Using blockchains to increase trust in AI

Wouldn’t it be great if AI applications could trust each other in the same way humans do? I trust my local bank to handle my account since I know its history and it has been doing business honestly since my grandparents were alive. I trust my friends even more, because I know more about their history. Trust is often based on a common history, and we now have a technology for recording and sharing history.

What if every instance of AI had access to a public ledger, which contained a detailed history of all other AI, and AI-to-AI interactions? From this immutable ledger, they could see which algorithms, versions and heuristics the other AI is using; everybody they have interacted with before; what parts they contain and even their history and so on. They would be able to process this information in milliseconds and make decisions about who to trust and to what extent. After some level of trust had been established, they could proceed to make binding contracts with the help of smart contracts.

This is possible with blockchain technology. Blockchain is a technology which enables complete strangers to engage in the distributed but joint production and maintenance of a database. It could also increase people’s trust in AI. Distributed ledgers could serve as reliable black boxes in the case of accidents. For example, if autonomous cars were to collide, we would want to know what happened in order to prevent a recurrence. If the cars were seriously damaged, the only sources of information would be their manufacturers, but can we really trust them to hand over all information provided by the cars’ AI? The companies may want to protect their reputations and hold certain information back, or even tamper with it, before handing it over to investigators. If the blockchain included hashes of the data sets, we could check whether the information provided was the same as the last data stream sent to the manufacturer by AI.

Blockchain, the technology behind Bitcoin, has given us a new tool for building trust on the basis of cryptographic techniques, and via authentication through huge computing power. After the success of cryptocurrencies, this new trust model has been considered for many applications in various domains. However, it seldom adds much value, since we already have working systems with their own trust models and a long history behind them. Above all, the average user likes the current, familiar methods of building trust.

We currently have the technology to make digital contracts, or even smart contracts, but the preferred way to make a contract is by handwritten signatures on physical paper and shaking hands. To be frank, this quite a handy approach. But what about AI, which tends to lack hands but still needs a way of building trust? Fortunately, AI is not burdened by old techniques and established practices, leaving us free to create new types of trust-building methods in situations where AI interacts with AI. Of course, we could try to use trusted third parties to grant certificates for trustworthy AI, rather like driving licenses for autonomous cars. However, who would be the trusted party?

Visa Vallivaara & Kimmo Halunen
Cyber Security

Based on the topic of Vallivaara’s panel discussion “Opportunities to shape future data research – blockchain and what is it for and what not” at the RDA EU Data Innovation Forum
https://rd-alliance.org/rdaeu-data-innov-forum-2018

 

Halunen ja Vallivaara 20180214_120451
Kimmo Halunen
Senior Scientist, VTT Cyber Security
kimmo.halunen(a)vtt.fi
@khalunen

Visa Vallivaara
Research Scientist, VTT Cyber Security
visa.vallivaara(a)vtt.fi

 

Based on the topic of Vallivaara’s panel discussion “Opportunities to shape future data research – blockchain and what is it for and what not” at the RDA EU Data Innovation Forum
https://rd-alliance.org/rdaeu-data-innov-forum-2018

More Information
vttresearch.com: VTT Cyber Security

 

Lohkoketjusta tekoälyn luottamuksen rakentaja?

Eikö olisi mukavaa, jos tekoäly voisi luoda luottamusta eri tilanteissa samalla tavoin kuin ihmiset tekevät? Luotan paikalliselle pankille tilini hallinnan, koska tunnen sen historian ja se on toiminut rehellisesti isovanhempieni ajoista lähtien. Luotan ystäviini enemmän, koska tunnen vielä tarkemmin heidän historiansa. Luottamus perustuu usein yhteiseen historiaan ja meillä on olemassa teknologia historian kirjaamisen ja jakamiseen.

Entä jos tekoälyllä olisi joka tilanteessa pääsy julkiseen rekisteriin, joka sisältää kaikkien muiden tekoälyjen aiemman toiminnan tarkan historian sekä vuorovaikutukset? Tästä julkisesta muuttumattomasta tietokannasta tekoäly näkisi muiden käyttämät algoritmit, niiden versiot ja heuristiikan; sekä osapuolet, joiden kanssa se on ollut vuorovaikutuksessa aiemmin; sekä mitä osia ne sisältävät ja jopa osien historian ja niin edelleen. Se pystyisi käsittelemään nämä tiedot millisekunneissa ja päättämään kehen luottaa ja kuinka paljon. Kun jonkinasteinen luottamus on saavutettu, ne voisivat edetä tekemään sitovia sopimuksia hyödyntäen lohkoketjujen älysopimuksia.

