F-Securen tutkimusjohtaja Mikko Hyppönen pohti eilen VTT:n tietoturvaseminaarissa, mihin suuntaan kyberturva on menossa. Nettimurros on jo takana, seuraavaksi kaikista laitteista tulee tietokoneita. – Myös tyhmät laitteet kuten leivänpaahtimet liitetään verkkoon, Hyppönen sanoo.
Näin tapahtuu, vaikkei leivänpaahtimen nettiin liittämisessä ole käyttäjän kannalta mitään järkeä. – Laitteiden valmistajat haluavat tehdä rahaa ja nykyään data on rahaa, Hyppönen muistuttaa. Laitevalmistaja haluaa toki kerätä laitteensa käytöstä ja toiminnasta mahdollisimman paljon dataa.
Tämä on paljon hyvää tuoneen netin haittapuoli. Rikoksen uhriksi joutuminen on nyt todennäköisempää verkossa kuin Helsingin kaduilla. - Nyt hakkeri joka lukitsee tietokoneemme lunnastroijalaisella, ei olekaan enää Suomesta vaan voi olla mistä vaan.
Kännykkää Hyppönen ei pidä erityisen turvattomana laitteena. Itse asiassa kännykkä on paljon tietokonetta turvallisempi. – Jos haluaa ohjelmoida älypuhelimeen jotakin, järjestelmän ohjelmoiminen on paljon rajallisempaa. Ensin pitää lähettää sovellus Applelle, joka hyväksyy sovelluksen ja vasta sitten sen voi asentaa koneelleen.
F-Securella on oma tilannekuvahuoneensa, johon sen tietoturva-asiakkaat usein soittavat. Ja viesti on aina sama: tulkaa äkkiä, meidän verkkomme on hakkeroitu. Tällöin F-Securen analyytikot käyvät tutkimassa tilanteen ja yleensä arvio on oikea, verkkoon todella hakkeroitu. Mutta se on tehty jo vuosi sitten.
Tämä on iso haaste organisaatioille. Ne eivät huomaa, milloin joutuvat verkkomurron uhriksi. – On erittäin tärkeää huomata, milloin joku tulee sisään verkkoon ja mitä tehdään, kun joku on tullut sisään. Tällä hetkellä kestää viikkoja tai kuukausia, ennen kuin että huomataan että joku on murtautunut verkkoon, Hyppönen sanoi.
Hänen mukaansa tietoturva-ammattilaisilla on ikävä maine. – Me sanomme aina, että jokin ei käy. Ei saa asentaa uutta palvelinta, ei saa avata uusia portteja. Minä haluaisin, että tietoturva on mahdollistaja, Hyppönen sanoi.
Ensimmäinen askel on kartoittaa, kuka voisi olla kiinnostunut hyökkäämään organisaation verkkoon. – Useimmat organisaatiot eivät kiinnosta valtiollisia toimijoita. Rahasta kiinnostuneita rikollisia vastaan ei tarvitse rakentaa täydellistä suojaa. Kannattaa muistaa, että hyökkääjillä on kissanpäivät, helppoja kohteita riittää netissä. Jos rakentaa riittävän suojauksen, rikolliset kyllästyvät äkkiä ja etsivät uuden uhrin, Hyppönen evästi.