Kirjoittajat: Joonas Kiuru & Tony Kalliala

Johdanto

Käsittelimme esseesarjan ensimmäisessä osassa tietoturvaa yleisvaltaisemmin, tässä esseessä pureudumme vielä syventävämmin aiheeseen, ja tarkastelemme asiaa myös kyberturvallisuuden näkökulmasta. 

Tietoturva. Siitä puhutaan kaikkialle ja sen tärkeyttä korostetaan, mutta mitä se todella tarkoittaa 2020-luvun yritysmaailmassa? Ajattelemalla tietoturvaa abstraktina ja monimutkaisena konseptina yritys tekee itselleen karhunpalveluksen. Todellisuudessa tietoturva on jopa pienienkin, yksittäisten toimien muodostama suojakilpi, joka estää sellaisten henkilöiden tai tahojen pääsyn järjestelmiin, jonka ei ole tarkoitus nähdä järjestelmissä säilöttyjä tietoja tai väärinkäyttää järjestelmää muilla tavoin. 

Tietoturva on organisoitu kokonaisuus, johon kuuluu toimia niin fyysisestä tasosta (esim. lukitsemalla toimiston ovet) ajatusmalleihin (“mitä voin tehdä paremmin yrityksemme tietoturvan suhteen?”)  asti. 

Tietoturvan peruskiviä voidaan havainnollistaa seuraavan kirjainyhdistelmän kautta: C – I – A (Järvinen 2022) jotka tulevat englannin sanoista confidentiality, integrity ja availability. Suomeksi käännettyinä ne tarkoittaisivat: luottamuksellisuus, eheys ja saatavuus. Perinteisessä tietoturva-ajattelussa näiden kolmen aspektin varmistaminen ja ylläpitäminen ovat toiminnan keskiössä (Kauppi 2019). Avataan seuraavaksi mitä nämä tietoturvan kolme pääteemaa tarkoittavat. 

LUOTTAMUKSELLISUUS 

Luottamuksellisuudella tarkoitetaan tässä kontekstissa sitä, että yrityksen ns. tulenarat tiedot ovat turvassa ja piilotettuina sellaisilta tahoilta, joiden ei ole tarkoitus niitä nähdä. Näihin luottamuksellisiin tietoihin kuuluvat yleensä ainakin liikesalaisuudet, palkkatiedot, henkilötiedot, sähköpostien sisällöt, langaton verkkoliikenne ja monet muut yrityksen sisäiset tiedot.  

EHEYS 

Eheys on terminä hieman haastavampi hahmottaa, mutta sillä tarkoitetaan tässä tapauksessa sitä, että yrityksen tiedot ovat loogisesti korrekteja, ja tietoihin kohdistuu vain niihin tarkoitettuja muutoksia. Esimerkiksi työntekijällä ei pitäisi olla pääsyä muokkamaan omia palkkatietojaan. Tähän linkittyy vahvasti myös järjestelmän käyttäjän tunnistaminen eli autentikointi (eng.authentication).

Nykyään suurin osa meistä onkin jo ehtinyt tutustua kaksivaiheiseen todennukseen, eli two-factor authenticationiin. Tällä pyritään entistä vahvemmin saada tieto siitä, että palvelua todellakin käyttää se henkilö, jonka kuuluukin. Tämäkään ei ole kuitenkaan täysin aukoton menetelmä, sillä nykyään kaksivaiheinen todennuskin voidaan ohittaa oikeilla tekniikoilla. 

Ohjelmoinnissa tapahtuneet virheet rikkovat myös eheyttä. Jos tiettyä nappia painamalla pääseekin väärään näkymään, ja järjestelmä toimii muilla epäloogisilla tavoilla, voidaan sanoa että järjestelmän eheydessä olisi parantamisen varaa.
 

SAATAVUUS 

Saatavuus on taas hieman helpompi selittää. Jos työntekijän tietokone ei käynnisty, yrityksen serverit ovat rikki, tärkeitä tiedostoja ei löydy, toimiston ovi on lukossa tai käynnissä on sähkökatko, yrityksen järjestelmien saatavuus on uhattuna. Täydellistä saatavuutta on melkeinpä mahdotonta saavuttaa, siitä huolimatta että yritykset panostavat huomattavia summia erilaisiin vikasieto- ja varavirtajärjestelmiin. Erilaiset luonnonilmiöt ja muut ylivoimaiset esteet voivat vaarantaa saatavuutta, eikä tornadoa tai maanjäristystä vastaan voi juuri varmuuskopioinnin ja varavirtajärjestelmien lisäksi paremmin suojautua. 

