Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Valitse nimikoimaton tehtävä alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
Carolyn Nordstrom, Lisa Carlson: Cyber Shadows: Power, Crime, and Hacking Everyone
Kirjan on kirjoittanut antropologian professori valmistumassa olleen opiskelijansa kanssa. Näkökulma on siis hieman ihmisläheisempi kuin tekniikan tai bisneksen suunnalta tulevilla kirjoittajilla. Kirjassa on haastateltu muutamia asiantuntijoita nimellä ja ilman. Tehtävissä 1-5 tutustu heidän viestiinsä ja yritä sijoittaa se kirjan kontekstiin.
1. Lassi Kojo (2014-s): Mitä kirjan avaava 12-vuotias Michael ja tuonnempana haastateltu teini-ikäinen Mark viestivät aikuisille?
Michaelilla on synkkä kuva nykyhetkestä ja tulevaisuudesta. Kaikkialle voi hakkeroitua ja se on todella helppoa. Kaikkiin järjestelmiin pätee samat säännöt: samoilla lähestymistavoilla voi hakkeroida kaiken peleistä pankkeihin, ja se on nuorten keskuudessa arkipäivää. Tulevaisuudessa odottaa "The Chaos" - kaaos, jolloin hakkerit ottavat tietokonejärjestelmät haltuunsa ja he saavat kaiken vallan maailmassa tehdä mitä haluavat. Aikuiset pitää saada heräämään tilanteeseen ja tekemään jotain. Nyt he vain seuraavat sivusta eivätkä tee mitään. He eivät ymmärrä, että joku voi hakkeroida ydinaseet ja laukaista ne kotisohvalta, vaan tuudittautuvat siihen, että kaikki on hyvin myös huomenna.
Mark näkee tulevaisuuden positiivisempana. Nuoret haluavat muutosta ja heillä on ensimmäistä kertaa valta tehdä se. Internet-kulttuurin noustessa kaikilla on tavallaan yhtä paljon valtaa.
Nuoret eivät halua muutosta välttämättä valtiorakenteeseen, vaan he voivat muuttaa tapaa suhtautua toisiinsa; inhimillistää toisiaan. Maailma nähdään ennemminkin jaettuna yhteiskuntana.
Hyvä vertauskuva maailman muuttumisesta on vertauskuva yhteisöjen muuttumisesta maantieteellisistä yksiköistä verkostoiksi:
Maantieteellistä karttaa muodostettaessa samaan kategoriaan kuuluvat alueet väritetään sen sijainnin perusteella. Verkostot muokkaavat yhdellä värillä väritettyjä maantieteellisiä alueita monivärisiksi, koska ihmiset eri talouksien sisällä voivat kuulua eri verkostoihin riippumatta maantieteellisestä sijainnista.
Vanhat tavat kuolevat hiljalleen pois, kun nuoret korvaavat muodollisen, universaalisti hyväksytyn järjestelmän, omallaan. Verkkoyhteisöt poistavat rajat ja muuttavat ihmisten suhteita toisiinsa ja tapaa vuorovaikuttaa oikeassa maailmassa.
2. Ville Kero (2014-s): Mitä kertoo Gene Spafford, tietoturvatutkimuslaitos CERIASin johtaja?
Gene Spafford puhuu tietoturvasta, tarkemmin tietoturvan historiasta ja mihin se mahdollisesti voisi olla menossa. Hän kertoo 50-luvulta lähtöisin olevien ajattelumaailmojen olevan syvälle juurtuneita ja osaltaan estävän nykypäivän järjestelmien olemisen täysin turvallisia. Hänen ratkaisunsa asiaan olisi ajatusmaailman muuttaminen ja kokonaan uudenlaisen järjestelmän luominen.
