National cyber security strategies have been emerging like mushroom in the rain. While some countries are working on their very first one, some have already published their second and are commencing work on their third.
During the last few years, I have made several comparisons between national cyber security strategies and the overall approaches taken by nations when it comes to dealing with cyber security and defence. When asked which nations I believe are the most/least advanced (this is a frequently occuring question during my presentations on cyber security and defence), I always use the cyber security strategies (or lack thereof) as a reference. Why? Because having a cyber security strategy (unless it is a really bad one) shows that a nation has at least sat down and thought about the issue. Even more importantly, not having one tells you otherwise.
There are many reasons to write a cyber security strategy, but this blogpost will focus on just one reason, which I believe, in this case, to be the most important one.
The main reason to write a national cyber security strategy is the things you learn from writing it!
We all know by now that cyber security is not something that can be left to one party alone. Since cyber threats, in all their dimensions, affect the whole society, a comprehensive approach to dealing with its security issues is needed. First of all, the various governmental sectors need to forget about their sandboxes and start thinking in the lines of collaboration. Second, the private sector must be included in the work. When it comes to industry, one should not only consider the views of the cyber experts from the cyber industry, but also take into consideration the viewpoints of the business leadership of critical industry, regardless of their field. Third, the academic sector as well as the third sector should be included to incorporate the visions of the future as well as the voice of the citizens.
Needless to say, this is not a trivial task! Interestingly enough, it seems that in this case the smaller nations actually have an advantage over the larger ones. Small comes with flexibility and tight social networks. Small also comes with traditions of intersectoral collaboration, as working together has always been a necessity to survive. And while resources is a common concern among both big and small, it is not as detrimental when it comes to cyber as it is in many traditional and "physical world" fields. But even for a small nation, writing a cyber security strategy taking into consideration all of the above, takes a lot of effort. For a larger nation, even more so!
Since the work has to be done on such a broad level, a nation really has to come together and figure out what it wants when it comes to cyber security (vision and objectives), what are its strengths that can be built on, what are its weaknesses that need to be bridged, who can and should do what, what does the legislation say or what is it lacking, etc. Clearly, this work will include heavy debates, negotiations, compromises, and lots of homework. Also, international collaboration is vital, but should only be considered once the national aspects are figured out - because in the end, each nation is responsible for its own cyber security, no matter how global the phenomenon is. The international community is not going to save a nation that has not bothered to think about its own resilience!
So, what happens during the process of writing a good cyber security strategy? Typically, the eyes of the various sectors are opened and deepened to the needs and natures of the other sectors. Weaknesses found in one sector may suddenly find a surprising solution from the strengths of another. Responsibilities become clear(er). Priorities are set. A foundation for international collaboration is laid. And of course, a whole new set of problems are found and identified, if not yet solved. By going through the whole process, in all its complexity, a nation steps up one level when it comes to cyber security maturity. The things learnt and achieved by going through this process are extremely valuable for anything the nation will approach from there on. Hence, it is the Top One Reason to write the strategy in the first place.
This is, of course, not enough. A cyber security strategy is not complete without an action plan and the will, budget, and know-how to implement it. But that is another topic altogether,...
All Things Cyber
This blog started out as a blog on cyber security and defence in Finnish. I decided to broaden to scope to include anything that is related to cyber as well as to change the language to English. All views are my own and discussions are encouraged on twitter @candolin2
13/04/2016
13/01/2016
Tulisiko kansallista kyberturvallisuusstrategiaa päivittää?
Aalto-yliopiston Kyberturvallisuuden professori Jarno Limnell kirjoittaa Turun Sanomien vieraskynässä 12.1. samasta aiheesta kuin minä edellisessä blogipostauksessani, eli Suomesta kyberturvallisuuden edelläkävijänä. Limnellin näkemyksen mukaan kansallisen kyberturvallisuusstrategian päivittämisen tarvetta ei ole, mutta kyberturvallisuusstrategian toimeenpano-ohjelman 74 toimenpidekohdetta sen sijaan vaativat hänen mukaansa uudelleentarkastelua ja kovaa työtä niiden toteuttamiseksi. Limnell nostaa erityisesti viisi seikkaa tarkasteltavaksi, mikäli Suomi haluaa nousta nykyistä korkeammalle tasolle ja tavoitella edelläkävijyyttä. Ne ovat:
- Johtaminen: suomalaisen kyberturvallisuuden suurin heikkous on sen johtamattomuus. On ymmärrettävää, että vastuuta on haluttu hajauttaa eri tahoille, mutta samalla olemme tilanteessa, jossa tätä kaikkia koskettavaa asiaa ei riittävästi johda kukaan. Perinteisen hierarkisen johtamismallin luomisen sijasta kyberturvallisuus tarvitsee vahvaa verkoston johtajuutta riittävin toimivaltuuksin.
- Tahtotila: on päätettävä mikä on jatkossa kyberturvallisuuden kansallinen tahtotila ja suhteutettava toimenpiteet sekä resurssit sen mukaisesti. Edellytyksiä edelläkävijyyteen Suomella on, mutta nyt tarvitaan puheiden sijasta tekoja. Kyberturvallisuudessa Suomella on todelliset mahdollisuudet olla edelläkävijä niin yhteiskunnallisesti kuin myös liiketoiminnallisesti.
- Osaaminen: osaamisen tasoa on pystyttävä nostamaan ja laajentamaan. Alan koulutus ja tutkimus on viime vuosina lisääntynyt, mutta alan osaajista on jo nyt Suomessa puute. Osaajien kouluttaminen edellyttää hajanaisen koulutuksen nykyistä parempaa koordinaatiota oppilaitosten välillä sekä tutkimustoiminnan monipuolistamista.
- Kansalliset yritykset ja niiden omistajuus: useiden menestyvien suomalaisten yritysten siirtyminen ulkomaalaisomistukseen vaarantaa kyberomavaraisuuttamme. Huippuosaamista tulee tarvittaessa valtiollisin toimin pystyä pitämään Suomessa, ja suomalaisten tuotteiden tukeminen vientimarkkinoilla on ymmärrettävä yhtenä kärkihankkeena.
- Yleinen kiinnostus: yleisen kiinnostuksen lisääntymisestä huolimatta on tietoisuutta kyberturvallisuudesta järjestelmällisesti lisättävä niin poliittisten päättäjien, yrityselämän kuin kansalaisten keskuudessa.
