Kyberturvan asialla

Antti Nyqvist aloitti viime vuonna Digipoolin valmiuspäällikkönä ja jakaa työssään tietoa kyberturvallisuudesta. Vaaralliset virukset ja suojaamattomat verkot ovat Suomessakin todellinen uhka.

Kun Antti Nyqvist, 40, valmistui tietoliikennetekniikan insinööriksi, hän työskenteli radioverkkosuunnittelijana. Sen jälkeen hän muutti työuransa suuntaa opiskeluaikojensa sivuaineen puolelle, ohjelmistotekniikkaan. 15 vuotta kului Digia Finland Oy:ssä projektinhallinnallisten töiden ja liiketoimintayksikön johtotehtävien parissa.

”Viisi viimeistä vuotta vedin Digiassa tietoturvakriittisten hankkeiden hankesalkkua. Tein ohjausryhmätyöskentelyä, hankehallintaa, hankkeiden valvontaa yhdessä hankepäälliköiden kanssa sekä sopimuksia asiakkaiden kanssa”, Nyqvist kertoo.

Osin samojen asiakkaiden kanssa Nyqvist toimii nykyäänkin. Hän aloitti viime vuonna valmiuspäällikkönä Digipoolissa, joka on digitaalisen yhteiskunnan varautumista edistävä yhteistoimintaelin. Digipooli pyrkii turvaamaan yhteiskunnan toiminnan kannalta keskeistä digitaalista infrastruktuuria ja informaatioprosesseja sekä näiden hyödyntämistä turvallisuustilanteissa.

”Aika helposti on vedettävissä uhkakuvia tilanteesta, jossa yritykset eivät pysty toimimaan kyberturvallisuuteen liittyvässä häiriötilanteessa ja toipumaan siitä.”

Riskinä suojaamattomat verkot 

Digipoolissa on noussut huolta siitä, miten verkot ja rakennuksen tekniikka rakennushankkeissa teetetään. Rakennuksista on löytynyt esimerkiksi talon verkossa kiinni olevia verkko- tai palvelinlaitteita, joita ei ole sinne suunniteltu. Varsinkin isoihin laitoksiin tämä tuo Nyqvistin mukaan valtavan riskin.

”Tällaiset tapaukset herättävät kysymyksiä siitä, miten validoidaan teknisesti se, että rakennuksessa on oikeasti vain se ICT-infra ja ohjelmistot, jotka sinne on suunniteltu ja ajateltu”, Nyqvist sanoo.

Nyqvistin mukaan Suomesta löytyy karuja esimerkkejä myös suojaamattomista verkoista. Talon viereen tuotu pankkiautomaatti on esimerkiksi kytketty taloyhtiön verkkoon, ja rikolliset ovat sitä kautta päässeet käsiksi pankkiautomaatin ohjelmistoihin.

”Sairaaloissa on riski kuolonuhreistakin, kun sairaanhoitolaitteisiin on tullut virustartuntoja suojaamattomien verkkoyhteyksien kautta. Jos kiinteistön ICT-arkkitehtuuri ei suojaa laitteita, ne ovat alttiita saastumiselle.”

Asukas heikoin kyberturvallisuuslenkki 

Kodin kyberturvallisuuden heikoimmat lenkit ovat asukas ja järjestelmiin tehtävät päivitykset. Asukas voi esimerkiksi kyseenalaisilla verkkosivustoilla saastuneessa kannettavassa tietokoneessaan tuoda kyberuhan kiinteistöön sisään, jos verkkoarkkitehtuuri ei estä sitä.

Jos vaikkapa lämmönvaihtimen ohjainlaite sitten toimii kriittisessä toiminnossa samalla käyttöjärjestelmällä, se voi saastua tietokoneen viruksesta. Yksityisten asuntojen verkot täytyykin Nyqvistin mukaan olla aina eriytetty talotekniikan verkoista, ja taloyhtiön verkko pitää suojata ulkopuolisilta.

”Eristämättömään verkkoon liitettyä talotekniikkaa voi olla hyvinkin helppo etäohjata”, Nyqvist sanoo. ”Kun verkko eristetään, se yleensä sallii vain tietyn liikenteen.”

Kyberuhat voivat Nyqvistin mukaan aiheuttaa häiriöitä lämmön- ja vedenjakeluun, ja hän pitää vain ajan kysymyksenä sitä, että tapahtuu jotain isompaa. Ulkomaanyhteyksiä on Suomeen aiemmin jopa katkaistu kokonaan kyberuhan takia. Nykyään se ei ole kovin toimiva ratkaisu, sillä vaikkapa taloyhtiöillä on usein kumppaninaan kansainvälinen pilvipalveluntarjoaja.

”Aikaisemmin suositeltiin turvallisuusmielessä kotimaista fyysistä infraa, mutta nykyään meidän pitää pystyä rakentamaan turvallisuus ja jatkuvuus myös kansainvälisessä turvattomassa infrassa. Ohjelmistoja tulee kansainvälisiltä palveluntoimittajilta, joihin kaikilla on jonkinlainen riippuvuus.”

Turvallisuutta suunnittelulla

Kyberturvallisuuden perusasiana Nyqvist pitää sen miettimistä, miten ongelmatilanteessa ja sen jälkeen toimitaan. Tulipalon varalta yrityksellä voi olla eri toimipaikkojen välillä ristiin varmistettua ICT-infrastruktuuria, tai digitaalista materiaalia voi turvata pilvipalveluilla.

Laitteiden päivitykset täytyy pitää ajan tasalla, ja kiinteistöjen pitää pystyä toimimaan ilman verkkoyhteyttä. Nyqvistin mukaan kyberuhat ulottuvat myös hyvin fyysisiin asioihin. Esimerkiksi siihen, miten lämpötila-anturi suojataan ja sijoitetaan.

”Kiusallaan joku voisi tehdä vaikka avotulen omakotitalon ulkoseinustan lämpötila-anturin viereen. Silloin anturi lopettaisi lämmittämisen, ja talon lämmitys heittäisi häränpyllyä. Tämäkin on kyberturvallisuutta.”

KUKA? 

Koulutus: Tietoliikennetekniikan insinööri.

Työskenteli radioverkkosuunnittelijana ja 15 vuotta suomalaisessa ohjelmisto- ja palveluyrityksessä. Aloitti vuoden 2018 syyskuussa Digipoolin valmiuspäällikkönä.

Perheeseen kuuluu kolme lasta ja vaimo. Harrastaa liikuntaa ja lukemista ja toimii lastensa jääkiekkoharrastuksessa joukkueenjohtajana. Neljänkympin kriisissä vaihtoi kahdesti työpaikkaa ja päivitti ikivanhan moottoripyöränsä vähän vähemmän vanhaan.

Asuu Pohjois-Espoossa 1970-luvun omakotitalossa, josta löytyy hyvin vähän tietoteknisiä ohjausjärjestelmiä.

Teksti ja kuva:  Piritta Porthan