ILMAINEN TIETOTURVAVINKKI YRITTÄJÄLLE 

Kun yritys tekee turvallisuuskartoitusta omista järjestelmistään, edellä selitetty kolmen kirjaimen CIA-yhdistelmä toimii hyvänä muistisääntönä. (confidentiality, integrity, availability = luottamuksellisuus, eheys, saatavuus) 

TIETOTURVAMÄÄRITELMÄN TÄYDENTÄMISTÄ 

CIA-jaottelu ei ole tietoturvan ainut määritelmä, yksinkertaisin ja suosituin tapa tietoturvan määrittelemiselle se kuitenkin on. Monimutkaisimmissa tilanteissa pelkän CIA-jaottelun käytössä voi ilmetä puutteita, ja siksi sitä usein täydennetään Don Parkerin jo 1998 vuonna esittelemällä mallilla. Don Parkerin mallissa CIA-jaotteluun kolmeen käsitteeseen lisätään kohdat hallussapito, autenttisuus ja hyödyllisyys. (Kauppi 2019.) 

Hallussapidolla tarkoitetaan hallittavan datan fyysistä sijaintia ja hallittavuutta. Salatun tietokoneen sisältämän datan luottamuksellisuus ei välttämättä ole uhattu, vaikka tietokone katoaisikin. Tässä tapauksessa datan hallussapito ja saatavuus on kuitenkin menetetty. (Kauppi 2019.) 

Autenttisuus tarkoittaa sitä, että data voidaan luotettavasti yhdistää sen luojaan tai lähettäjään. Esimerkiksi halu varmistua sähköpostin lähettäjän aitoudesta on tapaus, jossa halutaan varmistua datan autenttisuudesta/aitoudesta. Sähköiset varmennetut allekirjoitukset ovat yksi monista tavoista varmistua autenttisuudesta. (Kauppi 2019.) 

Hyödyllisyydellä taas nimensä mukaisesti tarkoitetaan sitä, miten käyttökelpoista data on. Hyökkääjä voi varastaa dataa, mutta varastettu data voi olla suojattu salauksella, jolloin hyökkääjä ei hyödy datasta mitenkään. Eri asia on se, mikäli hyökkääjä on suunnitellut tavan myös tavan murtaa salaus. (Kauppi 2019.) 

TIETOTURVA KOKONAISUUTENA 

Tietoturva on laaja kokonaisuus, jonka ymmärtäminen vaatii hyvää kokonaisuuden hahmottamiskykyä. Tietoturvan eri osa-alueiden hahmottamista helpottavat seuraavat apukysymykset: missä data sijaitsee, keillä siihen on pääsy milläkin hetkellä ja kuuluuko heillä olla pääsy kyseiseen dataan (Kauppi 2019). 

KYBERTURVALLISUUS 

Nykyään tietoturvasta puhuttaessa toinenkin termi nousee jatkuvasti ylös; kyberturvallisuus.  

“Kyberturvallisuus on turvallisuuden osa-alue, jolla pyritään sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Kyberturvallisuudessa tunnistetaan, ehkäistään ja varaudutaan sähköisten ja verkotettujen järjestelmien häiriöiden vaikutuksiin yhteiskunnan kriittisiin toimintoihin.” –  (Elinkeinoelämän keskusliitto 2016). 

Termin merkitys ja laajuus on kuitenkin vaihtelevaa. Nykyisin alkaa vakiintua käytäntö, jolla kyberturvallisuudesta puhuttaessa tarkoitetaan infrastruktuuria ja maanpuolustusta koskevaa tietoturvaa. Sähkön ja veden jakelu, lämmitysjärjestelmät, terveydenhuolto, kaupat, logistiikka ja maanpuolustusjärjestelmät käyttävät erilaisia tietokonejärjestelmiä sekä tietoverkkoja. Jos nämä järjestelmät pettävät, vaarassa eivät pelkästään ole arkaluonteiset tiedot, vaan pahimmillaan myös ihmishenget esimerkiksi terveydenhuollon järjestelmien pettäessä. Tällaiset uhkakuvat olisivat toteutuessaan katastrofaalisia, ja siitä syystä niin valtiolliset kuin yksityisetkin toimijat käyttävät päätä huimaavia summia maansa tai organisaationsa kyberturvallisuuden parantamiseen. 