Spafford käsittelee haastattelussa myös ihmisten suhtautumista tietoturvaan. Hän mainitsee valtaosalla ihmisistä olevan vääränlainen käsitys omasta tietoturvastaan. Yleensä ihmiset ovat tietoisia riskeistä, mutta elävät siinä uskossa että ei niin voi käydä omalle järjestelmälle. Hän uskoo tämän johtuvan siitä, että ihmisillä ei ole tarpeeksi ikäviä henkilökohtaisia kokemuksia tietoturvaan liittyen.
Haastattelussaan Spafford myös pelottelee niin sanotuilla Black Swan -tapahtumilla, ja vertaa niitä Islannin tulivuori Katlan mahdolliseen purkautumiseen lähitulevaisuudessa. Odottamattomia ja laskelmoimattomia tapahtumia tai valtavia tietoturvamurtoja on hänen mukaan mahdollisuus ilmetä ja ne saattavat aiheuttaa suurta tuhoa laajalla alueella.
Spafford esittää myös, että huono kyberturvallisuus mahdollistaa ei-toivottuja tulevaisuudenkuvia. Rikollisjärjestöt ja anarkistit pääsisivät kasvamaan ja tätä kautta asettamaan ehtoja hallituksille, mikä toisi pahoja epävakaisuuksia. Toisaalta voidaan kuvitella, että kymmeniä tuhansia ihmisiä työskentelee hallitukselle tuottaen hyökkäysmenetelmiä. Jos tällainen hallitus kaatuu, ihmiset eivät välttämättä pysy enää rehellisinä työnsä kanssa.
Lopuksi Spafford kuitenkin mainitsee olevansa kaikesta huolimatta toiveikas. Ihmisillä on useimmiten hyvät aikomukset, ja yhteiskunta on toiminut hyvin tähänkin asti. Jakamalla tietoa ja koulutusta ihmisten kesken on mahdollista levittää tietotaitoa, jonka avulla pystytään käsittelemään tietoturvauhkia ja turvautumaan hyökkäyksiä vastaan.
3. Ahti Ruusuvuori (2014-s): Mitä muuta Apple-hakkeroinnin erikoismies ja matemaatikko Charlie Miller esittää kuin iPhone-asiaa?
Charlie Miller aloittaa kertomalla, kuinka hänet palkataan usein tarkastamaan yritysten tuotteita ja koodia ja etsimään virheitä ja aukkoja, jotta ne voisi korjata. Hän onnistui tunkeutumaan Applen MacBook Airiin kahdessa minuutissa, mutta toteaa, että todellisuudessa hakkerointi ei ole nopea tai spontaani tapahtuma, vaan se vaatii kuukausien valmistelua ja tutkimusta.
Haastattelussa Miller esittää, kuinka iPhonen tavoin web-sovelluksien avulla on mahdollista ottaa haltuunsa tietokone kokonaan. Vaikka käyttäjälle luotaisiin ns. ”hiekkalaatikko”, on se vain yksi järjestelmä muiden joukossa, ja hakkeri pystyy sen murtamaan. Millerin mukaan ei ole mahdollista täysin turvata internet-selainta. Mitä useampi tietoturvajärjestelmä hakkerilla on edessä, sitä pienemmät mahdollisuudet hänellä on tunkeutua niiden läpi, mutta vaaraa ne eivät koskaan poista täydellisesti.
Miller kertoo, että ei ole olemassa järjestelmää, johon ei voisi tunkeutua oikeilla resursseilla. Uusia tietoturvajärjestelmiä ilmestyy kokoajan lisää, tehden hakkeroinnista vaikeampaa ja vaikeampaa, mutta oikealla määrällä motivaatiota ja kokemusta tietotekniikasta tietoturvajärjestelmät ainoastaan hidastavat hakkeroijaa.
Millerin mukaan kuka tahansa ei kuitenkaan pysty välttämättä tekemään mitä tahansa. Hakkerointi vaatii paneutumista ja erikoistumista, mutta ajan ja harjoituksen myötä hakkeroijien potentiaali on rajaton.
