Edellyttääkö tietoturva nykyään taikatemppuja?

Matti Suominen, tietoturvayhtiö Nixun Head of Product Cybersecurity, käsitteli puheenvuorossaan Vinssin IT-mikroyrittäjäseminaarissa tietoturvauhkia nopeasti kehittyvissä tekoäly- ja ohjelmistorobotiikkasovelluksissa. 

Varovaisten arvioiden mukaan ohjelmistorobotit tekevät työtä 140 miljoonan täysipäiväisen työntekijän edestä vuonna 2025. Lisäksi yrityksistä 94 % käyttää tai tulee käyttämään ohjelmistorobotiikkaa. Kyberrikollisuus on liiketoimintaa, joka pyrkii hyödyntämään aukkoja tietoturvassa, mutta usein tietomurron syynä on ihmisen inhimillinen virhe tai huolimattomuus. Tietomurtoa varten ei ole välttämättä rakennettu mitään teknisesti hienoa, vaan yli 40 % tapauksista johtuu työntekijöiden tekemistä erehdyksistä. Vastuuta tietoturvasta ei kuitenkaan voida sysätä yksittäisille työntekijöille, jotka usein ovat varsin hankalan ongelman edessä, usein vajavaisella osaamisella.

Ihminen ongelmien aiheuttajana

Tietoturvaongelmien oletetaan poistuvan, kun virheitä tekevä ihminen korvataan robotilla, sillä robotin ajatellaan usein olevan erehtymätön. Tosiasiassa robotti tekee juuri niin kuin sitä on käsketty tekemään, jolloin vankkumattomalla johdonmukaisuudella varustettu robotti on itse asiassa melko helppo huijattava. Robotti ei pysähdy maalaisjärjellä miettimään onko tilanteessa jotakin hämärää, vaan se tekee päätöksen ohjelmointinsa mukaan. Vaikka ihminen poistettaisiin yhtälöstä, ei tietoturvan merkitystä voi vähätellä tulevaisuudessakaan.

Ohjelmistorobotin tulee tunnistautua samoihin järjestelmiin kuin ihmisenkin, eli se tarvitsee erilaisia käyttöoikeuksia ja käyttäjätunnuksia. Vaarat piilevät liian laajoissa rooliyhdistelmissä ja toisinaan ohjelmistorobotille annetaan kerralla kaikki käyttäjätunnukset, sillä niiden pyytäminen vähitellen tai tarpeen mukaan koetaan liian rajoittavaksi. Jos tällaisessa tilanteessa joku taho onnistuu nappaamaan robotin tunnukset, avautuu välittömästi väylä moneen paikkaan.

Mikäli tunnukset varastetaan, asiat tapahtuvat todella nopeasti, joka puolestaan luo painetta reagoinnille. Tunnukset vaihtuvat silmänräpäyksessä ja sähköpostit on kaapattu ja käännetty parissa sekunnissa. Prosessin nopeuden takia tilanteisiin on vaikea päästä väliin.

Mitä voimme vaatia?

Ohjelmistorobotiikkaa hyödynnettäessä tulisi aina pohtia sitä, mitä tietoturvalle asetetaan. Pelkkä toteamus ”tietoturvaa pitää olla” ei tarkoita yhtään mitään. Vaikka ala on viisikymmentä vuotta vanha, valmiita tietoturvasuosituksia ei juuri löydy ja asiaan on ryhdytty perehtymään vasta viime vuosina. OWASP ASVS -standardi 4.0 tarjoaa perusteet sovellusten tietoturvatestaukseen ja antaa ohjelmistokehittäjille ohjeistusta tietoturvallisempaan kehittämiseen pitäytyen asioissa, jotka ovat relevantteja ja kannattaa oikeasti huomioida.

Arviolta viiden vuoden kuluttua älykkäät tietomurtoyritykset kuuluvat kyberihmisten arkeen, mutta tällä hetkellä pärjätään hyvin pitämällä perusasiat kunnossa. Robotiikka on pohjimmiltaan vain ATK:ta, ei sen ihmeellisempää.

Vanhat keinot vai pussillinen uusia?

Vaikka teknologia ja sen käyttösovellukset vaikuttavat kovin uusilta ja ihmeellisiltä, ei tietoturvapuolella edellytetä taikatemppuja, vaan perusasioilla pääsee jo pitkälle. Yksi tärkeä toimenpide onkin päivitysten pitäminen ajan tasalla. On turha maksaa tuhansia euroja kotinsa murtosuojauksesta, jos jättää ikkunan auki töihin lähtiessään.

Toinen keskeinen seikka on pääsynhallinnan oikea toteutus. Jos ohjelmistorobotille antaa kaikki mahdolliset tunnukset ja oikeudet siinä uskossa, ettei robotti tee mitään vahingollista, tunnukset nappaava taho saattaakin toimia näin. Kyberrikollisuuden kehittyessä on entistä vaikeampaa valvoa järjestelmiä reaaliajassa tunkeutujien varalta. Vaikka kyberrosvoa ei saada kiinni rysän päältä, on ensiarvoisen tärkeää saada nopeasti selville mitä kutsumaton vieras on puuhaillut. Niinpä lokijärjestelmien tulee tukea tätä vahinkojen hallintaan niin, että tieto on helposti saatavilla.

Vaikka tekniikka on kehittynyt huimasti, perinteiset tietoturvaprinsiipit pätevät edelleen. Samat tietoturvakeinot pätevät kuin mihin tahansa muuhunkin IT:n suojaamiseen. Erityisen tärkeää on lisätä tietoisuutta tietoturvauhkista ja kouluttaa ihmisiä tunnistamaan vaaranpaikat.

Jaa artikkeli:

Project-IT Vinssi on projektinhallinnan ammattilaisten verkosto, joka mahdollistaa heille väylän arvostettujen suomalaisten yritysten erilaisiin projektitoimeksiantoihin.