Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella

Ohje: Lue alla oleva johdanto ja valitse nimikoimaton tehtävä sen alla olevasta luettelosta. Nimikoi tehtävä eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.

Jarno Limnéll, Klaus Majewski, Mirva Salminen: Kyberturvallisuus

Esipuheen mukaan tämä kirja on tarkoitettu lähinnä yhteiskunnallisille vaikuttajille ja yritysmaailman päättäjille. Kyberturvallisuuden mahdollisuuksen ja uhkien strategisen tason ymmärtäminen ei ole haitaksi tietoturvaopinnoissakaan, ja kirja tarjoaa runsaasti ajatuksia samoista aiheista, joista Tietoturva-arjen kurssilla keskustellaan. Tällaisia ovat suoraan mm. kyberrikolliset ja haktivismi. Kurssilla tehtävän tutkimuksen kannalta mielenkiintoisia ovat ajatukset kyberturvallisuuden kansantajuistamiseksi.

Kirjan II osa strategisempi kuin I, ja näkökulma on paljolti liiketoiminnallinen. Turvallisuus on kuitenkin mukana joka kohdassa ja siksi tämä osa voi olla erityisen hyödyllistä luettavaa niille tietoturvaopiskelijoille, joiden näkemys on toistaiseksi rajoittunut turvaamisen tekniikoihin. Osasta II ei ole tehtäviä ainakaan tällä kerralla.

1. Jarno Pietikäinen (2017-k) Millä tavoin turvallisuus on tunnetta, todellisuutta, sietokykyä ja opittuja malleja?

Turvallisuudessa yhdistyvät tunne, todellisuus, opitut mallit ja sietokyky.

Tunne on henkilökohtainen mielikuva, eikä sitä voi mitata millään kaavioilla. Varsin usein unohdetaan tunteen tärkeys, kun tehdään konkreettisia parannuksia turvallisuuteen. Tunne on myös subjektiivinen eli toinen henkilö voi tuntea itsensä turvalliseksi tilanteessa, jossa toinen tuntee itsensä turvattomaksi.

Todellisuudella tässä tarkoitetaan "kylmiä faktoja" eli miten asiat ovat ympärillämme. Turvallisuus riippuu fyysisestä todellisuudesta ja kollektiivisesta ymmärryksestä, eli miten asiat oikeasti ovat.

Opitut mallit ovat tapoja, prosesseja ja tekniikoita, joilla parannetaan turvallisuutta, esimerkiksi autojen turvavyön käyttö.

Sietokyky on henkistä ja fyysistä, ja sillä mitataan kuinka paljon pystymme sietämään normaalista poikkeavia tilanteita, esimerkiksi sähkökatkos nykyaikana ihmiset ovat sekaisin jo parin tunnin katkosta, kun taas muutama vuosikymmen takaperin niin ei kauheasti työntekoa haitannut, jos sähköt olivat poikki muutamankin päivän. Hyvällä sietokyvyllä pienet tai suuretkaan muutokset normaaliin eivät vaivaa liiaksi.

Kaikkia neljää eri tilaa tarvitsee kehittää, mikäli halutaan nostaa kokonaisturvallisuuden tasoa. Mikäli ei pystytä ymmärtämään ympärillä tapahtuvia muutoksia, on turvallisuuden tunne vääriin oletuksiin perustuva ja näin ollen on mahdotonta vahvistaa sietokykyä ja luoda uusia turvallisuutta parantavia malleja.

2. Joose Sainio (2016-k) "Minun pitää olla kiinnostunut kyberturvallisuudesta, koska se vaikuttaa tapaani elää elämääni." (s. 48) Tiivistä tähän liittyvä 10-kohtainen ohjeisto.

Lyhin mahdollinen tiivistelmä ohjeille olisi, että suurin osa yksilön kyberturvallisuudesta on omien korvien välissä.

1. Varmuuskopiointi: Varmuuskopionti tulee tehdä jollekin ulkoiselle medialle tai pilveen. Se varmistaa että tärkeät tiedot ovat tallessa vaikka laite rikkoontuisi tai hukkuisi.

2-3. Salasanat: Salasanat on ehdottomasti pidettävänä vain omana tietonaan. Mitä helpompi salasana on muistaa sitä heikompi se yleisesti ottaen on. Salasanojen tulisi olla vähintään kahdeksan merkkiä ja niissä tulisi olla numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä. Lisäksi eri palveluissa tulisi käyttää omia salasanojaan ja salasanat tulisi vaihtaa riittävän usein.

