Digiturvakompassi-podcast

#digiturvakompassin vieraana Benjamin Särkkä

Episode Summary

Benjamin Särkkä kertoo työstään digiturvan alueella, uhkatilanteen muutoksista viimeisten vuosien aikana sekä puolustautumisen mahdollisuuksista. Keskustelemme myös työvoimapulan ratkomisesta sekä tottakai luottamuksesta.

Episode Transcription

Merkkien selitykset:


 

[?] = sanan kirjoitusasusta ei voi olla täysin varma, mutta merkitys on ainakin sinne päin. Sanan äänityskohta merkitään tekstiin ylös esim. [sana? 00:15:44]

[??] = sanasta ei voinut saada selvää, joten se on täysin epävarma tai sitä ei voitu kirjata ylös lainkaan. Sanan äänityskohta merkitään tekstiin ylös esim. [?? 00:15:44]

[tekstiä] = äänet tai litteroimatta jätetyt kohdat merkitään tekstiin hakasulkeisiin, esim. [naurahtaa] tai [haastattelu keskeytyy hetkeksi, kun haastateltava vastaa puhelimeen]

------------------------------------------------------------------------------------------------------------------------

[äänite alkaa]


 


 


 

Puhuja 1 [00:00:01]: Hei, olen Tuija Kuusisto ja toimin tietohallintoneuvoksena valtionvarainministeriössä.


 

Puhuja 2 [00:00:07]: Ja minä olen Kimmo Rousku. Toimin digi- ja väestötietovirastossa eli DVV:ssä VAHTI-pääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa, ja Suomen kilpailukykyä.


 

Puhuja 1 [00:00:21]: Tässä Digiturvakompassi -sarjassa me tapaamme julkisessa hallinnossa, ja julkiselle hallinnollehan palveluita tuottavat tietenkin yksityisen sektorin toimijat, vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa? Ja mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä, joita olemme yhdessä pohdiskelleet.


 

Puhuja 2 [00:00:44]: Niin, ja siis mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta sekä samalla edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalveluiden toimivuudesta ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä. Tervetuloa tähän meidän podcastiimme!


 

Puhuja 1 [00:01:11]: Ja nyt sitten tänään meidän Digiturvakompassi -podcast-sarjassamme on vieraanamme Benjamin Särkkä. Tervetuloa!


 

Puhuja 3 [00:01:18]: Hei taas!


 

Puhuja 2 [00:01:34]: No moi! Benjamin, sinä olet todella monessa mukana. En sano, että liemessä keitetty, mutta ehkä sekin tässä vielä kohta selviää. Useimmat tuntevat sinut ainakin Disobeyn perustajana. Sitten olet ollut Team Whackissa, toimit myös KyberVPK:ssa, nyt johdat asiantuntijapalveluita Virialla, ja sitten sinulla on kuulemma myös jokin oma pieni yritys siellä taustalla. Pitääkö tämä kaikki paikkansa?


 

Puhuja 3 [00:01:59]: Joo,kyllä. KyberVPK:ssa en ole ollut ihan hirveän aktiivisena nyt edellisen vuoden aikana, mutta siellä listoilla kuitenkin. Ja tavoitettavissa myös sitä kautta. Ja oma firma minulla tosiaan on, minkä kautta sitten yritän tehdä,  no ehkä strateginen konsultaatio on sinänsä väärä sana, mutta erinäköisiä tällaisia... ratkaista ihmisten ongelmia ja tuoda uusia näkökulmia. Uusia mahdollisuuksia sellaisiin juttuihin, mitä ei ole aina ollut. Tuoreimpana autettiin tällainen... siis kaverin kaveri, joka halusi saada turvallisesti tuotteen nettiin. Niin autoimme sitten, että miten pystytään tuottamaan sellainen. Ja etsimme siihen oikeat ihmiset ja laitoimme sen homman pystyyn. Ja nyt se on olemassa oleva tällainen välittäjiä välittävä palvelu nimeltä Ovikellocom. Siinäkin itse asiassa on osakkuus mukana. Niin kuin sanoit, niin aika monessa liemessä keitetty. Aika monta hattua päässä, ja paljon tulee tehtyä. Aina kaikkeen lähden mukaan, mihin aika riittää.


