Systeemiajattelua kyberuhkatorjuntaan

Digitalisaatio on tehnyt yhteiskunnasta tehokkaamman kuin koskaan ennen, mutta saamaan aikaan myös aivan erityisellä tavalla haavoittuvan. Tietopääomaamme voi kaapata verkon yli ilman, että tekijän tarvitsisi astua Suomen maaperälle.

Tekstilaatikko, jossa lukee: Digitalisaatio ja kokonaisturvallisuus. Vuonna 2021 Maanpuolustus-lehdessä tarkastellaan digitalisaation vaikutuksia kokonaisturvallisuudelle.

Olemme päätyneet koko lailla merkilliseen tilanteeseen: yhteiskunnan toiminta riippuu kyberympäristöstä, jonka toiminta ei näytä olevan kenenkään hanskassa. Kuva on kuitenkin väärä. Kyberympäristö on tukevasti lukuisten eri tahojen hallussa. Niillä vain ei ole kannustimia huolehtia järjestelmiensä turvallisuudesta, eikä tehtävänä kantaa kansallisen turvallisuuden taakkaa.

Järjestelmä ei ole turvallinen, ellei se kestä käyttäjää

Internetiä ei koskaan suunniteltu datan turvallisuus edellä, ja juuri siksi se päihitti kilpailijansa. Se oli ylivoimaisen joustava, skaalautuva ja vikasietoinen – siis kustannustehokas. Tietojärjestelmät taas luotiin suljettuun ympäristöön, jolloin tunkeutujista ei tarvinnut niin huolehtia. Ongelma syntyi vasta, kun konttoritekniikka tiputettiin avoimeen verkkoon – suoraan syvään päähän. Vastuu turvallisuudesta jäi käyttäjälle, joka ei voi vastuuta kantaa.

Onnistuneen tunkeutumisen edellytys on tunnetusti haavoittuvuus, jota tunkeutuja pääsee hyödyntämään. Tunnetusti. Silti suurin osa organisaatioista ottaa ulkoverkosta vastaan suoritettavaa koodia sähköpostin liitteenä tai WWW-selaimella. Sen sijaan, että tietojärjestelmä näyttäisi käyttäjälle hallitusti asiasisällön, järjestelmä ystävällisesti suorittaa ulkoa lähetetyn koodin kaikkine haittakomentoineen – sisäverkossa käyttäjän pääsyoikeuksin. Kuinka näppärää! Tunkeutujalle, siis.

Ongelmaa paikataan ohjeella: ”älä avaa epäilyttäviä liitteitä”. Ohje on vallan hullunkurinen. Jos tunkeutujalla on intressi lähettää kohteeseen haittakoodia, tunkeutuja kyllä varmistaa, ettei mikään osa viestissä näytä epäilyttävältä. Lisäksi on käyttäjäryhmiä, jotka eivät voi ohjetta noudattaa. Yrityksen myynnin tai viraston kirjaamon tehtävä on avata liitteet.

Kuvassa Darth Vader -Lego ohjaa Stormtrooper-legoja työntämään muistitikun tietokoneeseen.
Kuva: Shutterstock
Kyberturvallisuuden parantaminen

Tällä hetkellä keskeisin kyberturvallisuuden haaste on liian suuri määrä järjestelmiä, joiden tietoturva vastaa yleisiä käytäntöjä – eli on heikko.

Usein kuultu ehdotus Suomen kyberturvallisuuden parantamiseksi on kybertsaarin nimittäminen johtamaan kyberturvallisuutta. Malli olisi varmasti tehokas linjaorganisaatiossa. Sen rajoite kuitenkin on, ettei kyberympäristö ole irrallaan yhteiskunnasta. Yhteiskunta ei ole linjaorganisaatio, jonka ohjausvoimaksi riittäisi virkamiehen oikku. Viranomaistoimintaa ohjaa laki ja yritysten toimintaa kannustimet ja muut reunaehdot.

