Suomestako tietoturvan suojasatama?

Vuosi 2013 jää historiankirjoihin kyberturvan vedenjakajana. Tietomurtaja Edward Snowdenin paljastukset ovat käynnistäneet tietosuojakäytäntöjen siivoustalkoot kaikkialla.

5.12.2013

Teksti: Hannu Pesonen

Julkaistu yli kolme vuotta sitten

”Kyberturva on tänä vuonna tullut ryminällä ihmisten, yritysten ja valtioiden tietoisuuteen”, sanoo tietoturvayhtiö Stonesoftin kyberturvallisuusjohtaja Jarno Limnéll. ”Myös ainoa supervalta Yhdysvallat on määrittänyt sen keskeiseksi kansallista turvallisuutta uhkaavaksi tekijäksi.”

Suomi ei ole poikkeus. Ulkoministeriöön vuosia kohdistunut verkkovakoilu paljastui nololla tavalla. Vuoden aikana Suomeen on myös perustettu tietoturva-alan yritysten yhteistyöryhmä, laadittu ensimmäinen kansallinen kyberstrategia ja ryhdytty toteuttamaan sitä. On päätetty perustaa viranomaisille tilannetietoa tuottava kyberturvallisuuskeskus sekä yritysten ylläpitämä kyberlaboratorio, jolle luodaan valmius tarkkailla ja torjua verkkohyökkäyksiä. Jyväskylää rakennetaan kansalliseksi kyberosaamiskeskukseksi. Sen ytimessä ovat yliopisto ja ammattikorkeakoulu, jotka kouluttavat tietoturva-alan tutkijoita ja ammattilaisia.

Uhkia tietoturvaan aiheuttavat aatteelliselta pohjalta verkkohyökkäyksiä tekevät ”haktivistit”, yhä enemmän bittien maailmassa viihtyvä järjestäytynyt rikollisuus sekä uusimpana valtiot.

”Valtioiden mukaantulo korostetusti viime vuosina on muuttanut pelin henkeä. Kaikki käyrät näyttävät, että tietoverkoissa tapahtuvan rikollisuuden, vakoilun ja haitanteon määrä lisääntyy, samoin kilpavarustelu”, sanoo Limnéll. ”Uskon vahvasti, että päinvastoin kuin Snowden toivoi, paljastukset eivät johda avoimempaan yhteiskuntaan vaan valvontakulttuuri monimutkaistuu entisestään.”

Limnéll on entinen aktiiviupseeri, joka on väitellyt sotatieteiden tohtoriksi Maanpuolustuskorkeakoulusta strategian alalta ja toiminut sen strategisten turvallisuuskysymysten asiantuntijana. Hän kuvaa kybermaailmaa ”sodankäynnin viidenneksi ulottuvuudeksi”. Ne perinteisemmät ovat maa, meri, ilma ja avaruus.

Bittiavaruuden taisteluissa maantieteelliset rajat ja etäisyydet katoavat. Keskeistä on osaaminen: pienikin taituri voi luoda iskukyvyn, jota suurvallalla ei ole. Tuorein esimerkki on marraskuulta: verkkorikolliset onnistuivat hetkeksi kopioimaan Meksikon ja Pohjois-Amerikan välillä kulkeneen tietoliikenteen ja kierrättämään sen Valko-Venäjän kautta.

Vastustajan vaarallisuutta on paljon vaikeampi arvioida kuin perinteisessä sodankäynnistä. Limnéll muistuttaa, että Syyrian hallintoa tukeva ”Syyrian elektroninen armeija” on viime aikoina kaatanut yhdysvaltalaismedioiden verkkosivuja. Se uhkaa laajemmilla iskuilla, mutta kukaan ei tiedä, onko sillä kykyä niihin.

’Kyberturvallisuus” kuulostaa Tähtien sodalta. Käytännössä se tarkoittaa toimia, joilla kuka tahansa tietoverkkojen käyttäjä valtiosta kansalaiseen voi suojautua hyökkäyksiltä.

