Korona digiloikkasi yli kyberturvan?

Koronakriisi oli etätyölle ja sen myötä työn digitalisoimiselle ennen näkemätön piristysruiske. Loikka oli kokonaisuutena niin hurja, etteivät kyberuhat juurikaan ehtineet siihen reagoida. Onko näin?

Fyysinen muutos kyberiskun perustana

Vuonna 2002 käynnistin kirjaprojektin nimeltä Verkkotaistelu 2020. Sen tarkoituksena oli hahmotella tulevaisuuden taistelukenttää, jonka nyt kyberiksi kutsumamme ilmiö muodostaa. Vuonna 2014 käynnistin saman kirjaprojektin pääosin samoilla kirjoittajilla ja samalla tavoitteella toisen kerran. Kun kirja julkaistiin vuonna 2015, se nimettiin Kybertaistelu 2020. Jokainen artikkeli alkaa arviolla siitä, kuinka hyvin vuosikymmenen vanha ennakointi osui.

Molemmissa kirjoissa yksi tapa aloittaa kyberhyökkäys tapahtui fyysisen maailman kautta.

Ensimmäisen kirjan aikoihin korkeatehoinen mikroaaltoase (HPM) oli uutta pelottavaa tekniikkaa. Pulssin voi ainakin teoriassa saada ladattua myös räjäytteellä. Kohteena oli monikansallisen yrityksen pääkonttori jo tuolloin laajoine digitalisointeineen. Toisessa kirjassa iskettiin palvelinhotelleihin, joissa digipilvet oikeasti majailevat. Molemmissa tarkoituksena oli saada aikaan iso muutos kohteessa sekä siirtyminen vara- ja ad hoc järjestelyihin, jotka ovat usein palveluiltaan huonompia ja ehkä myös heikommin turvattuja sekä ei aivan ajantasaisiksi päivitettyjä.

Reaalikorona aiheutti digishokin

Korona ei tietenkään tuhonnut digimaailmaa vastaavalla tavalla. Sen vaikutus oli kuitenkin aika lailla vastaava, paitsi monituhatkertainen koskien jotakuinkin kaikkea tietojen käsittelyä.

Korona aiheutti akuutin tiedon saatavuusshokin.

Etätyö on ollut monella alalla nopeasti kasvava trendi. Sitä ovat edistäneet niin sanottujen kollaboraatiovälineiden (kuten Teams) syntyminen, datansiirtoyhteyksien tehostuminen ja laajentuminen ja videointivälineiden kehitys. Hidasteita ovat olleet ainakin johtamiskäytännöt ja turvallisuus.

Monessa organisaatiossa oli pakko ottaa iso digihyppy, jotta toiminta edes jatkui. Yläkoulun loikkaa sain itsekin seurata omassa kodissani sekä opettajaa että oppilasta seuraten. Puolustusvoimissa ratkaisut oli onneksi tehty jo aiemmin ja lisäksi kovin toiminta edellä kulttuurit hioen, nyt paranivat myös kumppaniyhteydet.

Paljon improvisoitiin. Riskejä otettiin. Opittiin tekemällä, ei ennalta kouluttaen.

Hyppy yllätti myös pahikset?

On selvää, että hypyn pelkkä laajuus teki mahdottomaksi käyttää hyväksi isoa osaa hyökkäysmahdollisuuksista, jotka hetkeksi madaltunut turvallisuus avasi. Massa jo sinällään toi kohteille turvaa.

Rikollisuus reagoikin aika pitkällä viipeellä. Samaan aikaan kun syntyneitä teknisiä ja osaamisen aukkoja jo paikattiin.

Olen miettinyt, miten olisin valtiotason hyökkääjänä toiminut.

Ensiksi, olisin käskenyt keskittyä datan imuroimiseen maksimaalisella laajuudella. Olisin kerännyt kaikkea osallistujalistoista ja agendoista digitaalisiin fläppitauluihin ja chatteihin. Kun netin yli pakosti jaettiin uudessa laajuudessa niin liikesalaisuuksia kuin ydinverkostoja peilaavia tietoja, ne kannattaa kerätä talteen ja analysoida myöhemmin.

Jokaiseen avoimeen ”oveen” olisin jättänyt jalkani väliin ja sujauttanut mukaan oman avaimeni riippumatta siitä, kuinka tilapäisiä järjestelyt olivat. En olisi kaivautunut syvemmälle vaan käyttänyt energiani etuoviin.

Kolmanneksi olisin ilmoittanut, että ostan tukussa rikollisilta kaikenlaista kaapattua tietoa ilman analyysia tai velvoitetta osoittaa tietojen arvokas sisältö. Rikollisen pitää löytää arvokasta, josta joku on valmis myös maksamaan, joten mukana on varmasti tullut paljon bulkkiakin.

Nyt virittelisin tekoälyäni töihin. Iskut tulisivat myöhemmin, hosumatta.

Maito on siis jo maassa?

Normaalit tietoturvakeinot ovat käytössä. Niitä kannattaa myös käyttää. Oletan, että kilpajuoksu on edelleen meneillään, vaikka tilanne käynnistyikin spurtilla.

Pääosa tiedoista ei ole väärissä käsissä. Hankaluus on siinä, että on normaaliakin vaikeampaa selvittää asia omalta kohdalta: lokit jäivät jälkeen tai jäivät jopa perustamatta ja ei-toivottujen avaimien etsintä vie aikaa. Lisäksi tapahtumattoman todistaminen on lähes mahdotonta.

Mikä neuvoksi?

Itse toimisin näin.

Keräisin monialaisen ryhmän arvioimaan. Joku bisneksestä, joku osaamisen hallinnasta, joku välijohdosta ja jokunen kyberistä. Isommassa organisaatiossa laittaisin liikkeelle useampia ryhmiä ilman liikaa koordinaatiota.

Arvioisin, mikä oli oman organisaationi digihypyn laajuus. Paljonko vain laajennettiin, koska oppiminen alkoi olla jo hyvällä tasolla ja millaisia riskejä näihin liittyi.

Selvittäisin otosmenetelmällä, mitä varsinkin hypyn alkuvaiheissa maalis- toukokuussa erilaisissa kollaboraatiotilanteissa käsiteltiin. Haastattelisin ja palkitsisin rehellisistä kuvauksista, joissa mahdollistettiin toiminnan jatkuminen.

Moni projekti oli turvamielessä todennäköisesti varsin harmiton. Monessa tiedot myös muuttuvat ajan myötä aika merkityksettömiksi. Tiedon vanhentumisen voi arvioida vain bisnesosaaja.

Osaamispuutteet kohdentuivat todennäköisesti vain osaan digihyppyä. Harmistus aiheutti varmasti myös oikopolkuja, mutta varmistuisin että niiden käyttö on lopetettu.

Uusisin kaikki salasanat varmuuden vuoksi. Poistaisin kaikki kuolleet sielut rekistereistä. Poistaisin viimeistään nyt tarpeettomat rekisterit.

Käskisin poistaa kaikki väliversiot sähköposteista ja tiimikansioista. Muistio_v047_komm_korjattu tuskin on enää kovin tarpeellinen?

Bonuksena saisin lähes reaaliaikaisen tietoihin rakentuvan riskianalyysin organisaationi toiminnasta uudessa normaalitilassa. Siitä voi olla jatkossa enemmän hyötyä kuin mahdollinen haitta edes olisi.

———————-

Aiempi kyberblogini löytyy täältä. Siinä käsittelin kyberin ja tiedon sisältöjen kytkeytymistä toisiinsa.

puheenaiheet turvallisuus
Kommentit (0)

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.