Venäjän käynnistämän Ukrainan hyökkäyssodan myötä myös suomalaisten perusturvallisuuteen ja infrastruktuuriin on päästy vaikuttamaan muun muassa sähkön, polttoaineen ja rehun saatavuuden sekä monen muun asian vipuvaikutuksen kautta. Sodan aikana suomalaiseen valtiolliseen ja yksityiseen infrastruktuuriin on myös pyritty vaikuttamaan ja aiheuttamaan häiriöitä kyberturvallisuuden aukkoja hyödyntämällä, joskin huomattavasti oletettua vähemmän (Niinistö 2022). 

KYBERHYÖKKÄYKSET 

Jotta järjestelmien kriittisiin toimintoihin ei pystyttäisiin vaikuttamaan tai sieltä ei saataisi arkaluontoista tietoa, joudutaan varautumaan erityyppisiin verkko- eli kyberhyökkäyksiin. Tällaisia hyökkäyksiä on useita eri laatuja, ja ne toimivat eri periaatteilla. Tästä syystä tietoturva on niin laaja-alaista; yhtä “all-in-one” -tyyppistä ratkaisua ei vain ole olemassa. 

Seuraavaksi perehdymme muutamiin näistä erityyppisistä hyökkäyksistä. 

PALVELUNESTOHYÖKKÄYS 

Palvelunestohyökkäys (Dos, Denial-of-service) on yksi yleisimmistä kyberhyökkäyksistä, lähtökohtaisesti siksi että se on jopa sangen helppo toteuttaa.  

Palvelunestohyökkäyksessä hyökkääjä kohdistaa suuren määrän liikennettä tiettyyn palveluun lyhyellä aikavälillä niin, että palvelu ei enää kestä kuormitusta ja kaatuu. Hyökkäyksessä hyödynnetään useita eri verkkoon kytkettyjä laitteita ja tietokoneita, niin että jokainen laitteista lähettää jatkuvasti palvelupyyntöjä uhriksi valittuun verkkoon näin ylikuormittaen sitä.  

Mutta miksi se on sitten helppo toteuttaa? Noh, tänä päivänä kuka tahansa voi etsiä käsiinsä verkkorikollisten ylläpitämän sivun ja ostaa sieltä itselleen palvelunestohyökkäyksen valitsemaansa kohteeseen. Monet näistä verkkosivuista väittävät tarjoavansa kuormitustestiä oman sivusi testaamiseen (ja onhan sekin tokin mahdollista että rehellisiä toimijoitakin on seassa), mutta on yleisesti tiedossa että näiden sivujen tarjoamia palveluja käytetään rikolliseen toimintaan. 

Palvelunestohyökkäykset ovat sinänsä vaarattomia, että niissä ei menetetä dataa hyökkääjälle. Toki katkonaiset palvelut aiheuttavat yrityksille ja organisaatioille pahimmillaan suuriakin kuluja, mutta ainakaan arkaluontoista tietoa ei ole vuodettu vihamieliselle taholle. Myös järjestelmän toiminta palaa ennalleen hyökkäyksen loputtua, joten pitkäkestoisia vaikutuksia hyökkäyksellä ei ole ottamatta huomioon mahdollista asiakkaiden luottamuksen menetystä. 

MAN-IN-THE-MIDDLE ATTACK ELI VÄLIINTULOHYÖKKÄYS 

Väliintulohyökkäyksessä (man-in-the-middle attack, kolmas mies-hyökkäys) hyökkääjä tunkeutuu kahden tahon väliseen viestintään, niin että kumpikaan ei huomaa välissä salakuuntelevaa hyökkääjää. Näin hyökkääjä pystyy manipuloimaan tai kaappaamaan viestejä ennen kuin ne saapuvat vastaanottajalle, ja asettamaan viestiin haitallisen ohjelman tai muulla tavoin muuttamaan viestiä tuhoisaan muotoon.  

Tällaiset hyökkäykset ovat erityisen vaarallisia etenkin poliittisessa kontekstissa. Kuvitellaanpa, että kahden valtion väliseen viestintään asetettaisiin vihamielinen viesti. Jos viestin vastaanottava valtio reagoisi voimakkaasti ja välittömästi varmistamatta ensin viestin alkuperää, olisi massiivisen geopoliittisen konfliktin riski suuri. Tällainen skenaario olisi todella vaarallinen etenkin, jos valtioiden väliset suhteet olisivat kiristyneet jo ennen tapahtunutta viestintää.

Toinen esimerkki väliintulohyökkäyksestä voisi olla, jos yksityinen henkilö käyttäisi suojaamatonta verkkoa ja/tai verkkosivua ja syöttäisi salaamattomalle sivulle vaikkapa pankkikorttinsa tiedot, tietämättä että rikollinen kuuntelee verkkoa ja on valmiina nappaamaan pankkitunnukset itselleen henkilön tietämättä. 

Yrityksiin kohdistuvista man-in-the-middle hyökkäyksistä yleisimpiä ja ikävimpiä ovat niin sanotut BEC-huijaukset. Termi tulee sanoista Business E-Mail Compromise. Näissä huijauksissa huijarin roolissa oleva kolmas osapuoli tunkeutuu yrityksen sähköposti liikenteeseen, useimmiten tavoitellen taloudellista hyötyä.

Suomessa nämä tunnetaan myös nimellä “toimitusjohtajahuijaukset”, koska huijarin yleisin tapa huijata yritykseltä rahaa on tekeytyä yhtiön toimitusjohtajaksi. Klassiset toimitusjohtajahuijaukset toimivat niin, että toimitusjohtajaksi tekeytynyt huijari ottaa sähköpostiviestein tai puhelimitse yhteyttä pahaa arvaamattomaan työntekijään, jolla on oikeudet yhtiön varojen hallintaan. Huijari pyrkii aggressiiviseen tai suostuttelevaan sävyyn uskottelemaan, että yhtiön on maksettava kiirellinen lasku ulkopuoliselle taholle, yleensä ulkomaille. (Hyppönen 2021, 110-111.) 

BEC-huijaukset päätyvät usein julkisuuteen, koska varastetut rahasummat ovat suuria ja rikos on toteutettu todella suunnitelmallisesti. Hyökkäykset voivat työllistää useita rikollisia ja niiden toteuttamisessa voi kestää viikkoja. Jopa Google ja Facebook ovat menettäneet kymmeniä miljoonia BEC-huijausten takia. (Hyppönen 2021, 111-112.) 

TIETOJENKALASTELUHYÖKKÄYS 

Phishing eli tietojenkalasteluhyökkäys tarkoittaa kyberhyökkäystä, jossa verkkorikolliset yrittävät kalastaa varastaa uhrien henkilötietoja, käyttäjätunnuksia tai muita yksityisiä tietoja. Yksi yleisimmistä tavoista käyttäjätunnusten menettämiselle on, että uhri tietämättään kirjautuu huijarin tekemälle väärennetylle, mutta luotettavan näköiselle verkkosivustolle. Käyttäjätunnusten menettäminen voi pahimmassa tapauksessa johtaa jopa identiteettivarkauteen. (F-Secure n.d.) 

Phishingiä esiintyy verkon lisäksi sekä suorilla teksti- ja sähköpostiviesteillä. Epäilyttävien viestien ja verkkosivustojen sisältöön kannattaa kiinnittää huomiota, sillä suurin osa phishing-huijauksista on toteutettu ulkomailta käsin ja sanoma suomennettu automaattisella kääntäjällä. Tämän takia huijauksien tekstit sisältävät usein paljon kirjoitusvirheitä ja ulkoasu on epäilyksiä herättävä. (F-Secure n.d.) 