Näistä viidestä kohdasta on helppo olla samaa mieltä, mutta juuri sen takia olen Limnellin kanssa eri mieltä kansallisen kyberturvallisuusstrategian päivittämisen tarpeesta. Jotta edellä mainituille kohdille olisi mahdollista tehdä jotain perustavaa laatua, on strategiatyöhön palattava.
Kansallinen strategia toimenpideohjelmineen on parhaimmillaan ilmaisu sen laatijoiden yhteisymmärryksestä tavoitteesta sekä tavoitteen saavuttamiseksi tarvittavista toimenpiteistä. Se tietyllä tavalla sitouttaa tahot (ainakin moraalisesti) toimimaan yhdessä sovitun agendan edistämiseksi.
Limnellin mainitsemat viisi kohtaa eivät toteudu pelkästään tehostamalla nykyisen kyberturvallisuusstrategian toimenpideohjelman eteenpäinviemistä, vaan vaativat hyvin todennäköisesti merkittäviä rakennemuutoksia. Tämän mittakaavan rakennemuutoksia eivät synny itsestään «keskenään sopimalla» eivätkä ne synny kitkatta. Tämän takia tarvitaan strategiatyö, joka palaa kaiken muun perustana olevaan kysymykseen (Limnellin kohta 2): mikä on Suomen tavoite?
Limnellin viidestä kohdasta erityisesti johtamiseen liittyvä kohta on sellainen, joka saattaa edellyttää tuntuvia muutoksia nykyiseen. Yhtenä esimerkkinä voisi nostaa kielletty kysymys Kyberturvallisuuskeskuksen roolista ja sijainnista: onko kansallisen kyberturvallisuuskeskuksen oikea sijainti Viestintäviraston alaisuudessa ja onko sen rooli ja toimivaltuudet riittävän kattavat? Korostan tässä, että mielestäni sekä Viestintävirasto että Kyberturvallisuuskeskus tekevät hyvää työtä, ja Viestintävirasto oli ehdottomasti paras ratkaisu kyberturvallisuuskeskuksen kodiksi perustamisvaiheessa. Kyberuhkat kehittyvät kuitenkin kovaa vauhtia. YLE:n kirjoitus venäläisten hyökkäyksestä Ulkoasiainministeriöön on vain yksi esimerkki. Ukrainaan sähköverkkoihin kohdistuneet hyökkäykset varmasti nostivat kulmakarvoja niissä, jotka ovat äskettäin lukeneet Ilkka Remeksen « Jäätyvän Helvetin » ja pohtineet, voisiko tällaista oikeasti tapahtua. Kysymys onkin: onko Kyberturvallisuuskeskuksen oikea paikka Liikenne- ja viestintäministeriön alaisuudessa olevan viraston alaisuudessa, vai voisiko se olla jokin muu? Pitäisikö sen olla lähempänä Pääministerin oikeata kättä? Pitäisikö se yhdistää muihin toimijoihin, joilla on merkittävä vastuu esim. valtionhallinnon ICT:n toimivuudesta ja samalla laajentaa tämän tahon toimintakenttää kattamaan sekä yhteiskunnan että valtionhallinnon kyberturvallisuutta? Pitäisikö tarkastella Tanskan mallia, jossa kansallinen kyberturvallisuuskeskus toimii osana puolustusministeriön alaisuudessa olevaa tiedustelulaitosta, joka myös vastaa kyberpuolustuksesta? En tietenkään esitä tässä blogipostauksessa vastausta tähän kysymykseen, koska tämä vastaus on nimenomaan sellainen, jota pitäisi etsiä kansallisen strategiatyön kautta, koska päätös on mitä suurimmassa määrin strateginen! Mikä on Suomen tavoite…
Jos strategiaa sitten päivitetään, niin miten voidaan varmistaa, että uudesta strategiasta tulee kansallisesti merkittävä? Ideaalimaailmassa tämä kysymys nostettaisiin jopa pois hallinnonalojen ulottuvilta, näin korostaen hallinnonalojen roolia politiikkaa toteuttavina portaina. Reaalimaailmassa tämä tuskin kuitenkaan tapahtuu. Tiettyjä reunaehtoja tulisi kuitenkin asettaa:
- Strategiatyössä ei saa olla ennalta päätettyjä asioita eikä kiellettyjä kysymyksiä. Edelläkävijyyttä ei saavuteta puolustamalla vanhoja linnakkeita, vaan rohkeudella purkaa vanhoja hiekkalaatikoita sekä rakentamalla uutta tilalle. Riskejä on tarvittaessa uskallettava ottaa, jos menestymisen mahdollisuus sitä vaatii.
- Strategiatyö ei saa olla pelkästään hallinnonalojen välistä. Edellisessä strategiatyössä oli toki mukana muutama yritysedustaja, mutta nämä, vaikka hyviä olivatkin, edustivat pääsääntöisesti kyberalan yrityksiä. Seuraavassa strategiatyössä tulisi korostuneemmin kuunnella yksityisen sektorin ääntä – erityisesti ns « bisnestä tekevän portaan » näkemyksiä. Kenties pitää rohjeta todeta, että osa toimijoista pärjää nykyisellä strategialla ja sen toimenpideohjelmalla, jolloin seuraavassa versiossa voisi keskittyä niihin, joilla on suurin yhteiskunnallinen merkitys tässä viitekehyksessä.
- Kun asetetaan tavoite, sen pitää olla siltä osin realistinen, että tahto ja kyky saavuttaa se, on olemassa. Se edellyttää sekä resursseja että muutosta.
Mikäli lähtokohtana on, että resursseja ei tule eikä muutoksia suostuta tekemään, niin silloin uutta strategiaa ei kannata tehdä. Silloin kannattaa myös unohtaa nykyisen strategian visiota edelläkävijyydestä. Tällöin Suomella on kyberturvallisuuden osalta takana loistava tulevaisuus. Haluan silti edelleen uskoa Suomen mahdollisuuksiin kyberturvallisuusalalla. Kuten Limnell kirjoittaa, nyt tarvitaan tekoja, ei sanoja.
08/12/2015
Suomi kyberturvallisuuden edelläkävijämaa vuonna 2016 - miltä näyttää?
