Kyberiä ja kahvia – Cyber Security Nordic 2017

Pimeää, kylmää, märkää – olenko eksynyt? Tällaisia ajatuksia kulki päässä, kun kello 6:00 päätin oikaista bussille metsän läpi. Suunta oli onneksi oikea. Lopulta pääsin bussiin, junaan ja Helsinkiin kautta aikain ensimmäiseen Cyber Security Nordic -tapahtumaan. Ja siellä sain vihdoin aamukahvit!

Tilaisuus oli selkeästi suunniteltu yritysten hallinnollisissa kyberturvatehtävissä toimiville  – henkilöille, jotka vaikuttavat kyberturvallisuuteen liittyviin rahaa vaativiin päätöksiin eli yrityksen johtoon. Tämä näkyi myös erityisesti 1. päivän (maksullinen) osallistujissa, joista enemmistöllä oli pikkutakki päällä vaikka mukaan mahtui toki muutama hupparikin.

Puheissa “kohderyhmä” näkyi siinä, että teknisiä yksityiskohtia kierrettiin mutta bisnes-merkityksestä puhuttiin sitäkin enemmän. Lukuisten puhujien lisäksi Messukeskukseen oli tullut ständeille toimintaansa esittelemään pari kymmentä kyberturvallisuuden alan yritystä (Bittium, CGI, Accenture, Cisco, …). Ja muutama rinnakkaissessiokin, kuten lääkelaitteisiin keskittyvä turvallisuus, oli aikaiseksi saatu.

Tilaisuutta isännöin todella osaava André Noël Chaker, joka piti niin yleisön kuin esiintyjät vireessä ja hyppysisssään koko kaksipäiväisen tapahtuman ajan.

Ensimmäisestä puheenvuorosta vastasi Euroopan hybriditurvallisuuskeskuksen johtaja Matti Saarelainen esittelemällä johtamansa keskuksen perustamisen taustoja ja nykyistä toimintaa aiheella Briefing on the European Centre of Excellence for Countering Hybrid Threats. Kyseisen keskuksen toiminta on pääosin Suomen valtion rahoittamaan (50%) ja mukana on kymmenkunta muutakin EU-maata.

Saarelaisen esitykselle sopivaa jatkoa tarjosi GCSP:n Aapo Cederberg aiheella What is a Hybrid War? Nykyaikaisen sodankäynnit monet ulottuvuudet saivat aika hämmentyneeksi ja Cederberg myös omassa puheenvuorossaan useamman kerran empi sitä, mikä oikeastaan onkaan sodankäytiä ja mikä “normaalia” toimintaa – kybermaailmassa. Lainsäädäntömielessä usein ongelmaksi saattaakin muodostua se, että “hyökkääjä” osaa pysyä kansainvälisesti hyväksyttyjän rajojen sisällä niin, ettei vastatoimiin löydy selkeätä oikeustusta. Esimerkiksi tällaisesti sopii mielipiteisiin vaikuttaminen, jollaisen toiminnan kasvu on todella suurta.

Seuraavaksi oli vuorossa ehkä tilaisuuden “kovin” esiintyjä, kun lavalle asteli neljän tähden kenraali (evp) John R. Allen. Allenin joku saattaakin muistaa siitä, kun presidentti Trump kiinnitti huomiota häneen twitterissä:

Joka tapauksessa tämä “failed general” oli erittäin vakuuttava esiintyjä. Hän toi esityksessään Challenge of Leadership within the Modern Battlefied esiin uusia sodankäynnin muotoja niin teknisellä kuin taktisellakin rintamalla – sekä tilanteen johtamista. Ja kyllä se ruoska heilahti myös Yhdysvaltain nykyisen presidentin suuntaan. Vaikka Allen antoi itsestä läpeensä sotilaallisen kuvan, oli hänen sanomansa kuitenkin aivan muuta. Maailman tasolla hän näki tärkeäksi hyvän politiikan ja diplomatian ainoina järkevinä keinoina – sotiminen olisi epäonnistumista. Allen myös uskoi vahvasti siihen, että Kiina on mahdollista saada mukaan suurvaltapolitiikkaan hyvällä tavalla.

Ensimmäisenä päivänä esiintyi vielä F-Securen Mikko Hyppönen (The Digital Battle), NATO StratComin Nora Biteniece (What do they know about you?) ja Israelilainen Rami Efrati (Case Israel – From startup Nation to Cyber Nation).

Hyppösen esitys oli enimmäkseen herättelyä kybermaailman uhkatilanteista ja todellisuudesta.

Biteniece toi käytännön läheisesti esille kuinka selainohjelman kautta erilaiset sosiaalisen median palvelut keräävät ihmisistä tietoa ja mihin sitä tietoa käytetään (=myydän kolmansille osapuolille). Kuulijan pysäytti ainakin tieto Oraclesta, joka luokittelee ihmiset muutamaan tuhanteen kategoriaan keräämillään yli 30000:lla atribuutilla – hurjaa! Ilmaisia aterioita ei ole, sillä esityksessä tuotiin esiin ilmaisia appeja tarjoavia yhtiöitä, jotka tienaavat miljoonia myymällä appien kautta keräämäänsä käyttäjätieto eteenpäin. Ja sitten on tietysti Facebook, [raskas huokaus]. Biteniece korosti ensi keväänä tulevan GDPR:n (EU:n tietosuoja-asetus) kiireellisyyttä ja tarpeellisuutta – sekä valveutuneisuuden tärkeyttä.

Israelilainen Efrati kertoi “tarinana” siitä kuinka hänen omasta maastaan on tullut yksi maailman edelläkävijä kyberturvallisuudessa. Kaikki perustui kolmeen asiaan: luottamus, koulutus ja puolustusvoimat.

Päivän päätti Chakerin vetämä paneeli, jossa keskusteluun osallistui useampi päivän esiintyjä ja muita alan keskeisiä toimijoita. Varsin hauska leikkimielinen “visailu” käytiin yleisön kesken.

—-

Toinen päivä jatkoi ensimmäisen linjoilla mutta nyt ensimmäiset puheenvuorot oli selkeästi kyberturvallisuusalan yritysten omista lähtökohdistaan ja bisneksen teostaan lähteviä.

Microsoftin Daniel Crabski (Preventing, detecting and responding to cyber-attacks) kertoi heidän omasta tavastaan suhtautua kyberturvallisuuteen ja toimista, mitä ovat tehneet sisäisesti ja miten he tuovat ne asiakkaidensa hyödyksi. Hän myös valotti tapoja, joilla kyberturvallisuuden kalliiden ratkaisuiden arvoa voidaan laskea ja perustella. Hieman eri vinkkeliä toi erittäin miellyttävällä äänellä puhunut Jan Bau,Cisco Systems, liian lyhyeksi jäänellä esityksellään Anatomy of an Attack. Hän kehoitti haastamaan kyberturvallisuusalan yrityksiä kysymyllä niitä “vaikeita kysymyksiä” itsestäänselvyyksien sijaan. Pallo on tässä yritysten päättävillä tahoilla ja heidän osaamisensa tulisi olla kohdallaan.

Näiden esitysten jälkeen tuli kaksi käytännönläheisempää ja esimerkkeihin pohjautuvaa esitystä. Ensin CGI:n Jan Mickos (Vakavan tietomurron selvittäminen) kertoi prosessita, jolla selvitetään valtiollisen tahon suorittamaan tietomurtotapausta ja mitä erilaisia asioita tulee vastaan ja pitää huomioida. Antti Ropponen, Accenture, taas avasi Case-pohjaisesti tilannetta testaajan näkökulmasta – ensin ryöstettiin pankki ja sitten räjäytettiin öljyjalostamo. Molemmista jäi mieleen kaksi seikkaa: yksinkertaisilla keinoilla päästiin sisään ja pitkät arvoketjut kasvattavat huomattavasti uhkapinta-alaa.

Fortum oli ollut pari edellistä päivää uutisissa ihan muista syistä mutta heidän kiireinen johtajansa Arto Räty saapui kuitenkin paikalle kertomaan “ei kyberturvallisuus alan yrityksen” viestiä. Ja mielenkiintoinen se viesti olikin. Sähköinfra on kuitenkin koko digitaalisen yhteiskunnan, jollainen Suomi kriittisiltä osiltaan on, peruspilari. Infra on laaja sekä kantaa “perinteisen teollisen toiminnan” taakkaa, joten sen kyberturvallisuusvalmiuksien ja kyvykkyyden rakentaminen on todella moniulotteista. Räty lopetti esityksensä ohjeistaen muista olettamaan, että “hyökkääjä on jo sisällä”.

Rädyn jälkeen ex-poliisi Antti Kurittu Kyberturvallisuuskeskuksessa antoi käytännön ohjeita yrityksille mitä tulee (ja mitä ei tule!) tehdä silloin, kun epäilee tietomurtoa – siis mistä toimista on hyötyä poliisille ja millä tavalla. Hän tehosti omaa esitystään lukuisilla itse tutkimillaan “keisseillä” ja lakitulkinnoilla, joilla kyseisistä tapauksista oli annettu tuomioita. Kurittu oli erityisen huolissaan siitä, ettei yritykset tunne omaa toimintaansa riittävällä tasolla havaitakseen haitallista toimintaa ajoissa.

Tässä vaiheessa pää alkoi jo olla täynnä ja piti kiiruhtaa junaan. Kahden päivän kybersynkistelyn jälkeen oli aika taas huomata niitä pieniä elämän hienoja asioita – kuten sitä että ravintolavaunusta saa varattua istumapaikan, kippis!