Lohkoketjuteknologian avulla tämä on mahdollista toteuttaa. Lohkoketju on tekniikka, jolla toisilleen vieraat toimijat voivat yhdessä tuottaa ja ylläpitää tietokantoja hajautetusti. Tämän lisäksi sillä voi myös lisätä ihmisten luottamusta tekoälyyn. Hajautetut lokikirjat voisivat toimia luotettavina mustina laatikoina onnettomuustilanteissa. Esimerkiksi älyautojen törmätessä haluamme selvittää, mitä tapahtui, jotta voimme estää sen toistumisen. Jos autot vahingoittuvat vakavasti, ainoat tietolähteet olisivat autojen valmistajat, mutta voimmeko todella luottaa niiden luovuttavan kaiken tekoälyn toimittavan tiedon. Yritykset saattavat haluta suojella mainettaan ja jättää tietyt tiedot ilmoittamatta tai jopa muuttaa niitä, ennen kuin ne luovutetaan tutkijoille. Jos lohkoketju sisältäisi tiivisteet datapaketeista, niin voisimme helposti vertailla, onko annettu tieto sama kuin tekoälyn viimeisin valmistajalle lähettämä datapaketti.

Lohkoketju, tekniikka Bitcoinin takana, on antanut meille uuden työkalun rakentaa luottamusta, joka luodaan kryptografisin menetelmin ja varmennetaan suurella määrällä laskentatehoa. Kryptovaluuttojen menestyksen jälkeen tätä uutta luottamusmallia on tarkasteltu monissa sovelluksissa eri aloilla. Se ei tosin yleensä tuo juurikaan lisäarvoa, koska meillä on käytössämme toimivat järjestelmät, joilla on jo omat luottamusmallinsa ja pitkä historia takanaan. Ja ennen kaikkea tavalliset käyttäjät pitävät nykyisistä tutuista luottamuksen rakentamismenetelmistä.

Tällä hetkellä meillä on olemassa teknologia digitaalisten tai jopa älykkäiden sopimusten tekemiseksi, mutta silti yleisin tapa sopia ovat käsinkirjoitetut allekirjoitukset ja kädenpuristus. Ja kyllähän se on melko kätevää. Mutta entä tekoäly, jolla ei yleensä ole käsiä, se tarvitsee kuitenkin myös keinon rakentaa luottamusta. Tekoälyillä ei ole onneksi taakkanaan vanhoja menetelmiä ja juurtuneita tapoja, joten niille voidaan vapaasti rakentaa luottamusmenetelmiä uusilla tavoilla niihin tilanteisiin, joissa erilaiset tekoälyt ovat vuorovaikutuksessa keskenään. Tietenkin voimme yrittää käyttää luotettavia kolmansia osapuolia antamaan sertifikaatteja luotettaville tekoälyjärjestelmille, kuten ajokortteja älyautoille. Mutta mikä olisi se luotettu taho?

 

Halunen ja Vallivaara 20180214_120451
Kimmo Halunen
Senior Scientist, VTT:n kyberturvallisuustiimi
kimmo.halunen(a)vtt.fi
@khalunen

Visa Vallivaara
Research Scientist, VTT:n kyberturvallisuustiimi
visa.vallivaara(a)vtt.fi

 

Kirjoitus perustuu Vallivaaran paneelikeskuteluun “Opportunities to shape future data research – blockchain and what is it for and what not” RDA EU Data Innovation Forumissa https://rd-alliance.org/rdaeu-data-innov-forum-2018

Lue lisää:
vttresearch.com: VTT Cyber Security

 

Robotit ymmärtävät pian mielemme liikkeet, mutta voimmeko luottaa niihin?

Tulevaisuudessa erilaiset koneet, robotit ja ohjelmat tunnistavat meidät yksilöinä ja ymmärtävät tunteitamme yhä paremmin. Mutta tunnemmeko me käyttäjät käyttämämme järjestelmät yhtä hyvin? Voimmeko luottaa niiden oikeaan toimintaan ja ennen kaikkea voimmeko ihmisaistein luotettavasti varmentaa erilaisten digitaalisten järjestelmien toimimisen haluamallamme tavalla?