4 ja 9. Sähköposti: Jos jokin kuulostaa liian hyvältä, se todennäköisesti on sitä. Sähköposteista ei saa avata epämääräisiä liitetiedostoja tai linkkejä. Sähköpostissa tulevat huijaukset saattavat joskus olla hyvinkin aidon oloisia, joten kannattaa olla hyvin varovainen niiden kanssa.

5. Löydetyt tallennusmediat: Jos löytää jostain esim. muistitikun ei stä kannata laittaa tietokoneeseen, koska se saattaa sisältää viruksia.

6. Älypuhelin: Älypuhelimen suojausta ei tule unohtaa, sillä niissä on usein tärkeitä tietoja.

7. Tietojen jakaminen: Tietoja kannattaa syöttää vain ehdoton minimi määrä ja luottamuksillisten tietojen kanssa tulee olla erityisen varovainen.

8. Ohjelmistopäivitykset: Laitteiden tietoturva paranee huomattavasti, kun eri ohjelmistot pidetään ajantasalla.

10. Terve järki ja valppaus: Kuten sanottu suurin osa kyberturvallisuudesta on omien korvien välissä.

3. Petri Huovinen (2016-k) "Minun pitää olla kiinnostunut kyberturvallisuudesta, koska se vaikuttaa tapaani elää elämääni." (s. 48) Tiivistä kirjoittajien viesti tähän liittyen, muu kuin 10 kohdan ohjeisto ja valtiolllinen taso.

Bittien maailma koskee nykyään kaikkea ja kaikkia, emmekä voi enää irroittautua digitaalisesta maailmasta. Tämä takia ihmisten kannattaisi olla varautuneita mahdollisiin ongelmiin joita esim. kyberhyökkäykset aiheuttavat. Ihmisten ei siis pitäisi sokeasti luottaa siihen, että kaikki järjestelmät toimivat aina tai että kaikki verkosta luettu tieto olisi totta. Esimerkiksi sähkö- ja vesijakelun katkot bittimaailman ongelmien takia ovat tilanteita, joihin voisi hyvinkin varautua etukäteen ja joiden varalle voisi tehdä suunnitelmia. Kyberturvallisuus tai sen puute voivat siis vaikuttaa suoraan jokaisen ihmisen päivittäiseen elämään. Henkilökohtaisen tason kyberturvallisuuden eteen voi tehdä myös paljon. Tietoisuuden lisääminen mahdollisista riskeistä, uhkista ja perusperiaatteiden opiskelu auttaa jo todella paljon. Kun vielä ymmärtää mahdollisten kyberhyökkääjien motiiveja, kuten taloudellisen edun tavoittelun, niin uhriksi joutuminen on aina epätodennäköisempää. Työelämä vaikuttaa myös suuresti kyberturvallisuuteen, esim. etätöissä turvallinen yhteys työpaikan verkkoon on tärkeää.

4. Santeri Taskinen (2016-s) Mitkä ovat kybermaailman "ATTAT"-lainalaisuudet?

Kybermaailmasta voidaan tunnistaa viisi erilaista lainalaisuutta, joihin on helppo muistikaava Aika, Tila, Tunnistamattomuus, Asymmetrisyys ja Tehokkuus on ATTAT-kaava. Näiden ymmärtämättömyys johtaa yleensä epäonnistumiseen tai strategisen edun menettämiseen kybermaailmassa, toisaalta edellä mainitut ovat välttämätön edellytys tehokkaalle ja menestyksekkäälle toiminnalle kybermaailmassa. Ajan hahmottaminen vaikeutuu kybermaailmaan siirryttäessä. Aiemmin kauan kestäneet fyysiset toimenpiteet vievät erittäin vähän aikaa. Toisaalta jokin haittaohjelma saattaa tehdä tuhojaan järjestelmässä vuosikausia kenenkään huomaamatta. Tilan käsite liittyy ajan käsitteeseen kietoutuen, sillä kybermaailmassa ei ole samanlaisia maantieteellisiä etäisyyksiä toimijoiden välissä, kuin reaalimaailmassa. Kaikki on välitöntä ja yhtä tilaa - etäisyyksillä, tilalla, valtiolla tai toimijoilla ei itse asiassa ole enää merkitystäkään. Tunnistamattomuus tarkoittaa tekijän identiteetin paljastumatta jäämistä. Se on myös eräs syy, miksi kybermaalimassa tapahtuu niin paljon pahoja asioita. Asymmetrisyys tarkoittaa, että voimasuhteilla ei ole merkitystä, jos asiantuntijuus ja osaaminen riittävät. Käytännössä yksi toimija voi käyttää toimiaan monia vastaan ilman rajoittamattomia resursseja. Tehokkuus on kybermaailman kantava voima. Sillä voi saada aikaan paljon hyvää ja paljon pahaa. Verkottunut yhteiskunta on kybermaailmansa takia tehokas, mutta toisaalta se mahdollistaa tehokkaat hyökkäykset pahantahtoisille.

