15.12.2016
Tuntuuko siltä, että olet hyvin suojautunut erilaisilta tietoturvauhilta niin työpaikalla kuin kotonasi? On varmaa, että olet tavalla tai toisella joutunut pohtimaan tietoturvakysymyksiä digitaalisten palvelujen aikakaudella. Digitaaliset palvelut levittäytyvät kaikille elinkeinoelämän aloille palvelujen tuottamisesta aina teollisuuden tarpeisiin ja niihin kytkeytyy hyvin monisyisiä tietoturvakysymyksiä. Viime päivien tietoturvauhkia ovat olleet esimerkiksi:
Palvelunestohyökkäys pysäyttää yrityksen toiminnan samantapaisesti kuin jos yrityksen sisäänkäynnin eteen kipattaisiin kaksi kuorma-autollista sepeliä – paitsi tämä tapahtuu digitaalisesti. Sorakuorman hinta on runsas 500 €, mutta palvelunestohyökkäys maksaa tilattuna reilut puolet tästä. Ilkeämielinen kilpailija tai rikollinen tekee pikkurahalla paljon pahaa.
Haittaohjelmien peruskauraa on jo kahden kymmenen vuoden ajan ollut Microsoft Office -ohjelmistoperheen makrovirukset. Uusi ja paljon merkittävämpi uhka on kiristysohjelmat, jotka lukitsevat tietokoneen salakirjoittamalla koko levyjärjestelmän. Etenkin terveydenhuollon sektorilla on jo esiintynyt ihmishenkeä uhkaavia tilanteita. Kuten palvelunestohyökkäyksetkin, saa kiristyshaittaohjelmiakin ostettua palveluna. Tilaajalla ei tarvitse olla teknisiä taitoja - pelkkä luottokortti riittää.
Sosiaalinen urkinta, ns. social engineering, on myös yhä kasvava uhka. Ensimmäinen esimerkki on työnhakijaksi naamioitunut rikollinen, joka lähestyy aulahenkilöstöä pyytäen tulostamaan uuden CV:n USB-tikulta, kun kahvi oli juuri kaatunut tulosteen päälle. USB-tikku päätyy huomaamatta yrityksen tuotantoverkkoon.
Toisena sosiaalisen urkinnan esimerkkinä rikollinen vain toimittaa haittaohjelman sisältävän USB-tikun organisaation tiloihin Toimiston tai hissin lattialta löytynyt USB-tikku päätyy hyvin suurella todennäköisyydellä yrityksen tuotantoverkkoon kytkettyyn tietokoneeseen. Työntekijän vilpitön halu auttaa kollegaa löytämään kadonneen muistitikun saattaakin vaarantaa koko yrityksen toiminnan.
Näppäimistöä matkiva muistitikun näköinen laite kelpaa suoraan kaikkiin pc-koneisiin ilman ajureita ja mahdollistaa näppäimistökomentojen suorittamisen käyttäjän havaitsematta mitään.
Kyberrikollisuuden kynnys alenee jatkuvasti ja riski joutua uhriksi kasvaa eksponentiaalisesti. Rikolliseen toimintaan myydään edullisia palveluita ja niiden ostaminen on tehty helpoksi. Tilaajan on helppoa pysyä piilossa, sillä ulkoistettu palvelu on yleensä tarjolla maissa, joissa kyberrikollisuutta ei ole kriminalisoitu. Kyberrikollisuus on siirtynyt teinipoikien typeristä harrastuksista ammattirikollisten käsiin.
Tietoturvauhkiin voi varautua. Helsinki Business College Oy on mukana Interreg Central Baltic -ohjelman projektissa ITSVET (ICT Security in VET), jossa projektin tavoitteena on kehittää tietoturva-alan koulutusmoduuli, jonka kesto on noin 6 kk. Projektin aluksi on tehty tutkimus yrityksen tietoturvan kehittämistarpeista, jonka pohjalta määritetään tiedot, taidot ja kompetenssit tietoturvaosaajalle. Tämän jälkeen tuotetaan koulutusmateriaalit ja valmennetaan kouluttajat. Lopuksi hanke testataan jokaisen partnerin toimesta tehtävällä pilotilla. Koulutusmoduuli sijoittuu EQF -tasolla (European Qualification framework) luokkaan 5. Tietoturva-ammattilaisten kysyntä on vahvassa kasvussa digitalisaation myötä, samoin koulutussisällöt päivittyvät digitalisaation nopean kehittymisen mukaisiksi.
Hanke on kolmivuotinen ja se päättyy keväällä 2019. Projektin koordinaattorina on Tietotekniikan koulutuksen kehittämissäätiö Tallinnasta (The Technology Education Support Foundation) ja projektissa on mukana kaikkiaan kuusi partneria Virosta, Latviasta ja Suomesta.
Hankkeeseen voi tutustua tarkemmin hankkeen verkkosivuilla: itsvet-project.eu
Jouni Hytönen
Kehittämispäällikkö, Helsinki Business College Oy
