Onko Internet rikki?

4 minute read
September 01, 2014

Exceptionally I write in Finnish, since this is my comment on article by Jussi Pullinen (@JussiPullinen) at nyt.fi.

Helsingin Sanomien uutispäällikkö Jussi Pullinen julkaisi maanantaina ansiokkaan kolumnin, jossa julisti Internetin olevan rikki. Kirjoituksessa on paljon hyviä pointteja, ja monelta osin allekirjoitan sen sanoman. Kolumnissa oli kuitenkin joitakin väitteitä, jossa ei mielestäni ollut otettu huomioon muutamia Internetin toimintaan ja tietotekniikkaan liittyviä lainalaisuuksia. Tämä on toki ymmärrettävää, sikäli jos kirjoittaja ei ole taustaltaan tekninen henkilö. Kommentoin tässä muutamia kohtia kolumnista.


Mielestäni se nykykäytäntö, että kaikki tekniset laitteet ovat 24 tuntia vuorokaudessa kytkettyinä verkkoon ja pilvipalveluun, on perustavanlaatuisesti riskialtis. Tietoturva-asiantuntijan näkökulmasta puhelimen, iPadin tai läppärin datan säilöminen internetin kautta julkisessa pilvipalvelussa on lähtökohtaisesti jo “hullun hommaa”. Tietoturva-alan toimijat ovat nähneet riskin jo pitkän aikaa, ja siitä on myös varoiteltu (yksi esimerkki).  Trendi on kuitenkin selvä: pilveen siirrytään ja siirretään. Käytettävyyden kannalta tämä on toimiva ratkaisu, ja “tietoturvahörhöjen” varoittelut kuitataan herkästi kehityksen ja innovaatioiden jarruttamisena, tai foliohattuiluna.

Internet on 90-luvun puolesta välistä lähtien kehittynyt markkinavetoisesti. Ensisijaisesti on tuotettu ohjelmia ja palveluita, sekä toteutettu ideoita ja innovaatioita. Tietoturvaa on rakennettu vanhojen järjestelmien päälle, alle ja sisään, lähinnä sitä mukaan kuin on ollut välttämätöntä. Sen sijaan Internetin perustuksina toimivat TCP ja IP -protokollat ovat ikivanhaa perua suoraan 70-luvulta. Niitä ei ollut koskaan tarkoitettu siihen käyttöön, mihin ne ovat nyt joutuneet, eikä tuohon aikaan tietoturva tai yksityisyys käynyt insinööreillä mielen vieressäkään.

Akateemisissa piireissä turvallisempi, suorituskykyisempi ja kaikin puolin parempi Internet on keksitty uudestaan todennäköisesti kymmeniä kertoja. Ongelma on kuitenkin se, että nykyiset järjestelmät - vaikka surkeita ovatkin - toimivat tarpeeksi hyvin. Tarpeeksi hyvin, jotta ei kannata koko maailman teknistä infrastruktuuria päivittää, joka olisi paitsi työlästä ja kallista, myös käytännössä mahdotonta. Niinpä 90-luvulta alkaen, markkinavetoisen kehityksen otettua vallan, tietoturvaa on liimailtu ja leikelty Internetin päälle sitä mukaan kun heikkouksia on havaittu. Näin ollen allekirjoitan mielelläni Jussi Pullisen väitteen: Internet on rikki. Siinä tehtävässä, mihin se on valjastettu - ei siinä tehtävässä, mihin se on alunperin suunniteltiin.

Kolumnissa Pullinen kirjoittaa:

Viesti on kuitenkin selvä: Internet-yritysten järjestelmät ovat niin surkeita, ettei niihin voi oikeastaan luottaa lainkaan. 

Pitkälti samaa mieltä. Toisaalta, moni on luottanut erilaisiin järjestelmiin, kuten nyt vaikka Gmailiin, vuosikausia, ja useimpien käyttäjien yksityisyys on ollut ainakin näennäisesti turvassa. Toki palvelut voivat olla haavoittuvia, ja aina ottaa riskin jos lähettää yksityistä tietoa ulkopuoliseen tietojärjestelmään. Ei kuitenkaan Abloyn lukoistakaan ole sanottu että  “Abloy-lukot ovat niin surkeita, ettei niihin voi oikeastaan luottaa lainkaan”  - vaikka Töölön tiirikkamies ja muutama muukin ovat Abloy-lukosta läpi menneet.

Samassa kappaleessa Pullinen jatkaa:

Kaikkeen verkkoon ja pilvipalveluihin lataamaansa on tervettä suhtautua niin, että se voi hetkenä minä hyvänsä siirtyä kenen tahansa käsiin.

Tämän allekirjoitan täysin. Riskit kannattaa huomioida. Toki riskit pitää osata myös arvioida oikein. Jos käyttää pilvipalvelua ns. viattoman materiaalin, kuten vaikka lemmikin kuvien jakamiseen, on vaikea nähdä tätä kovin merkittävänä riskinä.  Pullinen jatkaa hieman myöhemmin seuraavasti:

 Tietoturvan asiantuntijat puhuvat usein kilpajuoksusta rikollisten kanssa. Tämä kisa vaikuttaa kuitenkin ajat sitten hävityltä ja asiantuntijoiden puheet yhä tyhjemmiltä.

Tässä on varmasti perää, mutta asiaa voi tutkia myös käänteisesti. Kuinka suuria ongelmat olisivat, jos yritykset eivät olisi sijoittaneet tietoturvaan, tai yksityiset eivät olisi ostaneet sitä virustorjuntapalvelua? Hyvin vaikea sanoa, ehkä ei sen suurempia kuin nytkään, mutta asia voisi olla myös toisin.

Sivuhuomiona mainittakoon että työskentelen itse tietoturva-alalla, joten minulla on ns. oma lehmä ojassa tämän asian suhteen, jonka vuoksi olen kai hieman jäävi kommentoimaan

Pullinen jatkaa seuraavasti:

On silti kysyttävä, millaisen järjestelmän yhä vahvemmiksi muuttuvat verkkokapat, teknologiayhtiöt ja tietoturvan kauppiaat ovat rakentaneet, jos niiden suojaukset sortuvat lähes päivittäin.

Järjestelmien tietoturvassa ja koodaajien tietoturvaosaamisessa on ehdottomasti parantamisen varaa. Tässä(kin) täytyy kuitenkin ottaa huomioon volyymit: internetissä siirtyy suorastaan käsittämättön määrä dataa joka sekunti, ja verkkokauppoja on internetissä luultavasti satoja tuhansia. Onko oikeasti niin, että ne ovat kaikki sutta ja sekundaa, vai tuleeko tämä illuusio siitä, kun siitä surkeasti toteutetusta 10%:sta paljastuu vikoja ja vuotoja vähän väliä?

Niin sanotusti perstuntumalla jaan kyllä sen käsityksen, että netissä on hälyttävän paljon huonosti toteutettuja ja reikäisiä palveluita, ja tälle ongelmalle tulisi jotakin tehdä. Optimistina uskon kuitenkin, että myös järkevästi ja turvallisesti toteutettuja järjestelmiä on tällä planeetalla tuotettu.

Kolumni päättyy näin:

EU ja kansallisvaltiotkaan tuskin pystyvät rikollisia nujertamaan, mutta vahvempaa otetta tietoturvan laiminlyöjiin ja sen murtajiin tarvitaan. On jatkuvasti selvempää, että ainakaan verkon yritysten harteille tätä vastuuta ei voi jättää. Ne eivät yksinkertaisesti saa asiaa kuntoon.

Ehdottomasti tarvitaan viranomaisten taholta toimia, jotta verkkopalveluiden tietoturvaa saadaan parannettua. EU:n tai kansallisvaltioiden tasolla voidaan kyllä asettaa määräyksiä tai teknisiä vaatimuksia palveluille, jotka esimerkiksi käsittelevät henkilötietoja, rahaliikennettä tms. Tämä vaatii kuitenkin poliittista tahtoa ja jonkinlaista valvontaa. Eli loppuun asti mallinnettuna: se maksaa! Suomessahan on olemassa kohtuullinen yksityisyyden suoja ja henkilötietolaki. Ongelma taitaa olla vain se, etteivät läheskään kaikki palveluntuottajat huomioi näitä riittävästi, eikä lakien noudattamiseksi ole käytännössä minkäänlaista valvontaa.

En tiedä viittaako “verkon yritykset” tässä yhteydessä tietoturva-alan yrityksiin, vai suoraan palveluntarjoajiin (esim. Apple, Google yms.). Mikäli se viittaa tietoturvayrityksiin, vaatimus on mielestäni ns. kohtuuton. Ei kukaan syytä Securitastakaan Pohjois-Suomen mökkimurroista (ellei Securitas ole myynyt mökkeihin turvalukkoja ja teräskaltereita). Tietoturvayrityksetkin toimivat niillä rajallisilla resursseilla, mitä asiakasyritykset ovat valmiita sijoittamaan tietoturvaan. Tarkoitan nyt tässä tapauksessa tietoturvayritystä, joka myy esimerkiksi suojausjärjestelmiä tai murtotestausta verkkopankkiin, en yritystä joka tarjoaa virustorjuntaa loppukäyttäjille.

Mikäli “verkon yritykset” viittaa ylipäätään verkossa toimivia yrityksiä, niin ehdottomasti jokaisen toimijan tulisi  niin sanotusti pitää oma pesä puhtaana. Toisaalta mikäli loppukäyttäjät toimivat rationaalisesti, niin markkinatalouden lakien mukaan toistuvat murrot tai haavoittuvuudet tietyn palveluntarjoajan järjestelmissä tulisi ohjata käyttäjät turvallisempien palveluiden pariin. Käytännössä näin ei kuitenkaan usein ole.

Categories:

Updated:

Leave a Comment