Tiesitkö, että tekoälyn avulla voidaan aivojen toimintaa kuvaamalla muodostaa kuva siitä, mitä kyseiset aivot katselevat ruudulta? Ja kasvoista voidaan mikroilmeiden avulla päätellä henkilön tunnetiloja. Nämä ovat vain muutamia viimeaikaisia esimerkkejä siitä, miten uudet tulokset antavat enemmän ja enemmän mahdollisuuksia koneille ja tekoälyjärjestelmille päästä syvällisesti perille siitä, miten ihmiskäyttäjät toimivat. Monet uudet tekoälyn sekä lisätyn ja virtuaalisen todellisuuden sovellukset pyrkivätkin siihen, että järjestelmät ja koneet pystyisivät paremmin huomioimaan yksilöllisesti käyttäjien tarpeita ja tunteita.

VTT:n tutkimuksessa Human Verifiable Computing (ihmisaistein varmennettava laskenta) etsimme ratkaisuja ja rakensimme ensimmäisiä esimerkkejä luottamuksen rakentamiseksi ja tietoturvan helpoksi varmentamiseksi eri ihmisaistein. Avainasemassa projektissamme ovat olleet lisätyn ja virtuaalitodellisuuden teknologiat, kryptografisesti varmennettava laskenta, luottamuksen muodostaminen sekä eri aistein tapahtuva vuorovaikutus ihmisen ja koneiden välillä. Näiden avulla rakennamme varmennettavaa luottamusta erilaisiin sovelluksiin.

Erityisen tärkeä tutkimuksen kohde on kryptografisesti varmennettavan laskennan ulottaminen ihmiskäyttäjälle saakka. Nykyiset kryptografiset menetelmät ja protokollat toimivat lähes poikkeuksetta koneiden välisessä kommunikaatiossa. Ihmiskäyttäjä ei kuitenkaan voi saada varmistusta muuten kuin luottamalla päätelaitteensa (sekä mahdollisesti muiden toimijoiden) oikeaan toimintaan. Vain muutamat sovellukset pyrkivät ottamaan käyttäjän mukaan protokollaan ja nämäkin vain äärimmäisen rajoitetuissa käyttötapauksissa.

Myös ihmisen eri aistit ovat usein vähällä käytöllä digitaalisten palveluiden kohdalla. Näkö- ja kuuloaistia hyödynnetään paljon ja tuntoaistia (ns. haptiikkaa) jonkin verran. Kuitenkin myös muiden aistien kautta voisimme saada tietoa järjestelmistä. Lisäksi ihmisille jatkuva arviointi on luonnollista, kun taas digitaaliset järjestelmät tarjoavat usein vain yksittäisen, hetkellisen mahdollisuuden muodostaa käsitys järjestelmän tilasta.

Lisätyn todellisuuden ja virtuaalitodellisuuden avulla voimme paremmin hyödyntää eri aisteja ja tarjota mahdollisuuden jatkuvaan luotettavuuden arviointiin. Projektissamme onkin syntynyt jo kolme erilaista demonstraatiota siitä, minkälaisia toiminnallisuuksia voisimme tarjota ihmisaistein varmennettavalla laskennalla. Kuitenkin paljon työtä on vielä tehtävä niin tutkimuksen, järjestelmien ja sovellusten kehityksen kuin ihmisten käyttäytymisen ja luottamuksen ymmärtämisen suhteen.

Olemme kirjoittaneet projektimme löydöksistä ja kohtaamistamme tutkimusongelmista julkaisun, joka on vapaasti ladattavissa täältä. Yhdessä muiden tutkijoiden, yritysten ja yhteistyökumppaneiden kanssa voimme varmasti tulevaisuudessa tarjota helposti ymmärrettäviä ratkaisuja, joilla tavalliset käyttäjät voivat omin aistein varmentua käyttämiensä digitaalisten palveluiden ja heille tarjotun informaation luotettavuudesta ja turvallisuudesta.

Lue lisää:
www.vtt.fi/palvelut/digitaalinen-maailma
www.vtt.fi/julkaisut/2017/human-verifiable-computing-white-paper.pdf

Kimmo Halunen VTT

 

Kimmo Halunen 
Erikoistutkija, VTT
kimmo.halunen(a)vtt.fi

Kyberansojen ja -harhautuksien 101 (lyhyt versio)

Monet ottavat matkoille mukaan ylimääräisen valelompakon, jonka sisään he laittavat sopivasti käteistä rahaa tai vaikkapa pelkkiä ostoskuitteja. Oikean rahapussin voi pitää piilossa vaatteiden alla ja valekukkaron laittaa laukkuun tai taskuun. Toiset kiinnittävät lompakkonsa vaatteisiin esimerkiksi metalliketjuilla tai lisäävät lompakkoon laitteen, jolla kadonneen lompakon voi etsiä myöhemmin.

Ansoitettujen valerahapussien idean voi siirtää myös digitaaliseen tietokoneiden maailmaan. Digitaalisuus mahdollistaa kuitenkin paljon enemmän!

Voimme yhdellä napin painalluksella täyttää kaikki halutut olemassa olevat tai eri vaatekerroksiin samalla ommellut uudet taskut lukuisilla valelompakoilla ja vastaavasti ne halutulla sisällöllä. Sisällöksi voidaan laittaa jotain uskomatonta, mitä niissä ei normaalisti koskaan olisi tai ne voi täyttää niin isolla määrällä rahaa, että niiden siirtämiseen tarvittaisiin iso rekka-auto.

Digitaalisessa maailmassa voimme varmistua siitä, etteivät kukkaroihimme kiinnitetyt ketjut tartu vahingossa minnekään. Meitä saattaa myös kiinnostaa miten, missä, milloin ja miksi oikea tai valerahapussimme varastettiin, kuka sen varasti ja missä se tällä hetkellä sijaitsee, mutta myös se, miten, milloin ja mihin sen sisältämää oikeaa tai valheellista sisältöä käytetään tai yritetään käyttää.

Digitaalisessa maailmassa esimerkin vaatteet, taskut, ketjut, lompakot ja niiden sisältö voivat olla mitä tahansa, vain mielikuvituksen on rajana! Ansat ja harhautukset ovat yksi monista hauskoista VTT:n kyberturvallisuuden tutkimusalueista!

Lisää kyberturvallisuudesta: 

vtt.fi/cybersecurity
vttresearch.com/services/digital-society/cyber-security
VTT Cyber Security Services Presents: A short movie about the good guys 
Teemu Väisänen VTT
Teemu Väisänen
Research Scientist, VTT
teemu.vaisanen(a)vtt.fi

 

Tietoturvaa oppimassa – kantapään kautta vai ennakoiden harjoitellen?

Tietoturva on yhä tärkeämpi osa niin yksityisten ihmisten kuin yritysten ja organisaatioidenkin elämää. Tietoturvallisia toimintatapoja ja uhkien minimoimista voi opetella monin eri tavoin. On kuitenkin tärkeää miettiä, mitä kannattaa opetella ja miten näitä asioita oppii parhaiten.

Kyberturva

Omista virheistä oppiminen on vähintä mitä voi tehdä. Kun tietoturvauhka realisoituu, on savun hälvettyä tärkeää analysoida tilanne. Tästä analyysistä voi sitten vetää johtopäätöksiä ja parantaa omaa varautumistaan tulevaisuudessa. Tällaiset oppimiskokemukset ovat harmillisen usein yritykselle kalliita (tekniset korjaukset, sakot, korvausvaatimukset, oikeudenkäynnit) ja kiusallisia (maine). Tuleva EU:n yleinen tietosuoja-asetus voi nostaa näiden oppituntien hintaa vielä lisää.

Toisten virheistä oppiminen tulee usein halvemmaksi ja on myös vähemmän stressaavaa. Onkin tärkeää seurata oman alan tietoturvaan liittyvää uutisointia ja kerätä mielenkiintoisista ja omaan toimintaan kaikkein parhaiten sopivista tapauksista lisätietoa. Niitä kannattaa käydä myös läpi omassa organisaatiossa laajemmin sellaisten henkilöiden ja tahojen kanssa, jotka voisivat tapauksesta jotain oppia.

Organisaatioiden toiminta tulee yleensä perustua järkiperäiseen riskianalyysiin ja siinä löydettyihin tärkeimpiin tai suurimpiin riskeihin sovellettaviin toimiin, joista tietoturvaan liittyvät uhat ovat vain osa kokonaisuutta. Tarvittavat toimet voivat sisältää teknisiä, taloudellisia ja organisaation prosesseihin liittyviä toimenpiteitä. Suurenkin organisaation tietoturva voi riippua yksittäisen käyttäjän osaamisesta ja toiminnasta. Tietoturvan perustaidot kuuluvat kaikille ja ovat osa, jos ei vielä tämän päivän, niin ainakin tulevaisuuden yleissivistystä. Hyvän perustan päälle organisaation on mahdollista rakentaa omia tietoturvaohjeistuksiaan ja käytäntöjään.

Koulutus on hyväksi, mutta se ei saa olla ainoa tapa yrittää vastata tietoturvauhkiin. Toimivassa tietoturvajärjestelmässä tekniset työkalut tukevat käyttäjiä, auttavat heitä toimimaan oikein ja pystyvät rajaamaan vahinkoja käyttäjien tehdessä virheitä. Kaikesta koulutuksesta huolimatta virheitä sattuu, se on vain inhimillistä. Tämä on hyvä tiedostaa organisaation joka tasolla. Monet yritykset pitävät kyberuhkia vakavana ongelmana itselleen, mutta niistä harvat ovat kouluttaneet henkilöstöään riittävästi tai harjoitelleet toimintaa erilaisissa kuvitteellisissa kyberhyökkäyksissä.

Tämä on selkeästi ongelmallista, sillä harjoittelu on tärkeä osa oppimista. Ilman koulutusta ja harjoittelua työntekijöiden voi olla hankala ymmärtää miksi he olisivat kyberuhkien kohteena, millaisia hyökkäyksiä heidän tekemiensä virheiden kautta yrityksiä vastaan on mahdollista tehdä ja millaisia seuraamuksia niistä voi olla yritykselle. Mahdollisimman realistinen harjoittelu on yksi parhaita tapoja oppia itselle ja omalle organisaatiolle merkityksellisiä toimintamalleja sekä löytää mahdolliset heikot kohdat ennen kuin vahinko osuu omalle kohdalle. Organisaatioiden jokaisella tasolla toimivien henkilöiden olisi harjoiteltava kyberuhkia vastaan.

Eri tasoilla työskenteleville koulutusten ja harjoitusten sisältö on tietenkin erilaista ja niitä onkin tarjolla laidasta laitaan. Kurssit ja harjoitukset voivat keskittyä vain yhteen tiettyyn asiaan, esimerkiksi miten rajoittaa hyökkäyksissä hyödynnettävän tiedon määrää julkisissa palveluissa tai miten huomata sosiaalinen manipulointi. Niillä voidaan myös opettaa järjestelmien teknisten monitorointityökalujen käyttöä tai miten tehdä digitaalista rikostutkintaa. Koulutus voi olla luentotyyppistä tai kädestä pitäen näppäimistön edessä harjoittelua. Harjoituksissa ei aina opeteta pelkästään yhden organisaation omaa henkilöstöä, vaan niissä voidaan harjoitella tiedottamista niin organisaatioiden sisällä kuin niistä ulospäin sekä yhteistyötä eri organisaatioiden välillä. Tähän voi kuulua kommunikointi niin tietoturvayritysten, asiakkaiden, yhteistyökumppaneiden kuin Viestintäviraston Kyberturvallisuuskeskuksenkin kanssa. Suurimmissa harjoituksissa mukana voi olla useita eri maita ja niissä toimivia organisaatioita.

Mikään koulutus tai harjoittelu ei tietenkään takaa 100% toimivaa suojaa erilaisia hyökkäyksiä vastaan. Eikä mikään teknologia pysty torjumaan kaikkia kyberuhkia. Kuitenkin perustaidoiltaan hyvä henkilöstö tarjoaa paremman suojan monia hyökkäyksiä vastaan ja kriisitilanteita harjoitellut väki pystyy hoitamaan mahdollisen vakavamman tietomurron seuraukset paremmin kuin valmistautumaton organisaatio. On tärkeää pitää oman organisaation osaaminen ja valmistautuminen riittävällä tasolla muuttuvassa uhkaympäristössä. Opit kannattaa myös hakea etukäteen harjoittelemalla ja varautumalla eikä kantapään kautta suuremman kriisin jälkeen.

Lataa ja tutustu ilmaiseen kyberturvaraporttiimme, josta selviää miten yrityksen tietoturvatasoa voidaan parantaa ja kyberuhilta suojaudutaan.

Kimmo Halunen VTT

Kimmo Halunen
erikoistutkija
Twitter: @khalunen

Teemu Väisänen VTT

Teemu Väisänen
tutkija

Kun kybersäätiedotus lupaa epävakaista, kannattaa jokaisen varustautua hyvin

Cyber security

Nyky-yhteiskunnassa sulautetut tietokoneet ja niiden toimintaan pohjautuva automaatio ulottuu kaikille elämänalueille. Verkottuneet tietokoneet ohjaavat kaikkein kriittisimpiäkin infrastruktuureja, kuten sähkön ja veden jakelua sekä liikennettä. Riippuvaisuus tietoverkoista tuo samalla riskejä: olemme entistä alttiimpia kyberhyökkäyksille. Pahimmillaan tietoverkkojen välityksellä kehittyvät kyberuhat voisivat horjuttaa tai jopa lamauttaa yhteiskunnan toimintaa.

Kyberturvallisuuden säilyttämiseksi kannattaa eri alojen ammattilaisten osaamista kehittää mahdollisimman monipuolisesti. Osaamisen kasvattaminen auttaa estämään uhkaavat kyberhyökkäykset. Se auttaa myös kriittisiä yrityksiä ja yhteiskunnan toimintoja koskettavan vakoilun havaitsemisessa.

Kybertaivaalla roikkuu tummia pilviä

Kybersäällä tarkoitetaan mm. Viestintäviraston Kyberturvallisuuskeskuksen tilannekuvaa erilaisten kyberuhkien ja varoitusten kohdistumisesta Suomeen. Kybersään sanotaan olevan heikentynyt esimerkiksi silloin, kun voimassa on varoituksia seuraavista:

  • palvelunestohyökkäykset
  • kiristyshaitta­ohjelmat
  • saastutetut toimistotiedostot
  • urkinta
  • huijausviestit

Viime kädessä infrapalvelujen toiminnasta vastaavien tahojen osaamisesta riippuu, saavatko kansalaiset kybersäästä riippumatta ja kaikissa olosuhteissa sähköä, puhdasta vettä, polttonesteitä, ostopalveluja, lämpöä, elintarvikkeita, lääkkeitä ja muita elintärkeitä hyödykkeitä.

Jokaisen kannattaa kuitenkin varustautua huonon sään varalle myös itse. Heikentyneessä kybersäässä et aina voi luottaa edes kumppaneiltasi tulevaan viestintään normaalisti. Esim. tutusta firmasta sinulle lähetetyt MS Office -liitteet saattavatkin sisältää hyökkääjän lisäämiä Powershell-komentoja. Tällöin edes yrityksesi kehittyneet tietoturva­menettelyt eivät välttämättä sinua varoita.

Myrskyn jälkeen tulee kuitenkin poutasää: kun uhat on saatu tutkittua ja poistettua, voinet taas luottaa myös tilanteesta kunnialla selvinneisiin kumppaneihisi.

Epävarmuus on uusi normaali

Elämme jo nyt yllättävien tietoliikennehäiriöiden ja kyberturvallisuushyökkäysten jatkuvassa uhassa. Epävarmuudesta on tullut uusi normaali. Vain tämän ymmärtäneet sopeutujat pärjäävät. Välinpitämättömästi tietoturvaan suhtautuvilta ihmisiltä tuleviin viesteihin on todella uskaliasta enää luottaa.

Infraan kohdistuu päivittäin verkkovakoiluyrityksiä, joiden taustalla tai motiivina voi olla esim. yritysten tietoverkkojen lamauttaminen, soluttautuminen sähköverkkojen ohjausjärjestelmiin, sairaalahenkilöstön kiristäminen, tai murtautuminen kiinteistöjen etähallintaan liittyviin järjestelmiin.

Vakoilun jälkeen myös kriittisiin järjestelmiin soluttautuminen on teknisesti mahdollista. Turvallisimpiinkin järjestelmiin voidaan murtautua, mikäli resursseja ja aikaa on riittävästi. Vastapuolella on modernit hyökkäystyökalut ja -palvelut käytössään, varsinkin jos kohteella olisi kiristettävissä merkittävää varallisuutta. Hyökkäyksiä myös räätälöidään kohteen turvajärjestelmät ja -prosessit huomioiden. Kohdistetut hyökkäykset käyttävät yrityksen suojaukset ohittavia menettelyjä, kuten työntekijän yksityisesti käyttämän vempaimen vakoilua.

Ei vara venettä kaada

Kyberosaamisen kehittämiseen pitää satsata useilla rintamilla. Kriittisten infrojemme ylläpitäjien ja kehittäjien osaaminen ja heille tarjottavat laadukkaat kyberpalvelut ovat avainasemassa. Toisaalta on välttämätöntä myös turvata riittävät resurssit eri viranomaisille ja tukea yhteistyötä eri tahojen välillä. Myös eduskunnan tulee ymmärtää tietoverkkojen kautta meillekin levittäytyneet turvallisuusongelmat.

Näin vakavissa asioissa kannattaa varautua pahimpaan. Mitä tapahtuisi ja mitä tulisi tehdä, jos vakava kyberhyökkäys pääsisi suojauskerrostemme lävitse? Toiminnan ytimessä on hyvä ennakkovarautuminen, mikä tarkoittaa esimerkiksi:

  • tuotantoverkkojen kyberhyökkäyskestävyyden testausta
  • kriittisten varajärjestelmien hankintaa, asentamista ja käyttöönottoa
  • laittoman tiedustelun ja kyberhyökkäysten tunnistamista ja torjuntaa
  • vastatoimien hallintaa ja kyberharjoittelua

Heikoin lenkki voisi murentaa kaikki suojaukset. Siksi kehittämisen ja varautumisen on tapahduttava laajalla rintamalla. Ei vara venettä kaada, kovallakaan kelillä.

Lataa ja tutustu ilmaiseen kyberturvaraporttiimme, joka antaa valmiudet yrityksen suojaamiseen ja tietoturvan kokonaisvaltaiseen kehittämiseen.

Pasi Ahonen VTT

Pasi Ahonen
johtava tutkija

Suomen uudet tiedustelulait – hyvät, pahat ja rumat?

Suomeen ollaan juuri nyt säätämässä uusia sotilas- ja siviilitiedustelulakeja. On kuitenkin hyvä pysähtyä miettimään, ovatko juuri nyt esitetyn kaltaiset valtuudet oikeanlaiset ja onko niissä löydetty hyvä tasapaino turvallisuusuhkien ja kansalaisten yksityisyydensuojan välille? Onko laki sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot?

Ei salauksen heikentämiselle eikä takaportteja ohjelmistoihin

Vastikään julkaistujen mietintöjen ehdottomasti parhaat puolet löytyvät siitä, mitä uudessa laissa EI OLLA vaatimassa. Viime vuosina on Yhdysvalloissa FBI:n ja Euroopassa mm. Saksan ja Ranskan sisäministerien sekä viimeksi EU:n oikeuskomissaarin voimin vaadittu salattujen viestintävälineiden salauksen heikentämistä niin, että viranomaiset voisivat halutessaan päästä käsiksi viestien sisältöön. Tätä nykyä useat suositut viestintäohjelmistot, kuten Whatsapp, salaavat viestisisällön lähettäjältä vastaanottajalle siten, että vain nämä tahot pystyvät viestinnän salauksen purkamaan. Tämä on herättänyt huolta rikostutkinnan ja tiedustelun mahdollisuuksista. Kuitenkin tilanne on sellainen, että mahdollisia lakeja tai asetuksia viestinnän salauksen heikentämisestä on liki mahdotonta valvoa ja lisäksi heikennykset salaukseen aiheuttaisivat enemmän haittaa tavallisille, lainkuuliaisille toimijoille kuin mitä mahdolliset hyödyt tiedustelussa ja rikostorjunnassa olisivat.

Myös erilaisten takaporttien vaatiminen ohjelmistoihin tai muihin järjestelmiin on huono ajatus, sillä se siirtäisi vain tällaisten järjestelmien valmistuksen muihin maihin ja täten haittaisi merkittävästi suomalaisia tietoturva-alan yrityksiä. Näin ollen on ilahduttavaa huomata, että Suomessa ei olla esittämässä tällaisia tuhoon tuomittuja ajatuksia uusiin tiedustelulakeihin.

Massavalvontaoikeudet voivat johtaa myös väärinkäytöksiin

Kuitenkaan nyt esitetyt uudet valtuudet puolustusvoimille ja suojelupolisiille eivät ole täysin ongelmattomia. Vaikka uusien lakien puolestapuhujat korostavat sitä seikkaa, että nyt esitetyt lait eivät mahdollista tietoliikenteen massavalvontaa, on kuitenkin selvää, että uusi järjestelmä tulee teknisesti vaatimaan mekanismin, joka mahdollistaa kaiken tietoliikenteen valvomisen. Mitenkään muuten ei ole mahdollista tarjota tiedusteluviranomaisille menetelmiä tehdä kohdennettuja hakuja millä tahansa hakutermeillä.

