Vaikutan valtiolla: Tietoturva nyt - kaikkea muuta kuin tylsää paperinpyörittelyä!

Vaikutan valtiolla -juttusarjassa esitellään mielenkiintoisia valtion työtehtäviä ja tekijöitä. Valtion työnantajat voivat lähettää juttuja Valtiolle.fi:n toimitukselle osoitteeseen valtiorekrytoint(at)valtiokonttori.fi. Jutut julkaistaan Valtiolle.fi-sivustolla ja jaetaan Valtiolle.fi:n some-kanavissa.

Viestintäviraston johtava asiantuntija Kauto Huopio on työssään huomannut, että virkamiehen uraan kohdistuvat ennakkoluulot ovat turhia. Vauhtia ja tekemistä on riittänyt jo yli 15 vuotta. Tässä artikkelissa Kyberturvallisuuskeskuksen Huopio muistelee menneitä, mutta pohtii myös tulevaa.

Virkamiesura Viestintävirastossa voi olla monelle nörttihenkiselle säätäjälle kauhistus. CERT-toiminta ja kybermaailman vaihtuvat ilmiöt ovat kuitenkin pitäneet Kyberturvallisuuskeskuksen johtavan asiantuntijan Kauto Huopion liikkeessä. Tylsä paperinpyörittely on ollut kyberammattilaisen töistä kaukana. Koskaan ei tiedä, mitä päivä tuo tullessaan.

Alku

Reilut viitisentoista vuotta sitten sain entiseltä kollegaltani vinkin. Viestintävirasto oli käynnistämässä CERT-tomintaa ja tiimiin kaivattiin internetiä tuntevaa henkilöä. Asia kiinnosti, kovastikin. Olin silloisessa työpaikassani KPNQwest-operaattorin verkko-operointiryhmässä ollut tekemisissä turvallisuus- ja tietoturvakysymysten kanssa.

Viimeinen sykäys kohti virkamiesuraa CERT-FI:ssä oli New Yorkin surulliset tapahtumat syyskuussa 2001. Harva tiesi, kuinka merkittävä paikka terrori-iskujen kohteena olleet kaksoistornit lähirakennuksineen olivat tietoliikenteen toimivuuden kannalta. Suuri osa Atlantin alittavasta tietoliikennekapasiteetista oli sijoitettu Yhdysvalloissa juuri Manhattanin eteläosiin.

Iskujen jälkeen internet "hätäreititettiin uusiksi", eikä silloin katsottu, kuka oli kilpailija. Kansainvälisten operaattoreiden rivakalla yhteistyöllä tilanteesta selvittiin kohtalaisen hyvin, mutta tapahtuma jäi vahvasti mieleen. Internet jos mikä on kriittistä infrastruktuuria, ja sen suojaamisessa halusin olla mukana.

Onkos meillä kontakteja Argentiinassa?

Heti alusta oli selvää, että meidän CERT-FI:ssä oli mentävä täysillä mukaan tiiviiseen kansainväliseen yhteistyöhön. Internetissä palvelunestohyökkäyksiin käytetyn botnet-verkon komentopalvelin voi olla yhtä hyvin Salossa kuin Sao Paolossa.

Verkottuminen oli lähes elintärkeää pienen maan CERT-toimijalle. Verkottuminen tarkoitti - ja tarkoittaa yhä - paljon matkustamista, tapaamisia, kokouksia ja ison pinon käyntikortteja.

Suomella on tietoturvapiireissä todella hyvä maine: pidämme omat verkkomme kunnossa ja reagoimme kollegoidemme tukipyyntöihin viipymättä. Panostaminen yhteistyösuhteisiin tuottaa hyvää korkoa tilanteissa, joissa me tarvitsemme pikaisesti apua kollegoiltamme maailmalta.

Eipä ole juuri maita, joiden kansallisiin CERT-toimijoihin meillä ei olisi toimivia suhteita. Viime vuosien aikana yhteistyö on tiivistynyt entisestään, erityisesti vakavien tietoturvauhkien seurannassa ja selvittelyssä.

Ei kahta samanlaista päivää

Omaan toimenkuvaani kuuluu toimia vuorollani tilannekuvakoordinaattorina. Usea työpäivä on päättynyt vuosien aikana toisin kuin aamulla on suunnitellut. Erityisesti vakavista tietoturvauhkista julkaistavat varoitukset aiheuttavat lisää vipinää. Varoituksen julkaiseminen on tiimityötä. Mukana on henkilökuntaa tietoturva-asiantuntijoista viestintäammattilaisiin.

Erityisesti lämmittävät tilanteet, joissa vakavan tietoturvaloukkauksen kohteeksi joutunut organisaatio on ottanut yhteyttä ja olemme voineet olla avuksi. Näissä tapauksissa suuri työ on tehty organisaation johdossa, jossa on nostettu "käsi pystyyn" ja todettu, että nyt tarvitaan apua tai että meillä on tietoja, joista muut voisivat hyötyä. Monelle tuo hyppy on ollut iso, varsinkin ensimmäisellä kerralla.

Tietoturvaloukkausten uhreiksi päätyvät kaikenlaiset organisaatiot. Yhteydenotto Viestintäviraston Kyberturvallisuuskeskukseen ja asioiden perusteellinen selvittäminen todella kannattaa. Samalla voi auttaa tilannetta seuraavia tietoturvaviranomaisia tunnistamaan uusia uhkia.

Paljon on muuttunut

Kun tulin taloon, 3G-verkot ja internetpalveluiden mobiilikäyttö älypuhelimineen olivat vielä insinöörien piirtämiä tulevaisuuden visioita. Koko nykyinen sosiaalinen media on muodostunut viimeisen 10 vuoden aikana. Internetliikenne kasvaa yhä voimakkaasti, etenkin kun videopalveluista on kyse. Vuonna 2002 edes oma kohtalaisen vilkas mielikuvitukseni ei osannut ennustaa, että 15 vuotta myöhemmin voisin katsoa HD-laatuista kuvaa jalkapallon MM-kisoista mökillä keskellä Saimaata, langattomalla 4G-yhteydellä.

Yhteiskunta on verkottunut todella vinhaa vauhtia. Uudet palvelut ovat syrjäyttäneet vanhoja "manuaalisia" menetelmiä. Hyvin monien organisaatioiden toiminta perustuu lähes täysin toimiviin sähkö ja verkkoyhteyksiin. Varautuminen toimitushäiriöihin on usein jopa pelottavan pintapuolista, poikkeusoloista puhumattakaan. Olemme tottuneet, ehkä myös tuudittautuneet siihen, että sähköt ja tietoliikenne toimivat varmasti ja sujuvasti. Mutta kuinka moni toimivasta internetistä riippuvainen organisaatio on esimerkiksi huolehtinut asianmukaisista varayhteyksistä?

Terve epäily ja tarkistetut faktat vievät pitkälle

Tiedonvälityksen vauhti kiihtyy yhä, mikä on tuonut mukanaan jatkuvan uutiskilpailun. Tämä näkyy myös Kyberturvallisuuskeskuksessa, jossa päivystäjät saavat viikossa lukuisia mediayhteydenottoja. Erityisesti olen oppinut arvostamaan toimittajia, joilla on kiireessäkin halua tarkistuttaa jymykyberskuupin faktat. Kovalta kuulostavan jutun perusta on joskus ollut pakko laittaa säpäleiksi faktojen puutteissa. Siitä pahoittelut!

Kaiken uuden teknologian vyöryn keskellä suomalainen netinkäyttäjä tuntuu pitäneen päänsä kohtalaisen kylmänä. Älypuhelimillakin surfatessa tietoturvan perusasiat ovat pysyneet mielessä. Laitteet osataan pitää ajantasaisina ohjelmistopäivityksillä. Ihan kaikkia sähköpostissa olevia mainoslinkkejä ei myöskään klikata. Terve epäilys on hyvä perusta monessa nettiin liittyvässä asiassa.

Suomalaisten verkkojen tietoturvatilanne on ollut useissa kansainvälisissä vertailuissa aivan kärkipäässä. Tämä ei tarkoita, että voisimme hellittää - hetkeksikään. Vaikka kotipesä on puhdas, koko muu maailma on kiinni omissa verkoissamme kellon ympäri.

Esineiden internetin tulevaisuus huolettaa

Esineiden internet (Internet of Things, IoT), toisin sanoen laitteiden kytkeminen osaksi verkkoa, on kehityksensä alkuvaiheessa. IoT-laitteiden tietoturvastandardointi- ja suosituskäytännöt ovat vasta muotoutumassa.

Tilanne näyttää huolestuttavalta, sillä markkinoilla olevien ja sinne tulevien laitteiden perustietoturvassa on selviä puutteita. Esimerkiksi verkkokameroiden ohjelmistopäivitykset ovat usein monimutkaisempia kuin itsepäivittyvät älypuhelimet. Laitteiden suuri määrä tekee niistä houkuttelevia ja potentiaalisia välineitä käytettäväksi esimerkiksi palvelunestohyökkäyksissä.

Turvallisuuden kannalta vastaan voi tulla vaikeitakin haasteita esimerkiksi kotiautomaatiojärjestelmissä ja internetverkotettujen autojen ensimmäisissä sukupolvissa. Itse näen kuitenkin valon kajastusta tunnelin päässä. Toivottavasti päättäjillä, vähintään Euroopassa, riittää rohkeutta tarttua toimeen.

Mitä odotettavissa seuraavan 15 vuoden aikana?

Kiinnittäisin erityistä huomiota muun muassa energian, veden ja eri liikennevälineiden verkkoratkaisuiden suojaukseen, sillä uskon, että tulemme näkemään ensimmäisen suuren kyberonnettomuuden tai -sabotaasin jossain päin maapalloamme. Valitettavasti. Todennäköistä on myös, että kyberoperaatiot tulevat olemaan osa sodankäyntiä, koska kybervaikuttamisesta on jo tullut osa valtiollisten toimijoiden työkalupakkia, myös rauhan aikana.

Synkistelyn lisäksi näen kehityksessä myös valoisia puolia. Ajattelen, että esimerkiksi salaustekniikan kehityksen avulla yksityisyyden suoja on mahdollista säilyttää ratkaisuin, jotka ovat myös yksityishenkilöiden käytettävissä. Uskon myös, että esineiden internetin turvallisuus paranee merkittävästi muutaman vuoden etsikkoajan jälkeen.

Joka tapauksessa: tietoturva on äärimmäisen mielenkiintoinen ala, jossa kehitettävää ja tutkittavaa riittää. Jos opiskelualan valinta on ajankohtainen, tietoturva on aika varma valinta.

Tervetuloa joukkoon!

Kirjoittaja on Kauto Huopio, Viestintäviraston Kyberturvallisuuskeskuksen johtava asiantuntija.

(Artikkeli on julkaistu Viestintäviraston kotisivuilla helmikuussa 2017 osana Tietoturva nyt -teemaa, jossa kokeneet tietoturva-asiantuntijat ovat muistelleet uraansa Suomi100-juhlavuoden kunniaksi.)