Tekoäly muuttaa maailmaa, mutta se ei suinkaan ole tärkein kyberturvaan vaikuttava asia. DNA:n ja Kyndrylin asiantuntijat kokoontuivat keskustelemaan tulevaisuuden kyberuhkista ja siitä, mihin organisaatioiden pitäisi Suomessa tänä päivänä keskittyä, jotta ne voivat katsoa tulevaisuuteen rauhallisin mielin.
Kuinka kyberturvallisuus on muuttunut viimeisen kymmenen vuoden aikana? Vaikka tekoäly on jo tähän mennessä mullistanut paljon – ja tulee varmasti mullistamaan vielä enemmän tulevaisuudessa – tietyt asiat eivät ole muuttuneet.
Perinteiset tihutyöt, kuten ransomware-kiristyshaittaohjelmat, palvelunestohyökkäykset ja tietomurrot, eivät ole kadonneet mihinkään. Nollapäivähaavoittuvuudet ja järjestelmän puutteelliset asetukset ovat yhä edelleen kultakaivoksia rikollisille, jotka yrittävät löytää tiensä firmojen verkkoihin.
Rikollisten tekemisen taso on kuitenkin ammattimaistunut ja sitä myöten myös tulokset, arvioi DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto.
”Menetelmät ovat aiempaa kehittyneempiä. Rikollisliigat toimivat ammattimaisemmin, ja niillä on käytössään hienostuneempia työkaluja, kuten tekoäly”, hän analysoi.
Tekoälyä voidaan käyttää muun muassa deepfake-huijauksissa muokkaamaan ääntä ja jopa soittelemaan potentiaalisille kohteille automaattisia huijauspuheluita. Samaten aiempaa älykkäämmät ohjelmistot skannaavat verkkoa ja etsivät haavoittuvia palvelimia ihmishakkerin puolesta.
Vaikka rikollisten perusarsenaali onkin pysynyt pitkälti samana, kyberturvallisuuden toimintaympäristö ja konteksti ovat muuttuneet, arvioi Global Security & Resiliency Leader Kris Lovejoy. Hän on nähnyt kehityksen työssään Kyndrylillä, joka on johtava liiketoimintakriittisten yritysteknologiapalveluiden toimittaja.
”10–20 viime vuoden aikana uhkatekijöiden määrä on kasvanut ja kehittyneisyys on uudella tasolla”, hän myöntää.
Tietoturvatutkijat tunnistavat järjestelmän heikon lenkin kaavalla uhkatekijä × haavoittuvuudet. Yhtälön tulos kertoo kyberturvallisuuden kannalta riskialtteimman kohteen. Uhaksi voidaan laskea vaikkapa haittaohjelma, haavoittuvuudeksi esimerkiksi ohjelmiston puuttuva tietoturvapäivitys.
”Hyökkäyskohteiden määrä on lisääntynyt radikaalisti. Hybridityön yleistymisen, pilvipalveluiden ja älyteknologioiden käyttöönoton myötä iskujen vaikutus on aiempaa voimakkaampi. Tietomurrot ovat itsessäänkin pahoja, mutta nyt niillä on systeemisiä vaikutuksia – iskut kaatavat kriittistä infrastruktuuria”, Lovejoy toteaa.
”Enemmän uhkia, enemmän haavoittuvia kohteita, isompi iskuvoima.”
Tärkeä muutos ajattelutavassa
Lovejoyn mukaan suurin muutos organisaatioiden kyberturvallisuudessa ei kenties ole teknologinen vaan koskee ajattelutapaa. Organisaatiot ja yritykset ymmärtävät nykyään paremmin, että hyökkäyksien havaitsemiseen ja niiltä puolustautumiseen tulee panostaa.
”Samaan aikaan puhutaan paljon operatiivisesta resilienssistä, eli organisaation kyvykkyydestä ottaa isku vastaan ja jatkaa sen jälkeen toimintaansa. Kaikki yritykset eivät vielä välttämättä hallitse sitä täydellisesti, mutta kriisinkestävyyden tarve tiedostetaan selvästi aiempaa aremmin”, hän arvioi.
”Iskuista toipumista harjoitellaan nykyään paljon enemmän kuin ennen. Kymmenen vuotta sitten tällaista ei osattu, mutta nykyään organisaatiot ovat tiedostavampia”, Kanto pohtii.
Hän huomauttaa, että organisaatioita myös velvoitetaan nykyään regulaatiolla aiempaa vahvempaan kyberturvaan.
Tämän päivän suurimmat riskit
Mitkä sitten ovat asiantuntijoiden mielestä suurimpia teknologisia uhkia organisaatioille nykypäivänä? Mihin yritysten tulisi keskittyä juuri nyt?
Listan kärjessä on vähemmän yllättävästi tekoäly, sanoo Lovejoy.
”Kyberrikolliset käyttävät tekoälyä hyvin kehittyneissä käyttäjän manipuloinnin (social engineering) juonissaan. Olemme nähneet myös ensimmäisiä älykkäästi muuttuvia haittaohjelmia. Nämä yhdistettynä identiteetin todentamista haittaavaan, kehittyneeseen deepfake-teknologiaan muodostavat erittäin ison ongelman”, hän sanoo.
Toisena suurena uhkana Lovejoy nostaa esiin toimitusketjun riskit. Jopa kolmasosa hyökkäyksistä tapahtuu hänen mukaansa nykyää kolmannen osapuolen järjestelmien kautta. Monet näistä ovat pääkohdetta huonommin suojattuja. Tällaisten iskujen määrä on peräti nelinkertaistunut vain neljässä vuodessa.
Kolmanneksi isoksi uhkatekijäksi hän nostaa sisäiset riskit, jotka kumpuavat erityisesti työvoiman tarpeen muutoksista. Epävakaan taloustilanteen takia jopa taitavimmat ammattilaiset ovat nyt huolissaan töidensä puolesta. Historiallisesti tämänkaltaisessa tilanteessa kyberrikollisuuden määrä kasvaa.
Tekoäly vie kyberrikollisuuden uudelle tasolle
Tekoälyllä on kaksi puolta: riskien ohella siitä on ammennettavissa myös paljon hyötyjä.
”Tekoäly vaikuttaa hyökkäysten tehokkuuteen ja monipuolisuuteen, mutta samaan aikaan se tulee helpottamaan uhkien torjumista”, Kanto ennustaa.
Hänen mukaansa tekoälyn avulla voidaan rakentaa turvallisempia järjestelmiä ja vastata automaattisesti hyökkäyksiin. Tekoälyn avulla tietoturva-analyytikot ja muut alan ammattilaiset pystyvät keskittämään huomionsa kaikkein kriittisimpiin uhkiin.
Kehityksen myötä rikollisliigoilla on nyt joka tapauksessa käytössään menetelmiä, joihin pääsivät aiemmin käsiksi vain valtiolliset toimijat. Uhkiin vastataan tekoälyratkaisuilla, joiden kehittäminen vaatii resursseja. Kilpailun riski on, että pienemmät toimijat jäävät jättiläisten jalkoihin.
”Tämä on kilpavarustelua, ehdottomasti”, sanoo Lovejoy. ”Molemmat puolet käyttävät jatkuvasti tehokkaampia työkaluja.”
Tekoälyn tulevaisuuden uhkia Lovejoy nostaa esiin erityisesti kaksi. Ensimmäinen skenaario on entistä voimakkaampien, sinnikkäiden ja täysin itsenäisten tekoälyagenttien nousu, mikä saattaa kuulostaa tieteiselokuvalta, mutta voi olla täyttä totta hyvin pian. Toinen uhka liittyy avoimeen lähdekoodiin, jota hyödynnetään maailmalla laajasti, varomattomasti ja kiireellä.
