Artikkeli on julkaistu 3/2018

Kyberriski ei ole koskaan nolla prosenttia. Oleellista on keskittyä yrityksissä sen minimointiin.

NotPetya-kyberhyökkäys aiheutti Maerskille 240 miljoonan euron tappiot, Facebook-palvelun tietovuoto vaarantanut yli 50 miljoonaa käyttäjätunnusta, ulkoministeriön tietoverkossa vakoilua, verkkopankissa häiriöitä, nettikäyttäjät saaneet kiristysviestejä…

Kyberrikoksista kertovista uutisista on runsaudenpulaa, vaikka merkittävä osa tapauksista jää julkisuudelta piiloon. Mårten Mickos on vakuuttunut, että lisää uutisia on luvassa. Pahinta ei ole vielä nähty.

”Kyberhyökkäykset pahenevat vielä siitä mitä ne ovat tänä päivänä. Mutta ratkaisut ja vastatoimet ovat myös lähteneet liikkeelle”, hän sanoo.

Mårten Mickosilla on perspektiiviä näkemyksiinsä. Tällä hetkellä hän toimii Piilaaksossa HackerOne -yhtiön toimitusjohtajana. Aiemmasta työhistoriasta löytyy näyttävä polku työtehtäviä ja yrityksiä, muun muassa MySQL, Sun Microsystems, Eucalyptus Systems sekä Hewlett-Packard.

 

Konkreettisia toimia tarvitaan nyt

Kuten julkitulleet tapaukset karusti osoittavat, kyberuhkien kirjo on pelottavan laaja. Huonoja skenaarioita rajoittaa oikeastaan vain mielikuvitus.

”Kyberuhkia on paljon ja on mahdotonta arvioida mikä niistä olisi pahin. On hirvittävää, jos luottokortti- tai pankkitietoja varastetaan. Mutta on pahempaa, jos yhteiskunnan tietojärjestelmät menevät nurin. Vieläkin pahempaa on energian saannin tai terveyshuollon pysähtyminen. Ehkä on olemassa vieläkin kammottavampia skenaarioita, joiden seuraukset olisivat hyvin kalliit”, Mickos pohtii.

Hänen mukaansa pahimmassa tapauksessa kyberhyökkäys voi horjuttaa kansalaisten uskoa yhteiskuntaan.

”Sen tuloksena voi olla sekasorto ja yhteiskuntajärjestyksen järkkyminen”, Mickos maalailee.

Synkistä sävyistä huolimatta hän kuitenkin korostaa, että pahimmat vaihtoehdot eivät ole väistämättömiä. Paljon on kiinni kyvystämme puolustautua ja aktiivisuudestamme tilanteen parantamiseksi.

”Onneksi yhteiskunta ja sen toimijat ovat jo nähneet nämä riskit ja ryhtyneet vastatoimiin. Edistyneimmät organisaatiot näkevät tietoturvan riskienhallintatoimintana. Monet ymmärtävät, että puolustajien kannattaa keskenään jakaa tietoa ja tehdä yhteistyötä. Tiedetään, että ulkoa tulevat haavoittuvuusraportit ovat arvokkaita. Nyt on enää vain kyse siitä, miten nopeasti – tai hitaasti – laiva kääntyy”, Mickos sanoo.

Laivassa – tai oikeastaan lukemattomissa laivoissa – riittää kääntämistä. Sillä pelkkä organisaatioiden tietoisuus ja toimenpiteet eivät riitä, kun usein kyberturvallisuuden heikon lenkki on ihminen. Varomaton käyttäjä voi avata oven vilpintekijöille.

Mickos korostaakin, että kyberturvallisuuden ongelmat ovat niin laajoja ja merkittäviä, että jokaisen pitää olla niistä tietoinen.

”Varovaisuudella ja kurinalaisella tietokoneen käytöllä voi jokainen pienentää kyberhyökkäyksen riskiä. Ota varmuuskopioita. Älä avaa liitetiedostoja, äläkä klikkaa sähköpostissa olevia linkkejä”, Mickos muistuttaa perusasioista.

On hyvä tiedostaa, että kyberriski ei ole koskaan nolla prosenttia. Siksi ei keskitytä riskin poistamiseen vaan sen minimointiin.

 

Tervetuloa hakkerit

Millä taktiikalla kyberuhkia sitten pitäisi lähteä kampittamaan? Vaikka täydellinen turva uhkia vastaan olisi tietysti paras vaihtoehto, Mickos kehottaa realismiin. Hänen mukaansa puolustustaistelussa ei olla etsimässä teknologiaa, joka pysäyttäisi kaikki hyökkäykset, vaan pyritään minimoimaan riskitekijöitä.

”On hyvä tiedostaa, että kyberriski ei ole koskaan nolla prosenttia. Siksi ei keskitytä riskin poistamiseen vaan sen minimointiin. Tällä tavalla tulokset ovat merkittäviä ja kustannukset siedettäviä.”

Tätä riskien vähentämisen filosofiaa toteuttaa myös Mårten Mickosin johtama HackerOne-yhtiö, jolla on takanaan peräti 250 000 niin sanotun valkohatun verkosto.

Nämä valkohatut ovat hakkereita, jotka käyttävät osaamistaan vastuullisesti kyberturvallisuuden ja luottamuksen edistämiseen. Usein he saavat palkkion kohdejärjestelmästä tai -sovelluksesta löytämistään haavoittuvuuksista.

Yrityksille ja organisaatioille kyse on ennalta varautumisesta, kun ohjelmistojen ja sovellusten haavoittuvuuksia pyritään tunnistamaan samankaltaisin menetelmin kuin kyberrikolliset käyttävät.

”Kun yritys korjaa löydetyn vian, tietomurron riski pienenee. On huomattu, että tämä menetelmä on tehokkaampi ja edullisempi kuin kaikki muut tavat etsiä ja löytää tietoturvahaavoittuvuuksia”, Mickos listaa etuja.

Valkohattujen verkostosta voi niin kutsuttujen Bug Bounty -ohjelmien yhteydessä tulla jopa satoja haavoittuvuusraportteja päivässä. Niiden jokaisen merkitys ja kiireellisyys pitää arvioida.

”Kyse on asiantuntijatyöstä, joka vaatii resursseja ja osaamista. Harvalla yrityksellä on niitä riittävästi omasta takaa. Mutta työhön voi ja yleensä kannattaakin valjastaa haavoittuvuuksien analysointiin ja hallintaan erikoistunut kumppani”, muistuttaa Mickos.

 

Kaikki eivät ole heränneet

Millainen tilanne sitten on Suomessa? CGI:n selvityksen mukaan viimeisen kahden vuoden aikana joka viides organisaatio on jo ollut kiristyshaittaohjelman ja joka kolmas muun haittaohjelman kohteena. Vain 13 prosenttia organisaatioista kertoo tapahtuneen kyberhyökkäyksen tai -vahingon tulleen julkisuuteen. Jopa 70 prosenttia organisaatioista arvioi todennäköisesti joutuvansa hyökkäyksen kohteeksi seuraavan vuoden aikana.
Mårten Mickosin mielestä tilanne on kaksijakoinen.

”Suomessa on toisaalta maailman parasta tietoturvaosaamista, mutta toisaalta esiintyy myös yleisesti ongelman kieltämistä.”

Mickos kannustaa organisaatioita nostamaan tietoturvan ydinprioriteetikseen. Se tarkoittaa, että turvallisuuslähtöisen sovelluskehittämisen lisäksi järjestelmille pitää järjestää jatkuva tietoturvahoito, ja organisaatioiden on myös varauduttava mahdollisiin hyökkäyksiin ja muihin häiriötilanteisiin.

Hänen mukaansa modernit toimijat myös ymmärtävät avoimuuden tärkeyden. Jakamalla tietoa ja kuuntelemalla ulkopuolisia asiantuntijoita, mahdollisuudet kyberriskien vähentämiseen moninkertaistuvat.

Vaikka kyberuhat voivat tuntua valtavilta, Mickos sanoo, ettei tilanne niiden suhteen sinänsä ole sen kummempi kuin minkään muunkaan merkittävän uhan osalta.

”Tosiasiat pitää nähdä ja myöntää. Korjaaviin toimenpiteisiin pitää ryhtyä. Täydelliseen turvaan ei saa uskoa. Kyse on riskien tietoisesta ja järjestelmällisestä hallinnasta”, hän summaa.

Hackers-as-a-Service

Jatkossa suomalaiset yritykset voivat hyödyntää globaalin hakkeriverkoston osaamista yhdistettynä CGI:n kyberturvaosaamiseen. 

”Valkohattujen verkostosta voi tulla jopa satoja haavoittuvuusraportteja päivässä. Niiden jokaisen merkitys ja kiireellisyys pitää arvioida. Kyse on asiantuntijatyöstä, joka vaatii resursseja ja osaamista. Suomen suurimpana ja globaalina kyberturvatoimijana palvelumme kattavat nyt myös nämä palkkio-ohjelmat”, summaa CGI Suomen kyberturvallisuusjohtaja Jan Mickos.

Verkoston jäsenille osoitetaan kohdejärjestelmä tai -sovellus, josta haavoittuvuuksia etsitään ilman, että heille avataan mitään erityistä sisäänpääsyä. Löydetyistä haavoittuvuuksista palkitaan, joissain tapauksissa rahallisin palkkioin. Palkkioiden määrät vaihtelevat ohjelmien suuruuden tai haavoittuvuuksien vakavuuden mukaan.

”Bug Bounty -ohjelmat ovat hyväksi todettu tapa tunnistaa, missä yritykset ja organisaatiot ovat kaikista haavoittuvimpia”, kertoo Mickos.

 


 

Kyberturvallisuuden tila Suomessa 2018 -selvitys osoitti, että organisaatiot vähättelevät yhä tietoturvan ja kyberturvallisuuden merkitystä liiketoiminnalle. Lataa tutkimus itsellesi!

Tutustu myös