Tekstivastine - Laitila ja Väänänen
Intro [00:00:11]: Jyväskylän yliopiston informaatioteknologian tiedekunta ja maanpuolustuskoulutus MPK toteuttavat yhteistyössä kansalaisen kyberturvallisuus verkkokurssin. Tavoitteena on tutustuttaa kaikki kiinnostuneet suomalaiset kyberturvallisuuteen, niin yksilön, yhteisöjen kuin yhteiskunnankin tasolla. Tämä haastattelu on tehty osana tätä kurssia. Haastateltavana tänään ovat kyberturvallisuuden kolmannen sektorin edustajat Anu Laitila sekä Ossi Väänänen. Keskustelun aiheina ovat mm. kolmannen sektorin rooli kyberturvallisuudessa, sekä millainen kyberturvallisuus on alana työskennellä. Haastattelijana toimii Irina Lönnqvist.
Haastattelija 1 [00:00:58]: Tervetuloa verkkokurssin kokonaisturvallisuutta käsittelevän osion podcastiin. Minulla on täällä kaksi vierasta tänään, toinen heistä edustaa järjestöjä ja toinen meidän kansalaisia. Pyytäisin vieraita esittelemään itsensä, Anu aloitetaanko sinusta?
Puhuja 1 [00:01:18]: Minun nimi on Laitilan Anu ja vaikutan kyber vpk-nimisessä kollektiivissa. Päivätöissä olen tällä hetkellä Nixulla tietoturva-asiantuntijana. Käytän turhankin paljon itseasiassa tähän aiheeseen liittyen aikaa, eli vapaa-ajalla opiskelen Jyväskylän ammattikorkeakoulussa kyberturvallisuuden ylempää ammattikorkeakoulututkintoa ja tosiaan vietän aikaa kertomalla erilaisista digitaalisen maailman turvallisista käytänteistä erilaisille ihmisille ja yritän saada heitä toimimaan turvallisesti mm. kännyköiden ja läppäreiden kanssa.
Haastattelija 1 [00:02:00]: Kiitos ja tervetuloa. Toinen vieraista on Osku.
Puhuja 2 [00:02:03]: Moi. Olen Väänäsen Osku. Olen Helsec tietoturvayhteisön toinen perustaja ja olen muissakin alan yhteisöissä ja yhdistyksissä mukana, mm. Disobeyssa ja hieman myös Turkusecissa. Päivätöissä olen Sanoma Media Finlandissa tietoturva-arkkitehtina. Yhteisö ja yhdistyspuolen jutuissa olen mukana sen takia, silloin kun niihin lähdin niitä ei ollut yhtä paljon kuin nyt, tosiaan yhden yhteisön perustin itsekin, mutta haluan järjestää toimintaa, joka lisää tietoisuutta ja ihmisten verkottumista tietoturva-alalla.
Haastattelija 1 [00:02:45]: Kiitos. Mahtavaa kun olette molemmat täällä. Ja niin kuin kuullaan, aikamoinen osaaminen istuu tällä hetkellä tässä huoneessa. Vaikka on järjestö ja kansalaiset teemana, löytyy myös työelämäosaamista. Mennään ensimmäiseen aiheeseen. Kyberturvallisuusstrategiassa sanotaan, että kansallinen kyberturvallisuus rakennetaan viraanomaisten, elinkeinoelämän, järjestö ja kansalaisten yhteistyössä ja jokainen voi osaltaan vaikuttaa yhteiseen kyberturvallisuuteen. Suomessa esim. järjestöt kouluttaa kyberturvallisuustaitoja, kuten kuultiinkin jo ja lisäksi siellä on tietoturva-alan omia yhteisöjä. Osku, mainitsit jo näitä sec-päätteisiä järjestöjä, mutta mikä on Helsec?
Puhuja 2 [00:03:41]: Helsec on rekisteröity yhdistys, ennen se oli tällainen porukka, järjestettiin kuukausittaisia tapahtumia. Nämä yhteiset tapahtumat on sen homman selkäranka, eli idea on se, että saadaan porukka kokoontumaan säännöllisin väliajoin. Tarve, mihin Helsec perustettiin, oli se, kun vuosittain on Disobey konferenssi, mikä on tosi iso eventti ihan pohjoismaiden mittakaavassa. Siellä tapaa paljon porukkaa, mutta Helsingin seudulla ei ollut toimintaa näiden välillä. Turussa oli turkusec, joka oli ensimmäinen ns. citysec yhteisö, Helsingistä se puuttui. Muutama vuosi sitten aloin tehdä siirtymää tietoturva-alalle, olen tehnyt softakehitystä jostain vuosituhannen taitteesta, niin tavallaan hahmotin, että tällainen puute on olemassa. Helsingin seudulla ei ollu säännöllisiä tapaamisia niin lähdin itse järjestämään niitä.
Haastattelija 1 [00:04:40]: Mahtavaa. Sanoitkin jo, että nämä on noin kuukausittaisia tapaamisia, milloin alalla olevat ja alalle haluavat voivat tulla näihin tapaamisiin. Mitä muita tavoitteita siinä toiminnassa on ja toimiiko yhdistys pelkästään vapaaehtoisten voimin?
Puhuja 2 [00:05:03]: Pääasiassa toimii vapaaehtoisten voimin. Ennen koronaa meillä oli ihan fyysisiä tapaamisia ja jokaiseen tapaamiseen liittyi jollain lailla tapahtumasponsori. Eli kun tarvittiin tilat missä voitiin tavata ja mielellään saada jopa yli sata ihmistä yhteen paikkaan, niin käytännössä firmat oli tapahtumissa sponsoreina. Järjestettiin yritysten omissa tiloissa tai jokin kaupallinen tapaamiseen sopeutuva tila, minkä joku firma sponsoroi ja tarvittavat virvokkeet.
Haastattelija 1 [00:05:35]: Yleensä näissä tapaamisissa on myös erilaisia teemoja, voi joko lisätä omaa osaamista tai kuulla ajankohtaisia esityksiä tietoturva-alan aiheista?
Puhuja 2 [00:05:48]: Juuri näin. Tapaamisen perusrunko on se, että 2-4 mahtuu iltaan tämmösiä perus esityksiä tai esitelmiä jostain aiheesta. Nämä kaikki tulee yhteisön sisältä, ne ei ole kaupallisia demoja. Tyypillisesti joku henkilö, joka tekee tietoturvaa työkseen tai harrastuksekseen, kertoo jostain jännästä jutusta, mitä on itse tehnyt tai tutkinut. Se lisää tietoisuutta tai osaamista. Aiheet ovat yleensä sellaisia, että niistä oppii jotakin. Toinen kulma on se, mihin koitetaan rohkaista, kun kaikki jotka tekee yhtään mitään itse, he kuitenkin tietää jotain mitä muut ei tiedä. Pyritään rohkaisemaan tuoreempaa porukkaa joka on alalla, pitämään näitä esityksiä. Koitetaan rohkaista ihmisiä kasvamaan, että he oppivat kertomaan siitä, mitä he tekevät. Tapaamisen toinen pointti on se, kun ihmiset kokoontuu yhteen paikkaan ja useammat sen jälkeen jatkoille, niin se toimii verkottumisena.
Haastattelija 1 [00:06:59]: Osittain vastasi seuraavaan kysymykseen, eli miksi tämän kaltaiset tapaamiset ja järjestöt ovat tärkeitä?
Puhuja 2 [00:07:10]: Verkottuminen on tärkein pointti siinä. En oikein osaa sanoa millainen skene oli Helsingissä ennen kun Hesec syntyi, koska en itse ollut alalla. Käytännössä se on lisännyt verkottumista hyvin paljon, niin että tapaamistenkin ulkopuolella porukka tuntee toisiaan paremmin. Se mitä mainitsit eri sektorien yhteistyöstä, meillä on eri viestintäkanavilla käytännössä kaikilta eri elämäntilanteilta ihmisiä. Siellä on viranomaisten edustajia, Traficomin tyyppejä, muita viranomaisia, poliiseja ynnä muuta ja on kaupallisissa firmoissa toimivia. Esim. itse olen firmassa, joka ei tee tietoturvaa, mutta teen itse tietoturvahommia. Sitten on varsinaisten tietoturvayhtiöiden edustajia ja myös opiskelijoita, jotka opiskelee ICT:hen liittyvää tai muuta tietoturvaa. Tuo on käytännössä näppärä juttu, jos on ns. tilanne päällä tai vastaavaa, niin sitten noissa epävirallisissa kanavissa lähtee tieto kiertämään.
Haastattelija 1 [00:08:21]: Kyllä se taitaa olla niin, että on helpompi kaverilta kysyä kuin lähteä etsimään vaikka verkkosivujen kautta yrityksestä, että keneen otan yhteyttä, mutta tiedät vaikka että Anu on siellä töissä, minäpä soitan Anulle ja kysyn mikä tilanne. Kyberturvallisuus mielletään monesti teknisenä ilmiönä, vaikka se onkin teknistä, yksi minkä itse olen havainnut tässä, on se että kyberturvallisuus rakennetaan yhdessä ja on paljon yhteisöllisyyttä ja yhdessä tekemistä. Millä tavalla se yhdessä tekeminen ja yhteisöllisyys Helsecissä näkyy?
Puhuja 2 [00:09:00]: Jos miettii Helsecin toimintaa, järjestetään tapahtumia, workshoppeja, koulutuksia ynnä muuta. Käytännössä vapaaehtoiset sitä tekee, mutta nämä vapaaehtoiset on sitä samaa porukkaa. Meillä on toki yhdistyksessä hallitus ja jonkinlainen ydinryhmä, joka tapahtumia järjestää, mutta satunnaista apua tulee kaikista mahdollisista suunnista. Siinä kun yhdessä tehdään niin tulee tutuiksi.
Haastattelija 1 [00:09:27]: Aikaisemmin sanoitkin, kun jotain sattuu, niin apu löytyy yleensä sieltä tuttujen verkostojen kautta. Miten sitten pääsee mukaan? Pitääkö olla alalla vai voiko kuka tahansa tulla jos tämä aihe kiinnostaa?
Puhuja 2 [00:09:46]: Minkäänlaista tulemisen estettä ei ole ainakaan tarkoituksella rakennettu ja jos sellaisia havaitaan, ne pyritään purkamaan. Tapahtumat ei maksa mitään ja workshopit mitä on järjestetty, nekään ei maksa mitään.
Haastattelija 1 [00:10:03]: Eli kaikille avointa. Laitetaan tuohon sitten tietoa mistä Helsecin tapahtumia löytää tulevaisuudessa. Nyt korona aikaan, kuten sanoit, virtuaalitapahtumia, mutta saattaa olla, jos tila rajoittaa sataan henkeen, ei sitten tietenkään sataaviittäkymmentä ei saada paikalle.