”Pelkään, että monet organisaatiot tuovat ymmärtämättömyyttään järjestelmiinsä haitallista koodia ja takaovia – monenlaisia vaaroja, joita ei vain huomata. Jo nyt on merkkejä tekoälystä, jolla analysoidaan avoimen koodin sovelluksia ja kirjoitetaan niitä vastaan räätälöityjä haittaohjelmia”, hän varoittaa.
Vaikka moni on ollut valmis lyttäämään tekoälyyn kohdistetut odotukset ja pitänyt sitä viimeisimpänä hypeteknologiana, tietoturva-asiantuntijat uskovat, että emme ole vielä nähneet asiasta puoliakaan.
”Uskon, että me yhä aliarvioimme tekoälyn vaikutuksen kyberturvallisuuteen”, Kanto naulaa.
Kannon mukaan tekoälyllä tulee olemaan massiivinen vaikutus sekä rikollisten kykyyn iskeä että hyökkäysten torjumiseen. Mutta ei vielä:
”Keväällä näytti siltä, kuin olisi meneillään todellinen AI-vallankumous, mutta GPT-5:n myötä pidän kehitystä ehkä enemmän evoluutiona. Uskon, että olemme hype-käyrän tasankovaiheessa.”
Lovejoy on samaa mieltä. Kehitys on tasaantunut, mutta vallankumous on nurkan takana.
Ihminen teknologian keskellä
Teknologiasta puhuttaessa ihminen usein unohtuu. Tekoäly ei kuitenkaan ole vielä syrjäyttämässä ihmistä, vaan ajattelevia ammattilaisia tarvitaan valvomaan ohjelmistoja ja tekemään korkean tason analyysia.
Kanto allekirjoittaa Lovejoyn näkemyksen toimettomaksi joutuvien tietoturva-ammattilaisten aiheuttamasta riskistä. Samaan aikaan hän pohtii, että kyse on ennen kaikkea oikeilla ja päivitetyillä taidoilla varustettujen ammattilaisten määrästä. Uuden teknologian myötä tarvitaan kullekin aikakaudelle oikeanlaista tietotaitoa.
”Työvoimakysymykset ovat oleellisia kyberturvallisuudessa. Tälläkin hetkellä markkinassa on osaamisvajetta ammattilaisista, jotka osaavat tukea liiketoimintajohtoa riskien ymmärtämisessä ja viedä eteenpäin organisaation kyberturvallisuutta lisääviä aloitteita”, Kanto sanoo.
Oikeanlainen tekninen kyvykkyys on kriittistä. Tekoälyn ottaessa nopeita harppauksia on mahdollista, että lapsi menee pesuveden mukana.
”Vaarana on, että ajan myötä yhtiöt aliarvioivat kyberturvallisuuden ammattilaisten tärkeyden. Näillä asiantuntijoilla on kriittinen rooli järjestelmien turvaamisessa. Toiminnan tehostamisen pitää tapahtua harkitusti, sillä yrityksen infrastruktuuria ja turvallisuutta ymmärtävien syväosaajien menettäminen voi olla hyvin riskialtista”, Kanto neuvoo.
Uusia työtehtäviä syntyy. Lovejoy ennustaa, että itsenäisten AI-agenttien myötä osasta tietoturvahenkilöstöä koulutetaan ”tekoälypäälliköitä”, joiden tehtävänä on valvoa ohjelmistojen toimintaa. Tulemme näkemään promptaajia, tekoälyn eettisiin periaatteisiin perehtyneitä asiantuntijoita ja muita uusia työnkuvia. Tulevaisuuden työtehtäviin valmistaminen ja kouluttaminen on hankalaa, koska kehitys on nopeaa.
Mitä horisontissa näkyy?
Tulevaisuus tuo tullessaan yhä suurempia haasteita. Kvanttitietokoneiden aikakauteen valmistaudutaan jo vauhdilla, mutta murros tulee olemaan haastava. Pelkona on, että nykyiset salausalgoritmit murtuvat jo joidenkin vuosien päästä. Hakkerien tiedetään keräävän kryptattua dataa varastoon jo nyt myöhempää käyttöä varten.