Vuosi 2016 lähestyy, jolloin Suomen pitäisi
kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden
edelläkävijämaa. Mutta missä mennään? Tässä blogipostauksessa tuon esille joitakin
omia huomioita.
Edelläkävijyyttä on vaikeata yksiselitteisesti
määritellä, mutta tässä oma subjektiivinen näkemys. Edelläkävijyys tarkoittaisi
sitä, että 1) Suomi olisi kokonaisuutena muita edellä. Tämä ei kuitenkaan tarkoita
sitä, että Suomen pitäisi olla kaikilla osa-alueilla paras. 2) Muut maat
tunnustavat Suomen olevan kyberturvallisuuden edelläkävijä. Tämä kohta on
tärkeä, koska edelläkävijäksi ei voi vaan julistautua.
Erilaisia vertailuja eri näkökulmista kyllä löytyy.
Olen syksyn aikana tehnyt oman suuntaa antavan vertailun noin 70 hyvin
erilaisesta maasta ja arvioinut niiden kypsyyttä. Vertailussa olen huomioinut
muun muassa seuraavia seikkoja:
- Onko valtiolla kansallinen kyberturvallisuusstrategia? Strategia ei sinänsä automaattisesti tarkoita kypsyyttä, mutta se on osoitus siitä, että kyberturvallisuutta on kansallisella tasolla vähintäänkin pohdittu sekä laadittu suunnitelmia kyberturvallisuuden kehittämiseksi.
- Onko valtiolla kansallinen kyberturvallisuuskeskus tai vähintään kansallinen CERT/CSIRT?
- Onko valtiolla kyberrikollisuuteen liittyvää lainsäädäntöä? Tämän muuten kuvittelisi olevan tässä vaiheessa jo itsestäänselvyys, mutta eipä olekaan. On edelleen maita, joissa lainsäädäntöä ei ole.
- Onko valtiolla kyberpuolustuskykyjä (eli kehittääkö asevoimat kyberpuolustuksen suorituskykyjä osana maanpuolustusta)?
- Onko valtion toimesta käynnistetty ”awareness”-ohjelmia (vast)?
- Millaista kansainvälistä yhteistyötä valtio tekee? Onko profiili näkyvä?
- Miltä maan yksityinen sektori näyttää kyberalalla; onko maassa merkittäviä alan yrityksiä ja toimivatko ne kansainvälisesti?
- Millaista alan koulutusta on maassa saatavilla?
Oman vertailuni perusteella toteaisin, että
Suomi on monessa asiassa erittäin hyvä ja keskivertoa selvästi parempi. Mutta,
me emme valitettavasti ole edelläkävijöitä edes omassa kategoriassamme, eli pienet
ja keskisuuret maat.
Suomen vahvuudet ovat:
- Suomen yksityinen sektori. Suomella on hyviä yrityksiä, jotka ovat kansainvälisesti tunnettuja. Niitä voisi kuitenkin olla enemmän.
- Viranomaispuoli: Suomen kyberturvallisuuskeskus tekee hyvää työtä ja heillä on loistavia asiantuntijoita. CERT-FI:llä on pitkät perinteet kansainvälisestä yhteistoiminnasta ja heidän mainensa maailmalla on hyvä. Puolustusvoimat on tehnyt paljon kyberpuolustuksen kehittämiseksi ja viimeisimpänä positiivisena kehityksenä on varusmieskoulutus kyberpuolustuksen osalta. Poliisi on perustanut yksikön torjumaan kyberrikoksia. Lisäksi, viranomaisyhteistyö on tälläkin alalla sujuvaa.
- Koulutuspuoli: Suomessa on ollut alan opetusta pitkään, vaikka etuliite ”kyber” tuli mukaan vasta joitakin vuosia sitten. Teknillinen korkeakoulu (nyk Aalto-yliopisto) aloitti legendaarisen hakkerikurssin jo 90-luvulla. Nykyään on tarjolla jo kokonaisia kyberalan koulutusohjelmia, johon kuuluu aihekokonaisuuksia eri tieteenaloilta.
- Innokkaat harrastajat. Tulevaisuuden toivot.
Tämä ei kuitenkaan riitä nostamaan Suomea
edelläkävijämaaksi. Jos se kuitenkin on strategiatason visio, niin silloin
pitää myös olla vahva aikomus panostaa siihen. Muuten strategia jää vaan sanahelinäksi.
Panostaminen ei tarkoita pelkästään rahallista resurssointia, mutta se tarkoittaa
myös sitä. Taloudellisessa ahdingossa on ymmärrettävää, että resurssit ovat ahtaalla,
mutta toisaalta, tämä on ala, joka voisi osaltaan olla nostamassa Suomen
nykyisestä ahdingostaan. Panostaminen on sijoitus tulevaisuuteen. Lisäksi, Suomella
olisi kaikki edellytykset olla edelläkävijämaa ainakin pienten ja keskisuurten
maitten kategoriassa. Joiltain osin meillä on etulyöntiasema myös suurvaltoihin
nähden, esimerkiksi pienemmässä maassa on monesti tiiviimmät ja ketterämmät
verkostot. Panostamisen lisäksi Suomen pitäisi kuitenkin osata myös myydä ja
markkinoida itseään.
Kansainvälisellä areenalla Suomi ei ole se
maa, jota muut maat hehkuttavat. Se maa on usein ja monessa viitekehyksessä
Viro. Ansiostakin. Viro on pienenä maana nähnyt kyberturvallisuuden
strategisesti merkittävänä kokonaisuutena. Virolaiset ovat panostaneet siihen
ja tehneet hartiavoimin töitä brändätäkseen itsensä e-yhteiskuntana ja
kyberosaajina. Tämä brändäys näkyy kaikilla tasoilla, tekijäportaasta
poliittiselle tasolle. Eikä olekaan ihme, että esimerkiksi Naton
kyberturvallisuuden osaamiskeskus sijaitsee juuri Tallinnassa. Se on tänä
päivänä Naton suurin osaamiskeskus. Miksi Suomeen ei olisi aikanaan voitu
perustaa kansainvälistä kyberosaamiskeskusta, joskaan ei Naton viitekehykseen,
mutta muuten? Onkohan Suomessa muuten minkään alan kansainvälistä
osaamiskeskusta? Jos ei ole, niin miksi ei?
