Disclaimer: tämän blogin on kirjoittanut tietoturvanoviisi (ei hakkeri), jonka ydinosaamista on henkilöstöjohtaminen, mutta joka suhtautuu mielenkiinnolla ja syvästi kunnioittaen tietoturva-asiantuntijoiden, ”hakkereiden” (eli yksinkertaistaen tietoturvan testaajien) ja tietoturvan johtamisen syväosaajien työhön.
Hakkerit vaikuttavat kokonaisturvallisuuteemme
Hakkerit kehittävät kyberturvallisuutta. Kyberturva puolestaan on kriittinen osa niin yritystoiminnan, valtionlaitosten kuin henkilökohtaisen elämämme kokonaisturvallisuutta ja toimintakykyä. Aihe on viimeistään tänä keväänä koko maailmaa vavahduttaneiden tapahtumien myötä saanut sen vaatiman huomion ja painoarvon.
Tietoverkoilla ei ole maantieteellisiä rajoja. Arkemme toimivuus ja turvallisuus perustuu pitkälti siihen, että käyttämämme digitaaliset palvelut toimivat tietoturvallisesti ja ylipäätään ovat pystyssä. Kuinka monta pientä ja yksinkertaista tai jopa oman elämäni kannalta kriittistä asiaa jäisi hoitamatta tänään, jos minulla ei olisi käytössäni toimivaa matkapuhelinta sovelluksineen tai tietokonetta verkkopalveluineen? Näiden palvelujen teknisestä toimivuudesta tietoturvan osalta vastaavat valkohattuhakkerit. (engl. white hat hackers)
Hyvää tekevä hakkeri on valkohattuhakkeri
Eettinen hakkeri, eli valkohattuhakkeri tekee asiantuntijatyötä, jossa sovellusten, järjestelmien ja kokonaisten järjestelmäarkkitehtuurien tietoturvaa testataan ja varmennetaan asiakasorganisaatioissa erikseen sovitussa laajuudessa. Hakkerointi tässä muodossa parantaa suoraviivaisesti sekä yhteiskuntamme että koko maailman digitaalista turvallisuutta. Eettinen hakkerointi on näin käytännössä työtä, joka parantaa yksilöiden oikeuksia ja turvaa hyvin laajamittaisesti.
Nyt jos koskaan on siis aika murtaa myytti, jonka mukaan hakkerit olisivat aina varjoissa kuvattuja huppupäisiä mystikoita! On totta, että suurimmalle osalle meistä herää negatiivisia mielleyhtymiä hakkeroinnista ensimmäistä kertaa kuullessa. Tällöin on kuitenkin kyse vain niin sanotuista mustahattuhakkereista (engl. black hat hackers), jotka tekevät tietoturvarikoksia, kuten laittomia tietomurtoja. Suurin osa hakkereiden työstä on yhteiskunnallemme täysin kriittistä, erittäin harvinaista luovuutta vaativaa työtä, joka ansaitsee suuren huomion ja arvostuksen. Tällaiset eettiset hakkerit eli vakohattuhakkerit ovat aivan tavallisia ihmisiä, mutta oman alansa huippuasiantuntijoita, jotka rakastavat työtään ja kehittävät taitojaan jatkuvasti paremman maailman hyväksi.
Mikä sitten tekee hyvän hakkerin?
Olen toiminut 2NS:n People Operations -vastuullisena nyt 10 kuukauden ajan. Aloittaessani työni, kiinnostuin heti alkuun firman juurista, kivenkovasta osaamisesta tietoturva-auditoinneissa ja eettisessä hakkeroinnissa. Valkohattuhakkerin työn tekee teknisen syväosaamisen lisäksi erityisen mielenkiintoiseksi kaikkea toimintaa ohjaava eettinen kompassi. Tämä kompassi kädessään hakkeri työskentelee hyvien riveissä. Työssä keskeinen taito on luvan kanssa rikkoa se, mitä muut ovat rakentaneet. Että saa yrittää hajottaa jotakin vaivalla rakennettua ja vielä hyvässä tarkoituksessa, voiko olla parempaa?
Hakkeroidessa ei riitä, että tuntee ja ymmärtää koodia sovellusten ja järjestelmien taustalla. Täytyy ymmärtää, missä tuo koodi voi mennä pieleen ja murtua. Täytyy ymmärtää myös palveluiden rakentumisen logiikkaa ja eri toimintojen kytköksiä toisiinsa. Valmiit työkalut auttavat osin tietoturvan skannaamisessa, mutta lopulta asiakkaalle tuotettavan laadun ratkaisee hakkerin ammattitaito, joka koostuu mm. runsaasta tietoturva-aukkojen hakemisen harjoittelusta, älykkyydestä, luovuudesta ja ongelmanratkaisutaidoista. Lisäksi osana 2NS:n organisaatiota työskentelevät tietoturvan johtamisen konsultit ovat varmentamassa asiakkailla, että tietoturva on nivottu kiinteäksi osaksi liiketoiminnan johtamista.
Minustako valkohattuhakkeri?
Kyberturvan työtehtäviin tarvitaan nyt ja tulevaisuudessa paljon tekijöitä. Ala kasvaa ja kehittyy valtavasti. Koulutuspohja tietoturva-alan tehtäviin voi vaihdella suuresti. Vaikka aihepiiriä ei varsinaisesti olisi opiskellut, voi oma harrastuneisuus aihepiirissä tuoda riittävän ymmärryksen, jolla alalla työskentely tulee mahdolliseksi. Tietoturva-alan yhteisöissä ja harrastuspiireissä pääsee parantamaan taitojaan mm. Hack the Box -harjoituksissa ja Capture the Flag -peleissä. Nämä ovat tärkeä, alan osaamista kerryttävä voimavara, joka hyödyttää alan asiantuntijaksi tahtovaa. Treenaaminen siis kannattaa!
Esimerkiksi 2NS:n valkohattuhakkerin tehtävään edellytetään riittävää teknistä koulutustaustaa ja jo hankittua ymmärrystä tietoverkoista, tietotekniikasta sekä järjestelmistä, palveluiden logiikasta ja koodista kaiken taustalla. Koska olemme konsultointiyritys, eli yksi tietoturva-alan erityisasiantuntijaorganisaatioista – tehtävissämme edellytetään myös työssä kerrytettyä kokemusta tietoturva-asioiden hoitamisesta, testaamisesta tai varmentamisesta jossakin roolissa. Me perehdytämme toki omiin toimintamalleihimme ja käyttämiimme työkaluihin perusteellisesti.
Kyberturvaa opetetaan jo useissa ammattikorkeakouluissa, kuten Metropoliassa ja mm. Jyväskylän yliopistossa, mikä on suotava ja hyvä kehitys Suomen tietoturva-alan osaamisen kasvattamisessa. 2NS:n kaltaiset alan pioneerit pyrkivät myös varmistamaan, että osaaminen kehittyy sekä laadukkaalla perehdytyksellä että oman henkilöstön osaamisen kehittämisellä.
Me 2NS:llä tähdätään siihen, että yrityksessä kerrytetty työkokemus olisi CV:ssä kovin mahdollinen merkintä kyberturvan kanssa toimiville ammattilaisille.
Tästä tavoitteesta hyötyvät sekä alan ammattilaiset, että ympäröivä yhteiskunta, jonka tietoturva kehittyy 2NS:n ammattilasten mukana.
Jaana Pullinen, 2NS HR