• 2986
  • 0

Urkkijat kuriin

Yhteistyössä

Ionicin perustaja Adam Ghetti sanoo, että hänen ohjelmistonsa voi päättää tietomurtojen aikakauden salaamalla dataa nokkelammin.

Salamyhkäinen startup-yritys Ionic Security on kerännyt huomattavia sijoituksia ja saanut kiitosta ohjelmastaan, joka salaa yritysten tiedot hakkereiden ja NSA:n valvovilta silmiltä.

Vuonna 1990 Yhdysvaltain ilmavoimien ylikersantti William Ghetti kirjoitti kirjeen, joka julkaistiin Isossa-Britanniassa The Independent -sanomalehdessä. Kirjoituksessaan Ghetti kyseenalaisti Yhdysvaltain Persianlahden hyökkäyksen tarkoitusperät. Hänen kommenttejaan lainattiin myöhemmin Ison-Britannian parlamentissa, kun pohdittiin, pitäisikö heidän antaa sotilaallista apua Yhdysvalloille. Ghettin ajatukset tuntuvat edelleen ajankohtaisilta:

”Öljyyn pohjautuvaa maailman­talouttamme ajava ahneus on saattanut meidät asemaan, jossa olemme valmiita uhraamaan poikiamme ja tyttäriämme, jotta bensan hinta pysyy alhaisena.”

Pikakelataan 25 vuotta eteenpäin. Ghettin 28-vuotias poika Adam aloittaa tehtävän, joka uhmaa isänsä lailla länsimaisten hallitusten ajatuksia. Kun valtioiden johtajat sallivat tiedustelupalveluiden tutkia ihmisten henkilökohtaista viestintää, nuorempi Ghetti on perustanut Ionic Security -yrityksen Atlantassa. Sen tarkoituksena on Ghettin mukaan tehdä digitaalisten elämiemme epätoivottu tutkiminen lähes mahdottomaksi ja tietomurroista “epäolennaisia”.

TIEDONSALAUSTEKNIIKAN AVULLA YRITYKSET VOIVAT HALLITA SITÄ, KUKA NÄKEE MITÄ TIETOJA JA MILLOIN.

Ionic ei syntynyt Piilaaksossa tai muussa innovaatiokeskuksessa, vaan Costa Rican San Joséssa, jossa Ghetti, yksi Forbesin 30 vaikutusvaltaisimmasta alle 30-vuotiaasta vuonna 2014, koodasi auringon alla. ”Tykkään olla rannalla”, hän sanoo. Loppuvuodesta 2010 maailmankiertäjä Ghetti aloitti henkilökohtaisen työkalun rakentamisen, jota hän kutsui Social Fortressiksi, sosiaaliseksi linnoitukseksi. Se oli selaimen lisäosa, joka toimi Facebookin lisäkerroksena. Lisäosan avulla Ghetti pystyi hallitsemaan henkilötietojaan paremmin kuin vain Facebookin omien yksityisyysasetusten avulla. “Suoraan sanottuna yksityisyyttähän ei voi hallita asetusten avulla. Niistä tulee vain itselle hyvä olo, sillä sitä on jo antanut kaikki tiedot Facebookille. He voivat tehdä niillä mitä haluavat.”

Parin kuukauden aikana Ghetti istui kokouksissa useiden Global 2000 -listalla olevien suuryritysten kanssa ja tajusi, että Social Fortress olisi paljon vaikutusvaltaisempi työkalu, jos se olisi skaalautuva. Työkalusta saisi enemmän irti, jos työkalua voisi käyttää muutenkin kuin Ghettin omalla läppärillä. Vuonna 2012 hän palkkasi ensimmäiset ohjelmistoinsinöörit ja vuoden päästä hän jätti pois Social Fortress -nimen. Kehitystyö on kestänyt viisi vuotta, mutta Ionicin tuote alkaa pian olla valmis markkinoille.

Tekniikan ytimessä on hienojakoinen tiedonsalaustekniikka, jonka avulla yritykset voivat hallita sitä, kuka näkee mitä tietoja ja milloin. Esitellessään tuotetta Forbesille Ghetti näytti, kuinka tuotetta voi käyttää yrityksen sosiaalisessa verkostossa ja kuinka sillä voi nappulan painalluksella muuttaa tiettyjä postauksia siansaksaksi jollekin työntekijälle. Vain Ionicin validoimat henkilöt näkevät tiedot, ja pahanilkiset ulkopuoliset voidaan sulkea ulkopuolelle nopeasti.

Vaikka Ghetti ei voikaan kertoa Ionicin tarkkaa toimintaperiaatetta, hän antaa muutamia esimerkkejä. Tietojen lukitsemiseen ja avaamiseen tarvittavat salausavaimet luodaan asiakkaan omistamilla laitteilla. Avaimia vaihdetaan digitaalisesti työntekijän laitteen ja Ionicin myymän koneen välisen “yhteisen salaisuuden” avulla. Kukaan yrityksen verkossa ei pääse käsiksi piilotettuihin tietoihin, eivät edes hallituksen vakoojat, jotka tutkivat ihmisten välistä viestintää internetin palveluntarjoajien sisällä. Se ei kuitenkaan tarkoita, etteivätkö hallitukset käyttäisi Ionicin työkaluja. “Ohjelmaamme ovat tutkineet tarkasti kaikista tarkkanäköisimmät asiakkaamme Wall Streetillä, energiasektorilla sekä valtionhallinnossa. Meillä on kaksi suurta valtionhallinnon asiakasta”, kertoo Ghetti. Ionicin salaustyyliä voidaan mahdollisesti käyttää myös fyysisessä maailmassa. Ghetti tekee yhteistyötä suuren autonvalmistajan kanssa tietojen suojaamiseksi autojen ja valmistajan palvelinten välillä.

Ionicin suuri potentiaali on kasvattanut myös heidän kunnianhimoaan. “Rakennamme seuraavan suuren riippumattoman turvallisuusyrityksen. Sellaista ei ole näkynyt sitten Symantecin ja McAfeen”, sanoo Ghetti. (Tästä me olemme eri mieltä, onhan markkinoille tullut sellaisia startup-yrityksiä kuin CloudFlare ja Lookout.) Ionic sai 2015 mennessä 72 miljoonan euron arvosta riskisijoituksia. Sijoittajiin lukeutuvat muun muassa Meritech Capital Partners, Kleiner Perkins Caufield & Byers ja Google Ventures. Ghetti on houkutellut turvallisuusmaailman isoja kihoja Ionicin hallitukseen, ja mukana on muiden joukossa PGP-yhtiön perustaja Phil Dunkelberger sekä KPCB:n kyberturvallisuuden sarjasijoittaja Ted Schlein. “Yksi annos Adam Ghettiä riittää”, sanoo Schlein. “Hän on yksi maailman vangitsevimmista yrittäjistä, jonka olen tavannut viimeisen kymmenen vuoden aikana.”

Ghetti haluaa tehdä Ionicista turvallisuusjätin myös epäitsekkäistä syistä. Ionic rahoittaa jo nyt kaikessa hiljaisuudessa useita aktivistihankkeita. Vuonna 2014 se allekirjoitti 10 000 dollarin shekin, jolla rahoitettiin TrueCryptin tarkastus. TrueCrypt on yksityinen viestintäväline, johon NSA:n epäiltiin murtautuneen. “He lähettivät rahat, kun me vasta mietimme, ovatko he edes tosissaan. Se oli aika mahtavaa ja tärkeä osa sitä, että koko hanke saatiin edes toteutettua”, sanoo Johns Hopkins -yliopiston salaustekniikan tutkija ja yksi TrueCryptin tarkastajista Matthew Green.

Ionicin tekniikka saattaa kuitenkin edistää myös niiden liiketoimintaa, jotka ovat teknoliberaalista vapaan ja avoimen tiedonvälittämisen unelmanäkökulmasta katsottuna vihollisia. Elokuvastudiot voisivat käyttää sitä digitaalisten käyttöoikeuksien hallintaan. Esimerkiksi Sony Pictures, jonka palvelimet hakkeroitiin, varmasti odottaa kieli pitkällään ratkaisua, jolla voi lukita digitaaliset tiedostot ja huomata varkaudet. Ghetti ei näe, että Ionic lähtisi tälle markkina-alueelle. Hän on jopa kieltänyt digitaalisesta käyttöoikeuksien hallinnasta puhumisen työpaikalla.

Ionicilla on myös musta lista, jolta löytyy yrityksiä ja maita, joiden kanssa Ionic ei tule koskaan tekemään yhteistyötä. Hän ei sano nimiä, mutta mainitsee näiden olevan yrityksiä, jotka “ovat meidän mielestämme tehneet vääryyksiä koko ihmiskunnalle”. Kuten hänen isänsä ennen häntä, Ghetti ottaa kantaa viranomaisia vastaan suojellakseen kansalaisten oikeuksia, olivatpa he sitten missä maassa tahansa.


Mika Laaksonen – Kirjoittaja on KPMG:n Suomen ja Pohjoismaiden tietoturvapalveluiden johtaja


Kyberturvallisuuden pitäisi olla prioriteetti

Tietoturva- ja kyberuhilta suojautumisesta on tullut digitaalisen liiketoiminnan ja yhteiskunnan toiminnan elinehto. KPMG ei tarjoa yksittäisiä teknologisia ratkaisuja, vaan kehitämme yritysten kyberturvallisuuden prosesseja ja teknisiä ratkaisuja osana asiakkaan liiketoimintaa.

Suuret kyberhyökkäykset ovat lisänneet tietoisuutta Suomessakin, mutta kyberturvallisuuteen satsataan usein liian vähän ja liian myöhään. Tutkimuksemme mukaan peräti 72 prosenttia yritysjohtajista arvioi, ettei heidän yrityksensä ole tarpeeksi varautunut kyberhyökkäyksiin.

Toistamme samoja virheitä esineiden internetin (IoT) suojaamisen kanssa kuin internetin yleistymisen aikana. Rakennamme ratkaisuja ja vasta sitten mietimme, miten niitä voisi suojata. Turvallisuus tulisi huomioida alusta lähtien. Suurin osa tuotantolaitoksista hyödyntää automatiikkaa, ja yhteiskunnan toiminnan kannalta kriittinen infrastruktuuri sisältää teknologioita, joihin voi kohdistua hyökkäyksiä sodankäynnin aikana — mutta myös muulloinkin. On huolestuttavaa, että monet näistä kohteista ovat melko heikosti suojattuja. Kun teimme selvitystä eräässä pörssiyhtiössä, pääsimme tunkeutumaan verkon kautta heidän tuotantoaan ohjaaviin prosessiautomaatiojärjestelmiin. Näimme tuotteisiin liittyvät salaiset tiedot ja olisimme voineet vahingoittaa tuotantoa.

KPMG:llä on Suomessa lähes sata kybertuvallisuuden asiantuntijaa, jotka auttavat asiakkaitamme ymmärtämään kyberturvallisuuden lähtötason, markkinoiden odotukset ja liiketoiminnan kannalta oikein kohdistetut panostukset kyberturvallisuuteen. Me tarjoamme riippumattoman arvioinnin kyberturvallisuuden tilasta globaaleihin standardeihin perustuen, laadimme kehityssuunnitelmat ja tarvittaessa todennamme turvallisuuden tason globaalien sertifiointien avulla. Autamme yrityksiä myös ad hoc -tapauksissa ilman mittavia konsulttisopimuksia.

Ehkä sinunkin yrityksesi olisi aika ottaa kyberturvallisuus tosissaan?

2987 Visi skatījumi 15 Skatījumu šodien

Jätä kommentti

450