Yhden näppäimen painaminen nettisivulla kostautui vuosien jälkeen: ”Kohtuutonta”

Oman tulevaisuutensa tietoturva-alalla voi pilata äärimmäisen helposti. Joskus armoa kuitenkin annetaan.

27.2.2017 7:32

Pienikin ja myöhemmin itseltään jo miltei unohtunut hairahdus tietoturvan kaidalta polulta voi myöhemmin lyödä vasten kasvoja. Tietoturva-alan rautainen ammattilainen ja nykyään antivirusyhtiö F-Securen tietoturvallisuusjohtaja Erka Koivunen kertoo eräästä ääritapauksesta.

– Oli henkilö, joka oli monta vuotta sitten osallistunut haktivistiseen protestiin erästä valtiota vastaan. Hän oli yksinkertaisesti mennyt valtion verkkosivulle ja painanut F5-näppäintä sivun päivittämiseksi, Koivunen muistaa.

Kyseessä on helpoin kuviteltavissa oleva tapa aiheuttaa turhaa liikennettä verkkosivuille – siis tapa osallistua palvelunestohyökkäykseen. Mutta valtio otti talteen jokaisen vierailijan yksilöivän ip-osoitteen ja myös tämä henkilö joutui lopulta poliisin esitutkintaan Suomessa.

– Aikuistuttuaan loppuseuraamus hänelle oli, että tietotekniikka-alalla jotkut hänen asiakkaistaan edellyttivät turvallisuusselvitystä ja hänellä selvitykset eivät menneet läpi tämän merkinnän takia. Väittäisin, että jos tällainen teko vuosikausia myöhemmin vaarantaa työllisyyden, niin kyllä se alkaa olla kohtuutonta.

Vääriä idoleita

Ajatus siitä, että laiton hakkerointi voi toimia tienä tietoturva-alalle, saattaa yhä elää, kiitos maailmankuulun kybergurun Kevin Mitnickin, joka aloitti uransa murtautumalla tietoverkkoihin ja istumalla sen jälkeen vankilassa. Nyt hän on arvostettu puhuja ja tietoturvakonsultti.

– Kyllä hänkin varmasti itseään tekosillaan jarrutti – mutta totta kai, koskaan ei ole myöhäistä parantaa tapojaan. Tosin oman maineen palauttaminen on kovan työn takana, kun sen kerran on menettänyt. Luottamuksen rakentaminen vaatii vuosien työn ja sen menettäminen vie minuutteja, pohtii Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki.

Myös F-Securen Koivunen tuomitsee näkemyksen, että rikokset toimisivat taidonnäytteenä osaamisesta. Hän huomauttaa, että Mitnick on rötöksillään sulkenut monia ovia edestään, eikä voi esimerkiksi päästä kansallisen turvallisuuden tehtäviin Yhdysvalloissa.

– Kyllä sillä tavalla tehokkaasti sulkee laillisia mahdollisuuksia ansaita elinkeinonsa tietoturvan tai tietotekniikan parissa.

Koivunen myös nostaa esille tapaus Lauri Loven, jossa suomalaismiestä syytetään merkittävien tietojärjestelmien murtamisesta Yhdysvalloissa. Koivusen mukaan Love on perustellut toimiaan sanomalla, että kuka tahansa tietoturvasta kiinnostunut tulee vahingossa rikkoneeksi lakia taitojaan kartuttaessa.

– Olen jyrkästi eri mieltä.

"Ei se kenellekään ansioksi ole"

Valtionalainen Viestintävirasto on erittäin tarkka siitä, ketä palkataan tietoturvatehtäviin. Virastoon kuuluva Kyberturvallisuuskeskus on Suomen ykkösnyrkki kyberuhkien seurannassa ja niihin varautumisessa.

– Oman tulevaisuutensa pilaaminen on valitettavan helppoa, Kyberturvallisuuskeskuksen Saarimäki varoittaa.

– Meillä tehdään kaikkiin tehtäviin turvallisuusselvitys. Ja jos jotain tällaista taustaa ilmenee, niin ei se kenellekään ansioksi ole valintavaiheessa.

Viestintäviraston äskettäisessä Twitter-viestissä sanottiin, että "törttöilemällä ei pääse koviin hommiin". Saarimäki vertaa tilannetta siihen, että vartijaksi palkattaisiin murroista tuomittu henkilö. Luottamus ihmiseen on avainasemassa, koska virastossa käsitellään arkaluonteisia tietoja.

Erka Koivusen mukaan F-Securessa harkitaan tapauskohtaisesti, onko palkattavan tausta este töihin ottamiselle vai ei. Mutta tietoturva-aiheinen rikostuomio tarkoittaa, että "silloin henkilö on kyllä heikoilla". Etenkin, jos kyse on viruksista.

– Meillä on periaatteena, että virusten kirjoittajia emme halua. Jos jäät kiinni haittaohjelmien jakelusta ja tehtailusta, niin se taistelee etiikkaamme ja asiakkaille antamaamme arvolupausta vastaan, Koivunen sanoo.

Hairahtanutta harkitaan joskus

Tietoturvatalo Nixussa pelin henki on selvä.

– Niin sanotusti väärälle puolelle eksyneiden kohdalla olemme varsin tiukkoja. Etiikka on meille tärkeää. Palkattavan pelkän osaamisen lisäksi meidän on tiedettävä, mihin hän sitä osaamistaan käyttää, Nixun henkilöstöjohtaja Katja Müller tiivistää.

Nixu tarjoaa tietoturvakonsultoinnin palveluja yrityksille ja muille organisaatioille. Tapansa parantanutkin tietoturvan moniosaaja voi kompastua vanhoihin virheisiinsä siinä vaiheessa, kun Nixu teettää Suojelupoliisilla asiakkaiden edellyttämät turvaselvitykset henkilön taustoista.

– Turvaselvityksen reputtaminen on ihan konkreettinen työnteon este. Mutta jos nuoruuden töppäilyistä on jo tosi paljon aikaa ja sen jälkeen on todistanut olevansa lain oikealla puolella, niin silloin voimme harkita häntä. Mutta vaikeaa se silti on, Müller painottaa.

"10-vuotiaatkin tekevät oikein"

Jopa Viestintävirastossa ymmärretään, että lapsena saattaa tehdä virheitä. Saarimäen mukaan esimerkiksi tietokoneelle joskus asennettu ohjelma palvelunestohyökkäykseen osallistumiseksi ei välttämättä leimaa henkilön koko loppuelämää.

– Mutta ei se työllistymistä helpota, koska meilläkin on valtava määrä hakijoita, joilla taustat ovat kunnossa. Nytkin on jo 10-vuotiaita, jotka raportoivat haavoittuvuuksista oikein, Saarimäki viittaa Jani-poikaan, joka löysi Instagramista tietoturva-aukon.

Nixun Katja Müller muistuttaakin nuoria kasvavista vaihtoehdoista osoittaa taitonsa laillisesti.

– On olemassa esimerkiksi bug bounty -palkkio-ohjelmia, Müller sanoo viitaten monien suurten yritysten käytäntöön maksaa hakkereille heidän vastuullisesti esiintuomistaan tietoturvavirheistä yritysten tuotteissa.

– Vastaavia tapoja on internet pullollaan, eli mainetta ja kunniaa voi kerätä ihan laillisinkin keinoin, Müller kannustaa.

Osion tuoreimmat

Luitko jo nämä?