Huawein globaalilla kyberturvallisuusjohtajalla Mika Lauhteella on ainutlaatuinen näkymä tietoturvan syvimpään olemukseen. Päivätyönsä ohella hän on toiminut ENISAN sekä useamman eri hallituksen neuvonantajana. Pääsimme jututtamaan Mikaa siitä, miten hän näkee tietoturvan ja miten sitä tulisi hänen mielestään kehittää eteenpäin.
Huawein kyberturvallisuusjohtaja Mika Lauhde on tehnyt ainutlaatuisen uran tietoturvan parissa. Mukaan on mahtunut monipuoliset opinnot sekä Suomessa että Saksassa sekä työskentelyä Huawein lisäksi muun muassa Nokialla ja Fujitsu-Siemensillä.
Kiinnostus tietoturvaan hänellä heräsi reilu kolmekymmentä vuotta sitten Saksassa, kesätöissä erään yrityksen tuotekehitysosastolla.
– Halusin todistaa tälle yritykselle, että heidän verkkonsa on haavoittuvainen, joten tein sinne viruksen. He sanoivat että hyvä juttu Mika, olet palkattu. Voitko nyt fiksata tämän asian, Mika naurahtaa.
Opintojensa jälkeen hän päätyi lopulta Nokialle, joka siihen aikaan oli maailman suurin telekommunikaatioyritys.
Vähitellen suurimman telekommunikaatioyrityksen valtikka siirtyi Huaweille, kuin myös Mikakin.
Kuka on Mika Lauhde?
- Huawein globaali kyberturvallisuusjohtaja
- ENISAN pysyvän ohjausryhmän jäsen yli 10 vuoden ajan
- Englannin IET:n Fellow
- Maastricht:n Yliopiston lakitieteellisen opettaja
- Asunut useassa eri maassa, kuten Saksassa ja Kiinassa
- Graafisen alan insinööri, automaatioinsinööri, elektroniikan diplomi-insinööri
- Työskennellyt muun muassa Nokialla, Fujitsulla ja Fujitsu-Siemensillä
- Aloittanut uransa painotalojen pre-press-järjestelmien parissa ennen kuin siirtyi Saksaan jatkamaan opintojaan
Näkymä lähes 180 maan tietoturvaan
Näiden tehtävien ohella Mikan ura on kulkenut toisenlaista polkua. Noin 15 vuotta sitten Euroopan komissio pyysi häneltä apua turvallisuusasioissa. Kun muutama vuosi myöhemmin ENISAN, Euroopan kyberturvallisuusviraston johtaja kasasi avukseen pysyvää ohjausryhmää, Mika oli ensimmäinen henkilö joka pyydettiin mukaan.
Mika on muun muassa toiminut 11 vuotta Euroopan komission kyberturvallisuusviraston pysyvän ohjausryhmän jäsenenä, jonka tehtävänä oli neuvoa viraston johtajaa. Lisäksi hän on tehnyt töitä Europolille, Englannin ja Saksan hallituksille sekä toiminut IETF:nä Englannin Institution of Engineering & Technologyllä.
Kiitos tästä kuuluu Nokialla ja Huaweilla vietetyistä vuosista, joissa hän on kerännyt laajan ymmärryksen eri maiden tietoturvasta.
– Silloin kun Nokia oli maailman isoin telekommunikaatiotalo, heillä oli 170 toimistoa ympäri maapalloa, ja minulla oli näkyvyys 170 maahan. Nykyään Huawei on isompi kuin Nokia koskaan, ja minulla on lähes 180 maata joiden tietoturva-asioita minun täytyy ymmärtää.
Huawein tarjoaman maailmanlaajuisen verkoston avulla Mika kerää tietoturvaan liittyvää ymmärrystä ja analysoi sitä jatkuvasti. Sen pohjalta hän neuvoo Huawein ylintä johtoa tietoturva-asioissa, ja jakaa tietämystään hallituksille, salaisille palveluille, puolustuslaitosten edustajille, tietoturvaviranomaisille ja toki myös muille yrityksille.
Tietoturva on muutakin kuin teknologiaa – se koostuu 41 ulottuvuudesta
Tietoturvaa tulisi käsitellä Mikan mukaan laajemmallakin tasolla kuin pelkän teknologian kautta.
– Silloin kun aloitin, olin niin tyhmä että luulin että tietoturva on teknologiaa. Nyt olen tehnyt tutkimusta siitä, mitä kaikkea tietoturvaan liittyy ja saanut kerättyä itselleni 41 kohdan listan siitä, mitä kyberturva sisältää. Teknologia on välillä se helpoin osa.
Listalta löytyy asioita kuten raaka-aineet, ekosysteemit, käyttöjärjestelmät ja regulaatio. Tuoreimpia tulokkaita viime vuosilta ovat kyberdiplomatia ja kyberfoorumit, joissa yritetään ratkoa niitä asioita, joita ei kyetä ratkaisemaan muuten, esimerkiksi teknologialla.
Markkinajohtajan täytyy juosta kovempaa kuin kenenkään muun kentällä
Huawein tietoturvaa on kirittänyt sen asema markkinoilla.
– Markkinajohtajaa hakataan aina kaikista koviten. Oli se sitten kuka tahansa ja missä tahansa, vaatimukset ovat aina kovemmat kuin kellään muulla, Mika linjaa.
Painetta tulee muun muassa viranomaistahoilta, jotka vaativat että markkinoiden isoimmat toimijat osoittavat johtajuutensa noudattamalla lakia erityisen tarkasti. Samalla toisenlaista painetta syntyy kyberrikollisuuden suunnalta.
– Hakkerit kohdistavat aina ensimmäiseksi kaiken intonsa ja halunsa ennen kaikkea markkinajohtajaan. Yksi kyberrikollisuuden peruslaeista on, että jos saat rikottua markkinajohtajan laitteiston, saat aiheutettua eniten hyötyä itsellesi.
Tämän takia Huawei panostaa tietoturvaan Mikan mukaan enemmän kuin mikään muu yritys tällä maapallolla; ei vain sen vuoksi, että halutaan, vaan koska on pakko. Tietoturvan kestävyyttä kun joudutaan todistamaan joka päivä moneen suuntaan.
Huaweilla panostetaan päästä päähän -tietoturvaan
Kuten moni julkista keskustelua seurannut tietää, Huawei on kohdannut matkan varrella soraääniä ja epäilyjä.
– Me ymmärrämme geopoliittisen asemamme. Olemme Kiinasta tuleva yksityinen yritys, eli meidän on 30-vuotisen historiamme aikana pitänyt rakentaa järjestelmiä jotka todistavat, ettei kukaan valtiollinen tekijä kykene käyttämään niitä asiakkaitamme vastaan.
Asia nousi tapetille parikymmentä vuotta sitten, kun Huaweilla ryhdyttiin miettimään muun muassa sitä, mistä laitteiden osat hankitaan, ja miten niiden turvallisuus varmistetaan. Vuodesta 2002 lähtien Huawei onkin panostanut päästä päähän -turvallisuuteen ja seurannut komponenttien elinkaarta aina valmistuksesta romutukseen asti.
– Vastuu ei lopu siihen, kun toimitamme laitteistot asiakkaillemme. Itseasiassa silloin se vasta alkaa, koska siinä vaiheessa asiakkaat kytkevät laitteiston verkkoon ja ajattelevat, että nyt tän pitäisi suojata mua kaikilta ongelmilta joita ulkopuoliselta maailmalta tulee, Mika kertoo.
Huawein panostus vain lisääntyy asiakkaan suuntaan siinä vaiheessa, kun laitteet siirtyvät käyttöön. Tämä on vaatinut tiukkaa kehitystyötä ja prosessin avaamista testaukselle.
– Raaka-aineiden ja asiakkaan välillä on pitkä matka, jossa on paljon sisäisiä ja ulkoisia testauksia, sertifiointeja ja hallituksia, joiden kanssa teemme yhteistyötä ja joille avaamme koodimme ja laitteistomme.
– Olemme rakentaneet ympäri maailmaa tietoturvakeskuksia, joihin hallitukset saavat tuoda parhaat ihmisensä, testauslaitteistonsa ja gurunsa, ja haastaa meidän tietoturvatekemisen, laitteiston ja softat.
Vielä toistaiseksi kukaan ei ole kyennyt todistamaan, että laitteissa olisi ongelmia.
Tietoturvan kehittäminen vaatii ajattelutavan muutosta
Mikan ja koko Huawein toiveena on, että tietoturvan kulttuuria saataisiin muutettua maailmanlaajuisesti.
– Eurooppa on ollut tyytyväinen tällaiseen black box -ajatteluun. Ihmiset ovat ostaneet laatikon ja heille on sanottu että tää on tosi hyvä ja se ratkaisee kaikki sun ongelmat. Ja siihen on luotettu.
Huawein ympärillä pyörinyt kiivas keskustelu on laittanut rattaat liikkeelle, ja herättänyt pohdintaa siitä, pitäisikö muitakin valmistajia haastaa ja testata samalla tavalla.
– Nyt ruvetaan esittämään terveitä kysymyksiä. Erään hallituksen kanssa keskusteltiin viime viikolla, että miksi emme testaa kaikkien muidenkin valmistajien laitteita samalla tavalla? Että jos Huawei on valmis avaamaan koodinsa ja laitteensa, niin kyllä sitä pitäisi vaatia muiltakin.
Tämä muutos lisäisi kaikkien yritysten tietoturvaa sekä tietoturvan laatua.
Pienet ja keskisuuret yritykset ovat jääneet tietoturvakeskusteluista ulkopuolelle – ja tämä on riski
Tällä hetkellä Mikan suuri huoli on se, että tietoturva on politisoitumassa. Alan asiantuntijat vetäytyvät keskustelusta, ja tuorein tieto ei kulkeudu pienemmille yrityksille.
Vaikka faktat pysyvät samoina, pinnalla olevat poliittiset mielipiteet vaikuttavat siihen, millaisia kannanottoja asiantuntijat uskaltavat tehdä julkisuudessa. Niinpä tietoturvakeskustelu on siirtynyt enemmän ja enemmän kulissien taakse. EU-komissiossa puhutaan kyberymmärryksestä (cyber intelligence), joka on parhaillaan katoamassa monen yrityksen ulottumattomiin.
– Jos mietitään pientä tai keskisuurta yritystä, niin millä ihmeellä heidän on mahdollista saada objektiivista kuvaa tietoturvasta ja siihen liittyvistä asioista, jos keskusteluja ei enää käydä julkisuudessa?
Mikan mukaan tiedon hankkimiseen on kaksi tietä. Riittävän iso yritys, kuten Huawei, kykenee rakentamaan tietoa itselleen. Toinen vaihtoehto on palata uuteen arvokeskusteluun tietoturvaperiaatteista.
– Hallitusten pitäisi lopettaa kauppasota ja keskittyä rakentamaan yhteistä hyvää ja yhteisiä kybernormeja, jotka ovat samat kaikille yrityksille. Siinä vaiheessa asiantuntijat uskaltavat tulla taas esiin.
– Huaweilla on oma ketunhäntä kainalossa tässä siinä, että jos tällaiseen faktapohjaiseen keskusteluun päästäisiin, niin se helpottaisi monen yrityksen tekemistä, myös meidän. Siksi olemme panostaneet paljon aikaa ja vaivaa siihen, että saisimme eri hallitukset keskustelemaan kybernormeista niin idässä kuin lännessäkin.
Mikan vinkki yrityksille: älä kerää tietoa jota liiketoimintasi ei tarvitse
Tietoturvassa riittää siis paljon kehitettävää, ja toki yrityksillä on tässä oma vastuunsa.
– Tietoturvaa ja yksityisyydensuojaa pidetään edelleenkin välttämättömänä pakkopullana, ei kilpailuetuna, jonka ansaitsemiseksi pitää tehdä jotain.
Kun Mikalta kysytään vinkkejä muille yrityksille, nostaa hän esiin uhkakuva-analyysin.
– Hyvän ajatuksen tästä saa Euroopan GDPR-laista, joka alkaa kysymyksillä siitä, että halutaanko kerätä tietoa, minkä takia ja jos sitä täytyy kerätä niin kerätäänkö vain välttämätön vai jotain tietoa muuten vaan?
Tämä toivottavasti ajaa yritykset ja valtiot pohtimaan sitä, että mitä enemmän tietoa kerätään, sitä suuremmaksi uhkakuva-analyysi ja riskit paisuvat.
– Tällä hetkellä ihmiset ja yritykset ottavat itselleen vastuita, joita he eivät ole ymmärtäneet. Kerätään tietoa, potilasdataa, sosiaaliturvanumeroita. Tietoa, jota ei välttämättä edes tarvita liiketoiminnan pyörittämiseen, mutta jota kerätään silti, kun kaikki väittävät, että tieto on tärkeintä.
Haluatko kuulla lisää Mikan ajatuksia tietoturvasta ja kyberturvallisuudesta?
Webinaaritallenne: Tietoturva on matka, ei päämäärä
Webinaari toteutetaan yhteistyössä Huawei Suomen kanssa.
