Myönnän. Otsikolla kosiskelin häpeämättömästi sukulaissielujen, eli muiden scifi-diggaajareiden, huomioita. Toisaalta tässä on syvempikin analogia taustalla. Varsinainen aihe näet on AI ja sen muodostamat uhat. Scifi-viittaus on tietenkin kulttiklassikkoon nimeltä Terminator.
Minähän elän ja hengitän pilveä ja kyberturvaa, joten aihe koskettaa itseäni erittäinkin läheisesti. Taustastani sen verran, että pilvi ja pilviteknologiat ovat reilusti yli vuosikymmenen olleet leipäpuuni. Tietoturva taasen on ollut erityinen kiinnostuksen kohteeni jo reilun kolme vuosikymmentä. Viimeiset viitisen vuotta nämä – pilvi ja tietoturva – ovat olleet kombinaationa se, jolla itseni elätän. Rakkain osa työtäni on sivistystoimi aihealueen sisällä, eli pitämäni koulutukset Corelliassa. Olen piintynyt kynsinööri ja aidosti rakastan tekkiä. Tämän takia olen halunnut pitää kädet savessa ja tehdä myös konkreettisesti juttuja. Joinakin aikoina tämä oli sivutoimiluvan ja harrastetoiminnan varassa. Nyt koen olevani etuoikeutettu saadessani sekä tehdä, tunkata, koodata että testailla – ja sitten vielä opettaa intohimoni kohdetta kollegoille.
Vaikuttaako AI oikeasti mihinkään?
Mutta, siirtykäämme varsinaiseen aiheeseen. Sen ”Skynetin” muodostamaan uhkaan meidän kaikkien kyberturvallisuudellemme ja AI:n toimialallemme käynnistämään murrokseen. Tämähän näkyy kaikessa, alkaen nigerialaiskirjeiden kirjallisen ilmaisun laadun paranemisesta, vibe-koodauksen kautta aina lokianalyysin tehostumiseen monikymmen- tai jopa satakertaiseksi.
Tämä ensimmäinen kirjoitukseni aiheesta keskittyy jokaista meitä lähimpänä oleviin AI-asioihin. Eli AI-avustimet nyt alkuun. Nuo söpön suloiset Appit, joilla kaunistat kuvasi yhdellä sormen vilauksella, Copilotit, jotka valkokauluksen elämää niin kivasti helpottavat sekä erilaiset verkkopalvelut – ”sätkäpete” ainakin kaikkien tuntemana – ja lopulta sovellusten sisäiset avustukset ja helpottajat. Tuottavasti ja tehokkaasti työnsä tekemään pyrkivää ei varmasti kiinnosta palata takaisin tyhmien työvälineiden aikakauteen.
Tässä piilee itse asiassa kaikkein oleellisin pointti. Pullon henki on karannut, eikä sitä enää saa takaisin. AI tehostaa niin paljon, että vaatimukset sen käyttämättä jättämisestä kaikuvat kuuroille korville.
Moni kollega ennustaa AI:n olevan jopa suurempi murros maailmassa kuin internet oli aikoinaan. Itse en näe vertailua järkevänä, nämähän ovat eri askelia. ”Ilman nettiä” ja ”connected world”-aikakautta AI:n merkitys ei olisi sitä mitä se nyt on ja ennen kaikkea tulee vielä olemaan.
AI on käyttöliittymä, tapa hyödyntää ATK:n apuja
Niinpä. AI-avustimet ovat tämän päivän hiiripohjainen graafinen käyttöliittymä. Ne jotka vastustivat uuden työtavan tuloa ja halusivat kiinnittäytyä komentokehotteeseen toimistoympäristöissä kokivat murskatappion. Oppikaamme siis historiasta. AI on uusi tapa työskennellä. Looginen askel siinä jatkumossa, joka alkoi joskus IBM:n hienojen härveleiden esiinmarssilla. Tavoitehan on aina ollut sama. Tuoda älykäs ja ihmisen työntekoa tehostava apuväline, joka säästää mahdollisimman paljon aikaa ja poistaa tylsinä pitämiämme rutiineja. Taskulaskimesta sähkökirjoituskoneen kautta moderniin henkilökohtaiseen tietokoneeseen, joka muuttuikin sitten koko maailman kanssa yhdistetyksi superälykkääksi ja liki kaikkitietäväksi (liioittelenko muka – höps, mietihän 80-luvun päätetyöskentelijää, jolle tarjoaisit Google-haun ja internetin kaiken tiedon) henkilökohtaiseksi tietojärjestelmäksi.
