28.8.2025
Markus Sovala: Hyvät kuulijat! Tervetuloa Tilastokeskuksen mukaan Tiedontulevaisuus -podcastiin. Meillä on tässä nimessä jo koukku mukana, sillä päivittäin tilastojemme mukaan sanapari ”Tilastokeskuksen mukaan” esiintyy Suomen mediassa noin 100 kertaa. Me Tilastokeskuksessa uskomme, että luotettava tieto on demokratian ja rauhanomaisten yhteiskuntien ihan perustaa ja tätä hommaa on tehty jo kohta 160 vuotta. Maailma oli 1800-luvulla kovin erinäköinen. Varmasti samojakin asioita oli, mutta se mistä tänään puhutaan, niin melkein luulen, että ei 1800-luvun ihminen joutunut sen kanssa tekemisiin. Nimittäin tänään puhutaan tietoturvasta, puhutaan tietosuojasta, puhutaan hakkeroinnista, puhutaan sitä vastaan suojautumisesta. Meillä on täällä tänään vieraana Benjamin Särkkä. Hän on suomalaisen tietoturva-alan tärkeä vaikuttaja monessa, monta roolia, kuten itse sanoo. Päivätöissä Volvolla, yrittäjä ja rooli tällaisessa Cyber Security Assurance yhteisössä. Vai onko se järjestö?
Benjamin Särkkä: No siis Disobey on ihan rekisteröity yhdistys Suomessa.
Markus: Eli ihan rekisteröity eikä yr eli yritetty rekisteröidä.
Benjamin: Just näin.
Markus: Okei, selvä homma. Sinua on kuvattu, että sinä olet valkohattuhakkeri. Mitä se mitä se tarkoittaa? Tänään on musta hattu päässä.
Benjamin: Tämä on ehkä yksi niistä asioista, mikä ärsyttää mua kaikista eniten hakkerikeskusteluissa ja ihan vaan puhtaasti siitä syystä, että mikään muu ammatti ei vaadi eettinen tai valkohattu -etuliitettä. Me ei puhuta eettisistä poliiseista tai valkohattulukkosepistä tai mistään muusta ammattiryhmästä, jolla on taitoa jota ihan yhtä hyvin voisi käyttää rikolliseen toimintaan tai pahaan. Ja sitten ei koeta tarvetta laittaa siihen eteen, että nämä on niitä hyviä tyyppejä. Siinä mielessä mä olen hakkeri ja jos olen ylpeä hakkerina, niin en tarvitse siihen sitä etiikkaa etuliitteeksi, koska olen moraalinen ihminen ja pyrin olemaan hyvä ihminen. Ja se, että mulla on taitoja jota voidaan käyttää rikolliseen toimintaan ei mitenkään poissulje tätä keissiä.
Markus: Toi on ihan nyt ihan hyvä pointti. Rupesin miettimään, että mitä tapahtuisi, jos puhuisimme, että olemme valkohattutilastoijia täällä Tilastokeskuksessa. Se olisi vähän varmaankin aika erityinen, erikoinen tunnelma. Onko teitä hyviksiä enemmän kuin pahiksia?
Benjamin: On, on. Ja siis mun mielestä hakkeri on vaan enemmän sellainen mielentila tai ajattelutapa. Ajatellaan, että maailma ei ole valmis. Meillä on mahdollisuuksia muuttaa sitä, parantaa sitä ja olemassa olevia totuuksia kannattaa kokeilla ja testata. Se on se, mistä se tulee. Tulee ehkä enemmän kuin mistään muusta. Pakko reagoida tähän, kun sä sanoit, että 1800-luvulla maailma oli erilainen. Mä rupesin miettimään, milloinkohan tietosuojaa on ensimmäisen kerran käytetty. Mä rupesin miettimään Cesarin aikaisia lähettejä, niin niissäkin on kuitenkin jo kryptattu se teksti.
Markus: Eli tatuoitu päähän ja niin matkan aikana kasvoi tukka niin pitkäksi, että siinä ei ohikulkijat eivät pystyneet lukemaan viestiä päänahasta. Mistä tällaisia juttuja kuulee?
Benjamin: Siis eihän tietosuoja konseptina ole hirveän uusi. Se että se on digitaalista, niin se on ehkä se uusi muutos tähän kokonaisuuteen.
Markus: Täältä, taisi olla ihan Pietarista saakka Tukholmaan, oli sellainen optinen lennätin. Tuli jo varmaan 1800 luvun ekalla puoliskolla. Eli sellaisia mastoja, joissa käännettiin kylttejä ja kaukoputkella seuraavasta sitten katsottiin missä asennossa ne kyltit oli ja sitä kautta kirjain kirjaimelta viesti kulki satoja kilometrejä. Ihan toimiva systeemi, ei vain sumuisella säällä eikä yöllä ollut käytössä. Olikohan ne mitenkään kryptattuja vai oliko se ihan avointa viestinvälitystä?
