Tietoturvaloukkaus, palvelunestohyökkäys, tietomurto. Kyberuhkien riski tunnistetaan jo hyvin Suomen julkishallinnossa, mutta varautumisessa ei huomioida kaikkia kyberrikollisten reittejä.
Julkisella sektorilla tehdään fyysisten turvallisuusjärjestelmien hankintoja vuosittain kymmenillä miljoonilla euroilla. Kaikkia näitä hankintoja yhdistää yksi asia: merkittävimpänä päätöksentekokriteerinä on halvin hinta. Näin julkiseen käyttöön päätyy myös laadullisesti lyhytikäisiä ja heikon tietoturvatason laitteita.
Katsoin julkisista lähteistä 20 viimeisintä kilpailutusta, ja niissä kaikissa valintakriteerinä oli hinta painotettuna vähintään 50 prosentilla hankinnan arvosta. Usein hankinnat kohdistuvat yksittäisiin laitteisiin, ei niiden muodostamaan IT-kokonaisuuteen.
Halvan hinnan korostaminen on johtanut siihen, että julkiselle sektorille on tarjottu ja toimitettu turvallisuuslaitteita ja -järjestelmiä, joiden tietoturvataso on erittäin heikko.
Ukrainan sodassa tiedetään kamerateknologiaa käytetyn kyberhyökkäyksessä. Kamera oli hakkeroitu, ja sen avulla Venäjän armeija oli oletettavasti vakoillut Ukrainan ilmapuolustusta ja puolustusinfraa. Useissa maissa onkin kielletty esimerkiksi tiettyjen, pääosin kiinalaisten, kameravalmistajien laitteiden hankinta niiden aiheuttaman kansallisen turvallisuusriskin takia. Omat hankintapäätöksemme ovat myös osa maailmanlaajuista geopolitiikkaa. Kysykää vaikka Natolta.
Entistä tavallisempaa on myös se, että itse laite ei muodosta tietoturvauhkaa, mutta säästäminen ohjelmistopäivityksissä sekä yhteyksien ja tallennuksen suojaamisessa mahdollistaa tietoturva-aukot ja niiden hyödyntämisen pahantahtoisiin tarkoituksiin. Aivan aiheellisesti on viime aikoina keskusteltu palvelinohjelmistojen ylläpitovastuusta.
Fyysisinä turvallisuusratkaisuina pitämämme laitteet kuten valvontakamerat, lukot ja kulunvalvontajärjestelmät ovat tänä päivänä verkossa, osa IT:tä, ja aiheuttavat täysin uusia turvallisuusuhkia. Esimerkiksi sairaalassa voi olla satoja lukkoja ja kameroita, jotka ovat minitietokoneita ja yhteydessä verkkoon. Siksi ei voida enää puhua siitä ovatko kyberturva ja fyysinen turva eri asioita. Eivät ole.
Mitä ratkaisuja tähän ongelmaan? Helpoin ratkaisu on osoittaa riittäviä määrärahoja hankinnoille. Toinen ratkaisu on tarkastella hankinnan kokonaiskustannusta pidemmällä aikavälillä: mikä toimittaja lupaa pisimmän tietoturvallisen elinkaaren tuotteilleen. Kolmas ratkaisu on yksityisellä puolella hyvinkin paljon yleistynyt palvelumalli. Järjestelmiä ei enää osteta omaan käyttöön ja vastata itse niiden toiminnasta, kuten tietoturvapäivityksistä, vaan ostetaan järjestelmät, niiden ylläpito, päivitykset, valvonta ja uusiminen palveluna.
Samu Konttinen
toimitusjohtaja
Loihde Oyj