Sivuston merkinnät ovat satunnaisia muistiinpanoja cyberspacen tekniikoista, suojauksista ja säädöksistä. Vastuuvapaus merkintöjen oikeellisuudesta.

*

Lokakuun kyberhyökkäys ja miten lainsäätäjien tulisi reagoida?

Lokakuun kyberhyökkäyksen jälkimainingit puhuttavat maailmalla (http://money.cnn.com/2016/10/22/technology/cyberattack-dyn-ddos/?iid=EL). Tapauksessa miljoonia verkkoon kytkettyjä laitteita käytettiin alasajamaan osia internetistä. Tapaus sai laajalti huomiota, mutta kyseessä ei ollut ensimmäinen eikä viimeinen tätä mallia oleva hyökkäys.

Nyt kyberturvallisuusammattilaiset ovat vaatimassa USA:n kongressia säätämään lakeja, jossa vastuu em. tyyppisten tapausten torjumiseksi olisi jo laitteen valmistajalla. Jos Kiinassa tehdään halpoja laitteita, niiden turvallisuusjärjestelmät ovat yleisesti myös halpoja ja falskaavat ja hakkerien on helppo laittaa sormensa peliin. Tilanne on erikoinen, sillä yleisesti alan ammattilaiset pyrkivät lobbaamaan turhaa lainsäätelyä vastaan – lainsäädäntö yleensä rajoittaa innovatiivisuutta.

Tämän hetken arvion mukaan maailmassa on noin 6 miljardia internetiin kytkettyä laitetta. Vuoteen 2020 mennessä laitteiden määrän uskotaan kasvavan 20 miljardiin. Tässä trendissä näkyy se, kuinka kaikkein alkeellisimmatkin tuotteet voidaan kytkeä verkkoon. Tästä esimerkki on lasten pehmolelut, jotka seuraavat kuinka paljon lapsi ko. lelulla leikkii.

Kyberhyökkäys voi laajamittaisesti iskeä kenen tahansa kotiin. Lokakuun hyökkäyksen huoleksi nousivat erityisesti sairaalat. Jos järjestelmät saadaan kaadettua, siitä seuraa välitön kaaos. Tästä seuraten yksi maailman johtavista kyberturvallisuusexperteistä, Bruce Schneier, totesi Kongressille;

”I’m not a regulatory fan. But this is the world of dangerous things. The choice is not between government involvement and no government involvement. It’s between smart government involvement versus stupid government involvement.”

Tulisiko Suomeen perustaa erikseen kyberturvallisuuden testauslaboratorio maahan tuotaville laitteille? Jos USA saa läpi lainsäädäntöä, jossa suojaukset ovat kunnossa, moni valmistaja muokannee laitteitaan päästäkseen USA:n markkinoille. Suomeen (tai EU:hun) vastaavaa kädenojennusta tuskin on luvassa, ja siksi yksistään Kyberturvallisuusviraston kapasiteetti saattaa olla koetuksella.

Sivuston merkinnät ovat satunnaisia muistiinpanoja cyberspacen tekniikoista, suojauksista ja säädöksistä. Vastuuvapaus merkintöjen oikeellisuudesta.

*

Kryptaus & laki

Wikipedia määrittelee tietoteknisen salauksen (nk. kryptauksen) seuraavasti:

’’In cryptography, encryption is the process of encoding messages or information in such a way that only authorized parties can read it.’’

Tiedon kryptaus on monelta kannalta tutkittuna erittäin mielenkiintoinen aihe, sillä kryptaus etenee periaatteella, jossa informaatio suojataan ’pois’ jonkun ulottuvilta. Toisin sanoen info on sellaista, johon ei haluta kaikkien (tai tietyn tahon) pääsevän käsiksi.

Juridisesti softan kryptaus on laitonta esimerkiksi Kiinassa ja Venäjällä. Tällä menettelyllä valtiovalta varmistaa sen, että se tietää mitä yhteiskunnassa tapahtuu. Perusteluiksi on muun muassa kerrottu terrorismin torjunta. Lisäksi joissakin maissa on luovutettava salauksen avauskoodi viranomaisille näiden niin vaatiessa, jolloin salattuun informaatioon päästään käsiksi yhteiskunnan suojelemiseksi. Lisäksi kryptauksen maastavienti on esimerkiksi kielletty USA:sta Iraniin, Syyriaan ja Pohjois-Koreaan. Tällöin on mahdollista hankkia lupalisenssi kryptan maastavientiin tai purkaa suojaus. Tämä ei kuitenkaan päde tavalliseen reppureissaajaan, joka suojaa läppärinsä matkustaessaan.

