Tylsääkin tylsempi tietoturvallisuus

Tietoturva… kalasteluviesti… tietovuoto… haavoittuvuus… päivitä heti… Puuduttaa, väsyttää, kiirekin on ja eihän tämä edes kosketa minua? Luen myöhemmin, eli en koskaan. Kuulostaako tutulta? Tietoturvallisuus, tietosuoja ja kyberturvallisuus. Näitä toisiinsa sekoittuvia termejä viliseviä artikkeleita osuu silmille valtakunnan ykkösmedioita myöten – työpaikkojen viestinnästä puhumattakaan. Kuitenkin jos nyt et satu olemaan erityisesti teknologiasta kiinnostunut, niin harvemminhan noita juttuja tulee oikeasti luettua. Pitäisikö kuitenkin?

Tilannehan on tavallaan uusi ja erikoinen. Ei meillä jokaisella ole ennen ollut näin paljon vastuuta yhteisömme turvallisuudesta ilman, että uhka on ilmeinen ja silminhavaittava. Turvallisuudesta, siitähän tässä siis on kyse. Omasta, yhteisön ja yhteiskunnan turvallisuudesta. Uhkasta, jonka päivittäistä läsnäoloa ei näe tai kuule.

Moderni viestintäteknologia, eli tuttavallisemmin internet siihen liittyvine laitteineen, kehittyi ja levisi maailmanlaajuiseksi ilmiöksi sen verran rivakasti, että turvallisuusnäkökulmat unohtuivat vuosikymmeniksi. Vastaava kehityskaari on toki nähty myös monen muun teknologian saralla. Viestintäteknologia on kuitenkin täysin uniikkia sen kehityksen nopeuden, tekniikan monimutkaisuuden sekä yhteiskunnallisen läpäisyn ja globaalien yhteyksien ansiosta.

Kuinka monimutkaisia nämä laitteet sitten ovat? Android-käyttöjärjestelmä koostuu noin 15 miljoonasta rivistä ja Windows yli 50 miljoonasta rivistä koodia. Applen M2 suoritin rakentuu puolestaan 134 miljardista transistorista. Mobiilipankkia tai sähköpostia käyttäessäsi suoritat siis kymmeniä miljoonia rivejä koodia miljardeilla transistoreilla. Ohjelmakoodissa yhdenkin merkin puute voi tarkoittaa tietovuotoon johtavaa virhettä. Suorittimien kompleksisuus on puolestaan johtanut jopa komponenttitason virheisiin.

Onneksi näitä virheitä voidaan korjata jälkikäteen. Kiitos internetin. Virheet ja niiden korjaaminen kuitenkin edellyttävät laitteiden käyttäjiltä vähintään tietoisuutta ja joskus myös toimenpiteitä. Usein virheen löytymisen ja korjaavan päivityksen julkaisemisen, saati asentamisen, väliin jää päiviä, ehkä jopa kuukausia, jolloin vain käyttäjän oma toiminta voi estää laitteen luvattoman hyväksikäytön. Ja tämä vaiva pitäisi nähdä ilman mitään välitöntä hyötyä itselle.

Turvallisuus myös maksaa ja turvallisempi tietotekniikka maksaa enemmän. Kuinka moni miettii tietoturvallisuutta hankkiessaan uutta puhelinta tai televisiota? Saati on valmis maksamaan siitä? Entäpä organisaatio hankkiessaan uutta tietojärjestelmää? Tiedätkö milloin sinun puhelimesi saa, tai sai, viimeisen päivityksensä? Turvallisuus haastaa myös käyttäjää. Jo lyhyiden salasanojen muistelu on ikävää, monimutkaisista tunnistautumisvaatimuksista puhumattakaan.

Seurauksena me käytämme haavoittuvia palveluita, joihin kirjaudumme samoilla heikoilla salasanoilla ilman monivaiheista tunnistautumista. Kahdeksan merkin salasana murtuu noin viidessä minuutissa. Tekniset suojaukset on jääneet puolitiehen ja koulutukset pitämättä tai käymättä. Markkinatalous myy halvalla sitä mikä käy kaupaksi lainsäätäjän vasta heräillessä haasteeseen. Tiesitkö, että uusi älypuhelin saattaa saada turvallisuuspäivityksiä vain vuoden ostohetkestä?

Tälle pohjalle me sitten luotamme tietomme, rahamme, työmme ja sosiaalisen elämämme. Kummasti tämä maailma kiinnostaa myös rikollisia. Rikollinen hyödyntää yleensä sitä helpointa reittiä haluamaansa ja nykyään se yhä harvemmin on tekninen heikkous. Se on se ihminen, käyttäjä, minä, sinä. 85% onnistuneista tietomurroista tapahtuu ihmisen luovuttaessa avaimensa rikolliselle. IT-ammattilaiset lankeavat tietojenkalasteluun yhtä helposti kuin muutkin. Suomalaiset ovat menettäneet näille rikollisille useita kymmeniä miljoonia euroja 2020-luvulla. Tekoäly poisti kielimuurimme ja mullistaa kalasteluviestit Suomessa, tehden niistä entistä vaikeammin tunnistettavia. Kalasteluviestien määrä on räjähtänyt ja toiminta on ilmeisen kannattavaa.

Näistä syistä me puhumme tästä niin paljon ja ehkä myös sinua tulisi kiinnostaa otsikot tietoturvallisuudesta.

Kolumnin kirjoittaja Pauli Räinä on Turun Sataman IT-päällikkö

Kuva: Markku Koivumäki