 

Puhuja 2 [00:03:05]: No miten saat tämän ajan riittämään? Kuinka paljon sinä teet? Hei, tiedän yhden henkilön, joka tekee 80 tuntia viikossa töitä. Teetkö sinä enemmän, paljon vai paljon vähemmän?


 

Puhuja 3 [00:03:15]: No siis mielestäni ennemminkin kuin tehdä paljon, niin tehdä oikeita asioita. Ja minulla on tietty skill set, osaan tiettyjä asioita tosi hyvin. Ja silloin yritän keskittyä itse tekemään niitä asioita, ja käyttämään aikani niiden asioiden edistämiseen. Ja sitten kaikkeen muuhun pyrin löytämään sellaiset ihmiset, joihin voin luottaa, ja delegoin sitä työtä heille. Eli kaiken mahdollistajana on se, että on hyvä tiimi tekemässä sitä hommaa. Ja sitten sen jälkeen se on vain ajanhallintaa ja riskienhallintaa. Että mitä uskaltaa delegoida, ja sitten ennen kaikkea sitä, että uskaltaa päästää irti. Niin sitten sen kautta tulee sitä kaistaa. En mitenkään ehtisi tehdä kaikkea yksin. Vaan nimenomaan tällä ja valtavalla tuella niiltä kaikilta ihmisiltä, jotka ovat mukana näissä jutuissa, pystyy suoriutumaan tällaisesta taakasta, jos niin voisi sanoa.


 

Puhuja 2 [00:04:15]: No mikä tässä on mielenkiintoisinta? Tai oikeastaan ihan lyhyesti, että miten olet päätynyt tälle uralle? Miten olet päätynyt siihen, että istut nyt meillä tässä haastateltavana?


 

Puhuja 3 [00:04:26]: No siis olen aina halunnut auttaa ihmisiä. Se on aina ollut minun sellainen core belief. Olen aina halunnut olla sellainen, joka tekee tai tuottaa hyvää maailmalle. Ja sen myötä olen, ajautunut on väärä sana, mutta olen löytänyt itseni sellaisista paikoista, missä olen sitten pystynyt auttamaan ihmisiä. Ja samaan aikaan minulla on aina ollut sellainen tarve ymmärtää, miten asiat toimivat. Varsinkin miten tekniikka toimii ja teknologia toimii. Olen aina purkanut asian atomeihin ja pyrkinyt ymmärtämään, miten sen voisi koota uudestaan. Ja sen myötä tullut hakkerointitaitoa tai tietoturvatestaustaitoa tai tietoturvatutkimustaitoa, tai miksikä sitä nyt sitten haluaakaan kutsua. Ja kävi ilmi, että se taito oli varsin markkinoitava taito ja varsin tarvittava taito nyky-yhteiskunnassa, missä tätä turvallisuutta tarvitaan. Ja sen myötä minun skill setilläni ja tietotaidollani on ollut valtava kysyntä, jonka kautta on sitten päässyt esillekin. Minulla ei ikinä varsinaisesti ollut tarvetta tai edes halua olla mitenkään hirveästi esillä. Muistan, kun Disobeyta perustimme, niin mietimme sitä, että miten saisimme nollabudjetilla tehtyä tapahtuman, jonka saisimme näkyviin. Miten voisimme tehdä sen sillä tavalla, että kenenkään ei tarvitsisi olla keulakuvana. Että pystyttäisiin tekemään koko homma anonyymisti. Mutta sitten me aika nopeasti ymmärsimme, että meillä on pakko olla joku, joka puhuu, ja meillä on pakko olla joku, johon se henkilöityy ikään kuin, se koko toiminta. Koska muuten se saa sellaisen ulottuvuuden, että se vaikuttaa hirveän epäilyttävältä. Kun siinä ei ole oikeaa ihmistä tekemässä. Siitä tulisi enemmän sellaista... Tai se glorifioisi sellaista anonyymia rikollista toimintaa sitten jollain tavalla eri tavalla. Ja sitten kukaan muu ei uskaltanut, niin minä avasin suuni. Ja sitten siitä se lähti, minkä takia olen sitten esilläkin niin paljon. Ja ilmeisesti minulla on edes jossain määrin siedettäviä mielipiteitä, kun minulta pyydetään niitä edelleen.


 

Puhuja 1 [00:06:40]: Upeaa, että uskalsit tulla esille. Ja onhan se, kun olen itsekin ollut 80-luvulta lähtien teknisellä alalla, niin aina on huomannut, että nimenomaan siitä teknisestä osaamisesta on koko ajan pulaa. Ja oikeastaan kukaan ei osaa ymmärrettävästi sitten selittää niitä teknisiä kysymyksiä. Siitä jotenkin vielä vähemmän aina osaamista löytyy. Että tässä mielessä olet varmasti painosi arvosta kultaa, jos niin voi todeta. Ja Kimmo kun muistaa hyvin nämä historia-asiat, niin Kimmo tässä muisteli, että VAHTI-päivässä lokakuussa vuonna -18, niin olisit siellä kertonut aktiivisen puolustuksen merkityksestä. Ja sittenhän tässä on sen jälkeen, kun puhutaan vuodesta -18, niin maailmahan on muuttunut tosi paljon. Ja tietysti digitalisaatio on mennyt eteenpäin, ja digiturvakin on mennyt eteenpäin, mutta sitten tietenkin tämä uhkatilannekin on taas tullut vaikeammaksi. Mutta jos miettii tätä tilanteen muutosta, niin minkälaisen yhteenvedon mahdollisesti tekisit näistä kuluneista kolmesta vuodesta? Mitä mahdollisuuksia on tullut, mutta toisaalta myös uhkia?


 

