Elämäni ei lopu karkkipäivänä vaikka suklaa olisi kaupasta loppu. EI! Etsin huonomman makean vaihtoehdon, totta kai. Vaihtoehtoiset toimintakanavat – verkostot – ovat hyvää varautumista niin herkuttelussa, hankintaketjuissa kuin huoltovarmuudessa.

Verkostot tuovat turvallisuutta. Internetin ajatuksiin kuuluu, että jos data ei yhtä reittiä löydä perille, reitti vaihtuu. Jos paras vaihtoehto ei ole käytössä, mutkan kautta päästään perille lähes samaan aikaan. Verkostosta on siis hyötyä vain, jos se tarjoaa käytettävissä olevia vaihtoehtoja. Jos yhteyksiä olisi vain yksi, kyseessä ei olisi verkosto vaan riippuvuus.

Verkostot vs. riippuvuus

Vaihtoehtojen kartoittaminen ja vaihtoehdottomuuden kustannukset jäävät helposti huomiotta. Tämä näkyy niin yksityistalouden kuin yritysten ja valtioiden työnjaossa. Kaukolämmön tai sähkön jakelu näyttää verkostolta tuottajalle, mutta ei yksittäiselle asiakkaalle, joka ei toimittajastaan halvalla irti pääse. Monopolista rahastetaan.

Samanlainen ilmiö tapahtuu erikoistumisessa. Adam Smithin tunnetussa esimerkissä neulan valmistus pilkottiin eri tehtäviksi. Työnjako nosti yksittäisen tekijän osuuden parista kymmenestä nuppineulasta vajaan viiteen tuhanteen. Erikoistumisen teho näkyy myös yritysten keskinäisessä työnjaossa, mutta myös maiden välillä. Globalisoituminen on Smithin kuvaaman työnjaon laajentuma.

Riskinhallinta ja nuppineulat

Mutta viimeiseen asti viritetty erikoistuminen on haavoittuvaa. Smith ei kertonut, miten käy tuotannon, jos sairastuneelle nupintekijälle ei löydä sijaista. Nupintekijällä on myös seuraavissa kehityskeskusteluissa palkankorotuksen paikka.

Erikoistuminen ja vaihtamisen vaikeus vaikuttaa laajasti. Verrataanpa esimerkiksi kahta erilaista kuljettajaa. Niin pilotti kuin bussikuskikin ovat vastuussa kuljettamistaan kyytiläisistä, mutta niitä arvostetaan aivan eri tavalla. Erikoistumisen takia lentokonekuskeja ei löydy yhtä helposti. Palkkaerot ovat myös melkoiset. Ja univormukin on lentäjillä komeampi!

Verkostot ovat vastalääke erikoistumisen jäykkyyksiin ja haavoittuvuuksiin. Hyöty tulee vain silloin, jos verkosto tunnettaan tai tarvittaessa luodaan.

Verkostot on kartoitettava!

Voimmeko vähentää riippuvuutta ja lisätä verkostomaisuutta? Tämä edellyttää tietoa toimijoista, itsestämme ja kumppaneista. Moni yritys tietää tarkkaan, mistä komponenttinsa saa, mutta alihankkijoista tietoa ei ole lainkaan. Organisaatio näyttäytyy ketjun lenkkinä, ei verkoston osana.

Verkostojen hallinta on tiedostettu tärkeäksi tehtäväksi yhteiskunnan tasolla. Digitaalisen turvallisuuden osa-alueella verkottuneen yhteiskunnan haavoittuvuudet ovat selkeimmin esillä. Kyberturvallisuutta parannetaan tässä yhteydessä niin osaamista kehittämällä kuin järjestelmätasollakin. Huoltovarmuuskeskus lisää merkittävästi panostuksia juuri laajempien kokonaisuuksien suojaamiseen.

Kauppalehti Faktan uudelleenjulkaisemassa Robert Kaplanin, Herman Leonardin ja Anette Mikesin artikkelissa kuvattiin Philipsin puolijohdetehtaan palosta lähtenyt tilanne vuonna 2000. Professorit kirjoittivat, kuinka salamaniskun aiheuttama pieni tulipalo sammutettiin minuuteissa. Suuri asiakas Ericsson sai ripeästi tiedon, ja siellä todettiin varastojen riittävän muutamaksi viikoksi. Rauhallinen tunnelma muuttui, kun noen pysäyttävän tuotannon kuukausiksi. Puolijohdetehtaan kilpailijat olivat myyneet tuotantonsa nopeammin reagoinneille. Komponentin puuttuminen vei 400 miljoonaa dollaria tuotoista, lykkäsi kännykän lanseerausta ja vaikutti yhtiön vetäytymiseen markkinoilta. Ericsson ei tuntenut koko verkostoa, ainoastaan oman toimittajansa. Tässä tapauksessa Nokia hoiti homman loistavasti, kertoo Harvard Business Reviewssa alunperin julkaistu teksti. Johtajatason reagointi ja ripeästi aloittanut monialainen suunnittelutiimi varmistivat, että Nokian tuotanto ei nuupahtanut.

Organisaatioiden sisällä verkostonäkökulma tarjoaa uuden tavan käsitellä henkilöriskejä. Riskejä vähennetään myös osaajakartoituksella ja puuttumalla osaamiskapeikkoihin. Kriittisissä kohdissa ei tarvita leveämpiä hartioita, niitä tarvitaan usein enemmän. Kollegat tulevat helposti tukemaan, jos he tuntevat tietävät tehtävän tarpeeksi hyvin.

Työtoverin ammattiosaamista on kuitenkin turha kopioida täydellisesti. Erot ihmisten tavoissa hoitaa tehtäviä luovat itsessään iskunkestävyyttä. Monenlaista väkeä tarvitaan, koska haasteetkin muuttuvat.

Antti Sillanpää

Lisää aiheesta:

https://www.huoltovarmuuskeskus.fi/digitaalinen-turvallisuus-2030-ohjelma-kehittaa-yhteiskunnan-kyberhairioiden-sietokykya/

https://www.finlex.fi/fi/laki/alkup/2018/20181048

https://www.adlibris.com/fi/kirja/wealth-of-nations-9781840226881

https://hbr.org/2020/11/the-risks-you-cant-foresee?ab=seriesnav-spotlight

The post Verkostojen hallinta on riskinhallintaa appeared first on Linkitin Oy.

The credibility of the U.S. presidential election voting system has been questioned in entirely new ways. Despite the harsh debate, there has been little, if any, evidence. In regards to cyber security, one of the most interesting arguments is the role of Dominion Voting Systems, a company that supplies voting systems, in Joe Biden’s election victory.

On November 12, 2020, President Trump tweeted: ”Report: Dominion deleted 2.7 million Trump votes nationwide.” Sidney Powell, one of Trump’s lawyers, suggested, among other things, that the number of votes received by the Democratic Party on Dominion’s machines increased and that the votes were processed abroad. The allegations also included that the “oligarchs and dictators” set up a company with strong ties to Venezuela, China and Iran. There are also the most peculiar claims about Dominion’s secret algorithms circulating the Internet.

The company’s reputation management has not been able calm the storm. In its response, it has revealed, among other things, its private, American ownership. The Canadian-based company recalls that the election results can be easily checked. And so it has been done. An MSN feature had counted whether Biden had received more votes in constituencies supported by the Dominion system. Regardless of the counting system, Biden was the winner in the review done by ten constituency states. Harri Hursti, an election security expert interviewed by the New York Times in Georgia, believes that Dominion is being blamed for actions that it is not guilty of.

From the perspective of traditional media and fact-checkers, Dominion seems to be telling the truth. However, the company had become a target of Trump supporters already in the previous election. Dominion had donated to the Clinton Foundation, but donations had also been made to Republican Senate Majority Leader. In a project supported by the Clinton Foundation in the Caribbean, Dominion equipment had been used.

Electronic voting possesses its own risks, which are also anticipated. It is common American practice that processes are decentralised. There are more than ten system vendors, three of which are considerably larger. This contributes to reducing the chance that fraud could be inflicted everywhere.

The Fastest Hand Wins

Individuals that seek to defend the truth lag behind when the perpetrator is free to choose its target. Since the information domain is filled quickly, one should, without hesitation, attempt to surpass their shortcomings. In the case of Dominion, it is seen that fact-checking and traditional journalism did not have time to alleviate the outrage. The idea that foreign forces and the opposition had fiddled with voting devices was planted in the susceptible minds of the people. And this case was just one of many complementary conspiracy theories .

People’s opinions are very difficult to alter. Those who make original claims can always demand more evidence. It is often difficult to give evidence of a non-event result. In similar contexts, the Kremlin’s explanations are often such that it disputes the facts presented by others and always demands more information. This cycle of denial and demand for additional information can be extended indefinitely.

Action against the truth is hostile, be it from any direction. To disassemble is easier than to repair. It will take decades to repair the trust that has now been tarnished.

Access to Unbiased or Diverse Information

The distributor of disinformation benefits from being able to decide where and when to start spreading fraudulent information. By preventing people from accessing information, the impact of the attack can be enhanced. Opinions are made so fast that perhaps even a day’s delay can cause irreversible damage. Sharing diverse information during elections is particularly important. This is another reason why the media should ensure its cyber security.

In free societies, there are various routes information can take and its flow is more difficult to prevent. By extensive circulation of disinformation, the assailant can reach the same desired result. The consumers believe it to be true due to the recurrence of similar stories, even if individually they seem inconceivable. Googling ‘Dominion’ will bring up very similar conspiracy theories on the subject.

The corona virus, new pandemics and the possible fears of terrorism bring about new problems to the voting system. Voters or journalists will not be able to meet the candidates. The reduction in natural contact weakens the link between the voter and the politician and underlines the importance of security, fairness and diversity in digital communications.

Social media giants provide us with information, yet whether it is unbiased is unknown. Studies have shown how recommendation algorithms reinforce bubbles. Invisible recommendation algorithms are particularly intimidating because it is not known how they restrict the flow of data. Companies themselves do not currently have enough incentives or regulation to ensure equal and reliable access to information for voters. In addition, we as citizens do not demand better access to information that we do not like. It is natural for us to surround ourselves with like-minded people and content.

Measurable security is only one dimension

I discussed the matter of electronic voting systems with two international experts. They were familiar with the systems and their undeniable advantages. The other turned to me and asked about the Finnish approach. I referred to the Finnish paper-ballot-booth voting system when answering: “We are very conservative in this matter. We have a reliable system and we do not want to give it up. ”

In connection with the previous Finnish elections the Prime Minister’s Office, the Ministry of Justice and the Security Committee launched the “Best Elections in the World” campaign to remind people of the reliability of the system and that one should be proud of our election system. Finland’s simple and traditional way of voting is understood by everyone. Simple matters are easy to explain. What is easy to explain is credible.

Thus, the security of systems must be proven not only by facts but also by intuition and perception. In addition, evidence must be accessible when needed, which is starting to sound like an almost impossible feat. A cyber security system must not only be secure it must also look, sound and feel secure.

Antti Sillanpää

This piece was originally published on recent CyberwatchFinland magazine. More about the topic:

Cyberwatch Finland magazine – 1/2021

https://www.dominionvoting.com/election2020-setting-the-record-straight/

https://www.businessinsider.com/sidney-powell-hypes-election-lawsuit-despite-trump-disowning-2020-11?r=US&IR=T

https://www.reuters.com/article/uk-factcheck-dominion-software-trump-law-idUSKBN27S2Z9

https://www.msn.com/en-us/news/politics/swing-state-counties-that-used-dominion-voting-machines-mostly-voted-for-trump/ar-BB1bxn03

https://www.nytimes.com/2020/11/11/technology/no-dominion-voting-machines-did-not-delete-trump-votes.html

https://en.wikipedia.org/wiki/Dominion_Voting_Systems

https://www.snopes.com/fact-check/rumor-alert-dominion-voting-systems-fraud-claims/

https://www.politifact.com/factchecks/2020/nov/13/facebook-posts/no-evidence-dominion-voting-systems-caused-widespr/

https://www.nbcnews.com/better/lifestyle/problem-social-media-reinforcement-bubbles-what-you-can-do-about-ncna1063896

https://heavy.com/news/dominion-voting-systems-glitch-clinton-pelosi-michigan-georgia/

https://apnews.com/article/fact-check-trump-legal-team-false-claims-5abd64917ef8be9e9e2078180973e8b3

Photo by Element5 Digital on Unsplash

The post Credible Security = Facts + Perceptions appeared first on Linkitin Oy.

Eräässä kyberturvallisuuteen liittyvässä harjoituksessa saimme aikaan vain aika huonon puhelinluettelon. Ne pari muuta yhteistä suoritetta olivat vieläkin keskeneräisempiä. Olimme harjoitukseen erittäin tyytyväisiä – ja syystä!

Puhelinluettelo lähti yhdistämään teemaan liittyviä toimijoita. Verkostomme alkoi muuttua näkyväksi. Eri tahot ja vastuut eivät olleet vain yksittäisiä post it -lappuja aivoissamme, vaan tiedonpalaset yhdistyivät jaetuksi yhteiseksi verkostoksi.

Luetteloon tuli henkilöitä, jotka edustivat organisaatioidensa eri haarakkeita. Siellä he pystyisivät viemään eteenpäin ongelmia korjaavia toimia. Harjoituksessa – tai oikeassa tilanteessa – tilannetta pystytään korjaamaan rivakammin, kun tiedetään kehen otetaan yhteyttä ja mitä silloin sanotaan.

Ihmiset, prosessit ja teknologia ovat kyberturvallisuuden osia, turvallisuuskoneiston rattaita. Nämä osat eivät ole erillisiä osia, mutta niiden yhteistoiminta ei myöskään synny itsestään. Päinvastoin, näissä rattaissa voi olla kitkaa, jota (sisäinen) viestintä voi vähentää. Käyn rattaita läpi seuraavissa kappaleissa.

Viestinnän ytimessä on kommunikointi ihmisten välillä. Aiemmassa esimerkissä yhden organisaation henkilö soittaa toiselle. Kyberturvallisuudessa vaikeuksia aiheuttaa, jos teknisellä tiedolla tukahdutetaan vastaanottaja. Ammattiryhmien eri slangi ja englannista väännetyt uussanat vaikeuttavat ymmärtämistä. Monesti unohtuu, että kuulijana ei olekaan samaan piiriin kuuluva henkilö. Esimerkkejä kielimuureista löytyy tekniikan asiantuntijoiden ja liiketoimintajohdon väliltä, mutta jakolinjoja löytyy paljon enemmän. Useasti kuitenkin näyttää siltä, että tekniikan ekspertit ovat ainakin se toinen osapuoli. Ellei molemmat. Harjoittelu, henkilökohtainen kokemus ja yhteyshenkilöiden käyttö vähentävät tulkintaongelmia. Kyberuhkien jatkuva muuntautuminen toisaalta lisäävät niitä.

Viestinnän merkitys näkyy myös kyberturvallisuusprosesseissa. Esimerkiksi GDPR määrittää monella tavalla oikeita toimintatapoja. Vaikka lainsäädäntö ei toimintaa rajaisi, prosessit halutaan pitää ryhdissä. Toimiakseen prosessien itsensä tulee olla selkeitä, kaikille jo aiemmin kerrottuja ja harjoitettuja. Kassakaappiin piilotettu suunnitelma ei ehdi hädän hetkellä kätköstään kentälle.

Kyberuhkat moninaistuvat teknologiamyllerryksessä, mikä voi heittää vanhat prosessit ja toimintamallit sekä käytännölliset viitekehykset roskakoriin ajastaan jälkeenjääneinä. Toisaalta, jos vanhoihin toimintatapoihin vain lisätään uusia palasia, niin ovatko ne enää tehokkaita. Jos prosessit ovat monimutkaisia ja moniselitteisiä, niin ne pysäyttävät toiminnan tai pistävät ihmiset juoksemaan eri suuntiin. Prosessista on siis voitava kommunikoida, ja sen on otettava huomioon kommunikaatio työkaluna. Esimerkkinä selkeästi ja aikaa kestävästä varautumisen viitekehyksestä on yhteiskunnan turvallisuusstrategia.

Viestijöinä ihmiset ja koneet

Rattaista kolmas, teknologia, on myös sidoksissa viestintään. Teknologia on kyberturvallisuuden perusta, ja se on myös tehokkaan, paikkarajat ylittävän viestinnän edellytys. Työkalujen kehittämisessä on huomioitava ihmisten rajoitteet. Esimerkiksi valvomoiden tai tilannekuvan kehittämisessä on pohdittava, kuinka asiantuntija käsittää näkemänsä.

Teknologian kehityksen vuoksi viestintä on yhä useammin koneiden keskinäistä toimintaa, mikä ei sekään poista riskiä siitä, että tärkeät ja oikeat sanomat eivät päädy oikeisiin paikkoihin. Jouni Pöyhönen väitöskirjassaan (2020) esittää tiedonjakamista kyberturvallisuuden johtamista käsittelevässä väitöksessään: ”Osa sairaalan datasta on pirstaloitunut erillisiin järjestelmiin, mikä luo haasteita sen keskitettyyn jakamiseen tai analysointiin. Toisaalta osa tietolähteistä, kuten potilas-, ja perimätietojärjestelmät muodostavat jo lähtökohdiltaan yhtenäisen data-alustan… Toimintaan kytkeytyvät myös kyberturvallisuuden kyvykkyydet, ihmiset, prosessit ja teknologiat, ja niiden toiminnan kehittäminen osana sairaalan turvallista toimintaa.”

Viestinnällä on siis suuri merkitys kyberturvallisuuden peruselementtien – ihminen, prosessit, teknologia – sisällä ja niiden välillä. Viestintä on kaikkialla, mutta harvemmin kuskin paikalla.

Viestintään liittyviä kyberin hallinnan ongelmia ja korjaustoimenpiteitä:

1. Ammattikielten erilaisuus vaikeuttaa ymmärtämistä – harjoittelu, henkilökohtainen kokemus, käyttäminen yhteyshenkilöitä
2. Etätyöskentely tai muut toimintatavat vaikeuttavat kommunikointia / viesti ei mene perille – sisäisen viestinnän analyysi ja tulosten perusteella toimenpiteet
3. Lainsäädännön ja muiden normien vaikutus prosesseihin
4. Kyberturvallisuuskulttuurin ongelmat – asian merkityksestä kertominen ja korjaaminen lähtee ylimmästä johdosta
5. Kassakaappisuunnitelmat eivät ole tiedossa – harjoitellaan ja tehdään normaaleista prosesseista jo turvallisempia
6. Prosessit ovat monimutkaisia – harjoitellaan, prosesseja päivitetään säännöllisesti ja hyödynnetään ulkopuolisia tekijöitä ja lukijoita
7. Prosessit vanhenevat – prosesseja päivitetään ja käytetään yleisempiä, sopeutuvaisempia viitekehyksiä
8. Viestintäteknologia ei ole käyttäjäystävällistä – suunnittelun tulisi olla monitieteistä ja käyttäjäkunnan osallistavaa
9. Koneiden välinen viestintä on sirpaloitunutta, muuttuvaa ja monimuotoista – turvallinen tuotanto ohjelmoinnissa

Lähetä palautetta (antti.sillanpaa@linkitin.fi), niin pidennetään listaa yhdessä.

Lisää aiheesta tai sen liepeiltä:

Jouni Pöyhönen 2020: Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuurin organisaation toimintaa

https://jyx.jyu.fi/handle/123456789/71395

https://turvallisuuskomitea.fi/yhteiskunnan-turvallisuusstrategia/

https://www.computerweekly.com/opinion/Security-Think-Tank-Communication-processes-and-tech-a-new-beginning-for-security

https://www.cfo.com/cyber-security-technology/2019/08/overcoming-cybersecurity-communications-barriers/

https://securityintelligence.com/these-four-communication-tips-could-improve-your-cybersecurity-reporting/ https://www.cyberwatchfinland.fi/

The post Viestintä voitelee kyberturvallisuuden rattaita appeared first on Linkitin Oy.