2010-luku kyberturvallisuuden silmin

Tämä vuosikymmen on viimein lopuillaan, jonka takia on mielestäni syytä käydä hiukan läpi myös sitä, mitä se on merkinnyt kyberturvallisuudelle. Tässä kirjoituksessa on nostettu esiin tämän vuosikymmenen tärkeimpiä ilmiöitä esimerkeillä höystettynä. Lista ei ole kaikenkattava johtuen jo pelkästään siitä, miten valtava määrä mainitsemisen arvoisia asioita tällä vuosikymmenellä on tapahtunut.

Fyysiseen tuhoon pyrkivä kybersodankäynti

Vuonna 2010 kävi ilmi aivan uudenlainen kyberhyökkäys. Israelin ja Yhdysvaltojen kehittämä Stuxnet-haittaohjelma oli suunniteltu alusta alkaen aiheuttamaan fyysistä tuhoa Iranin ydinohjelman uraanin rikastamiseen käyttämille sentrifugeille. Vaikka Stuxnet hyökkäyksenä on käsitelty jo moneen kertaan alan keskusteluissa, on sen merkitys kyberuhkien ymmärrykselle ja kybersodankäynnin luonteelle ollut valtava. Kybersodankäyntiä on luonnollisesti ollut olemassa ennen Stuxnetiäkin, mutta sitä voidaan pitää jonkinlaisena rajapyykkinä kybersodankäynnin historiassa. Siinä missä aiemmat hyökkäykset ovat painottuneet tiedusteluun, oli Stuxnet selvästi tarkoitettu hyökkäykseksi jonka vaikutukset ovat samanlaiset kuin kineettisessä voimankäytössä.

Vuosina 2015 ja 2016 Ukrainan sähköverkko koki vakavia häiriöitä venäläisten kyberhyökkäysten kourissa. Tämä oli ensimmäinen kerta kun kyberhyökkäyksellä vaikutettiin suoraan myös siviiliyhteiskunnan toimintaan suuressa mittakaavassa. Joulukuun 2016 hyökkäys vei sähköt mm. suuresta osasta Kiovaa. Nämä hyökkäykset muiden ohella ovat olleet selvä osa Venäjän hybridisodankäyntiä, ja niiden toistuva kaava, ajoitus ja järjestelmällisyys antaa viitteitä siitä, että Ukrainaa käytetään Venäjän kybersodankäynnin harjoituskohteena.

Edward Snowden ja valtiollinen massavalvonta

Edward Snowdenin vuonna 2013 aloittamat julkistukset Yhdysvaltojen NSA:n ja kumppanimaiden harjoittamasta massavalvonnasta nousivat puheeksi ympäri maailmaa. Snowden toi ilmi sen ennennäkemättömän skaalan, millä valtio voi kerätä ihmisten välistä viestintää ja heidän dataansa. Siinä missä paljastukset kiihdyttivät yksityisyys- ja tietoturvakeskustelua yhteiskunnan muilla sektoreilla, muut valtiot kuten Kiina ja Venäjä ovat seuranneet perässä ja kehittäneet omia valvontakoneistojaan.

Samat maat pyrkivät myös eristämään verkkojaan muusta internetistä ja tulemaan vähemmän riippuvaisiksi yhdysvaltalaisten yritysten järjestelmistä ja laitteista. Yksi tuoreimmista keskustelun aiheista on kiinalainen 5G-teknologia, jonka kanssa huolet kohdistuvat mahdolliseen Kiinan tiedustelun ja kybervaikuttamisen lisääntymiseen länsimaissa, mukaan lukien Suomessa.

Esimerkiksi Kiinassa ulkovaltoihin kohdistuvan kybertiedustelun lisäksi valvontaa käytetään myös kotimaisten kansanryhmien kuten uiguurien valvomiseen ja sortamiseen. 2019 on tuonut mukanaan uutisia vankileireistä ja ihmisoikeusloukkauksista joita mahdollistetaan osaltaan läpitunkevalla valvontajärjestelmällä ja kyberhyökkäyksillä.