Tämä tosiseikka johtaa kysymykseen, jonka muutamat tahot ovat jo esittäneet uusiin lakeihin liittyen. Ovatko nämä lait ja erityisesti niihin kirjatut valvontamekanismit riittävät myös silloin, jos valtaan valitaan tahoja, jotka haluavat mahdollisesti käyttää näitä menetelmiä lain hengen vastaisesti? Esimerkiksi Edward Snowdenin paljastukset osoittavat, että Yhdysvalloissa tiedustelupalveluille tarkoitettuja valtuuksia on käytetty terrorismin ja muiden vakavien rikosten lisäksi myös tavanomaisempien rikosten tutkinnassa. Lisäksi tiedustelutietoja on hyödynnetty mm. kauppaneuvotteluissa ja muissa diplomaattisissa yhteyksissä. On siis ensiarvoisen tärkeää, että tiedusteluvaltuutettu sekä parlamentaarinen tiedusteluvaliokunta ottavat tarkkaan selvää tietojen hankinnasta ja käytöstä.

Myös kustannustehokkuutta on hyvä tarkastella. Järjestelmän pystyttämisen kustannusarvio liikkuu kymmenen miljoonan euron tienoilla ja lisäksi vuosittaiset kustannukset ovat n. 20 miljoonaa euroa joka vuosi. Varsinkin terrorismin ehkäisyn käyttäminen järjestelmän perusteena ei selviä tästä tarkastelusta, sillä ainakin vielä terrorististen tekojen kustannukset Suomessa ovat hyvin pienet elleivät olemattomat. Toisaalta muun tiedustelutoiminnan ja erityisesti vieraan vallan vaikutus- ja vakoilutoiminnan tarkkailun hyödyt saattavat hyvinkin oikeuttaa kymmenien miljoonien vuosikustannuksiin. Yhtenä ongelmana on, että valtuuksien – ja näin ollen myös kustannusten – vähentäminen tämän tyyppisistä laeista on poliittisesti vaikeaa. Näin ollen kustannustehokkuutta saatetaan hakea laajentamalla kerätyn tiedon hyödyntämisalaa.

Miten ehkäistä inhimillisiä virheitä?

Edelleen yhtenä ongelmallisena piirteenä voidaan nähdä inhimillisten väärinkäytösten mahdollisuus. Maailmalla tunnetaan jopa käsite LOVEINT, joka tarkoittaa sitä, että jotkut tiedustelualan työntekijät käyttävät valtuuksiaan tehdä hakuja henkilöistä ja organisaatioista omien läheistensä, esimerkiksi puolisoidensa, tietojen tarkistamiseen. Myös Suomessa on tapauksia, joissa viranomaistoimijat ovat ylittäneet valtuutensa nykyisten järjestelmien puitteissa selvittääkseen itselleen merkityksellisiä asioita ja henkilöitä.

Uusien valtuuksien myötä luotavissa järjestelmissä on luonnollisesti myös mahdollisuus inhimillisille väärinkäytöksille. Yhtenä mahdollisena keinona ehkäistä väärinkäytöksiä on tehdä järjestelmistä sellaisia, että hakujen tekeminen ei ole yhtä suoraviivaista kuin vaikkapa verkon hakukoneilla, vaan haku vaatii hakutermien lisäksi myös perustelut niiden käytölle. Edelleen voidaan ajatella, että hakujen tulokset eivät tule suoraan ruudulle, vaan haku käynnistää prosessin, jossa hakukriteerien lainmukaisuus arvioidaan. Vasta tämän prosessin jälkeen tulokset olisivat saatavilla – mahdollisesti takautuvasti haun kirjaushetkestä alkaen – tiedusteluviranomaiselle.

Tiedustelulait ovat varmasti tarpeen Suomessa, jotta viranomaiset ja päättäjät voivat saada ajantasaista tietoa Suomea koskevista uhkista. Lain laajuutta on kuitenkin hyvä arvioida kriittisesti. Lisäksi lain mahdollisesti tultua voimaan valvovien tahojen tulee tarkastella lain kirjaimen ja hengen toteutumista erittäin tarkasti. Näin voidaan välttää useiden muiden maiden virheet ja ylilyönnit tiedustelussa.

Lopuksi haluan esittää kysymyksen päättäjille, jotka lain säätämisestä viime kädessä päättävät. Onko laki mielestänne sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot? Jos ette voi vastata tuohon kysymykseen myöntävästi, niin miettikää, miten lakia tulisi muuttaa, ja esittäkää tarvittavat muutokset lakiin.

Kimmo Halunen VTT

Kimmo Halunen
Erikoistutkija
Twitter: @khalunen