Suomessa kryptaus on jossain määrin sallittua, mutta suojaus on purettava viranomaisen niin pyytäessä (ks. Pakkokeinolaki 2011/806). On kuitenkin huomioitava, että laki on lähes kuusi vuotta vanha ja kryptauksessa on omat takaporttinsa viranomaisten höynäyttämiseen.

Kryptauksen purkuavaimen tulisi olla luotettavissa käsissä (nk. Key Escrow). Escrowilla tarkoitetaan kolmatta, mahdollisesti ulkopuolista tahoa, joka säilyttää ja suojaa softan avauksen mahdollistavat tiedot. Suomessa Escrow-palveluita tarjoavat muun muassa kaupunkien kauppakamarit. Escrow on osana yritysten business continuity-strategiaa, jolla minimoidaan riskejä siitä, että esimerkiksi kryptauksen purkamisen osaaville henkilöille tapahtuu jotain odottamatonta. Virkavallalle Escrow merkitsee informaation dekryptausta eli tiedon salauksen purkamista (oikeuden määräyksellä), esim. Clipper chipillä (https://en.wikipedia.org/wiki/Clipper_chip).

Jos Clipper chip (softan ja laitteiston yhdistelmä) pyörii läppärissä ja automaattisesti tallettaa salatun avaimen virkavallan käyttöön suojauksen maksimoimiseksi tulee käyttää jotain toista salausmenetelmää ensin. Koneelle tulee ladata jokin hyvä kryptausohjelma, jonka päälle asennetaan jokin virkavallan hyväksymä kryptausohjelma. Tällöin salaus on tuplattu ja virkavallan huomatessa tuplakryptaus on usein jo myöhäistä. Tämä skenaario on luonut jo pitkään jännitettä virkavallan ja kansalaisten välillä esimerkiksi Jenkeissä, virkavallan halutessa tietää kaikesta kaikki ja kansalaisten halutessa suojella yksityisyyttään. On myös erittäin tärkeää huomata, että jos esimerkiksi yksityishenkilöä syytetään terrorismiviestin levittämisessä oikeudessa ja vastapuoli toteaa vain ko. henkilön tietävän avaimen kryptauksen purkamiseen, tähän voidaan argumentoida, että myös virkavalta tietää avaimen eikä oikeus voi näin ollen syyttää henkilöä viestin lähettämisestä, koska teknisesti on vaikea todistaa, kuka viestin lähetti. Varmastikin joku, jolla avain oli, mutta kuka? Tällöin järjestelmä estää itseään toimimasta.

Lyhyesti summattuna, erittäin iso osa (ehkä liikaakin) tämän päivän maailmantaloudesta nojaa vahvaan kryptaukseen (esim. kaikki nettikauppa). Esimerkiksi yritysten on tiedettävä, että niiden kommunikointi on suojattu ulkopuolisilta ja että kaikki ns. takaovet ovat mahdollisesti vihollisten käytössä. Tällä hetkellä seuratuin legal debate on iPhonen takaovi.

Sivuston merkinnät ovat satunnaisia muistiinpanoja cyberspacen tekniikoista, suojauksista ja säädöksistä. Vastuuvapaus merkintöjen oikeellisuudesta.

*

Turvallisuuden ABC

’’Information security’’-termin on määritelty parhaiten California State Manual Journalissa:

‘The protection of automated information from unauthorized access (accidental or intentional), modificafion, destruction or disclosure.’

Teknologian kiihtyvästä kehityksestä huolimatta on mielenkiintoista huomata, että turvallisuusongelmien ydin on muuttunut suhteellisen vähän vuodesta 1989 (Virus Highlights Need for Improved Internet Management, kesäkuu 1989):

’According to virus incident reports as well as network users, weaknesses at host sites included;

• inadequate attention to security, such as poor password management and
• systems’ managers who are technically weak’

Iltalehti uutisoi kaksi päivää sitten artikkelin salasanojen heikkoudesta:

Jopa satojen miljoonien seksiseuraa etsineiden tiedot vuotivat – yleisimmät salasanat surullista luettavaa

http://www.iltalehti.fi/digi/201611152200027740_du.shtml

Vaikka ongelmien keskipisteenä ovat huonot salasanat ja henkilöt, joiden osaaminen ei riitä suojaamaan tietoja, muitakin uhkia on. Ihminen (!) yleisesti on turvallisuusongelmien suurin (!) ongelma (!) (esim. ihmiset, jotka eivät tiedä mitä ovat tekemässä, laiskat ihmiset ja ns. ’bad guys’). Lisäksi softa, joka sisältää bugeja, väärin asennettu tietokone tai sen kokoonpano-ongelmat saattavat aiheuttaa turvallisuusongelmia-, ja riskejä. Näiden kombinaatitoita esiintyy usein, lisäksi sanonta ei yhtä ilman toista pätee tässä.

Monesti valtavirta sekoittaa kaksi termiä keskenään. On myös virheellistä ajatella, että salainen ja turvallinen tarkoittaisivat samaa. Vuonna 1883 hollantilainen Auguste Kerckhoffs totesi, että ’many people think that secrecy creates security’.  Jos jokin on salassa, eikö se silloin ole suojattu ja turvallinen/turvassa? On kuitenkin painotettava, kuten Auguste totesi, että ’design of a system should not require secrecy’ ja johon Bruce Schneier vastasi ‘every secret creates a potential failure point’. Toisin sanoen, hämäräperäinen salailu ei siis ole turvallisuutta.

Edellä mainituista asioista voidaan siis päätellä, että jos haluat suojata tietosi Internetissä, älä;

1. Luo huonoa salasanaa
2. Luota sokeasti palveluntarjoajaan tämän osaamisessa (vinkkinä on katsoa ensin, miten muille käy ko. palvelussa)
3. Yritä testata softan toimivuus testikäyttäjällä
4. Katso, että oma koneesi on täydessä iskussa.

Sivuston merkinnät ovat satunnaisia muistiinpanoja cyberspacen tekniikoista, suojauksista ja säädöksistä. Vastuuvapaus merkintöjen oikeellisuudesta.

*

Cloud, Haasteet – Osa I

Cloud computing tai pilvipalvelut tarkoittavat Wikipedian mukaan ‘a type of Internet-based computing that provides shared computer processing resources and data to computers and other devices on demand.’

Yksinkertaisesti laitettuna pilvipalvelut ovat Internetin varasto, jonne yksityishenkilö tai yritys voi säilöä tarvisemaansa tietoa ilman fyysistä premiseä (vrt. datacenterit). Pilvipalvelu voi olla esimerkiksi sähköposti, jonka tilavuus on niin suuri, että se ei täyty lähes koskaan (vrt. 2000-luvun alun sähköpostien muistitila).

On kuitenkin selvennettävä, että terminä ’the Cloud’ on hämäävä ja sitä käyttävä yksityishenkilö ei osaa paljolti kuvailla palvelua. Jos kysyttäisiin, mikä ero on Cloudilla ja virtualisoinnilla, mikä olisi vastaus? Vastaus riippuu paljolti siitä, miten määritellään Cloud ja silti, parhaimmillaankin Cloudin ja virtualisoinnin raja on häilyvä. Esimerkiksi, jos henkilö tai yritys sisäyttää virtuaalikoneensa toisen henkilön tai yrityksen Cloudiin, mikä tämä yhdistelmä silloin on?

Pilvipalvelua käytettäessä tietoa voidaan upata suuria massoja Internet-avaruuteen, jossa se säilyy ajan X (kukaan ei tiedä, kuinka kauan). Jos yksityishenkilö tai yritys käyttää pilvipalvelua, hän/se siirtää tietonsa ko. palvelun ’sisään’. Tässä on huomioitava, että kyseessä on ’managed service’ eli hallinnoitu palvelu, jota joku pyörittää. Mukaan astuu kolmas osapuoli.

Miten tätä kaikkea voidaan hallita?

International Telecommunication Union ITU on laatinut yleisiä raameja Cloudin turvallisuusvaateista (http://www.itu.int/ITU-T/newslog/New+ITU+Standards+On+Cloud+Computing+Security+And+Digital+Object+Architecture.aspx#.WCLz8vmLTIU) ITU-T X.1600:n muodossa. ITU-T X.1600:ssa mennään turvallisuus edellä, mutta lähemmin tarkasteltuna huomataan, että ko. muotoilu on jättänyt useita aspekteja käsittelemättä.

ITU-T X.1600 haasteet:

– Kuka on vastuussa turvallisuuden ollessa uhattuna?

– Luottamuksen puute (miten mitata palvelun luotettavuutta täysin objektiivisesti)

– Hallinnan puute (armo käy oikeudesta vain palveluntarjoajan kautta)

– Yksityisyyden puute (edelleen armo käy oikeudesta palveluntarjoajan kautta – tämä määrittää turvallisuustason)

– Palvelun epäkäytettävyys (entä jos palveluntarjoajan bisnes kaatuu tai tekniikka pettää?)

– Palveluntarjoajan valta (pystyy kahlitsemaan asiakkaan itseensä ja tämän on vaikeahko vaihtaa palveluntarjoajaa)

– IP-oikeuksien väärinkäyttö (jälleen asiakkaan on luotettava sokeasti palveluntarjoajan työntekijöihin)

– Ohjelmiston eheys kärsii (softa on palveluntarjoajan hallinnassa)

Karkeasti ottaen, Cloud on edelleen lapsenkengissä ja monta asiaa tulee muuttumaan tulevaisuudessa. Monet yksityishenkilöt ja yritykset tulevat siirtämään tietojaan Cloudiin, joka saattaa olla keskeneräinen. Cloud saattaa kehittyä huimasti jo kuukausissa ja ’kypsyä’ todelliseen muotoonsa vuosissa. Cloud on erinomainen esimerkki siitä, kuinka uudella teknologialla voidaan huolimattomasti vahingoittaa montaa eri osa-aluetta.

Sivuston merkinnät ovat satunnaisia muistiinpanoja cyberspacen tekniikoista, suojauksista ja säädöksistä. Vastuuvapaus merkintöjen oikeellisuudesta.

*

Mikä/mitä on cyber?

Cyber tai suomalaisittain huonosti suomennettuna kyber kuulostaa vaikeasti käsitettävältä termiltä, joka voi tarkoittaa lähes mitä vaan. Tämä on totta, tiettyjen raamien puitteissa.

Cyber on Wikipedian mukaan (muun muassa) yksi Internet-maailman etuliitteistä, jonka voi yhdistää moneen eri yhteyteen. Internet-maailma taas viittaa ihmishistorian ajanjaksoon, joka alkoi 60-luvun Jenkkilästä ja jonka jälkeen tietotaitoa alettiin säilömään tietokoneiden sisään keksittyyn todellisuuteen. Sanana cyber tsemmaa kreikankielisestä sanasta κυβερνητικός, joka tarkoittaa ‘osaavaa hallinnoijaa’ tai suorana Google Translate suomennoksena ’riippumatonta’. Jos yhdistelee nämä käännökset, saadaan cyber tarkoittamaan riippumatonta ja osaavaa hallinnoijaa. Riippumatonta mistä? Osaava missä asioissa? Ja mitä tai keitä se hallinnoi?

Tässä hahmotellaan cyberia nimenomaan Internet-maailman syvimpänä olemuksena – sen haasteita ja vaikutuksia diginatiivi Y-sukupolvi ja sitä seuraava suorastaan tekninen Z-sukupolvi kantavat elämässään syntymästä kuolemaan. Kryptisesti todetaan, että cybermaailma on mukana sekä myötä- että vastamäessä.

Tekniikka ja sen kehitys on vain yksi segmentti cybermaailmassa. Cyber on mukana taivaanomaisena taustana tai hengittävinä keuhkoina Internetissä, applikaatioissa ja tavallisissa kojeissa ja yhteyksissä ympärillämme. Cyber on kuitenkin myös yhteiskunnallinen (tai pikemminkin yleismaailmallinen) ’’kolmas ulottuvuus’’ tai ’’mielikuvitusmaailma’’ johon ihmiskunta on valmis satsamaan aikansa, vaivansa ja rahansa. Tätä lukiessasi olet tässä ihmisen luomassa todellisessa mielikuvitusmaailmassa.

Cyber on ehkä tekninen unelma kaikkine mahdollisuuksineen mutta täten myös juridinen painajainen. Murtuuko kansallinen lainsäädäntö pieniin osiin ja tulevaisuudessa elämme yhteisessä cyberlaw-maailmassa jossa esimerkiksi rikollisuus saa uudet sfäärit? Riittävätkö Data Protection, Privacy Law tai muu vastaava kurittamaan cybermaailman vai vain osia siitä?

Obaman sanoin: ’’The Cyber World is sort of the Wild, Wild West, and to some degree, we’re asked to be the sheriff.’’

01101000 01100101 01101100 01101100 01101111 00100000 01110111 01101111 01110010 01101100 01100100 00100001