4. Valtteri Virtanen (2014-s): Miten Brian Krebs täydentää edeltävää lukua verkkorikollisten olemuksesta?
Edeltävässä luvussa - "Cyber Criminals" - kuvaillaan verkkorikolliset ja verkkorikokset toisinaan epämääräisiksi, erilaisiksi kuin perinteiset rikolliset ja rikokset. Usein uhri ei tiedä mitä häneltä on "murrettu" tai varastettu, sillä toisin kuin perinteisessä varastamisessa (jossa jotain arvotavaraa esimerkiksi häviää), verkkorikollinen ottaa kopion ja jättää alkuperäisen "koskemattomaksi". Toisaalta verkkorikokset ovat hyvin erilaisia, kuten myös vertauskuva sairauksista: kaikki sairaudet eivät ole samanlaisia, kuten eivät myöskään verkkorikokset. Luvussa mainitaan myös teollisuus-kyberrikollisista, esimerkiksi kyber-teollisuusvakoilijoista (Cyber-espionage), jotka ovat esimerkiksi kytköksissä Kiinan hallitukseen.
Seuraavassa luvussa Brian Krebs täydentää edellisen luvun kyberrikolliset usein verkostoituneiksi ja toisiinsa luottaviksi. Foorumeilla jaellaan vinkit ja oivallukset, myydään ohjelmia ja palveluita, mutta ei kenelle tahansa - foorumilla täytyy luottaa, että foorumin muutkin jäsenet ovat "rikollisia" eivätkä esimerkiksi viranomaisia. Tämä todennetaan esimerkiksi lahjoituksella ja taustojen tarkastamisella. Lisäksi yhteisön jäsenet voivat äänestää tulokkaan päästämisestä foorumille sisään. Usein moderaattoreina toimivat kokeneet henkilöt, jotka tuntevat "alan" ja sillä toimivat tahot, ovat itse kirjoittaneet haittaohjelmia, ja tietävät myös jäsenistä paljon. He myös toimivat usein moderaattoreina aiheeseen liittyvillä muillakin foorumeilla. Jäseniksi otetaan kuitenkin uusia innokkaita, jopa "holtittomia" tulokkaita, koska he ovat uusia alalla ja ostavat palveluita ahkerammin. Ne uudet, jotka toimivat typerästi ja foorumille haitallisesti, usein potkitaan pois ja bannataan (=annetaan porttikielto foorumille).
Krebs täydentää myös, että verkkorikolliset, joilla on aikaa, kärsivällisyytä, resurseja ja lahjakkuutta, voivat murtautua mihin vain. Krebs antaa esimerkkinä Anonymouksen, joka on juuri tästä syystä menestyksekäs. Krebs täydentää edellisessä luvussa mainittua kuvaa kansainvälisistä kyberrikollisista. Esimerkiksi venäläiset ja brasilialaiset eroavat kiinalaisista. Kiinalaiset ajattelevat useiden vuosien tähtäimellä (jopa 10 tai 25) ja miettivät, miten nämä pitkän ajan kuluessa hankitut resurssit hyödyntävät heidän bisnestään kasvamaan ja laajenemaan, ja miten he olisivat kilpailukykyisempiä. Venäläiset ovat kiinalaisia opportunistisempia. Venäläiset suosivat Krebsin mukaan "shotgun-attack" tyyliä, eli hyökkäävät laajalle nopeasti, ja katsovat mitkä tuottavat hedelmää. Iskuilla haetaan lyhytaikaisempaa hyötyä, ja he saattavat jopa myydä resursseja joihin heillä ei ole aikaa tai tarpeeksi suurta kiinnostusta tarttua.
