Lue uutinen mobiilisivustolla

Hyvä tietoturva on ihmisiä ja tekniikkaa

29.12.2003 07:33 Tietomurtojakin tutkivassa Keskusrikospoliisissa työ on raskasta, mutta palkitsevaa. Vaikka arki on kaukana tv-sarjojen viihteestä, murtotutkijan mielestä tietoturva on luovaa puuhaa ja se edellyttää sekä tekniikan että ihmisten ymmärtämistä. Tätä nykyä tietoturvakeskustelu ajautuu kuitenkin usein väärille raiteille.

- Kieliongelma, kuittaa ylitarkastaja Sari Kajantie Keskusrikospoliisin tietotekniikkarikosyksiköstä kysymyksen siitä, miksi tietoturvaa pidetään niin vaikeana asiana.

- Asioiden toteutus on tekniikkaa, mutta niiden merkitys on täysin arkijärjellä käsitettävä. Jostain syystä meiltä puuttuu teknisiä ihmisiä, jotka pystyvät puhumaan asiat suomeksi. Sellaisia, jotka kykenevät kaivamaan olennaisen pointin ja kuorimaan bitin pois ilman, että merkitys hämärtyy, sanoo Kajantie.

Ongelma on Kajantien mukaan myös siinä, että julkisuudessa puhutaan ihan väärästä asiasta, viruksista ja madoista, vaikka pitäisi puhua haavoittuvuuksista.

- Vaikka jonakin hetkenä virustorjunta olisi täydellinen, haavoittuvuuden kautta järjestelmään tulevat silti oikeat rosvot ja vielä tuntemattomat virukset. Palomuurit ja virustorjuntaohjelmistot jäävät irrallisiksi käsitteiksi, kun todelliset ongelmat sivuutetaan, Kajantie näpäyttää.

Hyvä organisaatio luottaa ihmiseen

Kajantielle tietoturva on hauska asia, sillä siinä saa käyttää luovuutta. Miten luovuutta sitten voitaisiin nykyistä enemmän käyttää tietoturvallisuuden parantamiseen? Tarvitaan sekä tekniikan että ihmisten ymmärtämistä.

- Oleellinen kysymys on luottamus. Luottamuksen olemassaolo taas riippuu hyvin paljon organisaatiokulttuurista. Hyvä ylläpito sallii ihmisten olla ihmisiä, mutta suojaa järjestelmän vahvasti vahingolliselta käyttäytymiseltä, Kajantie sanoo.

Tietoturvapolitiikan merkityksestä yrityksissä on puhuttu pitkään. Merkityksen säännöstö saa kuitenkin vasta sitten, kun se otetaan käyttöön.

- Sinällään mitään organisaatiota ei ole pelastettu politiikalla, vaan vasta sen implementaatiolla. Uhkaavat teot pitää estää eikä vain kieltää, jos oikeasti halutaan suojata järjestelmä. Järjestelmän suojausta ei pitäisi jättää ihmisten muistamisen varaan, mutta toisaalta ihmisiä ei pitäisi myöskään estää availemasta liitteitä silloin kun he tekevät sen oikein. Ainoastaan liitteiden tekemät vahingot pitää estää, Kajantie opastaa.

Puhuminen on hyvästä

Tietojen kerääminen tietomurron kohteeksi joutuneesta järjestelmästä on rikoksen selvittämisen kannalta hyvin tärkeää. Järjestelmän verkkoliikenteen kunnollinen dokumentointi helpottaa huomattavasti tutkijoiden työtä siinä vaiheessa, kun rikoksen jälkiä aletaan etsiä. Dokumentoinnissa pitäisi rikoksen kohteeksi joutuneesta järjestelmästä ottaa talteen mahdollisimman paljon tietoja. Muutenkin murtoon pitäisi reagoida nopeasti ja ennalta suunnitellulla tavalla.

Keräämisen kanssa on kuitenkin oltava tarkkana. Usein dokumentointi on jäänyt vähintäänkin vaillinaiseksi ja hyökkäys pistää hätiköimään. Pahimmillaan tietomurron uhri voi sotkea tutkintaa tuhoamalla vahingossa lokitietoja.

- Näitäkin tietysti sattuu, mutta aika harvoin. Tunkeutumisen uhri on yleensä enemmän tai vähemmän adrenaliinihumalassa, ja toki asianomistajalla on oikeus saada tietää mistä verkkoon on tunkeuduttu ja mitä omissa järjestelmissä on tehty. Hyvä kuitenkin olisi, jos todisteiden turvaamisesta puhuttaisiin mahdollisimman varhaisessa vaiheessa tutkivan poliisin kanssa, Kajantie neuvoo.

Puhumalla selviäisi moni muukin tietoturvallisuuteen liittyvä ongelma. Ylitarkastajan mielestä sisäinen dialogi on organisaation tietoturvan kannalta oleellinen asia.

- Tietoturva ja käytettävyys ovat usein vastakkaisia käsitteitä, eli turvallisuus saattaa vaatia ihmisiltä ylimääräistä vaivaa. Ihmiset ovat valmiita tekemään paljonkin turvallisuuden eteen, jos organisaation johdosta ja ylläpidosta löytyy sen verran kohteliaisuutta, että viitsitään selittää, miksi asiat tehdään tietyllä tavalla. Vastaavasti ihmiset käyttävät massiivisen määrän energiaa sääntöjen kiertämiseen ihan vain periaatteesta, jos eivät pidä ylhäältä tiputettuja sääntöjä järkevinä, Kajantie sanoo.

Murtomiehet haalivat levytilaa

Suomessa yleisimmät tietotekniikkarikokset ovat automatisoituja murtoja, joissa tunkeutuja hakee käyttöönsä resursseja. Murtautujaa kiinnostaa yleensä levytila tiedostojenvaihtoa varten, tai sitten verkkoresurssit siten, että murrettua konetta käytetään hajautetun palvelunestohyökkäyksen yhtenä aseena. Niinpä kotikäyttäjät, jotka sanovat, ettei heidän koneellaan ole mitään kiinnostavaa, ovat Kajantien mielestä väärässä: kone itsessään voi olla kiinnostava resurssi.

- Tietoliikenteen häirinnäksi laskettavat verkkohyökkäykset liittyvät meillä yleensä kakaroiden – ainakin henkisiltä ominaisuuksiltaan – irc-sotiin ja verkon pelipalvelimiin. Jonkin verran on toki näkyvissä myös haktivismia, jossa pyritään estämään kilpailevaa aatetta edustavan palvelun käyttö. Hajautetut palvelunestohyökkäykset ovat aina vakavia ihan motiivista riippumatta, koska ne uhkaavat koko verkon toimintaa, Kajantie sanoo.

Poliisilla ei vielä ole käytössään tilastoja tietomurtotapauksista, eikä Kajantie halua arvuutella vuosittain tutkittavien tapausten määrää. Tilastotietoja on luvassa ensi vuonna, mutta jo nyt tiedetään KRP:ssakin se, että ylivoimaisesti suurin osa tietomurroista ei koskaan tule poliisin tutkittavaksi.

Skriptikakarat saadaan satimeen

Ovela ja osaava murtomies pitää matalaa profiilia, jotta hänestä ei jäisi sähköisiä jälkiä. Murroista havaitaan ennen kaikkea ne, joissa tunkeutujat pitävät itsestään meteliä jollakin tavoin.

- Taitava yritysvakoilija, joka vain hakee tietoa eikä muuta mitään, jää hyvin suurella todennäköisyydellä havaitsematta. Käytännössä ainoa keino havaita tällaisia on taitava ja motivoitunut ylläpito. IDS-järjestelmien valmiit hyökkäyssormenjäljet tunnistavat madot ja skriptikakarat, eivät taitavia tietovarkaita. Aivan liian usein organisaatio kuulee murrosta vasta poliisilta, Kajantie muistuttaa.

Moni yhtiö jättää murron ilmoittamatta, jos sellaisen sattuisikin havaitsemaan, tietomurron kun pelätään tahrivan julkisuuskuvaa. Rikosilmoituksen tekeminen onkin Kajantien mukaan yrityksille liiketoimintaratkaisu. Silti hän toivoisi yritysmaailmalta enemmän rohkeutta ottaa yhteyttä poliisiin tietomurron sattuessa.

- Jostain syystä – varmaan suurempien potentiaalisten riskien takia – tietomurto koetaan häpeämmälliseksi kuin murto sorkkaraudalla, vaikka periaatteessa kyse on samasta asiasta. Toisaalta tänä päivänä yritys saa myös paljon meriittiä, jos sillä on kanttia ilmoittaa rikoksesta. Se vain osoittaa, että yritys on hereillä ja että se huolehtii tietojärjestelmistään, Kajantie rohkaisee.

Tietojen vaihtaminen on tiukasti rajattua

Suomessa poliisi tutkii tietomurtotapaukset, mutta ajankohtaisista teknisistä ilmiöistä ja teknisistä tekotavoista vaihdetaan tietoa CERT-ryhmän ja operaattorien kanssa. Muuten tiedonvaihto on varsin rajoitettua. Esimerkiksi rikoksen tai tietoturvaloukkauksen asianosaisista ei ikinä vaihdeta tietoa ilman asianosaisten nimenomaista lupaa. Niinpä yritykset voivat Kajantien mukaan ilmoittaa teknisistä ongelmista CERTille, vaikka ne eivät haluaisi rikosprosessiin.

Operaattorien kanssa toiminta on vielä tarkemmin säädeltyä, jotta asiakkaiden yksityisyyden suoja voidaan taata. Tietojen vaihtamiselle on oltava selvä laillinen peruste. Teletunnistetiedoista saatujen tietojen vaihtaminen tapahtuu pääsääntöisesti juristien kautta.

- Poliisin oikeudet päästä käsiksi tietoon on tarkasti rajattu riittävän vakavien rikosten tutkintaan, mikä onkin oikein. Poliisilla on yhteiskunnassa pakkokeinovalta, joten sen kaikki liikkeet ovat aika tarkkaan säädeltyjä, Kajantie huomauttaa.

Poliisikaan ei saa operaattoreilta tietoja ilman tuomioistuimen päätöstä ja epäilyä rikoksesta. Toisinaan virkavallan toiminta on verkkaista. Apu löytyy usein CERTistä, joka voi olla yhteydessä suoraan rikoksen uhriksi joutuneeseen organisaatioon. Poliisissa ollaan tyytyväisiä ripeään toimintaan.

- CERT, virtuaalimaailman palokunta, on huomattavasti poliisia nopealiikkeisempi, ja sen tiedonsaantioikeudet ovat toisinaan paremmat. CERTin merkitys on ollut hyvin suuri. Tietoturvallisuuden kaikkein suurin ongelma on se, ettei todellista uhkaa tiedosteta. CERT tekee todella hyvää työtä tietoisuuden lisääjänä, Kajantie kehuu.

Mappisulkeisista tietokonetutkintaan

Sähköistä todisteiden etsintää kutsutaan myös forensiikaksi (engl. forensics). Forensiikan tarkoituksena on etsiä tietokoneilta sähköisiä jälkiä rikollisesta toiminnasta ja hankkia todisteita käytettäväksi rikosjutuissa.

Tietotekniikan avulla tehtäviä tai siihen kohdistuvia rikoksia käsittelevät tietotekniikkarikosten tutkintaan koulutetut ja erityisvarustellut yksiköt ja tutkijat, joita on ympäri Suomea paikallispoliisissa ja KRP:n alueyksiköissä. Tutkijat on enimmäkseen koneista kiinnostuneita entisiä talousrikostutkijoita.

Talousrikosten tutkinta on Kajantien mukaan muuttanut muotoaan tietoteknistymisen myötä. Siinä, missä ennen haettiin talousrikoksen tutkimuksiin rekkalastillinen mappeja, nyt voi riittää yksi työasema. Tutkinta on muutenkin tehostunut.

- Tutkituissa jutuissa liki aina on löytynyt todisteita, jos epäilty ei ole osoittautunut syyttömäksi. Poliisi ei kuitenkaan haluaisi tunkeilla tuomioistuoimen tontille, joten sitä en haluaisi arvoida, kuinka usein sähköinen todisteaineisto on ollut kaikkein oleellisin. Tällaisiakin tapauksia kuitenkin on, Kajantie sanoo.

Mielekästä puurtamista

Vaikka termillä forensics tarkoitetaan englannissa televisiostakin tuttua rikospaikkatutkintaa, tietotekninen rikostutkinta on oikeasti täysin irrallaan teknisestä rikospaikkatutkinnasta ja rikosteknisestä laboratoriosta. Muitakin eroja televisiosarjojen ja todellisuuden välillä on.

- Poliisilta puuttuvat stylistit! Tv-sarjojen tutkijat näyttävät paljon paremmilta valvotun yön jälkeen. Työstä suurin osa on tietysti puurtamista, mutta paljon mahtuu myös hyvin jännittävää salapoliisityötä. Se vain ei näytä kovin filmaattiselta, Kajantie veistelee.

Vaikeinta tietomurtotutkijan työssä on Kajantien mielestä käytettävissä olevan ajan rajallisuus; pari lisävirkaa kuulemma helpottaisi työtaakkaa. Palkitsevimmaksi asiaksi ylitarkastaja kehuu työn mielekkyyttä.

- Palkitsevaa on, jos voi auttaa saattamaan vastuuseen tunkeutujan, joka on loukannut toisen reviiriä, tai auttaa vapauttamaan epäilyistä syyttömän. Tai jos saa jonkin organisaation suojaamaan järjestelmänsä kunnolla, sanoo Kajantie.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa