1) Mikä on valkohattuhakkeri?
Hakkeroinnissa puhutaan valko-, harmaa- ja mustahatuista. Mustahatuilla on yleensä rikollinen tavoite. He esimerkiksi haluavat saada rahaa anastamalla tietoja ja myymällä niitä eteenpäin. Harmaahatuilla taas ei välttämättä ole rikollistia motiiveja, mutta he toimivat omin päin ja saattavat aiheuttaa tahatonta vahinkoa. Meille valkohattuhakkereille hakkerointi puolestaan on työtä. Esimerkiksi yritykset maksavat minulle siitä, että testaan heidän järjestelmiään yrittämällä murtautua niihin.
2) Miksi olet valkohattu etkä musta- tai harmaahattu?
Hakkerointi on mielestäni mielenkiintoista ja kivaa, ja on tärkeää kanavoida innostus oikeisiin paikkoihin. Tietoturvan parantaminen on antoisampaa kuin vaikkapa anastettujen tietojen myyminen. Kaverini analogian mukaan lääkärit tietävät paljon ihmisen anatomiasta ja pystyisivät siksi tappamaan ihmisen nopeasti. He eivät tee sitä, koska haluavat käyttää taitojaan hyvään. Sama pätee tietoturva-ammattilaisiin.
3) Teet podcastia ja olet ollut mukana hakkerointiaiheisessa tv-sarjassa. Miksi haluat lisätä tietoturvatietoisuutta?
Koska tietoturva koskettaa meitä kaikkia. Moderni yhteiskunta ei voi toimia ilman sitä. Lisäksi uskon, että ihminen on tietoturvan vahvin lenkki. Meillä voi olla teknisiä ratkaisuja, joilla suojaamme itseämme hyökkääjiltä, mutta ne eivät ole yhtä hyviä esimerkiksi tunnistamaan outouksia saamissamme sähköpostiviesteissä kuin ihmiset.
4) Teet tietoturvahommia myös vapaaehtoisena KyberVPK:ssa. Miksi?
Tietoturvan ei pitäisi olla rahasta kiinni. KyberVPK:ssa tuemme tahoja, joilla ei ole kyvykkyyttä tai resursseja parantaa omaa tietoturvaansa. Teemme jonkin verran myös tietoisuuskeikkoja. Vastaamon tietomurron jälkeen KyberVPK laati ohjeen siitä, mitä tulee tehdä, jos joutuu identiteettivarkauden kohteeksi.
5) Saksassa sairaalaan kohdistunut tietoturvahyökkäys johti syksyllä naisen kuolemaan. Voisiko sama tapahtua Suomessa?
Valitettavasti kyllä. Hyökkäyksessä käytetyn kaltaisia haittaohjelmia leviää myös Suomessa. Haittaohjelman saastuttamaan verkkoon kytketyillä koneilla ei pysty enää tekemään mitään, jolloin ei päästä käsiksi esimerkiksi potilastietoihin.
Kansallisen turvallisuuden ja maailmanrauhan kannalta tietoturvauhat ovat kriittisiä.
6) Minkä muiden kohteiden tietoturvan pettäminen voisi aiheuttaa vakavaa uhkaa?
Yllättävän monen kohteen, joita ei heti ajattelisikaan. Esimerkiksi parin kuukauden takainen Twitter-hakkerointi herätti siihen, että Twitterkin on infrastruktuurillisesti merkittävä viestintäväline. Jos se ei olisi käytettävissä esimerkiksi luonnonkatastrofin sattuessa, viestien välittäminen olisi vaikeampaa. Poliittisesti merkittävien ihmisten Twitter-tilejä kaappaamalla voisi myös teoriassa lähettää heidän nimissään kiistanalaisia viestejä ja saada poliittista kahnausta aikaan.
7) Miksi tietoturvahyökkäykset onnistuvat?
Hyökkääjillä on enemmän aikaa ja joskus jopa rahaa. Hyökkäyskohteissa, kuten yrityksissä, voi olla myös paljon pinta-alaa, jonka kautta hyökkäyksen voi tehdä. Siihen kuuluvat esimerkiksi kaikki yrityksen työntekijät. Jos työntekijöitä on kymmenen tuhatta ja heille kaikille lähetetään tietoja kalasteleva sähköposti, on hyvin mahdollista, että joku avaa viestin.
8) Kytkemmekö liikaa asioita verkkoon?
Nykyään kaikki älylaitteet ovat verkossa kiinni jollain tavalla, eikä laitteissa ole välttämättä otettu tietoturvaa huomioon. Asiassa pitäisi ottaa takapakkia ja selvittää, minkä laitteiden on oikeasti tarpeellista olla verkossa ja miten.
9) Mihin asettaisit tietoturvauhat globaalien turvallisuusuhkien skaalalla?
Kansallisen turvallisuuden ja maailmanrauhan kannalta tietoturvauhat ovat kriittisiä. Mieleeni tulee esimerkiksi Stuxnet-virus, jolla murtauduttiin iranilaisen ydinvoimalan ohjausjärjestelmään ja aiheutettiin räjähdyksiä kääntelemällä sentrifugeja.
10) Onko jotain erityistä, jota haluaisit saada aikaan tietoturvan saralla?
Haluaisin poistaa stigmat ja häpeän tietoturvakeskustelusta. Haluaisin, että tietoturvamurron kohteeksi joutuneet ihmiset pystyisivät puhumaan siitä ilman häpeää ja kertomaan, millä tekniikoilla murto tapahtui. Tiedon jakamisella ja avoimuudella voisimme päästä pitkälle tietoturvan parantamisessa.