Vaikka kyberturvallisuus mielletään usein osaksi massiivista avaruussotaa, suurin kyberturvallisuusriski on usein pieni ihminen, sanoo kansainvälisen Intel Security -yhtiön kyberturvallisuusjohtaja, sotatieteiden tohtori Jarno Limnéll.
Limnéll on kirjoittanut kirjan nimeltä Kyberturvallisuus yhdessä niin ikään Intel Securityssä johtajana työskentelevän Klaus Majewskin ja Lapin yliopiston tohtorikoulutettavan Mirva Salmisen kanssa.
Tietokoneverkkojen ja bittimaailman turvallisuutta pidetään omana erillisenä ”virtuaaliavaruuden” juttuna, mutta Limnéll sanoo sen liittyvän – yllättävää kyllä – meidän kaikkien jokapäiväiseen arkeen.
Kyberhyökkäyksien valmistelussa tärkeintä ihmisen horjuttaminen.
– Silloin kun kyberturvallisuusasiat ovat kunnossa, siihen ei kukaan kiinnitä huomiota.
Limnéll sanoo, että yleensä emme huomaa, miten riippuvaisia olemme bittien eli sähköisessä muodossa talletetun tiedon, datan maailmasta. Monien arkipäivän asioiden sujuvuus on kuitenkin digitalisoidun tiedon ja sähköisten verkkojen varassa.
Kaupan, pankkien ja liikenteen sujuva toiminta on esimerkiksi bittien ja tietoverkkojen varassa. Sähkönjakelu ja vaikkapa keskussairaaloiden toiminta ovat astetta vakavampia kyberturvallisuudesta huolehtimisen arkisia kohteita.
Heikoin lenkki on ihminen
Kun arkipäivän elämän sujuvuus on kiinni sähköisistä verkoista ja biteistä, on tärkeää, että niiden kanssa työskentelevät ihmiset ovat mahdollisimman hyvin perillä niihin liittyvistä turvallisuusasioista.
Pelkät tietojärjestelmiin asennetut palomuurit ja virustentorjuntaohjelmat eivät riitä.
– Jos näin olisi, kyberturvallisuuden ongelmat olisivatkin helposti ratkaistu.
Limnéllin mukaan turvallisuusohjelmat eivät ole kyberturvallisuuden heikoin lenkki vaan ihminen. Ammattitaidoton, huolimaton ja virheitä tekevä ihminen aiheuttaa koko ajan pahimmat tietoturvallisuusriskit.
Puhuttaessa korkean luokan kyberturvallisuuden horjuttamisesta tärkeintä ei ole tietoverkkojen tekninen hakkerointi vaan ihmisen horjuttaminen.
– Voi kärjistetysti sanoa, että amatöörit hyökkäävät tekniikan ja ammattilaiset ihmisten kautta. Ihmiset, jotka eivät tiedä turvallisen toiminnan perusasioita tai eivät niistä välitä, ovat paha turvallisuusriski yritykselleen.
Turvallisuuden aakkosia ovat tarkkuus työpaikkojen koneisiin tuotavien usb-tikkujen tai epäilyttävien sähköpostien kanssa.
Monet merkittävät kyberturvallisuuden murrot ja hyökkäykset on tehty juuri ihmisten heikkouksia hyväksi käyttäen. Näin lamaannutettiin osittain Iranin ydinohjelma taannoin.
Venäjä verkkouhkien paha poika
Sotilasturvallisuus ja yhteiskunnan strategiset toiminnat ovat niitä uhkia, jotka puhuttavat ja pelottavat kyberturvallisuudenkin puolella.
Jarno Limnéll sanoo – ehkä monet yllättäen – että Venäjä on kyberturvallisuuden ja verkko-osaamisen huippumaa. Käytäntö on osoittanut myös, että Venäjä on verkkoturvallisuuden paha poika.
Limnéll sanoo, että vakoilua on aina ollut ja tulee olemaan. Venäjänkin osalta se ja erilaiset sabotaasit ovat siirtyneet merkittäviltä osiltaan kybermaailmaan.
Viron pronssisoturikiistan aikaan vuonna 2007 maan Venäjä-suhteet kiristyivät. Silloin virolainen yhteiskunta joutui verkkotoiminnan lamaantumisen vuoksi vaikeuksiin, kun Viroon kohdistui kybermaailmassa palvelunestohyökkäyksiä. Niiden uskottiin tulevan Venäjältä.
Limnéll ei lähde arvioimaan, miten tarkkaan Venäjän valtio on muodollisesti mukana esimerkiksi niissä kyberhyökkäyksissä, jotka näyttävät tulevat sen maaperältä. Mutta arvata saattaa, ettei Venäjä ole niistä tietämätön, päinvastoin.
– Ukrainan kriisiin liittyen on paljastunut mahdollisesti Venäjältä tullut vakoiluohjelma, jota on kuvailtu yhdeksi kehittyneimmäksi vakoiluohjelmaksi, joita tuolla verkoissa liikkuu. Samanaikaisesti arvioidaan, että se on noin 5–7 vuotta vanha.
– Tällä alalla 5–7 vuotta on todella pitkä aika. Jos nyt pidetään näin vanhaa vakoiluohjelmaa yhtenä kehittyneimmistä, niin voi vain kysyä, mitä sen jälkeen on tehty, mitä tuolla liikkuu, mistä ei olla tietoisia.
Virossa otettiin opiksi vuoden 2007 tapahtumista. Siitä on kehittynyt kyberturvallisuuden huippuosaaja. Se on tunnustettu laajalti. Puolustusliitto Natollakin on ollut hyvä syy sijoittaa kyberturvallisuuden tutkimuslaitos Viroon.
Asiasta enemmän perjantaina 11.4. ilmestyneessä Kansan Uutisten Viikkolehdessä. Osta näköislehti Lehtiluukusta.