Mitä jokaisen pitäisi tietää kyberturvallisuudesta?

Yksi verkkorikollisuuden muodoista on kyberrikollisuus. Se on verkkorikollisuuden isoveli, merkittävästi isompi asia kuin yksittäiset verkkorikokset. Kyberrikollisuudella viitataan verkossa tapahtuviin rikoksiin, jotka ravistelevat koko yhteiskuntaa ja asettavat koetukselle esimerkiksi demokratian, rauhan tai yhteiskunnan perusrakenteiden kuten sähkön ja veden jakelun toimivuuden.

Vaikka kyberrikollisuus ei koskekaan mySafetyn toimikenttää, se on riittävän lähellä, jotta kiinnostuin kyberrikollisuudesta väitelleen tohtori Martti. J. Karin ajatuksista luettuani hänen haastattelunsa muutama viikko sitten iltapäivälehdestä. 

Eversti Martti J. Kari aloitti kyberturvallisuuden maisteriopinnot Jyväskylän yliopistossa eläkkeelle jäätyään vuonna 2015, valmistui muutamassa vuodessa maisteriksi ja muutama vuosi sen jälkeen tohtoriksi. Nykyisin Kari toimii Jyväskylän yliopistossa tiedustelun opettajana turvallisuus ja strateginen analyysi- maisteriohjelmassa.

Etsin Martti J. Karin sähköpostiosoitteen käsiini, ja lähetin hänelle muutamia peruskysymyksiä kyberturvallisuudesta toivoen vastauksia. Pian hän palasi. 

Luettuani Karin paluupostin mielenkiintoni aihetta kohtaan kasvoi entisestään ja nyt huomaan miettiväni jo mahdollisuutta opiskella kyberturvallisuutta työn ohella Jyväskylässä. Peruskurssi kyberturvallisuudesta ei varmasti olisi yhtään hullumpi idea ihan jokaiselle suomalaiselle.

Mitä jokaisen pitäisi tietää kyberturvallisuudesta?

Digitalisaatio on aiheuttanut sen, että kyberturvallisuudella on suuri merkitys yhteiskunnan toiminnalle. Kyberturvallisuus on tullut jäädäkseen, ja se on huomioitava osaksi yleistä turvallisuutta aivan kuten sotilaallisesti tuotettu turva. Kyberturvallisuuden ongelma on se, että vielä on jäsentymättä, kenelle kuuluu vastuu siitä.

Miten vanhasta tai nuoresta ilmiöstä on kyse?

Samassa tahdissa, kun tieto ja toiminnot siirtyvät verkkoon, sinne siirtyy myös rikollisuus. Tämä rikollisuuden tai ilkivallan muoto on kasvanut yhtä aikaa digitalisaation kanssa. Kun yhteiskunnan kriittiset toiminnot siirtyvät verkkoon, sinne siirtyy myös rikollisuus.

Kuka organisoi kyberiskuja ja miksi?

Verkkorikollisuuden ja kyberiskujen takana voi oikeastaan olla kuka vain. Iskuun voi motivoida kokeilunhalu; ajatus siitä, pystynkö sammuttamaan vaikka kaupunginosan katuvalot. Myös taloudellinen voitto tai ilkivalta ovat tekojen taustalla. 

Yleisesti sama pahuus, joka aiemmin oli fyysisessä maailmassa, on nyt siirtynyt verkkoon.  Samat tekijät ja tahot, jotka luovat pahuutta fyysisessä maailmassa, luovat sitä nyt myös verkossa. 

Kyber- ja verkkorikollisuudessa poikkeuksellista on fyysinen etäisyys rikoksen uhrista ja teon monistamisen helppous. Verkkorikollisuudessa ja kyberiskuissa taloudellinen tuotto on myös keskimääräisesti parempi kuin perinteisissä rikoksissa. 

Miten niiltä voi suojautua?

Tietoisuus ja tekninen ajantasaisuus kuten salasanat, päivitetyt ohjelmistot ja reititin, suojaavat verkkorikollisuudelta parhaiten. 

