Ammattihakkerit Laura Kankaala, Iiro Uusitalo ja Benjamin Särkkä tähdittävät Ylen Team Whack – kaikki on hakkeroitavissa -tv-sarjaa, jonka toinen tuotantokausi ilmestyi keväällä. Kun kamera ei käy, kolmikko parantaa päivätöissään yritysten tietoturvaa.
”Kaikista hauskinta oli varmaan Pelaajat.com-yrityksen striimin hakkeroiminen”, Laura Kankaala muistelee. Pelaajat.com-jaksossa Team Whack keskeyttää jyväskyläläisen e-urheiluyrityksen pelistriimin ja korvaa sen omalla striimillään, jossa käynnissä on miinaharavapeli. ”Onks nää ne Ylen hakkerityypit?” yksi pelin katsojista aavistaa.
Pelaajat.comin lähetys saadaan keskeytettyä verkkoimplantilla, jonka on etukäteen yrityksen tiloihin käynyt asentamassa kiinteistöpäälliköksi tekeytynyt Iiro Uusitalo. ”Kaikenlaisia hienoja phishing yrityksiä voidaan tehdä, mutta taas kerran tehokkaimmaksi keinoksi osoittautui vanha kunnon huoltomies”, Benjamin Särkkä kommentoi jaksossa.
Muissa Team Whack -jaksoissa Kankaala, Uusitalo ja Särkkä muun muassa kaappaavat ostoskeskuskävijöiden puhelimia, ottavat haltuunsa droneja ja murtautuvat Lähivakuutus-vakuutusyhtiöön.
Tv-sarjassa hakkerointi näyttää helpolta ja nopealta, mutta on hakkereiden mukaan kaikkea muuta. ”Epäonnistumisia oli paljon, ja onnistumisten eteen nähtiin tuhottomasti vaivaa”, Uusitalo summaa. Sarjan tarkoitus on auttaa katsojia ymmärtämään tietoturvariskejä paremmin, ja jokaisessa jaksossa muistutetaan, ettei hakkerointia sovi harjoittaa ilman kohteen lupaa.
Kuuntele podcast: Kybervaara vaanii kotikonttorilla
Hyökkäys on paras puolustus
Tavallisessa arjessaan Kankaala, Uusitalo ja Särkkä hakkeroivat omien työnantajiensa ja muiden yrityksien yritysten järjestelmiä, eli he harjoittavat niin kutsuttua hyökkäävää tietoturvaa, jossa pyritään havaitsemaan oman yrityksen heikkoudet ennen todellista hyökkääjää.
Kankaala työskentelee Security Leadinä Robocorp-ohjelmistoyrityksessä, Uusitalo tietoturva-asiantuntijana Fraktal Oy:ssä ja Särkkä Cyber Intelligence Analytics -yksikön vetäjänä Nordealla. Kaikki kolme ovat lisäksi aktiivisia valkohattuhakkeriyhteisöissä ja puhuvat tietoturva-aiheista yrityksissä.
”Puolustava tietoturva on hyökkäyksien torjumista, kun taas hyökkäävässä tietoturvassa testataan oman yrityksen tietoturvan taso ennalta. Kun omat heikkoudet ovat tiedossa, ikävät yllätykset on helpompi välttää”, Uusitalo selventää.
”Puolustava tietoturva on hyökkäyksien torjumista, kun taas hyökkäävässä tietoturvassa testataan yrityksen tietoturvan taso ennalta."
Särkän mukaan yritykset ovat vasta viimeisen kymmenen vuoden aikana heränneet oman tietoturvatasonsa testaamiseen, kun aikaisemmin fokus on ollut vain ulkopuolelta tulevien hyökkäysten torjumisessa. Kankaala yhtyy näkemykseen: ”Yritykset osaavat nykyään vaatia konkretiaa ja testaamista, mikä on realistisen uhkakuvan muodostamisen kannalta tärkeää.”
Yrityksissä on valtavasti haavoittuvuuksia, mutta suurimmasta osasta ei aiheudu haittaa
Riskien realistinen arviointi onkin yrityksen tietoturvan kannalta oleellista. Särkän mukaan haavoittuvuuksista ei pääse koskaan kokonaan eroon: ”Erään lausahduksen mukaan täysin tietoturvallinen läppäri on sellainen, joka pois päältä ja meren pohjaan upotettuun kassakaappiin lukittu. Internetiin kytkettyihin laitteisiin liittyy aina tietoturvariski.”