Puhuja 3 [00:07:49]: No juuri eilen itseasiassa tarkistin erästä tällaista puheenvuoroa varten, että kuinka paljon nollapäiviä tänä vuonna on käytetty. Ja se eilinen numero oli 56, ja tänään ei ole tullut uutta, niin se on edelleen 56. Mikä tarkoittaa, että vuoden 2018, 2019, 2020 aikana on käytetty yksi enemmän, kuin vuoden 2021 aikana. Eli edellisen kolmen vuoden aikana yhteensä on ollut yhtä paljon tällaisia uusia teknisiä hyökkäyksiä, kuin mitä on tänä vuonna ollut yksinään. Ja silloin 2018 näytti siltä, että nämä tekniset hyökkäykset, tällaiset korkean teknisen taidon hyökkäykset olivat selkeästi laskussa, ja nämä kalastelu ja social engineering ja tällaiset alkoivat olemaan se vallalla oleva trendi, minkä kautta saatiin ihmiset haltuun ja minkä kautta otettiin yrityksiä haltuun. Inhimilliset virheet ja tällaisen paljastaminen oli se merkittävin yksittäinen tekijä. Ja silloin ehkä vähän etukenossa, vähän turhan aikaisin, aloin puhumaan siitä, että tarvitaan tällaista organisaatiospesifistä uhkatietoa. Tarvitaan ymmärrys siitä, mitkä ovat juuri meidän ongelmamme, sen asiakkaan perspektiivistä. Tarvitaan selkeä käsitys ikään kuin siitä yrityksen omasta uhkaprofiilista, jotta voidaan rakentaa niitä suojauksia sen ympärille. Ja sehän ei ole muuttunut. Se on enemmän totta tänään kuin koskaan. Ja sen myötä nyt 2021 loppuvuodella, vedämme tätä vuotta kasaan, niin on ehkä edelleen tärkeää ymmärtää se, mikä se on se uhkaprofiili. Mitkä ovat ne oikeat ongelmat juuri sille organisaatiolle. Mutta myös, että mikä on se kriittinen data, mitä käsitellään, ja mitkä ovat ne kriittiset toiminnot, mitä sen organisaation sisällä on. Tässä 4T-mallissa on mielestäni tosi hyvin esillä myös tämä oman itsensä tunteminen. Kaikki suojaaminen lähtee siitä. On täysin mahdotonta suojautua sellaisia uhkia vastaan, tai on täysin mahdotonta suojata sellaista infrastruktuuria, mistä et tiedä, että sinun pitää suojata sitä. Niin se kokonaisuuden hallinta on muuttunut entistä tärkeämmäksi. Sitten samaan aikaan olemme yhtäkkiä sellaisessa maailmassa - ja nyt näyttää siltä, että ehkä vielä vähän turhan pitkäänkin - missä se työpaikkaturvallisuuden ulottuminen ei enää ole sidottuna siihen työpaikan fyysiseen lokaatioon. Vaan se on mennyt ihmisten koteihin. Ja se toimitilaturvallisuus ja yritysturvallisuusajattelu, mikä on aikaisemmin ollut kulkulätkällä ja porteilla, valvontakameroilla, automaattisilla valoilla ja tällaisilla, niin se suojauskerros on yhtäkkiä kadonnut tosi monelta organisaatiolta kokonaan. Ja ollaan tuotu uusia tällaisia kriittisiä toimintoja sen organisaation sisälle. Riippuen sitten siitä, ajatellaanko vielä tällä tavalla viime vuosituhatmaisesti, että tarvitaan VPN, jotta päästään yrityksen tietoihin käsiksi, vai hyödynnetäänkö suoraan pilvipalveluita. Niin se on silti se... Ja päätelaitesuojaus on noussut ihan eri tavalla merkittävään asemaan, ja sen myötä se tiedonkäsittely turvallisesti on noussut eri tavalla merkittävään asemaan. Monella tavalla asiat ovat samalla tavalla; olemme ihan erinäköisessä, no olisiko paradigma ehkä oikea sana sille, miten me voimme varmistaa työntekijän fyysisen turvallisuuden, kun hän on lokaatiossa, joka ei ole millään tavalla meidän hallinnassamme. Ja mitä voimme vaatia siltä työtilalta, missä sitä työtä tehdään. Miten voimme varmistua, että ne ihmiset, jotka tekevät sitä työtä siellä tilassa, mitä emme voi valvoa, niin pystyvät kuitenkin turvallisesti tekemään työnsä. Eikä se, että he tekevät sitä työtä, aiheuta heille lisättyä turvallisuusuhkaa tai turvallisuusongelmaa. Voisin kuvitella, että meillä on Suomen valtionhallinnossa esimerkiksi paljon sellaisia toimijoita ja tekijöitä, jotka käsittelevät tosi arkaluontoista tietoa. Heilläkin on etätyösuositus päällä. Ja se voi tarkoittaa, että nyt siellä onkin yhtäkkiä joku ulkomaalainen tiedustelupalvelun toimija oven takana tai kadun toisella puolella tai vuokrannut sen naapuriasunnon. Ja sitten sen kautta pyrkii vaikuttamaan tai tarkkailemaan sitä toimintaa. No menipäs pitkäksi vastaukseksi, mutta kysymys oli niin laaja, että siihen on mahdotonta vastata lyhyesti.


 

Puhuja 2 [00:12:52]: Tuosta päästään hyvin tuohon osaamiseen. Koska tuo mitä kuvasit, niin mistä me saamme sellaiset osaajat, jotka pystyvät tätä kaikkea nyt, puhumattakaan tulevaisuudessa, toteuttamaan. Ja olemme nyt lukeneet aika paljon siitä, että meillä on siis valtava työvoimapula täällä digi-kybertoimialalla. Oikeastaan kaikella teknisellä puolella. Ja nyt me tarvitsisimme nimenomaan nuoria innostumaan tästä alasta. Me olemme toteuttaneet, ja olimme DVV:nä mukana myös tässä Generation Z Hack -kampanjassa muodollisesti, katsomassa että wau, upea kokonaisuus. Tällä koetetaan saada nuoria sille hyvälle puolelle, lainausmerkeissä. Ja samoin olemme lukeneet mediasta, että meillä onkin nuoria, jotka ovat esimerkillisesti raportoineet siitä, kun he ovat jotain havainneet. Miten yleensä tämä työvoimaongelma ja -pula, onko tähän olemassa mitään ratkaisua? Tai miten me pystyisimme tämän takaamaan, että meillä on viiden vuoden tai kymmenen vuoden päästä sitä osaamista riittävästi Suomessa?


 

Puhuja 3 [00:13:52]: No tosi hyvä kysymys. Ja siis mehän tarvitsemme ihmisiä ratkaisemaan ongelmia, mitä ei ole vielä olemassa. Ja me tarvitsemme ihmisiä, jotka kykenevät näkemään ne ongelmat, ja kykenevät sitten löytämään myös ratkaisut niihin. Ja me emme välttämättä osaa... Minäkin olen ollut jo niin pitkään alalla, etten välttämättä edes osaa nähdä enää sitä aloittelijan todellisuutta tänä päivänä. Teen itse rekrytoinneissa ja tällaisissa paljon työtä sen eteen, että löydettäisiin niitä kanavia, miten me voimme mahdollistaa ihmisiä, jotka haluavat joko vaihtaa alaa tai joilla on motivaatiota opetella. Ja että he tulisivat sellaiseen trainee-rooliin tai juniori-rooliin, missä sitten annetaan tuki sille kehittymiselle. Mutta se ei ratkaise sitä ongelmaa, jos joku ei halua tehdä sitä työtä sen osaamisen saamiseksi. Ala on varmasti jossain määrin houkutteleva, ja on varmaan kiva päästä tekemään tietokoneiden kanssa juttuja. Mutta samaan aikaan minusta tuntuu, että se, mikä tietoturva-alassa on tällä hetkellä se houkuttelevin aspekti, on ehkä sitten se penetraatiotestaus tai Red teamaus tavallaan. Se cool hacking shit, mitä pääsee tekemään. Ja siinäkin harva, joka ei ole tehnyt sitä työkseen, niin ymmärtää, että se on aika paljon raporttien kirjoittelua ja se on aika paljon tulosten esittelemistä. Että se ei ole pelkästään sitä koneella paikkoihin murtautumista. Tavallaan se odotusten realistinen asettaminen ja sitten tukeminen sen saamiseksi. Ja sitten ymmärtäminen, että se sellainen perinteinen koulutuspolku ei välttämättä sovellu kaikkiin niihin rooleihin, mitä meillä on. Tiedän, että tuolla on ihan valtava määrä osaamista, joka epäilee itseään. Joka kuvittelee, että enhän minä osaa tarpeeksi, koska he eivät tiedä, mitä se työ on. Ja eivät ymmärrä, että he voisivat olla kullanarvoisia työntekijöitä siinä kontekstissa. Minulla ei ole sinulle hyvää... Toivoisin, että minulla olisi se silver bullet -ratkaisu. Mutta se oikeampi vastaus, tai vähemmän väärä vastaus, sanotaan näin, on varmasti se, että annetaan mahdollisuus kehittyä. Annetaan tuki kouluttamiseen ja oppimiseen, ja sitten tehdään rohkeita rekryjä. Ei odoteta sitä loppuun asti kouluttautunutta tyyppiä, vaan otetaan semmoinen tyyppi, jonka me näemme kehityskelpoiseksi. Ja sitten annetaan hänelle se mahdollisuus kehittyä. Ja sitten kun hän on niin hyvä, että me emme voi tarjota hänelle enää niitä mielenkiintoisia duuneja, niin tiedostetaan se, että on täysin okei, että hän pääsee jatkamaan eteenpäin. Ja hän voi mennä seuraavaan paikkaan, missä hän tekee... Sitten otetaan seuraava siihen putkeen sisälle. Se on ehkä sellainen yhteinen ymmärrys siitä, että meillä on rajallinen määrä osaamista ja rajallinen määrä ihmisiä, ja meillä on tosi vaikeita ongelmia, mitä meidän pitäisi onnistua ratkaisemaan. Mutta se ei ole ainoastaan sitä. Itse asiassa tajuan, kun puhun tätä ääneen, että se on myös tosi paljon sitä, että tehdään fiksummin asioita. Meillä on myös tosi paljon sellaista turhaa byrokratiaa, turhaa tekemistä, joka ei varsinaisesti tuota hirveästi arvoa. Ja sellaisesta pitäisi päästä pois, jotta se olemassa oleva resurssipuoli pystyisi tekemään merkittävämpää hommaa. Ja sitten pitäisi päästä automatisoimaan kaikki ne tylsät jutut, että pääsisi tekemään niitä oikeasti makeita juttuja niillä resursseilla, mitä on.


 

Puhuja 1 [00:17:32]: Suomihan tässä digitalisoituu vauhdilla, ja kaikkien erilaisten kansainvälisten mittausten mukaanhan me olemme koko ajan globaalisti johtajia. Ja kyllähän sen huomaa sitten, jos on vaikka asunut jossain toisessa valtiossa, että kyllähän Suomen yhteiskunta, me valtavasti käytämme digipalveluita. Ja sehän vaatii sitten tietenkin sitä, että me luotamme niihin. Että meidän tietojamme käsitellään huolellisesti ja että ne palvelut toimivat. Ja meillähän on pääsääntöisesti ihan hyviä kokemuksia tästä. Mutta sehän vaatii tosiaan sitä luottamusta. Ja nyt kun totesit, että mikä on, ikään kuin miten me teemme ymmärrettäväksi nuorille lähteä opiskelemaan ylipäätään tänne digiturva-alueelle, ja tällä hetkellä tiedämme, että tästä softa-osaamisesta kaikki huutavat niitä osaajia, ja ikään kuin ne mahdollisuudet erikoistua eri alueille ovat aika moninaiset. Mutta me emme voi oikeastaan jatkaa tätä meidän digitalisoitumista eri alueilla, eikä sitä automaatiota, jos ei meillä ole sitä digiturvaa, ja löydetä sitä luottamusta. Niin miten näet tämän, että miten me teemme yhä luotettavammaksi meidän yhteiskuntaamme, ja mitä se luottamus sitten itse asiassa voisi olla?


 

Puhuja 3 [00:18:45]: Mielestäni luottamus syntyy ennustettavuudesta ja läpinäkyvyydestä. Jossain määrin on joskus vain pakko luottaa sokkona, ja sitten tehdä korjaavia toimenpiteitä, jos ei mennytkään oikein. Se on sitten sitä riskienhallintaa. Mutta sitten jossain määrin se on myös sitä, kun näkee, että joku yksilö tai toimija tai organisaatio pystyy toistuvasti tuottamaan tarpeeksi laadukkaasti jotain tulosta, niin sen myötä syntyy sitä luottamusta siihen, että he pystyvät jatkossakin tekemään sitä samaa. Ja se on ikään kuin se intristinen laatukriteeri, joka mahdollistaa luottamuksen syntymisen ulkopuolelta. Jos sitä lähtee miettimään sisäpuolelta, että miten sinä itse pystyt luomaan luottamusta siihen, että pystyt selviytymään niistä ongelmista, niin se on sitten vain sitä, että kokemuksen kautta. Kun on tarpeeksi monta kertaa itse tehnyt jonkin asian, niin sitten vain tietää, että sen pystyy tekemään. Siitä pystyy selviämään.


