Professori Valtteri Niemi on tehnyt pitkän uran Helsingin yliopiston tietojenkäsittelytieteen osaston tietoturvaan keskittyneenä asiantuntijana. Tietoturvaan liittyvät uhkat monimutkaistuvat ja vaativat laaja-alaista huomiota niin teknologian kehittäjiltä, käyttäjiltä kuin sääntelijöiltäkin.
Uudet sovellukset keräävät käyttäjätietoja tietoturvaa haastavilla tavoilla. Ei tiedetä kunnolla, mihin esimerkiksi kiinalaisomisteinen TikTok käyttää keräämiään tietoja, mikä herättää huolta ja on johtanut jopa sovelluksen kieltämiseen tietyissä työpaikoissa. Yleensä yhtiöt sanovat keräävänsä tietoja ”käyttäjäkokemuksen parantamista” varten.
– Ei ole varmaa näyttöä siitä, että nämä palvelut väärinkäyttäisivät tietoja, mutta käyttäjien on tärkeää olla tietoisia mahdollisista riskeistä, Niemi sanoo.
Vastaavaan yksityisyyttä loukkaavaan tiedonkeruuseen saattavat syyllistyä kuitenkin Niemen mukaan vielä isommat toimijat.
– Ulkopuolisia sovelluksia on helpompi estää saamasta arkaluonteisia tietoja kuin Googlen kaltaista palveluntarjoajaa, jota tuntuu olevan lähes pakko käyttää, Niemi toteaa.
Kaupalliset yritykset ovat hyödyntäneet keräämiään tietoja pääasiassa mainonnan kohdentamiseen.
– Nehän ovat taitavia saamaan asiakkaan haluamaan tavaraa, jota hän ei edes tarvitse.
Post-quantum -tietoturva
Tietoturva saattaa mullistua kvanttitietokoneiden kehityksen myötä. Kvanttitietokoneet voivat purkaa nykyiset salaustekniikat helposti, koska ne osaavat ratkoa tiettyjä matemaattisia ongelmia. Yleistyessään tekniikka voi siis saada nykyisen teknologian kerralla vanhentuneeksi.
– Vielä ei ole mikään tulenpalava kiire päivittää tietoturvaa kvanttilaskennan kestäväksi. Kvanttikoneet ovat yhä alkutekijöissään, eikä niille ole kehitetty kovinkaan paljon algoritmeja. Ne osaavat murtaa tietynlaisia salauksia, mutta toistaiseksi niille on vastakeinoja, Niemi sanoo.
Hän näkee kvanttitietokoneita isompana tietoturvaongelmana, että isoissa systeemeissä on paljon vanhentunutta perintöä.
– Vanhan päälle on rakennettu uutta ”if it ain't broke -ajattelumallilla. Kun salausjärjestelmät ovat kyllin vanhoja eivätkä päivitykset ole tarpeeksi laaja-alaisia, ei huomata, miten järjestelmät ovat murrettavissa, ennen kuin on myöhäistä.
Myös epävarman teknologian käyttö voi vaarantaa tietoturvan. Esimerkiksi tekoälyohjelmia voidaan kyetä huijaamaan johtamalla niitä sopivasti valituilla tiedoilla harhaan, ainakin vielä nykyään. Kyberrikolliset keksivät aina heikkoja kohtia, sitä on vaikea kokonaan estää.
– Varsinaisesti ei edes tarvita erityistä ammattilaista tekemään uhka-analyysejä siitä, minkälaisia väärinkäytöksiä voisi tapahtua. Pitää vain osata ymmärtää järjestelmän toiminnallisuutta ja käytettävyyttä.
On tärkeää ymmärtää, että tietoturvaan ei ole yhtä ratkaisua, joka sopisi kaikkiin tilanteisiin. Tietoturva vaatii jatkuvaa huomiota ja mukautumista muuttuviin uhkiin.
Lohkoketjun hyödyntäminen on vielä lapsenkengissään
Yleistyneestä lohkoketjuteknologiasta on toivottu ratkaisua tietoturvan haasteisiin. Sen monimutkaisemmassa, alati muuttuvassa kryptografiassa ei olisi sinänsä ainakaan muita heikkouksia kuin mitä kvanttilaskenta voi tuoda tullessaan. Lohkoketjun kryptografia ei ole kuitenkaan täysin lunastanut antamiaan lupauksia tietoturvan parantamiseen, vaan sitä on käytetty enimmäkseen muihin sovelluksiin.
