TEKSTI Elisa Kauppinen KUVAT Netta Pasuri
Luulen olevani Laura Kankaala, hakkeri ja tietoturvaratkaisija. Toisinaan saan etuliitteen valkohattuhakkeri, eli hyvishakkeri, mutta tämä on mielestäni siitä ongelmallinen, ettei jaottelua tarvitsisi tehdä kuin vain hakkereihin ja rikollisiin. Verkkorikollisten kutsuminen pelkästään hakkereiksi vähättelee tehtyjä rikoksia sekä mustamaalaa muita hakkereita.
Tuot monelle mystisenä ja epämääräisenä näyttäytyvää tietoturvaa lähemmäksi ihmistä. Miksi näin?
Tietoturva-asiat koskettavat jokaista, vaikka emme kokisi olevamme tietoturvan kanssa jatkuvasti tekemisissä. Työyhteisöissä käytämme tietokoneilla useita tietojärjestelmiä ja vapaa-ajalla jaamme sosiaaliseen mediaan tietoa usein tiedostamatta riskejä.
Olin nuorena aina ollut kiinnostunut tietokoneista ja videopeleistä, mutta IT-alaan tutustuin vasta aikuisiällä. Lähipiirissäni ei ollut nuoruudessani ketään, joka olisi työskennellyt IT-alalla, saatika tietoturva-asioiden parissa, joten ala piti löytää itse. Tuomalla työtäni julki toivon lisääväni ihmisten tietoisuutta tietoturvasta.
Opiskelit aiemmin sairaanhoitoa, mutta huoli potilaiden tietoturvasta sai sinut vaihtamaan alaa. Kuinka inhimillistä työtä hakkerointi loppujen lopuksi on?
IT-ala nähdään helposti kylmänä, mutta inhimillisyys on itse asiassa olennainen osa sitä. Tietoturvassa on kyse haavoittuvuuksien löytämisestä. Tietotekniikka on ihmisen luomaa, ja sen ongelmat selittyvät yleensä inhimillisillä syillä, kuten laiskuudella. Tietokoneiden takana on aina ihmisen kirjoittamaa koodia, ja ongelmanratkaisua tehdään yhdessä muiden kanssa. Hyökkäyksissä taas pyritään löytämään ihmisten heikkoja kohtia, jotta uhrit saadaan lankeamaan ansaan. Tietoturvaratkaisijana nämä riskit tulee löytää ennen rikollisia.
Hakkerina olet pitkälti itseoppinut. Mikä motivoi opettelemaan tietoliikenteen salat?
Tutustuin hakkerointiin ensimmäisen kerran opintojen kautta, ja se näyttäytyi todella siistinä juttuna. Kursseilla tajusin, että hakkerointia voi tehdä myös ammatikseen ja siinä voi asettua “hyvisten” puolelle. Konkreettiset hakkerointitaidot ovat karttuneet vasta alalla, koska oppiminen tapahtuu pitkälti työn ohella. Hakkerointi on minulle nykyään työtä, mikä on osittain hälventänyt glamouria sen ympärillä. Työnkuvaan kuuluu myös paljon muuta kuin itse hakkeroimista.
Elämäntyösi on tehdä internetistä turvallisempi paikka. Miten olet tässä onnistunut?
Työ internetin turvallistamiseksi on edelleen kesken, eikä se todennäköisesti ikinä lopu. Tärkeää on, että työstämme sitä niin pitkälle kuin pystymme. Internet, tieto ja järjestelmät pyörittävät elämäämme. Oman selailun lisäksi jopa ruokakaupan järjestelmät sekä julkinen liikenne keräävät meistä digitaalista jälkeä.
Tekniikan kehittyminen pitää työn jatkuvana, ja tietoturva onkin usein kilpajuoksua rikollisten kanssa. Itselleen täytyy myöntää, ettei kaikkialle voi ehtiä ensimmäisenä. Työn haasteet ja erityisesti ratkaisujen löytäminen innostavat kuitenkin jatkamaan.
Onko turvallista internetiä edes mahdollista rakentaa?
Internetistä on mahdollista rakentaa yhä turvallisempaa. Ero esimerkiksi 2000-luvun netin huijausviesteihin ja viruksiin on jo suuri. Sovellukset ovat nykyään teknisesti parempia ja turvallisempia kuin 20 vuotta sitten.
Turvattomuuden ongelmat löytyvät syvältä internetin logiikasta. Tietoturvan jatkuva kehittäminen saattaa tuntua turhalta, jos haavoittuvaisuudet järjestelmissä eivät ole ikinä tulleet ilmi negatiivisesti. Toisaalta järjestelmät voivat olla kehitettyjä turvallisiksi, mutta ihmiset aiheuttavat riskejä itse. Esimerkiksi työpaikalla salasanojen jakaminen byrokratian nopeuttamiseksi voi tuntua kiireessä hyvältä idealta, mutta työssä saatetaan käsitellä hyvinkin arkaluonteista sisältöä, kuten potilastietoja. Tietoturva onkin usein ristiriitaa käytettävyyden ja turvallisuuden välillä. Arjessa verkkohyökkäysten riski ei välttämättä tunnu ajankohtaiselta, mutta todellisuudessa tietoja varastetaan jatkuvasti.
Mikä olisi yksi asia, jonka maailmassa tahtoisit muuttaa?
Tahtoisin sosiaalisen median alustojen algoritmeista vähemmän polarisoivia. Suuret tunteet koukuttavat ja siksi alustat käyttävät mielellään esimerkiksi vihaa havaitsevia koodeja. Sosiaalisella medialla olisi kuitenkin erinomaiset valmiudet auttaa rakentamaan siltoja ihmisten välille ja laajentamaan näkökulmia. Toivoisin verkkoympäristöön vähemmän vastakkainasettelua ja enemmän kohtaamista.
Etäaika on siirtänyt elämää yhä enemmän internetiin. Mikä on tietoturvan rooli tulevaisuudessa?
Etätyön lisääntyessä tietoturvasta on tullut yhä henkilökohtaisempaa. Työn ja arjen sekoittuessa työläppärillä aletaan helposti harrastamaan omaa selailua, minkä yhteydessä saattaa unohtua, että läppäriltä voi olla pääsy todella arkaluontoiseen materiaaliin. Lisäksi pandemia-aika on lisännyt verkkorikollisuutta. Yhteyksissä ollaan koko ajan, mikä kannustaa tietojenkalastelun lisääntymiseen. Erityisen huolestuttavaa tämä on työläppäreillä.
Mitä uhkia etäaika aiheuttaa tavallisten ihmisten tietoturvalle?
Erityisesti tavallisiin ihmisiin kohdistuvat huijaukset ovat korostuneet etäaikana. Investointihuijauksia ja muuta rahankalastelua tapahtuu tällä hetkellä erityisen paljon kryptovaluuttaliikenteessä. “Normikäyttäjien” suurin haaste on tunnistaa ovelat verkkohuijaukset.
Internetrikollisuuden lisääntyminen on erityisen harmillinen kehityskulku siten, että internet ja sosiaaliseen mediaan syötetyt tiedot ovat helposti saatavilla. Rikollista työtä voidaan tehdä rauhassa, ja se kohdistuu usein laajoihin verkostoihin yksittäisten ihmisten sijaan. Verkkohyökkäyksiä voi olla myös vaikea havaita siinä missä esimerkiksi fyysiset ryöstöt nähdään heti, eikä niitä voi kohdistaa yhtä aikaa laajoihin väkijoukkoihin.
Tuleeko metaverse siirtämään meidät kokonaan nettiin?
Nykyaikainen elämä on jo nyt niin vahvasti netissä, että merkittävät muutokset elämäntapaan eivät ole todennäköisiä. Sosiaalisia suhteita luodaan jo nyt paljon netissä, mutta fyysinen ulottuvuus tulee olemaan myös aina tärkeää. Iso osa sosiaalista käyttäytymistä onkin fyysisen ja verkossa olemisen sekoittuminen kanssakäymisissä.
Pelottaako verkkopalveluntarjoajien keskittyminen samoille toimijoille? Tietääkö Mark Zuckerberg liikaa meistä?
Suuryritysten valtaa on se tieto, jota käyttäjistä on kerätty. Yksittäisten henkilötietojen kalastelu on harvinaista, ja datavaltaa hyödynnetään enemmänkin ohjaamalla tietynlaista sisältöä meille.
Esimerkiksi Yhdysvalloissa suunnitellaan tällä hetkellä lakeja, jotta isot palveluntarjoajat eivät voisi ostaa koko IT-yritysten verkostoa ja keskittää kaikkea valtaa itselleen. Vallan keskittyminen kaikissa konteksteissa on aina pelottavaa, ja kun somealustoja katsoo, olemme herkässä tilassa. Riskit tulee tiedostaa, mutta niitä ei pidä pelätä liikaa.
Kumpi on vallassa, algoritmit vai käyttäjät?
Algoritmeja voi rinnastaa yli-innokkaaseen tarjoilijaan ravintolassa. Hakukoneita käyttämällä ja tykkäyksiä jakamalla käyttäjät osoittavat tietynlaisia mieltymyksiä aivan kuin ravintolassa ruokaa tilatessaan. Tarjoilijat, kuten algoritmitkin, voivat näiden mieltymysten perusteella alkaa ehdotella sinulle sopivaa sisältöä. Ravintolassa ollessasi olet kuitenkin asiakas, joka voi poistua tilasta aina niin halutessaan. Tarjoilijan ehdottama ruoka voi olla herkullista, mutta asiakkaana täytyy muistaa, että myös muita menuvaihtoehtoja on olemassa ja ruoka jota syöt nyt, ei ehkä ole terveellistä sinulle. Algoritmitkaan eivät ole vallassa, jos niille ei anneta valtaa.
Mikä verkkoympäristössä tapahtuvassa käyttäytymisessä ärsyttää eniten tietoturva-asiantuntijaa?
“Victim shaming”. Verkkohyökkäysten uhreja ei pitäisi pitää tyhminä, vaikka he olisivat painaneet huijausviestien linkistä. Tilanteiden takana ovat usein inhimilliset virheet, ja ammattirikolliset pyrkivät tekemään huijauksista mahdollisimman houkuttelevia löytääkseen ihmisten heikkoudet. Huijaus-sanaan liittyy myös rikollisuutta vähättelevää narratiivia. Kyse on rikoksista ja rahapetoksista, ei harmittomista höynäytyksistä.
Tuot työtäsi esille aktiivisesti sosiaalisessa mediassa, nauhoitat omaa podcastia ja kierrät eri ohjelmissa kertomassa työstäsi. Pystyykö julkisuudessa toimimaan vaarantamatta omaa yksityisyyttään ja turvallisuuttaan?
En näe itseäni suurena julkkiksena, vaikka toisinaan minut tunnistetaan kadulla. Julkisessa työssä esillä ollessaan menettää väistämättä osan yksityisyydestään. Internetissä voi silti tehdä paljon sen eteen mitä itsestään haluaa jakaa. Kaikkien tulisi miettiä sitä, mihin vetää rajan ja mitä haluaa lähipiiristään näyttää netissä, ei vain julkisuuden henkilöiden. Valikoimalla tarkasti mitkä puolet itsestään paljastaa ei yksityisyyden osittainen menettäminen ole välttämättä huono asia.
Mitä teet silloin, kun et yritä pelastaa maailmaa verkkorikollisilta?
Harrastan videopelejä ja vietän paljon vapaa-aikaakin netissä. Tietoturvajutut pyrin jättämään kuitenkin työajalle. Tykkään katsoa dokumentteja ja viettää aikaa ystävien kanssa, jotta elämä ei ole pelkkää koodia.
Pelkäätkö ikinä, että tuomalla hakkerointia julkisuuteen ja näyttämällä miten tavallinenkin ihminen voi oppia tietoturvan salat kannustatkin kuulijoita rikolliseen toimintaan?
Riski siihen on toki olemassa, mutta uskon hyvän vaikutuksen olevan suurempi. On tärkeää tuoda esille myös se, miten hakkeroinnilla saadaan aikaan hyviä asioita ja rakennetaan turvaa. IT-alalla on erityisesti Suomessa tarjolla turvallisia työpaikkoja, ja minusta on tärkeää tuoda ilmi, että tätä voi tehdä työkseen ja tällä voi tienata rahaa.
Inhimillinen näkökulma täytyy muistaa myös puhuttaessa rikollisuuteen ajautumisesta.
Joissain maissa työmahdollisuudet löytyvät vain rikollisuudesta tai se voi olla merkittävästi tuottavampaa kuin tietoturvatyöt. Tuomalla esiin tietoturvakehityksen tarvetta ja sen työmahdollisuuksia uskon kannustavani seuraajiani lailliseen sekä kehittävään toimintaan.
Voiko teknologian kehitys vaarantaa rauhallisen arkipäivämme? Täytyykö hakkereita ja botteja pelätä?
Tietoverkostot ovat monimutkaisia ja usein yritysten hallinnassa. Yksittäisen kuluttajan rooli tietoverkostoissa on melko pieni yritysten rinnalla. Voimme luoda painetta tietoturvalle, mutta yksittäisten ihmisten ei tarvitse jäädä tuleen makaamaan pelkotilan kanssa. Asiat järjestyvät aina lopulta, ja esimerkiksi korttitietojen menettämisen jälkeen tilitiedot saadaan lähes aina palautettua.
On totta, että yhteiskuntarauha voi häiriintyä, mikäli kriittisiin instituutioihin päästään käsiksi. Esimerkiksi logistiset ongelmat ruuan kylmäjakelussa tai terveydenhuollon järjestelmien pysäyttäminen aiheuttaisi merkittäviä ongelmia yhteiskunnan toiminnalle. On erityisen tärkeää, että tietoturvaa kehitetään rauhan aikana, jotta mahdollisiin hyökkäyksiin on valmistauduttu.
Mitä rauha merkitsee sinulle?
Rauha merkitsee minulle elämää, jossa ei tarvitse aktiivisesti pelätä. Vapautta esittää mielipiteitä ilman pelkoa rangaistuksesta sekä mahdollisuutta turvata arkielämän jatkuvuus.