Krebs täydentää vielä, että joskus rahallista hyötyä hakevat hakkerit eivät edes tajua miten potentiaaliseen ja strategisesti arvokkaaseen kohteeseen he ovat iskeneet. Krebs kertoo nähneensä tapauksia, joissa verkkorikollisporukka on murtautunut pankin järjestelmään ja kohdelleet järjestelmää "kuin mitä tahansa saastuttamaansa pöytäkonetta", vaikka tarkemmalla selaamisella, esimerkiksi internet-osoitetta tutkimalla, olisi tätä potentiaalista resurssia käytetty ehkä toisin. Krebs pelkääkin, että rikollisten ymmärryksen taso kasvaa. Kyberrikollisuuden kasvavaa suosiota Krebs selittää pienen kiinnijäämistodennäköisyyden, pelottomuuden (ehkä vain 1% pelkää jäävänsä kiinni) ja toisaalta suurten, helppojen saaliiden takia.
5. Aripekka Vorne (2015-k): Black hat -konferenssissa tavattu "Unnamed Man" sekä nimeämätön tietotekniikan professori saavat kumpikin mielipiteitään esille kahden sivun verran. Millä tavoin ne edistävät kirjan sanomaa?
Haastattelussaan Unnamed Man asettuu rikollisen asemaan ja kertoo miten järjestäytyneen rikollisuuden on mahdollista laajentaa toimintaansa kyberavaruuteen. Esimerkit, joita hän antaa, koskevat erityisesti heikosti hallinnoituja alueita, joissa myös tietoturva on retuperällä, jolloin rikolliset voivat ujuttaa haittaohjelmia mm. kriittiseen infrastruktuuriin, kuten sähkön- tai vedenjakeluun, tai pankkijärjestelmiin ja pitää niitä ”panttivankeinaan” ja kiristää näin yrityksiä ja yhteisöjä. Lopuksi Unnamed Man muistuttaa, että kehitys, innovaatio ja evoluutio ovat kontekstista riippuvaisia, joten eri henkilöt eri puolilla maailmaa ovat voineet saada saman idean samoihin aikoihin, ja kehottaa miettimään missä muulla ja mihin tarkoitukseen haastattelupaikassa, eli Black Hat -hakkerikonferensissa (2011), esiteltyjä asioita voidaan mahdollisesti hyödyntää tälläkin hetkellä.
Nimeämätön professori nimeämättömästä suuresta Yhdysvaltalaisesta yliopistosta puolestaan toteaa, että koko järjestelmämme, eli markkinamme, rakentuu luottamukselle, ja että tämän järjestelmän tasapaino on riippuvainen tietomurtojen salassapidosta. Yritysten voittojen ollessa riippuvaisia massojen luottamuksesta suhtaudutaan tietomurtojen tutkintaan erittäin vastahakoisesti, mutta ilman tietojen jakamista ei voida parantaa turvallisuutta.
Molemmat haastateltavat kuvailevat uhkia, joita tietoyhteiskunnilla on vastassaan, ja hieman niiden seurauksia. Molemmissa haastatteluissa luodaan myös kuva, että tietoturvarikollisuus on koko yhteiskuntaa eikä vain yksilöitä uhkaava tekijä. Sisällöltään ne siis täydentävät hyvin muuta kirjaa, jossa on pyritty kattavasti esittelemään erilaisia kyberavaruuden uhkia, ongelmia ja riskitekijöitä sekä niiden seurauksia.
6. Pauli Tupeli (2015-k): Selitä hiljaisuus, aliarviointi ja kieltäminen.
Hiljaisuudella viitataan siihen, ettämediassa ja tavallisten kansalaisten keskuudessa ei ole aina keskustelua tietoturvaan liittyvistä asioista, vaikka se voisi olla varsinkin kriittinen komponentti tapahtumassa. Esimerkiksi jos pankki ryöstetään hakkeroimalla sen tietojärjestelmä, media ja ihmiset puhuvat siitä mitä ja paljonko ryöstettiin, ja voivat olla hiljaa oleellisemmasta asiasta, eli siitä kuinka ryöstö tehtiin ja mitä implikaatiota se antaa tulevaisuudelle.
