Valkohattuhakkeri Benjamin Särkkä: Tietoturva-alalla tuijotetaan liikaa koulutus- ja urapolkua

”Vastaamo-tietomurto on tuonut ennennäkemättömällä tavalla tietoturvaosaajat, yritykset ja viranomaiset yhteen. Tässä yhteistyössä piilee vielä paljon käyttämätöntä potentiaalia”, valkohattuhakkeri ja tietoturva-asiantuntija Benjamin Särkkä kertoo.
kyberturvallisuus tietomurto tietoturva
Benjamin Särkkä esiintymässä valkohattuhakkerien Disobey-tapahtuman lavalla 2020.

Tietoturva-asiantuntija Benjamin Särkkä, 37, on yksi kymmenistä valkohattuhakkereista, jotka ovat auttaneet poliisia selvittämään psykoterapiakeskus Vastaamon tietomurto- ja kiristystapausta. Koko maata puhuttaneen rikoksen tutkinta on edelleen kesken, eikä syyllistä ole saatu toistaiseksi kiinni.

”Vastaamon kaltaiset tapaukset ovat Suomessa harvinaisia. On hyvä muistaa, että maassamme on tietoturvasaralla myös runsaasti onnistumisia. Niistä vain puhutaan valitettavan harvoin yhtä näyttävästi kuin epäonnistumisista”, Särkkä sanoo.

Tietomurto oli hänen mielestään monella tapaa poikkeuksellinen. Tapaus on koonnut ennennäkemättömällä tavalla tietoturvaosaajat, yritykset ja viranomaiset yhteen.

”Vastaamon tapaus on opettanut paljon hakkeriyhteisöjen, viranomaisten ja yritysten välisestä yhteistyöstä sekä sen merkityksestä. Hakkeriyhteisö teki töitä aktiivisesti ja oma-aloitteisesti, että tekijä saataisiin kiinni. Tietoturvayhteisö tuli yhteen ja auttoi poliisia tapauksen selvittämisessä”, Särkkä sanoo.

Benjamin Särkkä esiintymässä valkohattuhakkerien Disobey-tapahtuman lavalla 2020.

Benjamin Särkkä esiintyi valkohattuhakkerien Disobey-tapahtuman lavalla 2020.

”Heikkouksista kertominen johtaa parempaan lopputulokseen”

Yhteistyössä piilee Särkän mielestä kuitenkin vielä paljon potentiaalia, jota ei ole otettu käyttöön.

”Hakkeriyhteisöjen, viranomaisten ja yritysten yhteistyön syventäminen voi olla Suomelle tulevaisuudessa iso voimavara, mutta tämä vaatii aktiivista kehittämistä. Yhdessä tekeminen on mennyt eteenpäin vuosien saatossa, mutta kehitettävääkin on. Alalla on ennakkoluuloja ja asenteita on vielä hieman liikaa itseoppineita tietoturvaosaajia ja hakkeriyhteisöjä kohtaan”, Särkkä sanoo.

Yritysten ja viranomaisten on osattava tunnistaa, missä asioissa he voivat pyytää apua hakkeriyhteisöiltä.

Entistä tiiviimpi yhteistyö vaatii ehdotonta luottamusta, jonka rakentaminen vie aikaa ja vaatii työtä. Särkän mielestä yksinkertaisista asioista tehdään joskus turhaan hankalia ja monimutkaisia.

”Puhutaanpa sitten julkisesta tai yksityisestä sektorista, lopulta kyse on siitä, että uskaltaa kutsua ihmiset kylään, kertoa omasta toiminnastaan avoimesti ja kysyä rohkeasti apua. Uskon yhteistyössä läpinäkyvyyteen ja toimintamalliin, jossa heikkouksista kertominen johtaa parempaan lopputulokseen. Yritysten ja viranomaisten on osattava tunnistaa, missä asioissa he voivat pyytää apua hakkeriyhteisöiltä.”

Yritykset ja virastot ovat rohkaistuneet järjestämään bug bounty -tilaisuuksia, joissa valkohattuhakkereita pyydetään luvallisesti murtautumaan järjestelmiin ja raportoimaan mahdollisista tietoturva-aukoista palkkiota vastaan. Esimerkiksi ulkoministeriö, Väestörekisterikeskus, Digi- ja väestötietovirasto, Verohallinto ja Elisa ovat järjestäneet vastaavia.

Valtio tukemaan vapaaehtoisia valkohattuhakkereita?

Särkkä itse on ollut vahvasti rakentamassa hakkeriyhteisöjä sekä yhteistyötä viranomaisten ja yritysten välille. Hän on perustanut Disobey-tietoturvatapahtuman, joka kokoaa vuosittain yhteen Suomen tietoturvaosaajat taustoja tai titteleitä katsomatta. Viime vuonna tapahtumassa oli ensimmäisen kerran mukana myös julkishallinnon ohjelmalinja, jossa valtionhallinnon työntekijät jakoivat keskenään tietoja.

”Hakkeriyhteisöjä on jo paljon, ja vapaaehtoisia valkohattuhakkereita löytyy kaupunkitasollakin. Korona-aikana erityisesti terveydenhuollon avuksi perustettu KyberVPK on yksi hyvä esimerkki vapaaehtoisten tietoturvaosaajien yhteisöstä”, Särkkä sanoo.

”Vapaaehtoistoimintaa ei tule pitää itsestään selvänä tai hyväksikäyttää. Valkohattuhakkereita pitää osata arvostaa ja kohdella reilusti. Heitänkin palloa valtiotasolle, jossa mielestäni tulisi miettiä, miten vapaaehtoistoimintaa voitaisiin tukea.”

Benjamin Särkkä seisoo kadulla sateenvarjon alla.

”Valkohattuhakkereita pitää osata arvostaa ja kohdella reilusti”, Benjamin Särkkä sanoo.

Eri taustaiset osaajat on tuotava yhteen ja tunnistettava kyvyt

Särkän mukaan Suomessa on vielä paljon hyödyntämätöntä korkean tason tietoturvaosaamista.

”Kun on tahtoa, tiedon ja osaamisen hankkiminen on tänä päivänä helpompaa kuin koskaan ennen. Tietoturva-alalla jumitutaan usein siihen, että urapolun on oltava tietynlainen – ei huomioida kenellä on jo taidot ja osaaminen. Hakkeriyhteisöissä on paljon osaajia, jotka eivät ole kulkeneet tavanomaista koulutus- ja urapolkua, vaan he ovat erikoistuneet asiaan esimerkiksi harrastuksena oman työnsä ohella”, Särkkä kertoo.

Hän on koulutukseltaan merkonomi ja tietoturva-asioissa ja hakkeroinnissa itseoppinut. Maaliskuussa 2020 Särkkä nimitettiin tietoturvayhtiö Virian kyberturvallisuuspalveluista vastaavaksi johtajaksi.

”Alasta kiinnostuneita, jotka voisivat osaamisensa puolesta työskennellä tietoturvan parissa, on paljon. On ehdottoman tärkeää, että julkinen ja yksityinen sektori luovat yhdessä tapahtumia ja tilanteita, jossa eri taustaiset osaajat tuodaan yhteen ja tunnistetaan näitä taitoja – etsitään yhdessä ratkaisuja ongelmiin.”

Kuka?

Benjamin Särkkä

  • Valkohattuhakkeri ja tietoturva-asiantuntija. Hänet nimitettiin maaliskuussa 2021 Virian kyberturvallisuuspalveluiden johtajaksi.
  • Työskennellyt aiemmin Nordean Cyber Intelligence Analytics -yksikön vetäjänä.
  • Perustanut Disobey-tietoturvatapahtuman, joka kokoaa vuosittain yhteen Suomen tietoturvaosaajat. Viime vuonna tapahtumassa oli ensimmäisen kerran mukana julkishallinnon ohjelmalinja, jossa valtionhallinnon työntekijät jakoivat keskenään tietoja.
  • Mukana keskustelemassa digitaalisten toimintaympäristöjen turvallisuudesta Erve Foorumi 2021 -virtuaalitapahtumassa yhdessä tietosuojavaltuutettu Anu Taluksen, Elisan Chief Information Security Officerin Teemu Mäkelänja Erillisverkkojen teknologiajohtajan Antti Kauppisen kanssa.
  • Valittiin Vuoden 2020 Tivi-vaikuttajaksi.

Bug bounty Haavoittuvuuksien metsästysohjelma, jossa valkohattuhakkereita pyydetään luvan kanssa murtautumaan järjestelmiin ja raportoimaan mahdollisista tietoturva-aukoista. Hakkereille maksetaan tiedoista palkkioita. Suomessa esimerkiksi ulkoministeriö, Väestörekisterikeskus, Digi- ja väestötietovirasto, Verohallinto ja Elisa ovat järjestäneet vastaavia.

KyberVPK KyberVPK:n on noin kolmenkymmenen suomalaisen kyberasiantuntijan muodostama vapaaehtoisorganisaatio. Se on perustettu auttamaan erityisesti terveydenhuollon ja muiden kriittisten toimintojen tuottajia kyberuhkien ratkaisemisessa ja ennaltaehkäisemisessä. Jäsenet työskentelevät IT-alan yrityksissä, mutta toimivat KyberVPK:ssa vapaa-ajallaan.