Valtionhallinnossa on taas jälleen kerran tapahtunut tietomurto. Yli 50 000 Valtorin käyttämää Android-puhelinta on hakkeroitu. Tapahtumat toistavat vanhaa jo tutuksi käynyttä kaavaa, josta on varoiteltu kyllästymiseen asti: On hankittu suljetun koodin ohjelmistoteknologiaa, jonka toimintaperiaate on tuntematon, ja näille ohjelmistoille on annettu pääsy arkaluontoiseen dataan. Kuten yleensäkin, organisaation toimintatapoja on digitalisoitu tällä tavoin ilman, että sille olisi edes ollut todellista tarvetta. Tietoturva-aukon sisältänyt ohjelmisto oli peräisin yhdysvaltalaiselta yritykseltä.
Kerron asiaan liittyvän tarinan muutaman vuoden takaa. Vuonna 2022 Savonia-ammattikorkeakoulu joutui tietomurron kohteeksi. Tietomurto ei sinällään tullut mitenkään suurena yllätyksenä ottaen huomioon sen, miten digiasiat olivat koulussa hoidettu. Tietomurron seurauksena opiskelijoiden yksityistietoja päätyi Tor-verkkoon myyntiin. Suurin osa varastetuista tiedoista oli sellaisia, joita koululla ei GDPR-lainsäädännön perusteella olisi edes saanut olla enää hallussaan.
Jo ennen tietomurtoa Savonialla oli kova digitalisaatiopöhinä käynnissä. Kouluun hankittiin jatkuvasti talon ulkopuolelta uudenlaisia digiratkaisuja ja muun muassa etäluennot alettiin hoitamaan yhdysvaltalaisen Zoom-ohjelman päällä välittämättä sen tietoturvariskeistä, joista kerron lisää myöhemmässä kappaleessa. Koulu myös maksoi Zoomin premium-palvelusta, vaikka premium-ominaisuudet, kuten mahdollisuus osallistua konferensseihin SIP-protokollaa käyttäen, eivät missään vaiheessa toimineet.
Estääkseen vastaavien tietomurtojen tapahtumisen jatkossa Savonia ulkoisti entisestään lisää aiemmin talossa sisällä hostattua IT-infrastruktuuria ulkomaisiin pilvipalveluihin sekä hankki taloon lisää Microsoftin ja muiden Piilaakson teknologiajättien tuotteita. Monet näistä pakottavat opiskelijat käyttämään Android- tai iOS-puhelinta ja Microsoft Windowsia sekä asentamaan niihin epämääräisiä suljetun koodin ohjelmia. Tästä Savonialle myönnettiin ”Vuoden 2022 digiturvateko”-tunnustus Valtiovarainministeriön alaisen Digitaalisen turvallisuuden strategisen johtoryhmän toimesta.
Tämä ”Digitaalisen turvallisuuden strateginen johtoryhmä” [ https://vm.fi/hanke?tunnus=VM025:00/2020 ] on Valtiovarainministeriön alainen hanke, jossa on kokoontunut mm. puolustusministeriön ylijohtaja, liikenne- ja viestintäministeriön kyberturvallisuusjohtaja, Huoltovarmuuskeskuksen varautumispäällikkö ja muita melko tärkeän tason virkamiehiä ja puolustusvoimien upseeritason henkilöstöä. Kokoukset on pöytäkirjojen mukaan käyty etänä Microsoftin vakoiluohjelma Skypessä. Pöytäkirjoista ei käy ilmi kokouksissa käytyjä keskusteluja puhtaaksikirjoitetussa muodossa, mutta Yhdysvaltojen tiedustelupalvelun on varmasti ollut helppo salakuunnella keskustelua Skypen kautta.
Suomessa on siis olemassa tällainen palkitsemismekanismi, jolla luodaan organisaatioille insentiivi hoitaa tietoturvansa huonosti. Kun tietomurron tapahduttua huonontaa tietoturvaa vielä entisestään lisää antamalla kaikki tiedot talon ulkopuolisten teknologiayritysten käsiin, niin saa palkinnon. Tämä on seurausta Yhdysvaltojen jo pitkään jatkuneesta hybridivaikuttamisesta Suomessa.
Tässä videossa [ https://www.mediaserver.fi/video/digiturvaviikko2022/10004/V_0gOg ] Savonian tietoturvapäällikkö kertoo Savoniaan kohdistuneesta tietomurrosta. Virallisen totuuden mukaan hyökkääjä on siis päässyt sisään ujuttamalla opiskelijan tietokoneeseen keylogger-ohjelman, jolla hyökkääjä on saanut opiskelijan oman tunnuksen ja salasanan hallintaansa. Se, miten keylogger on saatu ujutettua opiskelijan tietokoneelle, jää videolta epäselväksi – kuten moni muukin asia – mutta syy saattaa löytyä Zoom-ohjelmasta, jota koulu pakottaa kaikki opiskelijat käyttämään.
Zoomissa oli jonkin aikaa sellainen hyvin tunnettu tietoturvaongelma, että Zoomin automaattinen päivitysohjelma latasi tietyn DNS-osoitteen takaa löytyvältä palvelimelta päivityspaketin, joka ajettiin käyttäjän tietokoneella verifioimatta sen alkuperää millään tavalla. Kuka tahansa on siis voinut vaikkapa laittaa koulun lähiverkossa oman tietokoneensa toimimaan DHCP-palvelimena ja tällä tavoin väärentää Zoomin automaattipäivityksen käyttämän DNS-osoitteen osoittamaan kokonaan eri IP-osoitteeseen, joka onkin kuulunut hyökkääjän omalle palvelimelle, josta on latautunut Zoomin päivityspaketin sijasta jokin haittaohjelma, kuten esimerkiksi se keylogger. Toki tämä on voinut tapahtua fyysisesti myös jossain muualla kuin koulun omassa lähiverkossa; varsinainen ongelma tässä on se, että koulu ylipäätään pakottaa opiskelijat asentamaan tietoteknisille laitteilleen Zoomin kaltaisia tietoturvaltaan epämääräisiä ohjelmistoja.
Asiat eivät tule korjautumaan parempaan päin, ennen kuin järjettömälle kaiken digitalisoinnille pelkän digitalisaation itsensä vuoksi laitetaan loppu. Oikeasti hyödyllisissä ja välttämättömissä digitalisointikohteissa pitää kiinnittää tarkasti huomiota tietoturvan lisäksi myös strategisiin riippuvuuksiin. Hankittujen ohjelmistoratkaisujen pitää olla yksinkertaisia, avoimia ja kotimaisia. Lähdekoodien lisäksi myös protokollien ja rajapintojen pitää olla julkista tietoa. Internetin kautta tapahtuvan asioinnin on onnistuttava myös itsetehdyillä asiakasohjelmilla, eikä se saa vaatia Googlen teknologiamonokulttuuriin kuuluvan web-selaimen asentamista laitteeseen. Myös laiteratkaisujen on oltava vähintään siinä määrin avoimia, että hankittujen laitteiden kanssa samoja ohjelmistoja ajamaan kykenevä tietokone on mahdollista suunnitella ja valmistaa kotimaassa puhtaalta pöydältä. Se onnistui Suomessa Nokian MikroMikkojenkin aikoihin, joten sen pitää onnistua myös nykypäivänä.
Ihan tässä viime kuukausien aikana kansalaisten digipalveluiden ulkoistamisvauhti yhdysvaltalaisille teknologiayrityksille on vain kiihtynyt entisestään. Kaikki Kelan käsittelemät kansalaisten henkilökohtaiset tiedot [https://yle.fi/a/74-20193175], Omakannassa näkyvät terveystiedot ja jopa Suomi.fi-tunnistus kokonaisuudessaan [https://yle.fi/a/74-20210924] ovat Amazonin pilvessä. Jopa vaalidataa [https://yle.fi/a/74-20191502] ollaan ulkoistamassa AWS:lle. Tämänsuuntainen kehitys ei ole luonnollista, vaan julkisissa organisaatioissa on töissä soluttautujia, jotka tietoisesti hivuttavat asioita tähän suuntaan.
Kun tiedot säilytetään mahdollisesti jonkin klusterin päällä toimivassa virtuaalikoneessa, voivat ne helposti vuotaa erinäisten sivukanavien kautta toisiin saman fyysisen laitteiston päällä toimiviin virtuaali-instansseihin, jotka ovat jonkin muun kuin Suomen valtiollisen tahon hallinnassa. On mahdollista, että ”poistettua” tai poistetuksi tarkoitettua dataa päätyy virtuaalikoneen muistivedoksen mukana pysyvästi johonkin pysyväismuistiin arkistoituihin varmuuskopioihin niin, ettei niitä ikinä saada luotettavasti oikeasti poistettua. Tietoturvariskien lisäksi myös tietoihin käsiksi pääsy voi vaarantua, jos syystä tai toisesta digitaalinen tiedonsiirto Suomen ja Yhdysvaltojen välillä ei toimi. Todennäköisesti myös kaikkia varmuuskopioita hallinnoi pilvipalvelu itse, eikä asiakkaana toimivilla Suomen julkisen sektorin toimijoilla ole niihinkään pääsyä.
Julkisen sektorin organisaatioissa pitää aloittaa selvitystyöt siitä, ketkä työntekijät työskentelevät tosiasiallisesti Piilaakson teknologiajäteille ja pyrkivät sitä kautta lisäämään Suomen julkishallinnon riippuvuutta Yhdysvalloista. Sellaisille työntekijöille on annettava välittömästi potkut, ja voi mahdollisesti olla aiheellista myös nostaa heitä vastaan syyte tietyistä rikoksista. Erityisesti digihankinnoista vastaavien työntekijöiden yhteydet pitää syynätä tarkasti. Myös muille ulkomaisille ja mahdollisesti valtiollisille tahoille työskentelevät hankintavastaavat on erotettava jääveinä tehtäväänsä.
Itseoppinut ohjelmoija, ST-DOS-käyttöjärjestelmän kehittäjä,
Sami Tikkanen
