Hack with Espoo – mitä siitä jäi käteen?

  • Jaa Facebookissa
  • Jaa Twitterissä
23.11.2018 Matti Parviainen

Hack with Espoo -tunnusSyksyn aikana noin 20 espoolaiselle lukiolaiselle on tarjottu opetusta tietoturvallisuudesta, hakkeroinnista, hakkerietiikasta ja tietoturvatestaamisesta. Opettajina ovat toimineet oman substanssinsa huippuosaajat tietoturvayhtiö Second Nature Securitystä (2NS) sekä luento-osuudessa myös poliisista, Kyberturvallisuuskeskuksesta ja LähiTapiolasta. Tämän jälkeen lukiolaiset päästettiin testaamaan kaupungin tietojärjestelmän tietoturvallisuutta.

Kurssin tavoitteet olivat moninaiset eivätkä perustuneet pelkästään siihen, että opiskelijat oppivat, vaan myös siihen, että kaupunki ja yhteiskunta hyötyvät siitä. Meille kaupunkina erityisen kiinnostavaa oli kokeilla, voimmeko tulevaisuudessa osallistaa nuoria tietoturvatestaukseen eli riittääkö lukiolaisten osaaminen tämän kaltaiseen. 

Seitsemän raporttia puutteista

Testauksesta saimme lukiolaisilta seitsemän raporttia, joista osa liittyi käytettävyyteen ja osa oli selkeitä tietoturvahaavoittuvuuksia. 

Kurssille osallistunut 17-vuotias Niklas Halonen löysi palvelusta haavoittuvuuden, jonka avulla olisi ollut mahdollista saada haltuunsa toisen henkilön tietoja. Niklas palkittiin löydöstään ja sen raportoinnista LähiTapiolan sponsoroimalla stipendillä, kiitoksena kaupungin tietoturvallisuuden parantamisesta.

Hack with Espoo -stipendiaatti Niklas Halonen ja 2NS-teknologiajohtaja Juho RantaNiklas Halonen sai stipendin löydettyään kaupungin palvelusta vakavan haavoittuvuuden. Second Nature Securityn teknologiajohtaja Juho Ranta vastasi kurssin keskeisestä opetussisällöstä.

Lisää tietoa – ja tietoisuutta

Paransiko kurssin toteuttaminen Espoon tietojärjestelmien tietoturvallisuuden tasoa? Kyllä, koska jokainen havaittu haavoittuvuus ja sen korjaaminen parantaa tietoturvaa. Haluaisin kuitenkin tarkastella kurssin tavoitteita ja vaikutuksia laajempina ja kauaskantoisempina kokonaisuuksina, varsinkin sellaisina, jotka ovat vaikeasti mitattavissa. 

Yleisesti kurssin näkyvyys on lisännyt organisaatiomme tietoisuutta ja ehkä kiinnostustakin tietoturvallisuuden ilmiöihin. Tietoisuuden lisääntyminen tarkoittaa, että asioita huomioidaan entistä paremmin, myös tiedostamattomalla tasolla. Ja totta kai kurssin toteutus tuotti kaupungin tietoturvallisuuden näkökulmasta ydinhenkilöille lisää tietoa ja taitoa uudenlaisesta tavasta testata järjestelmiä.

Maailma ja teknologia muuttuvat entistä nopeammin ja myös meidän julkishallinnossa on pystyttävä siihen vastaamaan. Tämä tarkoittaa, että tarvitsemme myös turvallisuuden takaamiseksi ketterämpiä ja rohkeampia toimintatapoja. Toivottavasti kurssi toimii myös tässä eli madaltaa kynnystä kokeilla ja tehdä asioita uudella tavalla, niin meillä kuin muualla.

Jatkoa seuraa Espoossa ja muualla

Kurssi on poikinut Espooseen paljon kiinnostuneita yhteydenottoja muilta viranomaisilta, mutta myös ulkomaalaisilta tahoilta. Näyttää siltä, että emme jää ainoaksi hakkerointia opettavaksi ja hyödyntäväksi kunnaksi, vaan jatkoa seuraa myös muualla.

Hack with Espoo -kurssin yhtenä tavoitteena onkin ollut tuoda hakkerointia ja nuorten kannustamista näkyvämmin keskusteluun ja kannustaa muitakin kokeilemaan erilaisia menetelmiä tietoturvallisuuden kehittämiseen yhä rohkeammin.

Niin kuin aiemmin olemme todenneet, kaupunki ei olisi yksin voinut toteuttaa kokonaisuutta, vaan se tarvitsi toteutuksen tueksi ulkopuolista apua. Haluankin esittää Espoon kaupungin puolesta suuren kiitoksen tietoturvayhtiö 2NS:lle, joka vastasi suurelta osin kurssin opetuksesta sekä tuki kaupunkia kohteena olleen tietojärjestelmään liittyvien vaatimusten toteuttamisesta ennen kurssia sekä sen aikana ja jälkeen. Kiitämme myös LähiTapiolaa stipendin sponsoroinnista ja opetukseen osallistumisesta sekä poliisia ja Kyberturvallisuuskeskusta luennoista. 

Hack with Espoo saa jatkoa. Meillä on ilo kertoa, että 2NS osallistuu sen toteuttamiseen kanssamme myös vuonna 2019. Lähdemme suunnittelemaan seuraavaa kurssia nyt saatujen huomioiden pohjalta, ja on mahdollista, että kurssi laajenee lukioiden lisäksi myös muuhun opetukseen.

Matti Parviainen

Matti Parviainen
Tietoturvapäällikkö
Espoon kaupunki

Lue myös aiempi blogi: Hack with Espoo – lukiolaiset hakkeroivat kaupungin järjestelmiä