Digi- ja väestötietoviraston julkisen hallinnon digitaalisen turvallisuuden VAHTI-johtoryhmän pääsihteeri, Tietoturva ry:n hallituksen jäsen Kimmo Rousku ja CGI:n kyberturvatietoisuuden palveluiden johtaja Minna Uitti keskustelevat What’s next -podcastissa kyberturvallisuudesta ja kyberturvatietoisuudesta. Miten esimerkiksi kansalaisten valmiuksia tulisi kehittää?
Pitkän linjan IT-ammattilaisena ja tietoturva-ammattilaisena tunnettu Rousku nousi viimeksi otsikoihin paljastettuaan huijaussoittoja tehtailevien verkkorikollisten toimintatapoja. Konnien vedättäminen ja tietojen julkistaminen mietitytti alkuvaiheessa.
“Suurin pohdintani oli se, mikä on heidän reaktionsa. Googletin miten muut ovat näistä asioista aikaisemmin kertoneet. Kaikki olivat elossa ja raajat tallella. Totesin, että miksi näistä ei voisi kertoa”, muistelee Rousku.
Rouskun intohimona on tehdä suomalaisista maailman digiturvallisin kansa, joten kyberturvatietoisuuden kasvattaminen käytännön esimerkin kautta tuntui hyvältä. Hän neuvoo, että epämääräisiin puheluihin ei kannata vastata tai ainakaan lähteä mukaan niitä soittavien rikollisten haastatteluihin.
Julkisten tietojen jakamisesta on harvemmin haittaa
Älylaitteet ja niissä virtaava data palvelee päivittäistä arkeamme monella eri tavalla, mutta miten niiden suojaamiseen pitäisi suhtautua?
Rousku kehottaa lähestymään asiaa riskien kautta. Kannattaa aina miettiä, mitä tietoa tallentaa tai syöttää mihinkin palveluun ja mikä vaikutus olisi sen tiedon päätymisellä vääriin käsiin. Kun tilannetta lähestyy pahimman mahdollisen skenaarion kautta, alkaa helpommin kyseenalaistamaan näitä digiherätteiksi kutsuttuja tietopyyntöjä.
“Sähköposti, osoite ja puhelinnumero ovat periaatteessa julkisia tietoja. Sen sijaan terveystietojen, muiden arkaluonteisten ja pankki- ja luottokorttitietojen kanssa tulisi olla erityisen varovainen”, opastaa Rousku.
Kyberturvallisuuden merkitys on kasvanut huimasti sitten 1990-luvun alun, jolloin puhuttiin vain tietoturvasta ja tietokoneiden viruksista. Internetin myötä kuvaan astuivat palomuurit. Monella on edelleen se käsitys, että nämä kaksi työkalua riittävät kyberuhkien torjuntaan.
“Maailma on muuttunut todella paljon 30 vuoden aikana. Silloin ei voitu edes ennustaa, miten paljon teknologia muuttuu ja millaisia mahdollisuuksia se tuo myös verkkorikollisille”, sanoo Rousku.
Digitukeen ja osaamisen kehittämiseen on panostettava
Viime vuonna Suomessa on menetetty poikkeuksellisen paljon rahaa verkkorikollisille huijauspuheluiden ja kalasteluviestin kautta. Vuositasolla puhutaan vähintäänkin kymmenistä miljoonista euroista.
Kyberrikollisuuden kehitys on menossa huolestuttavan jyrkässä kulmassa ylöspäin, mutta samaan aikaan kyberturvallisuutta kartoittavat kyselyt ja mittarit kertovat kansalaisten olevan entistä valveutuneempia.
“Tärkein vaihe tulee jatkossakin olemaan se hetki, kun pitää klikata jotain linkkiä tai antaa tietoja. Huijausviestit ovat taidokkaita ja pohjautuvat usein alkuperäisen toimijan ilmoituksiin. Tämä on haaste ja siksi käyttäjien asennetta pitää parantaa”, kannustaa Rousku.
Usein oletetaan, että kaikki nykynuoret ovat näppäriä diginatiiveja, jotka hallitsevat suvereenisti digitaidot ja kyberturvallisuuden perusteet. Osaamisvajetta kuitenkin löytyy kaikista ikäryhmistä, eikä vauhdilla kehittyvä teknologia tule poistamaan sitä. Siksi koulutukselle ja jatkuvalle digituelle on tarvetta.
“Vaikka nyt hallitsen nämä asiat hyvin, niin tulevaisuudessa tulen itsekin tarvitsemaan digitukea. Tekniikka tulee olemaan silloin sellaista, mitä emme voi vielä edes kuvitella”, arvioi Rousku.
Uitti korostaa, että haasteista huolimatta ihminen voi olla myös kyberturvallisuusketjun vahvin lenkki. Suomessa onkin keskimäärin monia muita maita osaavammat digitaalisten ratkaisujen käyttäjät. Toisaalta maamme kehittynyt digi-infra houkuttelee myös verkkorikollisia. Jos luottamuksen saa aikaan, rahat liikkuvat nopeasti.
“Kansallisessa kyberturvallisuusstrategian kehittämisohjelmassa on nostettu esiin yhteiskuntatason osaaminen. Alalle kaivataan myös uutta työvoimaa, joten toivomme että nuoret innostuvat käyttämään teknologiaa turvallisesti ja opiskelevat sitä lisää”, sanoo Rousku.
Kiire kasvattaa kyberturvallisuuden riskejä
Etä- ja hybridityön suosio kasvaa ja töitä tehdään entistä enemmän junissa, kahviloissa ja muissa tiloissa. Tämä vaikuttaa myös kyberturvallisuuteen, jonka huomioimisessa Rousku suosittelee käyttämään 4T-mallia eli Tunnista Tiedot, Tilat ja Työkalut.
Käytännössä julkisia tietoja voi käsitellä missä tilassa tahansa. Sen sijaan esimerkiksi henkilötietoja ei ole turvallista puhua ääneen vaikkapa junassa puhelimessa. Vastuunjako on näissä asioissa selkeä. Työnantaja järjestää turvalliset työkalut ja selkeät toimintaohjeet. Henkilöstö puolestaan käyttää ja noudattaa niitä.
“Yleisin ongelmien aiheuttaja on kiire ja inhimilliset virheet. Toiveena olisi, että aivojen ja näppäimistön väliin syntyisi ylimääräinen suojakerros. Mietittäisiin aina mitä ollaan tekemässä ja mitä siitä voi seurata”, korostaa Rousku.
