Laura Kankaala
Tietoturva-asiantuntija ja ammattihakkeri.
Kyberuhkatiedustelupäällikkö tietoturvayhtiö F-Securella.
Esiintynyt Ylellä esitetyssä Team Whack – kaikki on hakkeroitavissa -sarjassa 2019.
Toukokuussa uutisoitiin, että Helsingin kaupunki joutui vappuaattona suuren tietomurron kohteeksi. Tuoreessa muistissa on myös Vastaamo-psykoterapiayrityksen tapaus, jossa yli 30 000 asiakkaan henkilö- ja potilastiedot siepattiin. Laura Kankaala, mikä on tämänhetkinen tilannekuvasi Suomeen kohdistuvien kyberuhkien osalta?
Kyberrikollisuus on hyvin moninaista, ja sen taustalla on hyvin erilaisia toimijoita. On hyvin yritysmäisesti organisoituneita toimijoita, jotka työskentelevät esimerkiksi normaalien toimistotyöaikojen puitteissa. Heidän kohteinaan ovat yleensä yritykset, mutta myös yksityiset henkilöt. Esimerkiksi romanssihuijauksia tehtaillaan usein vuorotyöläisten voimin toimistomaisista ympäristöistä. Sitten on yksittäisiä rikollisia, jotka kohdistavat toimintaansa toisia yksityishenkilöitä kohtaan. Ei ole mitään yhtä muottia, josta kyberrikolliset tehdään.
Yrityksiin kohdistuva kyberrikollisuus on ollut yleistä jo pitkään. Toki siinäkin tapahtuu kehitystä: hakkerien tekniikat ja taktiikat muuttuvat. Yritykset kokoon katsomatta ovat tällä hetkellä kyberuhkien alla.
Nyt kuitenkin geopoliittinen tilanne on nostanut uudella tavalla esiin esimerkiksi valtiollisia kyberrikollisuuden toimijoita ja herättänyt tunteen siitä, että tietoturvallisuus on otettava tosissaan.
Vastaamon tapaus oli Suomessa hyvin herättävä siinä mielessä, että se pakotti pysähtymään sen äärelle, kuinka paljon joudumme arjessamme luottamaan tietokoneisiin ja teknologiaan. Mitä pidempään tätä työtä itse teen, sitä enemmän huomaan sen, kuinka haavoittuvaisia ja epäluotettavia tietotekniset laitteet lopulta ovat. Samalla niillä on valtava voima meidän elämäämme ja yhteiskuntaamme.
”Pienillä yrityksillä on harvoin resursseja paanostaa asianmukaiseen tietoturvaan.”
Myös valtiollinen kyberrikollisuus on ollut pinnalla. Viimeksi kuluneiden kymmenen vuoden aikana Pegasus-haittaohjelmaa on käytetty poliitikkojen, journalistien ja diplomaattien vakoiluun. Ohjelmaa ovat käyttäneet sekä autoritaaristen että demokraattisten valtioiden tiedustelupalvelut. Mitä ajattelet valtiollisesta kyberrikollisuudesta?
Siitä on syytä olla huolissaan. Esimerkiksi Pegasuksen taustalla on NSO Group, joka on israelilainen ohjelmistoyritys. He myyvät palveluitaan nimenomaan viranomaisille ja tiedustelupalveluille.
Voidaan tietysti argumentoida niinkin, että tietyissä tilanteissa, kuten viranomais- ja poliisityössä, tällaisia ohjelmia tarvitaan. Niitä kuitenkin käytetään paljon esimerkiksi toimittajien ja aktivistien vainoamiseen. Riippuu hyvin paljon niitä käyttävistä valtioista, kuka päättää, ketä vakoillaan ja millä tavalla.
Pegasuksen käytöllä on ollut todella vakavia seurauksia. Esimerkiksi saudiarabialaisen toimittaja Jamal Khashoggin kihlatun puhelinta tarkkailtiin Pegasus-ohjelmalla kuukausia ennen kuin Khashoggi murhattiin.
Tavallisen kansalaisen ei tarvitse pelätä Pegasuksen kaltaisia haittaohjelmia, mutta mielestäni ne aiheuttavat riskin, kun mietimme laajemmin demokraattisten yhteiskuntiemme kestävyyttä.
Entäpä yksittäisiin kansalaisiin kohdistuva kyberrikollisuus?
Tavallisiin ihmisiin kohdistuva kyberrikollisuus on nykyään paljon yleisempää kuin 10 tai 20 vuotta sitten. Se johtuu siitä, että nykyään teemme internetissä paljon enemmän asioita kuin aikaisemmin. Voimme siirtää rahaa, tehdä ostoksia tai vaihtaa valuuttaa netissä. Meistä on olemassa internetissä tietoja, jotka vääriin käsiin joutuessaan ovat rahanarvoisia myytäviksi tai joilla meitä voi kiristää.
On olemassa taloudellisesti motivoitunutta kyberrikollisuutta – sellaista, jonka tarkoituksena on rikastuttaa tekijöitään – mutta yhä useammin rikolliset ovat uhreille entuudestaan tuttuja ihmisiä, jotka haluavat yksinkertaisesti tehdä kiusaa. Rikolliset voivat asentaa vakoiluohjelman esimerkiksi ex-seurustelukumppaninsa puhelimelle vainotakseen häntä. Toinen esimerkki on ”kostoporno”: ihmisestä levitetään ilman lupaa internetissä aitoa tai väärennettyä seksuaalista kuvastoa.
Tällaista materiaalia on entistä helpompi tuottaa, koska siinä voidaan käyttää avuksi generatiivista tekoälyä, joka tuottaa aidon näköistä kuvamateriaalia. Sitä on helppo tehdä ja ladata nettiin kaikkien nähtäville.
Tässä on suuri epätasapaino: ensinnäkin rikosten tekeminen internetissä ja teknologian avulla on nykyään niin paljon helpompaa. Vaikka niistä jäisikin kiinni, ei rikosta saa tekemättömäksi välttämättä koskaan. Asioita on valtavan vaikea saada internetistä pois, kun ne on kerran sinne ladattu. Internet siis suojelee kyberrikollisia tänä päivänä erittäin hyvin.
Nykyään on helpompi käyttää internetiä hyväksi rikosten tekemisessä siinäkin mielessä, että rikolliset voivat piiloutua valtioiden rajojen yli. Jos rikolliset sijaitsevat hyvin korruptoituneen valtion alueella, ei heidän välttämättä tarvitse ajatella tekojensa seurauksia.
Tämä on todella vaikea dilemma ratkaistavaksi, koska internetissä ihmisillä on myös oikeus yksityisyyteen. Jos me lähdemme torjumaan kyberrikollisuutta ja ruuvaamaan löysemmälle ihmisten yksityisyyttä suojaavia rakenteita, avaamme samalla ovia ihmisten vakoilemiselle. Tämän ongelman ratkaisemiseksi ei tarvita vain teknologiaa vaan myös oikeus- ja yhteiskuntatiedettä ja filosofiaa.
Meillä Suomessakin on yleistynyt puhe siitä, kuinka ”kyberturvallisuus on meidän kaikkien yhteinen asia”. Kenestä kuitenkin puhumme, kun puhumme ”kaikista”? Miten vastuu turvallisuudessa jakautuu yhteiskunnalle, sen instituutioille, yrityksille ja yksittäisille ihmisille?
On totta, että kyberturvallisuus on kaikkien yhteinen asia. Vastuualueet ovat kuitenkin hyvin erilaisia. Se, mitä me kansalaisina voimme tehdä, on tiedostaa, että kyberrikollisuus on tosiasia ja että kuka tahansa internetissä voi väittää meille mitä tahansa. Tietysti tähän kuuluvat myös normaalit digitaidot, kuten laitteiden pitäminen päivitettyinä ja vahvojen salasanojen luominen.
Me ihmiset kuitenkin olemme osa yhteiskuntaa ja sen instituutioita. Kun määrittelemme vastuuta tietoturvasta, se riippuu kovin paljon siitä, mistä instituutiosta puhumme. Viranomaisilla, yrityksillä ja yksittäisillä ihmisillä on eri vastuut.
Sanoisin, että tietoturva-alalla, itseni mukaan lukien, on vielä paljon opeteltavaa siinä, kuinka puhumme näistä asioista fiksusti ja ymmärrettävästi. Tässä ollaan edistytty, mutta tietoturvaan liittyy edelleen sellaista mystisyyttä, jota pitäisi purkaa.
