Töissä meillä: Tietoturvajohtajasta lehtoriksi – ”Hyvät huijaukset voivat jäädä huomaamatta jopa ammattilaisilta”
Pia Satopää aloitti Turun ammattikorkeakoulun kyberturvallisuuden lehtorina. Satopää on tietoturvan ja kyberturvallisuuden rautainen ammattilainen, joka on nähnyt ja kokenut alaa laajasti.
Teksti ja kuva: Siiri Welling
Viime vuosien aikana tietoturvasta ja erityisesti kyberturvallisuudesta huolehtimisesta on tullut erityisen tärkeää, ja niiden voidaan ajatella olevan jo eräänlaisia kansalaistaitoja. Tietoturva koskettaa jokaista ihmistä, sillä yhä useampi palvelu on nykyään verkossa.
Turun ammattikorkeakoulun uusin vahvistus, kyberturvallisuuden lehtori Pia Satopää, tietää todellakin tietoturvasta ja kyberturvallisuudesta. Viimeiset parikymmentä vuotta hän oli töissä Puolustusvoimilla, ja ammattikorkeakouluun hän siirtyi Puolustusvoimien tietoturvajohtajan paikalta. Satopään mukaan ammattilainenkin saa olla tarkkana tietoturva-asioissa.
– Varmaankin tietoturvajohtajan työtehtävien kautta saatoin olla kiinnostava tietomurtokohde. Erilaisia yhteydenottoja on tullut sosiaalisten median kanavien kautta, eli huijausviestejä ja kontaktipyyntöjä henkilöiltä, joiden todenperäisyydestä ei ole varmuutta. Hyvät huijaukset voivat jäädä huomaamatta jopa ammattilaisilta, jos ei ole tarpeeksi tarkkana, sanoo Satopää.
Satopään mukaan yleisin tietoturvamoka liittyy yhä siihen, että klikkaa auki epäilyttävän viestin, joka paljastuu myöhemmin tietojenkalastelu- tai haittaohjelmaviestiksi. Esimerkkejä tapauksista löytyy myös mediasta: Vuonna 2021 poliisi varoitti Bing-hakukoneeseen tehdystä huijaussivustosta, joka muistutti hyvin paljon oikeaa verkkopankkia. Kun verkkopankkiin kirjautui huijaussivuston kautta, joutuivat omat pankkitiedot huijareiden käsiin. Monet menettivät huijauksessa huomattavia summia rahaa. Organisaatioiden henkilöstöön kohdistuvat erilaiset kalasteluviestit ja huijausyritykset voivat olla hyvinkin kohdennettuja ja vaikeasti tunnistettavia.
– Tällaiset huijaukset on tehty hyvin taitavasti, eli niissä ei ole enää edes huonoa suomen kieltä. Moni kyberasioiden kanssa tuntematon on tällaisen edessä hyvin vaikean paikan edessä, muistuttaa Satopää.
Pia Satopää puhuu sujuvasti sekä kyberturvallisuutta että tietoturvallisuudesta. Monelle nämä asiat kuulostavat samalta. Satopään mielestä tietoturvallisuus on yksi iso kattokäsite, jonka alle kyberturvallisuus kuuluu. Kyberturvallisuudella tarkoitetaan sähköisen ja verkotetun yhteiskunnan turvallisuutta. Siinä tunnistetaan, ehkäistään ja varaudutaan sähköisten ja verkotettujen järjestelmien häiriöiden vaikutuksiin yhteiskunnan kriittisiin toimintoihin. Tietoturvallisuus kattaa tiedon turvaamisen laajemmin. Erilaisia tulkintoja käsitteiden suhteista on olemassa.
– Esitän usein peruskysymyksen: onko tietoturvaa ilman kyberiä, ja onko kyberiä ilman tietoturvaa? Olisiko selkeämpää puhua kokonaisturvallisuudesta, jonka osia tieto- ja kyberturvallisuus ovat?
Tietoturvan rooli isommaksi organisaatioissa
Tammikuussa Satopää hyppäsi täysin uudelle alueelle aloittaessaan lehtorina. Satopää kertoo olleensa aina kiinnostunut tietoisuuden lisäämisestä ja osaamisen kehittämisestä. Puolustusvoimissa hän havaitsi sen, miten iso merkitys hyvällä tietoturva- ja kyberosaamisella on organisaation toimintaan. Seuraavien vuosien aikana toimintaympäristöjen ja tietojen turvaaminen sekä varautuminen nousee uudelle tasolle. Enää ei tuudittauduta siihen, että poikkeamia ei tapahdu, vaan varaudutaan tilanteeseen, jossa jotain on tapahtunut. Kasvava toimitusketjuihin kohdistuva uhka tunnistetaan paremmin ja siihen osataan kiinnittää huomiota myös sidosryhmien ja kumppaneiden osalta.
– Todennäköisesti myös ymmärretään viimein henkilöstön rooli tietojen turvaamisessa organisaatioissa. Organisaation henkilöstön on parhaimmillaan mahdollista olla valtava sensori, joka auttaa ja kykenee havaitsemaan mahdollisia poikkeamia ja haavoittuvuuksia. Näiden havaintojen avulla voidaan turvata paremmin organisaation toimintaympäristöä, liiketoimintoja ja kriittistä tietoa. Nykyisellään kyberin koulutus organisaatioissa ei ole kovin kattavaa. Toivon, että tulevien vuosien aikana ymmärretään, minkälainen vaikutus tieto- ja kyberturvallisuudella voi olla liiketoiminnalle ja toiminnan jatkuvuudelle, jos asiat eivät ole kunnossa.
– Toisekseen uskon, että myös järjestelmien suojaus kehittyy jatkuvasti tietoturvallisempaan suuntaan, jotta tiedon käytettävyys, saatavuus ja oikeellisuus voidaan entistä tehokkaammin taata ja että häiriötilanteista toipumiseen ja palautumiseen ollaan kattavasti varauduttu, jatkaa Satopää.
Vaikka Satopää on tehnyt pitkän uran tietoturvan parissa, ei hänestä alun perin pitänyt tulla tietoturvajohtajaa tai kyberturvallisuuden lehtoria. Hän itse kuvailee olevansa sitä sukupolvea, joka ajautui tietoturva-asioiden pariin, sillä koulutusta tietoturva-asioista ei juuri ollut esimerkiksi 90-luvun lopulla tai 2000-luvun alussa. Opettajana Satopää haluaa muutosta juuri koulutustasoon. Hän haluaa olla helposti lähestyttävä ja konkreettisia esimerkkejä antava, jotta opetus on mielekästä ja interaktiivista.
– Edellisessä tehtävässä oli melko suuri yhteiskunnallinen vaikuttavuus. Sitä löytyy uudestakin työstä, sillä nyt pääsen vuorovaikutukseen opiskelijoiden kanssa ja saan kuulla heidän kokemuksiaan ja havaintojaan kyberturvallisuudesta ja tietoturvallisuudesta. Pääsen varmasti myös itse oppimaan opiskelijoilta. On hienoa myös nähdä oman työnsä tulokset, kun työmarkkinoille syntyy uutta kyberturvaosaamista, sanoo Satopää.
Lue lisää: Turun AMK vastaa kyberturvallisuusalan osaajapulaan koulutuksilla