Kurniva nälkä ja muita kokemuksiani tietoturvan opiskelusta

Mitä enemmän opin, sitä vähemmän tiesin. Tältä ainakin tuntui, kun suoritin kurssin toisensa perään tietoturvaa opiskellen. Tiukassa paikassa olin lähellä sortua jopa kurssikaverin eväiden luvattomaan lainaamiseen.

Fuskuni tulee auditoinnissa ilmi

Sain ensi tuntumaa tietoturvan maailmaan, kun työskentelin kymmenisen vuotta ohjelmistokehittäjänä ja arkkitehtina kansallisen turvallisuuden hankkeissa. Yrityksen tietoturvaguru vieraili osastollamme antaen vinkkejä, ja ohjelmistoille tehtiin säännöllisesti auditointeja. Sain kokea auditointien merkityksen, kun olin erehtynyt ajattelemaan, että eräällä tietoturvaan liittyvällä yksityiskohdalla ei olisi merkitystä, ja olin kiireen vuoksi tehnyt siitä yksinkertaisemman toteutuksen. Tämä huomattiin tietysti auditoinnissa, ja tietoturva-aukko otettiin korjauslistalle. 

Siitä huolimatta, että kävin useissa projekteissa auditointiraportteja läpi ja tein korjaukset huolella, koin, että en tiennyt tietoturvasta riittävästi. Jokainen haavoittuvuus oli täysin erilainen kuin muut ja vaati tuntikaupalla selvittelyä.  Projekteissa oli erittäin paljon ohjelmistokoodia. Tuntui, että tietoturva-aukkoja voi piillä missä tahansa. Haavoittuvuus saattoi syntyä, jos tietokantakysely oli muodostettu ohjelmistokoodissa väärällä tavalla. Isossa projektissa tällaisia kyselyjä voi olla satoja. Jos selaimessa ajettavan front-endin ja palvelimella ajettavan back-endin välinen yhteys ei ollut riittävän tietoturvallisesti koodattu, ulkopuolinen saattoi päästä sabotoimaan ohjelmiston tallentamia tietoja. Jopa tietoturvallisen CSS:n ohjelmoimiseen oli kilometrikaupalla ohjeita.

Innokkaasti kurssilta toiselle

Minulla heräsi kiinnostus opiskella tietoturvaa. Olin kuullut Maanpuolustuskoulutuksen (MPK) kursseista. Menin innokkaasti suoraan jatkokurssille, jossa käsiteltiin tietoturvatiimin päivittäistä toimintaa ja ohjelmistoja sekä tehtiin hyviä käytännön harjoituksia. Kävin myös MPK:n erikoiskurssin, joka oli noin vuorokauden harjoitus, jossa punainen tiimi hyökkäsi ja siniset tiimit puolustivat. Salassapitosopimusten vuoksi en voi paljastaa yksityiskohtia harjoituksesta. Sen voin kertoa, että olin illalla hommannut sotilaskodista ison määrän eväitä, mutta jo kello kymmenen illalla olin syönyt ne kaikki. Nälkä kurni vatsassa. Patterin päälle näytti unohtuneen jonkun eväspussi. Yön pitkinä tunteina mietin, pitäisikö sieltä ottaa muutama leipä. Onneksi tarjolla oli teetä, johon laitoin jättimäärän sokeria ja selvisin yövuorosta. 

MPK:n kurssit antoivat hyvän yleiskuvan tietoturvasta, mutta edelleen koin, että en tiennyt juuri mitään.  Ilmoittauduin Helsingin yliopiston kyberturvallisuuden verkko-opintoihin (Cyber Security Base). Kokonaisuus antoi erittäin monipuolisen kuvan tietoturvallisuuden kentästä. Kurssit sisälsivät esseitä ja erinomaisia käytännön harjoituksia. Jokainen essee ja harjoitustyö kävi läpi arvioinnin, johon osallistui vähintään kolme muuta kurssin osallistujaa. Mielestäni he kaikki vaikuttivat olevan jo valmiiksi tietoturvan ammattilaisia. Jos työssä oli jotakin hiukankin puolivillaista, se saatettiin haukkua lyttyyn. Tämä pakotti panostamaan raportteihin ja töihin, jotta pisteet riittäisivät kurssin läpäisemiseksi.

Olenko vieläkään oppinut mitään?

Olin viettänyt monta kuukautta iltojani Helsingin yliopiston kursseilla. Aiheet ulottuivat kirjoitetun salasanan tallennuspaikoista Linuxissa eri langattomien tiedonsiirtoprotokollien tietoturvapiirteisiin. Silti edelleen tuntui, että en tiedä riittävästi. Silmiini osui HelSecin meetup-tilaisuuden mainos, ja ilmoittauduin välittömästi seuraavaan tapahtumaan. Tilaisuuden aluksi juontaja avasi korostetun näkyvästi ja rauhallisin liikkein oluttölkin ja kaatoi juoman lasiin. Esiintyjät olivat tietoturvaguruja, joiden puheista en tajunnut juuri mitään. Jäin kiinni HelSecin tilaisuuksiin, ja toisinaan tunsin jopa ymmärtäneeni jotakin. Verkkotapahtumien jälkeen oli kiinnostavaa tänä syksynä osallistua tilaisuuksiin paikan päällä ja nähdä, millaista porukkaa tilaisuuksissa kävi. Oranssi puseroni erottui valtavirrasta.

Kaiken opiskelun jälkeen epäilen edelleen, osaanko tarpeeksi, ja pohdin, mitä olen loppujen lopuksi oppinut. Tärkein oppi on, että tietoturva on ohjelmistokehittämisessä erittäin laaja alue, jota kukaan ei voi hallita täydellisesti. Joitakin tietoturvallisen ohjelmoinnin käytäntöjä olen opiskelun ja kokemuksen myötä omaksunut. Kerron niistä lisää seuraavassa bloggauksessani.

Mika Tapanainen

Full stack developer, Fonzit Oy