Matemaatikko Alan Turingin mukaan nimetty Turingin testi on kehitetty mittaamaan tekoälyn kyvykkyyttä asettamalla se kommunikoimaan ihmisten kanssa. Tekoäly läpäisee testin, jos ihminen ei erota, onko keskustelukumppanina ihminen vai kone.
Ensimmäisen kerran tekoäly läpäisi testin vuonna 2014. Testissä kolmannes osallistujista erehtyi luulemaan Eugene Goostman-nimistä chattibottia ihmiseksi.
Tekniikka on mennyt näistä ajoista eteenpäin suurin harppauksin, myös tekoälyn saralla. Yksi suurimpia askeleita koskee tekniikan saavutettavuutta. Tavallisten kuluttajien saatavilla on paljon hyvin kehittyneisiin toimintoihin kykeneviä tekoälyjä.
Huikeiden teknisten saavutusten takaa löytyy valitettavasti myös pimeä puoli. Vuonna 2021 tietoturva-alan ammattilaisten onnistui Las Vegasissa järjestetyssä konferenssissa luoda tekoälyn avulla tietojenkalasteluviestejä, joihin ihmiset lankesivat selkeästi ihmisten kirjoittamia vastaavia viestejä useammin. Viesteissä hyödynnettiin avoimen lähdekoodin tekoälyä ja kuluttajille saatavilla olevia palveluja.
Simulaatiot ovat kuin ympäri vuoden jatkuva aprillipila.
Spear Phishing on verkkorikollisten käyttämä tietojen kalastelun tekniikka, jossa kalasteluviestien mahdollisimman laajan jakelun sijaan hyökkäys kohdennetaan tiettyyn organisaation tai henkilöön. Ennen hyökkäystä kohteesta kerätään agenttielokuvien tyyliin vakoilemalla mahdollisimman laajat taustatiedot. Sen jälkeen tehdään aidon oloisia huijausviestejä, joita voi olla hyvin vaikea tai jopa mahdotonta tunnistaa haitallisiksi.
Huijausviesti voi olla esimerkiksi yrityksen toimitusjohtajan lähettämä, aidon oloinen viesti. Viesti voidaan myös kohdentaa vain muutamille, huijauksen onnistumisen kannalta kriittisissä asemissa oleville työntekijöille.
Kohdennetut hyökkäykset eivät ole aina suoria. Niiden avulla voidaan hakea organisaatiosta sillanpääasemaa, jonka kautta päästään käsiksi varsinaiseen kohteeseen. Yrityksen koko tai merkittävyys ei tuo suojaa. Pienempää yritystä voidaan tietomurrossa käyttää takaporttina isompaan yritykseen esimerkiksi urakoitsija-aliurakoitsija suhteissa.
Aikaisemmin hyökkäykset olivat työläitä ja aikaa vaativia, mikä piti niiden määrän suhteellisen vähäisenä. Tekoälyn tuomien mahdollisuuksien avulla onnistumisen vaatiman taustatyön aika kutistuu viikoista ja päivistä tunneiksi ja minuuteiksi.
Tavanomaisen, satunnaisen tietojenkalastelun aika on siis mahdollisesti päättymässä. Se korvaantuu tekoälyn jatkuvasti kustomoimilla, eri tavoin kohdennetuilla huijausviesteillä.
Verkkohyökkäyksissä palaa rahaa. Teknologiayhtiö IBM on arvioinut globaaliin yritykseen kohdistetun onnistuneen verkkohyökkäyksen hinnaksi keskimäärin 4,35 miljoonaa dollaria. Finanssiala ry:n mukaan suomalaiset menettivät vuonna 2021 erinäisten verkkohuijausten takia noin 47 miljoonaa euroa.
Hyökkäyksistä kärsivät välillisesti kaikki, ei vain uhrit, kun tuotteiden ja palvelujen hinnat nousevat. Huijausten rikoshyöty ja haitat ovat siis merkittäviä, eikä tietoturvaa voi nykyaikana enää sivuuttaa.
Vaikka huijaukset kehittyvät ja lisääntyvät, niitä vastaan voi suojautua. Organisaatioiden IT-ympäristöt pitää suojata riittävän laajasti kerroksittaisella tietoturvamallilla, jossa yhden tai useamman tason murtuminen ei vielä vaaranna yrityksen tietoja ja ympäristöä. Kerroksittain rakennettuun ympäristöön tehdyt tietomurrot ehditään yleensä havaita ja korjata ajoissa. Hyvin rakennettu puolustus tekee organisaatiosta hyökkääjille vähemmän houkuttelevan.
Väitetään, että ihminen on tietoturvajärjestelmien heikoin lenkki. Toisaalta koulutettu työntekijä osaa usein parhaiten havaita pienetkin normaalista poikkeavat epäloogisuudet, jotka eivät välttämättä vielä herätä turvajärjestelmien huomiota.
Ihmisiä voidaan kouluttaa hyökkäysten varalle. Käyttöön on otettu hyökkäyssimulaattoreja, jotka laativat kohdennettuja tai kohdentamattomia hyökkäyksiä organisaation henkilökuntaa vastaan. Tarkoitus on saada ihmiset joko havaitsemaan huijaus tai lankeamaan siihen.
Parhaimmillaan simulaatiot ovat organisaatiossa ikään kuin ympäri vuoden jatkuva aprillipila, jolla on hyvä tarkoitus. Hyvistä havainnoista voidaan palkita, tarvittaessa henkilöstöä ohjataan tietoturvakoulutukseen. Pääasia on, että tavoite – organisaation tietoturvan parantaminen – menee eteenpäin.
Kokemukseni perusteella simulaatiot ovat hyvä tapa tietoturvan parantamiseen. Säännöllinen, eri vaikeustasoa olevien harjoitusten rakentaminen pitää työntekijät varpaillaan ja perillä ajankohtaista huijaustekniikoista.
Vaikka simulointiin liittyy huijaamisen ja työkaverin jekuttamisen elementti, yleensä kaikki osaavat erottaa keinot tavoitteesta. Korkean tietoturvallisuuden takana on organisaation toiminnan tunteva, hyvin motivoitunut henkilöstö.
Hyvän tietoturvan takana on ihminen, ei kone tai tekniikka. Tekninen järjestelmä ei korvaa työntekijää, jolla on tuntemus yrityksen liiketoiminnasta ja järjestelmien normaalitilasta.
Aleksi Eteläharju
Insinööriliiton järjestelmäasiantuntija
