Puhutaan kyberonnistumisista – niitäkin löytyy

Kirjoitan nyt pitkästi koska on paljon asiaa.
Ensin: 500 000 järeän reitittimen kokoinen bottiverkko ja sen vakoiluohjelma koostuivat kolmesta komponentista: nettiliikennettä salakuuntelevasta osasta, sitten teollisia järjestelmiä ja sähköverkkoja vastaan suunnatusta moduulista sekä spesifistä tappokytkimestä.
Tämä tappokomento taas oli taiten koodattu rampauttamaan kaikki kaapatut laitteet ylikirjoittamalla niiden laiteohjelmistot. FBI USA:ssa syyttää kyberaseen organisoinnista Venäjää, mutta tieturvayhtiö Symatecin mukaan tällaisesta ei olisi todisteita.
Vaarallinen ase, jolla voi hyökätä yhteiskunnan infrastruktuuria vastaan – ehkä sen takana on joku suurvalta. Viestintäviraston kielellä kyseessä on ”kehittynyt VPNFilter-haittaohjelma”. Siinä ikään kuin aristellaan puhua asiasta sen oikealla nimellä: kyberaseesta.
Pelon lietsonta ei tietenkään auta yhtään. Vaikka totta on, että kyberturvallisuus on heikommissa kantimissa mitä tiedetään. Tietoliikennevika, joka pimensi Helsingin kaupungin hallinnon, muun muassa sen terveydenhuoltojärjestelmät, aiheutui inhimillisestä virheestä, kun runkoverkkohierarkian alimmalla tasolla irrotettiin kyynärvarren paksuisista kaapeleista se väärä. Merkitsemisepäselvyydet niissä tiemmä olivat valmiina. Sitä sattuu.
Mutta se, että varareititin ei vian iskiessä käynnistynytkään oli taas jotain odottamatonta. Oli kenties tapahtunut suunnitelmallinen laitteen rampauttaminen.
Olemme toki nähneet ennenkin kahden samanaikaisen inhimillisen virheen mahdollistamia onnettomia tapahtumaketjuja: hävittäjäkoneita on tippunut taivaalta. Ne on tutkittu riippumattomien viranomaisten toimesta ja tapauksista on opittu. Näin tulisi toimia myös kyberonnettomuuksissa ja velvoittaa verkkoympäristön ylläpitäjää lailla varmistamaan säännöllisesti yhteiskunnan elintärkeiden toimintojen varajärjestelmien toimintakunto. Se on ainoa tie kestävään kriisivalmiuteen ja lohkoketjujen käyttö lisää turvamahdollisuuksia.
Tämä säädös ehtisi vielä poliittisen väännön kohteena olevaan tiedustelulakipakettiin.
Lait eivät yksin auta. Tarvitaan uusi orientaatio, jossa debuggaus on osa tietohallintaorganisaatiota.
Hakkerit ovat löytäneet useita haavoittuvaisuuksia muun muassa väestörekisterikeskuksen ylläpitämistä Suomi.fi -verkkopalvelujen Suomi.fi -valtuuksista. Väestörekisterikeskuksen mukaan se on analysoinut ja korjannut välittömästi nuo havaitut haavoittuvuudet.
Väestörekisterikeskus aloitti kevätalvella ohjelman, jossa se kutsui hakkereita etsimään haavoittuvuuksia nettipalveluistaan. Palkkioita on maksettu neljästätoista löydetystä haavoittuvaisuudesta. Suurimman yksittäisen symbolisen rahapalkinnon suuruus on parintuhannen euroa. Sen sai hakkeri Jarmo Puttonen. Mies on osallistunut hakkerointiohjelmiin niin Suomessa kuin ulkomaillakin.
Puttosen hoksaamalla haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että tämä kuvittelee tunnistautuvansa viralliseen valtion tarjoamaan palveluun. Sen sijaan käyttäjä päätyy rikollisen hallitsemalle huijaussivustolle jakamaan tietojaan.
Sitten: henkilörekistereitä on tullut pilvin pimein tietosuojasta säätävän lain piiriin. Tuhannet ja taas tuhannet yritykset eivät tiedä, että he toimivat Suomessa EU:n yleisen tietosuoja-asetuksen, gepardilain (gdpr), alaisuudessa. Heidän tulisi lukea se, eritoten gdpr:n asetuksen 4 artiklan alku:
Tässä asetuksessa tarkoitetaan 1 ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Sähköpostiosoite ja puhelinnumero ovat sellaisia henkilötietoja, joista on tehtävä luettelo ja erinäisiä ilmoituksia. Samoin nettiyhteyden IP-numero. Se on nyt verkkotunniste-henkilötieto.
Väite, että uusi, voimaan tullut laki olisi periaatteessa samanlainen kuin aikaisempi laki, ei pidä paikkaansa.
Esimerkiksi tilitoimistot ovat jo nyt herkillä. Sama koskee hammaslääkäriasemia ja ties ketä rekisterinpitäjiä kuten vaikkapa isännöitsijöitä, autokorjaamoita ja katsastusasemia.
Asiasta on ilmoitettava rekisteröidylle henkilölle, koska laissa todistustaakka on käännetty: Rekisterinpitäjän on kyettävä itse osoittamaan noudattaneensa lain kaikkia määräyksiä kaikissa tilanteissa.
Entä se kumma käsite, digisisämarkkinat? Selvisi lain voimaantulopäivänä, että osa eurooppalaisista heivattiin ulos jenkkipalveluista.
Googlen Blogger taas nakitti vastuun minulle:
Se sanoo, että Euroopan unionin lait edellyttävät, että Euroopan unionin alueella asuvat käyttäjät saavat tietoa blogissa käytetyistä evästeistä ja blogissa kerätyistä tiedoista. Lain mukaan käyttäjän on yleensä annettava suostumus evästeiden käyttöön ja tietojen keräämiseen.
”Tästä syystä olemme lisänneet blogiisi ilmoituksen, jossa kerrotaan, miten Google käyttää tiettyjä Blogger ja Google-evästeitä.” Ilmoitus koskee myös Google Analyticsin ja AdSensen evästeiden käyttöä, Google jatkaa sekä muita Googlen keräämiä tietoja: ”Olet itse vastuussa siitä, että ilmoitus soveltuu blogillesi ja että käyttäjät voivat nähdä sen.” Okei. En tosin heti ymmärrä, mikä ilmoitus?
