Miten torjutaan
kyberrikollisuutta
kun vyö kiristyy?
Poliisi ei valvo
nettiä, siellä rikos,
uhka mellastaa.
Luottokortilta
tiedot tuntemattomaan –
My Data suojaa?
Tieken bisnestreffeillä Superhyperkyberturvallista 14.11.2014 Catharina Candolin, pääesikunnan johtamisjärjestelmäosaston tietoverkkopuolustussektorin johtaja, kertoi, miten nettihyökkäykset lisääntyvät nopeammin kuin kanit ja mobiilius uhkaa pilvestä. Aiemmin nettihyökkääjät olivat harrastelijaporukoita, mutta kyberrikollisuus on korostunut 2000-luvulla. Hyökkäykset voidaan luokitella ei-valtiollisiin ja valtiollisiin; jälkimmäisten takana on toinen valtio.
Konflikteja on ollut aina, mutta viime aikoina Ukrainan tilanteen myötä ilmatilan loukkaukset ovat lisääntyneet, samoin tietomurrot ulkoasiainministeriöön.
Miten sodat ja konfliktit ovat muuttuneet? Valtiot valvovat maansa rajoja ja ilmatilaa, mutta kyberulottuvuus on nykyisin mukana kaikissa konflikteissa. Hybridisodankäynti alkaa jo syvässä rauhan tilassa. Suomi on tietoyhteiskunta; olemme riippuvaisia tietoverkoistamme, jotka ovat valtaosin yksityisten hallussa, ja jotka säätelevät mm. sähkön ja veden jakelua.
Kansallinen hyperturvallisuusohjelma on lanseerattu. Strategian mukaan Suomen pitäisi olla kyberturvallisuuden edelläkävijä vuonna 2016. Mutta missä ovat tämän edellyttämät resurssit ja strategiat? Meidän pitäisi panostaa siihen, missä haluamme olla edelläkävijä – tai edes mukanapysyjä. Lainsäädäntöä pitäisi muuttaa ja panostaa osaamisen kehittämiseen korkeakoulutasolla. Jo olemassa olevaa osaamista, jota on myös yksityisellä sektorilla, pitäisi hyödyntää.
Meidän pitää varautua ja harjoitella yksin ja yhdessä, kumppanoitua kansallisella ja kansainvälisellä tasolla. Kun kriisi kyberulottuvuuksineen iskee, meidän on kyettävä pitämään yhteiskuntamme pystyssä.
Mikko Hyppönen, F-Securen tutkimusjohtaja, kertoi olevansa pari viikkoa vanhempi kuin vuonna 1969 syntynyt internet. Neljänkymmenenviiden vuoden aikana internet on tuonut paljon hyvää, mutta välillä tuntuu siltä, että olemme rakentaneet hirviön.
Webbi kehitettiin vuonna 1994, jonka myötä alkoi kotisivuilla surffailu. Webbi on eurooppalainen keksintö, internet yhdysvaltalainen. Yhdessä ne ovat tuoneet viestintää, bisnestä ja viihdettä ja poistaneet maantieteen.
Suomen kansalaiselle todennäköisin paikka joutua rikoksen uhriksi on verkko. Ongelmat eivät tee reaalimaailmaa tai nettiä käyttökelvottomaksi. Ongelmien torjumiseen on kehitetty turvatekniikoita, mutta kuinka helposti poliisi ottaa kiinni verkkorikolliset? Verkkorikokset ylittävät valtakuntien rajoja, mutta meillä ei ole globaaleja lakeja.
Lontoossa pari viikkoa sitten esitetyn Snowden-elokuvan kutsuvierasnäytännössä oli paikallisia viranomaisia tutustumassa siihen, mitä todella tapahtui. Snowden havahdutti meidät seurantayhteiskuntaan. Jeremy Benthamin 1700-luvulla ideoimassa Panopticonissa voidaan seurata useita ihmisiä samanaikaisesti esim. työpaikalla tai vankilassa, jolloin kaikki olettavat, että heitä katsotaan koko ajan. Nykyverkko on Panopticon.
Meitä voidaan seurata jatkuvasti. Olemme verkossa rehellisiä, erityisesti hakukoneille, kysymme niiltä sellaistakin, mitä emme kysyisi yhdeltäkään elävältä ihmiseltä. Tyypillinen Google-haku on: ”Pitäisikö kertoa tyttöystävälle, että kävin vieraissa?” Toisaalta ihmiset itse sensuroivat omaa toimintaansa, ettei siitä jäisi jälkiä verkkohistoriaan.
Yhdysvaltalaiset eivät toimi verkossa yksin; verkkotoimintakyky on mahdollista melkein mille tahansa valtiolle. F-Securen laboratoriossa on tutkittu viime aikoina useita Venäjältä levitettyjä haittaohjelmia, jotka voidaan luokitella valtiollisiksi hyökkäyksiksi. Esim. Hawkes etsii aktiivisesti teollisuusautomaatiojärjestelmiä. BlackEnergy-haittaohjelmaa on löydetty Ukrainasta ja Puolasta. Tällä viikolla julkaistiin Dark hotel -haittaohjelma, jolla on saastutettu hotellien wifiverkkoja eri puolilla maailmaa; kone saastuu, jos asiakas päivittää ohjelmistonsa hotellin saastuneessa wifiverkossa. Tänään julkaistaan Tor-verkkojen exit node -solmujen automaattiseen saastuttamiseen tarkoitettu valtiollinen haittaohjelma.
Keskustelua
Suomi on vuonna 2014 poikkeuksellinen maa, jossa viranomaisella ei ole oikeutta seurata nettiliikennettä, ainoastaan radioliikennettä. Selvää on, että lakimuutosta tarvitaan ja se tulee, mutta laki pitää valmistella hyvin ja sen pitää olla läpinäkyvä.
Liikuntamittarit ja luottokortit keräävät tietoa ihmisen ostoksista ja käyttäytymisestä. Mihin tietoja käytetään? Markkinointiin? Vakuutusyhtiölle? Mitä ihmisen pitäisi tehdä, jos hän ei haluaisi antaa näitä tietoja vakuutusyhtiölle tai tuleva työnantajalleen? Googlen toimitusjohtaja on sanonut: ”Älä tee sellaista, mistä et halua jäädä kiinni.” Teknologian ansiosta ihmisten seuraaminen on ensimmäisen kerran historiassa todella helppoa. Esimerkiksi iPhonen uuteen päivitykseen tulee askelmittari automaattisesti – tosin se ollut jo iPhone 6:ssa, se ei vain ole näkynyt. Ostammeko Alkosta luottokortilla vai käymmekö pankkiautomaatilla ennen kuin menemme kauppaan? Usein myymme omat tietomme mukavuutemme takia.
Miten suojautua kustannustehokkaasti, kun valtiohallinto leikkaa kuluja? Joka organisaation pitäisi tehdä oma riskianalyysinsä. Esimerkiksi naapurikorttelin pizzerian ei ehkä tarvitse pelätä valtiollisia hyökkäyksiä, mutta maksujärjestelmänsä sen pitää suojata.
Yhteistyö perustuu luottamukseen. Jos ei ole vedenpitäviä todisteita, on vaikea syyttää ketään. Yllätyksiä on ollut, esimerkiksi Englannin tiedustelu on jäänyt kahteen kertaan kiinni hakkeroinnista Belgiassa ja Saksassa. Vielä kymmenen vuotta sitten tällainen olisi ollut tieteisfiktiota.
Miksi verkkorikollisuutta ei saada kuriin? Puuttuu osaamista, koska osaavimmat henkilöt rekrytoidaan yksityiselle puolelle, mikä näkyy meillä ja muualla. Verkkorikollisuus on kriminalisoitu nykyisin kaikissa maissa. Puolustusvoimat, operaattorit ja Kyberturvallisuuskeskus tekevät yhteistyötä, mutta Suomessa ei ole yhteistä kansallista valvontaa.
Jos jokin haittaohjelmia tuottava verkkopalvelu maailmalta pitäisi saada alas, niin pystyisikö Suomen Kyberturvallisuuskeskus siihen? Strategiassa on tunnistettu tärkeitä asioita, mutta riittävätkö resurssit niiden toimeenpanoon?
Virossa kootaan kyberpuolustukseen vapaaehtoisia asiantuntijoita siiviilitehtävistä. Suomessa taas puolustusvoimat hyödyntää reserviläisiä ja valmistelee varusmiesten kyberjoukkojen koulutusta.
Mitä järjestöt voisivat tehdä? Ennen oli kodinturvajoukot, nyt tarvittaisiin kodin tietoturvajoukkoja.