Tietoturva 2019 -seminaari: avoimuus ja kannustaminen parantavat tietoturvaa kaikkialla

Tietoturva Nyt!

Niin seminaarin pääpuhuja Jessica Barker kuin Tietoturvan suunnannäyttäjä -palkinnon saanut Algol Oy:n Alexander Bargum korostivat, että salailu tai syyttely ei rohkaise verkkohuijauksen uhria rakentamaan parempaa tietoturvakulttuuria. Ongelmista kertominen ja onnistumisten korostaminen ovat avain parempaan turvallisuuteen.

""
Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki onnittelee Algol Oy:n toimitusjohtaja Alexander Bargumia, joka vastaanotti yritykselle myönnetyn Tietoturvan suunnannäyttäjä -palkinnon.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen vuosittaisessa tietoturvaseminaarissa 14.5.2019 jaettiin Tietoturvan suunnannäyttäjä -palkinto, jonka kävi vastaanottamassa Algol Oy:n toimitusjohtaja Alexander Bargum. Palkinto jaettiin nyt neljännen kerran. Seminaarin pääpuhujana oli tällä kertaa tietoturvan inhimillisiin ja sosiaalisiin ulottuvuuksiin erikoistunut tohtori Jessica Barker Isosta-Britanniasta. Barker työskentelee tietoturvayritys Cygentassa, jota hän on ollut myös perustamassa. 

Palkinto rehellisyydestä

Vuodesta 2016 lähtien jaetun Tietoturvan suunnannäyttäjä -palkinnon vastaanotti tekniseen kauppaan erikoistuneen Algol Oy:n toimitusjohtaja Alexander Bargum. Palkinnon perusteena oli Algolin avoimuus ja rohkeus kertoa sitä kohdanneesta kyberrikoksesta. Tapauksen selvittäminen ja korjaavien toimenpiteiden käyttöönotto opetti henkilöstöä ja paransi tietoturvaa tehokkaasti. Sen lisäksi Algolin esimerkki on kannustanut muita organisaatioita avoimuuteen ja tiedon jakoon koko yhteiskunnan hyväksi sekä tietoturvan parantamiseksi.

Algol joutui viime kesänä erittäin taitavan tietomurron kohteeksi. Tuntemattomaksi jäänyt varas, jonka jäljet päättyivät lokitietojen mukaan Ruotsiin, pääsi murtautumaan yrityksen omaan sähköpostijärjestelmään. Sähköpostista varas pääsi lähettämään väärennettyjä, uskottavan näköisiä tilausvahvistuksia ja maksuohjeita talousosastolle. Seurauksena oli 140 000 euron laskun maksu huijarin pankkitilille. Menetys olisi voinut olla suurempikin, mutta hongkongilaispankin valppaus esti toisen suorituksen perillemenon.

Bargumin mukaan Algol päätti tuoda tapauksen julkisuuteen ennen kaikkea muita suojellakseen. Tietomurroilta ja laskutuspetoksilta yhtiö suojautuu nyt muun muassa käyttämällä sähköpostissaan kaksivaiheista tunnistautumista, myös maksuprosesseja on kehitetty ja tarkennettu. ”Periaatteessa tapahtuneen ei olisi pitänyt olla mahdollista aiemminkaan, mutta epäonniset sattumat ja inhimilliset tekijät sallivat tässä tapauksessa tapahtumat siitä huolimatta. Esimerkiksi prosessimme mukaista varmistussoittoa ei koskaan soitettu”, Bargum kertoi. 

Puhujat yksimielisiä

Alexander Bargumin mukaan tapahtumaan vaikuttivat myös yhtiön omat, puutteelliset käytännöt. Maksujen kanssa tuli ajoittain kova kiire, ja talousosasto oli vastaanottanut yhtiön sisältä vähemmän rakentavaa palautetta ”kaupankäynnin hidastamisesta”. Tämän seurauksena talousosasto ei ollut halunnut tulla nähdyksi hankalana, mistä seurasi normaalien käytäntöjen sivuuttaminen kiiretilanteessa. ”Halusimme viestiä asiasta avoimesti, koska vain siten virheelliset toimintatavat voidaan korjata”, Bargum summasi. 

Algolinkin tapauksesta voidaan nähdä, että onnistunut tietomurto on usein monien teknisten ja inhimillisten sattumusten lopputulos. Salailu tai syyttely ei auta, ainoastaan toimintaa ja järjestelmiä kehittämällä tietoturva paranee. 

Samaa viestiä välitti myös Bargumin jälkeen puhunut Joakim Tauren, tietomurron uhriksi joutuneen norjalaisen ohjelmistoyrityksen Visman turvallisuusarkkitehti. Toisin kuin peittely ja salailu, avoimuus auttaa ottamaan ongelmista opiksi myös muualla kuin uhriksi joutuneessa organisaatiossa.

Homer-aivot eivät harkitse

”Jos käyttäjiä pelotellaan jatkuvasti vaaroilla ja heille kerrotaan yleisen hokeman mukaisesti heidän olevan tietoturvan heikoin lenkki, on vaarana, että he alkavat vain toteuttaa tätä rooliaan”, Barker muistutti. Hänen mukaansa on paljon järkevämpää keskittyä onnistumisiin. ”Sen sijaan, että syyllistetään ja korostetaan esimerkiksi kalasteluun langenneita, paljon olennaisempaa on muistuttaa, että suurin osa ihmisistä osaa toimia oikein”, Barker korosti.

Yhä kehittyneemmiksi muuttuneita kalasteluhyökkäyksiä analysoinut Barker jaotteli esityksessään ihmisen toimintaa rationaalisten ja vaikeasti höynäytettävien ”Spock-aivojen” sekä impulsiivisten, harkitsemattomaan toimintaan taipuvaisten ”Homer-aivojen” välille. ”Kalasteluhyökkääjät osaavat vedota taitavasti ihmisen perusimpulsseihin kuten uteliaisuuteen, houkutukseen, kiireeseen ja myös häpeään huijauksen uhriksi joutumisesta”, hän kertoi. 

Toinen ongelma on ihmisten väsymys usein kohtuuttomankin ankariin tietoturvavaatimuksiin. Barkerin mukaan esimerkiksi vaatimus vaihtaa salasanoja jatkuvasti heikentää tietoturvaa, koska se johtaa yksinkertaisten salasanojen käyttöön vaikeasti muistettavien monimutkaisten sijasta. Näkemystä puoltavat useat tietoturvatutkimukset. ”Salasanaohjelma on salasanojen muistamisessa ehdottomasti vähiten huono vaihtoehto”, hän linjasi.

""
Jessica Barker puheenvuorossaan "People as the strongest link in cybersecurity" (Co-CEO, Head of Socio-Technical, Cygenta, Iso-Britannia).


Teksti ja kuvat: Aleksi Vähimaa