Phishingiä voi tapahtua joukkokalastelun lisäksi kohdennetustu eli spear phishinginä. Spear phishingin kohteina on usein yksityishenkilön sijasta organisaatio tai sen johtohenkilö. Kohdennettu tietojenkalasteluhyökkäys on yleensä joukkokalastelua hankalammin tunnistettavissa, koska se on toteutettu erityistä suunnitelmallisuutta käyttäen. (F-Secure n.d.) 

Teksti- tai pikaviesteillä toteutettuja tietojenkalasteluja kutsutaan smishingiksi. Verkkorikolliset voivat ujuttaa omia haitallisia viestejään esimerkiksi posti- tai lähettipalvelujen viestien perään, jolloin niitä voi olla todella hankala tunnistaa. Smishing viestit sisältävät tavanomaisesti huijaussivustoille johtavia linkkejä. (F-Secure n.d.) 

Tietojenkalastelua voi tapahtua jopa suorilla puheluilla, jolloin puhutaan vishingistä eli huijauspuheluista (Voice ja phishing). Vishingissä huijari yleisimmin tekeytyy luotettavalta vaikuttavan tahon IT-tukihenkilöksi, joka kertoo uhrin tietokoneessa tai käyttäjätilissä havaitusta ongelmasta, joka on korjattava mahdollisimman nopeasti. Tarkoituksena on joko saada uhri kertomaan käyttäjätunnuksensa tai asentamaan jokin haittaohjelma omalle tietokoneelleen. (F-Secure n.d.) 

Tässä oli muutamia esimerkkejä erityyppisistä hyökkäyksistä, joihin tietoturvasta ja kyberturvallisuudesta puhuttaessa saattaa törmätä. On kuitenkin olemassa muitakin tapoja vaikuttaa yrityksen tietoturvaan suoraan kohteeseen hyökkäämättä. 

HENKILÖTIEDUSTELU 

Vaikka vakoilusta tuleekin useimmille mieleen James Bond tai muu vastaava fiktiivisen maailman sankari, on vakoilu ja tiedustelu todellisuudessa jotain ihan muuta. Todellisen elämän tiedustelu on vähemmän hohdokasta, pitkäjänteistä työtä, jossa yritetään yhdistellä julkisista lähteistä saatavia tiedonmurusia ja hankkia lisätietoa ystävystymällä arkaluonteisten asioiden parissa toimivien henkilöiden kanssa.  

OSINT (Open Source Intelligence) eli avoimen lähteen tiedustelu on tiedustelumenetelmä, jossa julkisia, avoimia lähteitä kuten kirjoja,lehtiä,haastatteluja ja sosiaalista mediaa käyttämällä yritetään kohteesta kerätä mahdollisimman paljon tietoa. Näitä tietoja yhdistelemällä saattaa saada selville suurempiakin salaisuuksia, kuin kohde oli alunperin tarkoittanut julkaista. Esimerkiksi sosiaalista mediaa seuraamalla saattaa henkilön päivän liikkeistä saada yllättävänkin tarkkaa tietoa. 

Monia tärkeässä asemassa toimivia henkilöitä voidaan yrittää myös värvätä vieraan vallan agenteiksi tai käyttää muulla tavoin hyväksi onkimalla heiltä tulenarkoja tietoja. Tämä voi olla vuosien prosessi, jossa viattomalta vaikuttanut viesti LinkedInissä tai Facebookissa voi kasvaa säännölliseksi yhteydenpidoksi ja jopa “ystävyydeksi”, mutta uhriksi joutunut ei välttämättä saa koskaan tietää joutuneensa vieraan vallan tietolähteeksi. Uhrilta kysytään vuosien saatossa hänen työhönsä liittyviä kysymyksiä, ja kun hyväntahtoinen uhri jossain vaiheessa tajuaa paljastaneensa hieman liikaa, on jo liian myöhäistä. Joissain tapauksissa uhrille myös tarjotaan suoraan rahaa salaisten tietojen paljastamisesta. 

Suomessa Suojelupoliisi seuraa tiedossaan olevien ulkomaisten agenttien värväysyrityksiä ja pyrkii varoittamaan potentiaalisia kohteita mahdollisimman pian ensimmäisen yhteydenoton jälkeen. Usein kohde ei osaa odottaa Suojelupoliisin yhteydenottoa, eikä ollut tietoinen joutuneensa värväysyrityksen kohteeksi.  

Yleensä värväyksen kohteeksi valikoituu henkilöitä, keillä on läheiset suhteet myös muihin merkittäviin liike-elämän tai politiikan vaikuttajiin, mutta joskus kohteena voi olla myös henkilö, jolla arvellaan tulevaisuudessa olevan pääsy tärkeisiin tietoihin.  

VARO VÄRVÄÄJIÄ 

Parhaiten henkilötiedustelua vastaan voi suojautua omalla valppaudellaan. Jos LinkedInissä saatu yhteistyötarjous heti uuden työpaikan julkistamisen jälkeen tuntuu oudolta, voi olla että tuntosarvesi ovat oikeassa ja kyseessä on jonkinnäköinen tiedustelu- tai värväysyritys. Etenkin liian hyvältä kuulostavat tarjoukset eivät aina ole totta.  

Yritykset voivat myös helpottaa työntekijöitään tekemällä selväksi, millaiset tiedot ovat julkisia ja millaiset salaisia, jotta työntekijä ei tule vahingossa puhuneensa yrityksen sisäisistä tiedoista ulkopuoliselle. On myös hyvä käytäntö turvaluokitella yrityksessä käytetyt asiakirjat. 

Jos tulet kohdanneeksi värväysyrityksen, vie asia eteenpäin yrityksessäsi tai organisaatiossasi. On hyvin mahdollista, että sama henkilö/taho on lähestynyt myös joitain muitakin saman yrityksen työntekijöitä. Jos taas ketään muuta ei ole lähestytty, on mahdollista että he yrittävät sitä myöhemmin. 

Jos huomaat itse tehneesi virheen ja luovuttaneesi vahingossa salaiseksi tarkoitettuja tietoja, älä epäröi tuoda asiaa esille. Jokainen meistä tekee virheitä, tärkeämpää on se kuinka lähdemme korjaamaan niitä. Piilottelemalla asiaa vain pahentaa sitä, ja joku muu voi joutua samankaltaisen tilanteen uhriksi. Nopea reagointi ja tilanteen avoin jakaminen ovat keinoja, millä tilanteen voi vielä pelastaa. Ilmoita asiasta myös Suojelupoliisille. 

Nämä keinot saattavat kuulostaa dramaattiselta, etenkin Suojelupoliisille ilmoittaminen, mutta tällaiset tilanteet ovat todellisia ja voivat tapahtua kenelle tahansa. Usein juuri sellaisia ihmisiä valitaankin tiedustelu- ja värväyskohteiksi, jotka eivät osaa sitä yhtään odottaa. 

LOPPUSANAT  

Kuten olemme jo useampaan kertaan huomanneet, tietoturva on todella laaja konsepti, johon sisältyy monenlaisia eri käsitteitä ja tilanteita, joiden määrä saattaa tuntua haastavalta aluksi. 

Kuitenkin mitä enemmän asioista tiedämme, sitä paremmin osaamme niihin varautua, ja siitä tietoturvassa onkin pohjimmiltaan kyse. Kun yrityksen tietoturva-asiat ovat kunnossa, voimme suhtautua työntekoon leppoisasti, mutta kuitenkin aina muistaen, että oma valppautemme on kriittisen tärkeä osa tätä isoa kokonaisuutta. 

LÄHTEET

Elinkeinoelämän keskusliitto. 2016. Mitä on kyberturvallisuus. Viitattu 21.11.2022. https://ek.fi/ajankohtaista/uutiset/viikon-kysymys-mita-on-kyberturvallisuus/ 

F-Secure. N.d. Mitä on tietojenkalastelu. Viitattu 30.11.2022 https://www.f-secure.com/fi/home/articles/what-is-phishing 

Kauppi, J. 2019. Tietoturva. Viitattu 3.12.2022 https://www.leijonasecurity.fi/2019/07/26/tietoturva/ 

Niinistö, M. 2022. Venäjä yllätti: Maan kyky tehdä kyberhyökkäyksiä vaikuttaa olevan huono – “Venäjän paukut on käytetty”, arvioi asiantuntija. Viitattu 22.11.2022. https://yle.fi/a/3-12574089  

Yrityksen tietoturvaopas, Petteri Järvinen, 2022