Digitalia osallistui Tivin järjestämään Digital & Cyber Security 2017 – tietoturvaseminaariin, joka pidettiin 23. marraskuuta Helsingissä.
Paikalla olleiden toimijoiden lisäksi sadat muutkin tarjoavat tietoturvaratkaisuja, mutta mistä tiedämme, kuka on luotettava? Markkinointihenkilöiden puheisiin ei kannata luottaa. Paikalla olleet mm. dissasivat kilpaa perinteisiä virustorjuntaohjelmistoja ja ei-älykkäitä palomuuriratkaisuja.
Aalto-yliopiston kyberturvallisuuden professori Jarno Limnéll piti tilaisuuden avauspuheenvuoron teemalla Kyberturvallisuuden tilannekuva 2020. Teknologia ja sen turvallisuus on ydinkysymys, kun digitaalisuus ja fyysinen maailmaa yhdistyvät. Internetiin yhdistettävien laitteiden määrä kasvaa räjähdysmäisesti IoT:n myötä.
Eettiset ja moraaliset kysymykset ovat tärkeitä tulevaisuuspohdinnoissa, koska digitaalisuus mahdollistaa monia uusia ominaisuuksia eri koneissa ja laitteissa. Darwinin teoria pätee edelleen myös teknologian kehityksessä ja toimintaympäristön muutoksessa: selviytyjiä ovat ne, joilla on paras kyky sopeutua muutokseen.
Miten perustuslain 7 § ”Oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen” toteutuu teknologian aikakaudella, Limnéll kysyi. Lopuksi hän viittasi Darpan raporttiin vuodelta 2002. Jo tuolloin todettiin, että ihmisistä on kovaa vauhtia tulossa puolustusjärjestelmien heikoimpia lenkkejä. Allekirjoittaneiden mielestä tästä lausahduksesta ei teoriassa ole enää kovinkaan pitkä matka ”Skynet”-järjestelmän syntymään.
Yksi esille nostamisen arvoinen aihe oli Outokummun käyttämä huijausviestisimulaatio. Sähköposti on selkeästi suosituin hyökkäysmenetelmä yrityksiä ja käyttäjiä vastaan. Usein sähköpostihyökkäykset ovat kalasteluviestejä. Huijausviestisimulaatiolla käyttäjien tekemien virheiden ja vaarallisten klikkauksien määrää saatiin 15 simulaatiokierroksella pudotettua jopa 50 %. 19.10.2017 alkaneeseen todelliseen huijausviestihyökkäykseen ensimmäiset käyttäjät reagoivat alle viidessä minuutissa ja ilmoittivat siitä tietohallinnolle.
Samaa aihetta sivuttiin myös muissa puheenvuoroissa, ja alleviivattiin kriisitilanteiden harjoittelua. Esimerkkitilanteena mainittiin kiinteistöautomaation järjestelmään kohdistunut palvelunestohyökkäys, joka oli katkaissut lämmöt kahdesta kerrostalosta.
Puheenvuoroissa käytiin läpi tietoturvallisuuden riskitekijöitä, joista yleisimpiä ovat päätelaitteiden tietoturva, inhimilliset virheet ja tietosuoja. GDPR oli vahvasti esillä myös puheenvuoroissa. Muun muassa Jukka Lång valotti tilannetta ja kertoi samaan aikaan vaikuttavista mutta vähemmälle huomioille jääneistä NIS-direktiivistä ja tiedustelulainsäädännöstä. Myös datan luotettavuuden todentaminen on tärkeää, jotta muunneltu tieto ei ohjaa vääriin johtopäätöksiin.
Seminaarin päättäneessä Cambridgen yliopiston Ross Andersonin keynote-puheenvuorossa maalailtiin erinäisiä piruja seinille. Jeep Cherokee hakkeroitiin etänä Chryslerin uconnect -ohjelmalla, autojen ohjelmistoja ei paikata niin helposti kuin PC:n käyttäjärjestelmää, CO2-skandaali oli lähtöisin sisäpuolelta, 2000 ihmistä kuolee brittisairaaloissa vuosittain tietoteknisten laitteiden käytettävyysongelmien vuoksi, sovelluspäivitykset voivat rikkoa olemassa olevan sertifioinnin, pelkkä IP-osoitteen tietäminen voi riittää tiettyjen laitteiden hallintaan, koska DNP3-protokolla ei tue autentikointia. Puheenvuoro ei oikein täyttänyt tarkoitustaan. Vastauksia ongelmiin Anderson ei antanut, mutta arveli, että viiden vuoden sisällä EU saattaa vaatia autonvalmistajia takaamaan ohjelmistopäivitykset esim. 20 vuotta eteenpäin.
Viestintäviraston kyberturvallisuuskeskus varoittaa tietoturvailmiöistä aihetunnisteella #kybersää.
Teksti: Anssi Jääskeläinen ja Liisa Uosukainen, Digitalia