Vain järjestelmän ylläpitäjä voi olennaisesti kasvattaa tunkeutumisen kynnystä. Tietoinfrasta suuri osa kuuluu yksityisille yrityksille, joiden tärkein tehtävä ei ole maan, vaan omistajan intressin suojaaminen. Vaikka moni osallistuu esimerkillisesti Suomen suojaamiseen, ei tehtävää voi jättää talkoohengen varaan, vaan sille on luotava kannustimet.

Tuotekehitystä tekevälle yritykselle datan suojausintressi on ilmeinen. Tiedon turvallisuus on liiketoiminta-asia, koska datan anastaja vie yritykseltä tulevaisuuden. Palveluntarjoajien motivointi käy joko alan standardien, asiakasvaatimusten tai regulaation kautta.

Tämän hetkiset yleiset tietoturvakäytännöt ovat – vain hiukan liioitellen – kuin 1960-luvun turvallisuustekniikka autoissa. Turvallisuus on usein jätetty ”aja varovasti, jooko?” -ohjeen varaan.

Asiakkaalla on tosiasialliset edellytykset vaatia kunnollista laatua vasta, kun asiakkaalla on riittävästi osaamista. ICTnsä ulkoistaneella organisaatiolla harvoin on. Konsultit taas tuovat erinomaista konkreettista osaamista, mutta tilaajan on aina muistettava, että ammattitaitoinen tietohallintokonsultti saattaa asiakkaan sen verran hämmennyksen valtaan, ettei asiakas keksi pärjäävänsä omillaan. Konsultilla on myös riskinhallinnallinen kannustin tarjota vain alan standardin mukaista ratkaisua.

 

Suvereniteettia kyberympäristössä

Suurlähettiläs René Nybergin artikkelia (Kanava, nro 5, 2014) siteeraten: ”Suvereniteetin ydinkysymys on kyky hallita omaa aluetta ja estää ulkovaltojen tunkeutuminen ennen muuta päätöksentekoon ja sen keskeiseen valmisteluun. ” Entistä suurempi osa valmistelua tapahtuu palveluntarjoajan tietojärjestelmissä. Ydinkysymystä se ei muuta mitenkään, mutta hallinnan keinot ovat toiset. Fyysisessä maailmassa raja on viranomaisten hallinnassa. Kyberympäristössä yhteys ulkomailta päätyy suoraan järjestelmiin, joiden turvallisuudesta vastaa ylläpitäjä. Juuri se, jonka tehtävä ei ole huolehtia kansallisesta turvallisuudesta.

Verkkotilan systemaattinen valvonta taas on Suomessa osoittautunut asiaksi, jota lainsäätäjä suuresti vierastaa perusoikeusvaikutusten takia. Internetissä kun kulkee samassa verkossa ihmisviestintä, verkon sisäinen signalointiliikenne, robottipölynimurin raportointi pilvipalvelimelle – sekä vihamielinen hyökkäysliikenne. Lainsäätäjän tahdonmuodostukseen on toki aktiivisesti osallistunut myös alan teollisuus, jolle on hauskasti suotu julkisessa diskurssissa asiantuntijarooli, vaikka rooli on tietysti osin ”kilpailijan”.

Mahdoton yhtälö? Ei itse asiassa lainkaan, mutta tehokas toiminta kansallisen turvallisuuden suojaamiseksi edellyttää realiteettien tunnustamista: koko systeemin ja sen reunaehtojen ymmärtämistä. Tarvitaan joukko toimijoita hoitamaan oma tehtävänsä huolella, ymmärtämään toistensa tehtäviä ja tekemään vahvaa yhteistyötä. Turvallisuus on kuitenkin rakennettava niillä palikoilla, jotka kulloinkin on käytettävissä – ei näyteikkunan Legoilla.

Artikkelisarjan ensimmäisen osan on kirjoittanut erikoistutkija Sari Kajantie.

Lisää artikkeleita: