Tillbaka till Aktuellt

Tietoturva-ammattilaisen mietteitä kesän vakoilu-uutisista

Saku Vainikainen

August 15, 2013 at 10:30

Tietoriskienhallinta. Siinä sana jonka ympärille kaikki tieto- ja viestintäverkoissa tapahtuva rakentuu –  ehkä myös niiden ulkopuolella. Se viime hetken pohdinta ennen sähköpostin lähetysnapin painallusta tai kaverilta kuullun salaisuuden möläyttämistä seuraavalle. Yritysmaailmassa asiat eivät periaatteessa ole tämän monimutkaisempia.

Vuosien mittaan ICT-järjestelmien ja lainsäädännön lisääntyminen ja kehitys on kasvattanut luottamusta järjestelmiin eikä elämää ilman kännykkää, somea, sähköpostia tai pilvipalveluita pysty oikein kuvittelemaan – niin työ- tai vapaa-aikana. Vaikka sitä ei alan ammattilaisilla koskaan oikeasti ollutkaan, kavereiden ja asiakkaiden huoleton suhtautuminen tieto- ja viestintäteknologian käyttöön on saanut tuuditettua myös tietoturvaajia uskomaan tietoverkon viattomuuteen. Ja sitä paitsi onhan meillä aina SSL/TLS, IPsec ja palomuurit.

Viimeaikaiset uutiset ovat olleet kylmä herätyssuihku kaikille paitsi kyynisimmille meistä.

Onko tietosuojalainsäädännöllä oikeasti merkitystä? Viestinnän luottamuksellisuutta ei ole. Viestintänsä suojaavat ovat potentiaalisia rikollisia tai terroristeja. Yksityisyyttä ei ole. Kenellä tahansa voi olla arvokasta tietoa. Tieto on valtaa ja vahvin voittaa. Faktoja sotilastiedustelun, yritysvakoilun, rikoksen ja jopa markkinatutkimuksen maailmasta.

Internetiin kytketyt laitteet ovat tuoneet tämän pelin jokaiseen taskuun, olohuoneeseen ja toimistoon. Internet of things muuttaa kodinkoneet, kulkuvälineet, ruohonleikkurit ja kattovalaisimet pelin nappuloiksi. Sähköverkkokin on jo "älykäs" eikä edes operaattoreiden palveluihin voi luottaa: laitteet ja ohjelmistot kun sisältävät jo valmistajalta lähtiessään niin paljon valmistusvirheitä – tahallisia tai tahattomia – ettei mikään laite tai palvelu pysty suojaamaan käyttäjiensä tietoja – halusi sitä tai ei; mainoseurot ja -dollarit taas takaavat sen, että yleensä ei.

Kehen sitten luottaa?

Johonkinhan tässä pitäisi pystyä luottamaan. Edes oman maan viranomaiseen, mutta ei – samaa näkymätöntä valtaa hekin hamuavat: "jos olette syyttömiä, ei teillä ole mitään syytä salata meiltä mitään. Kaikki huolenne ovat turhia, me emme käytä tietojanne väärin koska meihin eivät vaikuta samat lainalaisuudet kuin muihin tietoverkossa toimijoihin. Joitain valitettavia yksittäistapauksia esiintyy, mutta ne todellakin ovat poikkeuksia."

Valitettava fakta kuitenkin on, viranomaiset käyttävät samoja viallisia ohjelmistoja, laitteita ja palveluita kuin me muutkin. Ja ihmisiähän hekin ovat.

Tietoturva-ammattilaisen kysymys kuuluukin: Kannattaako tässä nyt enää ammattiaan harjoittaa? Onko tietoriskien hallinta pelkkä vitsi? Ovatko lukot tosiaankin tarkoitettu pitämään vain tyhmät ja lainkuuliaiset loitolla? Saavatko muut tehdä mitä haluavat?

Riskienhallinnan perussääntönä on suhteuttaa suojaustoimenpiteet riskin kokoon: turha ampua kärpästä tykillä tai ottaa 100 000 €:n vakuutusta miljoonaomaisuuden suojaksi. Jos taas riskiltä ei pysty suojautumaan, se täytyy hyväksyä. Ehkä minunkin täytyy vain hyväksyä, että internetissä, sen palveluissa eikä sen käyttöön tarkoitetuissa laitteissa ole yksityisyyttä eikä tietoturvaa – vakuuttelivat palveluntarjoajat ja laitevalmistajat mitä tahansa – ja niiden rakentaminen omiin ratkaisuihin on aivan liian kallista suhteessa niiden puutteesta aiheutuviin riskeihin.

Toisaalta yksityisyydensuoja ja tietoturva ovat arvo- ja laatutekijöitä siinä missä muutkin ominaisuudet joten peliä ei välttämättä ole vielä kokonaan menetetty. Näitä vaatimalla isotkin toimijat saadaan pikku hiljaa painostettua rakentamaan laitteisiinsa ja palveluihinsa tarvittavat ominaisuudet – jopa siirtämään toimintaansa maihin, joissa yksityisyydensuojaa ja tietoturvaa vielä kunnioitetaan. Poliitikotkin tarvitsevat äänestäjiä, joten vakoilulupien saantiinkin voidaan vielä vaikuttaa.

Ehkä minulla, tietoturvaajalla, on sittenkin käyttöä: valistajana ja opastajana , ohjeiden ja vaatimuslistojen rakentajana, tieto- ja viestintäratkaisujen tarkastajana, yksityisyydensuojan ja tietoturvan vahtikoirana.

Ehkä jopa enemmän nyt kuin ennen tapaus Snowdenia.