Yksi ongelma, joka tietoturvan toteutumisessa usein ilmenee, on läpinäkyvyyden puute. Jos otamme melkein minkä tahansa yrityksen Suomessa tai maailmalla, käyttää se monen muun yrityksen tai toimijan laitteita ja sovelluksia. Yritykset itse eivät pääse vaikuttamaan siihen, miten niiden käyttämän teknologian tietoturva on järjestetty. Se on pulma, ja siihen ei valitettavasti ole vielä kovinkaan hyviä ratkaisuja.
Se on kuitenkin ratkaistavissa, ja se vaatii sitä, että tietoturva otettaisiin tosissaan isona asiana.
Puhumme loppujen lopuksi tietokoneista ja ihmisistä, jotka käyttävät niitä väärin. Ei kyse ole mistään taikuudesta eikä velhoista. Kyberrikollisuus on ongelma, jonka me ihmiset olemme luoneet, ja meidän pitää pystyä se myös ratkaisemaan tavalla tai toisella.
Kuinka paljon yksittäiseltä kansalaiselta on pystyttävä vaatimaan kyberuhkien tunnistamista ja niiltä suojautumista? Pitäisikö näitä asioita opettaa koulussa?
Mielestäni niitä pitäisi opettaa koulussa, ja opetushenkilökunta on saatava ajan tasalle. Teknologia myös kehittyy kiihtyvään tahtiin, eli siinäkin on mietittävä prosessia kuntoon, kuinka saadaan pidettyä myös opetus ajan tasalla.
Haluan uskoa, että tulevaisuudessa elämme yhteiskunnassa, jossa ihmisten ei tarvitse tietää tietoturvasta paljoakaan. Aivan kuten ihmisten ei tarvitse nykyäänkään tietää, miten katuryöstö tapahtuu tai miten asuntoihin murtaudutaan. Kaikki kuitenkin ymmärtävät, että nämä ovat riskejä, jotka voivat toteutua, ja että kannattaa lukita ovi, kun lähtee kotoa. On pyrittävä siihen, että tietoturvan osalta päästään samanlaiseen tilanteeseen: että niitä ehkäistään ennalta ja jokainen tietää, kuinka turvata itsensä.
Tässä tärkeimmän kehityksen on tapahduttava teknologiapuolella. On mietittävä, miten voimme tehdä ohjelmistoista niin vaikeita murtaa, että ihmisiä on mahdollisimman vaikea huijata. On teknologiakehittäjien vastuulla keksiä ratkaisuja siihen, miten voimme tehdä internetistä turvallisemman.
Entäpä miten yhteiskunta voisi tukea kyberturvallisuutta? Olemmeko Suomessa ja EU:ssa riittävän varautuneita tulevaisuuden kyberuhkiin?
Tuo on hyvä kysymys. Mielestäni yksi isoimmista ongelmista liittyy pieniin yrityksiin, jotka ovat kuitenkin yhteiskunnallisesti merkittäviä. Otetaan esimerkiksi pieni yritys, joka kuitenkin toimittaa jotain tärkeää palvelua jollekin isommalle yhtiölle tai viranomaisille. Sellainen voi olla kiinnostava kohde kyberrikollisille, koska sitä kautta he saavat pääsyn siihen suurempaan yritykseen tai valtion organisaatioon.
Tällaisilla pienillä yrityksillä on harvoin resursseja panostaa asianmukaiseen tietoturvaan, ja ne ovat haavoittuvampia. Pieniä yrityksiä onkin mielestäni tuettava siinä, että ne voisivat satsata tietoturvaan. Voidaan miettiä esimerkiksi erillistä tietoturvarahoitusta.
”Tekoäly voisi paljastaa esimerkiksi huijauksia tai tietoturvariskejä, jotka voivat jäädä ihmisiltä huomaamatta.”
Meillä on nykyään myös paljon helposti käyttöön otettavaa teknologiaa, joka on laadukasta. Virheet kuitenkin tapahtuvat usein teknologian käyttöönotossa, kun kyse on ihmisten välisestä vuorovaikutuksesta. Vielä on siis vielä matkaa siihen, että saamme ihmiskäyttäjistä tulevaisuudenkestäviä.
Tekoäly voisi auttaa tässä ja paljastaa esimerkiksi huijauksia tai tietoturvariskejä, jotka voivat jäädä ihmisiltä huomaamatta.