Ole varovainen, mitä klikkaat ja lataat. Suhtaudu tietojen kalasteluun verkossa samalla lailla kuin tietojen kalasteluun kadulla. Tätä kannattaa soveltaa esimerkiksi silloin, kun sinulta pyydetään pankkitunnuksia verkossa. 

Internet of things luo myös suuren tietoturvariskin ihmisille. Tiedän jo nyt tapauksia, joissa tietojärjestelmään on murtauduttu kodinkoneen kautta.

Verkkorikollisuuden riskejä miettiessä on tärkeä tuntea, mitä taktiikkaa, tekniikkaa ja menetelmää verkkorikoksessa on hyödynnetty. Näitä kaikkia kolmea hyökkäyksen elementtiä pitää seurata jatkuvasti, jotta tietää, miten rikoksia masinoidaan ja miten ylläpitää omaa tietoturvaa. 

Miten laajasta ilmiöstä on kyse?

Verkkorikoksia toteutetaan joko massamaisesti tai pistemäisesti, mutta rikoksissa on harvoin näiden välimuotoja. 

Verkkorikollisuuden koko laajuutta voi olla vaikea arvioida, sillä suuri osa rikoksista jää yrityksiksi. Ilmiön laajuudesta voi saada kuvan tutkimalla esimerkiksi tietoturvatalojen kuten Kyberturvallisuuskeskuksen raportteja. 

Mitä yritysten tulisi tietää kyberhyökkäyksistä?

Yritysten vastuulla on suhtautua niihin vakavasti. Kyberhyökkäys vaikuttaa usein siltä, ettei se aiheuta toimenpiteitä, kunnes se yllättäen lamauttaakin koko organisaation toiminnan. Jos yrityksen verkossa oleva henkinen pääoma varastetaan, lukitaan tai tuhotaan, ahdinko on ilmiselvä. Yrityksissä on hyvä miettiä arvoja ja toimintoja, jotka tulee suojata erityisen hyvin, ja käydä läpi skenaariota, miten toimia, jos pahuus tapahtuu. Miten tuo pahuus paikallistetaan mahdollisimman nopeasti, miten se voidaan blogata verkossa ja minimoida syntynyt vahinko. Toimintaskenaarioita pitää harjoitella jo ennen verkkorikoksen tapahtumista ja samalla käydä läpi sitä, kenen vastuulla on kriisitilanteessa mikäkin asia.

Liittyykö tiedustelu yksin maiden väliseen toimintaan vai koskettaako se myös yritysmaailmaa? Millä tavalla?

Tiedustelu liittyy yrityksiin usealla eri tavalla. Yritys voi olla tiedustelun kohteena.  Kilpailija voi yrittää hankkia yritykseen liittyviä tietoja parantaakseen omaa suhteellista asemaansa kilpailutilanteessa. Rikolliset voivat samalla tavalla tiedustella yritystä, joko löytääkseen keinoja, miten huijata rahaa tai esimerkiksi, miten tunkeutua yrityksen tietojärjestelmiin.

Yritykseen, joka kehittää uutta teknologiaa tai yritykseen, jonka toiminta liittyy maamme huoltovarmuuteen, voi kohdistua myös vieraiden valtioiden tiedustelupalveluiden toimintaa. Vieraan valtion tiedustelun tavoitteena voi olla tuotekehitystiedon varastaminen, takaporttien rakentaminen myöhemmin tapahtuvaa vakoilua tai vaikuttamista varten tai yrityksen henkilöstön viestinnän seuraaminen. 

Tällainen yrityksiin kohdistuva tiedustelu on arkipäivää ja sitä tehdään tyypillisesti avointen lähteiden tiedustelun keinoin, joskus myös henkilötiedustelulla ja tietojärjestelmätiedustelulla eli hakkeroimalla. Yritys voi myös itse parantaa omaa markkina-asemaansa hankkimalla laillisin keinoin tiedustelutietoja kilpailijoistaan ja muista markkinoilla vaikuttavista tekijöistä. Tästä liiketoimintatiedon hallinnasta käytetään myös englanninkielistä nimitystä "business intelligence".