Euroopan pitää ottaa teknologinen kehitys omiin käsiinsä, sanoo Yhdysvaltojen kyberturvallisuusviraston CISA:n entinen johtaja Jen Easterly.
– Olemme nähneet viime kuukausina, että Eurooppa ei oikeastaan voi enää olla riippuvainen Amerikasta teknologiateollisuuden suhteen, enkä usko että Eurooppa haluaa olla riippuvainen Amerikasta teknologiateollisuuden osalta, Easterly sanoo.
Tämän riippuvuuden riskeistä saatiin tässä kuussa varoittava esimerkki. Amerikkalainen ohjelmistoyhtiö Microsoft esti kansainvälisen rikostuomioistuimen ICC:n pääsyyttäjä Karim Khanin pääsyn omiin sähköposteihinsa. Microsoft sulki Khanin sähköpostitilin sen jälkeen, kun Yhdysvallat oli määrännyt sanktioita ICC:n johdolle. Sanktiot johtuivat siitä, että tuomioistuin oli antanut pidätysmääräyksen Israelin pääministeri Benjamin Netanjahusta.
Easterlyn mielestä Euroopan maiden täytyy yhdistää voimansa ja vaatia teknologiatoimittajilta luotettavampia, turvallisempia ja kestävämpiä tuotteita. Samalla Eurooppaan pitää luoda ympäristö, jossa paikalliset teknologiayritykset voivat kehittää näitä tuotteita Euroopassa toimiville asiakkailleen.
– Toivon, että näemme tulevaisuudessa yhä enemmän innovatiivisia kyberturvallisuus-, ohjelmisto- ja teknologiayrityksiä, jotka vakiinnuttavat asemansa Euroopassa, Easterly sanoo.
Teknologiakehityksessä turvallisuus on jäänyt lapsipuolen rooliin
Easterly johti Yhdysvaltain kyberturvallisuusvirastoa vajaat neljä vuotta. Hän jätti CISA:n tammikuussa, kun Yhdysvalloissa aloitti uusi hallinto.
Tämän jälkeen Easterly on kiertänyt puhumassa tietoturvasta. Viime viikolla hän vieraili Suomessa tietoturvayhtiö With Securen tapahtumassa.
Easterlyn pääviesti on, että vastuuta tietoturvasta ei voi sälyttää loppukäyttäjälle. Hän vertaa tilannetta 60-lukuun, kun autoteollisuus vältteli vastuutaan liikennekuolemista syyttämällä onnettomuuksista huonoja kuskeja sen sijaan, että se olisi keskittynyt tekemään autoista turvallisia.
– Loppujen lopuksi kyse on turvattomasta teknologiasta, joka on perustana järjestelmille, laitteille ja verkoille, joihin luotamme. Ohjelmistokehityksessä turvallisuus ei ole koskaan ollut tärkein prioriteetti. Siksi meillä on internet täynnä haittaohjelmia, ohjelmistot täynnä haavoittuvuuksia ja sosiaalinen media täynnä disinformaatiota, Easterly luettelee.
Toisin kuin monet muut amerikkalaiset teknologia-asiantuntijat Easterly suhtautuu myönteisesti Euroopan unionin pyrkimyksiin luoda sääntöjä digitaaliseen maailmaan.
– Ohjelmistot, jotka vaarantavat turvallisuutemme arkisissa toimissa kuten puheluissa, matkustamisessa ja pankkiasioissa, ovat vakava ongelma. Hallitusten on asetettava tarvittavia sääntöjä ja rajoituksia.
Ukraina on opettanut paljon Venäjän toimitavoista verkossa
Kun Venäjä hyökkäsi Ukrainaan helmikuussa 2022, Easterlyn tehtäväksi tuli varmistaa, etteivät Venäjän mahdolliset kyberhyökkäykset onnistu horjuttamaan Yhdysvaltojen kriittistä infrastruktuuria. CISA käynnisti Shields Up -kampanjan, jonka avulla yrityksiä neuvottiin suojautumaan Venäjän verkkohyökkäyksiä vastaan.
Uhka oli todellinen. Vain vuotta aiemmin Venäjällä toimiva verkkorikollisryhmä oli iskenyt Colonial Pipeline -yhtiön putkilinjastoon. Kyberhyökkäyksen vuoksi yhtiö joutui sulkemaan Yhdysvaltain suurimman jalostetun polttoaineen kuljetuslinjaston lähes kokonaan.
Easterly katsoo Colonial Pipeline -tapauksen olevan tyypillinen Venäjän aiheuttama kyberuhka. Siinä valtio ei itse ole suora toimija, mutta se antaa turvasataman rikollisille, jotka kohdistavat verkkohyökkäyksiä vihollisiksi miellettyihin maihin.
Kuva Venäjän kyberosaamisesta on kirkastunut Ukrainan sodan myötä. Jatkuvien hyökkäysten kohteena oleminen on opettanut Ukrainalle paljon Venäjän käyttämistä menetelmistä ja taktiikoista, Easterly sanoo. Tämä tieto on nyt liittolaisten käytössä.
– Me autoimme Ukrainaa antamalla varusteita, koulutusta ja tietoja, mutta rehellisesti sanottuna me opimme heiltä yhtä paljon, Easterly sanoo.
Hänen mukaansa tärkein oppi oli, että kriiseissä pitää olla vahva palautumiskyky.
Venäjä on hurrikaani, Kiina on ilmastonmuutos
Geopoliittisista uhkakuvista puhuttaessa Easterly nostaa suurimmaksi haasteeksi Kiinan.
– On olemassa sanonta, jonka mukaan Venäjä on hurrikaani, mutta Kiina on ilmastonmuutos.
Easterly kertoo, että hänen aikanaan CISA näki, miten Kiinan armeijaan liitetty hakkeriryhmä pyrki tunkeutumaan syvälle Yhdysvaltojen kriittiseen infrastruktuuriin. Hänen mukaansa ryhmän tavoitteena oli valmistella häiritseviä ja tuhoisia kyberhyökkäyksiä mahdollisen Taiwanin konfliktin varalle.
– Yksikään maa ei ole turvassa tämän kaltaisilta hyökkäyksiltä.
Easterlyn mukaan Kiina ei käytä erityisen kehittyneitä menetelmiä murtautuessaan kriittisiin järjestelmiin, vaan se hyödyntää tavallisten verkkolaitteiden, kuten reitittimien haavoittuvuuksia. Näitä laitteita löytyy joka paikasta.
– Kun he ovat päässeet järjestelmiin, heillä on edistyneempiä tapoja pysyä ja piiloutua infrastruktuurissa, Easterly kertoo.
Hän korostaa, että tämän vuoksi on erittäin tärkeää tehdä hyökkääjien toiminta mahdollisimman vaikeaksi heti aluksi.
– Olemme rakentaneet tämän turvattoman maailman. Olemme lisänneet yhä enemmän laitteita ja alustoja internetiin. Olemme luoneet lisää haavoittuvuuksia ja kasvattaneet hyökkäyspinta-alaa. Olemme aiheuttaneet tämän ongelman ja joutuneet tähän tilanteeseen, ja nyt meidän täytyy itse ottaa vastuu ja ratkaista se.