Benjamin: Se on tosi hyvä kysymys ja se on periaatteessa sama bit by bit, lähetetään dataa, kuin tänä päivänä. Se oli vaan hitaampi tiedonsiirtonopeus.
Markus: Niin siinä saattoi olla että Länsi-Uusmaalainen maajussi olisi pystynyt hyvin seurailemaan Ruotsin ja Venäjän hovien välistä tiedonvaihtoa, jollei se ollut kryptattua. Kun tiedon suojaaminen ja sen vahtiminen, että sitä ei ulkopuolinen pääse nuuskimaan tai pääse muuttamaan, tai sen varmistaminen, että se on periaatteessa aina käytettävissä eikä tule mitään isoja katkoksia. Sehän on kaikkien organisaatioiden ihan ykköshommia ja voit vain uskoa Benjamin, että kuinka paljon sen eteen Tilastokeskuksessakin nähdään vaivaa. Mikä tällaisessa maailmassa on teidän hyvis hakkereiden? Okei, nyt käytin. Niin.
Benjamin: Sekin on jo parempi kuin valkohattuhakkeri.
Markus: Niin, mikä tällaisessa maailmassa on hyvishakkerin rooli?
Benjamin: No se on ehkä se, että jos mietitään, että tietoturva ja tietosuoja on sitä, että varmistetaan tiedon oikeellisuus, luottamuksellisuus, kätevyys ja käytettävyys ja saatavuus, niin hakkerin tehtävä on testata, että totuus vastaa dokumentoitua ja odotusta eli käydään koputtelemassa ikkunoita, testataan onko ovet lukossa, ravistellaan vähän sitä puuta ja katotaan tippuuko sieltä jotain alas. Se on sellainen validoiva kontrolli siihen, joka varmistaa tosi pragmaattisesti, että se tietosuoja toteutuu halutulla tavalla tai tarpeeksi hyvällä tavalla. Samaan aikaan varmistetaan myös se, että jos on tietoturva, vaste tai prosessi tai yrityksen jatkuvuusprosessit, niin ne toimii halutulla tavalla. Eli että kaikki tietävät.
Markus: Vaikkapa viraston, niin se on ihan semmoinen juttu tällaisissa virastoissa kuin yrityksen ihan samalla tavalla.
Benjamin: Sitä voisi ehkä kääntää niin, että hakkeri ajattelee ja toimii kuten rikollinen luvan kanssa, jotta se ensimmäinen kerta kun ne toimenpiteet tehdään sinne yritykseen ei olisi oikea rikollinen. Että annetaan sellainen ennakkovaroitus niihin. Niihin tekemiseen toimitaan proaktiivisena tietoturvan toteuttajana siihen organisaatioon.
Markus: Mikä on rosvon motiivi?
Benjamin: Raha hyvin usein.
Markus: Mutta kai siinä nyt vähän valtiollakin on joskus…
Benjamin: No siis siellä on sitten se valtion vakoilu tietenkin. Ehkä se resilienssin testaaminen, valmiuden testaaminen ja sitten ehkä jonkunnäköinen teollisuusvakoilu saattaa osalla valtioista olla kanssa aika oleellisessa roolissa. Jos karkeasti ottaen jaetaan uhkatoimijat muutamaan eri ryhmään, niin siellä voisi olla valtiotason toimijat, tai tämmöiset korkean kyvykkyyden ja korkean resursoinnin toimijat. Yhtenä kategoriana voi olla kyberrikolliset tai järjestäytynyt rikollisuus yhtenä toimijana. Ja tämmöiset harrastelijat tai haktivistit voisi olla yhtenä toimijana ja sen ympärille sitten lähteä miettimään erinäköiset suojaukset näitä eri kyvykkyyksiä vastaan.
Markus: Onko nämä suojaukset nykyään sillä tasolla, ettei ihan tämmöinen, en nyt halua puhua mitenkään väheksyvästi, mutta tällainen koulutyttö tai koulupoika ei enää pysty koputtelemaan näitä systeemejä.
Benjamin: Siis hyvin usein ihan lainsäädännön ja niin kuin valmistajan intressien perusteella ne suojaukset mitä meillä on käytössä ovat paremmalla tolalla kuin mitä ne on koskaan aikaisemmin ollut. Samaan aikaan edelleen näkee tosi alkeellisia mokia. Varsinkin nyt kun kaikista on periaatteessa tullut Vibe koodaajia AI:n avulla. Sanotaan AI:lle, että hei mulle tällainen softa ja sitten sä saat ulos sieltä jotain, joka saa 80% tai 90% toimimaan. Siellä saattaa tulla ihan logiikkavikoja tai logiikkamokia niihin softiin ja sen kautta semmoiset tietoturvaongelmat tai varsinkin webbipuolella semmoiset haavoittuvuudet on yleistyneet uudestaan, mitkä pitkään oli katoamassa kokonaan, kun kehittäjien osaamistaso nousi ja niiden turvallisuus ja ymmärrys sen myötä. Ja varsinkin rikollispuolella, siinä ekosysteemissä on paljon tällaisia crime as a service tai palvelumalleja missä jos haluat ryhtyä kyberrikolliseksi, sinun tarvitsee vain maksaa osuus niistä voitoista sille toimijalle, joka tekee sinulle ne työkalut. Se tekninen osaaminen ei ole ehkä se barrier of entry tai se joka estää siirtymästä siihen kyberrikollisuuspuolelle.
Markus: Mutta mikä on se pullonkaula sitten jollei osaaminen? Ja kun ilmeisesti pahuuttakin maailmassa riittää?
Benjamin: Niin siis en tiedä. Nyt siis ehkä jo vähän filosofian puolella ja voisi olla parempi, että tässä olisi joku psykologi kertomassa meille, että minkä takia ihmiset varastaa niin usein. Mun mielessä se perustuu siihen, että on tarve tai on kyky, mutta ei ole mahdollisuutta hyödyntää niitä omia kykyjä sellaisella tavalla, millä pystyisi elättämään itsensä. Jossain brasilialaisessa favelassa, jos siellä on joku lapsinero, joka osaa käyttää tietokoneita tosi hyvin ja hänellä on kyky lähettää 10 miljoonaa sähköpostia ja sen avulla saada itselleen miljoonia ja nostaa koko perheensä pois köyhyydestä, niin se on varmaan aika houkutteleva teesi sille lapselle. Kun taas jos se sama tapahtuu täällä länsimaissa, missä se voi mennä johonkin tietoturvayhtiöön töihin tai johonkin IT taloon tai mihin tahansa muuhun, niin se insentiivi siihen rikolliselle polulle on merkittävästi pienempi. Ehkä tämä on tällainen moraalis-eettinen kysymys, että mikä ohjaa meitä ihmisenä hyvän puoleen. Ja kyllä mä väitän, että meitä hyviä ihmisiä on ainakin toistaiseksi vielä enemmän maailmassa kuin niitä, jotka haluaa toisilleen pahaa.
Markus: Meillä on tänään Tilastokeskuksen Tiedon tulevaisuus -podcastissa jututettavana Benjamin Särkkä. Hän on tietoturva-alan merkittävä osaaja ja toimija ja voisi sanoa, että peluri kanssa, tiedät miten nämä systeemit pelaavat. Jatketaan keskustelua, mutta otetaan yksi tilastotieto, kun Tilastokeskuksessa ollaan. Otetaan naapurin virastosta eli liikenne- ja viestintävirasto Traficomin tietoja kyberturvallisuudesta viime vuodelta. Täältä katselen, että tietoturvapoikkeama, joka on siis sellainen lakisääteinen. Sellainen pitää tehdä tietyissä olosuhteissa. Niin se näyttäisi olevan aika vakaasti ollut viime vuosina noin 17 000 kappaletta, eli näiden mukaan ei olisi mitään nopeata kasvua vastannut. Vastaako tämä sinun käsitystä, että tämä näiden tapahtumien määrä on karkeasti ottaen kuitenkin ennallaan eikä räjähtämässä käsistä?
Benjamin: Siis kyllä mä uskon, että se ei ole mitenkään merkittävästi pahentunut ainakaan. Ja luotan kyllä Traficomiin ja Tilastokeskuksen siinä määrin, että nämä ovat varmasti ihan oikeita lukuja. Se ei välttämättä kuitenkaan kerro ihan koko totuutta. Siis siinä mielessä, että meillä ei Suomessa ole pakottavaa tarvetta ilmoittaa kaikista tietomurroista tai tietoturvapoikkeamista. Saattaa olla merkittävä määrä sellaisia ihmisiä, jotka eivät syystä tai toisesta halua kertoa tai uskalla kertoa, että heille on käynyt jotain pahaa. Ja olisi mielenkiintoista tietää, että miten iso se ongelma on. Usein varsinkin tämmöisissä huijauksissa ja sähköpostin kautta tehtävissä tietoturvahuijauksissa hyökätään ihmisten pelkoihin ja häpeään kiinni. Jos sun häpeän kautta sulta saadaan kiristettyä rahaa, niin on aika epätodennäköistä, että sä tulet kertomaan siitä poliisille tai Traficomille. Ja niiden ihmisten auttaminen, tunnistaminen ja löytäminen olisi mun mielestä ensiarvoisen tärkeää, Että ihmiset ymmärtäisivät, että jos ne on joutunut uhriksi, niin ne on tosiaan se uhri siinä tilanteessa ja heidän ei tarvitse hävetä sitä uhriasemaa, vaan meillä on yhteiskunnassa rakenteita, jotka on olemassa sitä varten, että me halutaan auttaa niitä ja mahdollistaa niille se siitä tilanteesta poispäin pääseminen ja siten saada ehkä jonkinnäköistä oikeuttakin siihen tilanteeseen.
Markus: Se on ihan vähän niin kuin muussakin rikollisuudessa, että sehän on aina oma taiteenlajinsa, Että jos saa kadulla turpaan, niin oliko se mun vika? Olinko mä väärällä puolella katua? Olinko mä väärään aikaan liikkeellä? Nää on hankalia kysymyksiä. Eikä pitäisi koskaan olla, että uhrin pitäisi mitään hävetä. Kyllä se rosvo siinä on se pahin pahis, mutta vähän filosofisempi kysymys, että kun aika suuri osa tästä tämän tapaisesta rikollisuudesta tai sitten tämä valtiollinen toiminta, joka nyt, josta kaikesta päätellen on ihan selvät merkit, että sitä tehdään huolella ja suunnitellusti isojen ja pienten valtioiden toimesta. Sehän suuntautuu varmaan aina jotenkin jonkun organisaation tai yrityksen kautta, mutta ollenkaan aina se ainoa uhri ei ole se yritys tai tällainen valtion organisaatio, vaan siellä lopulta siellä on kärsijänä tavalliset ihmiset, kuten tämä Vastaamon keissi. Niin mitä sä tästä ajattelet, että ketä te hyvikset suojelette? Suojeletteko te ihmisiä vai näitä organisaatioita?
Benjamin: Siis organisaatio ei ole olemassa ilman ihmistä ja sen kautta, että me suojellaan sitä ihmistä me suojellaan myös sitä organisaatiota. Mun mielestä sen pitäisi kääntyä myös toisinpäin. Tetoturva-aktivistit tai hyvishakkerit ja esim. Kybervpkt ja tämän tyyppiset toimijat, me aktiivisesti pyritään poistamaan sitä epäoikeudenmukaisuutta, joka syntyy siitä, että turvallisuudesta tulee sellainen ylellisyystuote, missä meillä yksilöinä ei ikään kuin ole varaa siihen parhaimpaan mahdolliseen turvallisuuteen. Ja sen poistaminen mun mielestä eriarvoisen tärkeätä, mutta samaan aikaan mun mielestä organisaatioiden pitäisi myös suojella ihmisiä, jotka on niissä organisaatioissa töissä. Eli se miten ne organisaatiot pystyy varmistamaan, että niissä olevat ihmiset saavat sen parhaan mahdollisen turvan itselleen. On myös sen organisaation vastuulla, koska ei ole olemassa enää sellaista organisaatiota, jossa olisi selkeä ero sen työlaitteen ja kotilaitteen tai henkilökohtaisen laitteen välillä. Tai siis on, mutta ne on tosi katoava voimavara. Vaara, että suurin osa ihmisistä käyttää sosiaalista mediaa duunipuhelimella ja lukee uutisia, surffaa sillä duunipuhelimella.
Markus: Tavallaan työ-ICT, koti-ICT, niin se raja on just etätyömaailmassa tosi häilyvä. Just näin se vaan on ja monella tapaa. Se vaan täytyy kaikesta tiedon suojaamisessa ottaa huomioon, että ihmiset tekee töitä muuallakin kuin työpaikalla ja on samoja laitteita ja samantapaisia kontakteja syntyy. Monet organisaatiot niin kuin me, mehän paljon välitetään tietoa somessa niin se on meidän duunia ja meidän täytyy ajatella myös tietosuoja, tietoturvallisuus siellä.
Benjamin: Just näin.
Markus: Tällaisen tietoa käsittelevän organisaation kuin Tilastokeskus näkökulmasta on kysymys siitä, että lopulta siitä, että ihmiset voi luottaa, että heidän tietonsa eivät tästä organisaatiosta ulkopuolisille missään olosuhteissa joudu ja samalla he voivat luottaa siihen, että meidän tuottama tieto on niin oikein kuin se on tehtävissä, ettei kukaan pysty syöttämään meidän järjestelmiin vääriä tietoja. Miten sinä Benjamin yleisesti kuvaisit suomalaista yhteiskuntaa? Voiko täällä mennä rauhallisin mielin illalla nukkumaan ja voi olla aika varma, ettei aamuun mennessä sun pankkitili ole tyhjennetty eikä sun tiedot ole levitelty ympäri maailmaa.
Benjamin: Musta tuntuu, että suomalainen yhteiskunta tietoturvan perspektiivistä ja tietosuojaperspektiivistä mukailee aika paljon tätä suomalaista sielunmaisemaa tai kulttuuria, missä meillä on vahva luottamus toisiimme ja vahva yhteisöllisyys. Vaikkakin me ei välttämättä aina olla ehkä sosiaalisimpia eläimiä, mitä maailmasta löytyy.
Markus: Mun mielestä sä oot yksi maailman sosiaalisimmista eläimistä, mutta ehkä me ollaan poikkeuksia.
Benjamin: Ehkä. Mutta siis sen myötä, että meillä on korkea luottamus toisiimme, niin meillä on myös korkea luotto yhteiskuntaan, joka mahdollistaa sen, että yhteiskunta pystyy rakentamaan sellaisia malleja ja sellaisia tukiverkostoja, jotka antavat meille sellaisen turvallisen ympäristön missä elää ja olla. Valitettavasti sen kääntöpuoli on se, että rikollisten on helppo hyväksikäyttää ihmisiä, joilla on korkea luottamuksen taso, koska silloin me ei olla opittu sitä mallia, että me arvioidaan aktiivisesti meitä lähestyviä ihmisiä. Me ei aktiivisesti arvioida meille tarjottavia tietolähteitä tai tarjouksia, jolloin on helpompi joutua tällaisten huijausten uhriksi.
Markus: Mä vähän väitän, että puhut ehkä pikkuisen vanhasta tilanteesta. Kyllä mä itse huomaan, että kyllä mä arvioin koko ajan mulle tulevaa erilaista, kun selvästi tulee jossakin rikollisessa tarkoituksessa olevia yhteydenottoja jotakin varmaan viisi päivässä, joku semmoinen tiedustelu roskaposti. Nehän jää valtaosaltaan nykyään noihin filttereihin. Niitä huomaa vain kun käy katsomassa mitä sieltä roskapostikansiosta löytyy. Niin, kyllä mä luulen, että mun aivot jotenkin luokittelee sitä sisääntulevaa, että onko tämä tekstiviesti niin voiko tämä olla oikea vai onko tässä nyt joku haluaa mun pankkitunnukset?
Benjamin: Se voi olla. Ehkä tämä on se yksi juttu minkä mä opin tänään, että mun ajattelu on pysähtynyt sinne vanhaan maailmaan, missä oli vielä tämä korkeampi luottamus. Kyllähän se on ihan totta, että päivittäin tulee useita näitä huijausyrityksiä ja ehkä sen myötä, että niistä on tullut niin yleisiä niin digitaalisessa maailmassa ja digitaalisessa mediassa, tulevat tällaiset huijausyritykset on helpompi ohittaa.
Markus: Itse asiassa mä pelkään, että mulle alkaa käydä niin, että ihan asiallista sisääntulevaa sähköpostiliikennettä jää seuraamatta, kun se ajattelee, että okei, se oli, se oli taas se roskaposti. Ja vaikka siellä onkin joku ihan mulle hyödyllinen asia.
Benjamin: Olen vakuuttunut siitä, että sähköposti on huonoin keksintö, mitä ihmiskunta on vähän aikaa tehnyt. Mä en keksi turhempaa mediaa, johon tieto menee kuolemaan sähköpostiin. Mulle tulee niin paljon mailia, että mä en oikeesti saa luettua niitä kaikkia ja sitten unohdan ne jo siinä vaiheessa kun joku soittaa mulle ja kysyy, että saitko sen mun sähköpostin, niin sitten mä luen sen sähköpostin vasta.
Markus: Ihan totta, sähköposti on aika kuolinspiraalissa monella tapaa, Mutta kokonaisuutena nämä nykyaikaiset sähköiset palvelut, onhan ne hienoja. Mä toivon ja mietin, että voisiko elää loppuelämänsä niin, ettei koskaan tarvitsisi käydä minkään pankin toimistossa enää. Mä olen käynyt viimeksi joskus yli 10 vuotta sitten ja lasken joka vuosi, että mä oon aina voitolla, jollei ole mitään syytä mennä pankkiin.
Benjamin: Se on ihan hyvä lähestyminen siis muutenkin. Muutenkin se kaikki mikä on puhelimella mahdollista. Näin siis eilen. Tilasin verkkokortin kotiin. Kotiin kotiinkuljetuksella tuli alle tunnissa. Se mikä on mahdollista varsinkin pääkaupunkiseudulla. Mutta siis mikä mahdollista digitaalisen maailman myötä ja ne palvelut mitkä on meillä käytettävissä, niin sen digitaalisen maailman myötä. Kyllähän se helpottaa elämää merkittävästi ja mahdollistaa sen, että voidaan maata hiekkarannalla ja hoitaa pankkipalveluita.
Markus: Meille Tilastokeskuksessa tämä näyttäytyy niin, että meidän ei tarvitse enää ihmisiä vaivata, kun me saadaan valtaosa tiedoista sen takia, kun ne on jo jossakin olemassa. Ja siis perusajatus. Miksi kysyisit asiaa, joka jo on jossakin julkisen hallinnon rekisterissä tiedossa? Ja paitsi se on meille iso kustannussäästö, että meidän ei tarvitse kerätä tietoa, mutta kyllä me uskotaan, että teen palvelus kansalaiselle, ettei hänen tarvitse päätänsä vaivata Tilastokeskuksen kyselyiden kanssa. Silloin kun me kysytään, me kysytään sellaista asiaa, mitä ei mistään muualta saa. Ja silloin kannattaa kyllä vastata, koska sitten niitä tietoja esimerkiksi ihmisten mielipiteistä taikka tulevaisuudensuunnitelma. Sitähän ei saa tai tunnelmaa, Ei niitä saa muuten selville kuin kysymällä ihmisiltä.
Benjamin: Niin tai vielä ei ainakaan pysty ennustamaan hirveän hyvin.
Markus: Mä luulen, että tämä taitaa jäädä tulevaisuudessakin tämmöisten asioiden ennustaminen heikoksi. Suomalaisissa virastoissa tietosuoja tietoturva on lopulta aika iso puheenaihe naapurin virastojen kanssa. Kun paljon asioita tehdään muitakin yhteistyössä, niin tieto, tietosuoja ja tietoturva on sellainen vakioaihe mitä käydään läpi. Mikä sun tuntuma on suomalaisista viranomaisista? Ottaako suomalaiset viranomaiset tarpeeksi vakavasti yleisesti ottaen tietosuojan? Kun mä koen, että me tehdään aika paljon, niin olenko mä liian itsevarma?
Benjamin: Siis musta tuntuu, että me tehdään paljon. Se, että tehdäänkö me oikeita asioita ja kuinka hyvin me validoidaan sitä meidän tekemistä, niin siinä on mun mielestä aika paljon vielä tekemistä. Eli mun pelko on, että moni organisaatio sortuu sellaiseen ansaan. Myös moni valtion toimija ja yksityinen toimija sellaiseen ansaan, missä sekoitetaan se, että käydään läpi sellaista checklistiä tai compliance check -listiä. Ja sitten ajatellaan, että sillä että me saadaan raksi jokaiseen ruutuun, niin nyt me ollaan turvassa ja nyt ei tarvitse tehdä enää mitään. Ja se että on complianssi kunnossa, se on tärkeää. Se ei ole se mitä mä yritän sanoa, vaan se, että sen pitäisi olla se lähtöasetelma, se minimi nyt. Nyt me ollaan compliant ja nyt aletaan rakentaa turvallisuutta tähän päälle, että me päästään semmoiseen rakenteeseen missä turvallisuus lisää käytettävyyttä. Turvallisuus lisää mahdollisuuksia ja helpottaa riskinottoa ja toimintaa sellaisilla alueilla, missä ei välttämättä muuten pystyttäisi olemaan. Ja usein valitettavasti Suomessa törmää sellaiseen ilmiöön, missä turvallisuus nähdään semmoisena toimijana, joka estää tekemästä asioita. Hankaloittaa tai vaikeuttaa asioiden tekemistä eikä sellaisena, mikä mahdollistaa asioiden toimintaa ja vie eteenpäin ja lisää käytettävyyttä ja antaa uusia työkaluja käyttöön sellaisella tavalla, joka luo uutta bisnestä, luo uusia mahdollisuuksia.
Markus: No ihan periaatteen tasolla kyllä me Tilastokeskuksessa ajatellaan, että tieto, tietosuoja ja sitä turvaava tietoturva on meille mahdollistava tekijä. Eihän ihmiset hyväksyisi, että me kerätään heitä koskevia tietoja. Ei yritykset suostuisi antamaan meille tietojansa, jos ne epäilisivät, että ne eivät olisi täällä niin turvassa kuin ne voivat olla. Kyllä se, että kyllä tämä homma loppuisi lyhkäseen, jollei me tästä pidettäisi huolta. Kyllä mä vähän puolustaisin sitä, mutta voi olla, että mä myönnän sen, että se, että tuommoista hakkerityyppistä varmistelua ehkä pitäisi olla. Opin diplomi-insinööri isältäni lausuman, että mikään niin viisas kuin insinööri. Eli kun vaikka kuinka suunnittelet aukottoman systeemin, niin sitä pitäisi jonkun ulkopuolisen testata ja koputella, että olisiko siinä sitten kuitenkin jotakin aukkoa, että sellaista varmistelun varmistelua ehkä pitäisi olla enemmän.
Benjamin: Ja sitten se oikeasti mietittäisiin, mikä on se ongelma mitä yritetään ratkaista. Mä vähän aikaa sitten törmäsin tämmöiseen vertauskuvaan missä on kaksi ihmistä, jotka tappelee siitä kumpi saa sitruunan, koska kummatkin tarvitsevat yhden kokonaisen sitruunan. Ja sitten se lopputulema on, että sitruuna vedetään puoliksi ja kummatkin on tyytymättömiä, koska ne saivat puolikkaan sitruunan. Jos ne olisi alun perin keskustelleet siitä, että se toinen niistä tarvii sen sitruunanmehun ja sen toinen tarvitsee sen sitruunan kuoren, ne olisi kummatkin voinut saada sata pinnaa siitä sitruunasta ja kummatkin ois voinut saada täydellisesti sen mitä ne haluaa.
Ja musta tuntuu, että tietoturvassa ja tietoturvan toteutumisessa on vähän sama juttu. Me helposti lähdetään siitä, että me vaan kuunnellaan mitä sanotaan ymmärtämättä että mikä se on se ongelma mitä yritetään ratkaista ja sitten aletaan rakentaa siihen kuviteltuun ratkaisuun erinäköisiä suojauskerroksia ja kontrolleja ja muita siihen ympärille, kun niitä ei välttämättä olisi tarvinnut ollenkaan. Jos me oltais ymmärretty se alkuperäinen ongelma, niin me oltais yhteistyössä niiden ihmisten kanssa, joilla on se alkuperäinen ongelma tai se tarve rakennettu. Joku sellainen palvelu joka oli tai tuote tai mikä tahansa, joka olisi mahdollistanut sen ongelman syntymisen sellaisella tavalla, joka lisäisi sen käytettävyyttä ja mahdollistaisi sen integraatiota erinäköisiin järjestelmiin ja toisi sitä lähemmäksi läpinäkyvämmin kaikkeen toimintaan. Valtion toimijoilla, en tiedä onko Tilastokeskuksella sellaista mahdollisuutta, mutta siis mä voisin kuvitella, että ihmisten luottamusta toimia kohtaan lisäisi se, jos jokainen voisi käydä katsomassa mitä kaikkea tietoa teillä on just minusta. Ja mä voisin vaan loggaa sisään siihen palveluun ja sit tulisi joka jokaikinen tietotietosetti mitä musta on kerätty. Olisi mulle saatavilla, mutta kukaan muu ei voisi nähdä sitä ilman sitä anonymisointia joka tapahtuu. Siihen olisi rakennettu joku tällainen malli ja sen lisäksi mulla olisi vielä mahdollisuus käyttää sitä mun tietoa Tilastokeskuksen kautta. Jotenkin mä voisin, jos mä haluan jakaa siitä osan siitä tiedosta jollekin toiselle palveluntarjoajalle, niin mä voisin sallia sen palvelutarjoajan käyttää jotain subsettiä siitä Tilastokeskuksen keräämästä tietoa musta. Siis Tilastokeskuksella olisi tällainen digitaalinen kopio musta ja sit mä voisin lainata sitä digitaalista kopiota erinäköisin käyttötarkoituksiin.
Markus: Ajatuksena se, että tietoturvaan rakennetaan, siihen tavallaan käyttöliittymään ja siihen koko se tavallaan palvelu ajatellaan samalla kertaa. Kännyköiden kasvojentunnistus, onko se hyvä vai huono esimerkki sellaisesta? Mä tykkään siitä, koska kännykän saa nopeasti auki. Onko se turvallinen?
Benjamin: On. Ja siis sehän se on erinomainen esimerkki tästä missä sun kasvoista tehdään matemaattisen kaavan kautta tosi turvallinen tämmöinen hash tai salasana. Oikeastaan sä et tiedä edes mikä se on se salasana mikä sun kasvoista muodostetaan, mutta käyttämällä sitä kasvojentunnistusta niin sä avaat sen salauksen siihen laitteeseen. Sinun tarvitsee vaan ottaa se puhelin taskusta ja pääset kaikkeen sen puhelimen tietoon käsiksi. Mutta jos joku yrittää murtaa sitä sun salasanaa ulkopuolelta, niin se murtaminen on merkittävästi hankalampaa kuin mitä se olisi jos siinä on se 6 merkkinen pinni tai 8 merkkinen tai 12 merkkinen salasana. Tämän kautta, että se on alusta asti suunniteltu sellaiseksi käytettävyyttä lisääväksi ja turvallisuutta parantavaksi mekanismiksi on saatu malli, joka on monelle vaikea. Siis mennä takaisin siihen malliin missä sitä ei käytettäisi tai missä se ei olisi olemassa Samalla tavalla kuin autoon on tämä avaimeton kulku. Sun ei tarvitse kaivaa enää auton avaimia taskusta, että saat oven auki ja saat auton käyntiin. Siinäkin on parannettu sitä turvallisuutta ja parannettu sitä käytettävyyttä samaan aikaan ja se mahdollistaa sellaisen saumattomamman käytön siitä tuotteesta tai palvelusta.
Markus: Tosin tämä on vähän kökkö esimerkki, mutta kun ajattelee millainen mun eka ajokortti oli. Sellainen pahvikortti, johon oli niitattu mun valokuva ja lyöty leima päälle. Niin niin, paitsi että se hajosi. Niin niin, on tämä nykyinen jotenkin luotettavamman oloinen kapistus.
Benjamin: Just näin.
Markus: Me on tänään puhuttu paljon organisaatioiden Tietoturvasta tietosuojasta. Mutta kyllähän siellä taustalla on sitten se ajatus, että kyllähän siinä lopulta sitä asiakasta ja sitä tavallista ihmistä siinä myös paljon suojellaan. Anna meille tavallisille tossun kuluttajille kolme neuvoa, että jos nämä kolme asiaa nyt arjessani muistan, niin niin sitten kukaan ei pääse viilaamaan linssiin.
Benjamin: Automaattiset päivitykset. Eli aina kun on mahdollista päivittää niin päivitä.
Markus: Siis kännykän käyttöjärjestelmä. Nyt on tullut uusi.
Benjamin: Joo ja sitten monivaihetunnistus eli ei ainoastaan käyttäjätunnus ja salasana käytössä.
Markus: Ja sitten se, että pyytää sen vahvistuksen joko tekstiviestillä tai sähköpostilla jostain.
Benjamin: Tai jollain autenticaattoriapilla ja sitten salasanamanageri joka mahdollistaa sen että eri palveluihin on eri salasana. Jos ei jaksa tehdä eri käyttäjätunnusta kaikkiin palveluihin ainakin niin, että olisi eri salasana kaikkiin eri palveluihin.
Markus: No luulisin, että paitsi että neuvot ovat jossakin määrin haasteellisia noudattaa, mutta mitä paremmin niitä noudattaa, niin paremmin on rahat ja tiedot turvassa. Kiitos!
Benjamin: Niin siis jos tuon kääntää sellaiseksi vielä yksinkertaisemmaksi jutuiksi ja jutuiksi, niin ehkä ei kolme juttua, mutta yksi juttu: jos joku vaikuttaa liian hyvältä ollakseen totta, niin se ei yleensä ole todennäköisesti näin.
Markus: Lopuksi jos saisin kysyä tällaista loppukevennystä mitä on tässä muiltakin sarjan haastateltavilta, niin kokeillaan vähän miten se reagoit tämmöisiin sana-assosiaatioihin. Mitä sulle tulee ekaksi mieleen sanasta data?
Benjamin: Turvallisuus. Se olisi varmaan datassa mikä mulla on ekana tuli mieleen. Osittain johtuu ehkä siitä, että mulla oli asiasta just palaveria ennen kuin tulin tähän.
Markus: No entäs hakkeri?
Benjamin: Hyvä tyyppi.
Markus: Okei, siis kaikki onkin hyviksiä. Leivänpaahdin.
Benjamin: Kodinkone
Markus: Tekoäly
Benjamin: Hyvä.
Markus: Lämpimät kiitokset vierailusta Benjamin! Nyt on ihmiset tilastojen mukaan elokuussa palailleet jo lomilta. Tämä meidän podcast-sarjamme jatkuu tässä syksyn kuluessa ja seuraava jakso todennäköisesti tulee ulos syyskuussa ja sen aiheeseen sitten palataan kun se tiedetään. Kiitos.
Benjamin: Kiitos!