5. Marko Lehtonen (2016-s) Miten Sun Tzun (Sunzi) opit sopivat kybermaailmaan?

Sun Tzu kirjoitti tai väitetään kitjoittaneen teoksensa Sodankäynnin taito noin 500 eaa. Kirja sisältää perusajatuksia sotimisen strategiasta. Kirjaa ja sen tekstejä on käytetty ja käytetään edelleen sekä kauppa- että sotakorkeakoulujen opetusmateriaalina. Kyberturvallisuus kirja nostaa Sodankaynnin taito kirjasta esille viisi strategista asiaa, joita käytetään konventionaalisessa sodankäynnissä ja tarkastelee pitävätkö ne edelleen paikkansa uudenmallisessa asymmetrisessä kybersota mailmassa.

1. Psykologinen johtaminen. Psykologinen johtaminen voidaan jakaa omien johtamiseen ja vihollisen kanssa käytävään taisteluun. Aivan kuin tavanomaisessa taistelussa, kybersodassa molemmissa on taustalla ihminen. Kyberin lisääminen ei muuta sitä psykologista toimintaa jota voidaan molemmissa sodan muodoissa käyttää.

2. Oman puolustuksen suunnittelun pitäisi ajaa vihollisen hyökkäyksen todennäköisyyden edelle. On järkevämpää valmistautua kyberhyökkäyksen varalta, kuin käyttää liikaa resursseja hyökkääjän tai hyökkääjien todennäköisen toiminnan miettimiseen. Koska hyökkääjiä voi olla erilaisia, hyökkäyksen kohteet voivat vaihdella. On siis parempi olla valmis ja omata kyky toimia ja palautua.

3. "Kuten vedellä ei ole pysyvää muotoa, ei sodassakaan ole pysyviä olosuhteita" sanoo Sun Tzu. Taistelukentällä, operaatiossa tai minkä tahansa kokoisessa tehtävässä on pystyttävä toimimaan muuttuipa tilanne miten tahansa. Muuttujia on niin paljon, että täydellisinkin suunnitelma todennäköisesti muuttuu ja operaattorin on pystyttävä toimimaan dynaamisesti selvitäkseen. Kybersodassa tilanne on aivan sama. Tietotekniikan puolella on jo totuttu siihen, että mailma muuttuu nopealla tahdilla ja sama koskee puolustautumista. On kyettävä mukautumaan nopeasti ja ennakoitava tulevaa tilaa.

4. Sodankäynnin taito kirjassa puhutaan siitå, että perusasioiden on oltava kunnossa. Kun ne ovat selvät on vankempi pohja, mistä voi toimia ja tehdä muutoksia. Kun kaikki tietävät perusasiat ja toimivat niiden mukaan ollaan jo pitkällä.

5. Tavoitteiden ja reurssien miettiminen. Myös kybersodassa on käytössä jokin määrä resursseja, ne voivat olla esimerkiksi rahaa tai henkilöitä. Strategian kannalta on miettittävä miten ne kannatta käyttää.

Ja lopuksi tärkeä, ellei tärkein Sun Tzun opetus on tunne vihollisessi ja itsesi niin voitat taistelut. Jos tuntee vain toisen osan tai ei mitään todennäköisyys voittaa pienenee.

6. Jarmo Multanen (2017-k) Luvussa "Kybermaailma avaa mahdollisuuksia" ei puhuta paljon uhkista, mutta minkälainen rooli turvallisuudelle annetaan mahdollistajana? (Etsi rivien välistä, ellei riveillä suoraan sanota)

Kirjan kappale “Kybermaailma avaa mahdollisuuksia” käsittelee kyseessä olevia mahdollisuuksia yleisen tason lisäksi tarkemmin liittyen poliittiseen vaikuttamiseen, yritysten toimintatapoihin, sosiaaliseen verkottumiseen sekä hallintoon.

Turvallisuutta voidaan pitää kybermaailman mahdollisuuksien edesauttajana, sillä jos uuden innovaation tai sovelluksen turvallisuutta ei pystytä takaamaan, niin kyseessä oleva innovaatio ei todennäköisesti saa suurta käyttäjämäärää tai tukijoita. Esimerkiksi hallintoa käsittelevässä alaluvussa puhutaan Virossa käytössä olevasta sähköisestä äänestyksestä. Tämänkaltainen äänestystapa ei turvattomana tai haavoittuvana varmasti olisi käytössä, sillä ihmiset pelkäisivät mahdollista vaalisalaisuuden rikkoutumista ja äänestystuloksen manipulointia. Samat pelot liittyvät muuhun poliittiseen vaikuttamiseen varsinkin maissa, joissa sananvapautta on rajoitettu, kuten myös yritysten liikesalaisuuksiin ja innovaatioihin. Yritysten kybermaailman kohdalla mainitut toiminnan tehostaminen sekä uusien toimintamallien luominen on turvattuna kannattavampaa, jolloin yritykset todennäköisesti luovat näitä malleja ja tehostavat toimintaa. Näin ollen voidaan todeta, että turvallisuus mahdollistaa uudet innovaatiot ja niiden käyttöönoton.

Tietynlaisena esimerkkinä kirja tarjoaa Lontoon vuoden 2012 olympialaisten tulospalvelun, joka piti sisällään monipuolisia tietoteknisiä sovelluksia, kuten myInfo, josta urheilija (myös sponsori, järjestäjä jne.) pystyivät tarkastelemaan tietojaan. Vaikka kyseisten palvelun turvallisuudesta oli oltu huolissaan ennen tapahtumaa, niin kaikki toimi hyvin, eikä tietoturvallisuuteen liittyviä ongelmia ilmennyt. Näitä turvallisuus siis tavallaan mahdollisti täysin uudenlaisen ja toimivan tavan seurata olympialaisia, jota varmasti tullaan käyttämään ja kehittämään tulevaisuudessa.

7. Veli-Matti Uski (2017-k), Lauri Haavisto (2017-k) Tiivistä kirjan määritelmät käsitteille uhka, haavoittuvuus, riski ja riskienhallinta.

Uhka: Kirja määrittelee uhkan toimintana, jossa uhkaaja pyrkii vaikuttamaan kohteen toimintaan. Uhkan vakavuuteen vaikuttaa arvio uhkaajan kyvyistä, halukkuudesta, sekä uhatun toiminnan kriittisyydestä. Uhka itsessään ei ole vahingoittava toimi, mutta jos siltä ei suojauduta, niin saatetaan joutua alttiiksi hyökkäykselle. Kaikkia uhkia ei kuitenkaan pysty välttämään ja kirja painottaakin sitä tosiasiaa, että täydellistä turvallisuutta ei pysty saavuttamaan. Tyypillistä uhille on, että hyökkääjä pyrkii saamaan kohteen vakuuttuneksi siitä, että hänellä on syy olla huolissaan. Tähän liittyy usein myös liioittelua negatiiviseen suuntaan.

Haavoittuvuus: Tietotekniikassa haavoittuvuudella viitataan heikkouteen, joka antaa toimijalle mahdollisuuden heikentää järjestelmän toimintavarmuutta. Haavoittuvuus muodostuu, kun järjestelmässä on vika tai heikkous, johon toimijalla on pääsy ja jota toimija voi käyttää hyväkseen. Haavoittuvuuksia vastaan pystyy suojautumaan ensin tunnistamalla ne, jonka jälkeen niitä pystyy korjaamaan tai lieventämään: mitä suurempi sieto- ja palautumiskyky järjestelmällä on, sitä suojatumpi se on hyökkäystä vastaan. Kirjan mukaan suurimmat haavottuvaisuudet löytyvät yhteiskunnan tietojärjestelmistä ja -verkoista, jotka ovat kriittisimpiä informaatioinfrastruktuurin toimimisen kannalta.

Riski: Riski tarkoittaa jonkin negatiivisen tapahtuman tai ongelman todennäköisyyttä. Riski itsessään ei ole hyvä, eikä huono asia. Riskit eroavat uhkista siten, ettei niitä voida torjua ja ne sisältyvät kaikkeen toimintaan. Torjumisen sijaan niihin kannattaakin vain pyrkiä suhtautumaan siten, että pyritään välttämään niitä parhaimman mukaan ja opitaan elämään niiden kanssa. Uhkien todennäköisyys kannattaa laskea, että riski saadaan määritettyä ja siihen varauduttua parhaimman mukaan, ettei yli- tai alilyöntejä tapahdu.

Riskienhallinta: Riskienhallinnan avulla pyritään tunnistamaan ja arvioimaan riskejä sekä valitsemaan, kehittämään ja toteuttamaan vaihtoehtoja riskin käsittelemiseksi organisaatiossa. Riskienhallinta on jatkuva systemaattinen prosessi. Riskienhallinta koostuu suunnittelusta, riskien tunnistamisesta ja analysoinnista, riskien kehittymisen seuraamisesta, uudelleen arvioimisesta, korjaavien toimenpiteiden suorittamisesta, viestinnästä, raportoinnista, dokumentoinnista ja koordinoinnista. Riskienhallinnassa pyritään ottamaan huomioon kaikki mahdolliset riskit ja luomaan toimintatavat niiden välttämiselle ja vahinkojen vaikutusten minimoimiselle.

8. Juho Luoma (2016-k) Sivuilla 131-150 käsitellään terrorismia ja sodankäyntiä. Poimi näistä aiheista nimenomaan kybermaailmaan kuuluvia samanlaisuuksia eroja.

Terrorismi ja sota ovat vaikuttamisen keinoja.

Terrorismissa kyse on ei-valtiollisista järjestöistä, joiden tarkoitus on kauhua (terroria) aiheuttamalla vaikuttaa ihmisten henkiseen tilaan (epävakauttaminen) tai viranomaisten päätöksentekoon (tukeminen tai vastustaminen).

Sota on poliittisen vaikuttamisen väline kahden järjestäytyneen yhteisön välillä. Sodan tarkoituksena on pakottaa toinen osapuoli toimimaan halutulla tavalla.

"Kyber" tarkoittaa tässä edellämainittujenkaltaisia toimintoja viidennessä toiminnan ulottuvuudessa (maa, meri, ilma, avaruus, kyberavaruus).

Kyberterrorismi

Kyberterrorismi ei ole vielä saanut aiheutettua samanlaista terrorivaikutusta, kuin perinteinen terrorismi, sillä terrori vaatii pelon tunteen ihmisessä. Kyberterrorismi ei ole vielä kyennyt aiheuttamaan samanlaista kauhua, kuin ihmisten henkeen ja terveyteen kohdistuvat fyysiset terroriteot. Tämän laita muuttunee tulevaisuudessa, kun terroristit oppivat kaatamaan sähköverkkoja, lamauttamaan kriittisiä järjestelmiä ja uhkaamaan ihmishenkiä verkon välityksellä.

Kybersota

Kybersodankäyntiä ei voi erottaa sodankäynnistä sen enempää kuin maahanlaskujoukkojakaan. Kybersodankäynti on rintamattoman sodan uusin ulottuvuus.

Kybersodankäynnissä valtiovaltajohtoiset toimijat pyrkivät elektronisen sodankäynnin ja kyberhyökkäysten keinoin lamauttamaan vastapuolen toimintakyky. Luontaisia kohteita kybersodankäynnissä ovat siviili-infrastruktuuri (sähkö, vesi, viestiverkot, rahaliikenne) sekä erilaiset johtamisjärjestelmät.

Ongelmalliseksi muodostuu tilanne, jossa valtio käyttää ulkopuolista aktivistijärjestöä välineenään, jolloin voidaan väittää kyseessä olevan terrorismi tai hacktivismi kybersodan sijaan.

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Kehitteillä
Tyyppi Atomi
Luokitus Yhteiskunta
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-maallikko
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r7 < r6 < r5 < r4 | 
Topic revision: r7 - 09 Feb 2017 - 21:41:31 - LauriHaavisto
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback