Kyberturvallisuuden historia sai alkunsa tutkimusprojektina. Mies nimeltään Bob Thomas ymmärsi, että tietokoneohjelman oli mahdollista liikkua verkon läpi jättäen jäljensä kaikkialle matkallaan. Hän nimesi ohjelman Creeperiksi ja ohjelmoi sen liikkumaan varhaisen Arpanetin Tenex-terminaalien välillä tulostaen viestin: ”OLEN CREEPER: OTA MINUT KIINNI, JOS VOIT.” Aikoinaan myös sähköpostin kehittänyt Ray Tomlinson näki idean ja piti siitä. Hän muokkasi ohjelmaa tehden siitä itseään monistavan. Tämän jälkeen Tomlinson kirjoitti Reaper-nimisen toisen ohjelman, joka jahtasi Creeperiä ja poisti sen. Näin hän oli luonut ensimmäisen tietokonemadon ja ensimmäisen viruksentorjuntaohjelmiston.

Alkuperäinen uhka oli ihminen

Kun ajatellaan nykyajan kiristysohjelmia, ilman tiedostoja leviäviä haittaohjelmia ja valtiollisen tason hyökkäyksiä, on huvittavaa huomata, että näiden esi-isät olivat täysin harmittomia tekeleitä. Matka on ollut pitkä Creeperin ajoista nykyhetkeen. Tietokoneiden yleistymisen historiasta 1970—1980-luvuilla alkaen olemassa olleet uhat olivat hyvin erilaisia kuin tänä päivänä. Suurin tietoturvauhka oli, että pahantahtoiset sisäpiiriläiset kävivät tarkastelemassa tietokoneilta asiakirjoja, joiden lukemiseen heillä ei ollut oikeuksia. Tietokoneiden turvallisuuden ympärille kehittynyt valtiollisen tason riskienhallinta ja käytännöt kehittyivätkin erillään tietoturvaohjelmistoista. Nykyään ne ovat limittyneet enemmän ratkaisujen kannalta.

Varhaisimmat hakkerit

Tietoverkkoihin kohdistuneita murtoja ja haittaohjelmia oli kuitenkin käytössä pahantahtoisissa aikeissa myös tietokoneiden historian alkuvaiheissa. Neuvostoliitto alkoi esimerkiksi kehittää kyberaseita jo varhain. Vuonna 1986 saksalainen tietokonehakkeri Marcus Hess hakkeroi porttikäytävän Berkeleyssä ja käytti yhteyttä päästäkseen Arpanetiin, jonka kautta hän hakkeroi satoja armeijan tietokoneita, joiden joukossa oli Pentagonissa sijainneita päätteitä. Hessin tarkoituksena oli myydä haltuunsa saamiaan salaisia tietoja KGB:lle. Astronomi Clifford Stoll huomasi kuitenkin murron ja käytti niin sanottua hunajapurkkitekniikkaa, minkä ansiosta Hess jäi lopulta kiinni teostaan.

Morris-mato oli uranuurtaja

1980-luvulla tietokonevirukset eivät olleet enää niinkään akateemisia jäyniä vaan yhä vakavampia uhkia. Kasvava verkkoyhteyksien määrä johti siihen, että Morris-madon kaltaiset virukset onnistuivat pyyhkimään pois lähes koko internetin. Tämä loi tarpeen ensimmäisten virustentorjuntaohjelmistojen luomiselle. 1988 loppupuolella mies nimeltään Robert Morris sai idean; hän halusi mitata internetin laajuuden. Hän kirjoitti ohjelman, jonka tarkoitus oli levitä pitkin tietoverkkoja, murtautua Unix-terminaaleihin tunnettua bugia käyttämällä ja kopioida sen jälkeen itsensä. Viimeinen ohje osoittautui virheeksi, sillä Morris-mato kopioi itseään niin aggressiivisesti, että varhainen internet hidastui pahasti aiheuttaen valtavia vahinkoja.

Morris-madon vaikutukset olivat laajat

Morris-madon vaikutukset ulottuivat myös muualle. Robert Morrisista tuli ensimmäinen henkilö, joka sai syytteen tietokoneiden väärinkäyttöä koskevan lain perusteella. Myöhemmin hän sai kuitenkin itselleen professorin viran MIT-yliopistosta. Madon vaikutukset johtivat tietoturvaloukkausten ennaltaehkäisyyn keskittyvän CERT-keskuksen syntyyn. CERT toimii voittoa tavoittelemattomana tutkimuskeskuksena, joka tutkii internetiä koskevia systemaattisia ongelmia. Morris-mato näytti olevan alku jollekin uudelle. Morris-madon jälkeen virukset alkoivat muuttua vaarallisemmiksi ja vaarallisemmiksi tartuttaen yhä useampia järjestelmiä. Näyttää siltä, että mato aloitti massiivisten internethyökkäysten aikakauden, jossa nyt elämme. Samalla virustentorjuntaohjelmistot alkoivat yleistyä ja alkoi syntyä niille omistautuneita yhtiöitä.

1990-luvulla tietoturvaohjelmistot yleistyivät

1980-luvun loppupuolella markkinoilla nousi esille jonkun verran tietoturvaratkaisuja, mutta 1990-luvun alkupuolella virusskannereita tarjoavien yritysten määrä räjähti. Nämä tuotteet skannasivat kaikki bitit järjestelmästä ja testasivat niiden vastaavuutta virustietokantaan. Aluksi nämä olivat vain tiedostosta laskettuja tarkisteita, mutta myöhemmin ohjelmistot kehittyivät etsimään tyypillisesti haittaohjelmista löytyviä merkkijonoja. Nämä varhaiset yritykset ratkaista haittaohjelmaongelmaa pitivät sisällään kaksi merkittävää ongelmaa, joita ei koskaan saatu kokonaan ratkaistua. Ohjelmistot antoivat virheellisiä positiivisia tuloksia ja kuluttivat valtavasti resursseja, mikä johti osaltaan käyttäjien turhautumiseen, kun virustentorjuntaohjelmisto heikensi käyttäjän tuottavuutta.

Kohti uusia ratkaisuja

Samaan aikaan ensimmäisten tietoturvaohjelmien luomisen kanssa myös haittaohjelmien määrä räjähti. 1990-luvun alkupuolella tunnettiin muutamia kymmeniä tuhansia erilaisia haittaohjelmanäytteitä. Määrä nousi noin viiteen miljoonaan vuonna 2007, ja vuonna 2014 uusia ja ainutkertaisia haittaohjelmanäytteitä tuotettiin arvioiden mukaan jo puoli miljoonaa kappaletta joka päivä. Vanhat tietoturvaohjelmistot eivät enää pystyneet kirjoittamaan haittaohjelmanäytteitä riittävän nopeasti ongelman mukana pysymiseksi. Tarvittiin uusi lähestymistapa aiheeseen. Seuraava vaihe olivat EPP-ratkaisut (Endpoint Protection Platform), jotka eivät käyttäneet enää staattisia tunnisteita virusten tunnistamiseksi, vaan niissä otettiin käyttöön suurempien haittaohjelmaperheiden tunnisteiden skannaaminen.

Tietoturva elää jatkuvassa murroksessa

Koska suurin osa haittaohjelmanäytteistä on muunnelmia olemassa olevista näytteistä, EPP-ratkaisut toimivat hyvin, sillä ne pystyivät vakuuttamaan kuluttajille pystyvänsä ehkäisemään tunnistamattomat uhat jo ennakkoon, mikä perustui itse asiassa olemassa olevista haittaohjelmista kehitettyjen ohjelmien tunnisteiden havaitsemiseen. Tästä on sittemmin siirrytty kohti 2020-lukua tultaessa uuden sukupolven tietoturvaohjelmistoihin. EPP-ratkaisujen rinnalle on tullut EDR-ratkaisuja (Endpoint Detection and Response), jotka havaitsevat ja käsittelevät tietoturvauhkia käyttämällä kevyttä koneoppimiseen perustuvaa algoritmia. EDR-tietoturvapalvelut eivät pelkästään pysty tunnistamaan ja ymmärtämään löytämiään uhkia, vaan ne myös estävät itsenäisesti hyökkäykset reaaliajassa.

Virukset ovat kulkeneet pitkän tien Morris-madon kehittämisestä ja venäläiset hakkerit ovat hioneet taitojaan Marcus Hessin ajoista. Vastatakseen näihin moderneihin uhkiin yritykset tarvitsevat suojaa tulevaisuuden varalta. Nykyaikaiset tietoturvaohjelmistot kykenevät ehkäisemään, havaitsemaan ja vastaamaan kehittyneisiin hyökkäykseen toimitusvektoreista riippumatta ja olipa päätelaite yhdistettynä pilveen tai ei. Kyberturvallisuuden kulmakivenä toimii yhä uhkien ennaltaehkäisy ennakoivien toimenpiteiden avulla, mutta nekään eivät suojaa tietoja TPP-hyökkäyksiltä (Tactics, Techniques & Procedures). Nykyaikaiset tietoturvaratkaisut käyttävät uhkatiedustelua ja käyttäytymisanalyyseja yritysten IT-ympäristön ja turvallisuuden valvomiseen. Tietoturvan kannalta suurin uhka on tänäkin päivänä sama kuin alkuvaiheessa. Pahantahtoinen ihminen.

Leave a Reply

Your email address will not be published. Required fields are marked *