Tietoverkkorikollisuus seuraa rahan liikkeitä
Teksti Sari Kajantie TALOUDELLINEN toiminta on enenevässä määrin riippuvainen Internet-verkosta, jolloin luonnollisena seurauksena myös rikollisuus seuraa perässä. Rikoslainsäädäntö huomioi hyvin Internetissä ilmenevät rikokset ja Suomessa poliisin valmiudet tutkia verkkorikoksia ovat hyvät, mikäli teknistä näyttöä ylipäätään on saatavilla. Ongelma on kuitenkin globaali, joten yhteiskunnan häiriöttömän toiminnan suojaamiseen kannalta kyky reagoida jälkikäteen ei riitä. Internet tarjoaa nykyisellään rikollisuudelle erityisen oivan alustan. Internet-teknologia kehitettiin aluksi USA:n puolustusvoimien sekä myöhemmin akateemisen maailman mittausdatan siirtokanavaksi ja kommunikaatiokäyttöön. Verkon varhaisina vuosina muihin käyttäjiin saattoi lähtökohtaisesti luottaa: Puolustussektorilla omien taustat tarkastetaan ja tiedemaailmassa toimii vahva sisäinen etiikka – liikenteen osapuolia on turha verifioida tai liikennettä salata, jos väärennys tai salakuuntelu on moukkamaisuudessaan mahdoton ajatus. Niinpä verkon teknologian suunnittelukriteereiksi voitiin valita nopeus ja vikasietoisuus; tietoturvallisuudesta ei tarvinnut huolehtia. Teknisesti oikein toteutettu internet onkin kirjaimellisesti pommin varma, vieläpä usean pommin. 1990-luvun alussa käytössä oli useitakin kilpailevia verkkoteknologiavaihtoehtoja. Ne eivät hävinneet internetille vain siksi, että olivat kaikessa komeudessaan todellisia komiteamietintöjen tuotoksia. Ensisijaisesti ne hävisivät siksi, että kriteereistä "nopeus, vikasietoisuus ja tietoturvallisuus" on mahdollista valita vain kaksi kerrallaan. Kilpailevat vaihtoehdot huomioivat tietoturvallisuuden internetiä paremmin, jolloin ne eivät olleet yhtä tehokkaita ja vikasietoisia. Markkina valitsee helpoimmin ymmärrettävät kriteerit. Tietoturvallisuutta on vaikea mitata. Internet-teknologia ei kuitenkaan ole turvattomuudessaan millään tavoin huonoa. Se on vain käytössä täydellisen väärässä ympäristössä. Satunnaiset ja kohdistetut hyökkäykset Tietoverkkorikollisuudella on vielä jossain määrin nuorison harrastustoiminnan leima, vaikka "akateeminen hakkerointi" turvallisuusongelmien kartoittamiseksi on jo kadonnutta kansanperinnettä. Tänä päivänä verkkorikoksella on käytännössä aina jokin tavoite. Määrällisesti suurin osa verkkorikoksista on satunnaisesti kohdistuvia "virus-" eli haittaohjelmahyökkäyksiä. Hyökkääjä ei kohdista hyökkäystä jonkin tietyn organisaation tietopääomaa sisältävään järjestelmään. Uhriksi joutumisen ratkaisee koneen ohjelmistohaavoittuvuudet sekä niiden hyväksikäytettävyys. Tällaisilla hyökkäyksillä on myös kerrannaisvaikutuksia, koska monen madon leviämistapa kuormittaa verkkoa suuresti. Valtavasta verkkoliikennemäärästä voivat kärsiä myös hyvin ylläpidetyt järjestelmät, jotka eivät itse ole haavoittuvia madolle. Aiemmin eräs syy virusiskuille oli idealismi. Ajatuksena oli parantaa maailma osoittamalla mahdollisimman näyttävästi tiettyjen järjestelmien haavoittuvuus. Nykyisin keskeinen tavoite näyttäisi olevan resurssien kokoaminen muun rikollisuuden toteutusalustaksi. Ilmiöistä näkyvin on Windows-työasemien kaappaaminen keskitetysti hallittaviksi bot-verkoiksi ["ohjelmistorobottien verkoiksi"] – omistajien tietämättä. Kaappaus tehdään murtamalla koneet haittaohjelmalla, joka murron jälkeen kytkeytyy jossakin muussa murretussa koneessa toimivan komentokanavalle odottamaan, sekä jatkaa leviämistä muihin haavoittuviin koneisiin. Komentokanavalle annetuilla käskyillä bot-verkon haltija saa kotikoneista kootun armeijansa käyttäytymään haluamallaan tavalla. Bot-verkon haltijalla on käytössään sekä valtava määrä resursseja että mahdollisuus peittää jälkensä tai ainakin hidastaa tutkintaa. Bot-verkosta tehtyjen rikosten tutkintahan kohdistuu ensin bot-verkon koneisiin –sivullisiin, jotka ovat itsekin uhreja. Tyypillisiä tällaisia rikoksia ovat tilaustyönä tehtävät palvelunestohyökkäykset, erilaiset petokset sekä laajamittainen roskapostin levitys. Viestintäviraston CERT-FIn tuoreen arvion mukaan Suomessa on verkossa jatkuvasti noin 1000–3000 bot-koneeksi valjastettua työasemaa. Maailmalla suuruusluokka on miljoonia. Kohdistetuissa hyökkäyksissä kohde valitaan tietosisällön tai kohdetta ylläpitävän organisaation perusteella. Hyökkäyksissä lähtökohtaisesti ei käytetä tunnettuja haittaohjelmia, vaan tunkeutumiset toteutetaan "käsin" tai tunnistamattomalla haittaohjelmalla, jollaista virustorjunta ei pysäytä. Hyökkääjän ollessa aidosti motivoitunut, palomuurikin on vain hidaste. Kohdistetut hyökkäykset ovat toki satunnaisesti leviäviä hyökkäyksiä harvinaisempia, mutta vastaavasti niiden uhkapotentiaali on vielä suurempi: niillä voidaan vahingoittaa kohdeorganisaatiota tuhoamalla tai varastamalla organisaation keskeisintä tietopääomaa. Ennaltaehkäisy surullisen hankalaa Asianomistajan näkökulmasta rikostorjunnan tärkein keino on rikollisuuden ennaltaehkäisy. Heti toisella sijalla tulee rikosten paljastumisosuuden kasvattaminen, sillä nopealla paljastamisella kyetään rajaamaan vahingot. Rikosseuraamuksilla, erityisesti vahingonkorvauksilla, on ennaltaehkäisevää merkitystä, mutta rajatummin silloin kun rikosten tekeminen on helppoa tai paljastumisriski pieni. Verkkorikosten tehokkaan ennaltaehkäisyn tilanne on kohtuullisen surullinen. Tietoturva-alalla uhka mystifioidaan, mikä mahdollistaa mitä erilaisimpien taikasauvojen tarjoamisen torjuntakeinoksi. Tällä hetkellä vallitseva käsitys pitää virusta suurimpana uhkana tietoturvallisuudelle. Näin ei kuitenkaan ole. Tietoturvallisuuden uhka on haavoittuvuus. Vasta haavoittuvuus mahdollistaa hyväksikäytön, joka voidaan tehdä automatisoidusti haittaohjelmalla tai käsin. Haavoittuvuus voi olla yhtälailla ohjelmointivirhe kuin organisaation toimintakäytäntö. Fyysisen turvallisuuden osalta haavoittuvuuksien merkitys ymmärretään yleisesti: heikot saranat ja ikkunat – tai työntekijöiden yletön puheliaisuus – pyritään korjaamaan välittömästi. Turvallisuuden perustaksi ei yritetä vakavalla naamalla tarjota erityisiä liiketunnistimia, jotka reagoivat kaikkiin tunnettuihin tiirikoihin. Sellainen on hyvä lisä – sitten kun ovet ja ikkunat ovat kunnossa. Tilanne on hankalin kohdistetuissa hyökkäyksissä. Niiltä suojautuminen vaatii tietoturvaan syvyyttä: jatkuvaa ylläpitoprosessia haavoittuvuuksien korjaamiseksi, motivoitunutta ja taitavaa ylläpitoa sekä informaation kulun hallintaa viestintäsalaisuutta loukkaamatta. Uudet järjestelmät tulisi testata formaalisti. Tekninenkin turvallisuus tulisi auditoida säännöllisesti siinä missä kirjanpitokin. Ohjelmistoilta tulisi vaatia laatua. Puutteellinen turvallisuus ei ole vain myyjän, vaan myös ostajan vastuulla. Ostajan asema luonnollisesti on hankala, jos vaihtoehtoja on vähän ja testaaminen kallista. Tietoverkkorikollisuus on poikkeuksellisen voimakkaasti piilorikollisuutta, sillä edes asianomistajat eivät niitä useinkaan havaitse. Rikostutkinnan kokemusperäiseen tietoon nojaten ainoastaan tunnetut virukset sekä tunnettuja hyökkäyssormenjälkiä käyttävät verkkorikokset havaitaan systemaattisesti. Vain poikkeuksellisen hyvin ylläpidetyissä organisaatioissa kyetään havaitsemaan kohdistetut hyökkäykset –tai edes satunnaiset hyökkäykset, jos niitä ei ole toteutettu tunnetuilla haittaohjelmilla. Havainnointi on erityisen hankalaa ulkoistetuissa palveluissa. Vaikka ylläpito on tällöin varsin pätevää, sopimukset eivät välttämättä salli järjestelmien käytön seurantaa tavalla, joka voisi paljastaa asiattoman käytön. Oikea uhkatietoisuus tarpeen Satunnaisesti kohdistuvat hyökkäykset ovat jo aiheuttamansa liikennemäärän takia aidosti uhka yhteiskunnan verkkopalveluiden toiminnalle. Viestintävirasto tekee yhteistyössä kotimaisen virustorjuntateollisuuden sekä myös teleyritysten ja ohjelmistoteollisuuden kanssa erinomaista konkreettista työtä, joten verkon peruskäyttäjän suoja voi jo kohtuullisen pian olla nykyistä parempi. Kohdistettujen hyökkäysten torjumiseksi tarvitaan oikeaa uhkatietoisuutta. Internetin rakenteellinen turvattomuus ei ole ongelma, jos se otetaan huomioon Internetin päälle toteutetuissa palveluissa. Toteutus kuitenkin vaatii resursseja, joten ilman asiakkaan uhkatietoisuutta, vaatimusta sekä maksuvalmiutta ohjelmistojen laatu ei parane. Tähän toivottavasti vaikuttaa olennaisesti Suomen kansallisen tietoturvastrategian toimeenpano liikenne- ja viestintäministeriön koordinoiman kansallisen tietoturvallisuusasioiden neuvottelukunnan johdolla. Silti on yksinkertaisella matematiikalla varsin todennäköistä, että erityisesti rahan liikkeisiin kohdistuva rikollisuus siirtyy enenevässä määrin verkkoon. Verkossa yksinkertaisesti on suurempi hyötypotentiaali yhdistettynä pienempään kiinnijäännin riskiin sekä rikoksen toteutuskustannuksiin. Kirjoittaja on Keskusrikospoliisin ylitarkastaja.
|