Tietoturvaa oppimassa – kantapään kautta vai ennakoiden harjoitellen?

Tietoturva on yhä tärkeämpi osa niin yksityisten ihmisten kuin yritysten ja organisaatioidenkin elämää. Tietoturvallisia toimintatapoja ja uhkien minimoimista voi opetella monin eri tavoin. On kuitenkin tärkeää miettiä, mitä kannattaa opetella ja miten näitä asioita oppii parhaiten.

Kyberturva

Omista virheistä oppiminen on vähintä mitä voi tehdä. Kun tietoturvauhka realisoituu, on savun hälvettyä tärkeää analysoida tilanne. Tästä analyysistä voi sitten vetää johtopäätöksiä ja parantaa omaa varautumistaan tulevaisuudessa. Tällaiset oppimiskokemukset ovat harmillisen usein yritykselle kalliita (tekniset korjaukset, sakot, korvausvaatimukset, oikeudenkäynnit) ja kiusallisia (maine). Tuleva EU:n yleinen tietosuoja-asetus voi nostaa näiden oppituntien hintaa vielä lisää.

Toisten virheistä oppiminen tulee usein halvemmaksi ja on myös vähemmän stressaavaa. Onkin tärkeää seurata oman alan tietoturvaan liittyvää uutisointia ja kerätä mielenkiintoisista ja omaan toimintaan kaikkein parhaiten sopivista tapauksista lisätietoa. Niitä kannattaa käydä myös läpi omassa organisaatiossa laajemmin sellaisten henkilöiden ja tahojen kanssa, jotka voisivat tapauksesta jotain oppia.

Organisaatioiden toiminta tulee yleensä perustua järkiperäiseen riskianalyysiin ja siinä löydettyihin tärkeimpiin tai suurimpiin riskeihin sovellettaviin toimiin, joista tietoturvaan liittyvät uhat ovat vain osa kokonaisuutta. Tarvittavat toimet voivat sisältää teknisiä, taloudellisia ja organisaation prosesseihin liittyviä toimenpiteitä. Suurenkin organisaation tietoturva voi riippua yksittäisen käyttäjän osaamisesta ja toiminnasta. Tietoturvan perustaidot kuuluvat kaikille ja ovat osa, jos ei vielä tämän päivän, niin ainakin tulevaisuuden yleissivistystä. Hyvän perustan päälle organisaation on mahdollista rakentaa omia tietoturvaohjeistuksiaan ja käytäntöjään.

Koulutus on hyväksi, mutta se ei saa olla ainoa tapa yrittää vastata tietoturvauhkiin. Toimivassa tietoturvajärjestelmässä tekniset työkalut tukevat käyttäjiä, auttavat heitä toimimaan oikein ja pystyvät rajaamaan vahinkoja käyttäjien tehdessä virheitä. Kaikesta koulutuksesta huolimatta virheitä sattuu, se on vain inhimillistä. Tämä on hyvä tiedostaa organisaation joka tasolla. Monet yritykset pitävät kyberuhkia vakavana ongelmana itselleen, mutta niistä harvat ovat kouluttaneet henkilöstöään riittävästi tai harjoitelleet toimintaa erilaisissa kuvitteellisissa kyberhyökkäyksissä.

Tämä on selkeästi ongelmallista, sillä harjoittelu on tärkeä osa oppimista. Ilman koulutusta ja harjoittelua työntekijöiden voi olla hankala ymmärtää miksi he olisivat kyberuhkien kohteena, millaisia hyökkäyksiä heidän tekemiensä virheiden kautta yrityksiä vastaan on mahdollista tehdä ja millaisia seuraamuksia niistä voi olla yritykselle. Mahdollisimman realistinen harjoittelu on yksi parhaita tapoja oppia itselle ja omalle organisaatiolle merkityksellisiä toimintamalleja sekä löytää mahdolliset heikot kohdat ennen kuin vahinko osuu omalle kohdalle. Organisaatioiden jokaisella tasolla toimivien henkilöiden olisi harjoiteltava kyberuhkia vastaan.

Eri tasoilla työskenteleville koulutusten ja harjoitusten sisältö on tietenkin erilaista ja niitä onkin tarjolla laidasta laitaan. Kurssit ja harjoitukset voivat keskittyä vain yhteen tiettyyn asiaan, esimerkiksi miten rajoittaa hyökkäyksissä hyödynnettävän tiedon määrää julkisissa palveluissa tai miten huomata sosiaalinen manipulointi. Niillä voidaan myös opettaa järjestelmien teknisten monitorointityökalujen käyttöä tai miten tehdä digitaalista rikostutkintaa. Koulutus voi olla luentotyyppistä tai kädestä pitäen näppäimistön edessä harjoittelua. Harjoituksissa ei aina opeteta pelkästään yhden organisaation omaa henkilöstöä, vaan niissä voidaan harjoitella tiedottamista niin organisaatioiden sisällä kuin niistä ulospäin sekä yhteistyötä eri organisaatioiden välillä. Tähän voi kuulua kommunikointi niin tietoturvayritysten, asiakkaiden, yhteistyökumppaneiden kuin Viestintäviraston Kyberturvallisuuskeskuksenkin kanssa. Suurimmissa harjoituksissa mukana voi olla useita eri maita ja niissä toimivia organisaatioita.

Mikään koulutus tai harjoittelu ei tietenkään takaa 100% toimivaa suojaa erilaisia hyökkäyksiä vastaan. Eikä mikään teknologia pysty torjumaan kaikkia kyberuhkia. Kuitenkin perustaidoiltaan hyvä henkilöstö tarjoaa paremman suojan monia hyökkäyksiä vastaan ja kriisitilanteita harjoitellut väki pystyy hoitamaan mahdollisen vakavamman tietomurron seuraukset paremmin kuin valmistautumaton organisaatio. On tärkeää pitää oman organisaation osaaminen ja valmistautuminen riittävällä tasolla muuttuvassa uhkaympäristössä. Opit kannattaa myös hakea etukäteen harjoittelemalla ja varautumalla eikä kantapään kautta suuremman kriisin jälkeen.

Lataa ja tutustu ilmaiseen kyberturvaraporttiimme, josta selviää miten yrityksen tietoturvatasoa voidaan parantaa ja kyberuhilta suojaudutaan.

Kimmo Halunen VTT

Kimmo Halunen
erikoistutkija
Twitter: @khalunen

Teemu Väisänen VTT

Teemu Väisänen
tutkija

Learning about information security – the hard way or through anticipation and practice?

Information security is an increasingly important part of the lives of both private individuals and companies and organisations. You can learn secure practices and ways to minimise threats in many ways. However, it is important to consider what you would need to learn and how you can best learn those particular matters.Kyberturva

The least you can do is learn from your own mistakes. When an information security threat is realised, it is important that, once the dust has settled, you analyse the situation. You can then draw conclusions from this analysis and improve your contingency planning in the future. Unfortunately, often such learning experiences become costly (technical repairs, penalty charges, claims for damages, trials) and awkward (reputation) for companies. The forthcoming EU General Data Protection Regulation (GDPR) may further increase the price of such lessons.

Learning from mistakes made by others is often cheaper and far less stressful. Therefore, it is important to follow media coverage related to information security within your sector and collect additional information on interesting cases and cases that best coincide with your own operations. It is also advisable to go through such coverage more extensively with the persons or parties who might have the most to learn from the cases.

Generally speaking, an organisation’s activities should be based on rational risk analysis and the measures to be applied to the most important or biggest identified risks, where threats related to information security are only part of the overall picture. The measures needed may include technical and financial measures, and steps related to the organisation’s processes. Even in a major organisation, the information security may depend on the actions of an individual IT system user. Basic information security skills belong to everyone, and they may not yet be part of general knowledge, but they certainly will be in the future. When the foundations are in order, each organisation can build its own information security guidelines and practices on top of them.

Training is useful, but it must not be the only way of trying to address information security threats. In a well-functioning information security system, technical tools support the users, help them operate correctly, and are capable of containing damage when a user makes a mistake. Despite all training, mistakes do happen – that is only human. This is good to acknowledge at all levels of the organisation. Many companies consider cyber threats a serious problem for themselves, but very few of them have provided sufficient training to their employees or practised how to operate under an imagined cyberattack situation.

This is clearly problematic, because practising is an important part of learning. Without training and practice, it may be difficult for the employees to understand why any cyberattacks would be targeted against them, what kind of attacks could be launched against companies through the mistakes they might make, and what kind of consequences these might have for the company. As realistic practising as possible is one of the best ways of learning operating models that best serve your own needs as well as those of your organisation, and to find potential weaknesses before the damage is done. Persons at every level of an organisation should practise against cyber threats.

Naturally, the content of training and practising is different for people working at different levels of the organisation, and therefore a wide range of training is provided. The courses and exercises may focus on a single theme only, such as how to limit the amount of data in public services that can be used for attacks or how to detect social manipulation. They can also teach the use of technical monitoring tools of various systems or how to conduct digital criminal investigation. Training can be given in the form of lectures or it can be hands-on training at the keyboard. In the exercises, the teaching is not always targeted to the staff of a single organisation only, but people can also practice communication both within organisations and with external actors, and cooperation between different organisations. This may include communication with information security companies, customers, partners and National Cyber Security Centre Finland of the Finnish Communications Regulatory Authority (FICORA). The largest exercises may involve several countries and organisations operating in them.

Of course, no kind of training can guarantee 100% functional protection against different attacks. And no technology can prevent all cyber threats. However, a staff with good basic skills provides better protection against many attacks, and people who have practised handling of crisis situations are better capable of managing the consequences of a possible serious data breach than an organisation that has not made any such preparations. It is important that you keep the level of your organisation’s competence and contingency planning at a sufficient level in the changing threat environment. You should also learn these things by practising them in advance rather than the hard way after a major crisis.

Download our new cyber security report for free and get acquainted with how companies can raise their cyber security level and protect themselves against cyber threats.  Kimmo Halunen VTT

Kimmo Halunen
Senior Scientist
Twitter: @khalunen 

Teemu Väisänen VTT

Teemu Väisänen
Research Scientist

Suomen uudet tiedustelulait – hyvät, pahat ja rumat?

Suomeen ollaan juuri nyt säätämässä uusia sotilas- ja siviilitiedustelulakeja. On kuitenkin hyvä pysähtyä miettimään, ovatko juuri nyt esitetyn kaltaiset valtuudet oikeanlaiset ja onko niissä löydetty hyvä tasapaino turvallisuusuhkien ja kansalaisten yksityisyydensuojan välille? Onko laki sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot?

Ei salauksen heikentämiselle eikä takaportteja ohjelmistoihin

Vastikään julkaistujen mietintöjen ehdottomasti parhaat puolet löytyvät siitä, mitä uudessa laissa EI OLLA vaatimassa. Viime vuosina on Yhdysvalloissa FBI:n ja Euroopassa mm. Saksan ja Ranskan sisäministerien sekä viimeksi EU:n oikeuskomissaarin voimin vaadittu salattujen viestintävälineiden salauksen heikentämistä niin, että viranomaiset voisivat halutessaan päästä käsiksi viestien sisältöön. Tätä nykyä useat suositut viestintäohjelmistot, kuten Whatsapp, salaavat viestisisällön lähettäjältä vastaanottajalle siten, että vain nämä tahot pystyvät viestinnän salauksen purkamaan. Tämä on herättänyt huolta rikostutkinnan ja tiedustelun mahdollisuuksista. Kuitenkin tilanne on sellainen, että mahdollisia lakeja tai asetuksia viestinnän salauksen heikentämisestä on liki mahdotonta valvoa ja lisäksi heikennykset salaukseen aiheuttaisivat enemmän haittaa tavallisille, lainkuuliaisille toimijoille kuin mitä mahdolliset hyödyt tiedustelussa ja rikostorjunnassa olisivat.

Myös erilaisten takaporttien vaatiminen ohjelmistoihin tai muihin järjestelmiin on huono ajatus, sillä se siirtäisi vain tällaisten järjestelmien valmistuksen muihin maihin ja täten haittaisi merkittävästi suomalaisia tietoturva-alan yrityksiä. Näin ollen on ilahduttavaa huomata, että Suomessa ei olla esittämässä tällaisia tuhoon tuomittuja ajatuksia uusiin tiedustelulakeihin.

Massavalvontaoikeudet voivat johtaa myös väärinkäytöksiin

Kuitenkaan nyt esitetyt uudet valtuudet puolustusvoimille ja suojelupolisiille eivät ole täysin ongelmattomia. Vaikka uusien lakien puolestapuhujat korostavat sitä seikkaa, että nyt esitetyt lait eivät mahdollista tietoliikenteen massavalvontaa, on kuitenkin selvää, että uusi järjestelmä tulee teknisesti vaatimaan mekanismin, joka mahdollistaa kaiken tietoliikenteen valvomisen. Mitenkään muuten ei ole mahdollista tarjota tiedusteluviranomaisille menetelmiä tehdä kohdennettuja hakuja millä tahansa hakutermeillä.

Tämä tosiseikka johtaa kysymykseen, jonka muutamat tahot ovat jo esittäneet uusiin lakeihin liittyen. Ovatko nämä lait ja erityisesti niihin kirjatut valvontamekanismit riittävät myös silloin, jos valtaan valitaan tahoja, jotka haluavat mahdollisesti käyttää näitä menetelmiä lain hengen vastaisesti? Esimerkiksi Edward Snowdenin paljastukset osoittavat, että Yhdysvalloissa tiedustelupalveluille tarkoitettuja valtuuksia on käytetty terrorismin ja muiden vakavien rikosten lisäksi myös tavanomaisempien rikosten tutkinnassa. Lisäksi tiedustelutietoja on hyödynnetty mm. kauppaneuvotteluissa ja muissa diplomaattisissa yhteyksissä. On siis ensiarvoisen tärkeää, että tiedusteluvaltuutettu sekä parlamentaarinen tiedusteluvaliokunta ottavat tarkkaan selvää tietojen hankinnasta ja käytöstä.

Myös kustannustehokkuutta on hyvä tarkastella. Järjestelmän pystyttämisen kustannusarvio liikkuu kymmenen miljoonan euron tienoilla ja lisäksi vuosittaiset kustannukset ovat n. 20 miljoonaa euroa joka vuosi. Varsinkin terrorismin ehkäisyn käyttäminen järjestelmän perusteena ei selviä tästä tarkastelusta, sillä ainakin vielä terrorististen tekojen kustannukset Suomessa ovat hyvin pienet elleivät olemattomat. Toisaalta muun tiedustelutoiminnan ja erityisesti vieraan vallan vaikutus- ja vakoilutoiminnan tarkkailun hyödyt saattavat hyvinkin oikeuttaa kymmenien miljoonien vuosikustannuksiin. Yhtenä ongelmana on, että valtuuksien – ja näin ollen myös kustannusten – vähentäminen tämän tyyppisistä laeista on poliittisesti vaikeaa. Näin ollen kustannustehokkuutta saatetaan hakea laajentamalla kerätyn tiedon hyödyntämisalaa.

Miten ehkäistä inhimillisiä virheitä?

Edelleen yhtenä ongelmallisena piirteenä voidaan nähdä inhimillisten väärinkäytösten mahdollisuus. Maailmalla tunnetaan jopa käsite LOVEINT, joka tarkoittaa sitä, että jotkut tiedustelualan työntekijät käyttävät valtuuksiaan tehdä hakuja henkilöistä ja organisaatioista omien läheistensä, esimerkiksi puolisoidensa, tietojen tarkistamiseen. Myös Suomessa on tapauksia, joissa viranomaistoimijat ovat ylittäneet valtuutensa nykyisten järjestelmien puitteissa selvittääkseen itselleen merkityksellisiä asioita ja henkilöitä.

Uusien valtuuksien myötä luotavissa järjestelmissä on luonnollisesti myös mahdollisuus inhimillisille väärinkäytöksille. Yhtenä mahdollisena keinona ehkäistä väärinkäytöksiä on tehdä järjestelmistä sellaisia, että hakujen tekeminen ei ole yhtä suoraviivaista kuin vaikkapa verkon hakukoneilla, vaan haku vaatii hakutermien lisäksi myös perustelut niiden käytölle. Edelleen voidaan ajatella, että hakujen tulokset eivät tule suoraan ruudulle, vaan haku käynnistää prosessin, jossa hakukriteerien lainmukaisuus arvioidaan. Vasta tämän prosessin jälkeen tulokset olisivat saatavilla – mahdollisesti takautuvasti haun kirjaushetkestä alkaen – tiedusteluviranomaiselle.

Tiedustelulait ovat varmasti tarpeen Suomessa, jotta viranomaiset ja päättäjät voivat saada ajantasaista tietoa Suomea koskevista uhkista. Lain laajuutta on kuitenkin hyvä arvioida kriittisesti. Lisäksi lain mahdollisesti tultua voimaan valvovien tahojen tulee tarkastella lain kirjaimen ja hengen toteutumista erittäin tarkasti. Näin voidaan välttää useiden muiden maiden virheet ja ylilyönnit tiedustelussa.

Lopuksi haluan esittää kysymyksen päättäjille, jotka lain säätämisestä viime kädessä päättävät. Onko laki mielestänne sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot? Jos ette voi vastata tuohon kysymykseen myöntävästi, niin miettikää, miten lakia tulisi muuttaa, ja esittäkää tarvittavat muutokset lakiin.

Kimmo Halunen VTT

Kimmo Halunen
Erikoistutkija
Twitter: @khalunen 

Yritys, miten valitset tietoturvapalvelusi?

Kyberrikollisuus rehottaa, ja palvelunestohyökkäykset ja kiristyshaittaohjelmat yleistyvät verkossa. Onko yksityisyydensuojasi kunnossa ja elektroniikkalaitteesi suojattu?

Cyber security

Kyberturvallisuuden puutteet ja niistä johtuvat ongelmat näkyvät sekä digitaalisessa ympäristössä että reaalimaailmassa. Luottamus moniin nykyisiin järjestelmiin on rapistumassa. Erilaiset hyökkäykset ovat arkipäivää verkossa ja yksittäisen käyttäjän on usein vaikea tietää, mitä vaikutuksia näillä on, elleivät ne kohdistu juuri omaan toimintaan. Erityisesti välillisten vaikutusten ketjua voi olla vaikea arvioida.

Informaatiovaikuttamisen keinoin pyritään vaikuttamaan niin ruohonjuuritasolla – vrt. älypuhelimen käyttäjää tukevat tekoälysovellukset – kuin suurissa ympyröissä esimerkiksi vaalien aikana. Tietovuodot johtuvat hyvin usein järjestelmissä piilevistä aukoista, joita erilaiset hakkerit hyödyntävät. Vuodettuja tietoja voidaan käyttää useilla eri tavoilla riippuen hyökkääjän tavoitteista, joita voivat olla taloudelliset intressit, vakoilu, väärinkäytösten paljastaminen tai kohteen maineen pilaaminen. Palvelunestohyökkäykset lamauttavat järjestelmiä harva se päivä, ja rikolliset keräävät rahaa erilaisten kiristyshaittaohjelmien avulla.

Toimintamme ennustettavissa tiedonjyviä yhdistämällä

Myös yksityisyyden suoja on heikentynyt, koska yhtäältä valtiolliset ja toisaalta yksityiset kaupalliset toimijat ovat havainneet verkossa tapahtuvan kanssakäymisen tarjoavan paljon mahdollisuuksia. Tietojen keruu ja niiden hyödyntäminen ovat arkipäiväistä toimintaa nykymaailmassa ja mahdollistavat monia hienoja sovelluksia, jotka helpottavat arkeamme. Varjopuolena on se, että sinällään yksittäisistä tiedonjyväsistä voidaan muodostaa yhdistelemällä erittäin tarkka kuva meistä ja ennustaa hyvin pitkälle toimintaamme tulevaisuudessa. Ja tätä tietoa voidaan käyttää meidän ohjailemiseemme vaikkapa markkinoinnin tai äänestyskäyttäytymisen suhteen.

Tuleva kehitys vie meitä yhä enemmän kohti maailmaa, jossa erilaiset laitteet ovat yhteydessä internetiin ja toisiinsa. Tämä ensisijaisen tavoitteensa mukaisesti lisää taloudellista toimeliaisuutta, mutta tuo huomattavasti lisää mahdollisuuksia hyökkääjille. Esimakua tästä on saatu jo suurten palvelunestohyökkäysten kautta. Näissä on hyödynnetty huonosti suojattuja internetiin kytkettyjä laitteita, kuten valvontakameroita, ja näiden avulla luotu suuria määriä liikennettä uhria vastaan.

Lisäksi erilaisia kiristyshaittaohjelmia on suunnattu yksityishenkilöitä ja yrityksiä vastaan. Koska tiedolla on yhä suurempi arvo ja sen saatavuus esimerkiksi sairaaloissa on kriittisen tärkeää, uhrit saattavat olla taipuvaisia maksamaan lunnaat.

Mitä voimme tehdä?

Kuluttajien tulisi voida vaatia parempaa tietoturvaa. Valitettavasti kuluttajien on äärimmäisen vaikea saada tietoa laitteiden ja ohjelmistojen tietoturvasta. Usein ongelmat paljastuvat vasta jälkikäteen, jolloin ostopäätöstä on usein myöhäistä katua.

Teknologian kehittäjien tulisi tiedostaa tietoturvan merkitys. Laitteet ja ohjelmistot tulee suunnitella, valmistaa ja testata tietoturvallisuuden osalta riittävän huolellisesti. Täydellistä turvallisuutta ei voida saavuttaa, mutta on tärkeää, että hyökkääminen ei ole liian helppoa. On kuitenkin vaikea valita erilaisista palveluista ja tuotteista juuri se oikea, joka sopii parhaiten omaan käyttöön.

Tietoturvapalvelun ja -teknologian käyttöönotto herättää monia kysymyksiä eikä ole aina selvää, vastataanko näihin enemmän tunteella vai järkiperäisesti. Suomalaisesta ja eurooppalaisesta näkökulmasta erikoisena merkkinä voidaan pitää sitä, että eurooppalaisista organisaatioista alle 10 % valitsee eurooppalaisen palvelun.

Yhdessä tietoturvallisuuden asiantuntijakumppaniemme kanssa päätimme ottaa selvää, millaisin perustein tietoturvapalveluita ja -teknologioita yrityskäyttöön hankitaan. Osallistu tutkimukseen, joka alkaa huhtikuussa, ja kerro mielipiteesi – lisäämme linkin tännekin huhtikuussa. Vastaajille järjestämme informatiivisen mutta rennon palautetilaisuuden pääkaupunkiseudulla, todennäköisesti 8.6. – päivämäärä varmistetaan, kun kysely avautuu.

Päivitys 10.5. – tekstissä mainittu kysely löytyy täältä.

Kimmo Halunen VTT

Kimmo Halunen, erikoistutkija
Twitter: @khalunen 

Pekka Savolainen VTT

Pekka Savolainen, johtava tutkija

Calling all companies – how do you choose an information security service?

Cyber-crime is rampant; denial of service attacks and extortion malware are proliferating online. Is your protection in good shape, are your electronic devices protected?

Cyber security

Cyber ​​security weaknesses and the resulting problems are affecting both the digital environment and the real world. Trust in many current systems is weakening. Various kinds of attacks are commonplace online and, unless they are directly affected, individual users often find it difficult to understand the impacts of such attacks. Chains of indirect impacts are particularly difficult to grasp.

Information warfare seeks to have an impact at grassroots level (e.g. AI applications that support smartphone users) as well as on a larger scale, such as during elections. Information leaks are very often due to hidden vulnerabilities in systems, which are exploited by various hackers. Such information can be used in various ways, depending on the aims of the attacker: financial interests, espionage, whistle-blowing or engaging in smear campaigns. Systems are paralysed by denial of service attacks on a daily basis, and criminals use a range of malware to extort money from victims.

Anticipating our actions by combining data

Privacy has also been compromised, because both the private and public sectors have woken up to the potential of online interaction. The gathering and use of data are everyday activities in the modern world and enable a range of wonderful applications that make our everyday lives easier. The downside is that individual scraps of data can be combined to form a highly accurate picture of us and strongly anticipate our future actions. Such data could be used to manipulate us in terms of marketing or voting behaviour, for example.

Future development will propel us into a world where various appliances interact with each other and the internet. While this will increase business activity, which is the main idea behind it, it will also create many more opportunities for attackers. A foretaste of this has already been provided by large-scale denial of service attacks. These have exploited poorly protected online devices such as surveillance cameras, creating huge amounts of abusive traffic at the victim’s expense.

In addition, a range of extortion malware is targeted at individuals and businesses. Victims are often inclined to pay up, given the increasing value of data and its availability in critical environments such as hospitals.

What can we do?

Consumers should demand better security. Unfortunately, it is extremely difficult for consumers to obtain information on the security of devices and software. Problems are often only revealed in retrospect, when it is too late to have ‘buyer’s regret’.

Technology developers should become aware of the importance of information security. Devices and software should be designed, developed and tested with sufficient thoroughness from the information security perspective. Although complete security is unachievable, attackers should not be presented with easy targets. On the other hand, choosing just the right service and product for your own use can be difficult.

Many questions are raised by the adoption of information security and technology, and it is not always clear whether such questions meet with a more emotional or rational reaction. From the Finnish and European perspective, it is particularly interesting that under 10% of European organisations opt for a European service.

Together with our expert network and information security partners, we have decided to explore the criteria that businesses use when choosing security services and technologies. Participate in our survey which will be released in early April and give us your opinion – we will update the link to survey here. We will organise an informative but relaxed feedback session for respondents in the Helsinki metropolitan area, possibly on 8 June (the date will be confirmed when we launch the survey).

Update, 10 May 2017: you find the survey here.

Kimmo Halunen VTT

Kimmo Halunen, Senior Scientist
Twitter: @khalunen

Pekka Savolainen VTT

Pekka Savolainen, Principal Scientist

Koululaiset salaamisen mestareita? Tule testaamaan taitosi Tutkijoiden yöhön

Me VTT:n kyberturvatiimiläiset levitimme elokuun aikana kyberturvallisuuden sanomaa sekä ala- että yläkouluissa Oulun seudulla. Alakoululaiset saivat itse askarrella salauskiekkoja ja yläkoululaiset kokeilla täydellisen salauksen huijaamista.

Halusimme esitellä Tutkijoiden yö -tapahtumassa Heurekassa 30.9.2016 mukana olevia demojamme. Demonstroimme alakoululaisille yksinkertaista Ceasar-salausta – nimetty Julius Ceasarin mukaan – tätä tarkoitusta varten suunnitellun kiekon avulla. Ceasar-salauksessa aakkoston kirjaimia siirretään salattaessa eteenpäin sovittu määrä, esimerkiksi A->D, B->E, C->F jne. Luonnollisesti avaaminen tapahtuu siirtämällä salakirjoitetun tekstin kirjaimia taaksepäin sama määrä.

Täydellinen salaus on mahdollista käyttämällä ns. kertakäyttölehtiötä eli kirjoittamalla viestin kanssa yhtä pitkä, mutta täysin satunnainen merkkijono samasta aakkostosta ja yhdistämällä viesti ja satunnainen merkkijono. Tällöin lopputulema on myös täysin satunnainen, eikä siitä voi päätellä mitään alkuperäisestä viestistä. Kuitenkaan edes tällainen täydellinen salaaminen ei suojaa viestiä muutoksilta. Tehtävässämme yläkoululaiset pääsivät kokeilemaan, kuinka helposti aivan päässä laskemalla voi muuttaa täydellisesti salatusta viestistä esiintyvät nimikirjaimet omiksi nimikirjaimiksi.

Koululaiset olivat innokkaasti mukana. Aika monelle kyberturvallisuus ja salaaminen olivat ainakin termeinä tuttuja. Juttelimme myös hiukan siitä, millaisissa käytännön elämän sovelluksissa nämä asiat toteutuivat ja miksi ne ovat merkittäviä. Hyvä esimerkki, mitä moni ei tullut ajatelleeksi, on lasten oma puhelin ja sen käyttö. Mielestämme on tärkeää, että lapset ja nuoret ymmärtävät heille monesti melko näkymättömäksi jääviä, mutta silti meidän kaikkien elämäämme syvällisesti vaikuttavia asioita, kuten tarpeen kyberturvallisuudelle ja salaukselle. Myös näiden asioiden hyvistä ja huonoista puolista on hyvä keskustella jo varhain.

Erittäin onnistuneen kokeilumme jälkeen toivomme näkevämme innostuneita ja kiinnostuneita lapsia ja nuoria myös Tutkijoiden yö -tapahtumassa Heurekassa! Tervetuloa mukaan oppimaan!

Anni Karinsalo, tutkija

Kimmo Halunen, erikoistutkija; Twitter: @khalunen