– Perustava ongelma on se, ettei tietoa lohkoketjuun siirrettäessä ole varmistusta, että tieto on oikein tai että esimerkiksi kuvan tekijänoikeudet kunnossa. Kun salattu tieto on lohkoketjussa, sitä ei voi sieltä poistaa, Niemi sanoo.
Ollaan vielä lapsenkengissä siinä, miten lohkoketjun sisältämän informaation alkuperää voisi selvittää. Lohkoketjun avulla tehdään nykyään paljon pimeää kauppaa ja muita päivänvaloa kestämättömiä toimia.
– Luontevimmin teknologia on istunut rahaliikenteen ja valuuttajärjestelmien ylläpitoon, toteaa Niemi.
Lisäksi isona ongelmana on yhä kasvavien laskentatehovaatimusten kuormittava vaikutus ympäristöön. Lohkoketjun jatkuva louhinta hukkaa energiaa koko ajan enemmän.
– Louhinnan hinta on liian kova, jotta teknologiaa päästäisiin kunnolla kehittämään, Niemi toteaa.
Uudet verkot vaativat uudenlaisia autentikointijärjestelmiä
Langattomien 5G- ja 6G-verkkojen käyttöönotto tuo mukanaan uusia haasteita ja mahdollisuuksia tietoturvan saralla. Oleellisessa osassa verkkojen käyttöönotossa on niiden autentikointi, jolla varmistetaan, että verkkoon yhdistävä laite tai käyttäjä on aito ja oikeutettu.
– Käyttäjän tai laitteen on ensin tunnistettava itsensä verkolle. Mutta autentikointia kaivataan molemmin puolin, ja pitäisi tarkistaa, että tukiasema on aito ja suojattu, ja ettei kukaan kuuntele tai häiritse sitä, sanoo Niemi.
– 5G:ssä mobiililaite saa ensi kertaa molemminpuolisen autentikoinnin tehtyä ilman, että paljastaa ensin identiteettinsä tukiasemalle.
Niemi on tutkinut erityisesti paikkatietoon perustuvien palveluiden turvallisuutta.
– Useat sovellukset ja palvelut keräävät jatkuvasti tietoa käyttäjien sijainnista, mikä herättää kysymyksiä siitä, miten näitä tietoja käytetään ja suojataan, sanoo Niemi.
Yksi tapa suojella yksityisyyttä paikkatiedon käytössä on käsitellä dataa siten, että se ei sinällään paljasta yksityiskohtia yksilöistä tai heidän tarkasta sijainnistaan.
– Differentiaalisen yksityisyydensuojan avulla voidaan generoida joukko tietoa, joka muistuttaa alkuperäistä dataa yleisellä tasolla, mutta ei paljasta yksityiskohtaisia tietoja yksittäisistä ihmisistä tai heidän tarkasta liikkumisestaan. Tällä tavalla paikkatiedon kerääminen ja analysointi voidaan tehdä hyödyllisesti tutkimustarkoituksiin ja palvelujen parantamiseen liittyen, samalla kun yksityisyys säilyy suojattuna, sanoo Niemi.
Kaikki on nykyään internetissä: niin pankkipalvelut, terveystiedot kuin jääkaapitkin. Millaisia kyberriskejä liittyy siihen, että elämän eri osa-alueet digitalisoituvat? Entä kun kyse on yhteiskunnan kriittisestä infrastruktuurista, kuten vedenjakelusta tai sähköverkosta?
Helsingin yliopiston tietojenkäsittelytieteen professori Valtteri Niemi avaa Utelias mieli -podcastissa niitä kyberturvallisuuden alueita, joihin jokaisen kannattaa varautua, ja purkaa uhkakuvia, joiden vuoksi ei kannata menettää yöuniaan. Entä miten tutkimus auttaa parantamaan kyberturvallisuutta?
Utelias mieli on Helsingin yliopiston podcast, joka puhuu tieteestä tunteella.