Laura on töissä alalla, jolla on hyvät palkat ja valtava pula osaajista – kun Vastaamon tietomurto tuli julki, valkohattuhakkerin puhelin alkoi soida - Työ & raha - Ilta-Sanomat

Laura on töissä alalla, jolla on hyvät palkat ja valtava pula osaajista – kun Vastaamon tietomurto tuli julki, valkohattuhakkerin puhelin alkoi soida

Kyberturvallisuusalalla tarvitaan tuhansia tekijöitä hyväpalkkaisiin hommiin. Hyvishakkeri Laura Kankaala hankki oppinsa Googlesta ja Youtubesta.

Alle kolmikymppinen Laura Kankaala on tietoturva-alan ammattilainen. IT-alalla noin kolmannes on naisia.

30.1. 16:00

Koodaamisesta on pöhisty viime vuodet tulevaisuuden alana ja varmana työllistäjänä. Nyt kuhinaa on myös kyberturvallisuus­alalla.

Siksi valkohattuhakkeri Laura Kankaalan nimi saattaa olla jo tuttu. Lauran ja hänen kollegoidensa ansiosta pahantahtoinen hakkeri ei saa napattua vaikkapa luottokorttisi tietoja nettikaupasta.

Ala on nosteessa, toteaa professori Martti Lehto Jyväskylän yliopiston IT-tiedekunnasta. Hän työskentelee siellä kyberturvallisuuden tutkijana ja opettajana.

– Uusille opiskelijoille sanon, että tällä alalla ei työttömyyttä tunneta, jos vain osaa asiansa.

Kyberturvallisuusala työllistää Suomessa noin 7000 ammattilaista. Tarve olisi kaksi kertaa suurempi. Koko maailmassa on kolmen miljoonan kyberturvaosaajan kokoinen aukko.

– Digimaailma on räjähtänyt ja monimuotoistunut parissakymmenessä vuodessa. Tarvitaan lisää ihmisiä huolehtimaan kyberturvallisuudesta.

Tietoa siirtyy verkkoon koko ajan lisää, yhä pienemmät yritykset hoksaavat, että tietoturva-asiat koskevat niitäkin. Kysyntää siis olisi. Alan osaamisen tarve kävi karulla tavalla ilmi viime syksynä.

Hakkeri, jolla on valkoinen hattu

Lokakuussa uutisoitiin, että Psykoterapiakeskus Vastaamon tietojärjestelmiin oli murtauduttu. Hyökkääjä oli saanut haltuunsa kymmenien tuhansien suomalaisten potilastietoja.

Laura Kankaalan puhelin alkoi soida. Tietovuodon uhriksi joutuneet kaverit, sukulaiset ja tuttavat kyselivät, mitä heidän kannattaisi tehdä.

– Niin ikävä kuin Vastaamo-keissi olikin, se avasi keskustelun siitä, kuinka tärkeä asia tietoturva on kaikille.

Laura osasi neuvoa, koska hän on kyberturvallisuus­alan ammattilainen ja valkohattuhakkeri, siis yksi kybermaailman hyviksistä.

Hakkerointi on tietojärjestelmiin murtautumista, ja hakkerit voi jakaa kolmeen nippuun. Mustahatut ovat rikollisia. Valkohatut haluavat paljastaa tietoturvan lapsuksia ja kehittää sitä. Siksi heitä kutsutaan myös hyvishakkereiksi ja eettisiksi hakkereiksi. Harmaahatut ovat välimaastossa. Heidän motiivinsa ovat hyvät, mutta keinot ehkä laittomia.

 Laura on valkohattuhakkeri eli kybermaailman hyvis.

Valkohattuhakkeriksi voi kutsua esimerkiksi tyyppiä, joka murtautuu tietoturvafirmassa työkseen järjestelmiin kuukausipalkalla, tai ihmistä, joka hakkeroi vaikkapa IT-alan päivätyönsä päälle.

– Valkohattuhakkereita yhdistää etiikka ja moraali siitä, että löydetyistä haavoittuvuuksista kerrotaan eteenpäin niille tahoille, joiden palveluista ne löytyvät. He haluavat, että viat korjataan niin, että rikolliset eivät pysty käyttämään niitä hyväksi, Laura sanoo.

Hyvään tähtäävää hakkerointia tehdään niin rahasta kuin ilmaiseksikin. Yritykset voivat tarjota palkkion valkohatulle, joka onnistuu murtautumaan heidän järjestelmäänsä ja löytää siten sen haavoittuvuuden. On myös freelancer-valkohattuhakkereita, jotka tienaavat tällä elannon.

 Palkasta on varaa neuvotella.

Mutta mitä kyberturvallisuusammattilaiset tienaavat?

– Jos IT-alalla on kohtuulliset ansiot, niin tietoturva-ammattilaisilla on vähän paremmat, Martti Lehto sanoo.

Tietoala ry:n selvityksen mukaan kaksi vuotta sitten keskiarvopalkka IT-alalla oli 4060 euroa kuukaudessa. Kyberturvallisuudessa se on luultavasti enemmän. Palkasta on varaa neuvotella, etenkin jos on kokenut osaaja.

Laura on töissä tietoturvayritys F-Securessa. Työ on esimerkiksi murtotestaamista, eli hän etsii yritysten pyynnöstä niiden tietojärjestelmistä haavoittuvuuksia.

Nuorempana Laurasta oli tulla sairaanhoitaja.

– Aloin työharjoittelussa pohtia, kuinka iso isku potilaille olisi, jos joku pääsisi käsiksi heidän arkaluonteisiin tietoihinsa, jotka kirjattiin digitaalisiin järjestelmiin.

Hoitoala vaihtui tietojenkäsittelyn opintoihin ammattikorkeakoulussa. Sinne veti verikin. Laura oli pienenä tahkonnut videopelejä läpi lapsuudenkodin ensimmäisellä tietokoneella ja ala-asteikään päästyään opetellut itse, miten nettisivuja tehdään.

Mistä lisää osaajia?

Kokemus ja osaaminen painavat paljon kyberturva­rekrytoinnissa – alan tutkinnot ovat sitä paitsi vielä tuore juttu. Tavallista on, että taskussa on jonkin muun IT-alan koulutus, jonka kupeeseen on hankittu sopivaa osaamista opiskelemalla tai tekemällä.

Laura Kankaala on itseoppinut ammattilainen. Hänen ensimmäinen IT-alan työnsä ei ollut hakkerihommia, vaan muun muassa palvelimien ylläpitoa. Tietojenkäsittelyn opintoihin ammattikorkeakoulussa kuului johdantokursseja tietoturvaan, mutta muuten Laura keräsi oppinsa harrastusten ja työn ohessa.

– Eli paljon lukemista, googlettelua, YouTube-videoita ja sitten vain kädet sauhuamaan näppiksellä. Opettelussa auttoi, että ymmärsin jo aika varhaisessa vaiheessa, miten järjestelmät ja tietoverkot toimivat.

Nykyään alalle voi saada virallisenkin koulutuksen. Kyberturvallisuuden maisteriohjelma aloitettiin Jyväskylän yliopistossa vuonna 2015. Siitä tuli Suomen ensimmäinen alan tutkintoon johtava yliopistotason koulutus. Sitä ennen tietoturva-asioita pystyi opiskelemaan korkeakouluissa esimerkiksi sivuaineena tai pieninä opintokokonaisuuksina. Nyt koulutustarjonta on jo runsaampaa.

Jyväskylän maisteriohjelman hakijamäärä on liki tuplaantunut joka vuosi. Viime syksynä 40 aloituspaikkaa haki pari sataa ihmistä. Valmistuneet työskentelevät etenkin kyberturva-alan johto- ja kehittämistehtävissä.

Kaikilla ohjelman opiskelijoilla ei ole aiempia teknisiä opintoja tai turvallisuusalan koulutusta, vaan mukana on humanisteja, yhteiskuntatieteilijöitä, liiketalouden osaajia sekä kulttuurituotantoa ja metsätaloutta opiskelleita. Heidän opintojensa painopiste voi olla kyberturvallisuuden yhteiskunnallisissa kysymyksissä, ja he suorittavat osana opintoja alalla tarvittavat IT-opinnot.

Alan työpaikka voi löytyä yrityksestä, joka tekee kyberturvallisuuden tuotteita ja palveluita. Niitä on Suomessa pari sataa. Työnantaja voi olla myös jokin organisaatio tai yritys. Esimerkiksi yliopistoilla ja mediataloilla tarvitaan kyberturvaosaamista.

Ammattinimikkeitä on iso nippu: kyberturvallisuusjohtaja, pilviturvallisuusinsinööri, sovellusten turvallisuusinsinööri, järjestelmätestaaja, vahinkotapahtumien analyytikko...

Mutta miten alalla pärjää, jos on päässyt maisteriohjelmaan vaikkapa humanistitaustalla – osaako silloin tarpeeksi ja pääseekö mukaan työmarkkinoille?

– Vaikka taustaopinnoissa ei olisi IT-alan kursseja, omaan opintosuunnitelmaan voi sisällyttää IT-alan opintoja. Kaikki maisteriohjelman opiskelijat saavuttavat kyberturvallisuuden ymmärtämisen kannalta tarvittavan teknisen perusosaamisen, Martti Lehto sanoo.

Vapaa-ajalla autetaan ja neuvotaan

Kun Vastaamon tietomurto tuli ilmi, valkohattuhakkerit alkoivat selvittää, ketkä sen takana olivat. Poliisi kiitti heitä julkisesti avusta.

Samoihin aikoihin KyberVPK-vapaaehtoisjärjestö julkaisi tietovuodon uhreille ohjeen, miten he voivat suojautua identiteettivarkaudelta.

Laura Kankaala on mukana KyberVPK:ssa.

– Mietimme vuosi sitten parin kaverin kanssa, että olisi kiva tehdä yhteistyötä ja samalla jeesata ihmisiä. On tahoja, jotka tarvitsisivat tietoturvakonsultointia, mutta joilla ei ole varaa siihen.

Idea muutettiin todeksi, kun koronapandemia alkoi. Silloin maailmalla yritettiin tehdä kyberhyökkäyksiä terveydenhuollon laitoksiin. Haluttiin tarjota apua, jos Suomessa kävisi sama. Ohjeistus Vastaamo-tietomurron uhreille oli ensimmäinen isompi avustustehtävä.

Vajaat kolmekymmentä VPK:laista ovat kyberturva-asiantuntijoita, jotka ovat päivätöissä isoissa IT-yrityksissä. Vapaaehtoisapuaan he tarjoavat vapaa-ajalla ja maksutta. Apua voi pyytää vaikkapa yritys, jolla ei ole varaa hankkia apua kyberhyökkäykseen.

Yhteisöllisyys on tietoturva-alan juttu. Samoin halu jakaa tietoa kollegoille ja ulkopuolisille, taviksillekin.

Se on tärkeää, koska tietoturva on myös sitä, miten käyttäydymme netissä: minkälaista salasanaa käytämme, mitä tietoja annamme itsestämme ja minkälaisia linkkejä klikkaamme.

 On hankala eritellä, missä työ loppuu ja vapaa-aika alkaa.

Laura Kankaala kouluttaa, pitää työpajoja, on yksi Turvakäräjät-podcastin pitäjistä ja yksi Team Whack -tv-sarjan ammattihakkereista. Hän on myös ollut tekemässä ohjeita lähisuhdeväkivallan uhreille, sillä kyberturvallisuus liittyy siihenkin. Ehtiikö näin monen liemen keskellä olla yhtään harrastusta?

– Se podcast? Tai ehkä videopelien pelaaminen on harrastukseni.

On hankala eritellä, missä työ loppuu ja vapaa alkaa.

– Moni asia, mitä teen töissä, tukee sitä mitä teen vapaa-ajalla, ja päinvastoin. Tietoturva haukkaa tosi ison osan elämästäni.

Kyberturvallisuus- ja IT-alalla aika moni on palanut loppuun. Laurakin on kärsinyt työkyvyn lamauttaneesta työuupumuksesta. Alalla ymmärretään onneksi jo, ettei kaikkien elämä voi olla vain ruudun äärellä.

– En halua olla huono esimerkki siitä, että tietoturvalle pitää antautua kokonaan. Tiedän ihmisiä, joille se on ysistä viiteen duunia ja jää sinne.

Tuoreimmat

Luitko jo nämä?