Viikonloppuna julki tullut 16 000 suomalaisen henkilötietojen vuotaminen Internetiin on ollut puheenaihe pitkin viikkoa.
Maanantaina Anonymous Finland -nimellä itseään kutsuva ryhmä otti tietovuodon vastuulleen Pastebin-palvelussa julkaistussa viestissä. Anonymous Finland ilmoittautui viestissä myös Kansallisen Vastarintaliikkeen jäsenhakemusrekisterin murron tekijäksi.
Seuraavana päivänä samassa Internet-palvelussa julkaistiin viesti, jossa Anonymous-liikkeen osuus tietovuotoon kiistettiin.
Anonymous on kansainvälinen, löyhä hakkeriliike, joka on tehnyt itselleen nimeä monilla näyttävillä verkkohyökkäyksillä. Esimerkiksi viime vuonna se hyökkäsi luottokorttiyhtiöiden sivuille sen jälkeen, kun ne olivat päättäneet lopettaa maksujen välittämisen WikiLeaksille.
Viestintäviraston tietoturvayksikön CERT-FI:n päällikkö Erka Koivunen suhtautuu Suomea koskeviin viesteihin suurella epäluulolla.
– Aika vahvalla lähdekritiikillä näitä luetaan. Jos kyseessä on tällainen löyhä organisaatio, joka ei oikeastaan edes ole organisaatio vaan niin sanottu likeminded-järjestö, niin ei näille viesteille voi suurta painoarvoa antaa.
– Kun tällaiselle järjestölle luodaan jokin brändi, kuka tahansa voi käyttää sitä ja saattaa julkisuuteen mitä tahansa soopaa.
Koivusen mukaan viesteille annetaan suurempi painoarvo siinä vaiheessa, kun niiden väitteiden tueksi esitetään konkreettisia todisteita.
– Nykyisellään viestit ovat yhden sortin leikkiä, sanoisinko mediapeliä.
"Suomessa teknisesti erittäin päteviä yksilöitä"
Suomen hakkeri- ja nettiaktivistiliikkeestä ei ole tarkkoja tietoja, kertoo Koivunen.
– Me olemme viranomaispuolella 10-20 vuotta liian vanhoja, jotta voisimme todella ymmärtää millaisesta "skenestä" on kyse.
– Tiedossa on, että Suomessa on teknisesti erittäin päteviä toimijoita, jotka ovat myös kiinnostuneita tietoturvasta ja sen parantamisesta. Meille tulee paljon kansalaisten harrastemielessä tekemiä arvokkaita vinkkejä siitä, mitkä ohjelmat, sivut ja palvelut voivat olla haavoittuvia.
Koivunen ottaa esimerkiksi Sampo-pankin vuonna 2008 tekemän tietojärjestelmäuudistuksen, joka meni pahasti kiville. Silloin järjestelmän haavoittuvuuksien ympärille syntyi todellinen metsästysjahti.
– Lukuisat ihmiset alkoivat etsiä samanlaisia haavoittuvuuksia myös muilta sivuilta. Alkuvaiheessa homma meni joukkoistamisen parhaita perinteitä noudattaen eli löydettyjen haavoittuvuuksien yksityiskohdat julkaistiin suoraan Internetissä.
– Jossain vaiheessa onnistuimme vakuuttamaan aktiivisimmat, että haavoittuvuudet on vastuullisempaa kertoa haavoittuvien palvelimien omistajille tai meille. Sen jälkeen saimme vaikka kuinka monta haavoittuvuusraporttia.
CERT-FI joutuu tällaisissa tapauksissa luottamaan vapaaehtoisvoimiin, sillä enempään ei juuri ole resursseja.
– Tällaisen varassa me ollaan. Meidän tehtävämme on istua käsiemme päällä ja odottaa, että joku raportoi. Käytännössä kaikki ilmoitukset tulevat vapaaehtoispohjalta. Olemme tästä erittäin kiitollisia, sillä näin tieto saadaan palvelemaan suurempaa hyvää.
– Nyt puheenaolevassa tietovuodossakin hakkeriliike olisi voinut miettiä askeleen pidemmälle. Jos he ovat todella kiinnostuneita tietoturvan parantamisesta, olisivat raportoineet meille. Meillä on aina aikaa tällaiselle toiminnalle.
Suomessa on tietoturvasta kiinnostuneiden aktivistien lisäksi myös toisenlainen hakkeriklikki.
– Meillä on hyvin tiedossa, että on olemassa yhden sortin, jos nyt ei ihan puhtaan laittomuuden, niin ainakin kansalaistottelemattomuuden kulttuuri. Jos jossain sanotaan että näin ei saa tehdä, niin nämä ovat niitä, jotka juuri siitä syystä nimenomaan tekevät niin.
"Tietoturvaviranomaisten resursseista kannattaisi pitää huolta"
CERT-FI:n Erka Koivusen mukaan viikonlopun tietovuodon tärkeimpiä opetuksia oli, että Suomessa on vain pari viranomaista, joilla on kyky reagoida tietoyhteiskunnan turvallisuusongelmiin.
– Tehtävämme on reagoida julkitulleisiin ja julkisaatettuihin tietoturvaloukkauksiin. Tässä valtakunnassa nopeaa ensivastetta tietoturvaongelmiin eivät muut kykene tarjoamaan kuin me ja poliisi.
– Molemmissa on kehittämisen varaa. Toivottavasti toimintaedellytyksemme turvataan jatkossa paremmin.
CERT-FI:n toimintamandaatti ja resurssit on mitoitettu tietoverkon yleisen toiminnan turvaamiseksi, kärjistää Koivunen. Tietoverkon sisällä toimivien palveluiden ja tietokantojen turvaamiseen ei ole samanlaisia mahdollisuuksia.
– Se on valitettavaa, sillä jo monen vuoden ajan on ollut tiedossa, että siellä ovat isoimmat tietomassat ja samalla myös uhkat.
Puolustusministeriön vastuulla oleva turvallisuus- ja puolustusasiain komitea valmistelee parhaillaan uutta kansallista kyberturvallisuusstrategiaa. Työn pitäisi valmistua ensi vuoden loppuun mennessä. Koivunen toivoo, että tietoturvaviranomaisten roolia ja resursseja käsitellään kunnolla.
– Kyberturvallisuusstrategian valmistelussa on tuhannen taalan paikka kosketella myös näitä asioita.
Lue myös: Tietovuoto edelleen mysteeri - uhriorganisaatioita enemmän kuin kolme
Viikonlopun tietomurto innostanut uusiin vuotoihin (8.11.)
HS: Anonymous-hakkerit kiistävät vastuun tietovuodosta (8.11.)
Suomen suurimmalle tietomurrolle ilmoittautui tekijä (7.11.)
Tietomurron tekijäksi ilmoittautunut ryhmä vaatii Halla-ahon ja Hakkaraisen eroa (7.11.)
Suomen Asiakastieto: Tietovuodon uhrit säilyttävät luottotietonsa (7.11.)