Kas, kirjojen tietoturvaopit vanhenivat käsiin

Tietoturvan oma tarina on hyvä esimerkki dogmatismista.
Tietoturvan omia opinkappaleita painettiin taannoin nahkaselkäisiin kirjoihin, ja sijoitettiin hyllyyn jonnekin niksi-, kotilääkärikirjojen ja Raamatun joukkoon käyttöä varten. Näin totuuksia luultiin kai kiveen hakatuiksi.
Ei niinkään, etteikö siellä vielä joku ohje pitäisi: Microsoftin Word-kirjoitusohjelman makrot on aina syytä oletuksena pitää kiinni.
Mutta esimerkiksi viimeksi löydetyt Z-Wave tai massiivinen Wi-Fi-verkon haavoittuvuus ovat jotain, jota vanhan koulun opit eivät tunnista.
Ilmeisesti sivilisaatiomme kulttuurievoluutio on ajanut ohi kaikesta kirjoihin präntätystä. Tietotekniikan tietoturvan osalta niin ainakin voidaan sanoa: yli 10 vuoden takaiset ohjeistukset ovat useimmiten yhtä tyhjän kanssa. Osin vanhat opit voivat olla suorastaan vaarallisia noudatettavia uuden teknologiasukupolven aikana. Esimerkiksi vanhat salasanoja koskevat oheistukset, niiden pituus ja rakenne, voivat nyt altistaa haavoittuvuudelle jos toisellekin.
Turvallisen salasanan voi tehdä salasanageneraattorilla. Valitse pituudeksi yli 15 merkkiä.
Viimeistään esineiden internetin (IoT) myötä on tapahtunut radikaali toimintaympäristön muutos. Kaikessa hiljaisuudessa vanha totuttu malli, sisäisistä intranet-verkkoympäristöistä ja ulkoisista toiminnoista internetissä, on vanhentunut. Eväät nykyisen verkkoympäristöjärjestelmän hahmottamiseen ovat hakusessa.
Vaikka käyttöjärjestelmän omaava päätelaite olisi kuinka vahvasti palomuurein ja virustutkin suojattu, voi muutaman euron hintainen pieni kiinalainen komponentti, ja sen IP-sarja verkossa, tehdä koko järjestelmästä haavoittuvan. Komponentti voi ottaa vastaan haitallisia käskyjä ja vaikkapa kääntää päälle saunankiukaan, tai kylmentää tai viilentää. Nämä on nähty, mutta samoilla opeilla voidaan tehdä vielä paljon pahempaakin.
Kaksijakoisen mallin aikana tietoturvalla pitkälti tarkoitettiin palomuuria asiakkaan verkon reunalla ja sisäverkkoon kytkettyjen päätelaitteiden virustorjuntaa. Nyt tämä vanha oppi palvelee lähinnä asuntomurtoihin erikoistuneiden kyberrikollisten tarpeita. Muutos ei ole vähäinen, Viestintäviraston Kyberturvallisuuskeskuksen mukaan omaisuusrikokset petosrikollisuuden ohessa näyttävät olevan hyvässä kybervalmiustilassa.
Kun tiedämme järjestelmäsystematiikan heikkoudet, esimerkiksi hälytykset syrjäisestä huvilasta tulisi ohjata väyliin, joita on vaikea häiritä. Esimerkiksi GSM eli puhelinverkko ja siinä liikkuva tekstari. Häly vanhan kunnon SMS-protokollan kautta on nyt varmatoiminen, kun nettiverkkojen alas ampuminen ei ole ongelma rikollisille.
Kybertietoturvan tehtävä on nyt luoda kriittistä dataa varten internetiin vahvan suojauksen yhteysputkia, kuten https, VPN, L2TP, IPSec, erilaisten päätelaitteiden, pilvipalvelujen ja esineiden välille.
Mikä vielä viime vuosikymmenillä opittu pitää enää paikkaansa?
Windows oli lähinnä tietoturvariski ja Linux se turvallinen hyvä. Linuxin lähdekoodin avoimuus vain on kääntymässä sitä itseään vastaan Android-käyttöjärjestelmässä. Siihen nähden, kuinka suuri tämä muutos on, hiljaisuus tuntuu, huutavalta.
Kyseessä on uuden tietoturva-kansalaistaidon opettelu, aikana jolloin ilmaiset pilvipalvelut, tai viimeksi puolet Suomen langattomista Wi-Fi-verkoista, paljastuvat teknisen haavoittuvuuden vuoksi vuotaviksi.
Toimivissa pilvissä salausprotokollat tunneloivat datan säälimättömän röyhkeiltä uuden polven kyberrikollisilta. Https-prokolla ja VPN-tunneli näet suojaavat, vaikka WiFi-taso olisikin onnistuttu murtamaan.
Kenties meitä vielä vaivaa jonkinlainen kokonaisnäkemyksen puute – nyt on kyse yleisestä tietoturva-ajattelusta, jonka on pakko uudistua.
Yksi osa uutta kyberrikollisuutta on tietojenkalastelu ja identiteettien varastelu keinoja kaihtamatta. Hirmuista, hirmuista, sanoi jo Paasikivi. Lokakuun loppuun mennessä rikosilmoituksia tilitietoja kalastelevista valepoliiseista oli tehty yli 750.
Kyberrikokset kohdistuvat nyt ensisijaisesti ihmisiin laitteistojen sijaan. Haittaohjelman tilalla taas on yhä useammin tietojenkalasteluviesti, ja monessa haittaohjelmasaastumisessa toimii käyttäjän huijaamista hyödyntävä elementti, esimerkiksi saastuneen office-dokumentin makrojen salliminen.
