Sisältöön

Digitaalinen viestintä - SecMeter

Ohita valikko
Ohita valikko

Digitaalinen viestintä

Yritysturvallisuus > Forensiikka
Onko perinteiden kirjelähetys digitaalista tiedonsiirtoa turvallisempi?



Tässä digitaalista viestintää käsittelevässä tekstissä arvioidaan supon henkilötiedustelijan rekrytointihakemuksen siirtotien turvallisuutta vertaamalla kirjepostin ja digitaalisen siirron turvaominaisuuksia metadatan näkökulmasta. Tarkastelu kohdistuu siihen, miten eri siirtotavat vaikuttavat tietoturvaan, metadatan muodostumiseen ja tiedustelulliseen tulkittavuuteen. Vertailun keskiössä on erityisesti digitaalisen ja fyysisen toimitusmallin välinen ero riskien, havaittavuuden ja kontrolloitavuuden näkökulmasta.

Tiedusteluanalyysin kannalta keskeinen kysymys on, missä määrin yksittäinen digitaalinen tapahtuma, kuten kertaluonteinen verkkoyhteys, on merkityksellinen osa laajempaa turvallisuus- ja tiedonhankintaympäristöä. Erityinen painopiste on kohdennetun tiedustelun ja metadatan roolissa sekä siinä, miten konteksti määrittää yksittäisen datapisteen arvon.

Samalla analyysi laajenee tekniseen ja operatiiviseen turvallisuusarvioon, jossa vertaillaan digitaalisen ja fyysisen tiedonsiirron riskejä. Tarkastelun kohteena ovat erityisesti tilanteet, joissa arkaluonteista aineistoa käsitellään hybridimallissa yhdistämällä digitaalisia sisältöjä ja fyysisiä siirtomenetelmiä, kuten USB-muistivälineitä ja kirjepostia.

Lähestymistapa on analyyttinen ja kontekstisidonnainen. Yksittäisiä ilmiöitä ei arvioida irrallaan, vaan osana laajempaa tiedustelullista ekosysteemiä, jossa merkitys syntyy datan, kohdennuksen ja tulkintakehikon yhteisvaikutuksesta. Tavoitteena on erottaa tilanteet, joissa yksittäinen havainto on operatiivisesti merkityksetön, niistä, joissa sama havainto voi muodostua olennaiseksi osaksi tiedustelullista kokonaiskuvaa.

Näin muodostuu kokonaisvaltainen kehys, jossa yhdistyvät metadatan analyysi, riskinarviointi sekä digitaalisen ja fyysisen turvallisuuden rajapinnat.
Kohdennetun tiedustelun näkökulma ja metadata
Kertaluonteinen yhteys voi olla tiedustelullisesti merkityksellinen, mikäli kohde on jo valmiiksi tarkkailun kohteena. Tällöin yksittäinenkin yhteystapahtuma tiettyyn palvelimeen voi toimia indikaattorina toiminnasta, jonka merkitys ei perustu määrään vaan kontekstiin.

Henkilölle, joka ei ole tarkkailun kohteena, yksittäinen kertaluonteinen yhteys on kuitenkin tiedustelullisesti vähämerkityksinen. Tiedustelu ilman ennakkokohdennusta perustuu tyypillisesti:

  • suurten datamassojen keräämiseen
  • automatisoituun analyysiin
  • poikkeamien tunnistamiseen

Tällaisessa ympäristössä yksittäinen datapiste, kuten yksi yhteys palvelimeen, hukkuu kohinaan, ellei se täytä erityisiä riskikriteerejä. Tämä pätee myös tilanteisiin, joissa yhteys kohdistuu viranomaisen, kuten supon hallinnoimaan palvelimeen ja on teknisesti rajoitettu kertaluonteiseksi. Kertaluonteinen yhteys paljastaa korkeintaan:

  • että yhteys on muodostettu
  • milloin se on tapahtunut
  • mihin palvelimeen yhteys suuntautui

