Tietoturva ja kyberresilienssi
Kuka valvoo valvojia?
Tekoälyn vahvistamat työkalut lisääntyvät ja hienostuvat lähes päivittäistahdilla. Tietoturvan ja kyberresilienssin maaperä on jatkuvassa muutostilassa ja automaation yleistyessä valvonnan rooli korostuu. Uhkien vahvistuessa syntyy kuitenkin myös uusia innovatiivisia digitaalisia työkaluja, jotka tekevät arjestamme sujuvampaa ja tietoturvallisempaa.
(Lukuaika n. 6 min)
Tekoäly paikkaa kyberturvallisuuden osaajapulaa
Tietoturva-ala kärsii asiantuntijapulasta: maailmanlaajuisesti kyberturvallisuuden toimialalla on yli neljän miljoonan osaajan vaje. Tätä osaamisen onkaloa ollaan kiireen vilkkaa täyttämässä generatiivisen tekoälyn ja koneoppimisen vahvistamilla teknologioilla.
Gartnerin arvion mukaan noin puolet junioritason tietoturvatyöstä tullaan siirtämään tekoälylle vuoteen 2028 mennessä. Tekoäly muuttaa myös rekrytointia, sillä esimerkiksi psykologinen soveltuvuus, kontekstitason näkemys ja muut inhimilliset osatekijät tulevat vaikuttamaan keskeisemmin palkkauspäätöksiin teknisen osaamisen ohella. Arvioiden mukaan tekoäly voi tiputtaa inhimillisistä erheistä johtuvien tietoturvamurtojen määrän lähes puoleen nykyisestä.
Tekoälyn apukäsi ei suinkaan ole korvaamassa ihmistä. Tietoturva-asiantuntijoiden roolit monipuolistuvat, kun osittain tekoälyn kontolle sälyttyvä operatiivinen toiminta vapauttaa työvoimaresursseja esimerkiksi strategiseen työhön ja prosessien kehittämiseen. Myös uusia työpaikkoja syntyy, sillä yrityksillä on kasvavissa määrin pulaa generatiiviseen tekoälyyn ja koneoppimiseen erikoistuneista asiantuntijoista.
Noin puolet junioritason tietoturvatyöstä tullaan siirtämään tekoälylle vuoteen 2028 mennessä.
Tietoturvan ekosysteemi vaatii nopeaa uusiutumista
Heinäkuussa 2024 kyberturvallisuuteen erikoistunut yritys CrowdStrike jakoi päivityksen laajasti käytetylle Falcon-alustalleen. Siitä alkoi kierre, joka koetteli järjestelmien kyberresilienssiä maailmanlaajuisesti.
Päivityksen koodiin eksynyt bugi kaatoi lukemattomia tietojärjestelmiä ennennäkemättömän nopeasti ja tehokkaasti. Lentoasemat, pankit, sairaalat ja monet muut kansalliselle infrastruktuurille kriittiset toimipisteet olivat yhtäkkiä polvillaan. Pölyn laskeuduttua tappioiden yhteenlaskettu summa oli miljardiluokkaa, mutta rahallista menetystä enemmän hirvitti se, kuinka niin moni kriittinen järjestelmä oli osoittautunut yhtä haavoittuvaiseksi kuin se Akilleen kuuluisa kantapää.
CrowdStrike-tapaus osoitti, että yritysten on lähestyttävä kyberresilienssiä laajempana kokonaisuutena. Yksinomaan IT-osaston vastuualueen sijaan sen on oltava keskeinen osa kestävän liiketoiminnan suunnitelmaa, jossa liiketoimintakriittisten alueiden toiminta on aina turvattua.
Lähteet:
World Economic Forum
Forbes
Lentoasemat, pankit, sairaalat ja monet muut kansalliselle infrastruktuurille kriittiset toimipisteet olivat yhtäkkiä polvillaan.
”Maalaisjärki on iso osa tietoturvaa” – kyberturvallisuuden lehtori Pia Satopää tietää, missä voisimme kehittyä
Tekoälyavusteiset tietoturvahyökkäykset, deepfake-huijaukset ja CrowdStrike-tapaus ovat puhututtaneet paljon kyberturvallisuuden saralla. Miten muuttuvat ja kehittyvät teknologiat vaikuttavat tietoturvakenttään ja mihin tietoturvassa kannattaa keskittyä? Tietoturvakentän kokenut konkari ja lehtori Pia Satopää valottaa kyberturvakentän tilannetta.
