The Mask Guy nimeä käyttävä hakkeri istahtaa tietokoneensa ääreen Helsingiin Kaapelitehtaan avarassa Merikaapelihallissa. Näppäimistöt alkavat sauhuta, kun hän ryhtyy tiiminsä kanssa ottamaan mittaa KONEen testijärjestelmästä. Tavoitteena on nujertaa KONEen puolustus ja saada järjestelmä hallintaan.
Lahjakkaat ja usein anonyyminä esiintyvät hakkerit ovat taustoiltaan tyypillisesti varsin kirjavaa porukkaa. Heitä yhdistää intohimo löytää keinoja murtautua verkkoon liitettyihin laitteisiin, palveluihin ja järjestelmiin riippumatta siitä, kuinka turvallisina niitä hallinnoivat tahot niitä pitävät.
Kyberturvallisuussuunnitelma ei ole kerrasta valmis vaan pikemminkin jatkuva prosessi.
Kaapelitehtaalle kokoontuneesta hakkerijoukkiosta tekee erityisen se, että heidän kaltaisiaan osaajia kutsutaan kyberyhteisössä nimellä eettinen hakkeri eli ”valkohattu”. Eettisiä hakkereita motivoi heikkouksien etsiminen järjestelmistä huvin, hyödyn tai kunnian vuoksi sekä yhteistyön tekeminen järjestelmien omistajien kanssa. Tarkoituksena on tehdä järjestelmistä turvallisempia – siis suojautumiskykyisempiä pahoja hakkereita eli ”mustahattuja” vastaan.
Tällä asialla on siis myös Helsingissä Kaapelitehtaalla vuosittain järjestettävä Disobey-tietoturvatapahtuma, joka kokoaa yritykset, kyberturvallisuusammattilaiset ja eettiset hakkerit yhteen – jakamaan osaamistaan ja osallistumaan haasteisiin. Capture the Flag- eli CTF-kilpailussa, jota KONE on mukana sponsoroimassa, valkohatut kilpailevat löytääkseen KONEen testijärjestelmästä haavoittuvuuden ja käyttääkseen sitä hyväksi. Tämä antaa KONEelle mahdollisuuden parantaa osaamistaan ja pysyä pahantahtoisia hyökkääjiä askeleen edellä.
Hakkereille Disobeyn kaltaiset tapahtumat tarjoavat The Mask Guyn mukaan tilaisuuden paitsi lisätä tietoisuutta tietoturvasta myös tavata muita ”eettisesti ajattelevia, positiivisia ja yhteistyöhaluisia ihmisiä” ja tehdä heidän kanssaan yhteistyötä.
Miksi eettinen hakkerointi on tärkeää?
Eettinen hakkerointi on tänä päivänä välttämätöntä, koska pahantahtoisten mustahattuhakkereiden tekemät kyberhyökkäykset ovat yleistyneet nopeasti.
Check Point Software Technologiesin tutkimuksen mukaan yrityksiin kohdistuneiden kyberhyökkäysten määrä lisääntyi 50 prosenttia vuosien 2020 ja 2021 välillä. Myös hyökkäysten yrityksille ja viime kädessä niiden asiakkaille aiheuttamat kustannukset ovat kasvussa, ja tietomurron keskimääräinen hintalappu oli vuonna 2022 arviolta 4,35 miljoonaa dollaria.
Tuotteet ja palvelut ovat yhä useammin yhteydessä verkkoon, joten asiakkaiden on voitava entistä enemmän luottaa siihen, että yritykset tekevät kaikkensa suojatakseen itsensä ja asiakkaansa pahantahtoisilta toimijoilta.
”Epäeettiset hakkerit voivat hyökätä useiden eri vektoreiden kautta mihin tahansa yritykseen – etenkin sellaisiin, jotka eivät investoi turvallisuuskäytäntöihinsä ja paranna niitä jatkuvasti”, kertoo kyberuhkatiedustelun päällikkö Laura Kankaala F-Securesta. F-Secure konsultoi ajoittain myös KONEtta.
”Hyökkäyksiä voidaan tehdä esimerkiksi haavoittuvan verkkosovelluksen, väärin konfiguroidun pilvipalvelun, huonosti suojatun identiteetin tai kalastelusähköpostiin lankeavan, kouluttamattoman henkilökunnan kautta. Lisäksi yrityksen IT-palvelut voivat olla väylä hyökkäykselle, jos monivaiheisen tunnistautumisen kaltaiset perustietoturva-asetukset eivät ole käytössä.”
Kankaala, joka on itsekin kokenut eettinen hakkeri, vertaa hyvää kyberturvallisuutta moniosaiseen palapeliin. Sen perinteisiä osia ovat yrityksen omat IT-ammattilaiset, tietoturvakonsultit, testatut sisäiset käytännöt ja koulutus. Viime aikoina yrityksissä on alettu käyttää myös yhteistyöhön halukkaita eettisiä hakkereita, joista on tullut korvaamaton lisä suojautumiskeinojen valikoimaan.
”On tärkeää ymmärtää, että epäeettisten ja rikollisten hakkereiden pitäminen loitolla edellyttää kattavaa kyberturvallisuussuunnitelmaa. Suunnitelma ei kuitenkaan ole kerralla valmis vaan pikemminkin jatkuva prosessi”, Kankaala lisää.
Monipuolista kyberturvallisuusosaamista rakentamassa
Palataanpa Disobey-tapahtuman CTF-haasteeseen ja eettiseen hakkeriin nimeltä The Mask Guy. Hän käyttää salanimeä, koska hänellä on päivätyö IoT (esineiden internet) -asiantuntijana suuressa kyberturvallisuusyrityksessä. Nyt The Mask Guy yrittää tiiminsä kanssa hakkeroida KONEen testijärjestelmän kaikin mahdollisin keinoin ja saada sen hallintaansa ensimmäisenä, jotta voittaisi päivän kilpailun.
KONEen sovellustietoturva-asiantuntija Antti Salminen katselee hakkereiden olan yli hymyillen ovelalle koodaukselle ja taiturimaiselle ongelmanratkaisulle.
”KONE on aina suhtautunut vakavasti kyberturvallisuuteen ja hakkereiden muodostamaan uhkaan”, Salminen sanoo. ”Haluamme taistella omilla ehdoillamme ja oivalsimme, että yksi parhaista tavoista on luoda yhteys KONEen ja valkohattuyhteisön välille, siis tehdä lähempää yhteistyötä.”
”Disobey-tapahtuma on täydellinen paikka näiden yhteyksien luomiseen.”
Suuriin tapahtumiin osallistumisen lisäksi KONE pyörittää bug bounty- eli haavoittuvuuspalkkio-ohjelmaa, johon kutsutut eettiset hakkerit etsivät yrityksen palveluista ja tuotteista huomaamatta jääneitä haavoittuvuuksia.
KONE on aina suhtautunut vakavasti kyberturvallisuuteen ja hakkereiden muodostamaan uhkaan.
Haavoittuvuuspalkkio-ohjelmista on tullut organisaatioissa tavallisia niin yksityisellä kuin julkisellakin sektorilla, ja niistä on tulossa best practice -käytäntö hyvän kyberturvallisuuden varmistamiseen. Tarjolla on jopa muodollista koulutusta ja sertifiointia, kuten EC-Councilin Certified Ethical Hacker -ohjelma ja yhdysvaltalaisen Washingtonin yliopiston kolmen kurssin mittainen sertifikaattiohjelma.
Salminen tähdentää kuitenkin, ettei mikään voi korvata talon sisäistä kyberturvallisuusosaamista.
”Aiemmin KONEen kaltainen ihmisten liikuttamiseen keskittynyt yritys ei ehkä ollut ensimmäinen paikka, johon kyberturvallisuusammattilaiset olisivat hakeutuneet töihin. Asiat ovat on kuitenkin muuttumassa. Tuotteemme ja palvelumme ovat yhä useammin yhteydessä verkkoon, ja kyberturvallisuus on meille ykkösasia, joten pyrimme houkuttelemaan meille alan parhaita osaajia.”
KONE sai vuonna 2023 tunnustusta kyberturvallisuuteen sitoutumisestaan, kun yritykselle myönnettiin alalla ensimmäisenä IEC 62443 -kyberturvallisuussertifikaatti DX-sarjan hisseille ja ISO 27001 -sertifikaatti digitaalisille palveluille, joihin kuuluvat esimerkiksi KONE 24/7 Connected Services -huoltopalvelut.
Voitto KONEen asiakkaille – ja valkohatuille
Yksi kysymys on vielä auki: onnistuiko The Mask Guy tiimeineen kyykyttämään KONEen testijärjestelmää, vai pitikö kyberlinnake pintansa?
”Joo, onnistuimme... Voitto tuli”, The Mask Guy vastaa ilmeenkään värähtämättä. ”Helppoa se ei ollut, mutta keksimme tavan päästä järjestelmän juuritasolle.”
The Mask Guy tiimeineen nousi siis ensimmäiselle sijalle Disobey 2023 -tapahtuman CTF-kilpailussa.
KONE puolestaan sai hakkereiden järjestelmästä löytämän reitin perusteella arvokasta tietoa, jonka avulla kyberturvallisuutta voidaan parantaa jatkossa.
”Tämä oli meille loistava oppimiskokemus”, Salminen toteaa. ”Ja testijärjestelmämme kyberresilienssi säilyi hyvänä – suurimmaksi osaksi.”
”Disobeyssa saadut kokemukset auttoivat hälventämään valkohattuyhteisöä ympäröivää mystisyyttä ja luovat pohjaa läheisemmälle yhteistyölle tulevaisuudessa, jotta voimme kehittää tuotteidemme ja palveluidemme kyberturvallisuutta entisestään”, Salminen lisää.