Ensimmäinen askel kyberturvaan on hyväksyä se kyberturvaajan katkera kalkki, ettei AI-avustimien käyttöä voi enää kieltää eikä paluuta menneeseen ole. Jos IT ei tarjoa työvälineitä valkokauluksille, he löytävät kyllä keinon itse etsiä työntekoa sujuvoittavat vehkeet ja palvelut. Ja silloin tietoturvaosasto on jo hävinnyt. Varjo-AI valtaa alaa – ja se on paljon vaarallisempi mörkö kuin varjo-IT. Seuraava kuukauden työntekijä-palkinto menee härskeimmin varjo-AI:ta hyödyntävälle, vanhakantaisen tietoturvamme tehokkaimmalle kiertäjälle (joka pitäisi melkein nostaa johtamaan sitten kybertekemistä änkyröiden sijaan).
Riisu varjo-AI aseista
Eli paras ja tietoturvallisin liike, mitä voimme tehdä, on tarjota organisaatiomme toimesta hyödylliset ja tehokkaat AI-pohjaiset työkalut henkilöstöllemme. Tämä riisuu varjo-AI:n aseista. Kas kun voi ihan luvallakin olla tehokas ja tehdä järkevästi töitä.
Toisaalta on aidosti välttämätöntä määrittää, mitä palveluita ja avustimia saa käyttää työntekoon. Tämähän on aivan normaalia tietohallintoa. Olemme jo kolme vuosikymmentä rajanneet internet-liikennettä, poistamalla haitalliseksi tiedetyt sivustot ja osoiteavaruudet. Ja ani harvassa organisaatiossa koneisiin saa asennella aivan mitä ohjelmistoja sattuu kulloinkin huvittamaan.
Suureksi hämmästyksekseni tämä ei kuitenkaan ole normaalia. Organisaatioissa, joissa hienot palomuurit kyttäävät surffausliikennettä ja estävät pääsyn uhkapelisivuille työntekijät voivat kuitenkin vapaasti käyttää mitä hyvänsä AI-palvelua haluavat. Valtiollisten toimijoiden ”sponsoroimia” tai alan parhaimpien yritysten ilmaispalveluita, joissa annat näille oikeuden hyödyntää työntekijöidenne sinne syöttämää tietoa koulutustarkoituksiin.
Ok. Teillä siis on jossain sharepointin syövereissä AI:n hyväksyttävän käytön politiikka? Hienoa. Ja ajattelet sen riittävän? Ei mitään kontrollia tarvita? Asia selvä. Olet varmaankin looginen ja sallit myös jokaisen asennella koneelleen kaiken mitä softaa vain haluaa ladata netistä? Sekä tietenkin käyttää mitä haluaa tiedostopalveluita organisaationne tietojen tallennukseen. Facebook on kuulemma aika kiva siihen hommaan.
Jos kuitenkin edustat minun näkökulmaani, eli et halua sallia ”kaikkien kukkien kukkia vaan”, salli minun kertoa kokemuksistani ”AI-avustimien suitsimisessa”.
Microsoftin tarjoamat työkalut AI:n alistamiseen
Ensimmäinen ja helpoin koskee käyttäjän koneille asennettavia avustimia, joista ehdottomasti yleisin on Microsoftin aktiivisesti käytettäväksi työntämä Copilot. Näiden osalta perustava päätelaitehallinta on riittävä. Emme salli epämääräisiä avustimia. Tämä hoituu EDR- tai MDM-ohjelmistolla, Microsoft-genressä Defender + Intune.
Onko ”perus-Copilot” riittävä? Pääsääntöisesti kyllä. Erikoiskäyttöön, kuten vaikka tuotehallintaan tai potilastyöhön suosittelisin oman, kustomoidun avustimen rakentelua. Tähän jälleen Microsoft tarjoaa mainion työkalun, Copilot Studion. Ei tarvita vaativaa devausprojektia, tämä hoituu IT:n taidoin. Ja aina voit lähettää tiimin Corelliaan päivän koulutukseen – siinä oppii kyllä suitsimaan Copilot-avustinta.