Tekoälyn hurja kehitys on jo johtanut siihen, että sitä käytetään työkaluna erilaisissa huijauksissa ja rikoksissa. Miten tekoälyä pitäisi säännellä, jotta sen käyttö olisi vastuullista ja läpinäkyvää?
Sääntely on hyvä keino, mutta se ei riitä. On myös kysyttävä, tehdäänkö tekoälyä kehittäessä riittävää moraalista pohdintaa. Kaikkien teknologiayritysten on syytä katsoa omia tuotteitaan hyvin kriittisesti.
Otetaan esimerkiksi äänen kloonaus. Varmasti sille löytyy fiksujakin käyttötarkoituksia, mutta on silti kysyttävä: onko siinä mitään järkeä, että viiden euron kuukausimaksulla kuka tahansa saa käyttöönsä ohjelman, jolla voi tehdä minuutin ääninäytteellä kenen tahansa ihmisen äänestä väärennöksen? Tällaisia ääniväärennöksiä voi käyttää ihmisten huijaamiseen ja kiusaamiseen, mutta myös vaikkapa oikeudessa ”todisteina”. On kysyttävä, mikä on se yhteiskunnalle hyödyllinen käyttötapa tälle teknologialle?
Mielestäni pitää miettiä, miten tällaisia asioita keksiessä panostetaan myös rikollisuuden estämiseen. Yritykset pitää velvoittaa ottamaan huomioon se, että niiden tuotteita voi hyvin helposti käyttää rikollisiin tarkoituksiin.
Esimerkki tästä on Googlen hakukone. Jos yrittää hakea pomminteko-ohjeita, Google estää käyttäjää löytämästä niitä. Huijauksia, rikoksia, kiusaamista ja vainoamista mahdollistavaa teknologiaa voisi kohdella samalla tavalla.
Kun puhumme kyberturvallisuudesta, puhumme aina myös datasta. Siis tiedosta: siitä, mitä tietoa itsestämme luovutamme, kenelle sen luovutamme, mihin sitä käytetään, ja siitä, kuka sitä hallitsee. Älylaitteet keräävät meistä valtavasti dataa muutamalle kansainväliselle teknologiayhtiölle.
Jo yksin viestipalvelu X, jonka omistaa miljardööri Elon Musk, kerää käayttäjistään valtavasti dataa. Mitä riskejä näet siinä, että muutama yhtiö tietää käyttäjistään yhtä paljon kuin paraskin totalitaristinen diktatuuri?
Se on lähtökohtaisesti ongelmallista. Toki sitä varten on jo lainsäädäntöä, kuten EU:n yleinen tietosuoja-asetus GDPR, joka velvoittaa teknologiayhtiöitä keräämään ja säilyttämään tietoa vastuullisesti.
On aina muistettava, että kun puhutaan teknologiasta ja käyttäjille suunnatuista palveluista, eivät ne koskaan ole epäpoliittisia. Aina kun toimitaan jossain maassa, on siellä valtaapitävien intressejä ja vallitsevia arvoja. Ne heijastuvat myös sovelluksiin ja määrittävät esimerkiksi sitä, mikä sisältö saa näkyvyyttä sosiaalisen median alustoilla.
Riskit tulevat siitä, että sosiaalisen median alustat tietävät meistä valtavan paljon, ja sen perusteella algoritmit päättävät näyttää meille tietynlaista sisältöä. Se taas muokkaa meidän kaikkien käsitystä todellisuudesta ja siitä, mikä on ”normaalia”. Lisäksi somen algoritmeilla on taipumus syöttää ihmisille koko ajan rajumpaa ja kovempaa sisältöä. Syntyy kaninkoloja, joihin ihmiset putoavat.
Jos mietimme tulevaisuutta, näen tulevissa sukupolvissa toivon pilkahduksen. He ovat eläneet koko elämänsä somen kanssa ja kohtaavat koko ajan sisältöä, jonka faktat pitää tarkastaa itse. Se tuottaa toivottavasti uudenlaista medialukutaitoa, jonka oppimista pitää jatkossa tukea esimerkiksi kouluissa.
Laura Kankaala
Tietoturva-asiantuntija ja ammattihakkeri.
Kyberuhkatiedustelupäällikkö tietoturvayhtiö F-Securella.
Esiintynyt Ylellä esitetyssä Team Whack – kaikki on hakkeroitavissa -sarjassa 2019.
uutiskirje 