Tietoturva-alan moniosaaja Benjamin Särkkä pyytää tituleeraamaan itseään hakkeriksi. Ilman etuliitteitä. Jako eettisesti toimiviin valkohattuhakkereihin ja rikollisiin mustahattuihin on hänen mielestään ärsyttävä ja teennäinen.

”Missään muussa ammatissa eettisyys ei vaadi etuliitettä. Kukaan ei puhu valkohattupoliiseista, -lääkäreistä tai -lukkosepistä, vaikka heilläkin on taitoja, joita voi käyttää myös pahaan.”

Monessa mukana oleva Särkkä on malliesimerkki hakkeri-termin uudesta narratiivista. Asuntolainansa hän maksaa päivätyöllä Volvo Groupin tietoturvajohtajana, oman yrityksensä 10100 kautta hän tekee strategista konsultointia sekä puhujakeikkoja – kuten haastattelupäivänä Vanhalla ylioppilastalolla Helsingissä järjestetyssä tekoälytapahtumassa.

Voittoa tavoittelemattoman yhdistyksensä nimissä Särkkä on ollut perustamassa Pohjoismaiden suurinta tietoturvatapahtumaa Disobeyta, joka valtaa Kaapelitehtaan taas helmikuussa. Lisäksi hän toimii vapaaehtoisena tietoturva-alan ammattilaisista koostuvassa Kyber VPK:ssa, joka rientää paikalle silloin, kun avun tarvitsijoilla ei ole muuten mahdollista saada tietoturvaneuvoja ja -osaamista.

Tietoturva on monimutkainen kokonaisuus, jonka suhteen ihminen ja moni yrityskin jää alusta alkaen oman onnensa nojaan. Melkein kaikilla muilla aloilla tuotteiden toimittajille esitetään turvallisuuteen liittyviä, laissakin säädettyjä vaatimuksia.

”Kukaan ei edes ajattele, että kaupassa myytävä maito voisi myrkyttää juojansa, mutta kun ostoskorissa on tietokone tai reititin, vastuu suojautumisesta on kuluttajalla”, Särkkä vertaa.

”Samalla potentiaalinen riski on lähtökohtaisesti isompi. Koska internet on globaali, kuka tahansa saattaa joutua tietomurron uhriksi.”

Kuitenkin jo pienillä tietoturvateoilla on iso vaikutus. Särkän mukaan kaikkein oleellisimpia ovat käyttäjätunnukset ja salasanat, sillä tietoturvassa kaikki lähtee identiteetin ja pääsyn turvaamisesta.

Jos käyttäjätunnus ja salasana ovat samat kaikissa palveluissa, tarvitaan vuoto vain yhdessä niistä. Sen jälkeen henkilön tai jopa koko organisaation tietopääoma saattaa olla väärissä käsissä.

Lisäksi Särkkä alleviivaa päivitysten säännöllisen asentamisen sekä hyvän IT-hygienian merkitystä. Kun laite uusitaan, työntekijä vaihtuu tai alihankintasuhde päättyy, vanhat tunnukset tulee poistaa käytöstä.

”Turvallisuuden toteutumiseksi tulee luoda hyvät ja toimivat prosessit. Pitää olla helpompaa toimia oikein ja turvallisesti kuin väärin ja turvattomasti.”

Esimerkkinä helposta ja toimivasta tietoturvasta Särkkä mainitsee Applen Face ID:n ja avaimettoman kulun autoon.

”Ne turvaavat käytön ja mahdollistavat samalla hyvän käyttökokemuksen.”  

Pyhä kolmiyhteys, jota kunnioittamalla tietoturvataivaan portit aukeavat, on identifiointi, autentikointi ja auktorisointi.

”Niillä tarkoitetaan sitä, kuka olet, miten todistat sen ja minne sen jälkeen pääset. Kaikkia näitä kolmea pitää pystyä hallitsemaan fiksusti ja toistettavasti”, Särkkä tiivistää.

Suomessa on pitkään tuudittauduttu pienen kielialueen tuomaan turvallisuudentunteeseen. Maailmassa, jossa tekoäly on jo opettamatta oppinut kielemme, tulee vanhat turvallisuuskäsitykset päivittää viimeistään nyt. Jos organisaatioiden tietoturva joskus hoitui vasemmalla kädellä, täytyy siihen tänä päivänä keskittyä ja panostaa.

”Organisaatiossa on oltava dedikoitu henkilö, jonka vastuulla turvallisuusasiat ovat. Sitä paitsi organisaatiot ovat työntekijöidensä lisäksi vastuussa myös henkilöistä, jotka heidän palveluitaan käyttävät”, Särkkä huomauttaa.