”Kyber on Yhdysvalloista lähtöisin oleva lobbaustermi. Epämääräisellä ja pelottavalla sanalla on haettu toimintaresursseja turvallisuusvirasto NSA:lle, armeijalle ja viranomaisille, vaikka suuri osa verkkohyökkäyksistä ei ole luonteeltaan sotilaallisia”, sanoo monialayhtymä Metson tietoturvasta vastaava Jouni Auer.

Tietopääomaan liittyvä rikollisuus kukoisti jo kun tieto varastettiin papyrusrullalta tai savitaululta.

”Vakoilun siirtyminen verkkoon on vain luonnollista kehitystä koska arkielämä, tieto ja yhteiskunta toimivat entistä enemmän digitaalisessa muodossa”, Limnéll sanoo.

Tietoturva onkin kautta aikojen rakentunut ennen kaikkea organisaation tai yksilön kyvystä ja halusta omaksua keskeiset suojatoimet.

Monen pitkän linjan tietoturva-ammattilaisen mielestä suomalaisten yhtiöiden ja valtionlaitosten keskivertokyky tällä saralla ei ole tarpeeksi hyvä. Korjattavaa on perusasioissakin.

”Tarve kustannussäästöihin ajaa turvattomiin ratkaisuihin. Kun tietotekniikkaa hankitaan, ei se palvele tarkoitustaan koko oletettua käyttöikäänsä”, Auer sanoo.

Limnéllin mielestä tärkeä tapa lisätä yhteiskunnan turvaa ja puolustuskykyä onkin lisätä yleistä tietoisuutta tietoturvariskeistä.

”Turvataso nousee paljon jos yritys huolehtii virustorjuntaohjelmien päivityksistä tai siitä, etteivät työntekijät laita vieraita muistitikkuja koneisiinsa. Ei auta, että organisaatiolla on kymmenien miljoonien eurojen suojausjärjestelmä, jos yksi henkilö voi romuttaa koko sisäverkon.”

Vakoilijat yrittävätkin yleensä organisaation sisään yksittäisiin henkilöihin kohdistetuilla räätälöidyillä hyökkäyksillä, Auer muistuttaa. Liiketulosta tai kilpailutarjousta kaivellaan esiin vaikkapa etsimällä ensin Linkedin-sivustosta joku talousjohtajista. Hänelle lähetetään pdf-tiedostoon kätketty haittaohjelma, joita on tarjolla runsaasti. Kun ohjelma tietää mitä etsiä, se voi lähettää esimerkiksi kaikki taulukkolaskentatiedostot salattuna liikenteenä nettiin.

”Haittaohjelmille saa jopa käyttötuen ja toimintatakuun. Valtaosa niistä jää huomaamatta virustorjuntaohjelmilta, jotka etsivät pääasiassa massaviruksia”, Auer sanoo.

Turvariskejä lisää se, että jo lähes 80 prosenttia tietoteknologian investoinneista on sidoksissa pilvipalveluihin. Tieto kelluu bittiavaruudessa, jota hallinnoi ulkopuolinen säilyttäjä. Yrityksellä tai yhteisöllä ei ole käytännössä mahdollisuuksia vaikuttaa tapaan, jolla ylläpitäjä tätä tietoa suojaa tai käyttää.

Pilvipalvelualaa hallitsevat yhdysvaltalaisyritykset. Snowdenin, Julian Assangen ja Bradley Manningin paljastusten seurauksena niiden kuitenkin arvioidaan menettävän kolmen tulevan vuoden aikana 20–25 miljardia euroa kilpailijoilleen. Yritysten tietoturvaan ei luoteta, koska niiden oletetaan toimivan yhteistyössä Yhdysvaltain viranomaisten kanssa.

Käynnissä on jo ”käänteinen Kiina-ilmiö”, Limnéll sanoo. Tietoturvayritykset siirtävät toimintaansa halpatuotantomaista takaisin safe haveneihin, vakaisiin ja turvallisiin toimintaympäristöihin. Hänen mielestään se tarjoaa Suomelle juuri nyt ainutkertaisen tilaisuuden kääntää uhat mahdollisuuksiksi.

