Kolme ennustetta tietoturvasta vuodelle 2016, jotka yrityksesi on hyvä tietää

Erka Koivusen ennusteita kyberturvallisuudesta vuodelle 2016.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 31, 2016
Lukuaika: 4 Minuuttia

Tämä kuuluu artikkelisarjaan, jossa tietoturvan asiantuntijat kertovat, mitä he odottavat tapahtuvan vuonna 2016.

F-Securen kyberturvallisuusneuvonantaja Erka Koivunen on erikoistunut tutkimaan, miten julkishallinto ja yritykset voivat pitää datan turvassa ja suojassa. Erkan mukaan yritysten on syytä alkaa valmistautua lainsäädännön uudistuksiin ja poliittisen tason vääntöön krypton tulevaisuudesta. Samanaikaisesti näemme että organisaatioiden tietoturvaheikkouksiin iskevät hyökkäykset jatkuvat ja kylvävät tuhoa.

Heti alkuun osastoon, joka voi nostaa verenpainetta. Viranomaiset ja lainlaatijat vaativat yksityistä sektoria pitämään entistä tarkemmin huolta asiakkaiden yksityisyydestä. Silti samat tahot vaativat yhä syvällekäyvempää pääsyä samoihin tietoihin. Tämä on lainsäätäjän ironiaa ja paradoksi, joka on vain parasta hyväksyä. Parasta vain valmistautua kasvaviin viranomaisvaatimuksiin, vaikka ne ovatkin joskus ristiriitaisia.

”Muutokset tiedustelun lainsäädäntöön tulevat olemaan hallitseva tietoturvan haaste vuonna 2016.”

Viestintää päästä päähän suojaavan salakirjoituksen tulevaisuus on kuuma aihe tällä hetkellä. Jotkut valtiot nimittäin painostavat yrityksiä kehittämään ratkaisuja, jotka mahdollistavat viranomaisten pääsyn luottamukselliseen viestintään salauksesta riippumatta. Kyse ei ole siitä, pitäisikö salaustekniikoiden käyttö kieltää, vaan pikemminkin siitä, pitäisikö kaupallisiin tuotteisiin sisällyttää takaportteja viranomaisille.

Jos esimerkiksi Yhdysvaltojen ja Britannian hallitukset saavat tahtonsa läpi, jotkut yritykset voivat joutua muokkaamaan liiketoimintamallejaan niin, että viranomaiset pääsevät käsiksi vaatimaansa tietoon. IMessage, Signal ja Whatsapp ovat tavanomaisia esimerkkejä viestintäsovelluksista, jotka ovat ” turvallisempia kuin käyttäjän omaksi parhaaksi olisi suotavaaa”. Toisaalta Facebook Messenger ja Twitter Direct Messages ovat vaatimusten mukaisia jo sellaisina kuin ne on alun perin suunniteltu.

Joukko maailman suurimpia teknologiayhtiöitä, mukaan lukien Apple, ilmoittaa vastustavansa ajatusta, että salauksen heikennykset palvelisivat yleistä etua. Paraikaa Apple ja Yhdysvaltain oikeushallinto ovat ajautuneet poikkeuksellisen julkiseen riitaan, jonka kiistakapulana on juuri takaportit. Maailman tunnetuimmat kryptografian tutkijat, ovat samaa mieltä. He myös muistuttavat 1990-luvun niin sanotuista kryptosodista.

Yhdysvaltain kauppa- ja kilpailuviranomaisen hallituksen puheenjohtaja Edith Ramirez totesi taannoin, että yletöntä käyttäjien henkilötietojen rohmuamista tulisi välttää. Viitaten yleistyneisiin tietovuotoihin hän totesi, että dataa, jota ei ole alun perinkään kerätty, ei voida tietomurtojen yhteydessä myöskään varastaa. Samalla tavalla takaportitettusalaus on uhka yrityksille. Mikäli yrityksillä on takaportin kautta pääsy järjestelmiensä kautta kulkevaan dataan, ne joutuisivat tahtomataan käsittelemään ihmisten henkilötietoja ja viestisisältöjä. Tästä seuraa merkittäviä vastuita ja vastuu maksaa. Yritysten hartiat eivät ole tarpeeksi leveät kasvavien vastuiden kantamiseen, kun muistetaan tietomurtojen määrän ja vakavuuden kasvu viime aikoina.

”Salauksen heikentäminen lain määräyksillä altistaa ihmiset useammille uhkille kuin miltä se suojelee. Tällainen lainsäädäntö uhraa ja tekee tyhjiksi monia sellaisia turvatoimia, joita pidämme itsestään selvinä tarjoamatta silti konkreettisia hyötyjä”, Erkka Koivunen sanoo.  Merkittävät tiedustelupalvelut vaativat, että niille tarjotaan massamääräinen pääsy yksityiseen tietoon ja tietoliikenteeseen, ei siis tarkasti rajattua pääsyä. Tämäkään ei kuulosta houkuttelevalta.  Yritykset haluavat tarjota päästä päähän kryptauksen, koska se suojaa heidät, heidän kumppaninsa ja heidän asiakkaansa.  Jos yhdelle hallituksella avataan takaportti, ennen pitkää vieraat tiedustelupalvelut, sabotöörit ja rikolliset keplottelevat itsensä läpi. Tämä väittely jatkuu kiivaana vuonna 2016.

”EU:n lainsäädännön velvoittama tietoturvaloukkausten ilmoitusvelvollisuus muuttaa kyberturvallisuuden vastuuasetelmia.”

Samalla kun viranomaiset vaativat yrityksiltä takaportteja, ne myös herättelevät yrityksiä tiedostamaan, että ne ovat yhä enemmän hyökkäysten kohteita. Tämä voi kuulostaa ristiriitaiselta kunnes huomataan, että valtiot puhuvat usealla suulla.

Eurooppalaiset tietoturvaviranomaiset ovat olleet huolissaan siitä, että tietoturvaloukkausten vahingot jäävät aivan liian usein yksittäisten loppukäyttäjien kannettavaksi. Huolet ovat muuttuneet EU:ssa lainsäädännöksi (etenkin tietosuoja-asetus sekä nk. NIS-direktiivi. Nämä linjaavat kyberturvallisuuden suuntaviivat Euroopassa toimiville yrityksille.

Taloudelliset rangaistukset tullaan standardoimaan, ja tietoturvatapahtumista ilmoittaminen tulee pakolliseksi. Lepsuilu tietoturvassa tehdään siis vaikeaksi. Tiedon turvaamisesta tulee entistä tärkeämpää.

”Tiedonkäsittelyn arvoketjun lenkkeinä olevien yritysten liiketoiminnan kulut kasvavat. Lisäys on kuitenkin vai pisara meressä siihen verrattuna, mitä tapahtuisi, jos yritykset eivät noudattaisi lakia”, Koivunen sanoo. Kun lasketaan yhteen mahdolliset sakot, menetykset liiketoiminnassa ja yrityksen maineessa, ja muut kulut, on jokseenkin selvää, että yritysten pitää ottaa tietoturva tosissaan. Yritysten on yksinkertaisesti alettava sopeutumaan vuoden 2016 todellisuuteen.

”Hallituksilla ei ole ironian tajua.”

Viranomaiset haluavat että yritykset ottavat tietojen suojaamisen vakavasti – paitsi paitsi silloin kun ne itse vaativat pääsyä samoihin tietoihin.

Yhdysvallat, Britannia ja Ranska ovat vain muutamia esimerkkejä maista, jotka haluavat ajantasaisen pääsyn kaikkien luottamukselliseen viestintään, henkilötietoihin ja asiakasrekistereihin.  Samaan aikaan nämä maat vaativat EU:ssa palveluntarjoajia ottamaan vastuun ja pidättäytymään kriittisten datakeskittymien synnyttämisestä – ”Privacy by Default”.

Viranomaiset vaativat yrityksiä kehittämään tietoturvaa, jota verkkorikolliset ja vieraat valtiot aiheuttavat.  Samaan aikaan maiden omat tiedusteluviranomaiset hakkeroivat yritysten järjestelmiin tai pakottavat yrityksiä avaamaan takaportteja poliisin ja tiedustelun tarpeisiin.

”Valtioilla ei ole ironian tajua”, koivunen sanoo. ”Niillä on hallinnonaloja.”

Vaatimuksia ei punnita toisiaan vasten, koska siilomainen vastuunkanto ei sovellu punnitsemaan keskenään ristiriitaisia tarpeita, joita enenevässä määrin syntyy kyberturvallisuuden alalla ja lisääntyvän digitalisaation johdosta.

”Jos hallinnon virkamiehet näkisivät metsän puilta, he huomaisivat vaatimustensa kaksijakoisuuden”, Koivunen toteaa CERT-FI:ssä hankkimansa omakohtaisen kokemuksen syvällä rintaäänellä. Viranomaisten mandaatit jakautuvat hallinnonaloihin, ”alaisiin virastoihin” ja osastoihin, joissa tieto ja toimeksiannot kulkevat vain vertikaalisesti. Tietosuojaväki hädin tuskin puhuu tiedusteluihmisten kanssa. Viestinnän sääntelystä vastaavien on vaikea kuvitella, mitä oikeushallinto seuraavaksi keksiikään.

Ristiriita jää huomaamatta, jos oman hallinnonalan tehtävä on ratkaista tietty tarkoin määritelty ongelma eikä mitään muuta. Lakien noudattaminenhan jää muiden, hallintoalamaisten, päänsäryksi.“


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s