Puhuja 2 [00:10:24]: Se oli positiivinen ongelma, että tilat loppui kesken. Oikeastaan ensimmäinen tai toinen mitä järjestettiin, nekin oli melkolailla täynnä. Me olemme yritetty virtuaalitapaamisten kanssa mahdollisimman hyvin emuloida fyysistä tapahtumaa siten, että striimataan ne Twitchiin, niitä voi kuka vain katsoa ja rakensimme discort serverin. Se on kommunikointialusta, missä voi keskustella esitysten tiimoilta. Yritimme rakentaa sinne baariemulaattori, eli siellä oli äänichatteja, mihin tehtiin tekninen ratkaisu, siellä on tavallaan sellainen pöydän abstraktio. Eli pöytä on yksi äänichat huone ja jos menee pöytään, siellä on muita ihmisiä. Serveri pitää huolen, että aina on vähintää yksi pöytä, missä on tyhjiä paikkoja. Me ajattelimme, että se vastaa sitä mitä yleensä tapahtuu ravintoloissa sitten tapahtuman jälkeen. Sinne mennään jatkoille ja haahuillaan pöydästä toiseen ja puhutaan ihmisten kanssa.
Haastattelija 1 [00:11:36]: Kuulostaa hyvältä. Jossain vaiheessa korona kuitenkin päättyy ja ehkä myös palataan fyysisiin tapaamisiin. Mitä jos ei asu Helsingissä, turkusecin mainitsit, mutta mistä muualta löytyy vastaavanlaista toimintaa Suomesta?
Puhuja 2 [00:11:54]: Ennen koronaa näitä citysec yhteisöjä syntyi jonkin verran lisää. Itse en ole nyt seurannut, missä tapahtui usein, mutta Jyväskylässä starttasi. Kävin siellä ensimmäisessä tapaamisessa ja Turkusecillä on ollut pitkään tämä päällä. Tampereella on jonkin verran järjestetty, en ole ihan varma miten säännöllistä se on ja Oulussa myös. Saa nähdä miten kukin lähtee liikkeelle kun korona on ohi. Käytännössä Turku-Tampere-Helsinki oli sellainen kolmio. Jos Turussa kävi, siellä oli muitakin täältä ja sinne mentiin muutaman autollisen voimin. Tamperelaisia saattoi näkyä vastaavasti Helsecin tapaamisissa. Tässä fyysinen läheisyys helpottaa. Näistä kolmesta kaupungista toiseen pääsee parissa tunnissa.
Haastattelija 1 [00:12:48]: Siinä yhteisöllisyys taas tulee. Ei ole kaupungin rajat esteinä.
Haastattelija 1 [00:12:57]: Tässä on korona mainittukin jo ja korona aikana maailmalla kyberturvallisuuden ammattilaiset yhdistivät voimiaan ja halusivat olla vapaaehtoisina auttamassa esim. sairaaloita. Jotta sairaaloissa kyberturvallisuus tietoisuus lisääntyi ja mikäli joku sairaala oli tietoturvaloukkauksen kohteena, vapaaehtoiset ammattilaiset tarjosivat omaa apuaan. Myös Suomessa syntyi vastaavaa liikehdintää nimenomaan tietoturva-alan ammattilaisten ja yksilöiden toimesta. Anu, mikä on kyber VPL ja miksi se perustettiin?
Puhuja 1 [00:13:35]: Kyber VPK on noin kolmenkymmenen tietoturva-alalla toimivan henkilön kollektiivi, ei olla vielä järjestö. Ollaan ihan porukka, joka toimii tällä hetkellä virtuaalisesti ja me löysimme toisemme viime vuoden maaliskuussa, kun korona lähti liikkeelle. Perustajana Taneli Kaivola laittoi Twitteriin kyselyä, että maailmalta kuuluu todella paljon inhottavia uutisia, nämä terveydenhuollon sektorit olivat rikollisten kiristyshaittaohjelmien kohteena. Taneli sai jopa yllättävänkin liikehdinnän aikaseksi ja huomasi, että tässä alkaa olemaan paljon ihmisiä, jotka haluaisi tehdä hyvää yhteiskunnan turvallisuuden eteen. Siitä syntyi Kyber VPK ja se lanseerattiin ihan virallisesti. Muutamia ensimmäisiä keikkoja tuli aika nopeasti ja oli ihan terveydenhuollon toimijoita, jotka tarvitsivat tietyissä asioissa. Tietenkin kohdellaan heitä kuin asiakkaita, en voi tapauksia alkaa paljastamaan. Siitä se sitten lähti.
Haastattelija 1 [00:15:06]: Hyvä että lähti. VPK on totuttu näkemään palokuntatoiminnan yhteydessä, niin mitä tämä kyber VPK tarkoittaa?
Puhuja 1 [00:15:15]: Vois ajatella, että me sammutamme virtuaalimaailman tulipaloja. Me ollaan vapaaehtoinen porukka kun virtuaalimaailmassa tapahtuu jotain. Meidät voi siinä vaiheessa soittaa paikalle ja pyytää apuja, että tulipalot saataisiin sammutettua.
Haastattelija 1 [00:15:35]: Kuten sanoitkin, teillä on paljon tietoturva-alan ammattilaisia VPk:ssa, millä ajalla nämä asiantuntijat tekevät tätä työtä ja auttavat organisaatioita?
Puhuja 1 [00:15:49]: Meillä on kaikki vapaaehtoisia, vähän kuin järjestötoiminnassa yleisesti, eli kaikki tekee omalla vapaa-ajalla. Yleensä menee ilta, joskus jopa yön puolelle ja sitten tietenkin viikonloppuisin pyritään auttamaan erilaisia toimijoita.
Haastattelija 1 [00:16:07]: Aikaisemmin mitä kyberturvallisuudessa nostettiin esiin, on nimenomaan yksilöiden rooli kyberturvallisuudessa, miksi tämän kaltainen yhteisö on tärkeä kokonaisturvallisuuden kannalta?
Puhuja 1 [00:16:20]: Mielestäni tällaisella, että aktivoidutaan isommalla porukalla, ensinnäkin kaikki jotka ollaan jo tällä turvallisuusalalla, meillä on sydämessä tunne, että halutaan auttaa kun näemme, että on sellaista osaamista mitä ei välttämättä isolla porukalla laajasti ole. On ollut mahtavaa nähdä, että tästä on saatu yhteiskunnan eri toimijoiden välillä rakennettua siltoja. Totta kai meillä on kontakteja mm. viranomaisiin työn puolesta, mutta ollaan saatu rakentaa ja ollaan päästy auttamaan erilaisissa projekteissa. Itse asiassa tässä kohtaa voi mainita, tänään on digi- ja väestötietovirasto julkaissut tähän Vastaamon tapaukseen liittyvän projektinsa. Se on tärkeä juttu missä mekin olemme olleet mukana ideoimassa ja välittämässä viestiä näille Vastaamon uhreille. He ovat saaneet myös kehittää uutta palvelua, jonka kautta voi erilaisia estoja tehdä, ettei sitä identiteettiä varasteta. Näen että jatkossa näillä järjestätäytymättömillä ihmisillä on suuri merkitys siitä, jos jotain isompaa tapahtuu. Sieltä voidaan saada apuja eri tilanteisiin auttamisen puolesta.
Haastattelija 1 [00:17:49]: Kuulostaa oikein hyvältä ja varmasti löytyy tarvetta tämänkaltaiselle toiminnalle. Kyber VPK on nuori ja koostuu tietoturva-alan ammattilaisista, sanoitkin että teillä on ollut tapauksia, pystytkö kertomaan mikä teillä on ollut tähän mennessä merkittävin tapaus ja mikä teidän rooli on ollut?
Puhuja 1 [00:18:11]: Valitettavasti se Vastaamo on ollut koko Suomen ja meidän suurin tapaus. Tässä vaiheessa voidaan kertoa, että Ossikin kuuluu kyber VPK:hon ja oli aktiivisesti Vastaamokeisissä. Teknistä apua esim. julkisten lähteiden avulla etsittiin tietoja ja toimitettiin niitä viranomaisille ja ehkä näkyvin puoli oli se, että lähdettiin koostamaan muistilistaa, joka päätyi lopulta tietosuoja apusivustolle Traficomin alle. Itse olin sitä projektia tekemässä, siinä meinasi tippa tulla linssiin. Se oli ikävä lista, mitä tavallisen ihmisen tarvitsee tehdä ja siellä ihmisten digitaidot on hyvin erilaisia. Jos olisin kuvitellut, että äitini ja isovanhemmat olisi joutuneet suorittamaan sen listan, että millaisia estoja vaikka pitäisi tehdä, että kukaan ei voi ottaa jonkun toisen nimissä lainoja, koska henkilöturvatunnus oli vuotanut. Se saattoi olla jollekin ylitsepääsemätön. Sellainen tärkeä oppi myös yhteiskunnan turvallisuuden kannalta, huomattiin ettei kukaan tarjoa entuudestaan tällaista teknistä apua. Me jalkauduimme esim. Jodeliin vastaamaan ihmisille erilaisiin kysymyksiin. Siellä oli kyberturvallisuuskeskukselta edustaja ja rikosuhripäivystyksestä. Hetken mietimme olisiko saatu nopealla aikataululla pystyy puhelinpalvelu, jossa meille olisi voinut soittaa ja kysyä, että hei, olen nyt täällä tietyn palveluntarjoajan sivuilla ja minun pitäisi tehdä se ja se asia, mutta en osaa. Meiltä olisikin sitten ollut joku puhelimessa kertomassa, että hei, näkyykö siinä tämä nappi, klikkaa siitä, nyt aukeaa uusi ikkuna ja tee siellä nämä. Me huomasimme, että ihmisillä oli vaikeuksia tehdä esim. rikosilmoituksia tai jos joku halusi antaa nettivinkin, me oltais voitu tarjota apua. Vähän ollaan jo rikosuhripäivystyksen kanssa juteltu, että mitä jos etsittäisi heille vapaaehtoiseksi tällaisia ihmisiä, jos joku näin iso onnettomuus sattuu, niin seuraavalla kerralla olisi valmiina isompi. Siihen tarvitaan sitten jo merkittävästi enemmän ihmisiä vastailemaan puhelimiin ja auttamaan. Tämä voisi olla yksi tulevaisuuden kehityshanke.
Haastattelija 1 [00:20:58]: Kuulostaa todella hyvältä. Mainitsemasi rikosuhripäivystys tarjoaa toki neuvoja ja sieltä saa henkistä tukea, mutta nimenomaan sitä neuvontaa, että mitä kaikkea pitää tehdä ja mitä pitää painaa. Että tuntisi edes ne paikat, mistä se rikosilmoitus tehdään, miten se tehdään ja mitä kaikkea siellä pitääkään täyttää. Siitä olisi varmasti etua tällaisissa tietovuoto tapauksissa, missä yksilö on nimenomaan uhrin roolissa. Tässä on valitettava trendi ollut se, että Vastaamon jälkeen ei kyberrintamalla ole ollut hiljaista, vaan tapausten määrä on kasvanut ja tuskin tulee loppumaankaan. Miltä kyber VPK:n tulevaisuus näyttää?
Puhuja 1 [00:21:49]: Toivon, että meillä olisi yhteiskunnallisia hankkeita ja lisäksi koulutustoimintaa. Kenties voisimme yhdistää voimia, Osku mainitsi, että yhteisöjä on. Voidaan sanoa, että ympäri mennään yhteen tullaan. Aika moni meistä saattaa vaikuttaa monessa eri paikassa ja haluan omalta osaltani kannustaa kaikkia ihmisiä, jotka ovat kiinnostuneet tästä alasta, menkää rohkeasti niihin tapahtumiin ja olkaa uteliaita. Minä olen aikanaan aloittanut urani sieltä. Olen mennyt tähän isoon Disobey konferenssiin josta Osku kertoi. Menin sinne yksin paikalle ja silloin oli siinä tapahtumassa 99% oli miehiä. Naisia ei ollut missään ja ajattelin, että mihin olen tullut. Kuuntelin siellä esityksiä ja verkostoiduin ihmisten kanssa. Seuraavana vuonna kun menin sinne, tutustuin ensimmäisen reissun jälkeen niin moneen, että mulla olikin hyvin seuraa ja hyvin voi mennä yksin uudestaan. Rohkeasti mukaan toimintaan ja meille saa toki laittaa viestiä jos kiinnostaa. Kouluttaminen voisi olla sellainen, moni on nostanut esille nuoret hakkerit. Heitä voitaisi sitten lähteä kouluttamaan. Se voisi olla yksi projekti tulevaisuuden listoilla.
Haastattelija 1 [00:23:25]: Hyviä suunnitelmia. Eli hiljaista ei tule teilläkään olemaan, positiivisessa mielessä näitä tapahtumia. Se mikä molemmilta nousee ja mikä oma havainto on ollut, kyllä se yhteisöllisyys ja tällä alalla otetaan avosylin vastaan. Ei tarvitse olla alan asiantuntija, aina saa apua. Se on sellainen mikä tällä alalla on mielestäni aika hienoa.
Puhuja 1 [00:23:50]: Olen ollut markkinointialalla, jos vertaan sitä toimialaa tähän, tämä on uskomattoman ystävällismielinen. Jos katson omaa työyhteisöä, se määrä mitä olen kysynyt kysymyksiä ja saanut apua muilta, niin olen todella iloinen ja otettu siitä, että on kulutettu aikaa ja jaksaa vääntää rautalangastakin, että näin tämä menee. Me tarvitaan tälle toimialalle uusia ihmisiä ihan töihin ja tältä alalta ei varmasti, niin kauan kun on digitaalinen yhteiskunta, niin ei työt lopu ihan heti. Uskon että toiselta puolelta saattaisi löytyä uusia työntekijöitä useta kummenitä, ellei jopa satoja tai tuhansia.
Haastattelija 1 [00:24:42]: Mennään kohta työelämän puolelle. Käydään vielä vähän järjestö- ja yksilöasiaa läpi. Molemmille esittäisin kysymyksen, edellä on noussut järjestöjen ja yksilöiden rooli, sitä siellä kyberturvallisuudessa on, mitä te listaatte niiksi asioiksi mitä järjestöt ja yksilöt voivat vaikuttaa kyberturvalisuuteen yhteiskunnassa?
Puhuja 1 [00:25:12]: Mielestäni järjestöillä on iso merkitys. toinen mistä olen aikanaan saanut boostia omalle uralle on ollut MPK ja sitä kautta olen innostunut disobey tapahtumaan ja muutamiin muihin yhteisöllisiin tapahtumiin. Heillä on todella iso merkitys. Mielestäni nyt kun ollaan päästy verkkoon, sitä vaikuttavuutta pystytään lisäämään merkittävästi. Vähän sellaista ongelmaa, kun nämä kaikki lähitapahtumat on aina niin suosittuja, että ne niin sanotusti myy loppuun. Niihin on rajallinen määrä mitä ihmisiä pääsee ja nyt verkkoaikaan saadaan näitä kursseja isommalle porukalle. Tällaiset yhteisöt voi saada paljon aikaan. Helsec ja ylipäätään citysecit on mainio esimerkki siitä, kuinka työyhteisössä aletaan jakaa yli kilpailijoiden. Me ei tehdä työmaailmassa sitä, että kilpailijoiden kanssa jaetaan, mutta yhteisöissä ollaan sulassa sovussa ja sieltä voi joku yritys saada toiselta vinkkejä ja se on aivan mahtavaa. Se vie tätä toimialaa eteenpäin koko ajan. Sitä me haluamme, että pysyisimme maailman menossa mukana ja Suomi olisi kärkimaissa kun puhutaan tietoturva osaamisesta ja asiantuntijoista. Tietenkin huolettaa se asiantuntijoiden vähäinen määrä, mutta jatkossa sitten toivottavasti saadaan lisää osaajia.
Haastattelija 1 [00:26:55]: Kiitos. Miten sitten ihan tavalliset yksilöt, mennään meihin ei-tietoturva-alan ammattilaisiin, niin millä tavalla me voimme vaikuttaa kyberturvallisuuteen tai puhutaan enemmänkin tietoturvallisuudesta, kun ollaan yksilöiden kohdalla. Millaisia asioita me voimme huomioida tai millaisia toimijoita voisimme olla tulevaisuudessa ihan yksilöinä?
Puhuja 1 [00:27:23]: Toivoisin, että jokainen meistä yksilöinä ajattelisi sitä kyberturvallisuutta uutena kansalaistaitona. Me tiedämme hyvin, ettei me haluta että kotiimme murtaudutaan, me ei haluta, että meidän autoa tai pyörää varastetaan, joten me osaamme turvata ne. Kun lähdemme kotoa, laitamme ovet lukkoon, ettei kukaan pääse sinne avoimista ovista. Tiedämme, jos jätämme pyörän lukitsematta, se yleensä lähtee nopeasti kävelemään. Voisi ajatella, että olisi mahtavaa jos jokainen meistä osaisi edes perusasiat niistä tietoturva asioista. Siihen liittyy se, että moni käyttää älypuhelinta, tablettia tai läppäriä. Nyt ei ole niitä lukuja heittää pöytään, mutta uskon, että suurimmalla osalla suomalaisista löytyy joku näistä laitteista, niin opettelisi edes perusasiat. Kun päivitän erilaiset sovellukset, on se sitten selain, eli vaikka Googlen Chrome, Firefox tai Safari, niin sieltä aina uusin versio. Jos puhelimeen tulee joku päivitys, se päivitys ajetaan heti, koska siellä saattaa olla joku tietoturva aukko ja sieltä voi joku rikollinen päästä. Vielä tärkeämpi asia, niin kauan kun on pakko muistaa salasanoja, niin tehdään uniikit ja pitkät salasanat palveluun. Sitten kun niitä ei muista, sen verran investoitaisi omaan turvallisuuteen, että ottaisi salasanamanagerin käyttöön ja laittaisi ne sinne. Joudumme tässä turvallisuudessa vähän painimaan sen kanssa, että mikä on hyvä ja mikä huono. Se salasanamanageri on aina parempi kuin se paperi tai se, että kopioidaan sitä samaa salasanaa. Kolmantena olisi kaksivaiheinen tunnistaminen. Näillä kolmella vinkillä pääsee jo aika pitkälle oman digitaalisen turvallisuuden kanssa. Näistä tiedoista, mitä moni yritys tarjoaa työmaailmassa työntekijöille, ne on usein sellaisia mitä voi omassa henkilökohtaisessa elämässäkin hyödyntää. Nämä on tulevaisuuden taitoja, ei välttämättä enää edes tulevaisuuden taitoja, vaan taitoja mitä pystyt hyödyntämään elämässä. Kun puhuit Twitteristä ja muusta, niin koen itse velvollisuutena, haluan levittää tietoisuutta erilaisista jutuista. Jos meillä on vaikka viime aikoina ollut Microsoftin puheluita, kun me kaikki innokkaasti viestitään ja puhutaan omille perheenjäsenille, että jos saatte epämääräisiä puheluita, me voimme ohjeistaa lyömään luurin korvaan. Ei tarvitse puhua sinne yhtään. Ja sitten muistaisi vinkanta sinne kyberturvallisuuskeskukselle, että sai tällaisen puhelun, vaikka mitään muuta ei tapahtunutkaan. Meillä on hyvä tilannekuva mitä tässä maailmassa tapahtuu ja autetaan toinen toistamme. Kun saamme ihmiset tietoiseksi, rikolliset ei pysty tekemään rikoksia ja huijauksiansa enää.
Haastattelija 1 [00:30:53]: Oli hyvä mitä totesit, että kyberturvallisuus olisi uusi kansalaistaito, koska me kaikki elämme tässä digitaalisessa maailmassa ja käytämme erilaisia laitteita, jotka on yhteydessä internetiin. Se ei ole enää edes se puhelin vaan se voi olla älykello, pesukone ja mitä kaikkia nykyään on. Se on hyvä sanoa näin.
Haastattelija 1 [00:31:47]: Tuossa on käynyt ilmi, teette kyberiä aamuin ja illoin, töissä ja vapaa-ajalla. Molemmat toimitte yhteisöissä, jossa on tietoturva-alan ammattilaisia. Kysyn vähän siitä työelämästä, millaisia ammatteja tähän kyberturvallisuuteen liittyy?
Puhuja 2 [00:32:10]: Kaikkia mahdollisia. Yleensä ajattelee, että kyberturvallisuuden ammattilainen on jonkin sortin hakkeri, joka osaa murtautua kaikkialle. Se on ihan olemassaoleva työnkuva ja hauskaa onkin, mutta valtaosa töistä on sellaisia, että ne liittyvät hallintoon, käytäntöihin ja menetelmiin. Iso osa työtehtävistä mitkä liittyy tietoturvallisuuteen tai edistää sitä, on sellaisia ei-teknisiä. Junaillaan niin, että asiat tapahtuu järkevästi, pohditaan riskejä, arvioidaan niitä ja mietitään mikä on sopiva taso riskiä millä voidaan toimia järkevästi. Kyllä siinä sellaista teknistä ja hankalaa sisältöä on pienessä osassa työtehtäviä. Terveen järjen käyttö liittyy valtaosaan näistä työtehtävistä.
Haastattelija 1 [00:33:11]: Pitää varmaan paikkansa. Ei lähdetä sinne tittelitasolle, koska täällä on valtava kirjo, ihmiset tekevät mitä erilaisimmilla nimikkeillä ja voi tehdä jopa samaakin tehtävää täysin eri nimikkeillä. Tuleeko sinulle Anu jotain lisättävää tuohon?
Puhuja 1 [00:33:27]: Aika hyvin tuli tuo jaottelu. Tekniset ja hallinnolliset osaajat ja jos ajattelee, että olen tällaisessa konsulttitalossa, niin kyllä meillä, on se sitten henkilöstöhallinto tai viestintä ja markkinointi, kyllä hekin itse tuntevat, että ovat kyberturvallisuuden kanssa tekemisissä ja ovat alalla töissä. Voi heitäkin sanoa kyberalan osaajiksi, vaikkei välttämättä siellä syvimmässä päädyssä olekaan. Hyvin laaja kirjo ja mielestäni on ollut hienoa se, mitä Oskukin mainitsi. Ennen ajateltiin, että kyber on vain teknistä puolta, niin entistä enemmän korostuu nyt erilaiset muut ehkä ihmisläheisemmät, esimerkiksi perus viestintä, sillä on iso rooli nykypäivänä organisaatiossa. Se on aika pitkälle tällainen kouluttaminen ja vaikka jos ajatellaan, tällainen tietoturvatietoisuuden levittäminen siellä omassa organisaatiossa, jos ajatellaan vaikka hyviä käytäntöjä, se on aika pitkälle sisäistä viestintää ja markkinointia. Sellaisia erilaisia osaajia. Taas palaan siihen, että tarvitaan niitä uusia osaajia, niin rohkeasti, tänne alalle tarvitaan hyvin erilaisia ihmisiä erilaisilla taustoilla.
Haastattelija 1 [00:34:46]: Tartun noihin taustoihin. Tehtäviä on laajasti, mutta jos jotain, minkälaista osaamista pitäisi olla? Pystyttekö vähän antamaan osaamista kartoittavaa, millaista osaamista pitäisi olla jos haluaa tälle alalle tai haluaa tälle alalle?
Puhuja 1 [00:35:09]: Hyvä kysymys, koska se osaaminen voi olla periaatteessa mitä vain. JOs katson omaa profiilia, on ollut asiakassuhteiden ylläpitoa, projektihallintaa, kouluttaminen oli ollut vuosia lähellä sydäntä. Tein sitä ennen markkinointimaailmassa ja nyt olen vaihtanut aiheen tietoturvaan. Minun ei tarvitse osata teknisiä yksityiskohtia ja valitsen kohderyhmäni niin, että ne ovat sellaisia mitä pystyn kouluttamaan. Sitten kun mennään teknisiin juttuihin, voin soittaa Oskulle. Ja olen itse asiassa soittanut Oskulle. Osku on ollut Helsecin ja yhden toisen järjestön kouluttajana ja silloin pitää valita kouluttaja sen mukaan. Vaikea sanoa mitä kaikkea, koska se on niin laaja osaamiskirjo. Välillä tarvitaan sitä, että pitää osata hyvin kieliä, itse puhun viikoittain ulkomaille Hollantiin välillä Puolaan, Ranskaan ja milloin minnekkin. Eli pitää olla vähän kielitaitoa ja ymmärrystä erilaisista asioista. Jos katsotaan teknisiä kavereita, heillä pitää pysyä Linuxin näppäimistöt hallussa ja erilaisia osaamisia. Se on valtava kirjo. Mielestäni kukaan ei saisi ajatella, ettei taidot riitä. Sitten pitää miettiä mikä olisi se rooli mitä haluaa tehdä ja sitten alkaa kehittämään omia taitoja siihen suuntaan, että työpaikka löytyisi.
Haastattelija 1 [00:36:46]: Onko se niin, että esimerkiksi jos tulisi Helsecin tapahtumaan tai laittaisi kyber VPK:lle viestiä, niin tällaisia asioita voisi tiedustella jos haluaa kysellä työelämään liittyen, että millaista osaamista missäkin tehtävässä haluais, niin sellainenkin olisi mahdollista?
Puhuja 2 [00:37:05]: Aina voi kysyä mitä vaan ja aina pyritään vastaamaan. Paljon yhteisössä pyörii nuorempaa porukkaakin, jota ohjataan eteenpäin. Itse järjestin viime vuonna lähilukiolisille hakkeroinnin alkeiskurssit ja tiedän, että muutkin tahot ovat vastaavia järjestäneet. Siinä pyritään nuorisolle opettamaan teknisiäkin taitoja. Tapaamisiin ja chatteihin pääsee kuka vain, sinne vain kyselemään ja neuvotaan. Varsinkin kohtuullisen kollektiivisesti halutaan, että autetaan kaikkia eteenpäin. Varsinkin tämän tyyppiset kysymykset, miten voin oppia, kyllä näihin pyritään vastaamaan.
Haastattelija 1 [00:37:56]: Oikein hyvä. Tässä on noussut esille, että alalla on huutava pula osaajista. Jos teidän pitäisi vastata, teillä on kuitenkin työstä ja vapaa-ajalta kokemuksia, niin miksi tulisi hakeutua kyberturvallisuuden pariin töihin? Osku voi aloittaa.
Puhuja 2 [00:38:14]: Tehtävät itsessään ovat hirveen kivoja, siellä on monenlaisia haasteita. Ehkä puhun teknisistä enemmän, Anu voi puhua toisista jutuista paremmin. Jos tykkää ratkoa ongelmia ja saada selville kuinka asiat toimii, siinä on paljon jännää ja kivaa tekemistä. Se ei kysy taustoja, pelkästään mitä osaa ja tykkääkö oppia. Se on aikalailla hyvä syy. Ja tosiaan, tekeminen ei lopu kesken. Suomessa on paljon firmoja joissa voi toteuttaa itseään.
Puhuja 1 [00:38:53]: Se digitaalinen yhteiskunta meillä on, niin työt ei tule loppumaan. Mielestäni meillä on sellainen inhottava asetelma, meillä on kissa-hiiri leikkiä, että rikolliset ja en näe että siellä on pelkästään viranomaiset heidän perässään, vaan kuten sanottu, tämä kuuluu kaikille meille. Pidetään huoli siitä, että viedään niiden rikollisten elintila. Äärettömän paljon mielenkiintoisia tehtäviä. Tulee mieleen kyberharjoitukset, todella mielenkiintoisia asioita voi päästä tekemään siellä. Työt ei lopu vuosikausiin. Itse olen ajatellut ensimmäistä kertaa niin, että nyt voisin olla jopa eläkevirassa. Katsotaan tuleeko se pitämään paikkansa. Mielestäni alalla on mukavat palkat, ei varmastikaan häntäpäästä, jos katsotaan montaa muuta alaa. Ja niin kuin sanottu, sopii kyllä kenelle tahansa. Sen sanon varotuksena, kun tulee alan ulkopuolisena, kannattaaa varautua siihen, että olisi hyvä että sydän sykkii turvallisuusaiheille ja muulle. Uuden opittavaa on paljon. Sitä tulee kuin saavista kaatamalla ja pitää itse valita mihin haluaa keskittyä. Kaikkea ei tarvitse, kukaan meistä ei voi tietää koskaan kaikkea kaikesta. Pitää ottaa pieni siivu sieltä missä haluat olla superhyä ja ihan varmasti töitä löytyy.
Haastattelija 1 [00:40:31]: Tuossa vastasit viimeiseen kysymykseen, myöskin Oskulla tuli se, että kuinka voi tulla kyberturvallisuuden ammattilaiseksi, niin yhtä tiettyä väylää siihen ei ole. Tähän ammattiin voi kasvaa hyvin eri polkuja pitkin ja toisaalta se, että kaikesta ei tarvitse tietää kaikkea. Sieltä sitten valitsee sen oman aihealueen.
Puhuja 1 [00:40:56]: Ja kouluja voi käydä, niistä on varmasti hyötyä. Mutta esimerkiksi tekninen osaaja, siinä vaiheessa jos osaat jotain tiettyä asiaa erittäin hyvin, siinä ei kukaan koulupapereita enää kysele. Ei muuta kun töihin suoraan ja osaajille löytyy töitä.
Haastattelija 1 [00:41:15]: Hyvä. Tähän loppuun olen pyytänyt teiltä molemmilta kolme vinkkiä. Veikkaan, että Anun kolme vinkkiä saatto tulla jo aiemmassa vaiheessa, mutta kertaus ei ole koskaan huonosta. Voit Anu aloittaa, miten meistä jokainen voisi tehdä koton ja huomioida sen kyberturvallisuuden ja toimia turvallisemmin?
Puhuja 1 [00:41:38]: Taisin jo paljastaa ne omani. Minulla oli ohjelmistojen päivitys, uniikit salasanat kaikkiin palveluihin ja kolmas oli kaksivaiheinen tunnistautuminen. Vähän kuin olisi pankkikortti. Sinulla pitää olla fyysinen kortti, jolla pitää olla vielä se PIN-numero. Vähän samalla tavalla vaikka sähköpostiin kun kirjautuu, sinulla on salasana ja sitten tulee vaikka tekstiviesti tai sovellus, mistä otetaan koodi ja se syötetään sähköpostiohjelmaan. Sitä tarkoittaa kaksivaiheinen tunnistautuminen. Ne on ehkä sellaiset helpot vinkit, joilla saa aika paljon turvaa omille laitteille ja erilaisille palveluille. Oli sitten kyseessä sometilit, sähköposti tai joku muu.
Haastattelija 1 [00:42:33]: Hyvät vinkit, kiitos. Mites sitten Osku, kun mennään työpaikalle tai kouluun, tässä on varmasti myös samoja mitä pitää huomioida. Mutta mitkä sinun kolme vinkkiä olisi, miten työpaikalla tai koulussa voi omaa kyberturvallisuutta parantaa?
Puhuja 2 [00:42:52]: En ole ihan varma ovatko vinkit hyviä kaikille, mutta jos miettii työtä ja koulua, jatkan listaa vielä kotiin. Jos mahdollista, pyrkii pitämään kaikki tietokoneella tehtävät asiat erillään. Työkoneella tehdään pelkästään töihin liittyviä asioita ja samaten yksityisellä laitteella tehdään pelkästään omia juttuja, ei hirveästi muuta. Sama tämän koulun kanssa. Jos on laitteiston puolesta mahdollista, eriyttää eri toiminnot eri laitteisiin tai jos ei ole mahdollista, niin pyrkii käyttämään koneita mahdollisimman vähän. Ajattelee ensin ja tekee vasta sitten.
Haastattelija 1 [00:43:41]: Se kiire voi olla se.. Vaikka esimerkiksi työelämässä, että tulee hyväksyneeksi nopeasti jotain, mitä vähän pidempään miettineenä ei välttämättä hyväksyisikään vaikka sähköpostissa tai..?
Puhuja 2 [00:43:54]: Juuri näin. Jos miettii, tietomurtoihin ja vuotoihin yleensä päädytään ihmisen kautta. Äärimmäisen tekninen palvelun särkeminen kenenkään tietämättä ei välttämättä kaikissa perustapauksissa ole se konstit. Yleensä pyritään hyödyntämään ihmisen uteliaisuutta tai muita ihmisen vaikuttamiskeinoja. Pyritään samaan sosiaalinen paine tai vedotaan ihmiseen, että hen tekee jonkin tempun, avaa sähköpostista jotakin tai tekee jotakin. Pysähtyy aina miettimään, onko tämä normaalia, onko tämä tavanomaista ja onko tässä kaikki kunnossa.
Haastattelija 1 [00:44:38]: Tosiaan tuli todettua, samat vinkit pätee kyllä töissä, koulussa tai vapaa-ajalla. Kiitos teille molemmille tästä haastatteluhetkestä ja siitä mitä järjestöt ja yksilöt voivat tehdä kyberturvallisuuden hyväksi.