 

Puhuja 1 [00:20:02]: Joo. Tämä oli vähän, kun viittasit tähän, että miten niitä nuoria voi ikään kuin saattaa tähän oppimispolulle. Niin mielestäni kuvasit aika hyvin sitä, että sehän, jotta on saavuttanut jotakin, niin sehän tarkoittaa sitä, että on mennyt ikään kuin paikkaan, missä muut eivät ole vielä olleet, ja luottanut, että kyllä sinne se valo tulee. Niin tavallaan tämä on hyvin sanottu tästä luottamuksesta.


 

Puhuja 2 [00:20:24]: Joo. Siis riskienhallinta. Siis tämähän on, loppujen lopuksi kaikki on... Minä aina korostan sitä, että me olemme kaikki kolme tässä meidän oman elämämme riskienhallintajohtajia, monessakin mielessä. No sitten, nyt kun sinä puhut paljon näistä asioista, niin ensimmäinen kysymys olisi oikeastaan se, että toimitko sinä näiden ohjeiden ja oppiesi mukaisesti myös itse? Ja nyt sitten, kun meille koko ajan tulee yhä enemmän uudenlaisia hyökkäyksiä. Valitettavan paljon. Tuossa oli aamupäivällä meillä Raul Rikk Virosta, niin hän sanoi, että teillä Suomessa näyttäisi olevan tilanne vähän huonompi kuin heillä. Että kyllä heilläkin näitä Microsoftin nimissä tukisoittoja tehdään ynnä muuta, mutta se ei ole niin kriisiytynyt mitä meillä. Mutta meillä tuntuu, että nyt tosiaan on aika paljon. Niin mitkä olisivat sinun, nyt näin joulukuun alussa, kolme tärppiä toimia turvallisesti nyt joulun aikana? Eli ensimmäinen kysymys oli juuri nimenomaan tähän, että toimitko itse oppiesi mukaisesti, ja kolme kunnon hyvää vinkkiä.


 

Puhuja 1 [00:21:16]: Mutta hei Kimmo, eihän tuohon nyt "toimitko itse oppiesi mukaisesti" voi vastata muuta kuin, että totta kai toimin. [naurua]  Eikös tuo ole vähän hankala kysymys.


 

Puhuja 2 [00:21:24]: Joo, no mutta nyt me kuulemme vastauksen!


 

Puhuja 3 [00:21:26]: Joo. Siis minä pyrin vain antamaan sellaisia neuvoja, joiden olen joko nähnyt toimivan muilla, tai jotka olen saanut toimimaan itselläni.


 

Puhuja 2 [00:21:41]: Oivallinen vastaus! Ja nähnyt muilla, tämä oli aika hyvä. Täytyykin muistaa tämä.


 

