Yhteiskunnan toimintojen kehityskaari paperiarkistojen ylläpidosta kohti digitalisoituvaa yhteiskuntarakennetta ravistelee monia vuosikymmenten, jopa vuosisatojen, kuluessa uomansa löytäneitä toimintatapoja. Yhtenä keskeisenä ulottuvuutena tässä muutoksessa on turvallisuus ja miten se rakennetaan olennaiseksi osaksi kansalaisten käyttämien tietojärjestelmien toimintaa.
Tietoturva nivoutuu järjestelmäkehityksen varhaisiin vaiheisiin
Tietojärjestelmäkehityksen historiassa on ollut useita harppauksia ja laajoja kehityskaaria. Tietoturvan merkitys huomattiin jo varhaisessa vaiheessa. Erityisesti erilaiset konfliktit ja sodat ovat aiheuttaneet nopeita edistysaskeleita turvallisen kommunikaation ja kommunikaatiojärjestelmien rakentamisessa. Aina kirjekyyhkyjen käytöstä lähtien on pitänyt huolehtia sekä kommunikaatiokanavan että lähetettyjen viestien turvallisuudesta. Noista ajoista on tehty paljon kehitystyötä erilaisten salauslaitteiden kautta laajempien massojen turvallisen tiedonkulun varmistamiseksi.
Internetin esiaikojen protokollakehityksestä lähtien on pyritty löytämään matemaattisia malleja, joiden kautta tunnistetaan kommunikaation vastinparit ja lähetettyjen viestien eheys. Tietoturvan perusperiaatteet luottamuksellisuus, eheys ja saatavuus ovat toimineet ohjenuorana läpi eri aikakausien säilyttäen roolinsa tietojärjestelmien ja kommunikaatiokanavien kehityksessä.
Tietojärjestelmien kehityksessä on vuosikymmenten saatossa luotettu kompleksisten protokollien voimaan. Ihmisten tekemänä erilaiset rakenteet, toimintamallit sekä sovitut käytännöt ovat luovuuden pelikenttä, ja sitä kautta mitä monimutkaisimmatkin ongelmat on saatu kesytettyä upeiden matemaattisten mallien kautta koneiden ymmärtämään muotoon. Monet asiat, joiden takia me olemme tulostaneet paperia niin paljon, että suomalainen metsäteollisuus on menestynyt erinomaisesti ja joiden takia olemme jonottaneet erilaisiin virastoihin, ovat yksinkertaistettu muutaman tietokoneella tehdyn toiminteen taakse.
Edellä mainitun kehityskulun aikana takaraivossamme kuitenkin on kummitellut ajatus; onkohan tässä mallissa otettu huomioon kaikki niin, että kukaan ei pääse käsiksi käsiteltävään tietoon? Entä miten varmistuu, että tietoon käsiksi pääseminen ei aiheuta vaaraa tiedon tuottajalle tai sen hyödyntäjälle? Vuonna 2022 Yhdysvaltain liittovaltion poliisi FBI vastaanotti 800 944 valitusta tietoturvarikkomuksista ja niiden rahamääräiset vaikutukset ylittivät 10,3 miljardia dollaria (Internet Crime Complaint Center Releases 2022 Statistics, 22.3.2023)
Tietoturva on olennainen osa systeemisuunnittelua ja järjestelmäkehitystä
Suomessa yhteiskunnan tarjoamien palveluiden digitalisaation vauhti kasvaa ja erilaisten palveluiden rakentaminen suoraan digikanavan kautta käytettäviksi entistä laajemmin etenee vauhdilla. Julkisten hankintojen myötä pyritään hakemaan yksityisen puolen toimijoita avuksi tähän työhön ja työ onkin edennyt hyvään vauhtiin. Toki toimijaverkoston laajentaminen pienempiin ja tiettyihin osa-alueisiin keskittyviin asiantuntijatoimijoihin on nykyisen hankintalain puitteissa haastavaa, mutta toivottavasti tähän saadaan muutosta pian.
Erityisesti tietoturvapuolella kotimaisten tietoturvaan keskittyvien toimijoiden määrä on pieni ja yrityskauppojen myötä ulkomaalainen omistus Suomessa kasvaa. Tietoturvan ottaminen mukaan erilaisiin koulutusohjelmiin etenee ja joitakin tietoturvaan keskittyneitä opintokokonaisuuksia onkin jo olemassa. Ala on kuitenkin vielä kokonaisuudessaan pieni osa tietojärjestelmäkehityksen kainalossa. Jyväskylän yliopiston työelämäprofessori Martti Lehto arvelee Yle Uutisten haastattelussa 24.9.2022, että tietoturvakoulutukseen tarvittaisiin n. 10 miljoonan euron investointi, että alan osaajien tarpeeseen pystyttäisiin vastaamaan paremmin. Tänä päivänä ala työllistää n. 7 000 työntekijää Suomessa ja vuonna 2025 tarpeen arvioidaan olevan n. 15 000 osaajaa. Lisäksi Lehto sanoo, että tällä hetkellä annettavan koulutuksen taso ei vastaa työelämän vaatimuksia. Myös Suomen Nato-jäsenyys tuo uuden tarpeen tietoturvatoimialalle, kun Nato-vaatimuksia lähdetään toteuttamaan puolustusvoimien toimintaan ja tietojärjestelmiin. Tämän lisäksi Nato-jäsenyyden tuomat liiketoimintamahdollisuudet yrityksille kasvattavat osaajien tarvetta.
Tietoturva-ala kaipaa lisää voimaa niin, että koulusta valmistuvat tulevaisuuden tietojärjestelmien tekijät osaavat entistä enemmän ottaa huomioon turvallisuuden osana järjestelmäarkkitehtuuria. Turvallisuusnäkökulmaa on kyettävä kuljettamaan tietojärjestelmien toteutuksessa aina viimeistelyyn saakka.
Esimerkiksi USA:ssa isoilla finanssitoimijoilla tietoturvan huomioiminen on mukana uusien ominaisuuksien toteutuksessa ja erilaisten korjaus-/kehitystoimien osana. Tietoturvatestaus on olennaisena osana kehitys- ja julkaisuputkea, jossa kaikki muutokset myös tietoturvatestataan. Tosin testaus työn lopussa on vain jäävuoren huippu, siirtymä järjestelmäkehityksen alkupäähän (shift left) on tärkeä osa tietoturvan huomioimista koko kehitysputken osana.
Viro on hyvä esimerkki siitä, miten historian painolastin hellittäessä voidaan rakentaa yhteiskunnan toimintoja suoraan digikanavaan luotettavasti. Virossa toimii mm. e-kansalaisuus, jota voivat hakea myös muiden maiden kansalaiset yritystoiminnan käynnistämiseksi Virossa. Tällainen malli toimii suunnannäyttäjänä siitä, miten yhteiskunta hakee uusia jäseniä sekä osaajia rakentamaan uutta toimintamallia tulevaisuuden tarpeisiin.
Tietoturvan inhimillinen haavoittuvuus
Eero Kostamon toimittamassa Automaattisten tietojenkäsittelysysteemien suunnittelu -kirjassa vuodelta 1963 systeemi määriteltiin seuraavasti: ”Systeemi on manuaalisten ja /tai automaattisten tietojenkäsittelytoimenpiteiden suunnitelmallinen kokonaisuus tietojen käsittelemiseksi siten, että aikaansaadut lopputulostiedot edistävät organisaation tavoitteiden saavuttamista.” Tässä systeemin määritelmässä tulee erittäin hyvin ilmi tietojärjestelmien käyttö osana organisaatioiden ja yhteisöjen tavoitteiden saavuttamista. Samalla määritelmä itsessään kuvaa myös tietoturvan kompleksisuuden; systeemien ja tietojärjestelmien käyttöön osana organisaatioiden tavoitteiden toteuttamista vaaditaan myös ihmisiä.
Tiedon käsittelyn turvaaminen laajennetaan käsittämään teknisten toimenpiteiden lisäksi myös käsittelyn prosesseja ja inhimillistä näkökulmaa. Teknisen turvallisuuden lisäksi tarvitaan turvallisten prosessien ja käytäntöjen suunnittelua osana kokonaisuutta sekä niiden hallintaa. Erityisen tärkeään osaan nousee ihmisten tietoisuuden kasvattaminen tietoturvasta sekä sen vaatimista käsittelytoimista.
Tietoturvan inhimillinen ulottuvuus onkin teknisen turvaamisen lisäksi keskeinen heikko kohta. Tätä heikkoutta ovat rikolliset toimijat sekä erilaiset ryhmittymät pyrkineet hyödyntämään osana hyökkäyksiään kohti yhteiskunnan ja yritysten järjestelmiä. Nykyisin käytetään paljon ns. kiristyshaittaohjelmia, jossa käyttäjä pyritään ohjaamaan turvattomalle sivustolle tai painamaan turvatonta linkkiä, jonka seurauksena hyökkääjä pääsee etenemään kohdeverkossa/järjestelmässä niin, että pystyy lukitsemaan kohteen tiedot. Tämän jälkeen lähetetään kiristysviesti kohteelle ja pyydetään rahaa, jotta tiedot palautetaan. Lunnaiden maksaminen ei kylläkään missään määrin takaa tietojen palauttamista. Tämä on yksi esimerkki siitä, miten ihmisten rooli osana järjestelmien käyttöä on tärkeä huomioida ja koulutukseen on panostettava entistä enemmän.
Kehityskulkuja tulevaan
Tulevaisuuden ennusteissa keinoälyn roolia ylistetään monessa asiassa ongelmien ratkaisijana. Yksi käyttötapaus sille on luonnollisesti myös tietoturva ja sen huomioiminen osana tietojärjestelmien kehitystä sekä käyttöä.
Kehitysvaiheessa käytetään erilaisia koodianalysaattoreita, jotka pyrkivät tunnistamaan virheitä ja heikkouksia ohjelmistokoodissa. Tämän laajentaminen osaksi tietoturvan varmentamista etenee koko ajan. Myös valmiiden ohjelmistojen käytössä ja erityisesti niiden valvonnassa käytetään kasvavassa määrin erilaisia keinoälyyn pohjautuvia malleja. Vaikka keinoälystä ja sen hyödyntämisestä puhutaan paljon tänä päivänä, käytännössä moni asia pohjautuu koneoppimiseen. Monessa mallissa valvontaohjelmistot pyrkivät oppimaan, miten ihmiset käyttävät ohjelmistoja ja sitä kautta havainnoimaan erilaisia poikkeuksia, joista nostetaan hälytyksiä. Tällä hetkellä oppimisprosessi on vielä työn alla ja hälytyksiä nousee todella paljon, jolloin näitä käsittelevät ihmiset joutuvat helposti kahlaamaan valtavia tietomassoja läpi ja sitä kautta mahdolliset kriittiset tekijät jäävät monesti huomaamatta. Tulevaisuuden oppimisprosessit toivottavasti tehostuvat ja sitä kautta pystyvät osoittamaan korkeamman riskitason hyökkäyksiä ja estämään järjestelmien väärinkäyttöä.
Ohjelmistojen sekä tietojärjestelmien määrän kasvaessa myös niiden kompleksisuus kasvaa. Tässä onkin yksi keskeinen tekijä mahdolliseen haavoittuvuuksien syntyyn; kiireessä tehdyt monimutkaiset järjestelmät joutuvat yhä nopeammin tuotantokäyttöön, jolloin niihin jää helposti tietoturvan kannalta heikkouksia ja haavoittuvuuksia. Niitä voi syntyä sekä systeemisuunnitteluvaiheessa, koska eri järjestelmän osien välisiä rajapintoja on paljon, kuin myös teknisessä toteutuksessa. Low-code ja muut uudet menetelmät tuottaa ohjelmistokoodia automaattisesti voivat potentiaalisesti helpottaa tätä teknistä kulmaa, mikäli ne pystyvät rajaamaan käytettävien komponenttien hyödyntämisen riittävän rajatulle alueelle ja sitä kautta uudelleenkäyttämään jo toimivaksi testattuja komponentteja ilman että ne laajentuvat hallitsemattomasti.
Koneiden ja ihmisten yhteistyötä
Systeemisuunnittelu jää vielä paljolti ihmisten tekemäksi työksi, toki siinäkin jo hyödynnetään paljon keinoälyä tai koneoppimista. Systeemisuunnittelun keskeinen osa on tietoturvan riittävä huomioiminen jo suunnittelun alkuvaiheessa sekä ymmärrys tietoturvakontrollien roolista ja tarpeesta. Myös loppukäyttäjien ymmärryksen lisääminen on keskeisessä roolissa. Näissä molemmissa puolissa keskeinen asia on tietoturvan huomioiminen osana tietojärjestelmätieteiden koulutusta kuin myös tietoturvatietoisuuden kasvattaminen osana yleissivistävää koulutusta. Myös riskienhallintamallien yksinkertaistaminen niin, että niiden tuloksia voidaan hyödyntää joustavasti osana systeemisuunnittelua, on tärkeässä roolissa.
Systeemisuunnittelu, ja tietoturvan huomioiminen osana sitä työtä, on ollut tärkeä aihe jo vuosikymmeniä, ja tämä liitto toivottavasti vahvistuu entisestään jatkossa. Tekoäly ja koneoppiminen tuovat paljon uusia mahdollisuuksia tulevaisuuden yhteiskunnan toimintojen luomiseen sekä kehittämiseen, jolloin myös sen valjastaminen turvallisuuden kehittäjän kautta sen vartijaksi tuo varmasti mahdollisuuksien lisäksi haasteita.
Keinoälyn eettisten pelisääntöjen luominen ja niiden tuominen osaksi yhteiskunnallista keskustelua on kasvava tarve kehitysnopeuden kiihtyessä. Ihmisen roolista tulevaisuuden työelämässä käydään paljon keskustelua ja erityisesti ollaan huolissaan mikä ihmisen rooliksi jää, kun koneiden äly valjastetaan työelämän eri alueille. Tässä lienee kuitenkin enemmän mahdollisuuksia kuin haasteita; läpi ihmiskunnan historian erilaiset murrokset ovat muovanneet yhteiskunnan rakenteita ja työelämää, mutta aina ihmisten rooli on muokkautunut uuteen tarpeeseen.
Viime aikana paljon keskustelua herättänyt Chat GPT -virtuaaliavustaja ja sen kyky tuottaa niin ohjelmistokoodia kuin vastauksia ihmisten kysymyksiin on hämmästyttänyt ja tuonut lisää huolia ihmisten roolista tulevaisuuden työelämässä. Koneiden kyvyt kasvavat kovempaa vauhtia kuin meidän ihmisten kyvyt hyväksyä sitä tosiasiaa, että erilaiset digitaaliset sovellukset ja järjestelmät kuuluvat olennaisena osana jopa lähitulevaisuuden työelämää. Onneksi moni on jo ohjannut huolia positiiviseen suuntaan; erilaiset virtuaaliavustajat voivat jatkossa hoitaa rutiinitöitä ja vapauttaa ihmisaivot hoitamaan monia asioita, joita koneet eivät vielä tänään pysty tekemään. Tietojärjestelmien systeemisuunnittelu ja sen tuoma kompleksisuus on erinomainen kohde hyödyntää koneiden kasvavaa älyä ja valjastaa koneet auttamaan tulevaisuuden turvallisten tietojärjestelmien rakentamisessa.
Henri Sikiö on koulutukseltaan filosofian maisteri tietojenkäsittelytieteestä ja urallaan toiminut erilaisten tietojärjestelmien kehittämisen sekä testaamisen parissa yli 20 vuotta. Tällä hetkellä Henri toimii liiketoimintajohtajana ja osakkaana tietoturvayrityksessä.
Artikkeli on ensimmäistä kertaa julkaistu Sytyke -lehdessä.
Lisätietoja www.sytyke.org
Kuva Max Bender Unsplash