Aliarvioinnilla tarkoitetaan sitä, miten jotkut ajattelevat, että tarvitaan valtio tai kouluttautunut ryhmä tekemään vahinkoa esimerkiksi valtiotason tietojärjestelmiin, kun todellisuudessa ei tarvita kuin yksi tavallinen tietokonetta käyttävä ihminen, ja muutama kuukausi asiaan perehtymiseen. Osaamista ja perehtymistäkään ei välttämättä tarvita mikäli haittaohjelma on julkistettu, jolloin kuka tahansa voi sitä levittää. Luvussa myös ohimennen mainitaan mahdollisuus, että tällainen "cyber ase" ylittää tekijänsäkin odotukset, joka ei tällöin pääse hyödyntämään tai kontrolloimaan luomustaan vapautettuaan sen potentiaalin.
Kieltämisellä tarkoitetaan ihmisten suhtautumista tietoturvaan, myös omaansa. Yhtäältä tämän voi kiteyttää kahteen lauseeseen: "miksi kukaan minut hakkeroisi" ja "jos joku minut hakkeroi, mitä he siitä lopulta saisivat"? Toinen asia voisi olla miten ihmisten tietoisuus vaikuttaa heidän toimintaansa, eli vaikka ihmiset tietävät tai kuulevat haittaohjelmasta, he eivät välttämättä tee mitään turvatakseen itseänsä siltä. Kolmas voisi olla uhista oppimisen kieltäytyminen, eli vaikka tiedät että on olemassa uhka, et halua tietää siitä sen enempää, oli se sitten oman mielen rauhan säilyttämiseksi tai jostain muusta syystä. Kappaleen lopussa vielä korostetaan, että tämä kieltäytyminen ei ole aina yksilön tasolla, vaan voi olla isomman yhteiskunnan osan ominaisuus.
7. Sanni Pere (2014 -S): Miksi otsikossa "The (false) security of the everyday" on sana false ja miksi se on suluissa?
Kirjan luvussa käsiteltiin sitä, miten ihmiset pitävät internetiä turvallisena paikkana ja kuinka he luottavat siihen täysin. Hyvänä vertauskuvana käytettiin sitä, kuinka me tunnemme jonkin www-sivuston yhtä hyvin kuin oman ystävän. Tämä kuvastaa sitä, kuinka me sokeasti luotamme internetiin.
Sana false kuvastaakin tässä otsikossa sitä, kuinka meillä on turvallisuudentaju, kun kuulemme esimerkiksi sanan Google. Se on tunnettu sivusto, jonka ajatellaan olevan tuttu ja turvallinen. Jos jotain asiaa pitää tuttuna, niin sitä ei ala epäilemään niin usein kuin jotain muuta. Onhan siinä hirveä ero, pyydetäänkö käyttäjää menemään google.com- vai wingmakers.com- sivustolle. Kyllä epäilykset heräävät jälkimmäisestä ennemmin.
Suluissa tuo sana false on sen takia, että turvallisuus kuuluu joka päivään. Meidän täytyy luottaa kuitenkin turvallisuuteen niin verkossa kuin ”ulkomaailmassa”. Jos sanan jättäisi otsikosta pois, niin se ei kuvastaisi tätä lukua niin hyvin. Luvussa kun pohdittiin asiaa siltä kannalta, että tiedostamme kyllä tietoturvan uhan, mutta emme piittaa siitä kovin. Skenaarioita ja uhkakuvia löytyy joka lähtöön, mutta olemme osittain sokeita niille.
8. Kalle Karlin (2015-k): Miksi otsikossa "The (end of) sovereing self" on sanat end of ja miksi ne ovat suluissa?
Kirjan luvussa puhutaan siitä, miten nykyisessä yhteiskunnassa vallitsee ajatus, että jokainen ihminen on yksilö, eikä samanlaista yksilöä voi olla. Vaikka esimerkiksi mainoksilla pyritään vaikuttamaan ihmisten näkemyksiin ja määritelmiin itsestään, niin jokainen ihminen voi kuitenkin viime kädessä määrittää oman identiteettinsä.
Sanoilla ”end of” viitataan siihen, että big datan ja tiedonlouhinnan lisääntyessä tilanne on kuitenkin muuttumassa. Kun ihmisestä kerätään paljon tietoa ja tietoa prosessoidaan, niin voidaan analysoida myös itse kyseistä ihmistä ja hänen persoonaansa. Kirjassa on lainattu Canadian Tiren johtajan lausetta, joka mielestäni tiivistää koko idean: ”If you show us what you buy, we can tell you who you are, maybe even better than you know yourself”. Tulevaisuudessa siis jokaisen yksilön autonomisuus ei olekaan enää itsestäänselvyys ja yksilön käyttäytymisprotokollaa voidaan kopioida, jolloin myös ihmisten ainutlaatuisuus häviää.
Sulut on jätetty sen takia, että emme ole vielä tuossa pisteessä. Ilman sulkuja otsikko ei kuvaisi enää tekstiä, sillä koko tekstin ideana oli herätellä ajatuksia tulevaisuudesta ja havahtua siihen, mitä ongelmia big data voi tuoda mukanaan. Täysin uudet ongelmat vaativat myös lakimuutoksia, sillä tulevaisuudessa esimerkiksi identiteettivarkaudet voivat muuttua henkilöllisyyden varastamisesta identiteetin varastamiseen.
9. Tuomas Rautiola (2015-k): Kirjassa on kaksi eri päätöslukua ja vielä jälkikirjoitus. Mikä oikeastaan on kirjaa varten tehdyn tutkimuksen lopputulema?
Ensimmäisessä päätösluvussa puhutaan pitkälti siitä, että rikollisilla on aina etu, kun kyseessä ovat kyberturvallisuuden asiat. Rikollisten motivaatiot ja mahdolliset hyödyt ovat ensinnäkin suhteessa paljon suuremmat, kuin tietoa suojaavien osapuolien (joille tämä on usein kustannus). Kyberturvallisuuteen liittyvät asiat on syytä nostaa uudelle tasolle, nykyisellä lainsäädännöllä ja tottumuksilla ei kyetä enää edes tunnistamaan syyllisiä, ja onko kyseessä tietomurto vai tietoturvallisuuden laiminlyöminen. Huolestuttavinta lienee, että johtuen eri tahojen motivaatioiden eroista ei yksikään organisaatio tunne tietoturvallisuuden asioita yhtä hyvin kuin kriminaaliorganisaatiot.
Toinen päätösluvuista käsittelee pitkälti lainsäädäntöön, yksityisyyteen ja totuttuihin normeihin liittyviä asioita. Vielä ei ole tunnistettu riittävän hyvin, minkälaisia lakeja tai käytäntöjä esimerkiksi Internetin käyttöön tulisi liittää. Nykyisellä toimintamallilla ei kyetä vastaamaan kaikkiin tulevaisuuden haasteisiin. Toimintamallien ja tottumuksien on yksinkertaisesti muututtuva, jotta voidaan tehokkaasti kamppailla uhkakuvia vastaan. Etenkin nyt (lähinnä big datasta johtuen) uhkakuvat ovat entistä suurempia ja niiden torjumiseksi on tehtävä tulevaisuudessa vielä enemmän töitä kuin aiemmin.
Jälkikirjoituksessa oikeastaan painoitetaan sitä, kuinka epätietoisia ihmiset ovat kyvykkyyksistä, joita nykymaailman eri tietojärjestelmät tarjoavat eri tahoille. Mahdollisuudet kyberrikollisuudelle vaikuttavat melko rajattomilta ja niiden ulottuvuus on suurempi, kuin mitä edes valveutunutkaan henkilö osaisi odottaa.