Seuraava askel onkin sitten monisyisempi. Sinun tulee vähintään estää organisaation datan käyttö ”villeissä AI-avustimissa” (eli verkkopalveluissa). Itse suosin kokonaan näiden sulkemista työkäytön ulkopuolelle. Ja tässä voit valita useasta toteutusmallista. Teknologiaa avuksesi on vaikka kuinka – ja tulee joka kuukausi lisää. AI:n suitsiminen on tietoturva-alan uusi Graalin malja. Keskityn tässä nyt jälleen vain Microsoftin omaan teknologiapinoon.
Organisaation datan turvaat lipsumasta kaiken maailman varjo-AI:n kitaan Purview + Defender for Cloud Apps -kombolla. On varsin vedenpitävä tulppa.
Pääsyn työlaitteilla hämäräperäisiin palveluihin tai ”varjo-AI:ksi” tulkittavaan estät suoraviivaisimmin ja kattavimmin Entra Global Secure Access -palvelulla (lyhennettynä Microsoftin tapaan ’GSA’). Sen sisältämä SWG (Secure Web Gateway) on 2020-luvun uusi palomuuri. Lue vaikka Gartner-tutkimusyhtiön hehkutusta SWG:stä osana SASE-arkkitehtuuria.
Eihän GSA tokikaan ainoa ole! Toimistolla olevien käyttäjien suitsimisen saattaa kyetä hoitamaan palomuurinne, mikäli se on ns. toisen sukupolven malli. Toki ongelma tulee sitten jos päästät käyttäjäsi karkuun. Etätyö kun vesittää tehokkaasti palomuurin hienot kyvyt. Ihan Defender for Endpointia tunkkaamalla ja virkkaamalla pääsee varmasti yleisimmät varjo-AI:n ilmentymät kieltämään ja tilkitsemään.
Onko se vaikea toteuttaa?
Loppujen lopuksi toteaisin, että niskalenkki AI-avustimista on varsin helppo, kun ymmärrät mitä kokonaisuuteen kuuluu. Tietoturvan ryhtiliike niiden pikku pirulaisten osalta ei projektina isossakaan talossa ole hirmuinen tai valtavan työllistävä. Ainakaan Microsoftin tietoturvapinoa hyödynnettäessä, kilkkeet kun integroituvat kokonaisuuteen helposti.
En itse osaa kuvitella niin isoa ja kompleksista ympäristöä, jossa saisi enempää kuin muutaman sata tuntia käytettyä (en toisaalta ole kuusinumeroiseen lukuun työntekijöitä vielä päässyt AI-avustimien turvaamista implementoimaan, projektini ovat rajoittuneet viisinumeroisiin työntekijämääriin). Ja toisaalta muutaman sadan henkilön pienyrityksen AI-avustimet suitsii muutaman päivän työllä.
Tämähän ei sitten kuitenkaan sisältänyt vielä kaikkialla mönkiviä omat identiteettinsä omaavia agentteja tai sulautettua AI:ta, joka elelee salassa paitsi ERPissäsi myös käyttämäsi hissin logiikkapaneelissa. Sieltä se Skynet kurkkii, valmistellen maailmanloppua.
Seuraavassa jaksossa paneudutaan paremmin kaikkialla väijyvään, joka paikkaan soluttautuneen ”näkymättömän AI:n” tuomiin riskeihin.
Sami Isoaho
Azure Solutions Architect Expert, Microsoft Cybersecurity Architect Expert, Microsoft Certified Technology Specialist, Microsoft Certified Trainer
Sami on työskennellyt reilun neljännesvuosisadan tietoliikenteen ja tietoturvan parissa. Koulutuskokemusta hänellä on 90-luvulta asti. Aiemmin Sami on työskennellyt mm. Microsoftilla arkkitehtina ja VMwarella ratkaisuarkkitehtina. Samin alaa ovat Azure infra, tietoliikenne ja tietoturva.
Alla olevista linkeistä löydät koulutustarjontaa artikkelin aiheisiin liittyen:
MD-102 Microsoft 365 Endpoint Administrator
SC-5003: Implement Information Protection and Data Loss Prevention by using Microsoft Purview
SC-401 Information Security Administrator
Microsoft security aiheita lisää