Miten luodaan luottamus digitaalisen yhteiskunnan turvallisuuteen?
Turvallisuudessa on pohjimmiltaan kysymys luottamuksesta ja riskien punninnasta. Joudumme jatkuvasti arvioimaan, ovatko lähipiirissämme olevat ihmiset luottamuksen arvoisia, voimmeko luottaa palveluja meille tuottaviin organisaatioihin ja onko ympärillämme olevat teknologiset ratkaisut luottamuksemme arvoisia, sanoo Erka Koivunen, Chief Information Security Officer F-Secure Corporationista.
“Käytännössä emme voi koskaan tietää kaikkia luottamuksen kannalta merkityksellisiä yksityiskohtia ja vaikka tietäisimmekin, emme koskaan kykenisi käsittelemään sellaista tietomassaa. Teemme siis vaistomaisesti stereotyyppeihin, eli malleihin perustuvia approksimaatioita riskistä. Onko käytettyä autoaan myyvän puolitutun kertomus vikahistoriasta vilpitön? Toimiiko puhelimeeni asennettu Koronavilkku oikein, ja tekeekö se jotakin muuta kuin oli luvattu? Mitä käyttämäni terapeuttini työnantajaorganisaatio tavoitteli nimittämällä tietosuojavastaavakseen ulkopuolisen tahon?
Luottamus edellyttää riittävää näyttöä osapuolten vilpittömyydestä, ammattimaisuudesta ja sitoutumisesta yhteiseen etuun. Luottamuksen puutetta kompensoidaan olettamalla pahinta ja varautumalla riskien toteutumiseen. Väärinpeluun salliminen synnyttää epäluottamusta, joka hinnoitellaan ja kirjataan sopimuksiin.
Suotavinta olisi, että kaikki osapuolet omasta aloitteestaan osoittaisivat olevansa luottamuksen arvoisia. Yhteiskunnan tehtävänä on varmistaa, että yhteisiä pelisääntöjen noudattavien elämä on aina helpompaa ja kannattavampaa kuin niitä rikkovien. Tämä edellyttää normeja, uskottavaa valvontaa ja tuntuvaa seuraamusmenettelyjä.
Tietoturvan ammattilaisena olen jatkuvasti hämmästynyt siitä, miten eritahtisesti yhteiskunnan eri sektoreilla suhtaudutaan digitalisaation edellytyksistä tärkeimpään, eli luottamuksen vahvistamiseen.
Vaikka kaiken digitalisoinnin konepellin alta löytyy samoja komponentteja (verkkoja, pilviä, ohjelmistokirjastoja jne.), eri sektoreilla turvallisuudelle asetetut vaatimukset vaihtelevat rajustikin. Esimerkiksi teleyrityksiltä vaaditaan aivan eri asioita kuin pankeilta tai energiayrityksiltä.
Terveydenhuollon järjestelmistä olemme viime aikoina oppineet että Kanta-järjestelmään kytketyiltä vaaditaan kaikenlaista ja turvallisuuden toteutumista valvotaan. Kantaan liittymättömien palvelujen osalta yhteiskunta on ainakin tähän asti lähettänyt signaalin että kaikki käy, kunhan ei jää kiinni.
Toivottavasti tämä herättelee muitakin toimialoja ymmärtämään, että turvallisuutta ei pidä arvioida pelkästään sektorikohtaisten vaikutusarvioiden kautta vaan teknologialähtöisen uhkamallinnuksen kautta. Suojaamaton tietokantapalvelin korkataan aivan samalla tavalla riippumatta siitä, pyörittäkö se pankin, psykoterapeutin, ydinvoimalan vai ministeriön prosesseja”, varoittaa Erka Koivunen.
Millaisia ovat hyvät sähköiset palvelut?
“Hyvä sähköinen (tai digitaalinen) palvelu kunnioittaa käyttäjän oikeutta yksityisyyteen ja tarjoaa välineitä omien tietojen kontrolliin. Hyvä palvelu myös kertoo avoimesti ja ymmärrettävällä tavalla, mitä tietoja kerätään, sekä mihin ja miten niitä käytetään.
Hyvä palvelu suunnitellaan turvalliseksi ilman, että käyttäjältä edellytetään liikoja. Jatkuvat salasanakyselyt, pakotetusti aikakatkaistut istunnot ja virheilmoituksiin tyssäävät suorituspolut kertovat paitsi huonosta käytettävyyssuunnittelusta, myös vanhanaikaisesta turvallisuusajattelusta.
Hyvä palvelu toteuttaa paitsi käyttäjän tunnistamisen, myös suojaa järjestelmässä olevia tietoja käyttövaltuuksien rajauksen, osastoivan arkkitehtuurin, salakirjoituksen ja käytönvalvonnan keinoin. Turvallisuutta vaarantavat käyttötilanteet tunnistetaan ja niihin puututaan. Suositut tai jatkuvaa saavutettavuutta edellyttävät palvelut myös tuotetaan kapasiteettipalveluina, eli ne eivät saa kyykähtää suuren kävijämäärän tai tahallisen häirinnän johdosta”, sanoo Koivunen.
Miten meidät pitäisi digimaailmassa tunnistaa?
“Hyvä palvelu tunnistaa käyttäjän identiteetin riittävällä varmuudella. Mikäli tarve on, luonnollinen henkilö tunnistetaan virallisjärjestelmistä (esim. Mobiilivarmenne).
Mikäli vahvaa tunnistusta ei tarvita, käyttäjälle pitää sallia mahdollisuus pseudoidentiteetin luomiseen – tällöin palveluntarjoajan täytyy tosin huolehtia siitä, että käyttäjän identiteettiä ei voi kaapata ja että oikeutetuilla käyttäjillä on mahdollisuus osoittaa hallintaoikeutensa siinäkin tilanteessa, että esimerkiksi salasana unohtuu.
Käyttäjän tunnistamisen taso luonnollisesti vaikuttaa siihen, miten arvokasta tai arkaluontoista tietoa palvelussa voidaan käsitellä. Jos tunnistus on heikko ja tilin kaappaamisen uhka on todellinen, järjestelmässä ei saa olla sensitiivistä dataa”, muistuttaa Erka Koivunen.