Suuret tietomurrot

2010-luku toi mukanaan tietomurrot joissa hakkerit saavat käsiinsä kymmenien, satojen miljoonien ja jopa miljardien käyttäjien tietoja. Muutamia tärkeitä ovat esimerkiksi:

2011: Sony PlayStation Network, 77 miljoonaa käyttäjän tiedot varastettiin

2013: Target, 40 miljoonan käyttäjän luottokorttitiedot

2013: Adobe, 153 miljoonan käyttäjän tiedot

2013-2017: Yahoo, kaikkiaan koko kolmen miljardin käyttäjän tiedot

2015: Ashley Madison, 37 miljoonan käyttäjän tiedot

2016: Twitter, LinkedIn, Dropbox jne, koko vuonna yhteensä 2,2 miljardin käyttäjän tiedot

Useissa näistä hyökkäyksistä on lopulta käynyt ilmi, että murrot johtuivat aivan tavallisten tietoturvakontrollien puutteesta tai ylenkatsomisesta. Pahimmillaan kyse on ollut siitä, että järjestelmät hälyttivät hyökkäyksestä mutta hälytyksistä ei välitetty. Tietomurto on aina vakava asia, mutta vaikutukset murron uhrille vaihtelevat. Joillekin uhreille ei käy mitään. Monissa palveluissa käytetyt salasanat voivat mahdollistaa useamman käyttäjätilin hakkeroinnin. Luottokorttitietojen vuotaminen on ymmärrettävistä syistä vakava asia. Ashley Madisonin tapauksessa vuodot johtivat kiristyksiin ja jopa erään käyttäjän itsemurhaan palvelun arkaluontoisuuden vuoksi.

Teollisuusvakoilu

Verkon yli tapahtuva teollisuusvakoilu on korostunut paljon 2010-luvulla, erityisesti valtiollisten toimijoiden tekemänä. Esimerkiksi tänä vuonna ilmi tullut kiinalaisten Airbusiin kohdistama teollisuusvakoilu kuvaa hyvin sitä, miten hienostunutta ja suurten panosten vakoilua tehdään nykyään verkon yli. Siinä missä aiemmin esimerkiksi puolustusteollisuus on ollut korostetusti vakoilun kohde, kohdistuu valtion sponsoroima teollisuusvakoilu myös moniin muihin sektoreihin josta tekijävaltio kokee saavansa kilpailuetua. Yksityisen teollisuusvakoilun uhkaa ei myöskään sovi unohtaa.

Tietosuojalainsäädännön kehittyminen

Osittain tietomurtojen ja osittain sosiaalisen median ja muiden toimijoiden datankeruun vuoksi tietosuojalainsäädäntö on nostanut päätään 2010-luvun loppupuolella. EU:n yleinen tietosuoja-asetus GDPR tuli voimaan vuonna 2018 oltuaan ensin vuosikausia valmistelussa. GDPR:n pyrkimys on antaa EU:ssa sijaitseville käyttäjille parempi mahdollisuus vaikuttaa oman datansa keräämiseen, käyttöön ja poistamiseen sekä suojata heidän oikeuksiaan henkilötietojensa suhteen. Tätä pyritään valvomaan kansallisten viranomaisten avulla, ja keppinä toimivat GDPR:n mahdollistamat sakot. Vuosikymmenen loppuessa GDPR-oikeuskäytäntö hakee yhä muotoaan viranomaisilla ja tuomioistuimissa. Myös esimerkiksi Kaliforniassa on herätty kuluttajien tietosuojan tärkeyteen, ja paikallinen CCPA-laki tulee voimaan tammikuun 2020 alussa.

Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ovat jälleen esimerkki läpikolutusta puheenaiheesta. Aihe on kuitenkin tärkeä, sillä tärkeimmät merkitykset kiristyshaittaohjelmien ja niillä tehtyjen hyökkäysten yleistymisellä erityisesti vuodesta 2017 alkaen ovat olleet uudenlaisen rikollisen liiketoiminnan mahdollistaminen ja tehokkaan kyberaseen luominen.

Avaan tätä ajatusta hiukan: kyberrikollisuudella on tehty rahaa aiemminkin, mutta kiristyshaittaohjelmat tarjoavat selvän ja helpon tavan luoda rahaa murtautumalla yrityksiin. Ala kehittyy melko nopeasti, ja sille muodostuu jopa alihankintaketjuja! Tietyt toimijat myyvät esimerkiksi pääsyä yritykseen kiristyshaittaohjelmien levittäjille. Nykyisin lisäkiristyskeinona alkaa yleistyä datan kopioiminen hyökkääjien palvelimille, ja sen julkaisemisella kiristäminen. Toisaalta esimerkiksi valtiolliset toimijat käyttävät kiristyshaittaohjelmia (tai sellaiseksi tekeytyviä ohjelmia) pääasiassa haitan tuottamiseen ja omien jälkiensä peittelyyn, eivätkä niinkään ansaitsemistarkoituksessa.

Suurriistan metsästys

Viime vuosina on yleistynyt selvästi niin sanottu suurriistan metsästys (vapaa käännös englannin termistä “big game hunting”). Sillä tarkoitetaan kiristyshaittaohjelmahyökkäyksiä, jotka kohdistetaan nimenomaan suurempiin organisaatioihin suurempien lunnaiden toivossa. Ilmiö on yleistynyt vuonna 2019, ja kohteina on ollut erityisesti yhdysvaltalaisia yrityksiä ja julkisen sektorin toimijoita.

Yhä useammat alat ja elämänalueet digitalisoituvat

Kyberturvallisuutta pohtiessa on hyvä miettiä, mitkä ajurit vaikuttavat muutoksiin. 2010-luku on ollut kiihtyvän digitalisaation aikaa. Yhä useammat ihmiset käyttävät yhä useampia laitteita ja palveluita. Sekä datan määrä että datan lähteet kasvavat kiihtyvää vauhtia. Digitalisaatio muuttaa sekä liiketoimintaa, että julkisen sektorin toimintaa tavallisista hyvinvointipalveluista turvallisuuspolitiikkaan ja sotilaalliseen vaikuttamiseen. Mitä useampi asia siirtyy sähköiseksi, sitä useampi asia vaatii kyberturvallisuuden huomioonottamisen. Esimerkiksi autojen hakkerointi tai henkilökohtaisen terveysdatan vuotaminen mainostajille ovat yhtäkkiä aivan relevantteja uhkia.

Siirtyminen pilveen

Pilvi on vain toisen tahon operoima tietokone. Se on kuitenkin ollut suurelta osin 2010-luvun digitalisaation mahdollistajana sekä kuluttajille, yrityksille että julkiselle sektorille. Pilvi on mahdollistanut uudenlaisia liiketoimintamalleja ja uudenlaisia tapoja hallinnoida infrastruktuuria. Pilvi tuo mukanaan uudenlaisia riskejä, mutta toisaalta myös mahdollistaa usein turvallisuuden valvontaa ja automatisointia paljon kustannustehokkaammin kuin mitä vastaava maksaisi omassa konesalissa toteutettuna.

SOC-toiminnan kehittyminen

Kyberturvallisuuden korostuminen on myös kehittänyt sen suojaamista eteenpäin. Tietoturvavalvomot (SOC, Security Operations Center) yleistyvät kovaa vauhtia, sillä kyberuhkien valvonta ja torjuminen vaatii nykyään yhä enemmän osaamista ja järjestelmällisyyttä. Vaikka mikään valvomo ei ole täydellinen ja alalla löytyy suurta vaihtelua valvomoiden laadussa, on tätä pidettävä positiivisena asiana. 

Yhteenveto

Dotcom-buumi tuli ja meni, mutta väitän, että 2010-luku oli se vuosikymmen joka lunasti suuren osan alkuperäisen IT-kuplan lupauksista. Tämä yhteiskunnan digitalisoituminen on täysin odotetusti tuonut mukanaan perinteiset ilmiöt kuten rikollisuuden ja valtiollisen tiedustelun ja sodankäynnin. Esimerkiksi ennen Stuxnetiä kyberaseiden käyttämistä kineettisen voimankäytön korvikkeina pidettiin foliohattuiluna ja alarmismina, samoin elektronisesti tapahtuvaa massavalvontaa.

2020-luvulle mentäessä suuri osa näistä ilmiöistä jatkaa samaan suuntaan, ja uusia ilmiöitä syntyy (aiheesta tulee myös erillinen blogikirjoitus alkuvuoden puolella). Kenties tärkein asia mitä haluan korostaa, on että mikäli jokin asia digitalisoituu, digitalisoituvat myös siihen kohdistuvat uhat. Se, että jotain ei ole vielä tapahtunut, ei ole syy sivuuttaa varoituksen sanoja foliohattuiluna ja alarmismina. Tämän vuosikymmenen pitäisi riittää oppitunniksi siitä.

Kategoria Ajankohtaista, Blogi