Hakkerit löysivät Pentagonin järjestelmistä ensimmäisen haavoittuvuuden 13 minuutissa. Yhdysvaltojen puolustusministeriön Hack the Pentagon -hanke käynnistyi vuonna 2016 ja jo ensimmäisessä ohjelmassa haavoittuvuuksia löydettiin lyhyessä ajassa yhteensä 138. Tulokset ylittivät kaikki odotukset – järjestäjät kun olivat odottaneet, että tietoturva-aukkoja havaittaisiin ehkä tusinan verran. Sittemmin haavoittuvuuksia on löytynyt yli 8 000.
Onnistuneen ohjelman taustalta löytyy suomalaisen Mårten Mickosin luotsaama HackerOne-yhtiö, joka pyydettiin Hack the Pentagonin hovihankkijaksi.
”Kun ohjelma päättyi, Pentagon kiitteli hakkereita ja ylisti tuloksia järjestämässään lehdistötilaisuudessa. Ohjelman nuorimpia osallistujia oli teini-ikäinen David Dworken, joka pääsi lehdistötapahtumassa seisomaan puolustusministerin viereen”, Mickos kertoo. ”Tämän jälkeen HackerOne valittiin USA:n puolustusvoimien kahden ison ja jatkuvan tietoturvaohjelman toimittajaksi. Sopimusten kokonaisarvo voi nousta yli 30 miljoonaan dollariin.”
Mickosin mukaan HackerOne on perustamisestaan saakka keskittynyt siihen, miten vapaaehtoiset hakkerit valjastetaan parhaalla mahdollisella tavalla auttamaan yrityksiä ja julkisen sektorin organisaatioita parantamaan tietoturvaansa. ”Kehitimme nopeasti edistyneimmät toimintamallit ja niiden myötä maailman suurimman hakkeriverkoston. Tämä huomattiin myös Pentagonissa.”
Ennakkoluuloton ja rohkea ajattelu tuo tuloksia
Mickosin mielestä tietoturva on Suomessa niin korkealla tasolla, että muut voisivat ottaa meiltä oppia.
”Viestintäviraston Kyberturvallisuuskeskus tekee mallikasta työtä viestintäverkkojen ja -palveluiden toimintavarmuuden ja turvallisuuden varmistamiseksi ja parantamiseksi. Myös kaupallisilla toimijoilla on Suomessa pitkät ja kunniakkaat tietoturvaperinteet.”
”Suomessa voitaisiin kuitenkin ehkä vielä rohkeammin kehittää ja soveltaa uusia ohjelmistokehitysmenetelmiä ja tietoturvainnovaatioita. Vanhat mallit ja teknologiat eivät kerta kaikkiaan taivu nykyiseen toimintaympäristöön, jossa kaikki on kytkettynä verkkoon ja jossa tietoturvan on oltava avainasemassa jo ohjelmistojen suunnitteluvaiheessa.”
”Suomessa voitaisiin ehkä vielä rohkeammin kehittää ja soveltaa uusia ohjelmistokehitysmenetelmiä ja tietoturvainnovaatioita."
Mickos nostaa esille LähiTapiolan esimerkkinä onnistuneesta tietoturvan hallinnasta. Hän toteaa yhtiön olevan hyvä esimerkki siitä, että tietoturva voi olla myönteinen asia, joka vahvistaa yritystä enemmän kuin rasittaa sitä.
”LähiTapiola on lähtenyt kehittämään ja uudistamaan tietoturvaansa ennakkoluulottomasti ja kokonaisvaltaisesti. Yhtiö on luonut tietoturvan kehittämisestä julkisen hankkeen, johon kaikki työntekijät sekä ulkopuoliset hakkerit voivat osallistua. Lopputuloksena on alhaisempi riski joutua tietomurron kohteeksi ja toisaalta myös positiivinen ilmapiiri tietoturva-asioihin liittyen niin sisäisesti kuin ulkoisesti asiakkaiden ja sidosryhmien kanssa.”
LähiTapiola on muun muassa toteuttanut palvelunestohyökkäysharjoituksen Telian kanssa. Harjoituksen tavoitteena oli testata yhtiön verkkopalveluiden valmiutta selviytyä hyökkäyksestä – LähiTapiola haluaa varmistaa palveluiden saatavuuden asiakkaille kaikissa tilanteissa.
”Saumaton yhteistyö päihittää sinnikkäimmätkin hyökkääjät”
Mickos muistuttaa käsittelemään tietoturvaa riskien hallinnan näkökulmasta.
”Riskejä on aina, mutta niitä voi hallita ja pienentää. Avainasemassa ovat pikemminkin ihmiset kuin tuotteet. Tärkein tietoturvaa parantava teko on tietoisuuden lisääminen ja hyvien tietoturvakäytäntöjen soveltaminen läpi organisaation”, Mickos toteaa.
(Artikkeli jatkuu kuvan jälkeen)
Merkittävimmiksi tietoturvauhkiksi Mickos listaa tunnusten ja salasanojen varastamisen, tietojärjestelmien haavoittuvuudet sekä sähköpostitse tapahtuvan tietojenkalastelun ja muut työntekijän auttamishaluun ja hyväuskoisuuteen perustuvat hyökkäykset. ”Kun USA:ssa tutkittiin noin 2 000 tietomurtoa, havaittiin, että kaksi kolmasosaa näistä oli ulkopuolisten ja yksi kolmasosa sisäpiiriläisen tekemiä. Puoleen näistä murroista liittyi rikollinen hakkerointi.”
Mickosin mukaan pilvipalveluiden yleistyminen parantaa tietoturvan tasoa: ”Pilvipalveluiden tarjoajat ovat rakentaneet tehokasta tietoturvaa ja hyviä suojautumiskeinoja. Tietoturvan vaatimukset kuitenkin muuttuvat, koska pilvessä kaikki on kytketty kaikkeen. Yrityksen oma sovellus, joka ehkä aikaisemmin oli piilossa ja suojassa, on nyt esillä ja hyökkäysten ulottuvilla. Pilvipohjaista sovellusta tyypillisesti myös päivitetään paljon useammin, joten uusia haavoittuvuuksia voi livahtaa tuotantokäyttöön milloin tahansa. Tästäkin huolimatta liiketoimintasovellus on enemmän turvassa pilvessä kuin vanhassa ympäristössä, jota ei alun perin ole suunniteltu tietoturvaa huomioiden.”
Mickos muistuttaa, että teknologioiden huiman kehityksen myötä myös tietoturvan uhkakuvat muuttuvat jatkuvasti. ”Sekä valkohattuhakkereiden että tietoturvakonsulttien tulee pysyä ajan tasalla ja ymmärtää uusimmat uhat ja mahdollisuudet.”
”Tietoturvan ei tarvitse olla ikävä aihe. Se voi olla myönteinen aloite, jonka avulla organisaatio muuttuu pelokkaasta uhrista rohkeaksi voittajaksi. Puolustajien saumaton yhteistyö päihittää sinnikkäimmätkin hyökkääjät”, hän päättää.
Teksti: Mari Rihti