[Teema] Vieraskynä: Onko tuo pakko hoitaa nyt?

Isot tietoturvaloukkaukset iskevät yleensä silloin, kun niitä vähiten odottaa. Viestintäviraston CERT-päivystäjille isot tapaukset ovat tuttuja, sillä työtä on tehty 2000-luvun alusta asti. Päivystystyön alkuaikojen "issukoita" muistelee Erka Koivunen, entinen Viestintäviraston CERT-FI:n päällikkö ja Kyberturvallisuuskeskuksen apulaisjohtaja. Nykyisin hän toimii F-Secure Oyj:n tietoturvallisuusjohtajana.

Uudenvuoden vastaanotto Champs-Elyseellä tuntui täydelliseltä idealta. Lyhyt piipahdus Pariisissa katkaisisi rankan työputken ennen kuin kiireet loppiaisen jälkeen alkaisivat uudestaan.

Vähänpä tiesin, että sinä vuonna kiireisintä aikaa olisi juuri vuodenvaihde.

Pari päivää ennen matkaa, 28.12.2005, F-Securen tutkija törmäsi uudenlaista haavoittuvuutta hyväksikäyttävään haittaohjelmaan (1) ja ilmoitti siitä myös Viestintäviraston tietoturvatiimille, CERT-FI:lle. Kaikki Windows-käyttöjärjestelmän versiot olivat suojattomia (2). Uusia haittaohjelmia pulpahteli kuin sieniä sateella. Niitä jakelevia palvelimia ja komentokanavia suljettiin sitä mukaa, kun rikolliset pystyttivät uusia.

Sitä vartenhan meillä on tietoturvapäivystäjä

En aikonut antaa tämän häiritä lomailuani. CERT-FI:n päivystäjä hoitakoon, ajattelin. Minä olen nyt vapaalla.

Pariisissa oli toki hauskaa, mutta uteliaisuus voitti. Soittelin aika ajoin ja tiedustelin jutun etenemisestä. Etenihän se. Aina kun Euroopassa päättyi virka-aika, Pohjois-Amerikassa jatkettiin ja sen jälkeen luovutettiin vuoro Aasialle.
Muilla oli käytössään maailmanlaajuisten organisaatioidensa tuki ja satojen ihmisten työpanos, mutta Suomessa asiaa hoiti yksi Viestintäviraston CERT-FI-päivystäjä.

Hän työskenteli kellon ympäri ja oli yhteydessä Microsoftiin, F-Secureen, viranomaisiin, teleoperaattoreihin, tietoturvaloukkausten uhreihin, tietoturvatutkijoihin ja toimittajiin. Konferenssipuhelujen, pitkien sähköpostiketjujen ja IRC-pikaviestittelyn välissä hän otti lyhyen lepohetken, ja taas jatkettiin.

CERT-FI:n tapauksesta keräämät tiedot olivat lähes maailman parhaat, siksi CERT-päivystäjämme tilanneraportille annettiin painoa Microsoftin pääkonttorissa asti.

Muutaman päivän jälkeen päivystäjän univajeen jo kuuli, sillä puhelimeen vastanneella oli vaikeuksia lausua konsonantteja! Esimiehenä omatuntoani kolkutti – päivystäjä oli jätetty raatamaan yksin. Välipäivinä toimistolla ei ollut ketään, jolta hän olisi voinut pyytää apua.

Silloinen tyttöystävältäni huomautteli, kun kuljin nähtävyydeltä toiselle puhelin korvalla ja taoin viestejä Nokian Kommunikaattorilla. Pakkohan tässä on yrittää auttaa, ajattelin. Poikkeustapaus, sanoin.

Uusi normaali

Vastaavia poikkeustapauksia olen sittemmin oppinut odottamaan.

Toukokuussa 2007 Viro joutui massiivisen kyberhyökkäysten sarjan kohteeksi, ja myös Suomelta pyydettiin apua. Päähäni on jäänyt muistikuva: kävelen seurueeni perässä kauniissa kevätsäässä Mantan patsaan kohdalla. Ilmeisesti olimme matkalla syömään, ei aavistustakaan minne. Sen sijaan muistan, että VIRVE-puhelin raakkui korvaani tilannekuvaa, jota jaoimme seuraavat viikot alas, sivuille ja ylös.

Pohjoismaiset uhkapeliyhtiöt vuonna 2009 kyykistänyt palvelunestohyökkäys (3) alkoi kesken rapujuhliin valmistautumisen. Islantilaiset pankit ja maksunvälittäjät tarvitsivat apua kesken ystäväperheen kanssa tehdyn Tuhkolman-risteilyn.

Useammankin kerran puhelimet alkoivat soida juuri ennen illallisvieraiden saapumista. Yhden joulun pyhinä mediatalot joutuivat palvelunestohyökkäyksen (4) kohteeksi ja pari vuotta myöhemmin pankit nauttivat "uudenvuodenpaketeista" (5), kuten sitä työpaikalla kutsuttiin.

Rehellisyyden nimissä en voi sanoa jääneeni mistään merkittävästä paitsi, mutta näppärästi ja useasti olen välttänyt pöytien kattamisen, kierrokset rättikaupoissa ja seurustelun sukulaisten kanssa.

Issukkaa pukkaa!

Sukulaisista puheen ollen, olen saanut heiltä arvokasta oppia lupsakasta suhtautumisesta poikkeamien hallintaan. Sopimuksen vastainen tilanne, jossa palvelu ei toimi ja rahaa vuotaa sakkoina asiakkaan suuntaan, on amerikkalaisittain issue. Tosin Kuopion suunnalla, sukulaisteni suussa, se on vääntynyt muotoon issukka. Issukkahan ei kuulosta enää ollenkaan pelottavalta!

Mielikuvissani issukka on harmiton olio, joka tassuttelee villasukat jalassa ja hörppii teetä kiireettömästi. Olen lukuisia kertoja päässyt eroon tylsistä palavereista toteamalla puhelimen soidessa, että issukkaa pukkaa päälle.

Naimisiin sentään pääsimme ilman issukoita, varmistin sen jättämällä puhelimeni bestmanin haltuun. Lasteni syntymän aikaan olimme järjestäneet asiat niin, ettei minua enää kaivattu. Oloni olisi varmaan haikea, ellei elämälleni olisi tullut uusi merkitys lasteni kautta.

Huikea kasvu ja haikea lähtö

Kun aloitin CERT-FI:n päällikkönä syksyllä 2005, tiimissä oli lisäkseni kolme henkilöä. Sillä porukalla pyöritettiin käytännössä ympärivuorokautista palvelua, lähes rajattomilla venymisillä. Lasteni syntymän aikaan remmissä oli jo pitkälti toistakymmentä henkeä.

Vuonna 2015 lähdin Viestintävirastosta. Tuolloin CERT-FI oli muuttunut Kyberturvallisuuskeskukseksi, jonka vahvuus oli noin 50 henkeä. Se, mitä pioneeriaikoina tehtiin nuoruuden innolla ja veren maku suussa, oli vakiintunut rutiinimaiseksi ja hivenen virastomaiseksi. Issukkatehtaan kaltaiseksi. Sellaiseksi, jota olisimme kaivanneet kipeästi 11 vuotta sitten.


Kirjoittaja on entinen CERT-FI:n päällikkö ja Kyberturvallisuuskeskuksen apulaisjohtaja. Nyt hän toimii F-Secure Oyj:n tietoturvallisuusjohtajana.

Vieraskynä-artikkeli on osa helmikuun teemaa, jossa kokeneet tietoturva-asiantuntijat muistelevat oman uraansa ja mieleenpainuneita tapauksia Suomi100-hengessä.

Viitteet

(1) Mikko Hyppösen paha päivä

(2) Viestintäviraston varoitus 90/2005

(3) Veikkauksen nettipalvelu hyökkäyksen kohteena

(4) Hyökkäys kaatoi tunneiksi Helsingin Sanomien verkko- ja mobiilipalvelut

(5) OP-Pohjolaan kohdistui palvelunestohyökkäys – verkkopalvelut toimivat jälleen

Päivityshistoria

Asiasanat: Tietoturva , CERT , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248