Kyberturvallisuuden trendit 2020-luvulla

Aiemmassa blogikirjoituksessa pohdittiin mitä 2010-luvulla tapahtunut kehitys tarkoitti kyberturvallisuudelle. Tämän kirjoituksen tarkoitus on taas pohtia mitä 2020-luku tuo tullessaan. En ole suuri disclaimerien ystävä, mutta tähän on pakko laittaa yksi heti alkuun. Teknologiaennustukset menevät usein pahasti pieleen. Siksi tässä kirjoituksessa pyritään lähinnä havainnoimaan olemassaolevia kehityskulkuja ja arvioida mikä vaikutus niillä on, ei ennustaa yksittäisiä tapahtumia. Ennusteiden paikkansapitävyyden todennäköisyys myös vähenee sitä mukaa mitä pidemmälle ennustetaan.

Sitten itse asiaan. Alla on lueteltu neljä erillistä teemaa, joiden korostuminen 2020-luvulla vaikuttaa todennäköiseltä. 

Kybervaikuttaminen korostuu valtiollisessa vaikuttamisessa

Kenties vaarallisin trendi on, miten kybervaikuttamisesta on tulossa yhä tärkeämpi osa valtioiden ulko- ja sisäpoliittista työkalupakkia. Vaikka Yhdysvaltojen ja Iranin välillä on ollut kybervaikuttamista jo aiemmin, tuoreet jännitteet nostivat välittömästi pintaan odotuksen Iranin vastatoimena tekemästä kybervaikuttamisesta, ja Yhdysvaltain viranomaiset antoivat julkiset ohjeet kybervaikuttamiseen varautumiseen. Muita viime vuosina profiiliaan nostaneita vaikuttajia ovat mm. Kiina teollisuusvakoilullaan ja Venäjä informaatiovaikuttamisellaan ja kyberhyökkäyksillään. 2020-luvulle astuttaessa pidetään selvänä, että nämä keinot ovat osa valtioiden välistä vaikuttamista.

Kybervaikuttaminen on epäsymmetristä sodankäyntiä parhaimmillaan: vaikka esimerkiksi Iranilla ei ole sotilaallista kykyä iskeä Yhdysvaltain maaperälle, voi kybervaikuttamisellakin viedä nykyisin jopa ihmishenkiä kaatamalla vaikkapa sairaaloiden järjestelmiä tai sähköverkkoja. Myös pelkän taloudellisen vahingon aiheuttaminen on tehokas vaikuttamisen keino. Kyberhyökkäykset ovat lisäksi halpoja verrattuna perinteiseen sodankäyntiin, ja ne eivät uhkaa tekijöidensä henkeä. Kyberhyökkäyksen tekijää on myös hyvin vaikea osoittaa, vaikka joitakin viitteitä on mahdollista saada. Nopeat johtopäätökset ovat kuitenkin vaarallisia. Viime vuonna kävi ilmi, että venäläinen hakkeriryhmä Turla oli varastanut Iranilaisen OilRig-ryhmän työkalut ja käyttänyt niitä, jotta Turlan tekemät hyökkäykset näyttäisivät iranilaisten tekemiltä.

Sisäpolitiikassa kybervaikuttamista tekevät erityisesti Kiina ja Venäjä. Molemmat pyrkivät eristämään oman kansallisen verkkonsa internetistä saadakseen sen paremmin hallintaan. Molempien valtioiden tapauksessa on kyse valvonnasta. Viime vuonna kävi ilmi, miten Kiina on mahdollistanut uiguurivähemmistön sortoa elektronisella seurannalla ja vakoilulla.

Mitä 2020-luku sitten voi tuoda tullessaan? Saatamme joutua todistamaan esimerkiksi ihmishenkiä vieviä, valtiollisia kyberhyökkäyksiä tai massiivisia informaatiovaikuttamiskampanjoita.  Erityisesti yhteiskunnalliseen infrastruktuuriin kohdistuvilla hyökkäyksillä voi olla arvaamattomiakin vaikutuksia. Kybervaikuttamisen epäsymmetrinen panos-tuotossuhde tekee siitä yhä houkuttelevamman osan valtioiden välistä vaikuttamista. Lisäksi pienemmät maat kuten Suomi tulevat reagoimaan kehitykseen nostamalla kyvykkyyksiään tällä saralla. Suomessa erityisesti Puolustusvoimat pyrkii parantamaan kyberkyvykkyyksiään kuluvan vuosikymmenen aikana. Kybersodankäynnistä tulee siis yhä selkeämmin osa myös maanpuolustusta.

Tavallisten hyökkääjien työkalut paranevat ja kyberrikollisuus liiketoiminnallistuu

Valtiollisen vaikuttamisen kehitys ei ole ainoa huolenaihe. Lähiaikoina on ollut havaittavissa trendi, missä edistyneet hyökkäysmetodit siirtyvät yhä nopeammin edistyneiltä hyökkääjiltä tavallisille kyberrikollisille. Työkalut ovat tehokkaampia, automatisoidumpia ja niitä voi ostaa vapaasti verkosta tai ne ovat jaossa ilmaiseksi. Kyberrikolliseksi ryhtyminen ei vaadi enää niin paljon erikoisosaamista, vaan sen voi aloittaa melko helposti.

Lisäksi kyberrikollisuuteen alkaa rakentua erilaisia liiketoimintamalleja: esimerkiksi osa rikollisista erikoistuvat yritysten ja muiden organisaatioiden järjestelmiin murtautumiseen, ja myyvät valmiita pääsymahdollisuuksia. Näitä taas käyttävät esimerkiksi suurriistaa metsästävät kiristyshaittaohjelmaryhmät (vapaa suomennos big game hunting-termistä). Tässä ilmiössä on kyse siitä, miten tietyt kiristyshaittaohjelmaryhmät kohdistavat hyökkäyksensä vain kaikkein suurimpiin ja tärkeimpiin organisaatioihin, joilla on oletettavasti eniten maksukykyä ja suuri paine saada järjestelmänsä takaisin toimintaan. Kyseessä voivat olla esimerkiksi kunnat ja suuret yritykset.

2020-luvulla tullaan luultavasti näkemään kehitystä, missä kyberrikolliset erikoistuvat yhä enemmän, ja kyberrikollisuuteen rakentuu selkeämpiä liiketoimintamalleja ja toimijoiden välisiä liikesuhteita. Hyökkääjien käytössä on yhä tehokkaampia ja automatisoidumpia työkaluja, ja haavoittuvuuden löytämisen ja hyökkäysmetodin julkisen saatavuuden välillä oleva aika lyhenee. Lisäksi rikolliset pyrkivät yhä suurempien kohteiden perään pikavoittojen toivossa. Kiristyshaittaohjelmatoimijat ottavat laajamittaisesti työkalupakkiinsa datan varastamisen ja julkaisulla uhkailun perinteisen järjestelmien kryptauksen ohella.

Organisaatioiden välinen kuilu kyberturvaosaamisessa kasvaa

Kaikki tämä aiheuttaa paineita puolustajille. Siinä missä monet organisaatiot panostavat kyberturvallisuuteen hankkimalla työkaluja ja osaamista joko sisäisesti tai ulkoistettuna, yhä useammat jäävät auttamatta kehityksessä jälkeen. Monilla organisaatioilla on puutteita aivan perusasioissa, kuten ajantasaisen laite- ja järjestelmäinventaarion hallinnassa, päivitysten hallinnassa ja verkon suojauksessa. Näkyvyys verkkoon ja käyttäjien tietoturvakoulutus puuttuvat myös hyvin monilta.

Kyberturvallisuudessa puhutaan usein maturiteetista. Se tarkoittaa käytännössä, miten kypsää ja kehittynyttä organisaation kyberturvallisuustoiminta on. Nimenomaan tämä maturiteetin välinen kuilu kasvaa nyt kovaa vauhtia, ja kuilu tulee luultavasti venymään 2020-luvulla ennennäkemättömän laajaksi. Kenelle se sitten on ongelma?

Monien toimijoiden kyberturvallisuus on aivan liian alhaisella tasolla. Samaan aikaan muut organisaatiot ja hyökkääjät kirittävät jatkuvasti juoksuaan. Kun työkalut automatisoituvat ja hyökkäykset helpottuvat, ovat nimenomaan alhaisen maturiteetin organisaatiot niitä matalalla roikkuvia hedelmiä jotka hyökkääjien on helppo napata. Ulkopuolisen on taas yleensä mahdotonta tietää, minkä organisaation maturiteetti on milläkin tasolla, jolloin asiaa on vaikea lähteä korjaamaan ulkoapäin. Tämä kiihtyvä kehitys onkin eräänlainen 2020-luvun tikittävä aikapommi

2020-luku tuo onneksi kyberturvallisuuteen myös hyviä tuulahduksia. Esimerkiksi bug bounty-ohjelmien suosio vaikuttaa kasvavan kovaa vauhtia, ja siitä on tulossa yhä tärkeämpi osa organisaatioiden kyberturvallisuuden kohentamista. Ikävä kyllä tässäkin on kääntöpuolensa: toisten organisaatioiden infrasta etsitään haavoittuvuuksia huippuhakkerien toimesta ja ne paikataan, toisilla organisaatioilla verkko jää edelleen täyteen aukkoja.

Mitä tapahtuu luottamukselle?

Kun uhat ovat yhä moninaisempia, herää kysymys luottamuksesta. Voiko kuluttaja luottaa palveluntarjoajiinsa? Entä julkishallintoon? Onko hänen yksityisyytensä turvassa? Entä mihin mediaan voi luottaa? Voiko yritys luottaa toimittajiinsa ja yhteistyökumppaneihinsa? Entä itseensä? Voiko julkishallinto luottaa saamaansa tietoon ja muihin maihin?

Nämä kysymykset tulevat pitkälti määrittämään tätä vuosikymmentä. Puhe “zero trust”-ajattelusta on lisääntynyt paljon. Sen pohjana on ajatus, että mihinkään ei voi lähtökohtaisesti luottaa, ja ajattelua onkin ihan hyvä harjoittaa esimerkiksi yrityksen verkossa. Tällaisen ajattelun soveltaminen kokonaiseen yhteiskuntaan taas voi olla mahdoton tehtävä. Mitä siis tapahtuu? 

2020-luvulla luottamus luultavasti pirstaloituu yhä enemmän, ja siitä tulee myös arvokas hyödyke. Yritykset jotka pystyvät vakuuttamaan asiakkaansa hyvästä kyberturvallisuudesta ja yksityisyyden suojelemisesta alkavat saada kilpailuetua. Julkinen sektori joutuu kirittämään toimintaansa säilyttääkseen kansalaisten luottamuksen. Lainsäädäntö alkaa kiristyä muun muassa yksityisyyden suojan osalta: ei vain Euroopassa, vaan myös esimerkiksi Yhdysvalloissa. Valtiollinen toiminta tuo oman värinsä: esimerkiksi kiinalaiset laitevalmistajat ja sovellukset kohtaavat yhä suurempaa luottamuspulaa läntisessä maailmassa. Samalla Kiina ja Venäjä pyrkivät vähentämään läntisten ohjelmistojen ja laitteiden käyttöä.

Yhteenveto

Mikäli 2010-luku oli aika jolloin kyberturvallisuuteen tuli uusia ilmiöitä, 2020-luku tulee olemaan vuosikymmen jolla nämä kehityskulut kiihtyvät. Myös uusia ilmiöitä saattaa tulla, esimerkiksi kyberterrorismi saattaa nostaa päätään. Jo havaittavissa olevissa trendeissäkin on kuitenkin huolestumisen aihetta. Valtioiden kybervaikuttamisen lisääntyminen, rikollisuuden kehitys, puolustajien kyvykkyyksien kasvavat erot ja luottamuksen mureneminen muuttavat yhteiskuntaamme vääjäämättä. Kyberturvallisuus alkaa olla yhä enemmän osa jokapäiväistä yhteiskunnan ajattelua ja toimintaa. Toimijat, jotka eivät tunnusta muuttunutta maailmaa tulevat kenties maksamaan siitä kovan hinnan.


Kategoria Blogi, Näkökulma