HAKKEROINTI VOI OSOITTAUTUA NYKYISTÄ VAARALLISEMMAKSI

Ei ole mikään salaisuus, että tietokoneet voivat olla turvattomia. Viime aikoina kuullut uutiset Facebookin tietomurrosta ja valtiollisten hallintojen ja virastojen hakkeroinneista ovat huomattavia ainoastaan merkityksettömyydessään. Tämän kaltaiset uutiset saattavat päästä otsikoihin muutaman päivän ajaksi, mutta ne ovat todellisuudessa pelkkä uutisiin kelpaava jäävuoren huippu nykyisestä tilanteesta.

HAKKEROINTI VOI OSOITTAUTUA NYKYISTÄ VAARALLISEMMAKSI

Riskit ovat muuttumassa pahemmiksi, koska tietokoneita liitetään yhä enemmän fyysisiin laitteisiin ja ne vaikuttavat pelkän datan sijasta myös elämiimme. Turvallisuus ei ole sellainen ongelma, jonka markkinat voisivat ratkaista. Maiden hallitusten täytyy astua peliin ja säännellä tätä jatkuvasti vaarallisemmaksi muuttuvaa kenttää.

Tietoturva näkyy hinnassa

Suurin syy sille, että tietokoneet eivät ole turvallisia, on se, että ostajat eivät ole halukkaita maksamaan rahan, ominaisuuksien tai ajan muodossa tietoturvasta, joka rakennettaisiin heidän haluamiensa tuotteiden ja palveluiden yhteyteen. Tämän tuloksena olemme jumissa hakkeroitavissa olevien verkkoprotokollien, haavoittuvuuksia täynnä olevien tietokoneiden ja helposti läpäistävissä olevien verkkojen kanssa.

Olemme hyväksyneet tämän ikävän tilanteen, sillä hyvin pitkän aikaa tietokoneiden turvallisuus on koskenut lähinnä dataa. Finanssilaitosten tallentamat pankkitiedot voivat olla tärkeitä, mutta kukaan ei kuole, jos ne varastetaan. Facebook-tilin tiedot voivat olla tärkeitä, mutta kukaan ei kuole myöskään niiden varastamisen vuoksi. Riippumatta siitä, kuinka ikäviä nämä tietomurrot ovat, on ollut perinteisesti kannattavampaa hyväksyä seuraukset kuin korjata ongelmia. Mutta tietokoneiden käyttämisen luonne on muuttumassa, ja siihen sisältyy suurempia turvallisuusriskejä.

Moni tietokoneiden käyttäjä jättää tietoturvan vähemmälle huomiolle, vaikka tavallisessa arkikäytössä saattaa olla riskejä. Sinun on muistettava useita salasanoja ja syötettävä luottokorttitietosi useille eri sivustoille – jos tilaat netistä golfmailat, pelaat muutaman kolikon tai varaat lennot Pariisiin, joudut luultavasti käyttämään erillistä salasanaa ja vahvistamaan luottokorttinumerosi maksua varten. Onkin suositeltavaa käyttää salasanojen säilyttämiseen suunniteltuja ohjelmistoja.

Tietoturva näkyy hinnassa

Monet tämän päivän tietokoneista eivät ole pelkästään tuijotettavia näyttöjä, vaan maailmassamme olevia objekteja, joiden kanssa olemme vuorovaikutuksessa. Jääkaappi on nykyään tietokone, joka pitää ruoat kylmänä. Auto on nykyään tietokone neljällä renkaalla ja moottorilla. Nämä tietokoneet aistivat meitä ja ympäristöämme, ja ne vaikuttavat meihin ja ympäristöömme.

Nämä tietokoneet keskustelevat keskenään verkkojen kautta, ne toimivat itsenäisesti ja niillä on fyysisiä toimintoja. Ne ajavat autojamme, ohjaavat lentokoneitamme ja pitävät käynnissä voimaloitamme. Ne kontrolloivat liikennettä, annostelevat lääkkeitä kehoomme ja lähettävät hätäkeskuspalveluita. Nämä toisiinsa yhteydessä olevat tietokoneen ja ne yhdistävä verkko – mikä tunnetaan yhdessä ”asioiden internetinä” – vaikuttaa maailmaan suoralla fyysisellä tavalla.

Jopa pölynimureita hakkeroidaan

Olemme jo nähneet, kuinka robottipölynimurit on saatu hakkeroitua, sairaaloita sulkevia ja potilaiden hoitoa estäviä kiristysohjelmia ja haittaohjelmia, jotka pystyvät sammuttamaan autoja ja sulkemaan voimalaitoksia. Nämä hyökkäykset tulevat yleistymään ja muuttumaan katastrofaalisemmiksi. Tietokoneiden virheet eroavat suurimmasta osasta muita koneita: ei ole kyse pelkästään siitä, että niihin voi hyökätä etänä, vaan että niihin voidaan hyökätä kaikkiin yhtä aikaa.

