Kyberturvallisuus edellyttää huomion kiinnittämistä ihmisiin ja johtamiseen

Aalto yliopiston tammikuussa käynnistynyt yleisöluentosarja ”Kyberturvallisuus koskettaa meitä jokaista” paneutuu kyberturvallisuuden teemoihin eri näkökulmista. Tilaisuuksien puhujat ovat huippuluokkaa, siksi suosittelen lämpimästi matkaa paikan päälle Otaniemeen tai YouTubeen, josta luentojen tallenteet löytyvät.

Sarjan ensimmäisellä luennolla pohdittiin digitalisaation mahdollisuuksia ja turvallisuutta. Puheenvuorot innostivat pohtimaan, miten digitaalinen elämäntapamme haastaa meitä yksilöinä ja yrityksissä. Minkälaisia turvallisuusuhkia kohtaamme arjessa ja mitä uutta pitäisi osata?

Todellisuus ja tunne eivät aina vastaa toisiaan.

Digitaalinen turvallisuus on erottamaton osa jokapäiväistä turvallisuuttamme, jonka professori Jarno Limnéll määritteli todellisuuden, tunteen, sietokyvyn ja kulttuurin muodostamaksi kokonaisuudeksi. Määritelmä sopii erityisen hyvin tähän päivään.

Todellisuus ja tunne eivät aina vastaa toisiaan. Nopea (epä)tiedonvälitys ja lähteiden kirjo saavat vähintään ”somen räjähtämään” toistuvasti ja todellisuus hukkuu kuohuviin tunteisiin. Viestit leviävät verkossa virusmaisesti, riippumatta siitä, onko sisältö totta vai ei. Teknisten käyttötaitojen rinnalle onkin nostettava uusia yksilön kyberturvallisuustaitoja, joita ovat esimerkiksi lähdekritiikki ja sähköisen median luku- ja käyttötaito. Toistaiseksi korkea koulutustaso ja viime aikoina peräänkuulutettu tolkku ovat suojelleet suomalaisia, mutta kuinka kauan voimme luottaa kulttuurimme antamaan suojaan?

Koska täydellistä turvallisuutta ei ole olemassa, sietokyky ratkaisee, miten yritys selviää digitaalisten riskien realisoitumisesta. Monet yritykset kertovat julkisuudessa panostuksistaan tietoturvaan ja riskienhallintaan, mutta harvoin näkee tai kuulee kuvausta siitä, miten yritys on varautunut vakaviin häiriöihin. Jatkuvuuden hallinta näyttää toistaiseksi olevan vain harvojen yritysten agendalla. Vanha hyvä konsti ryhtyä toimeen on ottaa avuksi johtamisjärjestelmästandardi, esimerkiksi muutaman vuoden vanha ISO 22301.

Sietokyky ja yrityksen kulttuuri osana turvallisuutta tarkoittavat myös sitä, että riskien hallinnan rinnalle on nostettava epävarmuuden hallinta, varautuminen tuntemattomaan. Järjestelmien ja teknologian lisäksi on kiinnitettävä entistä suurempaa huomiota ihmisten toimintaan ja turvallisuuskulttuuriin.

Riskien hallinnan rinnalle on nostettava epävarmuuden hallinta.

Tietotekniikan arkipäiväistyminen ja esimerkiksi kotien verkkoon liitetyt automaatiojärjestelmät edellyttävät uusien valmiuksien omaksumista myös yritysten ulkopuolella.

Äskettäin uutisoitiin Jyväskylän yliopiston tutkijoiden löytäneen haavoittuvuuksia useista älypuhelimella ohjattavista kodinkoneista, joiden tietoturva-aukkojen hyödyntämistä rajoittavat vain laitteen ominaisuudet ja hakkerin mielikuvitus. Yksi ongelmista on, että laitteisiin on harvoin saatavissa päivityksiä ja vielä harvemmat ottavat ne käyttöön.

Sydämentahdistin on hakkeroitu, samoin insuliinipumppu ja viime kesänä Jeep Cherokee.

Toimittaja Andy Greenbergin ajaessa autoa turvallisuustutkijat Charlie Miller ja Chris Valasek ottivat haltuunsa auton hallinta- ja lisälaitteita. Heinäkuussa he eivät vielä pystyneet kontrolloimaan ohjauspyörää, paitsi peruutusvaihteella. Mikähän on tilanne nyt?

Jeepin tapauksessa valmistaja Fiat Chrysler kutsui ohjelmistopäivitykseen 1,4 miljoonaa autoa. Vastaavaa ei voida toteuttaa kodinelektroniikassa, vaan vastuu on meidän käyttäjien.  Kansanedustaja Jyrki J. Kasvin tavoin kuulutan käytettävyyden perään. Tietoturvaratkaisujen on oltava sellaisia, että niitä osataan ja halutaan hyödyntää, eikä esimerkiksi siirrytä suojatuista yhteyksistä sujuvammaksi koettuihin palveluihin.

Myös teollisuuden järjestelmien suojauksista on useissa eri selvityksissä löytynyt puutteita. Teollisuuden ohjausjärjestelmien turvallisuutta uhkaavat tietoturvapolitiikan ja sen valvonnan aukot, huonot ylläpitokäytännöt, puutteet ohjelmistohaavoittuvuuksien hallinnassa sekä kehittyneet evaasiotekniikat ja palvelunestohyökkäykset.

Olisikohan aika antaa viranomaisille laajemmat valtuudet testata, toisin sanoen yrittää tunkeutumista, esimerkiksi huoltovarmuuskriittisten laitosten järjestelmiin?

 

Merja Strengell