilanne niin heidän kuin puolustusvoimienkin kannalta. Toinen mielenkiintoinen idea oli se, että nämä henkilöt suorittaisivat varusmiespalveluksensa siten, että heille maksettaisiin puolustusvoimien päivärahaa vuoden verran, jonka aikana heillä olisi velvollisuus suorittaa alan opintoja siviiliyliopistoissa tai ammattikorkeakouluilla. Tämän jälkeen heille määrättäisiin sodanajan sijoitus puolustusvoimissa.

Koulutuskeskustelussa nousee usein myös esille sitä, kenen pitäisi kouluttaa mitäkin ja milloin koulutus olisi hyvä käydä. Yksi mahdollisuus on se, että henkilöt ensin hankkivat siviilimaailman koulutusta, jonka jälkeen he suorittaisivat varusmiespalveluksensa erikoiskoulutuksena, vrt. lääkärit. Toinen hyvä näkemys oli se, että puolustusvoimat ja siviilikoulut tekisivät yhteistyötä siten, että osa koulutuksesta olisi puolustusvoimien tarjoamaa ja osa siviilikoulujen tarjoamaa. Näin voisi paremmin yhdistää puolustusvoimien strateegista, operatiivista ja taktista osaamista ja siviilikoulujen teknistä, lingvististä ja juriidista osaamista.

Yksi hyvin mielenkiintoinen näkemys nousi yhdellä oppitunnilla esille, nimittäin siviilipalvelusta tekevien henkilöiden osaamisen hyödyntäminen. Mikäli vakaumus estää kaikkea sotilaalliseen maanpuolustukseen liittyvää, voisiko alan osaamista kuitenkin käyttää yhteiskunnassa laajemmin, esimerkiksi osana kriittisen infrastruktuurin suojaamista kriisin tai sodan aikana? Tai jos vakaumus käsittää lähinnä ”aseista kieltäytymisen”, niin voisiko kyberpuolustus olla yksi mahdollisuus suorittaa varusmiespalvelusta rikkomatta tätä periaatetta?

Kyberpuolustus ja varusmiespalvelus herättää paljon keskustelua ja mahdollisuuksia on varmaan paljon. Toivoisin, että blogini lukijat ottaisivat aiheeseen kantaa, esittäisivät omia näkemyksiään ja ideoitaan, ja että aihe herättää tälläkin foorumilla vilkasta keskustelua.