Digiluottamuksen rakentajat

Internetissä liikkuu yli 5,3 eksatavua informaatiota joka päivä. Se on valtava määrä: samaan tilaan sopisivat kaikki sanat, jotka on lausuttu ihmiskunnan historiassa.

Historian ensimmäinen internetviesti lähetettiin ARPANET-tietoverkossa vuonna 1969. Viestin oli tarkoitus kulkea Kalifornian yliopistosta UCLA:sta reilun 600 kilometrin päähän Stanfordin yliopistoon.

Kesken lähetyksen puhelinkopin kokoinen tietokone sammui.

LO – ensimmäinen viesti jäi tyngäksi.

Ohjelmointiopiskelija Charley Kline ei kuitenkaan antanut periksi vaan käynnisti koneen uudestaan. UCLA viestitti LOG, Stanford vastasi IN – ja tutkijat varmistivat vielä puhelimessa, että kirjaimet todella tulivat perille.

Nyt maailmassa lähetetään joka päivä yli 300 miljardia sähköpostia ja 60 miljardia WhatsApp-viestiä. Internetin käyttäjien määrä hipoo viittä miljardia, ja verkossa vietetään keskimäärin lähes 7 tuntia päivässä, siitä suurin osa mobiilina.

Arjestamme tuli digiä puolessa vuosisadassa. Mikä tai kuka varmistaa, että sitä voi elää turvassa?

Salapiirroksia ja avainpareja

Yksi digiarjen turvaajista on Aalto-yliopiston apulaisprofessori Chris Brzuska. Hänen alansa on kryptografia eli salausmenetelmät.

Sana krypto on kreikkaa ja tarkoittaa piilotettua tai salaista. Antiikin kreikkalaiset tatuoivat salaiset tiedot kuviksi orjien kaljuihin päänahkoihin ja lähettivät heidät matkaan. Kun orja kuukausien matkan jälkeen pääsi perille, hänen päänsä ajeltiin ja viesti oli taas luettavissa.

Moderni kryptografia perustuu matematiikkaan ja tietojenkäsittelytieteeseen.

”Se tutkii ja kehittää keinoja, jotka suojaavat järjestelmää ja sen käyttäjiä vihamieliseltä sekaantumiselta. Aina kun dataa siirretään internetissä, se pitää salata niin, että ulkopuoliset eivät pääse kuulemaan tai lukemaan sitä”, Brzuska sanoo.

Työ tehdään matemaattisilla algoritmeilla ja salausavaimilla. Ne sekoittavat ymmärrettävän viestin muotoon, jonka voi tulkita vain oikean avaimen avulla.

Salauksen päämenetelmiä on kaksi: symmetrinen menetelmä ja epäsymmetrinen eli julkisen avaimen menetelmä. Ensimmäisessä salaukseen ja sen purkuun käytetään samaa avainta. Sekä lähettäjän että vastaanottajan pitää tuntea avain tai löytää keino siirtää se turvallista kanavaa pitkin.

Usein tämä ei onnistu.

Silloin käytetään julkisen avaimen menetelmää. Se perustuu julkisen ja salaisen avaimen muodostamaan avainlukupariin, jonka salaisen puolikkaan selvittäminen on äärimmäisen vaikeaa, vaikka julkinen avain on tiedossa.

Parin julkinen avain salaa tiedon ja salainen avain purkaa sen. Osapuolten tarvitsee vain saattaa julkiset avaimensa toisen saataville, jotta tiedon salaaminen onnistuu.

”Se on tosi makea konsepti, jota ilman koko netin salaus romahtaisi hetkessä. Hauskinta on, että kun Whitfield Diffie ja Martin Hellman esittelivät sen 1976, kukaan ei varmaan ajatellut, että sitä voisi käyttää johonkin. Ei silloin osattu kuvitella, että joku haluaisi jakaa salaistakin tietoa täysin tuntemattomien kanssa”, Chris Brzuska sanoo.

Käyttäjän ei yleensä tarvitse avaimia ja algoritmeja ajatella, vaan niistä pitävät huolen ohjelmistot ja kommunikaatiojärjestelmät. Epäsymmetrinen salaus turvaa niin pikaviestejä, maksuliikennettä kuin verkkosivujakin – s-kirjain verkkosivuosoitteen https-rimpsussa tarkoittaa juuri salattua, turvallista yhteyttä.

Turvallisuuden ja toimivuuden välillä on usein vaihtokauppa, jossa on päätettävä, kuinka paljon yhtä haluaa toisen kustannuksella. Lähimaksu on Brzuskan mielestä tästä oiva esimerkki: kätevyyden varjopuolena on se, että jos kortti joutuu vääriin käsiin, sillä on helppo tehdä luvattomia ostoksia.

Turvan pettäminen myös kohtelee ihmisiä eri tavoilla.

”Tasa-arvon tavoittelu on minulle henkilökohtaisesti iso innoittaja. Jos tililtäni katoaa parisataa euroa, tiedän, miten toimia saadakseni ne takaisin – enkä joudu näkemään nälkää rahoja odotellessa. Kaikki eivät ole yhtä etuoikeutettuja.”

Brzuska on opiskelijoidensa kanssa ollut mukana parantamassa monia yleisesti käytössä olevia salausprotokollia. Kaikesta työstä huolimatta matemaattinen malli ei kuitenkaan koskaan riitä kattamaan kaikkia tosimaailman tilanteita, hän korostaa.

Hiotuimpaankin malliin voi jäädä aukkoja.

Verkon partiolaiset

Tammikuussa 2021 Yhdysvaltojen puolustusministeriö kertoi Twitterissä uudesta rajapyykistä: sen tietojärjestelmistä löytyneiden haavoittuvuuksien määrä oli juuri rikkonut 25 000 rajan.

Maan hallituksen tietoturvabudjetti on 15 miljardia euroa vuodessa. Silti tviitin sävy ei ollut pahoitteleva vaan juhlistava – ja syystä, sanoo HackerOnen toimitusjohtaja Mårten Mickos.

”Kun viat löydetään, ne voidaan myös korjata.”

HackerOne on valkohattuhakkereiden verkosto, jonka apuun luottavat Pentagonin ohella esimerkiksi Google, Lufthansa, PayPal ja Twitter.

Termi valkohattu on lainattu digimaailmaan vanhojen lännenfilmien sankareilta. HackerOnessa valkohattuja on mukana eri puolilta maailmaa jo miljoona. Mickos kuvaa heitä lämpimästi digimaailman partiolaisiksi, joilla on korkea moraali, halu auttaa ja hyvä sydän.

”Ja tietenkin he ovat äärettömän fiksuja ja pohjattoman uteliaita. Enemmistö on parikymppisiä naisia ja miehiä ja lähes kaikki itseoppineita. Ongelmanratkaisutaitoja he ovat treenanneet koko elämänsä juuri sillä tavalla, josta vanhemmat motkottavat – videopelejä pelaamalla. Yrityksille he ovat melkein kuin hengenpelastajia.”

Yritykset maksavat hakkereille löydetyistä haavoittuvuuksista niiden vakavuuden mukaan. Taloudelle, terveydelle tai turvallisuudelle kriittisen, esimerkiksi tehtaan tai voimalan toiminnan vaarantavan, haavoittuvuuden löytöpalkkio on helposti kymmeniä tuhansia euroja.

Myös harmittomilta vaikuttavat kolot on tärkeä havaita ja korjata. Mårten Mickos vertaa tilannetta veneeseen tai hirsimökkiin: pieni reikä ei upota eikä romahduta, mutta se voi aloittaa vuodon ja siitä voi päästä murtautumaan syvemmälle sisään.

”Hyvä esimerkki on luottotietoyhtiö Equifaxin tietomurto, joka lähti yhdestä pienestä haavoittuvuudesta. Equifaxille tietomurron korvaukset, korjaukset ja sakot tulivat maksamaan noin 1,5 miljardia euroa. Ja miljoonien ihmisten varastettuja tietoja ei tietenkään saatu rahallakaan palautettua.”

Tietoturva-aukkojen tarkkaa lukumäärää ei tiedä kukaan, mutta varovaistenkin arvioiden mukaan niitä on maailmassa satoja miljoonia. Joka 39. sekunti mustahattuhakkeri tekee tietoturvahyökkäyksen jossain päin maailmaa. Joukossa on ammattirikollisia, poliittista sotaa käyviä, ajattelemattomia teinejä ja varkaita, jotka perheen ruokkiva 50 euron palkkio saa sivuuttamaan haitan, jonka kalastelu aiheuttaa tuntemattomille toisella puolella maailmaa.

Lukujen edessä ei pidä synkistellä, Mickos korostaa. Digitaalinen maailma on vielä prototyyppi, mutta aivan kuten hirsimökkiä, sitä voidaan suojata, paikata ja vaihtaa huonoja osia kokonaan.