”Microsoft kertoi taannoin pyrkivänsä olemaan varautunut kvanttiuhkiin vuoteen 2029 mennessä ja saavansa muutosprosessin valmiiksi vuoteen 2033 mennessä. Mitä se tarkoittaa muille, paljon pienemmille organisaatioille?” Kanto pohtii.
Tekoälyn vaikutus kasvaa, se on selvää. Huomio tulee kiinnittää myös vanhaan tekniikkaan, kuten sähkö- ja tietoliikenneverkkoihin, joiden kestävyyttä tullaan testaamaan tulevaisuudessa useaan otteeseen.
Lovejoy nostaa lisäksi tulevaisuuden uhkien joukkoon laajenevan geopoliittisen eriytymisen myös tietoverkoissa.
”Suomi on osoittanut kansallisella tasolla vahvaa sitoutumista kyberturvallisuuteen useilla eri tavoilla. Teillä on otettu teknisiä edistysaskelia, kulttuuri tukee innovaatioita ja saatavilla on osaavaa työvoimaa. Sen myötä Suomella olisikin mahdollisuus nostaa profiiliaan kansainvälisen yhteistyön sillanrakentajana”, Lovejoy huomauttaa.
”Nähdäkseni Suomella on tarjota kehittynyttä ajattelua ja syvää kyberturvallisuuden tietotaitoa. Te voitte toimia mallimaana turvallisen ja resilientin digitaalisen ekosysteemin luomisessa.”
Resilienssi on nyt tärkeää
Huomisen uhat ovat moninaisia ja vielä osittain näkymättömiä. Mihin yritysten kannattaisi panostaa juuri nyt, jos ne haluavat parantaa asemiaan tulevaisuuden haasteita vastaan?
”Aloittaisin omien järjestelmien ja ohjelmistojen ymmärtämisestä ja karsimisesta. Ajattelen koko hankintaketjua”, pohtii Lovejoy.
Jos yrityksellä on esimerkiksi 100 kumppania, jollain niistä on todennäköisesti järjestelmässään ongelma, josta hyökkäysvektori löytyy. Karsiminen ja yksinkertaistaminen selventää organisaation kokonaiskuvaa järjestelmäuhista ja nostaa turvallisuuden tasoa.
Samaten yritysten kannattaisi aloittaa ohjelma sisäisten uhkien kartoittamiseksi. Kriittistä ajattelua tietoturvahenkilöstön rekrytoinnissa on syytä tukea. Samalla kannattaa lisätä tekoälypohjaista monitorointia tietojenkalastelua ja käyttäjän manipuloinnin kampanjoita vastaan.
Lovejoy peräänkuuluttaa zero trust -periaatteen arkkitehtuuria. Tulevaisuuden kvanttiuhkia varten yrityksillä pitäisi olla lisäksi salausmenetelmiä koskevaa teknistä ymmärrystä – joko omasta takaa tai kumppaniverkostosta.
”Mielestäni yritysten kannattaa keskittyä siihen, missä ne ovat itse hyviä, ja etsiä tuekseen parhaat tietoturva- ja teknologiakumppanit”, Kanto säestää.
”Jos organisaatio onnistuu kaikessa tässä, se on jo onnistunut vahvistamaan resilienssiään huomattavasti”, Lovejoy sanoo.
”Resilienssi ei tarkoita sitä, että tehdään kaikki itse. Menestyvällä organisaatiolla on luotettavat kumppanit, jotka tarjoavat teknologiaa ja tietoturvaa turvallisen liiketoiminnan tueksi. Varautumisen ekosysteemin rakentaminen on äärimmäisen tärkeä asia.”
Kuinka valjastaa tekoäly avuksi kyberuhkien torjuntaan? Tutustu DNA SOC -palveluun, joka valvoo yrityksesi kyberuhkatilannetta joka päivä vuorokauden ympäri!