Sekä Suomessa että Virossa on olemassa
kyberympäristö, jossa voi muun muassa toteuttaa kyberharjoituksia. Suomessa
oleva kyberympäristö on rakennettu Jyväskylän ammattikorkeakouluun osana
JYVSECTEC-hanketta. Se on aivan loistava ympäristö, jolla olisi potentiaalia
vaikka mihin. Silti sitä ei ole hyödynnetty laajassa kansainvälisessä
viitekehyksessä, vaan se on jäänyt melko vähäiseen kansalliseen käyttöön. Viro puolestaan tarjosi kyberympäristönsä Naton käyttöön ja sitä hyödynnetäänkin
sekä Naton että Naton osaamiskeskuksen kyberharjoitustoiminnassa. Jokainen voi
varmaan arvata, millaisia mahdollisuuksia tämä puolestaan luo Virolle. Mitä Suomi voisi tehdä hyödyntääkseen
omaa kyberympäristöä edelläkävijyytensä tavoittelussa? On hyvin todennäköistä,
että Suomessa oleva kyberympäristö kuuluu maailman parhaimpiin, joista monet
muut maat voivat vaan haaveilla.
Surkuhupaisana esimerkkinä on myös pakko
mainita tilaisuus, johon aikoinaan osallistuin. Viron edustajat olivat tulleet
paikalle esittämään heidän sähköistä henkilökorttiaan. Siinä he totesivat:
”Actually, we took the idea from Finland. We just made it work!”
Herääkin kysymys, miksi Suomi ei onnistu
samoissa asioissa, missä naapurimaa menestyy – ja kävelee edellä? Kaikki asiat,
mitä Viro on saanut aikaan, olisi ollut mahdollista saada aikaan myös Suomessa.
Suomessa syntyy paljon hyviä ideoita.
Bloombergin vertailussa Suomi on maailman neljänneksi innovatiivisin maa. Eniten parantamista olisi teknologiayritysten määrässä, jossa Suomi on sijalla
25. Miksi Suomessa ei synny enemmän startup-yrityksiä näiden ideoiden
ympärille? Israel on verrokkina mielenkiintoinen. Israelissa on piilaakson
jälkeen eniten teknologia-alan startup-yrityksiä. Valtio satsaa 5%
bruttokansantuotteesta tutkimukseen ja kehitykseen ja pitää puolustusvoimia sekä maahanmuuttoa keskeisinä menestystekijöinä. Israelin puolustusvoimilla onkin startup-yritysten synnyssä merkittävä rooli,
jossa jo varusmiesaikana kannustetaan innovointiin. Myös eläkkeelle jääneet
kenraalit saattavat tukea nuoria startup-yrityksiä löytämään asiakkaita
verkostojensa avulla.
Suomella on kyberosaamista, mutta se ei
yksinään riitä. Meiltä näyttää puuttuvan strategisen tason osaamista tehdä kyberosaamisellamme
jotain kansallisesti ja kansainvälisesti merkittävää. Osa ongelmasta istuu
todennäköisesti myös korvien välissä. Muutama asia vaatii pohdintaa:
- ASENNE: Olisiko aika ruveta näkemään mahdollisuuksia sekä myymään ja markkinoimaan itseämme niiden kautta sen sijaan, että keskitytään keksimään syitä, miksi asioita ei voi tehdä? Esim. jos suomalaiselle ja ruotsalaiselle annetaan omena, niin ruotsalainen hehkuttaa jo tuottavansa maailman parasta siideriä, kun taas suomalainen ei ehdi edes avata suunsa ennen kuin yksi virasto kieltää alkoholimainonnan, toinen virasto huolestuu omenassa mahdollisesti terveyshaittoja aiheuttavasta madosta ja kolmas taho on mustasukkainen siitä, koska omena oikeasti kuuluisi hänelle (koska hän kasvattaa päärynöitä). Miksi Suomi ei esimerkiksi tee kyberympäristöllään mitään elämää suurempaa?
- STRATEGISET VALINNAT: Olisiko aika päättää, mihin panostamme ja mihin emme? Jos haluamme menestyä kyberturvallisuusalalla, niin meidän pitää panostaa siihen, vaikka se ikävä kyllä onkin joltain toiselta alalta pois. Suomi ei voi olla joka alan edelläkävijämaa. Onko tämä se ala, joka auttaa nostamaan Suomen? Vai menikö juna jo?
- KANNUSTAMINEN: Miten voisimme kannustaa hyvän idean saaneita ihmisiä perustamaan startup-yritys ja lähtemään kansainvälisille markkinoille?
- Joillekin yrittäminen on kuin valmiiksi koodattu geeneihin, mutta varmaan moni muukin rohkenisi tehdä ideoistaan totta, jos saisi vähän apua pääsemään alkuun. Voisiko olla tarpeen tarjota (teknologia-alan) opiskelijoille innovoinnin ja yrittämisen peruskursseja madaltamaan kynnystä lähteä kokeilemaan? Opetetaanhan sitä esimerkiksi puheviestintää ja kieliä perustaitoina, joiden tarkoitus on auttaa pärjäämään ammatissaan.
- Voisiko Israelin mallista oppia mitään? Voisiko varusmieskoulutuksen aikana kannustaa keksimään hyviä ideoita ja tuotteistamaan ne varusmieskauden jälkeen? Voisiko tämä houkutella myös (lisää) naisia suorittamaan varusmiespalvelusta kyberpuolustuksen saralla? Voisiko siviilipalveluspuolella olla jotain vastaavaa? Voisiko Suomen tietoturvaklusteri (FISC ry) kalastella tätä kautta syntyneitä ideoita ja auttaa niitä eteenpäin?
- Pitäisikö samalla miettiä yrittämisen houkuttelevuutta Suomessa laajemmin? Onko veroaste sellainen, että se kannustaa, vai olisiko miellyttävämpää hyödyntää esimerkiksi Viron (!!) e-kansallisuutta mahdollisuutena perustaa yritys sinne? Onko yrittämisessä muita asioita, jotka karkottavat ihmiset rivityöntekijöiksi ja hautaamaan ideansa pöytälaatikkoon?
- PÄÄTÖKSENTEKO: vai eikö Suomessa vaan olla päästy yhteisymmärrykseen siitä, kenen pitäisi tehdä jotain edellä mainittujen asioitten eteen?
20/04/2012
Kyberturvallisuutta kansalaisen näkökulmasta
Minulta kysytään usein, pitääkö yksittäisen kansalaisen
ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein
yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan
kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein
fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka
vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on
maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi
faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin
Hollywoodin elokuvissa.
Pyrin tässä blogipostauksessa nostamaan esille juuri
tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella
tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden
asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan
tietotekniikkaa.
Minkä takia pitää
ymmärtää kyberturvallisuuden perusasiat?
Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä
yksityishenkilönä että työntekijän/antajan ominaisuudessa.
Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat
uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen
kohdistuvat uhkat.
Taloudellisen uhkan muodostavat verkkorikolliset, jotka
pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä
jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän
tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi
henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää
huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä
hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.
Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi
kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi
jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan
kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai
toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi
eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että
hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa
murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen
esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja,
luottokorttinumeroita, jne.
Työntekijänä henkilöön voi kohdistua
tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen
yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi
ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden
välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation
tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation
toimintaan myöhemmin.
Mitä pitää ymmärtää?
Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan
olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia
dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411
miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan
maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin
valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei
yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden
kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden
ennen kuin kukaan ehtii sanoa ”kyber”.
Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää
kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi
liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä
maalaisjärkeä pärjää pitkään!
Miten varaudun?
Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät
kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla
tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:
- Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
- Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
- Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
- Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
- Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
- En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!
Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun
kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin
käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että
hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten
onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta
leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai
tietoliikenneverkko olisi nurin. Mitä sitten?
Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä
sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja
kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä
laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan
luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden
aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy
varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.
Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos
on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että
viranomaisten ja uutislähteiden www-sivuihin on yritetty murtautua ja yritetty muuttaa tietoja;
ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista
poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon
lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.
Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja
auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja
toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä.
Miten parantaa
yleistä kyberturvallisuustietoisuutta?
Miten saisimme kyberturvallisuusymmärryksen paremmalle
tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla
kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä
enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa
kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?
Itse henkilökohtaisesti toivon sitä, että jokainen
kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta,
kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta
hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön
vähättelyynkään.
Toivon aiheesta vilkasta keskustelua!!
25/03/2012
Viiden minuutin sota?
YLEn
verkkosivuilla maalaillaan Suomen pahinta uhkakuvaa: "viiden minuutin sota".
Artikkeli on
kieltämättä herättänyt keskustelua viikonlopun aikana. Mutta onko skenaario
faktaa vai fiktiota?
Artikkelissa
mainittujen hyökkäysten suorittaminen onnistuneesti on teknisesti mahdollista.
Se kuitenkin edellyttäisi, että kohdejärjestelmiin on suunnattu
ympäristötiedustelua teknisten haavoittuvuuksien löytämiseksi, että edellä
mainitut tiedusteluoperaatiot ovat jääneet havaitsematta, että hyökkäykset
suunnitellaan ja ajoitetaan huoleellisesti ja että niitä johdetaan ja
koordinoidaan. Hyökkäysten suunnittelu saattaa edellyttää myös ihmisiin
kohdistuvia toimenpiteitä, kuten tietojen kalastelua, kiristystä, huijaamista
(esim. saamalla viemään saastunutta muistitikkua kohdejärjestelmään) tai
palkkaamista myyräksi. Mikäli jollain taholla on riittävän vahva motivaatio,
esimerkiksi poliittinen tai ideologinen, ja riittävät resurssit tämän
tekemiseen, niin hyökkäysoperaation onnistuminen on mahdollista: ei välttämättä
helppoa, mutta ei mahdotonta. Tässä skenaariossa on oletettavaa, että tekijänä
olisi joko valtio tai ideologinen ryhmä, eikä perinteistä verkkorikollisorganisaatiota,
koska rikollisorganisaation tavoitteena on usein raha. Verkkorikolliset
tarvitsevat toiminnalleen toimivat tietoliikenneyhteydet siinä missä muukin
yhteiskunta.
Se faktasta.
Fiktiota on taas se, että maa lamaantuisi viidessä minuutissa.
Tietojärjestelmien ja –verkkojen lamaantuminen ei ole sama kuin yhteiskunnan
lamaantuminen. Yhteiskunnan lamaantuminen kestää pidempään ja edellyttäisi
myös, että viranomaisella ja yksityisellä sektorilla ei ole riittävää kykyä
hyökkäyksistä toipumiseen ja sitä mukaa palveluiden palauttamiseen yhteiskunnan
käyttöön. Kriisinvalmiutta harjoitellaan yhteistoiminnassa julkisen ja
yksityisen sektorin kanssa esimerkiksi TIETO-harjoituksissa, mikä osaltaan
varmistaa sen, että toipumissuunnitelmat ja niiden harjoittelu eivät pitäisi
jäädä pelkästään kauniiksi ajatuksiksi.
YLE:n artikkeli
esittää viisi askelta laajamittaisessa hyökkäysoperaatiossa:
- Maksuliikenteen häirintä
- Tieliikenteen häirintä
- Elintarviketoimitusten logistikkajärjestelyiden häirintä
- Tietoliikenneverkkojen häirintä
- Sähköverkkojen häirintä
Maksuliikenteen
häirintä aiheuttaisi Suomelle taloudellisia tappioita myös lyhyessä
aikavälissä. Tämä olisi ongelma erityisesti elinkeinoelämälle. Yksittäisten
ihmisten kannalta tilanne olisi toinen; elämä ei muutamassa minuutissa vielä
kaatuisi. Vaikka kortit eivät toimisi eikä rahaa saisi nostettua automaatista,
ei tilanteeseen vähään aikaan reagoitaisi kovinkaan voimakkaasti. Ruokaa on
vielä pakastimessa, rahaa lainattaisiin kavereilta tai kauppiaitten kanssa
sovittaisiin ruokaostosten maksujärjestelyistä, kunhan tekniset viat saadaan
korjattua. Viranomaiset ja vapaaehtoiset järjestöt järjestäisivät
soppakeittiöitä ja vedenjakelua. Tilanne olisi hankala, mutta ei mahdoton.
