Valkohattuhakkeri Laura Kankaala: Tietoturvakulttuuri kaipaa muutosta – virheet uskallettava kertoa

Kun koronapandemia pakotti tietotyöläiset siirtymään laajasti etätöihin, tietoturva-aukkoja alkoi paljastua yhä tiuhemmin. Uudet etätyökäytännöt vaativat paitsi teknisiä myös asenteellisia muutoksia. ”Meidän pitäisi osata ja uskaltaa kertoa, jos jokin epäilyttää, ja myös tulla kuulluiksi organisaatioissa. Muuten riskialttiita aukkoja ei löydetä ajoissa”, sanoo F-Securen tietoturva-asiantuntija Laura Kankaala.
kyberturvallisuus tietoturvallisuus Turvallisuusvuosi 2020
Tietoturva-asiantuntija Laura Kankaala

Turvallisuusasiantuntijat kertovat juttusarjassa näkemyksiään vuodesta 2020 ja tulevasta kehityksestä.

Vuoden alussa F-Securella aloittanut Laura Kankaala tunnetaan valkohattuhakkerina. Hän teki vuoden 2020 aikana paljon töitä muun muassa Roborcorp-ohjelmistoyritykselle etäyhteyksien päässä milloin missäkin: oman kodin olohuoneessa, vaatekomerossa tai äidin luona. Etätyö mahdollisti työnteon omassa rauhassa, mutta kontaktit työkavereihin jäivät aiempaa ohuemmiksi. Kankaala huomasi tarvitsevansa molempia.

”­Muutos työntekemisen tavoissa voi olla pysyvä, ja ehkä hyvä niin. Tärkeää olisi, että olisi mahdollisuus valita tilanteen mukaan työnteko etänä tai toimistolla”, Kankaala sanoo.

Siirtyminen etätöihin paljasti monien yritysten tietoturvassa ammottavia aukkoja. Niitä Kankaala tutkii työkseen. Hyökkäävä tietoturva etsii aukkoja yrityksen suojauksissa – jotta ne ehdittäisiin tilkitä, ennen kuin rikolliset tahot löytävät ne.

Tietoturva-asiantuntija Laura Kankaala

”On hyvä, jos Suomessa voidaan varmistaa, että kriittiset toiminnot pysyvät omissa käsissämme”, tietoturva-asiantuntija Laura Kankaala sanoo.

Hölmöily kostautui

Laura Kankaalan päällimmäinen havainto kuluneesta vuodesta on, että yritysten tietoturvauhat siirtyivät etätyöntekijöiden mukana kotiverkkoihin. Ne ovat yleensä huomattavasti huonommin suojattuja kuin yritysten järjestelmät.

”Yritykset voi periaatteessa jakaa kahteen leiriin: toisilla etätyöinfra oli jo olemassa ja hyvin organisoitu, toisille puolestaan etätyö oli kaukainen ja epämääräinen tulevaisuudenkuva, joka yhtäkkiä koronan myötä tulikin todeksi”, Kankaala sanoo.

Porukka esimerkiksi jakoi sosiaalisessa mediassa Zoom-palavereista kuvakaappauksia, joissa näkyi palaverin tunnistenumero.

Jälkimmäiset yritykset joutuivat epidemian alussa tekemään pikaratkaisuja esimerkiksi palvelimien ylläpidossa, etätyöyhteyksien pystyttämisessä ja palaverikäytännöissä. Tämä kaikki jätti tietoturvan ohueksi. Jos yritys ei ollut varautunut etätöihin turvatuilla yhteyksillä, haavoittuvuus lisääntyi etätyön myötä räjähdysmäisesti.

”Kaikki ei kuitenkaan ollut kiinni tekniikasta. Myös tietoturvakäytännöt olivat monilla hukassa, ja se kostautui: porukka esimerkiksi jakoi sosiaalisessa mediassa Zoom-palavereista kuvakaappauksia, joissa näkyi palaverin tunnistenumero. Tiedän tapauksia, joissa ulkopuoliset pääsivät tällä tavoin mukaan jopa oikeussaliin”, Kankaala kertoo.

Hyökkäykset lisääntyivät

Viime vuoden ilmiö oli myös aktiivisten kalasteluhyökkäysten lisääntyminen. Rikolliset yrittivät puheluiden, sähköpostien ja tekstiviestien välityksellä saada haltuunsa salasanoja ja siten pääsyä tietokoneisiin ja puhelimiin.

Rikolliset pyrkivät saamaan jalansijaa yrityksiin, jolloin ne voivat huijata tai kiristää. Kankaalan mielestä erityisen vastenmielinen oli Psykoterapiakeskus Vastaamon tietomurto, jossa muun muassa potilastietoja päätyi vääriin käsiin.

”Jokaisen pitäisi voida arkaluontoisia asioita kertoessaan luottaa, että ne eivät leviä ulkopuolisille. Vaikka tietoturva ei voi koskaan olla täydellinen, näen sen perusoikeutena, joka kuuluu kaikille”, Kankaala sanoo.

Ikävä tapaus sai aikaan tärkeän keskustelun esimerkiksi henkilötunnuksen käytöstä – miksi sitä kysytään niin monessa tilanteessa? Laura Kankaala on jo pitkään kapinoinut käytäntöä vastaan. Hän ei esimerkiksi halua kertoa ikäänsä, koska sen tiedon avulla rikollisille tahoille on liian helppoa selvittää myös henkilötunnus. Sitä taas voidaan käyttää väärin monin tavoin.

Helppo ja vaikea salanasana kirjoittettuna post it -lapulle.

Helposti arvattavat salasanat voivat olla pikavoittoja rikollisille.

Läpinäkyvyyttä ketjuihin

Mitä erikoisesta vuodesta 2020 sitten pitäisi oppia tietoturvan näkökulmasta? Laura Kankaala kehottaa yritysten tietoturvasta vastaavia ammattilaisia skarppaamaan. Vaikka aukotonta tietoturvaa ei ole olemassa, pikavoittoja ei silti pitäisi sallia rikollisille. Täysin salasanasuojaamattomia palvelimia ei pitäisi enää löytyä internetistä. Oletussalasanoja tai helposti arvattavia salasanoja, kuten yrityksennimi2021!, ei tulisi käyttää. Tämän lisäksi hän kehottaa laajentamaan ja syventämään näkökulmaa tietoturvaan.

”Rikolliset pääsevät yritykseen sisään monia reittejä. Yksi tapa on etsiä heikot lenkit yrityksen käyttämistä kumppaneista. Jonkin ulkopuolelta ostetun palvelun tai järjestelmän mukana voikin tulla myös kutsumattomia vieraita. Hiljattain näin kävi esimerkiksi maailmanlaajuisesti käytetylle SolarWindsin Orion-monitorointityökalulle”, Kankaala kertoo.

Tapaus tahrasi kymmenien tuhansien yritysten ja organisaatioiden koskemattomuuden, niin Pentagonin kuin Yhdysvaltain terveysvirastonkin (National Institute of Health).

Kankaala pitää ymmärrettävänä, ettei ostaja voi tutkia läpikotaisin jokaisen palvelun tietoturvaa. Siksi hankintaketjujen läpinäkyvyys ja kyky avoimeen dialogiin ovat tulevaisuudessa yhä arvokkaampi ominaisuus kaikille it-alan toimijoille.

Myös kansalliset edut kannattaa ottaa huomioon globaalissa maailmassa.

”Vaikka hyökkäykset ovat globaaleja, voi silti ajatella myös suomalaisten näkökulmaa. On hyvä, jos Suomessa voidaan varmistaa, että kriittiset toiminnot pysyvät omissa käsissämme. Esimerkiksi poliittisen ilmaston kiristyminen voisi olla potentiaalinen uhka, jos meille tärkeä infra olisi sidottu vieraan maan konesaleihin. Sen palauttaminen Suomeen voisi yhtäkkiä olla vaikeaa”, Laura Kankaala pohtii.

Asenteiden muututtava

Tietoturva-asiantuntija Laura Kankaala kaipaa myös yleistä asenteiden muutosta niin yritysten it-johdoilta kuin tavallisilta läppärinkäyttäjiltäkin. Hän puhuu tietoturvakulttuurista, joka kaipaisi kehittämistä.

”Tietoturva on edelleen jotenkin vaikea asia puhuttavaksi. Meiltä puuttuvat yhteinen kieli ja käytännöt. Vaaranpaikat löydetään vain, jos tietoturvasta uskalletaan puhua avoimesti. Jos jokin asia epäilyttää tai pelkää tehneensä mokan, pitäisi olla ihan ok kertoa siitä. Sormella osoittelu ei auta”, Laura Kankaala sanoo.

Laura Kankaalan turvavinkkejä etätyöhön

  • Älä käytä työ- ja vapaa-ajan koneita, käyttäjätunnuksia tai sähköposteja ristiin.
  • Pidä laitteesi päivitettyinä – myös älylaitteesi.
  • Ole skeptinen internetissä, niin sisällön kuin mahdollisten kalasteluviestienkin kanssa.
  • Älä lataa kräkkejä, joilla ohitetaan sovellusten kopiointiestomekanismeja, ja vältä Android-sovelluksien lataamista virallisten sovelluskauppojen ulkopuolelta.

Suuria kyberhyökkäyksiä Suomessa ja maailmalla vuonna 2020

  • SolarWinds supply chain attack
  • Psykoterapiakeskus Vastaamon tietomurto
  • Twitterin tietomurto, jossa päästiin käsiksi monien julkisuudesta tunnettujen henkilöiden tileihin
  • Düsseldorfin yliopistolliseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys, johon liitettiin ensimmäinen kuolemantapaus kyberhyökkäyksen yhteydessä
  • Lisäksi monet yritykset, kuten Garner, Nintendo ja Estee Lauder, havaitsivat laajamittaisia kyberhyökkäyksiä, joista osa oli tietomurtoja ja osa kiristyshaittaohjelmia

Turvallisuusvuosi 2020:

Supon Antti Pelttari: Turvallisuusuhkamme kansainvälistyneet
HVK:n Janne Känkänen: Kehitämme digiturvallisuutta ja varastointia
FiComin Elina Ussa: Luottamus on kybervalttimme
Timo Lehtimäki: Koronavaiheessakin mentävä vauhdilla eteenpäin