Tulostusversio

1/2009

Tietoturva: Perustaidot kunnossa

Teksti: Antti J. Lagus

Joulukuussa päivitetyn kansallisen tietoturvastrategian mukaan Suomen on määrä olla vuonna 2015 tietoturvan edelläkävijämaa. Tietoturvan taso on jo nyt hyvä etenkin, kun verrataan moneen muuhun maahan.

”Yritykset ymmärtävät, mistä on kyse, ja jopa kotikäyttäjien keskuudessa käsitys on paljon parempi kuin monessa muussa maassa, mistä kiittäisin pitkälti helmikuisia tietoturvapäiviä. Tieto on mennyt hyvin verkon aktiivikäyttäjille koulujenkin kautta. Paljon verkkoa käyttävä sukupolvi ei edes muista aikaa ennen Googlea”, sanoo strategiatyöhön osallistunut tietoturvayritys F-Securen tutkimusjohtaja Mikko Hyppönen.

Osaamistasossa eikä teknisessä tasossa Suomella ole mitään hävettävää. Hyppönen muistuttaa, että Suomessa on myös poikkeuksellisen laaja oma tietoturvateollisuus. Alalla on monia yrityksiä, mille Hyppönen arvelee löytyvän myös historiallisia perusteita.

”Toisen maailmansodan jälkeen salakirjoitustutkimus kiellettiin monessa Euroopan maassa. Suomessa Teknillinen korkeakoulu on kuitenkin opettanut kryptologiaa ja se on ainakin osin poikinut nykytilanteen.”

Painopisteet tiiviissä paketissa

Valtion tietoturvastrategia on puristettu tiiviiseen muotoon. Varsinaisessa strategiassa on neljä A4-sivua ja sitä tukevassa muistiossa viisi.

Hyppönen sanoo, että yhtenä tavoitteena työssä oli nimenomaan saada strategia kiinni reaalimaailmaan ja välttää sanahelinää. Lopputulos on kompakti, vaikka taustalla onkin ison työryhmän pitkän ajan vaatinut työ.

Strategia on jaettu kolmeen painopistealueeseen, joista Hyppönen sanoo ajaneensa erityisesti kansainvälisen yhteistyön asioita. Hän muistuttaa, että vaikka on kyse Suomen tietoturvastrategiasta, netissä ei ole rajoja eikä etäisyyksiä.

”Verkkorikolliset tulevat Suomeen maan rajojen ulkopuolelta, ja suomalaiset verkkorikolliset tekevät rikoksiaan ulkomailla. En muista yhtäkään laajempaa tapausta, joka olisi tapahtunut pelkästään yhden maan sisällä. Mukana on aina vähintään jokin palvelin jossain muussa maassa.”

Vielä kymmenen vuotta sitten kansainvälinen rikollisuus oli huumekauppaa, salakuljetusta ja rahanpesua. Nyt näiden lisäksi on tullut verkkorikollisuus, mikä merkitsee, että kansainvälisen rikollisuuden määrä on räjähtänyt kymmenen viime vuoden aikana.

Verkkorikosten torjuntaan lisää resursseja

Rikollisuuden ehkäisyyn osoitetut resurssit, kuten Europol ja Interpol, eivät kuitenkaan ole kasvaneet vastaavasti, vaan ovat samaa kokoluokkaa kuin kymmenen vuotta sitten. Rikollisten taskuihin päätyy vuosittain satoja miljoonia euroja, ja siinä ovat vain tuotot – eivät rikollisuuden aiheuttamat menetykset.

”Kun kiinnijäämisen riskit ovat varsin pienet ja kun varoittavaa esimerkkiä ei saada vastapuolelle, potentiaalisille rikollisille viestitään, että tässä on hyvä tapa tehdä rahaa, mistä et jää kiinni. Vaikka jäisikin kiinni, luultavasti ei joudu koskaan oikeuteen ja vaikka joutuisi, ei saa tuomiota tai saa hyvin lievän tuomion”, Hyppönen sanoo.

Ongelmaa ei Hyppösen mukaan voi panna muiden maiden kontolle. Esimerkiksi viime vuonna tuomitun kansainvälisen viruskirjoitusryhmän suomalainen 21-vuotias ammattimainen virusten kirjoittaja sai 180 tunnin yhteiskuntapalvelutuomion. Ryhmä murtautui yritysten tietokoneille ja myi saamiaan tietoja eteenpäin.

Palveluntarjoaja kantaa vastuun

Strategiassa puhutaan palveluntarjoajien velvoitteista. Palveluntarjoajia ovat esimerkiksi verkkokaupat ja sosiaaliset verkkofoorumit. Kriittisiä ovat ne palveluntarjoajat, jotka esimerkiksi asiakkaidensa tietoja henkilö-, pankki tai luottokorttietoja.

