Kummasta pidät enemmän: historiasta vai tulevaisuudesta? Vai oletko nykytilanteeseen keskittyvä realisti? Vanha viisaus on, että pitää tuntea historiaa ymmärtääkseen nykyaikaa ja osatakseen ennustaa tulevaisuutta. Mutta päteekö se alati kehittyvän ICT-teknologian tarjoamien palveluiden ja turvallisuuden osalta? Mielestäni ei.

Historia voi vääristää ja luoda mielikuvia

Mielestäni vaarana on, että ICT-teknologian historiallisiin ratkaisuihin tukeutuminen luo liian samankaltaisia ratkaisuja ja palveluita, joilla ”ICT-esi-isämme” ratkoivat oman aikansa ongelmia, joilla ei kuitenkaan ole enää suurta merkitystä. Pitäisikin ennemmin katsoa tulevaisuuteen avoimin mielin vapaasti laatikon ulkopuolelle innovoiden, jotta pystyisimme luomaan niitä kuuluisia killer-appeja. On siis tartuttava hetkeen ja tilaisuuteen. Ja tämä koskee ennen kaikkea kaikkia turvallisuutta edistäviä innovaatioita.

Tulevaisuus pelottaa!

Seison yleensä kahdella jalalla – toinen uppoaa teknologiasuohon ja toinen turvallisuusmaailman hetteikköön. Katsoessani ympärillä vallitsevaa teknologiaa, jota voi kutsua myös kybertoimintaympäristöksi, ja arvioidessani sen uhkia, voin hyvin helposti todeta, että tällä kehityksellä olemme alle kymmenessä vuodessa todella *suurissa* ongelmissa. Miten niin? Saamme nykyisin yhä useammin lukea merkittävistä tieto- tai kyberturvallisuutta koskevista poikkeamista, jotka ovat aiheuttaneet merkittävää vahinkoa organisaatioille ja niiden asiakkaille joko taloudellisesti tai muussa mielessä, esimerkiksi maineen tai luottamuksen menettämisenä, pahimmillaan ihmishenkien menetyksenä. Vuonna 2016 tietomurtojen määrä kasvoi 40%, ja vuosi 2017 näyttää yhä synkemmältä (www.identityforce.com/blog/2017-data-breaches). Entäpä jos tämä kehitys jatkuu kiihtyvänä

Kybermyrskyt tulevat yltämään myös Muumilaaksoon

Edelliset esimerkit ovat lähes kaikki Yhdysvalloista tai siellä toimivista yrityksistä. Mutta myös Suomessa on koettu ongelmia, ennen kaikkea lunnashaittaohjelmien (ransomware) sekä osin palvelunestohyökkäysten muodossa. Jos joku vielä kuvittelee, että meille Muumilaaksoon eivät kybermaailman myrskyt yllä, tämä harhaluulo kannattaa nopeasti karistaa harteilta.

Suomi pärjää globaalisti hienosti tieto- (www.microsoft.com/en-us/security/Intelligence-report) ja kyberturvallisuuden (www.itu.int/pub/D-STR-GCI.01-2017) erilaisissa mittareissa. Valitettavasti tämä saattaa luoda illuusion siitä, että meillä menee hyvin, koska eihän meillä tapahdu – julkisuuteen päätyviä – tietomurtoja.

Presidentti Trumpin toteamus Suomen erinomaisuudesta kyberturvallisuudessa kannattaa ottaa kohteliaisuutena. Olemme kärkijoukoissa, mutta emme ole edelläkävijöitä.

Jokaisen organisaation tulee tunnistaa oman toiminnan osalta digitaalisen liiketoiminnan kriittisyys ja sen mukaisesti priorisoida tämän kokonaisuuden turvallisuuteen liittyviä panostuksia. Se, että organisaatiossa ei ole vielä sattunut mitään, ei ole peruste jäädyttää tieto- ja kyberturvallisuuden kehittämistä ja panostuksia. Koska rikolliset keksivät koko ajan yhä edistyksellisempiä keinoja, organisaatiosi pitää myös jatkaa näiden asioiden kehittämistä.

Tietoverkko- ja kyberrikollisuus – tuotteistettu palvelukokonaisuus

Tietoverkko- ja kyberrikollisten menestys pohjautuu mahdollisuuteen hyödyntää ja kohdistaa toiminta perinteisestä kivijalkarikollisuudesta eli analogiajan ja manuaalisesta rikollisuudesta digitalisoiduksi, automatisoiduksi hyvin johdetun liiketoiminnan kaltaiseksi toiminnaksi. Rikolliset ovat erittäin tehokkaasti toteuttaneet omat alamaailmansa palvelut.

Jos me olemme ulkoistaneet palvelumme SaaS- ja pilvipalveluiden avulla, rikolliset ovat tehneet saman esimerkiksi CaaS – crime as a service palveluilla. Tietoverkkorikollisuus on tehty hyvin helppokäyttöiseksi, jolloin näiden palveluiden käyttäjälle saattaa jopa tulla tunne, että eihän tässä ole mistään rikollisesta kyse.

Tarvitsemme turvallisuuden digitalisaatiota

Onko tämä nyt sitä kuuluisaa turvallisuudella pelottelua? Kyllä, pitää paikkansa, mutta ennen kaikkea turvallisuuden kehittäminen tulee nähdä digitaalisten palveluiden mahdollistajana. Jos emme kykenisi esimerkiksi rajaamaan käyttöoikeuksia, salaamaan tietoliikennettä, keräämään lokeja, tunnistamaan käyttäjiä, huolehtimaan tietoturvapäivityksistä, kahdentamaan tai muuten parantamaan kriittisten palveluiden korkeakäyttöisyyttä – joutuisimme palaamaan MTK:n aikakaudelle – siis manuaaliseen tietojenkäsittelyyn.

Se, mihin meidän täytyy seuraavaksi kyetä, on näiden (tieto)turvatoimintojen digitalisaatio. On haettava uusia, osin disruptiivisia keinoja uusia toiminnan turvaksi laadittuja kontrolleja ja muita teknisiä ratkaisuja. Tässä automatisaatiolla, ohjelmistorobotiikalla ja keinoälyllä tulee olemaan valtava merkitys, ja tässä, jos missä, on suomalaisella ohjelmistoteollisuudella ehdottomasti näytön paikka. Kun tähän yhdistetään esimerkiksi IoT-laitteiden ja verkkojen turvaamisessa piilevät miljardit eurot, mahdollisuuksia on sekä kehittää omaa turvallisuutta että luoda uusia palveluita.

Milloin meille tulevat oikeat turvarobotit? On totta, että kaupassa päivystävät ja kiertelevät söpöt lampaalta näyttävät turvarobotit eivät kuulosta katu-uskottavalta (vrt Schäfer), mutta tuon pörröisen robotin sisällä voi piillä kaiken näkevä, haistava ja tunnistava keinoäly, jota rikolliset eivät huijaa 🙂


Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää digitaalista turvallisuutta julkiseen hallintoon VAHTI-pääsihteerinä valtiovarainministeriössä. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään. Palaute: kimmo [ät] ict-tuki.fi