Rahaa palaa väärässä paikassa – tietoturva jää sivuosaan
Valtionhallinnon järjestelmä joutui vihamielisten kyberhyökkäysten kohteeksi kiihtyvällä vauhdilla vuoden 2017 aikana, kerrotaan valtionkonttorista. Hatarat, parsitut järjestelmät ovat ihanteellinen kohde hoksnokka-kyberrikolliselle.
Kasvavalla innolla Suomi-leijona sai taistella muun muassa Pohjois-Koreasta, Venäjältä, Ukrainasta, Kiinasta, sekä Yhdysvalloista tulleita tunkeutumisyrityksiä ja palvelunestoja vastaan. Viime vuonna niitä oli kolmannes enemmän kuin vuonna 2016. Valtionhallinnosta kerrotaan, että myös nettiselaimen kautta toimivat pahat koodit: tiedostoja lukitsevat, virtuaalivaluuttalunnaita vaativat kiristysohjelmat ovat nyt tuttuja. Virkamiesten salainen pahe on selata hiemaan pornoa työviikon päätteeksi, eikä se ole pelkästään suomalainen vitsaus.
Esimerkiksi oikeusministeriön Tuomas-tietojärjestelmä ei ole tätä päivää. Sen parsittu lähdekoodi alkaa vanhimmalta osaltaan tulla 24 vuoden ikään. IT-maailma on tänä päivänä jotain aivan muuta. Oletuksena makroja lukeva järjestelmä on kuin tehty alusta makroviruksille.
Suomen valtionhallinnon järjestelmissä mitattiin siis vuoden 2017 aikana haittaohjelmiin sekä palvelunestohyökkäyksin tehtyjä rynnäköitä ennätysmäärä. Havaintojärjestelmät tuottavat hyökkäyksistä erilaisia lukuja, ja vain tuhansissa laskettava suuruusluokka voidaan arvioida.
Asianhallintajärjestelmä Aipan tarkoitus korjata kuntoon vanha Tuomas. Tämä vuotava museokoodi on Cap Geminin edeltäjän Cap Programator Oy:n luomus. Korjausväline Aipa otetaan käyttöön tänä vuonna, ja se maksaa valtiolle vaatimattomat 35 miljoonaa euroa.
Samoin hallintotuomioistuimille luotu Haipa-järjestelmä otetaan käyttöön asteittain vuosina 2018–2019. Suurimpia asiaryhmiä ovat verotukseen liittyvät valitukset. Hallinto- ja erityistuomioistuimet käsittelevät vuosittain noin 30 000 ratkaistavaa asiaa. Olemme valittajakansaa.
Jo kolme vuotta myöhästyneen Haipan kokonaiskustannukset tulevat kohoamaan noin 25 miljoona euroon. Mihin valtio käyttää noin runsaskätisesti veronmaksajien rahoja?
Omaan, sille räätälöityyn ohjelmistotuotantoon, mikä on auttamattoman vanhanaikaista, monestakin syystä. Mutta jos keskitytään tietoturvaan, ei paljon auta miljoonilla hankittu oma lähdekoodi, kun selainteknologia, pilvipalvelut, Word-makrot ynnä muut luovat pohjan perusluontoiselle haavoittuvuudelle, jolle vanhoin konstein ei voi mitään.
Valmiit tiedostojakojärjestelmät maksaisivat murto-osan valtionhallinnon pian 1 000 miljoonaan euroon kohoavasta maksukierteestä, ja pienet ohjelmistotalot tupeltavat vuosia yrittäen saada aikaiseksi valmista.
Valtion rahavirran ehtyessä nämä yhtiöt pistävät usein pillit pussiin. Mutta kuinka silloin käy valtion käyttöönottaman tietojärjestelmän? Jatkuva valmistajan päivitys, mikä on välttämätöntä nykyisessä tietoturvailmastossa, jää tuuliajolle.
Voidaan kysyä, miksi valtion tietojärjestelmiä vastaan hyökätään. Niin vain tehdään.
Kyberhyökkäysten vakiomaaleja ovat pankit, sillä niille kostetaan rahan valta maailmassa, ja niiltä yritetään saada saalista.
Myös pankkien IT-järjestelmät ovat jatkuvan, osittain tarpeettomalta näyttävän kehitystyön alla. Vuoden alussa OP ajoi Microsoft-oppisesti puolivalmiin selainmaksuohjelman pankin asiakaskäyttöön.
Tuo debuggaamaton käyttöpääte rassaa kokeneenkin ammattilaisen hermoja. Vuosikymmenien kokemus ja orientaatio taas antavat osviittaa, kuinka jatkaa eteenpäin, kun asiat tyssäävät, ja mitä kannattaa kokeilla umpikujalta näyttävässä tilanteessa.
”If it ain’t broke, don’t fix”, sanoo IT-alan huonetaulu. Se pätee vieläkin. Tietoturva on ongelma – ei se, että käyttöliittymä on niin yksinkertainen, että mummelitkin oppivat käyttämään sitä. Päinvastoin käyttöpohjaan ilmaantuneet puolivalmiit lisähärpäkkeet ovat sen näköisiä, että niihin voi aueta vaikka haavoittuvuuksia kotiläppärillä toimiessa.
En tiedä, toivottavasti ei.
