Kyberturvallisuuden näkymät lähivuosien digitalisoituvassa yhteiskunnassa

Kyberturvallisuuskeskus julkaisi 22.1. 10 tietoturvanäkymää vuodelle 2020. Tietoturva-alan normaalista poiketen on listattu myös myönteisiä ennusteita, mikä tietyllä tavalla ennakoi jonkinlaista paradigmamuutosta tavassa ajatella tietoturvallisuutta. Tietoturvallisuus ruvetaan kenties näkemään myös mahdollisuutena, eikä pelkästään kustannuksena. Haasteissa liikutaan pitkälti jalat maassa -asenteella; mukana on niin uusia kuin vanhojakin ongelmia.

Myönteisistä kehityssuunnista kaikki käytännössä kiteytyvät yhteen: kyberturvallisuuden parempaan huomioimiseen liiketoiminnassa. Kun tietoturvallisuus nähdään liiketoiminnan mahdollistajana, nousee osaaminen keskiöön. Tällöin panostetaan harjoitustoimintaan, jolla kehitetään organisaation prosesseja sekä henkilöstön osaamista. Tietoturvallisuudessa on henkilöstökeskeinen ote, jonka ansiosta henkilöstön valveutuneisuus ja motivaatio lisääntyy. Lisäksi tietoturva-asiantuntijoita kuunnellaan entistä herkemmällä korvalla, jonka takia panostetaan ennalta ehkäisevästi tarkastus- ja arviointitoimintaan sekä tarkoituksenmukaisiin tietoturvaratkaisuihin. Tietoturvaratkaisuissa hyödynnetään tekoälyä esim. käsittelemään suuria määriä dataa, minkä avulla kyetään havaitsemaan muun muassa poikkeamia ja suodattamaan haitallista liikennettä.

Haasteissa ei ole juuri uutta. Monikerroksiset ja -kansalliset alihankintaketjut tuottavat edelleen päänvaivaa. Kaikki infra ei välttämättä ole enää omissa käsissään, ja vaikka olisikin, ovat järjestelmät niin monimutkaisia, että niiden täydellinen tarkastaminen ja arviointi on haasteellista. Ulkoistusvaiheessa olisi oleellista selvittää ja täsmentää tietoturvan kannalta olennaiset komponentit, riippuvuussuhteet ja vastuut, mutta käytännön tasolla se ei ole helppoa. Lisäksi ongelma on saamassa yhä enemmän poliittisia ulottuvuuksia, kun epäillään valtioilla olevan kytköksiä laitetoimittajiin. Pilvipalveluiden tietoturvallisuus mietityttää edelleen niin hyvässä (saatavuuden varmistaminen) kuin pahassakin (luottamuksellisuuden menettäminen). Kissa- ja hiirileikki jatkuu; tietoturva-aukkoja hyödynnetään entistä nopeammin, mutta suojautuminen ontuu, koska organisaatiot eivät välttämättä osaa varautua oikealla tavalla. Lisäksi tietoturvallisuuden ammattilaisista on pulaa, niin Suomessa kuin muuallakin maailmasa.

Haluaisin omalta osaltani täydentää listaa muutamalla näkymällä. 5G:n kyberturvallisuus tulee herättämään kysymyksiä niin teknisellä kuin poliittisellakin tasolla, tulemme näkemään viitteitä tekoälyn offensiivisesta käytöstä, ja esille tulee nousemaan hybridioperaatio, johon kuuluu sekä kyberoperointia että informaatiovaikuttamista.

5G tekee kovaa vauhtia tuloaan. Toisin kuin aikaisemmat sukupolvet, se ei ole pelkästään lisää verkkokapasiteettia tuottava tiedonsiirtoratkaisu, vaan tuo mukanaan myös uusia toimintamalleja. Puhutaan jopa paradigmamuutoksesta. Monet sovellusalueet tulevat ottamaan harppauksen 5G:n myötä. Esimerkiksi esineiden internet (Internet of Things, IoT) tulee mullistumaan kiitos mahdollisuuden liittää paljon laitteita verkkoon sekä tuoda tietojenkäsittelyominaisuuksia lähelle verkon reunaa, itseohjautuvat autot voivat kommunikoida keskenään ja sopia liikennöinnistä paikallisesti, terveydenhuolto kykenee hyödyntämään fyysiseen sijaintiin perustuvia ratkaisuja, jne. Tietoturvallisuutta on 5G:n osalta mietitty enemmän kuin aikaisempien sukupolvien kohdalla ja 5G-standardi määritteleekin joukon parannuksia viestinnän ja käyttäjien tietoturvallisuuden ja tietosuojan parantamiseksi. Tosin mitään kokonaistietoturva-arkkitehtuuria ei ole määritelty. Haasteita on kuitenkin lukuisia; muun muassa verkon ytimen ja reunan välinen ero hämärtyy, virtualisointi tuo omia haasteitaan verrattuna fyysisesti eristettyihin ympäristöihin ja matalan suojaustason laitteiden määrä lisääntyy. Näin ollen suojattava pinta-ala kasvaa, mutta on epäselvää, miten eri tietoturvaratkaisuja sovelletaan ja ylläpidetään käytännössä. Riskienhallinta tulee olemaan nykyistä haasteellisempaa. Teknisten haasteiden lisäksi 5G:n ympärillä velloo isompi, poliittinen kysymys. Samaan aikaan kuin valtioiden kyky toimia kyberympäristössä kehittyy, herää kysymys valtioiden mahdollisesta vaikutuksista laitetoimittajiin. Pitäisikö laitetoimittajien luotettavuutta arvioida sen perusteella, mistä maasta tulevat – ja onko edes lainsäädännöllisesti mahdollista rajoittaa laitetoimittajaa tarjouskilpailuista pois (pelkästään) kansallisen alkuperän perusteella? Eri mailla on tässäkin asiassa eri käytännöt ja lähestysmistavat.

