Tarvitsemme yhä kehittyneempää tietoturvaa ammattimaisia kyberrikollisia vastaan
Edistystä tapahtuu kyberturvallisuudessa, joskin hitaasti. Automaation tietoturvan rakentaminen kirjataan omaan ST-korttiinsa. Sähkötyön ohjestandardin laajuus on noin 20 sivua, ja se valmistuu vielä tämän kevään aikana.
Tulossa on iso harppaus ammattimaisessa ja standardoidussa kyberturvassa. Vahvalla otteella mennään datayhteyksien suojaamisen suuntaan, ennen kuin mitään järkyttävän pahaa on edes päässyt Suomessa tapahtumaan. Tiedossa on, että ilman VPN-käytäväyhteyksiä pahat tietomurrot tai ohjauslaitteiden kiristyslukitukset ovat aina uhkana.
Keskustelin asiasta professori Jarno Limnéllin kanssa. Hänen mukaansa myös rakennus- ja kiinteistöautomaation asennuskoulutus hyötyy ST-kortista. Koulutus laahaa yleensä vuosikausia tosimaailman tarpeiden perässä. Ikään kuin duunaria puolustaakseen Limnéll sanoi, että sama jälkijättöisyys koskee kaikkia koulutuksen tasoja.
Paha juttu. Kukapa ei olisi huomannut Wikileaksin paljastusta Yhdysvaltain keskustiedustelupalvelun laittomista toimista, kun he hamusivat haltuunsa valtavia datamääriä informaatiota ¬– yksityistä tietoa, jolla he eivät oikeasti mitään tee.
Käytännössä vastenmielinen kolmen kirjaimen (NSA) seuralainen on läsnä kaikkialla, missä on verkkoviestintää tai informaatiota tallennetaan tietokantaan. Tämä on tiedetty, ja olen itsekin kokeillut niin kutsuttua hereilläoloa. Blogger-palvelun blogista lähti nopeasti pois CIA:n kannalta arkaluontoinen kuva-aineisto. Me tietosuojasta ja -turvasta huolestuneet olemme tämänkaltaisten kokeiden kautta voineet päätellä, että jossakin toimii valtavia peilausservereitä. CIA:n alaisen NSA:n peilikoneet sijaitsevat Utahin vuoristoisessa erämaassa. Siellä toimitaan, kun haaviin jää jotain hälyn antanutta dataa, esimerkiksi automaattinen kuvatunnistus.
Blogger lienee helppo case. Maailmanlaajuiset verkkopalvelut, joiden ansaintamalli sisältää kysymyksen, mistä he saavat rahaa ja millä he elävät, ovat aivan todistetusti saaneet taloudellista tukea tiedustelupalvelulta.
Toiminta on härskiä: CIA, joka yleensä kohdentaa hyökkäyksenä, saattaa maksaa nettifirmoille aivan omalla nimellään eikä piittaa saamastaan kielteisestä julkisuudesta. Naureskelu salaliittoteorioille ja foliohatuille ei sekään kiinnosta ikään kuin koneena toimivaa suurvallan keskustiedustelupalvelua.
Sitä ei kiinnosta mikään muu kuin se, että sen massiivista tietojen kalastelua ei torpata. Tietomurrot on mahdollista estää samoin kuin murrot fyysisessä maailmassa, ei sataprosenttisesti mutta 99,99999-prosenttisesti.
Uuden polven VPN-käytäväyhteyksiä ei murreta ainakaan porttien kautta, koska ne on suljettu, myös portti 80. Tietoliikenneyhteys on teoriassa täysin turvassa putkessa.
On kuitenkin viitteitä siihen suuntaan, että jos verkon kautta ei pystytä haistelemaan liikkuvaa dataa, yhteys yritetään murtaa lopulta reaalitodellisuudessa, jopa menemällä paikan päälle. Tämä tietysti tapahtuu vain silloin, jos tiedon uskotaan olevan vaivan väärtiä.
Tietoturva-ammattilaisten kulunut hokema kertoo, että ihminen on tietoturvan heikoin lenkki. Sosiaalinen hakkerointi tarkoittaa ihmisten huijaamista esimerkiksi puhelimessa tai kasvotusten. Tyypillisessä huijauspuhelussa soittaja saattaa esiintyä it-osaston työntekijänä ja kertoo tutkivansa väärinkäytöstä. Jotta uhka voidaan poissulkea, it-ihmisen pitää kirjautua huijattavan koneelle, jolloin käyttäjätiedot joutuvat vääriin käsiin. Alkaa olla vanha konsti, mutta tiemmä toimii edelleen.
Kyberrikolliset eivät aina saa haluamaansa, ei puhelimen eikä netin avulla – silloin voidaan koettaa iskeä kohteisiin myös paikan päällä. Reaalimaailman iskuja estääkseen yhtiöt tilaavatkin tietoturvayritysten koehyökkäyksiä. Tietoturva-ammattilaiset tuntevat metkut ja voivat tunkeilijoiksi naamioituneina testata yritysten turvajärjestelyjen pitävyyden: pääsevätkö he firmaan sisään? Ainakin Nokia on Suomessa toiminut näin.