Ilman lisäkontekstia ei ole mahdollista:

  • henkilön profilointi
  • toiminnan tarkoituksen varma tulkinta
  • operatiivisesti merkitykselliset johtopäätökset

Kynnys tiedustelulliseen relevanssiin
Jotta yksittäinen yhteys olisi merkityksellinen, tarvitaan yleensä vähintään yksi seuraavista:

  • kohde on jo tunnistettu kiinnostavaksi
  • palvelin on erityisesti luokiteltu korkean prioriteetin kohteeksi
  • yhteys liittyy laajempaan havaintoketjuun

Ilman näitä tekijöitä datapiste jää analyysissä matalan prioriteetin tasolle.

Dedikoidun palvelimen vaikutus
Kun yhteys suuntautuu:

  • vahvasti suojattuun
  • rajattuun
  • ei-julkisesti profiloituun palvelimeen

metadatan tulkittavuus heikkenee entisestään, koska:

  • palvelimen käyttötarkoitus ei ole triviaalisti pääteltävissä
  • yhteyksiä ei esiinny massoittain analysoitavaksi

Johtopäätös
Tilanteessa, jossa henkilö ei ole ennestään tarkkailun kohteena, kertaluonteinen yhteys vahvasti salattuun ja dedikoituun palvelimeen on tiedustelullisesti vähämerkityksinen. Yhteyden metatietojen informaatiosisältö ei yksin riitä käynnistämään kohdennettua analyysiä tai tuottamaan operatiivisesti relevantteja johtopäätöksiä. Näin ollen väite kertaluonteisen yhteyden merkityksellisyydestä ei yleisesti päde ilman ennakkokontekstia.

Kirjelähetyksen metadatan muodostuminen
Kirjelähetyksen metadata syntyy vaiheittain koko siirtoketjun aikana, eikä se ole keskitetty yhteen järjestelmään kuten digitaalisessa viestinnässä. Metadata jakautuu fyysisiin, logistisiin ja hallinnollisiin prosesseihin, ja sen määrä sekä tarkkuus riippuvat käytetystä postipalvelusta ja käsittelytavasta.

Lähetysvaiheessa metadataa muodostuu heti, kun kirje valmistellaan ja jätetään kuljetettavaksi. Tällöin keskeisiä tietoja ovat lähettäjän ja vastaanottajan osoitetiedot, postituspaikka sekä ajankohta. Mikäli lähetys tehdään palvelupisteessä, osa tiedoista voi tallentua myös postipalveluntarjoajan järjestelmiin.

Lajittelu- ja kuljetusvaiheessa metadata laajenee logistisilla tiedoilla. Näihin kuuluvat lajittelukeskusten tunnisteet, kuljetusreitit sekä eri käsittelyvaiheiden aikaleimat. Koneellinen käsittely, kuten osoitteiden optinen tunnistus ja viivakoodit, tuottaa lisäksi teknistä metadataa, joka voi olla järjestelmissä hyödynnettävissä erityisesti seurattavien lähetysten kohdalla.

Jakeluvaiheessa syntyy tietoa lähetyksen viimeisestä käsittelystä, kuten jakeluajankohdasta ja -reitistä. Kirjatuissa lähetyksissä metadata täydentyy vastaanottokuittauksella, joka yhdistää lähetyksen tiettyyn henkilöön tai vastaanottotapahtumaan.

Fyysinen metadata on osa itse kirjettä. Postileimat, viivakoodit, käsittelymerkinnät sekä kuoren visuaaliset ominaisuudet, kuten käsiala tai tulostusjälki muodostavat passiivista metadataa, jota voidaan tarkastella jälkikäteen ilman erillisiä tietojärjestelmiä.

Epäsuoraa metadataa syntyy lisäksi ympäristöstä. Esimerkiksi valvontakamerat postitus- ja lajittelupisteissä, maksutapa palvelupisteessä sekä mahdolliset fyysiset havainnot voivat tuottaa tietoa, joka ei ole osa varsinaista postijärjestelmää, mutta voi täydentää kokonaiskuvaa.

Kokonaisuutena kirjelähetyksen metadata on hajautunutta, osin epätäydellistä ja usein vaikeasti yhdisteltävää. Sen informaatioarvo ei perustu yksittäiseen järjestelmään, vaan eri lähteistä muodostuvaan kokonaisuuteen, mikä erottaa sen olennaisesti digitaalisen viestinnän keskitetystä ja systemaattisesta metadatasta.

Turvallisuusarvio USB-muistitikusta ja hakijan videomateriaalista
Supon rekrytointiprosessissa hakijalta edellytettiin audiovisuaalista materiaalia, kuten videota. Mikäli tämä materiaali toimitetaan fyysisellä tallennusvälineellä kirjepostin kautta, syntyy yhdistelmä, jossa digitaalinen sisältö ja analoginen siirtoketju limittyvät kontrolloimattomasti yhteen. Tämä yhdistelmä tuottaa useita turvallisuushaasteita, jotka vaativat erillistä arviointia.

USB-muistiväline hyökkäyspintana
USB-muistitikku ei ole pelkkä passiivinen tallennusmedia, vaan se voi toimia aktiivisena hyökkäysvälineenä. Keskeisiä riskejä ovat:

  • haittaohjelmat, jotka tulevat tiedostojen mukana
  • firmware-hyökkäykset, jossa muistitikun sisäinen ohjelmisto voi olla manipuloitu
  • automaattinen suoritus, koska tietyt järjestelmät voivat käynnistää toimintoja automaattisesti median liittämisen yhteydessä

Supon näkökulmasta jokaista ulkoista tallennusvälinettä on lähtökohtaisesti pidettävä epäluotettavana.

Videotiedoston erityispiirteet
Videotiedostot ovat teknisesti monimutkaisia ja sisältävät useita kerroksia:

  • metadata, kuten aikaleimat, laitetyyppi, mahdollinen sijaintidata
  • koodekit ja formaatit, jotka voivat sisältää haavoittuvuuksia
  • suuri datamäärä, joka vaikeuttaa täydellistä tarkastusta

Lisäksi videon rakenteeseen voidaan teoriassa upottaa haitallista dataa, joka aktivoituu toistoympäristössä.

Hakijan digitaalinen jalanjälki videon tuotannossa
Videon tuottaminen ei ole erillinen tapahtuma, vaan prosessi, joka jättää jälkiä:

  • tiedoston luonti paikalliselle laitteelle
  • mahdolliset väliaikaiset tiedostot
  • käytetty sovellus tai laite
  • mahdollinen pilvivarmennus tai automaattinen synkronointi

Näin ollen videovaatimus synnyttää digitaalisen jalanjäljen riippumatta siirtotavasta.

Kuljetusketjun riskit
USB-muistitikun lähettäminen kirjepostissa altistaa datan:

  • fyysiselle sieppaukselle
  • kopioinnille ilman jälkiä
  • median vaihtamiselle
  • logistisille virheille

Toisin kuin salatussa digitaalisessa siirrossa, fyysinen media ei tarjoa sisäänrakennettua suojaa siirron aikana.

Vastaanottopään käsittely
Turvallinen käsittely edellyttää:

  • eristetty (air-gapped) ympäristö
  • haittaohjelmaskannausta
  • kontrolloitua tiedoston avaamista

Ilman näitä toimenpiteitä USB-media voi vaarantaa supon tietojärjestelmät.

Vertailu digitaaliseen toimitukseen
Kontrolloidussa digitaalisessa järjestelmässä:

  • tiedonsiirto voidaan salata päästä päähän
  • sisältö voidaan tarkastaa automaattisesti
  • pääsy voidaan rajata tarkasti
  • käsittely tapahtuu valvotussa ympäristössä

Näin ollen digitaalinen toimitus vähentää sekä siirtoon että käsittelyyn liittyviä riskejä.

Aiheuttaako vaatimus videosta turvallisuusriskin?
Videon vaatiminen voi olla perusteltua esimerkiksi identiteetin varmentamiseksi, mutta sen turvallisuus riippuu toteutustavasta:

  • suora siirto kontrolloituun, salattuun järjestelmään on turvallinen
  • toimitus USB-muistitikulla kirjepostin kautta on riskialtis

USB-muistitikun käyttö ja videomateriaalin toimittaminen kirjepostin kautta yhdistävät digitaalisen ja fyysisen maailman riskit. Tämä lisää hyökkäyspintaa sekä kuljetus- että käsittelyvaiheessa.

Vaatimus videon toimittamisesta ei ole itsessään ongelmallinen, mutta sen toteutus fyysisen median kautta heikentää koko prosessin turvallisuutta. Turvallisin ratkaisu edellyttää kontrolloitua digitaalista siirtoa ja tarkasti määriteltyä käsittelyprosessia.

Digitaalista siirtotietä koskeva kritiikki
Yhteyden kertaluonteisuus ei välttämättä kata koko prosessia. Hakemuksen valmistelu, mahdolliset testiyhteydet, virhetilanteet tai uusintayritykset voivat muodostaa useampia datapisteitä, jotka yhdessä luovat analysoitavan kokonaisuuden.

Toiseksi on huomioitava päätelaitetaso. Vaikka viestintä palvelimeen olisi turvallista, hakijan käyttämä laite, käyttöympäristö tai verkkoyhteys voivat muodostaa vaihtoehtoisia tiedonhankinnan pisteitä, jotka eivät riipu itse siirtokanavan turvallisuudesta.

Kolmanneksi, palvelimen tunnistettavuus on keskeinen tekijä. Mikäli järjestelmän käyttötarkoitus on tiedossa tai pääteltävissä, pelkkä yhteys siihen voi olla informatiivinen ilman pääsyä sisältöön. Tällöin metadatan arvo ei synny sen määrästä, vaan sen kohdistumisesta.

Neljänneksi, teknisesti keskitetty järjestelmä muodostaa korkean arvon kohteen. Vaikka pääsy palvelimelle olisi hyvin suojattu, onnistunut tietomurto voisi altistaa koko aineiston kerralla, mikä kasvattaa yksittäisen haavoittuvuuden vaikutusta.

Edellä esitetty kritiikki ei kumoa digitaalisen mallin etuja, mutta se tarkentaa sen rajoja. Keskeinen havainto on, että turvallisuus ei määräydy yksinomaan siirtokanavan ominaisuuksista, vaan koko operatiivisesta ekosysteemistä.

Kertaluonteinen, salattu yhteys voi merkittävästi vähentää metadatan analysoitavuutta, mutta ei täysin poista mahdollisuutta kohdennettuun tulkintaan, erityisesti silloin kun:

  • kohde on jo kiinnostuksen kohteena
  • palvelimen rooli on tunnistettavissa
  • toimintaa tarkastellaan laajemmassa tiedustelukontekstissa

Synteesi
Analyysin perusteella voidaan todeta, että optimoitu digitaalinen ratkaisu ja kirjeposti edustavat kahta erilaista riskiprofiilia:

  • digitaalinen malli minimoi pääsyn dataan ja mahdollistaa kontrollin
  • kirjeposti minimoi verkollisen havaittavuuden

Kumpikaan malli ei poista riskiä kokonaan, vaan muuttaa sen luonnetta. Turvallisin ratkaisu riippuu siitä, painotetaanko enemmän viestinnän sisältöä vai sen havaittavuutta. Molemmat mallit ovat perusteltavissa, jos niiden rajoitteet tunnistetaan eikä niiden tarjoamaa suojaa oleteta absoluuttiseksi. Turvallisuus ei määräydy yksittäisen siirtotavan perusteella, vaan siitä, miten hyvin koko tiedon elinkaari on hallittu.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön