Professoriluento | Seppo Virtanen

Digitalisoituvassa yhteiskunnassa riippuvuus sähköisistä järjestelmistä on arkipäivää ja nykyinen elämäntapamme nojaa niihin vahvasti. Käytämme sujuvasti henkilökohtaisia tietojamme käsitteleviä verkkopankkeja ja terveydenhuollon digitaalisia palveluita, ja luotamme sähkö- ja vesijohtoverkkojen toimivuuteen ja laatuun. Kyberturvallisuusteknologia ja sitä eteenpäin vievä tutkimus mahdollistavat sen, että arkemme ja jokapäiväinen asiointimme digitaalisten järjestelmien kyllästämässä maailmassa on nyt ja tulevaisuudessa sujuvaa ja samalla luottamuksemme arvoisesti suojattua.

Puhekielessä termejä “kyberturvallisuus” ja “tietoturvallisuus” käytetään usein synonyymeinä. Näiden määrittely kokonaan toisistaan erillisiksi onkin jossain määrin keinotekoista, sillä hyvin usein käyttötilanteessa kumpikin termi toimii yhtä hyvin. Termejä on käytetty viime vuosikymmeninä jopa vuorotellen ajan hengen ja muodin mukaan. 1990-luvulta 2000-luvun alkuun kyberavaruus ja kyber-etuliitteen käyttö ylipäätään olivat muodikasta, kun taas 2000-luvun lopulla ja 2010-luvun alkupuolella tietoturvallisuus oli terminä vallitseva kuvaamaan tietoteknisten laitteiden ja järjestelmien kykyä suojautua turvallisuusuhilta ja -riskeiltä. 2010-luvun jälkimmäiseltä puoliskolta alkaen ollaan taas palattu käyttämään “kyberturvallisuus”-termiä. Nyt 2020-luvulla ja nykyisessä maailmanpoliittisessa tilanteessa ei ole sellaista päivää, jolloin mediassa ei uutisoitaisi jostakin kyberturvallisuuteen liittyvästä aiheesta.

Tarkkaan ottaen kyberturvallisuus määritellään tavoitetilaksi, jossa digitaalisista sähköisistä järjestelmistä koostuvaan toimintaympäristöön voidaan luottaa ja jossa ympäristön toiminta ja siinä oleva digitaalinen informaatio turvataan. Tämän määritelmän ulkopuolelle jää fyysinen suojaaminen, vaikkapa paperilla olevien turvaluokiteltujen asiakirjojen tai merien pohjissa kulkevien kaapeleiden suojaaminen fyysisen maailman uhilta, kuten tulipaloilta, vesivahingoilta tai tahalliselta tuhoamiselta. Edelleen tarkkaan määriteltäessä tällainen fyysinen suojaus kuitenkin on osa tietoturvallisuutta.

Kyberturvallisuus on läsnä arjessamme niin hoitaessamme omia yksityisasioitamme vaikka pankin tai verottajan kanssa kuin myös laajemmassa kontekstissa yhteiskunnallisella tasolla vaikkapa sähköverkon ja vesihuollon luotettavuudessa. Kyberturvallisuuden ja kyberturvallisuusteknologian näkökulmasta onkin tarpeen ymmärtää, että digitaalisia järjestelmiä ja digitaalista tiedonsiirtoa turvaavia ratkaisuja tarvitaan samanaikaisesti kaikilla eri toiminnan tasoilla lähtien henkilön omasta lähitilasta ja jatkuen huoneisto- ja rakennustason kautta aina yhteiskunnallisiin prosesseihin asti. Kyberturvallisuus on otettava kaikilla näillä tasoilla osaksi digitaalisten ratkaisujen suunnittelua ja toteutusta. Mikäli näin ei tehdä, seuraukset voivat pahimmillaan olla katastrofaalisia ja maksaa ihmishenkiä.

Yksittäisen henkilön tasolla kyberturvallisuusteknologiat varmistavat, että omien asioiden digitaalinen hoitaminen on turvallista. Pankkiasioinnissa luotamme siihen, että tehdessämme tilisiirron raha siirtyy vain kerran. Ilman toimivia kyberturvallisuusratkaisuja joku voisi kaapata käyttämämme laitteen ja pankin palvelimen välisen viestivaihdon ja toistaa sitä lukemattomia kertoja niin, että yksi tilisiirto monistuisi useaksi ja lopulta pankkitilimme olisi tyhjä. Lääketieteellisessä etähoidossa on nykyään mahdollista siirtää automaattisesti esimerkiksi insuliinipumpun tai sydämen tahdistimen keräämiä tietoja kotoa internetin kautta lääketieteen ammattilaiselle. Näin vastaanottokäyntien määrää voidaan merkittävästi vähentää ja hoitoa voidaan tarjota ennakoivasti. Edistyneimmissä nykyaikaisissa lääkinnällisissä laitteissa on myös asetusten etäsäätömahdollisuus. Lääkäri voi vaikkapa säätää sydämen tahdistimen asetuksia verkkoyhteyden yli. Esimerkiksi Helsingin Meilahden sairaalalla on nykyisin jo yli 2000 tahdistinpotilasta etäseurannassa ja -hoidossa. On ilmeistä, että tahdistinta käyttävä potilas voi olla jopa hengenvaarassa, mikäli joku voisi kytkeytyä lääkärin ja tahdistimen väliseen tiedonsiirtoyhteyteen ja syöttää sitä kautta tahdistimelle vääriä asetuksia. Näin voi käydä, ellei laitteita ja yhteyttä ole asianmukaisesti ja huolella suojattu kyberturvallisuusteknologioilla.

Siirryttäessä henkilökohtaiselta tasolta huoneistojen ja rakennusten tasolle tullaan IoT-laitteiden eli niin sanotun esineiden internetin ydintoiminta-alueelle. Esineiden internetissä erilaiset laitteet, jotka eivät yleensä näytä perinteisiltä tietojenkäsittelylaitteilta, kytkeytyvät internetiin jakaakseen ja vastaanottaakseen tietoa. Arkipäiväisiä esimerkkejä tällaisista laitteista ovat esimerkiksi älyvalaistus, älykkäät lämmityksen ja ilmastoinnin laitteet sekä erilaiset älykkäät hälytinjärjestelmät. Nämä järjestelmät ovat usein internetin kautta etäohjattavia ja niiden toimintaa voidaan ohjelmoida vuorokauden aikojen ja ympäristön olosuhteiden mukaan. Valaistusta voidaan esimerkiksi säätää himmenemään automaattisesti päivänvalon lisääntyessä, ja sammumaan ja syttymään sen mukaan, onko tilassa ihmisiä paikalla. Vastaavasti lämmitys- ja ilmastointijärjestelmiä voidaan säätää toimimaan pienemmällä teholla silloin, kun järjestelmä havaitsee, että tilassa ei ole ketään paikalla.

Esineiden internetin laitteiden tarkoitus on usein automatisoida arjen toimintoja ja tätä kautta helpottaa ihmisten elämää. Tämä onkin merkittävä syy niiden suosioon.  Näille laitteille on kuitenkin valitettavan tyypillistä, että valmistajat haluavat saada yleisöä kiinnostavat teknologiset tuotteensa markkinoille mahdollisimman pian. Siksi laitteiden kyberturvallisuuden toteutukset jäävät usein keskeneräisiksi. Laitteiden suosio ja yleinen tieto niiden heikosta kyberturvallisuuden tasosta on herättänyt myös kyberrikollisten mielenkiinnon, koska huonosti suojatun IoT-laitteen kautta voidaan päästä käsiksi kaikkiin samassa tietoverkossa toimiviin laitteisiin ja järjestelmiin sekä siellä säilytettävään informaatioon.

Erään kyberturvallisuustuotteita valmistavan yhtiön äskettäin julkaiseman tutkimuksen mukaan esineiden internetin laitteisiin kohdistuvien kyberhyökkäysten määrä kasvoi yli 100 % vuoden 2020 jälkimmäisestä puoliskosta vuoden 2021 ensimmäisen puoliskon loppuun mennessä. Kyseinen yritys asetti verkkoon niin sanotun hunajapurkin - suomalaisittain sanottuna houkutuslinnun - eli ympäristön, joka näyttää ulospäin laajalta esineiden internetin laitteiden muodostamalta kokonaisuudelta, mutta on todellisuudessa yrityksen hallinnoima simuloitu ympäristö hyökkäysten houkutteluun. Näiden puolivuotisjaksojen välillä hunajapurkilla havaittujen hyökkäysyritysten määrä nousi noin 640 miljoonasta hyökkäyksestä yli 1,5 miljardiin. Kyberturvallisuusteknologioiden rakenteellinen sisällyttäminen esineiden internetin laitekehityksessä on siis aivan välttämätöntä.

Yhteiskunnallisella ja globaalilla tasolla kyberturvallisuudella on edellä mainittuihin tarkastelutasoihin verrattuna hyvin toisenlaiset haasteet. Erityisen merkittäväksi haasteeksi nousee digitaalisten palveluiden potentiaalisen käyttäjäkunnan luottamus palveluita kohtaan. Esimerkkinä voidaan ajatella automatisoitua joukkoliikennettä, eli ajoneuvoja, joissa ei ole lainkaan kuljettajaa. Esimerkiksi Australiassa Sydneyn metrojärjestelmä on täysin automatisoitu ja kuljettajaton. Tampereella pilotoidaan parhaillaan autonomisia enintään 30 kilometriä tunnissa kulkevia robottiminibusseja, jotka keräävät matkustajia muutaman kilometrin etäisyydeltä uuden raitiovaunuverkoston pysäkeille Hervannassa. Täällä Turussa on käytössä kuljettajaton Funikulaari Linnankadulta Kakolanmäelle. Kaikki nämä järjestelmät hyödyntävät tietoverkkoyhteyksiä sekä tilatietonsa jakamiseen että järjestelmien ohjaukseen. Kyberturvallisuusteknologioita käyttäen on varmistettava, että kukaan oikeudeton ei pääse etäyhteyksiä hyödyntäen antamaan omia, mahdollisesti onnettomuuksiin johtavia ohjauskomentojaan näille automaattisille järjestelmille. Pelkästään mäkeä ylös ja alas edestakaisin ajavan kiskobussin jumittuminen usein matkan varrelle saa jo helposti käyttäjät valitsemaan mieluummin vieressä olevien rappusten käytön Kakolanmäelle kulkiessaan. Yksittäinenkin automaattisen liikenteen onnettomuus romuttaisi käyttäjäkunnan luottamuksen tällaisiin järjestelmiin välittömästi ja käyttö loppuisi käyttäjäkadon vuoksi.

Yhteiskunnallisella tasolla on meneillään digitaalinen transformaatio, jossa aiemmin perinteisin paperein ja toimistokäynnein toteutetut prosessit siirtyvät sähköisiksi, ja aiemmin lähiohjattuja järjestelmiä siirretään etäohjaukseen. Kriittiseen infrastruktuuriin, kuten esimerkiksi sähköverkkoon ja vesihuoltoon liittyvät valvomojärjestelmät ovat usein maailmanlaajuisesta tietoverkosta irrotettuja järjestelmiä. Yksi syy tälle on, että näin niiden katsotaan olevan lähtökohtaisesti turvassa kyberhyökkäyksiltä. Usein valvomojärjestelmät on myös sertifioitu tiettyyn ohjelmisto- ja laitteistokokoonpanoon, jolloin käytössä oleviin ohjelmistoihin ei välttämättä ole mahdollista asentaa päivityksiä menettämättä sertifiointia. Valvomojärjestelmä voi kuitenkin olla helppokäyttöisyyssyistä yhdistettynä johonkin ylläpitävän tahon sisäverkon laitteeseen etäohjausta varten: tällöin järjestelmää voidaan kontrolloida toimistosta käsin menemättä tuotantotiloihin varsinaiselle valvomolaitteelle. Osaava ja onnekas kyberrikollinen voi löytää itselleen verkkopolun internetistä ensin toimijan sisäverkkoon, ja sieltä sellaiselle sisäverkon laitteelle, jolta varsinaista valvomojärjestelmää voidaan etäkäyttää. Näin kyberrikollinen voi päästä sekoittamaan järjestelmän toimintaa vakavasti. Tällaisten järjestelmien asiantunteva ja huolellinen suojaaminen kyberuhilta on sekä taloudellisesti että kansallisesti erittäin tärkeää.

Internet-pohjainen äänestys on ollut jo useita vuosia Suomessa paljon julkisuudessa. Keskustelua on herättänyt paljon se, pitäisikö internet-äänestys ottaa Suomessakin käyttöön, kun Virossa sitä on jo onnistuneesti käytetty vuosia ja sen suosio kasvaa vaalista toiseen. Vahvasti yksinkertaistaen Viron järjestelmä on esimerkki siitä, miten aiemmin paperilla toiminut prosessi muunnetaan digitaaliseksi noudattaen hyvin pitkälti paperiprosessin mallia. Järjestelmässä äänet annetaan digitaalisesti vastaavasti kuin perinteisessä järjestelmässä annetaan ennakkoäänet. Itse ääni suljetaan omaan digitaaliseen kuoreensa, jonka vain vaalin järjestäjä voi avata, ja tämä kuori laitetaan toiseen kuoreen, jonka lähetteen äänestäjä allekirjoittaa. Molempien kuorien sulkemiseen käytetään edistyneitä kyberturvallisuusteknologioita. Sisempi kuori erotetaan ulommasta kuoresta ja allekirjoitetusta lähetteestä vaalin järjestäjän toimesta ennen ääntenlaskua. Näin pidetään erillään tieto siitä, onko jo käyttänyt äänioikeuden, ja siitä, ketä äänioikeuden käyttänyt on äänestänyt.

Suomessa on tähän asti lähdetty siitä, että internet-äänestystä ei oteta käyttöön, koska sillä ei voida saavuttaa yhtä varmasti yksityisyyttä, vaalisalaisuutta ja omatahtoista äänestystä varmistavaa vaalia kuin paperilla annettavilla äänillä. Paperiäänten eduksi mainitaan myös uusintalaskennan todistettavuus ja vaalin sähköisen häirinnän vaikeus. On totta, että absoluuttista ja täysin varmaa kyberturvallisuutta ei ole, mutta Viron kokemukset osoittavat, että nykyisin menetelmin on jo mahdollista teknisesti toteuttaa luotettava internet-pohjainen äänestys. Myös yleinen mielipide etenkin pandemian aikana ja sen jälkeen on alkanut Suomessa kääntyä positiivisemmaksi internet-pohjaista vaalia koskien. Kuntavaalien 2021 alla Turun seudulla tehdyn kyselytutkimuksen vastaajista 78 % oli äänestänyt edellisissä kuntavaaleissa. Heistä 66 % olisi käyttänyt internet-äänestystä, jos se olisi ollut mahdollista. Vastaajista 22 % ei ollut äänestänyt edellisissä kuntavaaleissa. Heistä 61 % olisi äänestänyt, jos internet-äänestys olisi ollut mahdollinen.

Korkeatasoinen kyberturvallisuusteknologian tutkimus on keskeinen tekijä kilpajuoksussa järjestelmien suojausmenetelmien ja kyberrikollisten hyökkäysmenetelmien kehityksen välillä. Alan tutkimus analysoi ajan hetken mukaista tilannetta, ennakoi tulevaa ja kehittää uusia tunnistus- ja puolustuskeinoja nykyisiä ja tulevia hyökkäyksiä vastaan, kuten esimerkiksi äskettäin esitetty oppiva suojausjärjestelmä, jonka mallina toimi ihmisen keskushermosto.

Toinen merkittävä tekijä kilpailussa kyberrikollisia vastaan on alan asiantuntijoiden koulutus uusimpiin tutkimustuloksiin perustuen. Kyberturvallisuus on erittäin merkittävä kasvusektori tietoteknisillä aloilla. Koulutettujen asiantuntijoiden vaje kasvoi Euroopassa vuodesta 2021 vuoteen 2022 peräti 59 % ollen nyt noin 320 000. Maailmanlaajuinen alan asiantuntijoiden vaje on tällä hetkellä noin 3,4 miljoonaa. Turun yliopistossa on koulutettu alan diplomi-insinöörejä jo yli kymmenen vuotta, ja olemme alan koulutuksessa merkittävä toimija sekä kansallisesti että kansainvälisesti. 

Teknologia kehittyy koko ajan ja enenevässä määrin kaikki sähköistyy ja siirtyy digitaaliseen maailmaan. Samalla nykyteknologia on jo monille käyttäjille hyvin monimutkaista. Pelkkä uuden laitteen käyttöönotto voi olla hyvin haastavaa, puhumattakaan kyberturvallisuusasetusten määrittämisestä kohdalleen. Samalla jokaisella tietoverkkojen ja niiden palveluiden käyttäjällä on jotain rahanarvoista tietoa, mikä kiinnostaa kyberrikollisia. Tämä tekee kaikista käyttäjistä ja laitteista potentiaalisia kyberhyökkäyksen kohteita.

Tietotekniset järjestelmät ovat ainakin vielä ihmisten tekemiä, ja nämä järjestelmät ovat enintään niin hyviä kuin ne tehneet ihmiset. Meillä pitää olla oikeus olettaa, että järjestelmä on etevien ammattilaisten tekemä, ja se on toimiva ja turvallinen. Oletusarvon tulee olla, että käyttäjät käyttävät laitteitaan ja ohjelmistojaan tuotteliaasti ja voivat luottaa siihen, että myös viimeisin kyberturvallisuusteknologia on asianmukaisesti sisäänrakennettuna järjestelmiin.