Se edellyttää 3–4 vuoden sisällä toteutettavaa ”mahdollisuuksien kyberstrategiaa”, joka ohjaisi puolustus-, yritys- ja koulutusalat korjaamaan ilmiöstä taloudellista hyötyä.

Tietotekniikan alan yritysten etujärjestö Teknologiateollisuus ry on tarttunut toimeen. Se on perustanut tietoturva-alan yhteistyöryhmän FISC:in, johon kuuluu noin 40 tietoturvan eri osa-alueiden yritystä. Niistä kootaan yhteenliittymää, joka pystyisi kilpailemaan kansainvälisten suuryritysten kanssa.

”Suomi mielletään läntiseksi mutta sotilasliitoista riippumattomaksi maaksi, jossa on korkeaa tietoturva-alan osaamista”, sanoo FISC ry:n toiminnanjohtaja Juha Remes. ”Lainsäädäntö ei ohjaa tietoa viranomaisten luettavaksi eikä sitä toimiteta automaattisesti amerikkalaisille. Eikä Tekes opasta yrityksiä tekemään ohjelmiinsa aukkoja, joita valtio voi käyttää omaan urkintaansa.”

”Mutta ainakin 10–15 maata tavoittelee samaa kuin Suomi. Vaarana on, että tyypilliseen tapaan tehdään hyviä raportteja, mutta toteutukseen ei riitä pääomia. Jos yhteiskunnan tietoturvan kohentaminen ei ole ensi vuoden loppupuolella täydessä vauhdissa, muut kopioivat ideamme ja korjaavat hedelmät.”

Ulkoministeriön vakoilutapaus haittaa ainakin tilapäisesti aikeita markkinoida Suomea kyberyhtiöiden turvasatamana. Auerin mielestä tietoturvaa ei muutenkaan voi myydä maabrändillä.

”Eihän turva rajoitu maarajojen sisälle. Kun ostetaan tietoverkkoa, ostetaan pitkä pätkä tietoliikennettä halki Euroopan ja valtamerien. Sekä käytetään Kiinassa tai Yhdysvalloissa kehitettyä ja valmistettua teknologiaa, jonka syvimmästä sielunelämästä ei kukaan tiedä ja uskalla panna päätään vadille.”

Suomen kyberturvallisuudesta vastaa hallitus ja kyberpuolustuksesta puolustusvoimat, määrittää tammikuussa julkaistu valtion kyberturvallisuusstrategia. Se on ensimmäinen virallinen yhteenveto siitä, miten Suomen pitää tulevaisuudessa varautua ja vastata tietoturvauhkiin. Viesti on, että kaikkien hallinnonalojen ja yksityissektorin on omaksuttava samat toimintamallit. Strategian toimeenpano-ohjelma on jo käynnistynyt.

”Suojautumisen osalta kokonaisuus on yhtä vahva kuin heikoin lenkki. Tässä suhteessa tilanteemme ei ole hyvä”, sanoo kyberstrategian laatimista vetänyt puolustusministeriön kansliapäällikkö, kenraaliluutnantti Arto Räty. ”Valtiohallinnossa on useita erilaisia rakenteita, joita nyt yhtenäistetään. Kehitettävää on paljon, mutta tämä on oikea tie.”

”Tarvitaan myös lainsäädäntöä, joka luo kattavat edellytykset ennakoida ja tarvittaessa reagoida uhkatilanteisiin”, Räty sanoo.

”Sen kehittämisessä on kuitenkin edettävä harkituin askelin koska yksilön oikeudet ovat suomalaisille tärkeitä. Mutta on muistettava, että vain selkeä lainsäädäntö luo turvallisen digitaalisen ympäristön yksilölle.”

Suomeen kohdistuvien kyberuhkien torjumiseksi pitää lisätä kykyä verkkovalvontaan ja -tiedusteluun, Räty sanoo.

”Nythän meillä ei ole sotilastiedustelulakia eikä siviilitiedustelua sanan varsinaisessa merkityksessä.”

Tiedustelu ei ole Suomen kaltaiselle maalle yksilöiden urkkimista, vaan ennakkovaroituksen saamista, Räty korostaa.

”Verkkovalvonta on kuin rajavalvonta merellä, maalla ja ilmassakin: valvotaan mitä Suomeen tulee, täältä lähtee ja kauttamme kulkee. Ei kukaan halua lukea kansalaisten sähköposteja – tärkeää on rakentaa filtteri, johon lika tarttuu.”

Nyt lika ei tartu. Ulkoministeriöön kohdistunut useita vuosia jatkunut tietomurto oli kouluesimerkki ammattimaisesta verkkovakoilusta. Sen työkaluna toimi valtiollisten vakoiluelinten laajalti käyttämä APT 1-mallinen kyberhyökkäyksiin suunniteltu ohjelma. Vakoilun on kerrottu paljastuneen vasta Ruotsin turvallisuusviranomaisten vihjeestä.

Koska puolustusministeriön kansliapäällikkö itse sai tietää ulkoministeriön tietomurrosta?

”Riittävän ajoissa”, Räty vastaa.

”Mutta tapaus osoitti, että viranomaisten on saatava tietoa entistä nopeammin ja se on analysoitava aiempaa tehokkaammin. Emme voi luottaa, että jotkut toiset kertovat meille mitä järjestelmissämme tapahtuu. Se ei anna uskottavaa kuvaa valtiostamme”

Kiinan kybersotilaat

Kiinassa on noin 120 000 kybersotilasta, arvioi yhdysvaltalainen konsulttiyhtiö Mandiant. Se on julkaissut ensimmäisen yksityiskohtaisen raportin Kiinan järjestelmällisestä verkkourkinnasta.

Raportti kattaa yli 140 kyberhyökkäystä, joiden tekijäksi Mandiant epäilee Kiinan kansanarmeijan yksikköä 61398. Hyökkääjää kutsutaan raportisssa nimellä APT1. Se on tehnyt iskuja länsimaisiin yrityksiin, laitoksiin ja yhteisöihin vuodesta 2006 lähtien.

Mandiant on rakentanut muotokuvan myös APT1:n kolmesta keskeisestä kyberhyökkäysten johtajasta: ”Ugly Gorilla”, ”DOTA” ja ”SuperHard”.

APT1 on vuosien mittaan hionut mallin, joka mahdollistaa laajojen ja arvokkaiden tietopääomien kaappaukset. Se varastaa tuotesuunnittelutietoja, tuotantokaavioita, testituloksia, toimintasuunnitelmia, hinnoitteluarvioita, kumppanuussopimuksia sekä yhtiön johdon sähköposti- ja kontaktitietoja. Verkkohyökkäyksissään se käyttää työkaluja, joita kellään muulla ei tiettävästi ole. Niitä ovat sähköpostien sieppausjärjestelmät Getmail ja Mapiget.

APT1 on kyennyt pysymään uhrinsa tietoverkossa keskimäärin 356 päivää.

Paraikaa APT1 hyökkää yli tuhanteen palvelimeen maailmalla. Niistä 87 prosenttia on englanninkielisissä maissa, pääasiassa Yhdysvalloissa.

Metso-konsernin it-turvallisuudesta vastaavan Jouni Auerin mielestä Kiinan verkkovakoilu muodostaa ulkomaisille yrityksille kasvavan uhan.

”Resursseja on valtavasti. Aiemmin idässä on lähinnä kuunneltu ja analysoitu verkkoja, mutta painopiste on vaihtumassa. Monet komponentit tehdään jo Kiinassa, joka omistaa myös kannettavien Lenovo-tietokoneiden tuotemerkin. Se mahdollistaa takaporttien tekemisen, jos siihen on tahtoa.”

Kiinassa toimivien tietotekniikan alan länsiyritysten on myös vaikea suojautua. ”Ne ovat käytännössä kiinalaisen kanssa toimivia yhteisyrityksiä, joiden konesaleissa on vain kiinalaisia. Eikä Kiinassa voi ostaa tietoliikennekuitua paikasta toiseen, vaan yritys ohjataan käyttämään kiinalaista operaattoria.”

Hannu Pesonen

Ilmoita asiavirheestä