Jos esimerkiksi startup-yritys haluaa luoda nopeasti liiketoimintaa, ei turvallisuus välttämättä ole ensimmäisenä tehtävälistalla. Ongelmia on odotettavissa kuitenkin viimeistään siinä vaiheessa, kun liiketoiminta kasvaa.

”Toiminnan turvaaminen pitää olla jokaisen yrityksen roadmapilla. Mitä aikaisemmassa vaiheessa se sieltä löytyy, sitä halvemmaksi sen toteuttaminen tulee”, Särkkä linjaa.

Tietoturva alati liikkuvalla tapahtuma-alalla

Tapahtuma-alalla suuri osa työstä tehdään tien päällä kannettavilla tietokoneilla tai muilla vastaavilla laitteilla. Usein laitteilta on pääsy yrityksen koko tietopääomaan. Tällöin toiminta fyysisen turvallisuuden ympärillä korostuu.

”Tekoäly ei ole vielä niin hyvä kuin se tulee olemaan, mutta se ei myöskään koskaan enää ole yhtä huono kuin nyt.”

”Missä laitteita säilytetään ja miten kulkua niiden luo valvotaan? Menevätkö koneet automaattisesti lukkoon ja ovatko ne kryptattuja?” Särkkä kysyy.

Edelleen on mietittävä myös tiedon saatavuuden turvaamista.

”Onko tieto fyysisesti yhdellä laitteella vai yhteisessä pilvipalvelussa? Tästä päästään jälleen käyttäjätunnusten ja salasanojen turvallisuuteen.”

Jos puhutaan pk-yrityksiä suuremmista yrityksistä, on kiinnitettävä huomiota myös toimintaympäristön kompleksisuuden mukanaan tuomiin haasteisiin. Jos asioita ei tehdä harkiten alusta asti, saattaa ympäristön hallinta muuttua vaikeaksi.

Monesti ratkaisu voi olla modernien teknologioiden ja toimintojen päälle rakentaminen, jolloin ylläpito hoituu maltillisella määrällä työvoimaa.

”Esimerkiksi Wolt käyttää Googlen palveluita ja rakentaa turvallisuutensa identiteetin hallinnan varaan. Näin 10 000 ihmisen organisaatiota voidaan ylläpitää 20 henkilöllä. Vastaavasti Nordealla on 35 000 ihmisen ympäristö, mutta he tarvitsevat useita satoja työntekijöitä pelkästään turvallisuuden ja monimutkaisen kokonaisuuden ylläpitoon”, Särkkä vertaa.

Elämme vallankumouksellisessa hetkessä, jossa tekoäly kehittyy huimin harppauksin. Särkkää lainaten se ei ole vielä niin hyvä kuin se tulee olemaan, mutta se ei myöskään koskaan ole enää yhtä huono kuin nyt.

”En keksi muuta tieteenalaa, jolla tehtäisiin näin suuria läpimurtoja joka viikko.” 

Tekoälystä puhuttaessa kysytään helposti, onko se uhka vai mahdollisuus. Särkän mukaan se voi olla molempia. Myös tekoälyn ympärillä leijuvat tietoturvaongelmat ovat monitahoisia – niihin liittyy etiikkaa, tekijänoikeuksia ja väärinkäytön mahdollistamia uhkakuvia.

”Tekoäly osaa jo nyt laulaa Johnny Cashin äänellä Barbie Girliä. Saatamme myös saada Facetime-puheluna lastemme kasvoilla ja äänellä tehdyn uskottavan huijauspuhelun. Tekoälyä voi opettaa väärin, se voi oppia valehtelemaan ja hyödyntämään ihmisen keksimää pahuutta. Pian se saattaa luoda ylivertaisen yrityksen ja saada niin kovan kilpailuvaltin, että se omistaa lopulta koko maailman.”

Onkin tärkeää pohtia, kuinka tekoälyn uhkia voidaan torjua ja kuinka sitä itseään voidaan käyttää niiltä suojautumiseen.

”Huomioon tulee ottaa monia näkökulmia lainsäädännöstä regulaatioon ja yritysten toimintakulttuuriin. Vallankumouksen ympärillä tarvitaan kokonaisvaltaista ajattelua”, Särkkä sanoo.

Ja sanoo senkin, että on pohjimmiltaan silti optimisti.

”Uhkakuvien rinnalla on yhtä todennäköistä, että tekoäly parantaa syövän ja poistaa nälänhädän sekä onnistuu luomaan maailmaan rauhan.”

LUE MYÖS: Vain mielikuvitus ja osaaminen rajoitteina – katso visualistin luomat hätkähdyttävät tekoälykuvat

LUE MYÖS: Puheenvuoro: Tekoäly muuttaa tapahtuma-alaa – näitä taitoja tarvitaan tulevaisuudessa

---

---