”Ja aivan kuten fyysisessä maailmassa, hyviksiä on digimaailmassa valtavasti pahiksia enemmän. Hyvät ovat taitavia, kunnianhimoisia ja valmiita jakamaan tietoaan. Tietoturvan koulutusta, avoimuutta ja yhteistyötä uhkien edessä tarvitaan kuitenkin enemmän, sillä puolustus voittaa vain, jos vastustaja ei pääse kertaakaan läpi.”

Eikä puolustus ole vain hyvishakkereiden vastuulla.

Tervettä epäluuloa

Kun koronapandemia alkoi levitä, se näkyi äkkiä myös Kybersäässä.

Kybersää on kuukauden tietoturvapoikkeamat kokoava paketti, jonka Liikenne- ja viestintävirastoon kuuluvan Kyberturvallisuuskeskuksen tietoturva-asiantuntija Aino-Maria Väyrynen laatii kollegoidensa kanssa.

”Ajantasainen tieto on paras lääke tietoturvauhkia vastaan. Ja annos tervettä epäluuloa”, hän sanoo.

Tietojen ja rahan kalastelu sähköpostiviesteillä on kansalaisten useimmin kohtaamia tietoturvauhkia. Koronan myötä viesteissä alkoi toistua surullinen tarina työn menetyksestä, konkursseista ja rahavaikeuksista, joihin vastaanottajalta toivottiin apua.

Kalastelu on rikollisille usein hyvin kannattavaa, sillä tuotto on riskiin ja vaivaan nähden iso.

”He myös tekevät sitä ammatikseen ja ovat siinä siksi todella hyviä”, Väyrynen sanoo ja latelee perussääntöjä turvalliseen digielämään.

Jokaiseen palveluun pitää olla oma, mahdollisimman vaikea salasana.
Koska lukuisten vahvojen salasanojen muistaminen on mahdotonta, kannattaa hankkia salasanojen hallintaohjelma.

Kaksivaiheinen tunnistautuminen parantaa reippaasti turvallisuutta, ja se on hyvä olla käytössä ainakin sähköpostissa ja sosiaalisen median tileillä. Se voi tapahtua tunnuksella tai tekstiviestillä, kuten usein maksutapahtumissa, tai sitten erillisellä puhelimeen ladattavalla sovelluksella.

Varmuuskopioista kannattaa huolehtia, joko pilvessä tai koneella.

Viranomaiset eivät ikinä kysy pankkitunnuksia, eikä niitä saa koskaan kertoa kenellekään.

Ja jos yhtään epäilyttää, kannattaa pysähtyä.

”Hengähdystauko on aina hyvä idea. Tuntemattomista lähteistä tulevia linkkejä ja tiedostoja ei pidä suin päin avata. Ja jos joku soittaa ja lupaa noin vain korjata koneesi, kunhan päästät hänet sinne asentamaan ohjelman, niin kannattaa miettiä: ihanko oikeasti globaalilla korporaatiolla on näin hyvä asiakaspalvelu? Monet huijarit vetoavat kiireeseen, joten se on aina varoitusmerkki”, Väyrynen korostaa.

Kybersäässä muutokset ovat nopeita ja suuria.

Esimerkiksi sosiaalinen media on avannut aivan uudet mahdollisuudet romantiikkahuijareille, jotka lypsävät uhreiltaan rahaa valeprofiilien suojassa.

Jos Aino-Maria Väyrysen pitäisi ennustaa, hän sanoisi, että seuraavat synkät pilvet tulevat esineiden internetin, IoT:n suunnasta.

Monia laitteita, kuten kodinkoneita, ei nimittäin ole suunniteltu nettiin kytkemistä varten.

Kun ne sitten kytketään, tietoturva ei välttämättä ole heti halutulla tasolla. Pahantahtoinen naapuri voi kytkeä avoimessa verkossa näkyvän sadettajan suihkuttamaan vuorokauden ympäri perheen lomamatkan ajaksi. Kaunainen ex-puoliso voi salakuunnella ja -katsella, jos talossa on suojaamattomia mikrofoneja ja kameroita. Varas voi murtaa huolimattomasti kytketyn, netissä näkyvän lukitusjärjestelmän ja tunkeutua sisään.

Rikolliset ovat siellä, missä kansalaisetkin, Väyrynen muistuttaa.

”Siksi kansalaisen tietoturvasta pitää huolehtia aivan kuten oman kodin turvallisuudestakin.”

Artikkeli on julkaistu Aalto University Magazinen numerossa 28 toukokuussa 2021 (näköislehti issuu.com-sivustolla).