Puhuja 3 [00:21:46]: En ole aina tehnyt kaikkea itse, eikä tarvitsekaan. Kysymys siihen toiseen, että mitkä olisivat ne kolme neuvoa turvalliseen toimintaan, niin tämä on taas sellainen, missä me haluamme vähän liikaakin yksinkertaistaa monimutkaista asiaa. Eli minun on helppo sanoa, päivitä laitteesi, käytä vahvaa, hyvää salasanaa ja monivaihetunnistusta. Tai päivitä laitteesi, käytä monivaihetunnistusta ja luota vaistoosi. Siinä on kolme juttua, millä pystyt teoriassa toimimaan turvallisesti. Mutta taas kerran, vähemmän väärä vastaus voisi olla, että se riippuu siitä tilanteesta. Ja se riippuu siitä suojattavasta kohteesta. Ja se riippuu siitä toimintaympäristöstä, missä ollaan. Ja rikolliset tekevät tällaisia kampanjoita, he käyvät läpi juttuja. Jos mietitään Microsoft-huijauksia tai Flubotia, Flubothan on nyt iso ongelma Suomessa taas, niin he ovat löytäneet jonkin jutun, joka toimii. He ovat saaneet sillä investoinnilleen tarvittavan vastineen. He saavat rahaa takaisin siitä investoinnistaan, jonka takia he jatkavat sitä toimintaa siihen asti, että se investoinnin kustannus on liian suuri suhteutettuna siihen saatavaan hyötyyn. Ja minusta tuntuu, että se Microsoft-huijaus menee enemmän sen mukaan, että nyt he ovat +358-numerosarjassa. Kohta ne numerot loppuvat, sitten he siirtyvät seuraavaan numerosarjaan. Että siinä mennään systemaattisesti koko ajan maailmaa läpi; siellä on robotit, jotka soittavat jokaisen eri numeron läpi, ja sitten ehkä johonkin kantaan menee, että tämä on aktiivinen numero, tähän voi soittaa. Tai sitten he ostavat isoja datasettejä, näitä markkinointidatasettejä, ja sen pohjalta soittavat näitä puheluita. Se on mielenkiintoinen toimintaympäristö, mielenkiintoinen uusi ulottuvuus noihin vanhoihin teemoihin, vanhoihin juttuihin, mitä on aina ennenkin ollut. Tilanne ei ole parempi tai huonompi, tilanne on  erilainen. Ja samaan aikaan, kun meidän ymmärrys asioista lisääntyy, niin sen myötä myös meillä raportoidaan enemmän niitä ongelmia. Se johtaa sitten sellaiseen, en halua käyttää sanaa tilastollinen harha, mutta sellaiseen näennäiseen ongelmien lisääntymiseen. Koska ne ovat enemmän tapetilla ja niistä puhutaan enemmän. Minun on vaikea uskoa, että meillä tällä hetkellä olisi merkittävästi enemmän rikollisuutta verkossa, kuin mitä se on ollut 10 vuotta sitten tai 20 vuotta sitten. Se on vain järjestäytyneempää, ja siitä jää enemmän jengiä kiinni. Ja se on enemmän uutisissa. Ja sen myötä meillä on mahdollisuus vaikuttaa siihen eri tavalla, kuin jos se ei olisi esillä.


 

Puhuja 2 [00:25:05]: Olipas viisaita sanoja. Ja tuosta täytyy kyllä ehdottomasti nostaa tämä luota vaistoosi, intuitioon. Kyllähän tämä on juuri se klassinen, että jos joku on liian hyvää ollakseen totta, niin me mielellämme haluamme kyllä uskoa siihen loppuun saakka. Ja näinhän sen ei pitäisi olla. Vaan siis nimenomaan, heti kun se tuntuu siltä, että tämä on liian hyvää, on se sitten mikä tahansa maailma tai toiminta, niin ei mennä siihen lankaan, vaan kysytään... Siis mielestäni juuri se avoimuus - toit kanssa sen läpinäkyvyys, avoimuus - sitä kannattaa harrastaa, ja kysyä ja pyytää mielipidettä joltain toiselta, että miltä tämä vaikuttaa. Jos hän sanoo, että älä nyt ikinä mene tuohon lankaan, tuohan on vanha huijaus, niin sitten ei mennä siihen. Mutta hei, olipa loistava sessio meillä. Kiitos, Benjamin Särkkä. Kiitos, Tuija.


 

Puhuja 1 [00:25:49]: Kiitos, Kimmo!


 

Puhuja 2 [00:25:50]: Kiitos.


 

Puhuja 3 [00:25:51]: Kiitos.


 


 

[äänite päättyy]