On mahdotonta kaapata vanhaa jääkaappia ja istuttaa siihen virusta tai valjastaa sitä palvelunestohyökkäykseen osana bottiverkostoa, eikä internetyhteydetöntä autoa voi hakkeroida ulkoa käsin. Mutta neljällä pyörällä ja moottorilla varustetun tietokoneen – sekä kaikki muut saman merkin ja mallin autot – voi kaapata ja määrätä ajamaan ulos tieltä kaikki yhtä aikaa.

Kun uhkien määrä kasvaa, pitkään voimassa olleet oletuksemme tietoturvasta eivät enää päde. Hyvä esimerkki tästä on tapamme paikata turvallisuushaavoittuvuuksia. Perinteisesti olemme vastanneet loputtomaan tietokonehaavoittuvuuksien tulvaan paikkaamalla säännöllisesti järjestelmiämme käyttämällä päivityksiä, jotka korjaavat tietoturva-aukkoja.

Tämä aiheuttaa ongelmia edullisissa laitteissa, joiden valmistajilla ei ole tietoturvatiimiä ohjelmoimassa päivityksiä: jos haluat päivittää DVR- tai webbikameralaitteistosi tietoturva-asioiden vuoksi, sinun täytyy heittää entiset pois ja hankkia uudet. Paikkauspäivitykset ovat ongelmallisia myös kalliimmissa laitteissa ja ne voivat olla myös melko vaarallisia. Emme voi sallia haavoittuvuuksia sisältäviä autoja kaduille ja moottoriteille juuri ennen uuden tietoturvapäivityksen ohjelmoimista, testaamista ja jakelua.

Toimitusketjujen turvallisuus

Toimitusketjujen turvallisuus

Toinen ongelmallinen lähtökohta on toimitusketjujemme turvallisuus. Olemme alkaneet nähdä poliittisia taisteluita hallitusten asettamien haavoittuvuuksien suhteen tietokoneissa ja ohjelmistoissa, jotka tulevat Venäjältä tai Kiinasta. Mutta toimitusketjun tietoturva on paljon muutakin kuin epäiltävän yrityksen sijainti: meidän täytyy miettiä missä mikrosirut on valmistettu, missä ohjelmisto on kirjoitettu, ketä ohjelmoijat ovat ja paljon muuta.

Vuonna 2018 Bloomberg raportoi, että Kiina on asentanut salakuuntelusiruja Applen ja Amazonin kaltaisille amerikkalaisille yrityksille toimitettuihin komponentteihin. Kaikki teknologiayritykset kiistivät tämän raportin oikeellisuuden, mikä kuvaa ongelmaa mainiosti. Jokaiseen tietokoneen valmistukseen osallistuvaan täytyy voida luottaa, koska kuka tahansa heistä voi heikentää tietoturvaa. Kun tietokoneet ovat mukana kaikessa ja myös kansallisen turvallisuuden sovelluksissa, toimitusketjun korruption mahdollisuutta ei voi jättää huomioimatta.

Tarvitsemme standardit, jotka varmistavat, että turvattomien tuotteiden käyttäminen ei vahingoita muita. Meidän on hyväksyttävä, että internet on maailmanlaajuinen ja säännökset ovat paikallisia, minkä vuoksi ne on suunniteltava tätä ajatellen. Näiden standardien on sisällettävä täsmällisiä sääntöjä vähimmäisturvallisuutta varten. Kaliforniassa säädettiin asioiden internetiä koskeva laki, joka kieltää oletussalasanojen käyttäminen. Tämä on vain yksi useista paikattavista tietoturva-aukoista, mutta hyvä alku.

On luotava ylemmän tason käytännöt, jotka varmistavat turvallisuuden olevan kaiken muun yläpuolella. Internetiä käytetään maailmanlaajuisesti kaikkien toimesta, ja tekemämme parannukset tietoturvaan hankaloittavat rikollisten, terroristien ja pahantahtoisten hallitusten toimia. Tässä ei ole vaihtoehtoja, tietokoneiden valmistaminen vähemmän haavoittuvaisiksi on paljon parempi vaihtoehto kuin mahdollisesti hyödynnettävissä olevien haavoittuvuuksien jättäminen laitteisiin.

Sääntelyä tarvitaan välttämättä. Valinta ei ole enää hallinnollisen sääntelyn ja sen puuttumisen välillä, vaan fiksun hallinnollisen sääntelyn ja kehnon hallinnollisen sääntelyn välillä. Hallinnollista sääntelyä ei tarvitse pelätä. Se ei jäykennä innovointia, vaan pikemminkin järkevästi muodostettu sääntely synnyttää innovaatioita luomalla markkinat turvalliselle teknologialle.

 

Comments are closed.