Tietoturvauhat hallintaan "Kyberturvaoppaan" avulla - monenlaisia haasteita - päivitys 28.8.2014

Kimmo Rousku 2014 (Talentum)

Kimmo Rousku avaa meille tietokoneiden koti- ja työkäyttäjille tietoturvan kaikki haasteet, ongelmat, riskit sekä myös mahdollisuudet taklata ennakolta riskit. Kimmo on ollut aina tuottoisa kirjoittaja. Kirjoja on syntynyt vuosien varrelta Windows-maailmasta erityisesti. Kyberturvallisuus on ajassa kulkeva termi, jonka Kimmokin valitsi oppaan nimeksi. Opas on kuitenkin hyvinkin monipuolinen. Toisessa päässä on varsin kriittinen analyysi Snowden-paljastuksista ja niiden taustoista. Toisessa päässä on meille kansalaisille inhimillisiä ohjeita ja neuvoja, miten itse voimme vaikuttaa omaan tietoturvaamme tai työpaikkamme tietoturvaan. Opas on mielestäni myös oivallinen tietolähde työpaikan tietoturva-asioiden järjestelylle niin perustyöntekijöiden kannalta kuin tietoturvasta vastaavien henkilöiden kannalta. Opasta voi mielihyvin suositella ja kannattaa hankkia myös sähköinen versio oppaasta, koska se antaa mahdollisuuden poimia ajankohtaiset neuvot nopeasti. Kimmo vyöryttää neuvoja ja ohjeita niin viljalta, että yhdellä lukemalla ei kirja avaudu kaikkinensa.

Tietoturvan uhat vaanivat meitä kaikkialla. Kimmo luettelee esimerkkejä toteutuneista tietoturvauhista. Henkilötietovarkaus (tietomurto ja tietovuoto) voi tarkoittaa sähköpostiosoitteen joutumista vääriin käsiin. Salasana voidaan varastaa tai murtaa. Identiteettivarkaus voi puolestaan aiheuttaa taloudellisia menetyksiä ja henkisiä vahinkoja. Haittaohjelma voidaan upottaa henkilön tietokoneeseen ja sen avulla voidaan henkilöä kiristää monin tavoin. Nettihuutokaupassa voidaan huijata oikein kunnolla. Pankkiyhteydet voidaan huijata pankkitroijalaisella ja putsata tili. Netin kautta voidaan huijata erilaisin rahahoukuttimin - kuten nigerialaiskirjein tai lottovoittoa luvaten. Sitten on vielä tämä koko digitalisoitunut elämämme, jossa digitalisaatio tarjoaa uusia arkielämään helpottavia ratkaisuja, mutta samalla myös mitä erilaisimpia riskejä ja vaaroja (auton ajamisesta, puhelimen käyttöön ja vaikkapa talon lämmitysjärjestelmän ohjaukseen).

 Rousku 2014: kybermääritelmä, s. 55

Edward Snowden paljasti todellisen tietoturvauhan -kansainvälinen tiedustelu. Snowden saavutti lyhyessä ajassa suuren luottamuksen ja keskeisten tietojen kannalta avainaseman USAn tiedustelupalvelussa NSA:ssa. Kaikilla keskeisillä työntekijöillä on tiukka vaitiolovelvollisuus - niin myös oli Snowdenilla. Hän kuitenkin päätyi hankkimaan käsiinsä 58000-200000 sivua salaisia asiakirjoja ja rikkoi vaitiolovelvollisuutensa. Snowdenin omilla tietokoneilla on tarkasti turvassa tuo materiaali, mutta sitä on vuodettu myös medialle tipoittain. Tähän asti Snowden on julkistanut valitsemansa median kautta noin 2% materiaalista (1300 sivua).

Rousku 2014:  signaalitiedustelu, s. 105

Rousku arvioi, että tämä on vasta alku. NSAn  tapa kerätä tiedustelutietoa on iskeä internetverkon solmukohtiin. Julkisista dokumenteista Rousku on poiminut seuraavan sitaatin: "NSA pystyy katselemaan ja kuuntelemaan mitä tahansa sähköpostiviestejä, puhelinkeskusteluja, www-selainten selaushistorioita ja Word-asiakirjoja, eikä siihen tarvita tuomioistuimen eikä esimiehen lupaa" (s.98). NSA (ja monet muutkin valtiolliset tiedustelupalvelut) käyttävät erilaisia tiedon louhintavälineitä. Merkittävin väline on ollut PRISM. (ks. oheinen kuva, s.105).  Tiedustelussa voidaan  käyttää monia menetelmiä kuten hyödyntämällä sähköpostia tai Internet-verkon päälle rakennettua vahvan salauksen TOR-verkkoa, tai sijoittamalla tietokoneisiin erillisiä seurantalaitteita (bios-implantit). Samoin kehitetään jatkuvasti erilaisia salauksen purkumenetelmiä. Kimmo toteaakin, että periaatteessa on mahdollista suurella rahalla avata mitä hyvänsä salattua tietoa. Toisaalta resursseja tällaiseen toimintaan on vain suurilla valtiollisilla toimijoilla kuten NSA:lla. Snowden-tapaus osoittaa, että teknisellä tiedustelulla ei ole rajoja, vaitiolovelvollisuus on avain tietoturvaan ja riskeihin. Nyt paljastuneet tiedustelukeinot ovat jo vuosia vanhoja. Tällä hetkellä käytetään jo aivan uusia teknologioita, jotka tulevat Kimmon mukaan paljastumaan vasta vuosien kuluttua.

Suomikaan ei ole kyberuhkien ulkopuolella. Mitä enemmän Suomi on digitaalisten tietoyhteyksien solmukohdassa, sitä todennäköisempää on myös niihin iskeminen (kuten tietoliikennekaapelisto, palvelinkeskukset). Myös näin pilvipalvelut ovat erinomainen pohja tiedustelulle. Valtiollista tiedustelua voidaan toki käyttää terrorismin uhan torjumiseen, mutta sitä käytetään muuhunkin. Sen osoitti Merkelin puhelimen salakuuntelu. Uhkana on myös, että tiedusteluaineistot ajautuvat rikollisten käsiin ja niiden merkitys muuttuukin alkuperäisen tarkoituksen vastaiseksi.

Ruoskun kirja antaa paljon pohdittavaa digiaikakaudelle. Kirjan ilmestýmisen jälkeen on myös paljastunut tietovuotoja pikku-Suomessa. Keskustelu Suomen kyberturvallisuudesta on käynnissä ja moni asiantuntija on todennut, että paljon on petrattavaa. Snowden-tapaus osoittaa, että eräs keskeinen tekijä on inhimillinen tekijä tässä tietoturvan ja tietovuotojen maailmassa. Globaalit tietojärjestelmät, tietoliikenneverkot, palvelinkeskukset antavat mahdollisuuksia monenlaiseen tietojen käyttöön ja myös väärinkäyttöön. Big data on ajan sana, jota on valtaosin käsitelty positiivisena mahdollisuutena, jopa uutena liiketoiminta-alueena. Tähän liittyy myös avoimen datan tavoitteet. Silloin tullaan myös kansalaisen kannalta tärkeän kysymyksen äärelle, miten kansalainen hallitsee omaa tietoaan. Sosiaali- ja terveystieto on erityisen merkityksellinen kansalaisen kannalta. Palvelujen tarjoamisessa, hoidossa on tärkeätä, että ammattilaisella on käytössä kaikki relevantti tieto. Toisaalta tärkeätä on turvata kansalaisen tiedon yksityisyys. Tiedot eivät saa ajautua kolmansiin käsiin. (Näihin sote-asioihin Rouskun teoksessa ei oteta kantaa.).

Ollin blogeissakin pohdittu aihetta. Olen aikaisemmin pohdiskellut tietoturva-asioita blogikirjoituksissani, joissa nousee esille ihmillinen tekijä, tiedon omistajuus sekä tiedon luonne eli miten tietoa tulkitaan ja kuka/mikä organisaatio sitä tulkitsee. Samoin nousee esille kysymys, mihin tarkoituksiin tietoa käytetään.
- http://ollintuumailut.blogspot.fi/2013/06/potilaskertomus-kenen-kertomus.html
- http://ollintuumailut.blogspot.fi/2013/06/oikeus-tietoon-kaikille-ei-vain.html
- http://ollintuumailut.blogspot.fi/2013/02/tietoturvassa-ihmisella-on-keskeinen.html

Päivitykset 15.7.2014, 16.7.2014: Viestihuijaukset, byod-ilmiön varjopuolet, Saksassa poliitikot harkitsevat kirjoituskoneiden käyttöönottoa, Microsoft reagoi NSA:lle


- Viestihuijaukset: HS:n uutinen 15.7.2014: "Laajan viestihuijauksen kohteena erityisesti naiset." Kyse on pankkitunnusten huijaamisesta, josta myös Kimmo varottelee kirjassaan. http://www.hs.fi/kotimaa/Naiset+ovat+laajan+viestihuijauksen+erityiskohde/a1405311250124

- Byod-ilmiö: TIVIssä on ajankohtainen uutinen tutkimuksesta, jossa todetaan "lepsuilua" pelisäännöissä omien laitteiden tuomisessa työpaikalle. Kyse on hienosti sanottuna byod - ilmiöstä, jossa työpaikalla voitaisiin sallia erilaisten tietokoneiden kirjo ja omien laitteiden käyttö."Nykyinen byod (bring your own device) -trendi asettaa yritysten it-osastot vaikeaan välikäteen. Työntekijät nimittäin epäilevät kaikkia ehdotuksia, joilla it-osastot yrittävät hallita henkilöstön omien kannettavien tietoturvaa." Tästäkin on Rouskun kirjassa kriittistä analyysiä, neuvoja ja suosituksia. http://www.tivi.fi/kaikki_uutiset/antaisitko+tyonantajasi+asentaa+tietoturvaohjelman+kannettavaasi/a998079

 - Poliitikot harkitsevat kirjoituskoneita, kirjoittaa HS 16.7.2014 viitaten NSA:n tiedustelutietojen keruuseen. Niin tämä muistuttaa myös tuota keskustelua paperin vallasta esim. potilaskertomuksissa. Vaarana tässä paperimaailmassa on, että ne jäävät kolmansien osapuolten käsiin pöydille, kopiokoneisiin jne.

- TIVI-uutisvirrasta 16.7.2014: Microsoft ottaa voimakkaasti kantaa tietojen luovuttamiseen NSA:lle: "Yhdysvaltain oikeusministeriö katsoo, että Microsoftin tulisi luovuttaa maan lakien nojalla myös Irlannissa sijaitsevilla palvelimillaan olevia sähköposteja. Ne koskevat huumeiden salakuljettamista" ... Microsoft sanoo vastauksessaan Edward Snowdenin NSA-paljastusten vähentäneen kuluttajien luottamuksen yhtiön toimintaan. Teknologiajätin mukaan hallituksen kanta nakertaa luottamusta entisestään ja lopulta se tulee murentamaan Yhdysvaltojen johtoaseman teknologiamarkkinoilla."
http://www.tivi.fi/kaikki_uutiset/microsoft+ei+halua+antaa+ulkomailta+tietoja+usalle+quotkantanne+murentaa+johtoaseman+teknologiassaquot/a998304

- Suuressa maailmassa kiinalaiset ovat hakkeroineet terveystietoja (25.8.2014):  http://in.reuters.com/article/2014/08/18/us-community-health-cybersecurity-idINKBN0GI16N20140818?feedType=RSS&feedName=health&dlvrit=309303&utm_content=buffere8ba1&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer