Onko Suomi verkko turvallisuuden takapajula, kysyi Juhani Melanen (ESS 2.12.). Haluaisin selventää paria seikkaa kirjoituksessa.
Monesti, kun saat sähköpostin, sähköpostiohjelma näyttää sen tulevan vaikkapa poliisilta kuten Melasen tapauksessa, mutta näin ei ole. Jotkut sähköpostin asiakassovellukset näyttävät viestin välitystiedot, toiset eivät. Välitystiedoista selviäisi, että sähköposti on väärennetty. Väärennettyjä sähköposteja on ollut liikkeellä varmaankin jo noin 20 vuotta.
DNSSEC ja SPF ovat sähköpostin laajennuksia, joilla parannetaan sähköpostiviestin tietoturvaa eli sitä, että viesti tulee juuri sieltä, mistä lähettäjä sanoo olevansa – esimerkiksi poliisi.fi-päätteiseltä lähettäjältä.
Sen tiedän, että poliisilla ovat nuo molemmat laajennukset käytössä. Käytännössä nuo laajennukset ovat operaattoreiden lisättävissä olevia palveluita. On siis kysyttävä mahdollisuudesta ottaa nuo palvelut käyttöönsä omalta nimipalvelimia ylläpitävältä välittäjältä. Käyttäjä ei sitä itse voi tehdä.
Monesti käyttäjät tekevät kiireessään huonoja ratkaisuja ja itse vuotavat tietoja netin pimeälle puolelle.
Valtionhallinnon sivuilta löytyy todella paljon hyvää tietoa, esimerkiksi valtiovarainministeriön julkaisema Vahti-ohjeistus. Suosittelen tutustumista siihen. Toinen hyvä paikka etsiä tietoa ovat Kyberturvallisuuskeskuksen sivut.
Tietoliikennekaapeleiden sijainteja on hiukan vaikea piilottaa. Tapauksessa, missä tarvitsisi kaivaa jotakin maahan, voisi käydä huonosti. Olisi onnetonta, jos esimerkiksi tietä tehdessä katkaisee elintärkeän kuidun vain sen vuoksi, ettei ”naapuri” pääsisi selville, missä se kuitu kulkee.
Toisaalta jokaiselta sähkölaitokselta lähtee ilmajohtoja, joita rikkomalla saadaan iso vaikutus aikaiseksi halutessaan.
Vastaus Melasen kysymykseen on monitahoinen. Verkkoturvallisuus on valtiolla aika korkealla tasolla, ja siitä huolehditaan. Valtionhallinto harjoittelee useasti vuodessa erilaisia skenaarioita.
Monesti käyttäjät tekevät kiireessään huonoja ratkaisuja ja itse vuotavat tietoja netin pimeälle puolelle. Sille valtiovalta ei voi mitään.
Enemmän minua pelottaa niiden pienten ja keskisuurten yritysten puolesta, joilla ei välttämättä ole tietotaitoa näiden asioiden kanssa painimiseen. Mitä jos heidän kaikkein tärkeimpänsä varastetaan? He eivät ehkä edes riskiperusteisesti ole koskaan käsitelleet edellä mainittuja asioita.
Kirjoittaja on valtiolla työskentelevä tietoturva-ammattilainen Orimattilasta.