Punaisia päin rekan etupuskuriin – kuinka välttää tietoturvakolarit?

Kun istahdat ratin taakse, käynnistät moottorin ja ampaiset liikenteeseen, informaatiotulva on välitön ja valtava. Kokemukseesi perustuen aistisi yleensä suodattaa massasta olennaisen ja annat hermoratojen ja lihasten yhteistyön ohjata parin tonnin peltisaurusta ongelmitta. Nopeita reagointeja aiheuttaa odottamattomat tilanteet – pyöräilijöiden paahtaminen ilman käsimerkkejä, punaisia päin kaasuttava pölvästi, tutka tai raju saderyöppy. Näistä kokenut kuski selviää ilman kommelluksia – laajan näkyvyyden (tuulilasi, sivuikkunat ja -peilit ja taustapeili), ymmärrys liikenteen säännöistä, suunnista ja liikkujista sekä auton käyttäytymisestä.

Jos tietoturvaa vertaisi autoiluun ja siihen liittyviin käsitteisiin, voisi yllä olevaa tietoturvariskien tunnistamisprosessia kuvailla seuraavasti: Kuvion vasemmassa laidassa kuvatut tekijät voisi hyvinkin tulkita autoilussa edustavan busseja, jalankulkijoita, pyöräilijöitä, muita autoilijoita, liikennemerkkejä ja sääolosuhteita. Keskellä olevan suppilomaisen kuvion oikeassa reunassa oleva QRadarin Watson-ominaisuus, joka seuloo ja jäsentää dataa, voitaisiin mieltää autoilijan havainnointikyvyksi. Kuvion oikeassa laidassa vastaavasti autoilijan havaitsemia riskitekijöitä voisivat olla auton hälytysäänet ja -valot, hirven vasa tulossa puskista, rattijuopot, kumipallo pihatieltä ja keltaisella vilkkuvat liikennevalot.

Tässä on tietoturvan näkökulmasta kaksi olennaista analogiaa – näkyvyys ja ymmärrys liikenteestä. Ei autoa voi ohjata hölmöilemättä, jos näkyvyyttä ei ole riittävästi tai joutuu arvailemaan, mitä edessä on. Käydessäni keskustelua asiakkaiden kanssa, kaikilla on yleensä jonkin tason ymmärrys tai valistunut arvaus yrityksen verkkoliikenteestä, mutta harvemmalla selkeää näkyvyyttä siitä millaista liikenne on ja kuinka paljon. Jotkut keräilevät lokeja omin voimin eri lähteistä ja toiset saavat tietoa palveluntarjoajilta. Mitä sitten tietoturvan näkökulmasta pitäisi nähdä? Mielellään kokonaisvaltainen näkemys yrityksen tilasta ja riskipositiosta.

Tänä päivänä ei riitä enää pelkkä lokitietojen kerääminen ja seuraaminen, vaan informaatiota tarvitaan myös verkkoliikenteestä eri tasoilta, applikaatioista, konfiguraatioista, haavoittuvuuksista, käyttäjistä ja identiteeteistä, palvelimista, työasemista, kännyköistä jne. Kirjo on mittava, mutta havaitakseen mahdollisia uhkia ja anomalioita, yrityksellä on käytännössä oltava näkyvyys eteen, sivuille ja taakse.

Pelkkä näkyvyys ei tietenkään riitä havainnoimaan ja torjumaan pitkäkestoisia uhkia. Autoakaan ei ajeta tuulilasin läpi ja peileihin pälyilyn avulla, vaan kuskilla on oltava ajokokemusta ja ymmärrystä tehdä johtopäätöksiä näkemästään ja reagoida sen mukaan. Auto saattaa myös hälyttää liian nopeasti edestä lähestyvästä kohteesta ja tehdä äkkipysähdyksen tai peileistä saa informaatiota, jos toinen auto lähestyy kuolleesta kulmasta sivulta. Samalla tavalla tarvitaan tietoturvateknologialta älykkyyttä luokitella informaatiota erilaisiin uhkaskenaarioihin, vakavuusluokkiin tai käyttäjien profilointiin ja pidempiaikaisiin käyttäytymistrendeihin, jotta olennaisimmat asiat voidaan seuloa riittävän nopeasti ja tarkasti.

Automatisointia ja analyytikon kokemusta voidaan verrata kokeneen kuljettajan ymmärrykseen liikennekäyttäytymisestä, erilaisista ajotyyleistä ja ajoneuvoista sekä mahdollisista vaaratekijöistä liikenteen sujuvuuden näkökulmasta. Pidempään liikenteessä ajaneet näkevät jo kaukaa autojen epäloogisia ryhmittymisiä tai käyttäytymistä kaistanvaihtoa ajatellen tai yksinkertaisesti tarkastellen hahmojen asentojen muutoksia ja auton liikehdintää, naputellaanko edellä kännykkää vai puhutaanko puhelimessa. Vastaavalla tavalla kokenut security-analyytikko voi päätellä verkkoliikenteen luonteesta, suunnasta ja määristä, onko kyseessä normaalia liikennettä vai pitääkö tapausta tutkia tarkemmin. Jo pelkästään visualisoimalla ulkoapäin tulevaa verkkoliikennettä, voidaan havaita ja arvioida, estääkö esim. palomuuri liikenteen kulun, tehdäänkö mahdollisesti verkon skannausta tai onko reitittimen konfigurointi pielessä.

Informaatio on hyödytöntä, jos sen pohjalta ei voida muuttaa käytäntöjä, tapoja, infrastruktuuria eli käytännössä reagoimalla ja tekemällä toisin perustuen saatuun tietoon. Teiden ja autojen turvallisuus on teknologian myötä parantunut ja liikennekuolemat vähentyneet tapahtuneiden onnettomuuksien ja niiden tutkimusten, uudistuneiden lakien, valistuksen, koulutuksen ja tapojen muuttumisen myötä. Tietoturvan näkökulmasta pelkkä visualisointi ja alustan älykkyys ei riitä, mikäli ei kyetä toimimaan saadun tiedon perusteella. Tämän päivän kyberhyökkäykset, haitta- ja kiristysohjelmat, identiteettivarkaudet ja tietovuodot vaativat välitöntä reagoimista ja nopeaa hyökkäyksen mitigointia, jotta haitat tuotannolle, maineelle, kustannuksille ja asiakasuskollisuudelle ovat mahdollisimman vähäisiä. Tämä edellyttää ihmisten, teknologian ja prosessien yhdistämistä.

–Teknologialta tämä edellyttää esim. kykyä irrottaa verkosta automaattisesti saastunut palvelin tai estää haittaohjelman etenemistä verkossa.

–Ihmisiltä se vaatii ymmärrystä hyökkäyksen vakavuudesta, luonteesta sekä mahdollisuutta eskaloida tapaus eteenpäin.

–Prosessin näkökulmasta reagointi edellyttää informaation kulkua saumattomasti ja läpinäkyvästi organisaatiossa, kuka vastaa mistäkin osasta – analysoinnista, tiedottamisesta, oleellisten henkilöiden sitouttamisesta ja lakiosaston ja kriisiviestinnän valmisteluista jne.

Liikenteessä reagointi tapahtuu kuljettajan toimesta havaittuihin uhkiin jarruttamalla, tööttäämällä, väistämällä tai sitten auto reagoi tapahtumiin itsenäisesti automaatiolla ja tekoälyllä.