Vasta jos tilanne näyttäisi jatkuvan pidempään rupeaisi tilanne muuttumaan:
kaupoista ja ravintoloista loppuisi ruoka, apujärjestelyt eivät sujuisi
energiapuutteen takia, kansalaiset nousisivat kapinaan ja kaduilla olisi
mellakoita. Tästä onkin nopea tie yhteiskunnan lamaantumiseen, mutta tähän
vaaditaan pidempää aikajaksoa, kuin se viisi minuuttia. Mikäli
toipumissuunnittelu ja –harjoittelu on viranomaisten ja keskeisten
elinkeinoelämän toimijoiden kanssa tehty asianmukaisesti, ei tällaiseen
tilanteeseen välttämättä edes päädytä.
Tieliikenteen
häirintä voisi olla kiusallista, mutta olisiko se vaivan arvoista saatujen
hyötyjen osalta? Suomessa on niin vanha autokanta, että voidaan kyseenalaistaa,
vaikuttaako kyberhyökkäykset kovinkaan moneen autoon lainkaan… Pääkaupunkiseudun
ruuhkatkin ovat mitättömiä
verrattuna jo Keski-Eurooppaan. Ehkä sattuisi muutama keskisormen lihasten
revähdys, mutta muilta osin yksityisautoilun kiusaaminen olisi toimenpiteenä
kyseenalainen. On siis mahdollista, mutta miksi? Viidessä minuutissa kaaos ei
kuitenkaan vaikuttaisi yhteiskunnan lamaantumiseen, vaan se tulkittaisiin
perinteiseksi ärsyttäväksi liikenneruuhkaksi. Tilanne saattaisi jatkua ärsyttävänä pitkäänkin, mutta
julkisen liikenteen ja yksityisautoilun häirintä ei välttämättä riittäisi
kansalaisten nujertamiseen.
Elintarviketoimitusten
logistiikan häirintä olisi yhteiskunnan kannalta ikävä temppu. Sen vaikutukset
eivät kuitenkaan lamaannuttaisi yhteiskuntaa viidessä minuutissa. Kaupoissa
olisi vielä elintarvikkeita muutamiksi päiviksi, samoin ravintoloissa. Kieltämättä
elintarvikkeet rupeaisivat pikkuhiljaa hiipumaan ja hinnat nousemaan kunnes
ruoka yksinkertaisesti olisi loppu. Kaupungeissa seuraisi mellakoita ja
rötöstelyä. Tähänkään ei päädytä, mikäli toipumissuunnitelmat on tehty ja
harjoiteltu.
Tietoliikenneverkkojen
häirintä taas olisi pahempi asia, koska se vaikuttaisi moneen muuhun
toimintaan. Se vaikuttaisi valtion toimintaan, elinkeinoelämään ja yksittäisiin
ihmisiin. Vaikutukset rupeaisi tuntumaan melko nopeasti. Yksittäiseen ihmiseen
se ei vaikuttaisi vielä viidessä minuutissa: eihän suomalainen mökkikansa
selviäisi hengissä edes kesäkauden, mikäli elämä olisi kiinni siitä, että
kännykkä ja netti toimii jatkuvasti ja 24/7. Lähinnä huolet kohdistuisivat
siihen, ettei lähimpiin saada yhteyttä eivätkä mahdolliset hätäpuhelut mene
läpi. Toki esimerkiksi nettiriippuvaisilla voisi olla tukalat oltavat, kuten
monella muullakin, mutta tuskin niin tukalat, että elämä loppuisi seinään.
Valtionhallintoon ja elinkeinoelämään tilanne vaikuttaisi tuntuvammin; yhteydet
ulkomaailmaan olisivat poikki ja taloudelliset menetykset lähtisivät nousuun.
Silti, kansallinen tietoliikennekatkos ei viidessä minuutissa kaataisi koko
yhteiskuntaa.
Sähköverkkojen
häirintä olisi myös ikävä asia, kuten monet viime aikaisten myrksyjen uhrit
voivat vahvistaa. Kriittisimmät toiminnot pyörisivät kuitenkin varavoimalla
jonkin aikaa. Silti, pysyvä vaurio energiatuotantoon lienee kaikista pahin
skenaario, koska pidemmän päälle; ilman sähköä ei ole tietoliikennettä, eikä
tietojärjestelmiä, ja silloin tietoyhteiskunta lopulta kyykähtää. Mutta siihen
menee enemmän, kuin viisi minuuttia.
No, kyykähtääkö Suomi?
Suomeen
kohdistuva suunniteltu, resurssoitu ja johdettu hyökkäys voisi teknisestä
näkökulmasta onnistua. Hyvin tehtynä, se voisi viidessä minuutissa kaataa
useampaa yhteiskunnan toiminnallisuuden kannalta keskeistä järjestelmää. Tässä
Suomi ei ole paremmassa tai huonommassa asemassa kuin yksikään muu
tietoyhteiskunta. Jokaisella yhteiskunnalla (maatalous-, teollisuus- tai
tietoyhteikunnalla) on omat vahvuutensa ja heikkoutensa. Tietoyhteiskunnalla on
paljon vahvuuksia, mutta sen teknisen perustan haavoittuvuudet ovat kieltämättä
sen heikkous.
Koko yhteiskunta
tuskin kuitenkaan kaatuisi samaa vauhtia kuin tietoyhteiskuntaa ylläpitävät
järjestelmät ja verkot. Viidessä minuutissa yhteiskunta ei vielä olisi herännyt
siihen, mitä tapahtui. Muutamassa päivässä tilanne olisi todennäköisesti
toinen, kun vaikutukset rupeavat tuntumaan.
Tässä
viitekehyksessä on kuitenkin kaksi kriittistä komponenttia:
- Mikä on valtionhallinnon ja yksityisen sektorin kyky selvittää ja toipua resurssoidusta ja kohdistuneesta hyökkäyksestä
- Mikä on meidän jokaisen yksilön kriisinsietokyky; kuinka pitkään kestämme kylmää, pimeyttä, nälkää ja tilanteesta johtuvaa tietämättömyyttä menettämättä tilanteen hallintaa?
Jos
toipumissuunnitelmat on tehty ja harjoiteltu, voidaan tilanteesta toipua ennen
kuin vaikutukset laajentuvat koko yhteiskuntaan. Jos kriisinsietokykymme on
kansallisesti riittävän hyvä, tulemme pärjäämään. Mutta jos emme varaudu
kyberuhkiin, on mahdollista, että yhteiskuntamme lamaantuu.
Sen takia Suomen
kyberturvallisuusstrategiatyö on käynnistetty poikkihallinnollisella
kokoonpanolla, yksityistä sektoria huomioiden. Työ on yhteiskunnan kannalta
todella tärkeä. YLE:n toisessa artikkelissa käsitelläänkin tätä
kyberturvallisuusstrategiaa; suosittelen lukemaan!
Suomen vahvuudet
varautumisessa ovat meidän osaamisen taso ja verkostoituminen. Määrä ja massa
eivät aina välttämättä lisää vahvuutta varautumiseen. Yhdessä tekemällä ja
oppimalla voimme saavuttaa paljon kyberuhkien torjunnassa. Senkin takia toivon
tästäkin postauksesta aktiivista keskustelua ja hyvien ideoiden heittelyä
kehiin – miten voisimme yhdessä olla vahvempia sekä torjumaan että toipumaan?
07/03/2012
Saako sanoa kyber?
Monesti, kun käyn esitelmöimässä kyberturvallisuudesta tai kyberpuolustuksesta, käy niin, että joku kuulija lähestyy minua esitelmän jälkeen seuraavalla palautteella: ”Ihan hyvä esitelmä, mutta onko pakko käyttää termiä kyber?” Viimeksi vastasin pilke silmäkulmassa, että ”haittaakse?”.
Pidin itsekin termiä kyber aikoinaan vähän hassuna. Nyt olen muuttanut mieleni. Nyt olen sitä mieltä, että kyber tulisi käsitteenä hyväksyä.
Ensinnäkin kukaan ei ole keksinyt mitään parempaa käsitettä. Kyberturvallisuus ei ole synonyymi tietoturvallisuudelle, verkkoturvallisuudelle, atk-turvallisuudelle, tai millekään muulle turvallisuustermille. Rajapintoja ja päällekkäisyyksiä on, mutta mikään vanha termi ei kata kyberturvallisuuden osa-aluetta. Käsitteistä jaksetaan kyllä keskustella loputtomasti, mutta parempaa käsitettä ei ole esitetty ja keskustelun ydin on loppujen lopuksi ollut se, että ”kunhan ei käytetä sanaa kyber”.
Puolustusvoimat käyttää tällä hetkellä virallisesti termiä ”tietoverkkopuolustus” omasta osa-alueestaan, vaikka termi kyberpuolustus olisi helppokäyttöisempi. Termi tietoverkkopuolustus on harhaanjohtava, koska se antaa ymmärtää, että toiminta rajoittuu vain tietoverkkoihin. Se, että jokin komponentti ei ole tietoverkossa kiinni ei kuitenkaan tee siitä kyberuhkalle ulottumattoman. Tottakai voidaan saivarrellen viitata verkkoteoriaan, jonka mukaan yksikin solmu muodostaa verkon (jonka koko on 1) tai jonka mukaan monta yksittäistä solmua muodostaa verkon, joka nyt vaan sattuu olemaan epäyhtenäinen. Tämä ei kuitenkaan avautuisi kovinkaan monelle.
Mistä termi tietoverkkopuolustus sitten tulee? Epäilen, että sille löytyy kaksi selitystä. Ensimmäinen on se, että kaikkea ilmiöön liittyvää kuvattiin ennen kattotermillä tietoverkkosodankäynti, joka on sittemmin terminä vanhentunut, koska puhdasta tietoverkkosodankäyntiä tuskin on olemassakaan. Toinen syy on se, että ennen kuin termi cyber vakiintui englanninkielessä käytettiin usein ”computer network” –alkuisia käsitteitä, esim. computer network attack, computer network exploit, computer network defence, computer network operations, jne. Kuten arvata saattaa, ovat nämäkin termit käytännössä vanhentuneet, mutta käännös ”tietoverkko” jäi elämään. No, ehkä kolmas selitys on se, että olen itse ollut vakiinnuttamassa termiä ”tietoverkkopuolustus” paremman termin puutteessa. Nyt rupean kuitenkin vahvasti kallistumaan kyberpuolustus käsitteen kannalle.
Pelkäämmekö sitten kyber-sanaa liikaa? Kieletkin kehittyvät ajan myötä kattamaan uusia ilmiöitä ja asioita. Jos ei suomenkielistä vastinetta löydy, onko se niin väärin suomentaa vieraskielistä termiä? Lisäksi kyber kuvastaa tietynlaista kokonaisuutta ja ilmiötä, mihin vanhat termit eivät kykene. Ja loppujen lopuksi; jopa kyber-termin vihaajat käyttävät termiä kyber, sitruunahapan virne naamalla, koska hekään eivät ole keksineet sille mitään parempaa vastinetta. Mutta toisaalta, osaako kukaan sanoa, miksi sana kyber on huono? Minä en osaa. Ja kun siihen tottuu, niin se ei ole enää edes kovinkaan hassu.
Siispä olen ruvennut kallistumaan vahvasti kyberkäsitteen kannalle. Puhun jatkossa kyberturvallisuudesta, kyberpuolustuksesta, kyberuhkista, kybersiitä ja kybertästä. Haittaakse?
22/02/2012
Lammas susien vaatteissa
Kyber on hype. Se on esillä joka paikassa ja siihen osallistuu jos joitakin tahoja. Myös monet yritykset ovat heränneet kybervillitykseen etsien siitä uusia liiketoimintamahdollisuuksia. Tämä on sinänsä positiivinen ilmiö, koska tekemistä alalla riittää ja alan osaamisen kehittäminen on kaikin puolin kannatettavaa. Vähemmän positiivista on kuitenkin mukaan sekaantunut lieveilmiö, jossa yritetään myydä vanhoja ratkaisuja uudella nimellä – se, mikä eilen oli ”tietoturvapurkki” on tänään yhtäkkiä ”kyberpurkki”. Tämä ei edistä kyberturvallisuuden tai kyberpuolustuksen kehittämistä millään tavalla. Tietoturvallisuudelle se on jopa vahingollista!
Mistähän tämä johtuu? Onko kyseessä epätoivoinen yritys päästä kybervillitykseen mukaan keinolla millä hyvänsä? Eikö käsitteitä ymmärretä – mikä lienee ymmärrettävää, määritelmistä kun ei ole yhteisymmärrystä? Vai pidetäänkö potentiaalista asiakasta yksinkertaisesti vain tyhmänä? :-)
Tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro! Kyberturvallisuuden ja –puolustuksen vahva nousu ei ole millään tavalla poistanut perinteisen tietoturvallisuuden merkitystä. Kumpaakin tarvitaan edelleen. Päällekkäisyyttä toki on, jonka takia tietoturvaratkaisu (hallinnollinen tai tekninen) saattaa samalla tukea kyberturvallisuudenkin toteuttamista. Tämä ei kuitenkaan tarkoita sitä, että kyberturvallisuus ja tietoturvallisuus ovat synonyymejä. Kyberpuolustus vielä vähemmän.
Käsitteistä
Tietoturvallisuuden tarkoitus on organisaation toiminnan jatkuvuuden varmistaminen suojaamalla tiedot muun muassa luottamuksellisuuden, eheyden ja saatavuuden osalta riskienhallinnan keinoja hyödyntäen. Tietoturvallisuuden merkitys on tässä viitekehyksessä merkittävä. Tietoturvallisuus ei ota kantaa siihen, missä muodossa tieto on. Se voi olla sähköisenä, paperille tulostettuna, henkilön pään sisällä,… Näin ollen tietoturvallisuuden lonkerot ulottuvatkin esimerkiksi tilaturvallisuuteen ja henkilöturvallisuuteen. Se on merkittävä osa organisaation kokonaisturvallisuutta ja tietohallintoa.
Kyberturvallisuudella tarkoitetaan pääsääntöisesti yhteiskunnan (elintärkeiden) toimintojen ja väestön hyvinvoinnin suojaamista kyberavaruuden kautta tulevia hyökkäyksiä vastaan. Kyberturvallisuudella pyritään mahdollistamaan valtioiden toimintavapaus kyberavaruudessa. Toimintavapaudella haetaan kilpailukykyä sekä demokratian ja sananvapauden toteuttamista. Yksi – mutta ei ainoa – suojattava kohde on tieto. Tässä on siis rajapinta tietoturvallisuuteen. Kyberturvallisuus ei kuitenkaan ole kiinnostunut tietojen suojaamisesta silloin, kun tiedot eivät ole sähköisessä muodossa. Infrastruktuurin suojaaminen fyysisiltä tuhoilta on toki tärkeätä kyberavaruuden hengissä pitämiseksi, mutta kyberturvallisuus ei itse sinänsä ota kantaa tilaturvallisuuteen tai fyysisiin uhkiin.
Kyberpuolustus puolestaan on kyberturvallisuuden maanpuolustuksellinen ulottuvuus. Se on sotilaallinen suorituskyky, joka on rinnastettavissa perinteiseen puolustushaaran tuottamaan suorituskykyyn toimintaympäristön ollessa kyberavaruus. Kyberpuolustus kattaa tiedustelun, vaikuttamisen (= offensiiviset kyvyt) ja suojautumisen (= oman toiminnan suojaamista vihollisen tiedustelusta ja vaikuttamisesta). Suojautumisen osalta voidaan vastaavasti kuin kyberturvallisuudenkin osalta todeta, että yksi, mutta ei ainoa suojattava kohde on tieto. Tietoturvallisuuteen on siis rajapinta, mutta tietoturvallisuus on vain yksi osa-alue monesta muusta. Sotilasorganisaation kannalta kyberpuolustus on operatiivinen suorituskyky ja tietoturvallisuus tukitoimintaa. Kummatkin ovat tärkeitä, mutta niiden toiminnalliset roolit eroavat merkittävästi toisistaan.
Kaikkia tarvitaan – erityisesti siinä, missä ovat vahvimmillaan
Kirjoitin alussa, että tämä blogipostaus on tietoturvallisuuden puolustuspuheenvuoro. Tällä tarkoitin sitä, että vahvaa tietoturvallisuusosaamista tarvitaan edelleen. Tietoturvallisuus on organisaation toiminnan kannalta äärimmäisen tärkeä asia. Tietoturvallisuudesta täytyy siis puhua tietoturvallisuutena! Se ei tarvitse ympärilleen uusia nimiä, vaikka ne olisi kuinka huudossa, kuten tällä hetkellä on kyberin laita.
Kilpailu tietoturvallisuuden ja kyberturvallisuuden alueilla on kovaa. Näihin haetaan parasta osaamista ja tottakai myös kustannustehokkuutta. Ollakseen vahva kannattaa markkinoida itseään sillä osaamisella, missä on vahvimmillaan. Jos on vahva tietoturvallisuuspuolella on turha mennä haparoimaan kyberturvallisuuden osa-alueella ilman sen alan erikoisosaamista - tai päinvastoin; tämä antaa toimijasta vain heikon kuvan – sekä tietoturvallisuuden että kyberturvallisuuden osalta.
Kyberpuolustuksen osalta tilanne kääntyy vielä päälaelleen. Se, mikä on valttia tietoturvallisuuden ja kyberturvallisuuden puolella ei välttämättä ole vahvuus kyberpuolustuksen kannalta. Siinä missä yrityksen maailmanlaajuinen ja monikansallinen toiminta voi tuoda lisäarvoa tietoturvallisuuden toteuttamisessa, voi tilanne kyberpuolustuksen kannalta olla päinvastainen. Kyberpuolustuksen kantavat kulmakivet ovat osaaminen ja verkostoituminen. Vahvuus tulee siitä, että osaaminen löytyy kotimaasta, koska silloin se on hyödynnettävissä myös sodan aikana.
Sanomani tässä on siis seuraava: kaikkia osa-alueita (tietoturvallisuus, kyberturvallisuus ja kyberpuolustus) tarvitaan yhtä lailla ja jokainen osa-alue tarvitsee parhaat osaajat. Tekeminen ei heti lopu. Kannustaisin olemaan rohkeasti ja avoimesti vahva omalla osa-alueellaan sen sijaan, että väkisin ryntäilee kyberin puolelle vain sen takia, että se juuri nyt sattuu olemaan huudossa. Jää nähtäväksi, onko se huudossa enää viiden vuoden päästä, vai onko se siinä vaiheessa ”standarditoimintaa”. Miten käy tietoturvallisuusyritysten, jotka kyberin kultasuonen löytämisen toivossa unohtivat ydintoimintansa, samalla jääden kyberalan yritysten jalkoihin?
Ei siis kannata olla lammas susien vaatteissa tai susi lampaiden vaatteissa! Be strong, be yourself!
Subscribe to:
Posts (Atom)