Jep, myönnetään. Otsikkoni oli nk. klikkijournalismia parhaimmillaan. En ole suunnitellut kirjailla scifi-tyylistä eeposta lihan ja metallin taistosta katkeraan loppuun.

Tarkoitukseni on tarkastella keinoälyn ja tietokoneaivojen kyvykkyyksiä tietoturvan saralla ja verrata niitä ihmisen tekemiin toimenpiteisiin vastaavissa käyttötapauksissa. Tarkemmin vielä rajaan arvioinnin Microsoft-tietoturvapinoon eli Microsoftin tarjoamaan tietoturvateknologiapakettiin.

Mikä on relevanttia? Mitä kannattaa suojata ja mitä valvoa?

Suuremmassa tietojärjestelmäympäristössä on satoja liikkuvia osia. Turvattavaa riittää. Pelkkä haavoittuvuuksien hallinta kattaa helposti vähintään kolminumeroisen määrän operoitavia kohteita. Ja entäpä sitten tietoturvan klassinen heikoin lenkki? Ei, en nyt kirjoita Active Directorystä, vaikka yksittäisenä teknologisena komponenttina se hyvinkin saattaisi sopia kuvaukseen. Tarkoitin ihmisiä, käyttäjiä. Näitä palkkaa nauttivia, liikkuvia ja touhukkaita, ajattelemattomia pieniä penetraatiotestaajia.

Turvassa olevat tiedot edellyttävät varautumista. Meidän täytyy huolehtia siitä, että järjestelmät ovat enemmän tai vähemmän ajan tasalla ja konfiguraatiot tehty oikein. Tämä on sitä kyberhygieniaa eli ennakoivaa kyberpuolustusta. Toisaalta meidän tulee havainnoida järjestelmiä ja niiden toimintaa. Noteerata oudot toiminnot ja poikkeavuudet. Tämä taasen voidaan lukea reaktiiviseen tietoturvaan.

Perinteisesti valvontapalveluiden myyjät ovat korostaneet reaktiivisen tietoturvan merkitystä. Ja tottahan toki siten, että ympäristöä valvotaan myös aamuyön [kalliina] tunteina. Usein kuulee toisteltavan hokemaa ”kyberrosvot eivät ole sidottuja virka-aikaan” ja tämä toimii perusteluna sille, miksi valvomon pitäisi kytätä myös virka-ajan ulkopuolella. Väite pitää mitä todennäköisimmin paikkansa. Minun on vaikea uskoa pahisten ammattiliiton kovinkaan aktiivisesti ajavan työaikalain suojaa lainsuojattomille. Mutta onko sillä mitään merkitystä? Ja entäpä, onko koko väite relevantti enää vuoden 2025 tietoturva-ajattelussa?

Vastaus on kyllä ja ei. Kyllä siinä mielessä, että esimerkiksi verkkokauppajärjestelmän paha haavoittuvuus saattaa altistaa hyväksikäytölle ja sitä kautta tietomurrolle vaikkapa aamuyön tunteina. Ja vastaus ei on myös perusteltu, sillä tutkimusten mukaan valtaosa uhista (lähteestä ja otoksesta riippuen 2/3:sta jopa 80-90%:n) aktualisoituu sen tietoturvan heikoimman lenkin kautta. Eli käyttäjän siis. Ja harva työntekijä paiskii 24/7 orjasopimuksella. Käsitykseni mukaan moinen taitaa olla sivistysmaissa jopa lailla kielletty.

Näinpä siis valvomon kannattaisi suunnata kyttäysresursseistaan 70-90% nimenomaan siihen aikaan, kun tietoturvan heikoin lenkki (käyttäjä) on aktiivinen ja touhuaa töitään.

Ihminen vs. robotti valvojana?

Kestipä kauan päästä varsinaiseen aiheeseen. Alankohan tulla vanhaksi ja jaarittelijaksi? Noh, ehkäpä taustoituksella oli kuitenkin oma merkityksensä. Etenkin kun tarkastellaan tätä valvonta-aspektia ja asetetaan ihmisaivot keinotekoista älykkyyttä vastaan.

Valvonnassa on kaksi pääaspektia. Reagointinopeus ja huomiointikyvykkyys. Ensimmäinen ilmaisee sen, kuinka hyvin ja nopeasti reagoidaan riskiin tai poikkeamaan. Toinen taas osoittaa sen, miten paljon poikkeamista kyetään tunnistamaan. Kummastakaan yksinään ei ole hyötyä. Jos tunnistamme joka ikisen poikkeaman ja outouden, mutta ehdimme syventyä niihin vasta kuukauden päästä, hyökkäys on todennäköisesti jo saavuttanut tavoitteensa ja reaktio siis myöhässä ja sitä kautta hyödytön. Rosvo tuli, näki ja voitti. Toisaalta, vaikka reagointikykymme olisi sekunnin luokkaa, mutta huomiointikyvykkyytemme kattaa vain puolet järjestelmistä, rosvo on voinut tulla, nähdä ja voittaa ilman että olemme asiasta edes tietoisia.

Lienee kiistaton tosiasia, että mikroprosessorin reagointikyky ärsykkeeseen on merkittävästi ihmistä nopeampi. Tietokone reagoi millisekunneissa käskyyn, ihminen parhaimmillaan sekunneissa – tuhansia kertoja hitaammin. Reagointinopeudessa robotti siis voittaa suvereenisti.

Entäpä sitten huomiointikyvykkyys? Koneaivo lukee tuhat riviä lokitietoa silmänräpäyksessä. Jälleen ihmistä valtavasti, suorastaan käsittämättömästi nopeammin. Keinoälykkyys ei väsy eikä suorita flunssaisena huonommin. Tasalaatuisuus on huomiointikyvykkyyden tärkeimpiä mittareita. Ja jälleen siis robotti vetää pidemmän korren.

Toimittiinpa miten vain, ihminen tarvitsee automaatiota eli koneaivoja tuekseen. Sekä havainnointikyvykkyyteen, kun ihminen on vain liian tehoton ja hidas käymään kaikkea aiheeseen liittyvää dataa läpi, että reagointiin, kun ihmisen prosessointinopeus ei riitä. Kyse ei oikeasti olekaan ihminen vs. robotti -asetelmasta. Todellisuudessa kyse on lopulta siitä, kuinka paljon ihmistä tarvitaan puikkoihin. Ja miksi? Työllistävä vaikutus? Ihmisen eettinen kontribuutio? Syitä voi löytyä toki. Joissain tapauksissa on perusteltua edellyttää ihminen tekemään hyväksynnän tai päätöksen robotin prosessoiman tiedon ja ehdottaman tuloksen pohjalta. Useimmat vasta-argumentit, joihin olen itse törmännyt, pohjaavat kuitenkin tunnepohjaiseen reaktioon. ”Mutku ei niin oo koskaan ollut” ja ”eihän se nyt vain käy”.

Tästähän päästäänkin siihen ihmisen vahvuuteen. Missä itse näen ihmisaivot voitokkaina? Parhaimmillaan terävä ja osaava tietoturvavelho omaa innovatiivisuutta, jota koneäly ei ainakaan toistaiseksi pysty matkimaan. Usein arjessa puhutaan vaistosta tai fiiliksestä, ettei kaikki ole oikein. Todellisuudessahan kyse on intuitiivisesta päättelystä. Edes minun kaltainen teknologiauskovainen nörtti ei kuvittele koneälyn ainakaan lähitulevaisuudessa pääsevän lähellekään ihmistä tällä sektorilla.

Miten se sitten käytännössä näkyisi secu-tekemisessä? Koneäly tekee enemmän nk. false positive -arvioita. Eli päättelee uhaksi sen, kun kirjanpidon särmä Pertti alkaakin perjantai-iltana tehdä yllättäen kirjoitusvirheitä esimerkiksi salasanaa syöttäessä. Ihmisanalyytikko saattaa arvailla väsymyksellä tai nautintoaineilla olevan osansa näppäilyvirheissä.

Toisaalta korkeamman tason tehtävät, kuten vaikkapa arkkitehtuuri ja strateginen arviointi liiketoiminnan vaatimuksia vasten, ovat toistaiseksi vielä tekoälyn ulottumattomissa olevia aspekteja. Keinotekoinen älykkyys toimii mitä parhaimmin silloin, kun käsiteltävät asiat mahtuvat ennalta määriteltyihin malleihin ja toisaalta muuttujien määrä on rajallinen.

Tämähän on todistettu esimerkiksi pelaamalla. Shakissa et voita koneälyä ikinä. Paras ihmispelaaja, joka ei tee yhden yhtään virhettä, voi päästä tasoihin. Kas kun shakin siirtojen määrä tuottama vaihtoehtojen määrä on rajattu. Koneäly laskee joka ikisen siirtovaihtoehdon läpi. Lopputulos on siis ennalta selvä. Mutta kun siirrytään vaikeampaan matemaattiseen peliin, kuten vaikka Go, tilanne muuttuu. Kun muuttujien määrä ei olekaan enää rajallinen, ihmispelaaja pärjääkin jälleen (ainakin rajallista koneälyn laskentakapasiteettia vastaan). Ja kollegani Massimo väittää myös keinoälyn voittavan ihmisen myös No Limit Hold’em pokerissa. Nih.

Lopputulos

Koneäly sopii paremmin nopeaa reagointia vaativiin valvomotehtäviin. Se on väsymätön eikä tee inhimillisiä virheitä. Mitä suuremmaksi kompleksisuus menee tai mikäli tehtävä vaatii ”psykologista tai poliittista silmää”, ihmistoimija on lyömätön.

Ehkäpä perinteiset ensimmäisen linjaston valvontatehtävät voisi sälyttää robottien tehtäväksi ja tärkeimmät päätökset eskaloitaisiin ihmisvalvojalle.

Kokonaisuushan riippuu lopulta toimialasta ja käyttötapauksesta. Joissain toiminnoissa on perusteltua käyttää ihmisiä valvontatehtävissä. Ja toisaalta tiettyjä tehtäviä, joissa vaaditaan jatkuvaa skarppiutta ja täysin tasalaatuista suorittamista, ei taas kannata antaa ihmiselle.

Yhä vähemmän näen kuitenkaan tarvetta toistuvien rutiinien tai perustason valvontatoimien allokointiin ihmisvalvojille. Ainakaan niinä aikoina, kun käyttäjämme eivät aktiivisesti ole luomassa inhimillisillä virheillään näitä uhkavektoreita. Koneäly on aivan hyvä valvoja sille verkkokauppapalvelimelle aamuyön tunteina!