Kyberturvallisuus paranee ehkä vasta ison kriisin jälkeen, uskoo Euroopan poliisin entinen päällikkö – ilmailussa muutokseen tarvittiin New Yorkin terrori-iskut

Whatsapp. Minun olisi pitänyt mainita Whatsapp, sanoo Sir Rob Wainwrighthttps://www.hs.fi/haku/?query=sir+rob+wainwright.

Euroopan poliisijärjestö Europolin johdossa hiljattain lopettanut britti on joutunut hetkeä aiemmin pohtimaan HS:n pyynnöstä, mitä sovelluksia hän käyttää eniten.

Sir Wainwright aateloitiin kesäkuussa pian sen jälkeen, kun hän oli lopettanut työnsä Europolin johdossa.

Britannian kotimaantiedustelu MI5:sta uransa aloittanut pitkä ja pehmeä-ääninen mies johti Euroopan poliisien kattojärjestöä vuodesta 2009. Tänä aikana tapahtuivat esimerkiksi Pariisin tuhoisat terrori-iskut. Kuuteen eri kohteeseen hyökänneet islamistit surmasivat marraskuussa 2015 yli 130 ihmistä.

Pariisin puistattavat tapahtumat olivat Wainwrightille näytön paikka. Kun Wainwright, tuttavallisemmin Rob, aloitti Europolin johtajana 2009, Yhdysvaltojen liittovaltion poliisin FBI:n johtajana tuolloin toiminut Robert Muellerhttps://www.hs.fi/haku/?query=robert+mueller ei nähnyt järkeä tehdä Europolin kanssa erityisen tiivistä yhteistyötä vaikka Wainwright sitä ehdotti. Terrori-iskut muuttivat tilanteen.

Nyt Yhdysvalloilla on Europolissa 38 edustajaa, joista neljä on FBI:sta. Vertailun vuoksi: Suomesta Europolissa työskentelee kolme ihmistä.

Asiasta kertoneen uutistoimisto Bloombergin mukaanhttps://www.bloomberg.com/news/articles/2018-04-05/once-snubbed-by-fbi-europol-is-now-google-of-counter-terrorism muutos on nimenomaan Wainwrightin ansiota.

Viimeisen vuoden aikana FBI ja Europolin yhteistyöllä on esimerkiksi tehty toimintakyvyttömiksi kaksi suurta rikollisten tuotteiden ja palveluiden markkinapaikkaa internetin piilopalveluissa.

Nyt Wainwright istuu Helsingin Ruoholahdessa konsulttiyhtiö Deloitten neuvotteluhuoneessa ja lisää kahviinsa vettä. Suomalainen kahvi on kuulemma ”aika vahvaa”.

”Olen vielä havainnointivaiheessa. Roolini on koko Euroopan laajuinen ja tehtäväni auttaa asiakkaita varsinkin rahanpesun ja verkkorikollisuuden torjunnassa”, Deloitten osakkaana kesäkuussa aloittanut Wainwright kertoo.

”Strateginen ymmärrys on se mitä minulla on. Nyt haluan nähdä, voisinko tuoda tätä yksityiselle sektorille.”

Wainwright toimii uudessa tehtävässään suurasiakkaiden hallitusten neuvonantajana kyberturvallisuudessa ja talousrikoksissa. Siiloutunut ajattelu on vanhanaikaista, ja se koskee yhtä lailla yrityksiä kuin julkista sektoria. Monimuotoisia uhkia ei noin vain kukaan ymmärrä tai torju yksin.

”Esimerkiksi Europolissa onnistuimme saamaan pois toiminnasta merkittävän suuria bottiverkostoja sitten kun ryhdyimme vaihtamaan tietoa ja Microsoft toi mukaan omaa osaamistaan. Yhdessä meistä on tullut vahvempia.”

Niin viranomaisten kuin yksityisen ja julkisen sektorin yhteistyötä tarvitaan siksi, että uhat koskettavat välillisesti huomattavaa määrää ihmisiä.

Kyse ei siis ole pelkästään siitä, että yritykset menettävät verkkohyökkäysten takia rahaa: esimerkiksi pankkiin kohdistuva verkkohyökkäys haittaa myös pankkien asiakkaita mikäli vaikkapa luottokortit eivät silloin toimi. Viime vuonna kiristyshaittaohjelma Wannacry lamautti Britannian tilintarkastusviranomaisenhttps://www.nao.org.uk/wp-content/uploads/2017/10/Investigation-WannaCry-cyber-attack-and-the-NHS.pdf mukaan Britannian julkisen terveydenhuollon niin pahasti, että kaikkiaan arviolta 19 000 potilaskäyntiä jouduttiin perumaan.

”Oheisvahinkojen määrät kasvavat ja kertautuvat valtaviksi”, Wainwright sanoo.

Noin vuosi sitten tanskalaisen logistiikkajätti Maerskin verkkoihin livahti sabotaaseihin erikoistunut haittaohjelma Notpetya. Viime arvion mukaan yhtiö kärsi tapahtuneesta 250–300 miljoonan dollarin vahingot.

 

”Oheisvahinkojen määrät kasvavat ja kertautuvat valtaviksi.”

Wainwright huomauttaa, että tappioista puhuminen ei oikeastaan anna verkkouhkista järin kattavaa kuvaa. Kasvoton raha jättää tapahtumista mielikuvan uhrittomina rikoksina.

”Mutta ehkä näkökulmani on värittynyt. Minulla on nyt takana kymmenen vuoden valistunut näkymä ihmisen käyttäytymisen kamalimpiin puoliin terrorismista lapsipornorinkeihin. Verkkorikollisuus ja uhat monipuolistuvat sitä mukaa kuin arkemme digitalisoituu lisää, ja hyökkäyspinta-ala kasvaa.”

Tämä tarkoittaa yksinkertaisimmillaan sitä, että kukaan itseään kunnioittava pankkirosvo ei mene enää aseen kanssa pankkikonttoriin heilumaan. Raha liikkuu verkossa, samaten rahan tekoon tarvittavat palvelut oli kyse laillisesta tai laittomasta rahanteosta.

”Mainitsin aiemmin kahdesta kiinni saamastamme piilopalveluiden markkinapaikasta, Hansamarketista ja Alphabaysta. Niissä oli kaupan yhteensä noin 350 000 erilaista myyntiartikkelia, huumeista ja aseista haittaohjelmiin.”

Vertailun vuoksi: Alkon verkkokaupassa on yhteensä reilut 8 000 myyntiartikkelia. Reilun kaupan tuotteita on Suomessa myynnissä vaivaiset 1 200.

Samalla verkkorikollisuuden kokonaiskustannuksiksi vuonna 2017 on arvioituhttps://news.microsoft.com/stories/cybercrime/index.html tähtitieteelliset 500 miljardia dollaria.

”Verkkouhkista on tullut uusi normaali, digitalisaation varjopuoli useiden hyvien puolten ohella. Kilpajuoksua, jota ei voi pysäyttää.”

Eikä Wainwright digitalisaatiota haluaisi pysäyttää tai peruuttaa.

”Digitalisaatio ei ole katoamassa minnekään. Ei autoistakaan ole palattu hevoskärryillä ajamiseen siksi, että ihmisiä kuolee auto-onnettomuuksissa. Me olemme sopeutuneet: olemme kehittäneet esimerkiksi airbagit. Lainsäädäntö määräsi turvavyöt pakollisiksi ja liikennekuolemat ovat vähentyneet. Varsinkin ilmailun turvallisuudessa on onnistuttu ja sopeuduttu ylivertaisesti, jopa terrorismin uhkaan.”

 

”Verkkouhkista on tullut uusi normaali, digitalisaation varjopuoli useiden hyvien puolten ohella.”

Lentoturvallisuudessa sopeutumiseen tarvittiin New Yorkin terrori-iskut. Yhteensä neljän lentokoneen kaappaamisen avulla saatiin aikaan noin 3 000 ihmisen kuolema.

”Jokin isompi kriisi usein tarvitaan, että ihmiset heräävät riskeihin. Sellaisilla tapahtumilla on taipumus kiihdyttää turvallisuuden kilpajuoksua. Ihmisluonto nyt vain on sellainen.”

”Olen optimisti. Olemme onnistuneet tässä ennenkin ja onnistumme uudelleenkin. Kyllä Wannacry-haittaohjelmakin hätkähdytti. Ja se, millaista tuhoa Maerskille haittaohjelmistoista koitui. Uhkien ymmärtämisessä ja torjunnassa kuljetaan jo oikeaan suuntaan.”

Onko se riit­tävästi, tai riittä­vän nopeasti tai tehokkaasti? Valmiita vastauk­sia on tuskin kenellä­kään.

”Kahdeksan kymme­nestä väärin­käytöksestä verkossa pääsee tapahtumaan ihmisten laiskuuden johdosta. Esimerkiksi siksi, että haavoittuvat ohjelmistot on jätetty päivittämättä. Loppuihin tarvitaan erityisempää varautumista. Tämä kaikki alkaa kuitenkin ylhäältä, johtamisesta joka ymmärtää turvallisuuden kokonaisvaltaisesti eikä ajattele sitä pelkästään teknologian näkökulmasta.”

Esimerkiksi: työnantaja voi pakottaa työntekijät käyttämään laitteilla vaikka millaisia kaksivaiheisia salasanatunnistuksia mutta ne voivat olla turhia jos työntekijä jättää laitteensa auki ja muiden saataville julkisella paikalla.

”Pitää myös oppia hyväksymään se, ettei kaikkea voi koskaan laittaa turvallisuuden nimissä lukkojen taa. Sataprosenttista turvallisuutta ei ole olemassa. Tämä kysyy esimerkillä johtamista.”

 

”Jokin isompi kriisi usein tarvitaan, että ihmiset heräävät riskeihin. Sellaisilla tapahtumilla on taipumus kiihdyttää turvallisuuden kilpajuoksua.”

Yksinkertaisimmillaan esimerkkiä näyttää jokainen omassa arjessaan. Wainwright kertoo käyneensä useasti lastensa koulussa kertomassa työstään Europolissa, verkkorikollisuudesta ja terrorismista ja niiden torjunnasta.

”Oikeastaan seuraavat sukupolvet ovat erittäin valveutuneita verkkouhkien suhteen. Minusta tuntuu, ettemme anna heille tarpeeksi kiitosta siitä.”

Haastattelua seurannut Deloitten Suomen kybertoimintojen johtaja Karthi Pillayhttps://www.hs.fi/haku/?query=karthi+pillay kertoo, miten hänen lapsensa yritti vaihtaa televisiosta kanavaa pyyhkäisemällä ruutua, ja varmasti tulevaisuus tuo kosketusnäytöt televisioihin yhä useammassa kodissa.

Vertailemme, mitä sovelluksia käytämme eniten. Keskustelu ajautuu musiikkiin ja bluetooth-äänentoiston helppouteen cd-levyihin verrattuna. Lapsemme pääsevät helpommalla.

”Whatsapp. Minun olisi pitänyt mainita Whatsapp”, Wainwright naurahtaa yllättäen.

”Nyt kun isommat lapseni ovat opiskelemassa ja asuvat omillaan, pidämme jatkuvasti yhteyttä Whatsappilla. Se on niin kätevää.”