Suurin osa riskeistä ei kuitenkaan todennäköisesti koskaan realisoidu. Särkkä muistuttaa, että verkkorikollisia motivoi yleensä helppo raha. ”Jos tietoturvamurto on vaikea toteuttaa ja mahdollinen voitto on pieni, yritys voi olla melko rauhallisin mielin.”
Team Whackin televisiossa toteuttamat murrot, joissa hakkeroimiseen käytetään viikkoja ja palkintona on vain hyvät naurut, ovat siis rikollisten keskuudessa harvinaisia.
Särkkä lisää, että tietomurrosta mahdollisesti aiheutuvien vahinkojen suuruutta kannattaa niin ikään arvioida. Hänen mukaansa esimerkiksi sisäisen hakkeritoiminnan avulla löytyneitä aukkoja ei aina kannata korjata, jos korjaamiseen menisi resursseja enemmän kuin mitä onnistuneessa hyökkäyksessä voitaisiin menettää.
Tietoturva on tilannekohtaista
Tietoturvariskien minimoimiseen ei hakkereiden mukaan ole yhtä oikeaa kaavaa. ”Tietoturvan rakentamisessa täytyy lähteä liikkeelle yrityksen omasta liiketoiminnasta. Yksittäisiä ratkaisuja ei kannata lähteä tuosta vain shoppailemaan”, Kankaala neuvoo. Hänen mukaansa pilvipalvelut voidaan usein rakentaa erittäin tietoturvallisiksi käyttää, mutta esimerkiksi tehdastuotannossa tuotantolinjaston siirtäminen pilveen ei yleensä ole mahdollista. Tällöin tietoturva on toteutettava näiden reunaehtojen mukaan.
Särkkä on huolissaan siitä, että yritykset luulevat välillä ulkoistavansa tietoturvansa pilvipalveluiden tarjoajalle ottaessaan pilven käyttöön. ”Jos omat ongelmat siirtää pilveen, eivät ne siellä lakkaa yhtäkkiä olemasta.”
”Tietoturvahyökkäys huomataan keskimäärin puoli vuotta jälkikäteen, joten ei siinä vaiheessa ole mitään syytä ruveta hötkyilemään."
Uusitalo on samoilla linjoilla: ”Kaikkea voi käyttää väärin. Esimerkiksi joku auto voi olla todella turvallinen, mutta jos sitä ajaa silmät kiinni, niin pahaa jälkeä tulee.” Pilvipalveluiden käyttöönotto tulisi siis tehdä asiantuntijajohtoisesti ja hallitusti, jotta siitä saadaan tietoturvahyödyt.
Tietoturva petti, mitä teen?
”Ensimmäiseksi kannattaa ottaa käteen lasi kylmää maitoa ja toiseen pulla. Sitten voi soittaa tietoturvapalvelua tarjoavalle yritykselle ja pyytää sieltä toimintaohjeita”, Uusitalo neuvoo.
Särkkä opastaa samalla tavalla: ”Tietoturvahyökkäys huomataan keskimäärin puoli vuotta jälkikäteen, joten ei siinä vaiheessa ole mitään syytä ruveta hötkyilemään. Paniikissa tehdyt korjaustoimenpiteet voivat aiheuttaa jopa suurempaa vahinkoa kuin itse hyökkäys.”
Verkkorikollisuuden uhriksi joutuminen aiheuttaa usein nolostumista ja hätää, mutta tähän ei ole Särkän mukaan syytä. ”Kyberhyökkäyksiä tapahtuu koko ajan, ja useimmiten niistä selvitään. Uhrin ei kannata tuntea syyllisyyttä.” Tärkeää on, että hyökkäyksestä toivutaan asiantuntijajohtoisesti ja mielellään ennalta laaditun suunnitelman mukaan.
Kankaala lisää, että peloissaan olevia ihmisiä on usein helppo narrata. Hän kertoo esimerkin Yhdysvalloissa kiertäneestä kiristysviestistä, jossa verkkorikolliset uhkasivat tartuttaa koronaviruksen uhriin ja hänen läheisiinsä, ellei uhri maksa kiristäjälle vaadittua summaa. Rikolliset onnistuivat keräämään näin rahaa, vaikka uhkaus olisi ollut mahdoton toteuttaa. ”Verkkorikolliset käyttävät hyväkseen ihmisten pelkoa. Meidän tietoturvan asiantuntijoiden tehtävä on hälventää pelkoja jakamalla avoimesti tietoa.”
Teksti: Satu Ekman