Lue koko artikkeli (Lukuaika n. 4 min)
”Niin suojautumisessa kuin hyökkäyksissä käytettävät teknologiat kehittyvät niin suurella nopeudella, että uusinkin tieto saattaa vanhentua vauhdilla. Erityisen huolestuttavia ovat tällä hetkellä tilanteet, joissa yhden palveluntarjoajan haavoittuvuus voi pahimmillaan vaikuttaa laajasti jopa yhteiskunnan toimijoihin”, aloittaa Pia Satopää, Turun ammattikorkeakoulun kyberturvallisuuden lehtori.
Tällaisia uhkia kutsutaan ekosysteemitason uhiksi. Ekosysteemitason uhalla viitataan laajempaan, kokonaisvaltaiseen vaikutukseen, joka kohdistuu koko digitaaliseen infrastruktuuriin ja eri toimijoiden verkostoihin – aina terveydestä ja turvallisuudesta sähköverkkoon ja puhtaaseen veteen asti.
Hyökkääjille riittää yksi onnistuminen, mutta puolustuksen täytyy onnistua joka kerta.
Oiva, ja pelottava, esimerkki tällaisesta on vuonna 2024 sattunut CrowdStrike-tapaus, jossa kyberturvallisuusyrityksen ohjelmistoon ladattiin viallinen päivitys, jonka lopputulemana arviolta 8,5 miljoonaa ohjelmistoa kaatui. Katkos häiritsi muun muassa sairaaloiden ja lentokenttien toimintaa.
”Tällaiset uhat saavat miettimään, onko meillä riittävä ymmärrys eri toimijoiden ja systeemien välisistä riippuvuuksista ja niiden hallinnasta. Organisaatioissa olisikin syytä pohtia, onko niillä kyky tunnistaa riippuvuussuhteita esimerkiksi toimitusketjuista. Toivoisin tulevaisuudessa näkeväni kyberturvan saralla yrityksiltä enemmän koko toimitusketjujen hallintaa ja uhkalähtöistä riskienhallintaa pistemäisen riskienhallinnan sijaan”, Satopää sanoo.
NIS2-direktiivi ottaa laajasti kantaa juuri tähän. Direktiivi asettaakin toimijoille uuden minimitason kyberturvallisuusriskien vastuuseen alihankkijoita myöten ja lisää raportointivelvoitteita. Lisäksi yritysten täytyy kehittää perustason kyberhygieniakäytäntöjä ja panostaa kyberturvallisuuskoulutukseen.
Tietoturvan tulisi olla osana jokaista prosessia
Satopäällä on huomattavaa kokemusta tietoturvan saralta jo useammalta vuosikymmeneltä. Hän työskenteli Puolustusvoimilla useammassa tietoturvapestissä, viimeisimpänä tietoturvajohtajana. Tietoturvajohtajan pestistä hän luopui, kun Turun ammattikorkeakoulusta otettiin yhteyttä ja kysyttiin, olisiko hän kiinnostunut lähtemään rakentamaan kyberturvallisuuden ylempää korkeakoulututkinto-ohjelmaa – ja sillä tiellä hän edelleen on.
”Usein henkilöstölle puhutaan monimutkaisesti tietoturvan teknisistä kikkuloista, kun pitäisi selkeästi kertoa, millainen rooli jokaisella työntekijällä on organisaation tietoturvaketjussa”, Satopää selittää.
Tulevaisuuden kyberammattilaisten kouluttamisessa Satopää näkee tärkeäksi sen, että he pystyisivät näkemään tilannekuvan laajemmin ja muodostamaan kokonaisvaltaisen käsityksen tietoturvasta organisaation eri toiminnoissa.
”Kenenkään kapasiteetti ei riitä jokaisen uusimman teknisen kehitysaskeleen seurantaan. Voimme tehdä erilaisia suojautumis-, varautumis- ja jatkuvuussuunnitelmia, mutta ne voivat hapertua käsiin ilman säännöllistä harjoittelua ja testaamista. Kyber- ja tietoturvan haaste on päästä pois omasta siilostaan niin, että ne olisivat osa jokaista projektia ja prosessia päivittäisessä operatiivisessa toiminnassa. Hyökkääjille riittää yksi onnistuminen, mutta puolustuksen täytyy onnistua joka kerta.”
Satopää on huolissaan geopoliittisesta tilanteesta ja uhista, jotka nousevat, kun hyökkäyksillä pyritään vaikuttamaan valtioiden kriittiseen infrastruktuuriin. Saatavilla on jatkuvasti parempia deepfake -väärennöksiä, joilla ihmisiä manipuloidaan, eikä niiden tekeminenkään enää ole kauhean vaikeaa – ja niillä voidaan aiheuttaa epävakautta turvallisuustilanteeseen sekä vaikuttaa suoraan politiikkaan.
”Olisi äärimmäisen tärkeää saada aikaan yhä vahvempaa yhteistyötä eri tahojen välillä. Olemme saaneet esimerkiksi Ukrainasta valtavasti oppeja. Tarvitsemme kuitenkin lisää tiedonvaihtoa valtiollisten tahojen ja yksityisen sektorin välillä, niin kansallisesti kuin kansainvälisestikin. Tämän eteen on tehty paljon ja pitkään töitä.”
”Ihminen on tietoturvan ainoa lenkki”
Satopää on vakaa ihmiskeskeisen tietoturvan puolestapuhuja. Teknologia kehittyy ja samalla teknisten suojausten kautta on yhä vaikeampaa päästä kohteeseen käsiksi. Siksi yksi tehokkaimmista tavoista hyökätä organisaatioon on ihmisen kautta. Meidän tulisi keskittyä siihen, miten työntekijöitä koulutetaan kyberturvan saralla.
Tekoälyn Satopää näkee erinomaisena työkaluna turvallisuusuhkien tunnistamisessa ja torjunnassa, sillä se jaksaa väsymättä analysoida poikkeamia. Hän haaveilee myös tekoälyn käytöstä uusien kyberammattilaisten koulutuksessa, jossa tekoälyllä avustettu koulutusohjelma soveltaisi juuri tällä hetkellä pinnalla olevia asioita. Mutta millaisin neuvoin hän varustaisi meitä jokaista tietoturvan saralla?
”Tietoturvasta iso osa on maalaisjärkeä: on tärkeää pysähtyä hetkeksi miettimään asioita sekä on uskallettava käyttää lähdekritiikkiä ja kyseenalaistaa. Tietoturvan suurin resurssi on ihmiset: jokainen työntekijä on sensori, joka tarkastelee ympäristöä, tätä resurssia on osattava hyödyntää. Kuten eräs opiskelijani sanoi, ihminen on ainoa lenkki tietoturvassa. Ihminen on jokaisessa välissä, oli kyseessä sitten ohjelmisto tai laite – joten ihmisen tulisi aina olla tietoturvan keskiössä.”
Deepfake-teknologia kehittyy – mutta niin kehittyvät myös huijausten tunnistamiseen räätälöidyt työkalut
Hakkerilegenda Kevin Mitnick totesi toistuvasti, että osaavan tietorikollisten pelikenttä on ennemmin sosiaalinen kanssakäynti kuin digitaalinen neuvokkuus. Siinä pelissä järjestelmien murtamista tärkeämpää on kyky ohjata ihmisiä harhaan. Nopeasti kehittyvä deepfake-teknologia tarjoaa valitettavan tehokkaita työkaluja harhautusten toteuttamiseen.
Julkisuuden henkilöitä hyödyntävät valemainokset ja poliittisesti arveluttavat videoleikkeet ovat vain jäävuoren näkyvin huippu, sillä tulevaisuudessa deepfake-teknologia löytää tiensä entistä lähemmäs myös tietotyöläisen arkea. Hyperrealistinen deepfake-teknologia jäljittelee ihmistä niin täsmällisesti, että pian on mahdotonta erottaa aitoa ihmistä ja digitaalisesti luotua vastinetta toisistaan. Mistä silloin voi tietää, onko vaikkapa Teams-puheluun osallistuva kollega tai esihenkilö aito ihminen?
Onneksi monet yritykset kehittävät uusia sovelluksia ja alustoja, joiden avulla deepfake-huijaukset on helpompi tunnistaa. Muun muassa virolainen Sentinel kehittää tekoälyä hyödyntävää teknologiaa, joka auttaa niin yrityksiä, viranomaisia kuin hallituksia tunnistamaan deepfake-teknologian. Tulevaisuudessa vilpillisesti luodun mediasisällön tunnistamisen arvo kasvaa entisestään, sillä teknologian väärinkäyttö aiheuttaa seurauksia aina tietoturvasektorilta geopolitiikkaan.
Lähteet:
MIT Technology Review
Forbes
Hyperrealistinen deepfake-teknologia jäljittelee ihmistä niin täsmällisesti, että pian on mahdotonta erottaa aitoa ihmistä ja digitaalisesti luotua vastinetta toisistaan.
