Yritys, miten valitset tietoturvapalvelusi?

Kyberrikollisuus rehottaa, ja palvelunestohyökkäykset ja kiristyshaittaohjelmat yleistyvät verkossa. Onko yksityisyydensuojasi kunnossa ja elektroniikkalaitteesi suojattu?

Cyber security

Kyberturvallisuuden puutteet ja niistä johtuvat ongelmat näkyvät sekä digitaalisessa ympäristössä että reaalimaailmassa. Luottamus moniin nykyisiin järjestelmiin on rapistumassa. Erilaiset hyökkäykset ovat arkipäivää verkossa ja yksittäisen käyttäjän on usein vaikea tietää, mitä vaikutuksia näillä on, elleivät ne kohdistu juuri omaan toimintaan. Erityisesti välillisten vaikutusten ketjua voi olla vaikea arvioida.

Informaatiovaikuttamisen keinoin pyritään vaikuttamaan niin ruohonjuuritasolla – vrt. älypuhelimen käyttäjää tukevat tekoälysovellukset – kuin suurissa ympyröissä esimerkiksi vaalien aikana. Tietovuodot johtuvat hyvin usein järjestelmissä piilevistä aukoista, joita erilaiset hakkerit hyödyntävät. Vuodettuja tietoja voidaan käyttää useilla eri tavoilla riippuen hyökkääjän tavoitteista, joita voivat olla taloudelliset intressit, vakoilu, väärinkäytösten paljastaminen tai kohteen maineen pilaaminen. Palvelunestohyökkäykset lamauttavat järjestelmiä harva se päivä, ja rikolliset keräävät rahaa erilaisten kiristyshaittaohjelmien avulla.

Toimintamme ennustettavissa tiedonjyviä yhdistämällä

Myös yksityisyyden suoja on heikentynyt, koska yhtäältä valtiolliset ja toisaalta yksityiset kaupalliset toimijat ovat havainneet verkossa tapahtuvan kanssakäymisen tarjoavan paljon mahdollisuuksia. Tietojen keruu ja niiden hyödyntäminen ovat arkipäiväistä toimintaa nykymaailmassa ja mahdollistavat monia hienoja sovelluksia, jotka helpottavat arkeamme. Varjopuolena on se, että sinällään yksittäisistä tiedonjyväsistä voidaan muodostaa yhdistelemällä erittäin tarkka kuva meistä ja ennustaa hyvin pitkälle toimintaamme tulevaisuudessa. Ja tätä tietoa voidaan käyttää meidän ohjailemiseemme vaikkapa markkinoinnin tai äänestyskäyttäytymisen suhteen.

Tuleva kehitys vie meitä yhä enemmän kohti maailmaa, jossa erilaiset laitteet ovat yhteydessä internetiin ja toisiinsa. Tämä ensisijaisen tavoitteensa mukaisesti lisää taloudellista toimeliaisuutta, mutta tuo huomattavasti lisää mahdollisuuksia hyökkääjille. Esimakua tästä on saatu jo suurten palvelunestohyökkäysten kautta. Näissä on hyödynnetty huonosti suojattuja internetiin kytkettyjä laitteita, kuten valvontakameroita, ja näiden avulla luotu suuria määriä liikennettä uhria vastaan.

Lisäksi erilaisia kiristyshaittaohjelmia on suunnattu yksityishenkilöitä ja yrityksiä vastaan. Koska tiedolla on yhä suurempi arvo ja sen saatavuus esimerkiksi sairaaloissa on kriittisen tärkeää, uhrit saattavat olla taipuvaisia maksamaan lunnaat.

Mitä voimme tehdä?

Kuluttajien tulisi voida vaatia parempaa tietoturvaa. Valitettavasti kuluttajien on äärimmäisen vaikea saada tietoa laitteiden ja ohjelmistojen tietoturvasta. Usein ongelmat paljastuvat vasta jälkikäteen, jolloin ostopäätöstä on usein myöhäistä katua.

Teknologian kehittäjien tulisi tiedostaa tietoturvan merkitys. Laitteet ja ohjelmistot tulee suunnitella, valmistaa ja testata tietoturvallisuuden osalta riittävän huolellisesti. Täydellistä turvallisuutta ei voida saavuttaa, mutta on tärkeää, että hyökkääminen ei ole liian helppoa. On kuitenkin vaikea valita erilaisista palveluista ja tuotteista juuri se oikea, joka sopii parhaiten omaan käyttöön.

Tietoturvapalvelun ja -teknologian käyttöönotto herättää monia kysymyksiä eikä ole aina selvää, vastataanko näihin enemmän tunteella vai järkiperäisesti. Suomalaisesta ja eurooppalaisesta näkökulmasta erikoisena merkkinä voidaan pitää sitä, että eurooppalaisista organisaatioista alle 10 % valitsee eurooppalaisen palvelun.

Yhdessä tietoturvallisuuden asiantuntijakumppaniemme kanssa päätimme ottaa selvää, millaisin perustein tietoturvapalveluita ja -teknologioita yrityskäyttöön hankitaan. Osallistu tutkimukseen, joka alkaa huhtikuussa, ja kerro mielipiteesi – lisäämme linkin tännekin huhtikuussa. Vastaajille järjestämme informatiivisen mutta rennon palautetilaisuuden pääkaupunkiseudulla, todennäköisesti 8.6. – päivämäärä varmistetaan, kun kysely avautuu.

Kimmo Halunen VTT

Kimmo Halunen, erikoistutkija
Twitter: @khalunen 

Pekka Savolainen VTT

Pekka Savolainen, johtava tutkija

Calling all companies – how do you choose an information security service?

Cyber-crime is rampant; denial of service attacks and extortion malware are proliferating online. Is your protection in good shape, are your electronic devices protected?

Cyber security

Cyber ​​security weaknesses and the resulting problems are affecting both the digital environment and the real world. Trust in many current systems is weakening. Various kinds of attacks are commonplace online and, unless they are directly affected, individual users often find it difficult to understand the impacts of such attacks. Chains of indirect impacts are particularly difficult to grasp.

Information warfare seeks to have an impact at grassroots level (e.g. AI applications that support smartphone users) as well as on a larger scale, such as during elections. Information leaks are very often due to hidden vulnerabilities in systems, which are exploited by various hackers. Such information can be used in various ways, depending on the aims of the attacker: financial interests, espionage, whistle-blowing or engaging in smear campaigns. Systems are paralysed by denial of service attacks on a daily basis, and criminals use a range of malware to extort money from victims.

Anticipating our actions by combining data

Privacy has also been compromised, because both the private and public sectors have woken up to the potential of online interaction. The gathering and use of data are everyday activities in the modern world and enable a range of wonderful applications that make our everyday lives easier. The downside is that individual scraps of data can be combined to form a highly accurate picture of us and strongly anticipate our future actions. Such data could be used to manipulate us in terms of marketing or voting behaviour, for example.

Future development will propel us into a world where various appliances interact with each other and the internet. While this will increase business activity, which is the main idea behind it, it will also create many more opportunities for attackers. A foretaste of this has already been provided by large-scale denial of service attacks. These have exploited poorly protected online devices such as surveillance cameras, creating huge amounts of abusive traffic at the victim’s expense.

In addition, a range of extortion malware is targeted at individuals and businesses. Victims are often inclined to pay up, given the increasing value of data and its availability in critical environments such as hospitals.

What can we do?

Consumers should demand better security. Unfortunately, it is extremely difficult for consumers to obtain information on the security of devices and software. Problems are often only revealed in retrospect, when it is too late to have ‘buyer’s regret’.

Technology developers should become aware of the importance of information security. Devices and software should be designed, developed and tested with sufficient thoroughness from the information security perspective. Although complete security is unachievable, attackers should not be presented with easy targets. On the other hand, choosing just the right service and product for your own use can be difficult.

Many questions are raised by the adoption of information security and technology, and it is not always clear whether such questions meet with a more emotional or rational reaction. From the Finnish and European perspective, it is particularly interesting that under 10% of European organisations opt for a European service.

Together with our expert network and information security partners, we have decided to explore the criteria that businesses use when choosing security services and technologies. Participate in our survey which will be released in early April and give us your opinion – we will update the link to survey here. We will organise an informative but relaxed feedback session for respondents in the Helsinki metropolitan area, possibly on 8 June (the date will be confirmed when we launch the survey).

Kimmo Halunen VTT

Kimmo Halunen, Senior Scientist
Twitter: @khalunen

Pekka Savolainen VTT

Pekka Savolainen, Principal Scientist

Koululaiset salaamisen mestareita? Tule testaamaan taitosi Tutkijoiden yöhön

Me VTT:n kyberturvatiimiläiset levitimme elokuun aikana kyberturvallisuuden sanomaa sekä ala- että yläkouluissa Oulun seudulla. Alakoululaiset saivat itse askarrella salauskiekkoja ja yläkoululaiset kokeilla täydellisen salauksen huijaamista.

Halusimme esitellä Tutkijoiden yö -tapahtumassa Heurekassa 30.9.2016 mukana olevia demojamme. Demonstroimme alakoululaisille yksinkertaista Ceasar-salausta – nimetty Julius Ceasarin mukaan – tätä tarkoitusta varten suunnitellun kiekon avulla. Ceasar-salauksessa aakkoston kirjaimia siirretään salattaessa eteenpäin sovittu määrä, esimerkiksi A->D, B->E, C->F jne. Luonnollisesti avaaminen tapahtuu siirtämällä salakirjoitetun tekstin kirjaimia taaksepäin sama määrä.

Täydellinen salaus on mahdollista käyttämällä ns. kertakäyttölehtiötä eli kirjoittamalla viestin kanssa yhtä pitkä, mutta täysin satunnainen merkkijono samasta aakkostosta ja yhdistämällä viesti ja satunnainen merkkijono. Tällöin lopputulema on myös täysin satunnainen, eikä siitä voi päätellä mitään alkuperäisestä viestistä. Kuitenkaan edes tällainen täydellinen salaaminen ei suojaa viestiä muutoksilta. Tehtävässämme yläkoululaiset pääsivät kokeilemaan, kuinka helposti aivan päässä laskemalla voi muuttaa täydellisesti salatusta viestistä esiintyvät nimikirjaimet omiksi nimikirjaimiksi.

Koululaiset olivat innokkaasti mukana. Aika monelle kyberturvallisuus ja salaaminen olivat ainakin termeinä tuttuja. Juttelimme myös hiukan siitä, millaisissa käytännön elämän sovelluksissa nämä asiat toteutuivat ja miksi ne ovat merkittäviä. Hyvä esimerkki, mitä moni ei tullut ajatelleeksi, on lasten oma puhelin ja sen käyttö. Mielestämme on tärkeää, että lapset ja nuoret ymmärtävät heille monesti melko näkymättömäksi jääviä, mutta silti meidän kaikkien elämäämme syvällisesti vaikuttavia asioita, kuten tarpeen kyberturvallisuudelle ja salaukselle. Myös näiden asioiden hyvistä ja huonoista puolista on hyvä keskustella jo varhain.

Erittäin onnistuneen kokeilumme jälkeen toivomme näkevämme innostuneita ja kiinnostuneita lapsia ja nuoria myös Tutkijoiden yö -tapahtumassa Heurekassa! Tervetuloa mukaan oppimaan!

Anni Karinsalo, tutkija

Kimmo Halunen, erikoistutkija; Twitter: @khalunen