”Vastuun pitää olla palveluntarjoajalla selvästi niin, että tarjoaja kantaa koko vastuun eikä vieritä sitä eteenpäin esimerkiksi alihankkijoilleen. Näin esimerkiksi Intiaan ulkoistetusta palvelusta vastaa edelleen suomalainen toimittaja”, Hyppönen muistuttaa.

Suomessa verkkokauppa on Hyppösen mielestä monessa paikassa hyvällä mallilla, kun maksu hoidetaan verkkopankin kautta. Tällöin kauppaan ei jää asiakkaan pankki- tai luottokorttitietoja.

Lisäksi pankkien järjestelmät ovat järeämmin suojattuja kuin suurimmillakaan verkkokaupoilla. Pankkien kertakäyttösalasanat ovat taanneet niin hyvän turvan, että verkkorikolliset ovat ennemmin etsiytyneet helpompien saaliiden pariin.

Maali liikkuu koko ajan

”Pitää muistaa, että maali liikkuu koko ajan ja että joudumme elämään tavallaan hyökkääjien ehdoilla. Hyökkääjät ovat aika fiksuja ja menevät heikoimpien reittien kautta. Suurin osa hyökkäyksistä ei ole automaattisia vaan perustuu siihen, että käyttäjä huijataan esimerkiksi avaamaan liitetiedosto tai painamaan jotain linkkiä”, Hyppönen sanoo.

Hänestä on kuitenkin väärin syyttää yksin käyttäjää, sillä Suomessa kehitys on jo pitkään ollut menossa siihen, että kaikki asiat ovat verkossa. Vastuuta tietoturvasta tai salausalgoritmeistä ei voi sälyttää mökin mummolle. Tietoturvaa ei voida rakentaa käyttäjän varaan vaan se kuuluu kolmeen paikkaan: verkko-operaattorille, käyttöjärjestelmän valmistajille ja turvayhtiöille, joilla on kompetenssia turvan toimittamiseen.

Suomessa on jo paljon toimitettu tietoturvaa palveluna, mikä tarkoittaa sitä, että kun mökin mummo menee ja ostaa adsl-palvelun, siihen tarjotaan roskapostin- ja virushallintaa mukaan. Silloin käyttäjän ei tarvitse osata mitään, ja operaattoreiden on helppo palkata osaajia, jotka voivat suojella suuren määrän koneita kerralla verkon yli. Tämä pätee kotikäyttäjien lisäksi myös pieniin yrityksiin, joiden ei tarvitse pitää liiketoiminnan kannalta ylimääräistä asiantuntemusta talossa.

Tukea kansalaisille ja yrityksille

Strategian toinen painopistealue ’Tietoturvaan liittyvien riskien hallinta ja toimintavarmuus’ liittyy huoltovarmuuteen ja kansakunnan elintärkeiden toimintojen turvaamiseen.

”Tämä haluttiin nostaa erityisesti esiin viimeaikaisten palvelunestohyökkäysten takia esimerkiksi Georgiassa ja Virossa. Todennäköistä on, että hyökkäyksiä tullaan näkemään Suomessakin heijastekriisien yhteydessä nimenomaan valtionhallintoa vastaan. Näissä alkunsa jostain muusta tapahtumasta saaneissa kriiseissä eivät yleensä asialla ole viralliset tahot vaan asioista närkästyneet yksityiset kansalaiset.”

Näitä kriisejä on vaikea ennustaa.

Hyppönen arvioi, että myös verkon kautta tehtävät identiteettivarkaudet ovat lisääntymässä, vaikka niitä Suomessa nykyään tehdäänkin aika vähän. Strategiassa luvataan kansalaisille ja yrityksille tukea tällaisissa tapauksissa. Ulkomailta on esimerkkejä siitä, että kun identiteettivarkaus on tehty, nimen puhdistaminen kokonaan on todella vaikeata. Luottotietojen ja rikosrekisterin puhdistamiseen tarvitaan viranomaisten apua.

Strategia viitoittaa tietä

Työryhmässä keskusteltiin Hyppösen mukaan paljon siitä, mitä strategiaan otetaan mukaan, mutta hän on tyytyväinen valmiiseen strategiaan, sillä siinä on otettu pääasiat hyvin huomioon. Esimerkiksi kännykkäturvaa strategiassa ei mainita lainkaan, mutta kännyköihin kohdistuva uhka on todennäköisyydeltään niin paljon pienempi kuin muut, että se jätettiin pois.

Strategia antaa suuntaviivat asioiden toteuttamiselle. Yksi konkreettinen toimenpide oli helmikuussa järjestetty seminaari, jossa suunniteltiin strategian käytännön toteutusta. Strategiaryhmän on määrä seurata asioiden kehitystä seuraavien neljän vuoden ajan.

Lue myös

Tietoturva: Neuvottelukunta koordinoi »
Tietoturva: Ei tuurilla vaan taidolla »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.