Tekoälyä hyödynnetään enenevissä määrin tietoturvaratkaisuissa ja viime aikoina keskustelu tekoälyn hyödyntämisestä myös offensiivisessa mielessä on kiihtynyt. On muun muassa arvioitu, että hyökkäysten kustannuksia voidaan vähentää antamalla tekoälyn suorittaa tyypillisesti ihmiselle kuuluvia tehtäviä tai että tekoäly kykenisi paremmin hyödyntämään puolustukseen käytettävien järjestelmien haavoittuvuuksia. Pari vuotta sitten BlackHat -konferenssin osallistujista 62% arvioi, että tällaiset hyökkäykset ovat mahdollisia vuoden sisään. “Tekoäly vs. tekoäly” -skenaarioon on vielä matkaa ja sitä pidetään osin scifinä, mutta siinä missä suojausratkaisuissa jo nyt hyödynnetään tekoälyä ihmistyön lisäksi on täysin mahdollista, että sitä sovelletaan myös hyökkäykselliseen toimintaan. Hyökkäämisessä ja suojaamisessa toimitaan edelleen perinteisen kissa- ja hiirileikin mukaan: suojaus kehittyy vastaamaan paremmin hyökkäyksiin ja hyökkäykset kehittyvät paremmin murtamaan/ohittamaan suojauksen. Tekoäly on tässä vain yksi teknologian kehityksen mahdollisesti tuoma lisäapu, ei mikään kaiken olemassa olevan pöydältä pyyhkivä mullistus.

Viimeisenä nostaisin esille hybridioperaatiot, jotka pitävät sisällään sekä kyberoperaation että informaatiovaikuttamisen. Esim. Jessikka Aro kuvaa kirjassaan Putinin trollit kuinka arvovaltaisessa asemassa olleen henkilön puheluita salakuunneltiin, jonka jälkeen nauhoituksia käsiteltiin ja julkaistiin tarkoituksena henkilön mustamaalaaminen. Herää kysymys, milloin tällaisia hyökkäyksiä kohdennetaan yhteiskunnan toimintoja vastaan laajemmin. Muun muassa terveydenhuoltopuoli on saanut kokea sekä kyberhyökkäyksiä että informaatiovaikuttamista erikseen, mutta entä jos nämä tulevaisuudessa ovat osana yhtä ja samaa operaatiota? Esim. Wannacry -kiristysohjelma aiheutti Iso-Britanniassa arviolta 92 miljoonan punnan tappiot, lukuisia potilassiirtoja sairaalasta toiseen ja 19000 ajanvarauksen peruuntumista. Toisaalta Yhdysvalloissa on tutkittu, miten venäläiset trollit ovat pyrkineet levittämään disinformaatiota terveydenhuollosta ja vaikuttamaan esim. rokotekeskusteluun ennen tämän vuoden presidentinvaaleja. Entä jos tulevaisuudessa tehdään kyberhyökkäys sairaalan järjestelmiin, jonka lisäksi levitetään disinformaatiota siitä, miten potilaat tämän johdosta kuolevat terveydenhuollon käsissä? Kuinka paljon epäluottamusta se aiheuttaisi terveydenhuoltoon ja millaisia seuraamuksia siitä voisi olla, kun potilaat eivät enää uskalla hakea apua. Entä jos samaan aikaan riehuu epidemia?

Yhteiskuntien digitalisoitumisen ja teknologian kehityksen myötä kyberturvallisuuden merkitys osana laajempaa kokonaisuutta korostuu entisestään. Haasteeseen ei ole olemassa yhtä ratkaisua ja tarvitsemme jatkuvaa ja ajanmukaista dialogia teknologian ja politiikan välillä. Jokaisella teolla, niin kansallisella kuin yksilöllisellä tasolla, on merkitystä. Kyberturvallisuuskeskus tekee ansiokasta työtä meidän suomalaisten kyberturvallisuuden edistämiseksi. Toivon, että kyberturvallisuuskeskuksen myönteiset näkymät vuodelle 2020 toteutuvat ja vahvistuvat myös tulevaisuutta varten ja että suomalaiseen tyyliin keksimme, yhdessä ja yhteistyössä, pragmaattisia ratkaisuja niihin haastellisiin näkymiin.

CatharinaCandolin

Tekniikan tohtori (2005). Tällä hetkellä kyberpuolustuksen erityisasiantuntija Puolustusvoimissa. Aikaisempi työkokemus kyberturvallisuusasiantuntijana Naton päämajassa 2015-2018, kyberpuolustussektorin johtajana Pääesikunnan johtamisjärjestelmäosastolla sekä tehtäviä yksityisellä sektorilla ja akateemisessa maailmassa. Kiinnostuksen kohteina uudet kehittyvät teknologiat, tiede ja tutkimus, ilmailu, meri, liikunta ja ruokakulttuuri. Mielipiteet ovat omiani eivätkä välttämättä edusta työnantajani näkemyksiä.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu