Tekoälyn uusi vaihe

[Snufkin]

Eikä kyse ole vain kykemisestä, vaan myös siitä, että liian moni laite käyttää samoja protokollia ihan vaan helppouden vuoksi. Jo http:n korvaaminen jollain omalla protokollalla nostaisi tietoturvaa huomattavasti, koska se torppaisi tiedon helpon luettavuuden.

Mutta maailma menee aika paljon naivius ja helppous edellä, joten tuskin tämä tulee juurikaan muuttumaan.

[AimoE]

Jo http:n korvaaminen jollain omalla protokollalla nostaisi tietoturvaa huomattavasti, koska se torppaisi tiedon helpon luettavuuden.

Jo http:n korvaaminen https:llä nostaa turvatasoa. Siihen voi lisätä dedikoidun salauksen ilman että tarvii mitään uusia kättelyitä keksiä.

[Snufkin]

Jo http:n korvaaminen https:llä nostaa turvatasoa. Siihen voi lisätä dedikoidun salauksen ilman että tarvii mitään uusia kättelyitä keksiä.

No https toimii http:n päällä, mutta tuo ei ollut pointti. Pointti oli se, että kun käytetään yleisiä protokollia, niin tieto on ikään kuin valmiiksi varastettavissa muodossa. Jos järjestelmästä sitten löytyy haavoittuvuus, niin tieto on helppo varastaa.

Tilannetta voi verrata vaikkapa maanteihin. Niin kauan kuin kiinteistölle on olemassa tie, sinne on helppo murtautua. Sitten kun tie puuttuu ja varkaan pitää kävellä, vaikeutuu homma huomattavasti, koska "protokolla" ei olekaan enää sopiva.

[AimoE]

Pointti on se, että "Security by obscurity" -menetelmät on jo moneen kertaan murrettu. Salauksen luotettavuus päinvastoin paranee siitä, että salausalgoritmit ja -kättelyt ovat yleisesti tiedossa, jolloin niitä voidaan jatkuvasti katselmoida, testata ja parannella.

[Snufkin]

Pointti on se, että "Security by obscurity" -menetelmät on jo moneen kertaan murrettu. Salauksen luotettavuus päinvastoin paranee siitä, että salausalgoritmit ja -kättelyt ovat yleisesti tiedossa, jolloin niitä voidaan jatkuvasti katselmoida, testata ja parannella.

Et vieläkään hahmota ongelman ydintä. Kun kaikki liikenne on samalla avoimella protokollalla, niin se salauksen murtuminen vaikkapa nollapäiväbugin tai tietoisen takaportin takia aiheuttaa koko systeemin romahtamisen. Ja tekoälyn kautta tuollainen löydetty bugi levinnee hetkessä kaikkialle.

Mikään ei estäisi kehittämästä protokollaa, jossa olisi enemmänkin lukkoja. Voisi olla sekä salainen protokolla että sille vahva salaus. Tällainen lisäisi merkittävästi kriittisen infran turvallisuutta. Ja vielä parempi olisi, kun kriittinen infra olisi ihan fyysisesti omassa verkossaan.

[AimoE]

Perimmäinen ongelma on alustajättiläisten liiketoimintamalli, joka aluksi perustui mainostuloihin ja sitten myöskin alustan keräämän datan jalostusarvoon ja sen jalostettavuuteen ja jalostusasteen pohjalta määräytyvään myyntiarvoon.

Internet on luotu sillä ajatuksella, että tiedon täytyy olla kaikkien saatavilla. Niinpä meni pitkään ennen kuin alettiin kiinnittää huomiota tekijänoikeuksiin. Tekijänoikeuksista voidaan kuitenkin keskustella vain silloin, kun omistajuus tunnistetaan – kun data on arkaluontoista tai korkealle jalostettua – mutta internetistä on tähänkin asti louhittu, koostettu ja jalostettu dataa välittämättä siitä, voidaanko omistajuus osoittaa.

Tekoäly nostaa sille syötettävän datan jalostusarvoa ja saattaa samalla nostaa tuloksen myyntiarvoa. Suurin osa tekoälyllä nettiin tuupatusta tavarasta on toki arvotonta tuubaa, eikä sen haitallisuus riipu jalostus- tai myyntiarvosta. Alustajättien hinku tarjota kaikille mahdollisuus tuuban tuuppaamiseen perustuukin siihen odotukseen, että tekoälypalveluiden markkinat alkavat tuottaa satumaisia voittoja. Tämä on se liiketoimintamalli, johon yhteiskunnat joutuvat nyt ottamaan kantaa.

[Snufkin]

Tekijänoikeudet ovat vain yksi puoli asiaa. Ongelmana on myös se, että koko yhteiskunta alkaa olevaan hyvin riippuvainen digitaalisesta verkosta, jota ei ole koskaan luotu tällaista varten. Kaikki tietoturva on kehitetty jälkikäteen tårta på tårta -systeemillä, eli rakentamalla huonon perustan päälle mitä ihmeellisimpiä datahimmeleitä.

Ja juuri tähän pitäisi puuttua. Kriittiselle infralle ja yhteiskunnan tärkeille palveluilla pitäisi rakentaa kokonaan netistä erillinen verkko/protokolla. Jos vaikka piuhat ovat samat, niin toiminnan pitäisi olla kokonaan eriytetty ja erityinen huomio laitettu systeemin robustisuuteen ja tietoturvaan. Hieman vastaavasti kuin armeija rakentaa omia verkkojaan siviilinetin ulkopuolelle.

Em. hanke lienee jo mahdoton toteuttaa ennen kuin tämä himmeli oikeasti romahtaa. Tekoäly on erittäin hyvä kandidaatti sen romauttajaksi. 

[AimoE]

Haittojen torjuntaan keskittyminen on taistelua tuulimyllyjä vastaan. Myllyjä tarvitaan.

Teitä tarvitaan. Kulkuneuvoja tarvitaan. Liikenteen turvallisuutta ja sujuvuutta on parannettu keräämällä ja analysoimalla tietoa liikenteestä ja liikenneonnettomuuksista, ja laatimalla tutkitun tiedon pohjalta sääntöjä, joita tienrakennuksessa, kulkuneuvojen tuotannossa ja liikenteessä liikkuessa täytyy noudattaa. Kulkuyhteyksiä on avattu verovaroin sinne, missä kaupallinen liikenne ei kannata, mutta kunnan ei silti tarvitse omistaa busseja, joilla lapset kuljetetaan kouluun, eikä kunnan tarvitse itse tuottaa busseja ja koulutakseja.

Tietoliikenteessä on sama juttu. Väylät ja joukkoliikenne ovat yhteisessä käytössä, ja niiden turvallisuus  ja ylipäätään arkkitehtuuri vaativat yhteiskunnan sääntelyä. Sääntelyssä voidaan mennä pitkällekin. Venäjällä yritetään kahlita tietoverkon käyttöä. Kiinassa valvotaan mitä kansalaiset tekevät tietoverkossa. Valvonta vaatii paljon ihmistyötä – onkohan Kiinan ehtinyt tekoälykisassa pitkälle juuri siksi että valvonta on niin työlästä?

Sääntelyllä voidaan suojata yksilöitä tai vallanpitäjiä tai voitontavoittelua, mutta täysin iman sääntöjä ei pärjätä missään.

[Snufkin]

Säännöt eivät auta, kun iso osa toimijoista (netissä) ei niistä piittaa. Ei kannata olla naivi, vaan kehittää teknologiaa niin, ettei sitä voi torpedoida.

Tekoäly on hieman kuin joulupukki, joka yhden aattoillan aikan kiertää kaikki Suomen kodit. Ei tosin tuo lahjoja, vaan vie niitä.

[JaniAlander]

Pointti on se, että "Security by obscurity" -menetelmät on jo moneen kertaan murrettu. Salauksen luotettavuus päinvastoin paranee siitä, että salausalgoritmit ja -kättelyt ovat yleisesti tiedossa, jolloin niitä voidaan jatkuvasti katselmoida, testata ja parannella.

Et vieläkään hahmota ongelman ydintä. Kun kaikki liikenne on samalla avoimella protokollalla, niin se salauksen murtuminen vaikkapa nollapäiväbugin tai tietoisen takaportin takia aiheuttaa koko systeemin romahtamisen. Ja tekoälyn kautta tuollainen löydetty bugi levinnee hetkessä kaikkialle.

Mikään ei estäisi kehittämästä protokollaa, jossa olisi enemmänkin lukkoja. Voisi olla sekä salainen protokolla että sille vahva salaus. Tällainen lisäisi merkittävästi kriittisen infran turvallisuutta. Ja vielä parempi olisi, kun kriittinen infra olisi ihan fyysisesti omassa verkossaan.

Siinä salaisessa protokollassa voi olla myös salaisia vikoja, tai ihan tarkoituksella salainen takaportti. Tuo turvallisuusmalli ei tosiaan toimi ihan halutulla tavalla.

[Snufkin]

Siinä salaisessa protokollassa voi olla myös salaisia vikoja, tai ihan tarkoituksella salainen takaportti. Tuo turvallisuusmalli ei tosiaan toimi ihan halutulla tavalla.

No toki näin, mutta jos ajatellaan että vaikka Suomen valtio kehittäisi oman protokollan, joka olisi salainen ja sisältäisi avoimen puolen salauksen, niin sellaista voisi käyttää kriittisen infran toimintoihin. Avoin salaus takaa, että salaus on todennetusti hyvää ja salattu protokolla tarkoitaa, että sitä on vaikea murtaa. Eli vaikka joku onnistuisi saamaan protokollan rakenteen tietoonsa, hänellä olisi vielä luotettava salaus murretavanaan.

Tuossa siis kaksi lukkoa nykyisen yhden sijaan.

[Jere Sumell]

Sitä ei valitettavasti voi rajata Suomeen, olemme Euroopan Unionin jäsen ja iso osa säätelystä tulee sieltä, plus boonuksena vaikka emme olisikaan emme voisi muuttaa maata jonkin sortin ulkoilmamuseoksi.

Juu, Euroopan Unionin päätöksenteko on kiinteä osa myös Suomen kansallisisia lainsäädäntöprosesseja, eurooppalaisia ollaan. Ja sitten sotilaat kokevat myös laajemmin itsensä osaksi puolustusliitto NATO:a nykyisin vastavuoroisesti yhtenä osana sitä avun tarpeen annon/saamisen suhteen jos tosipaikka tulee, ja tulevat sukupolvet kasvavat ajatukseen, että Suomi on aina tai koko heidän elinikänsä ajan kuulunut puolustusliittoon ja se on luonteva osa varusmiespalvelun suorittavien osalta mielessä. Siellä on lisäksi sitten artikloita ja sopimuksia, joissa Suomi on mukana itäportin vartijana täällä Pohjoisessa itänurkassa.

Tuntui ainakin johonkin aikaa, että nuo isot teknojätit lähinnä nyt läntisessä maailmassa Jenkeistä toimivat mielivaltaisesti ja sitten kun tulee EU-tasolla jokin todella iso uhkasakko ennakkotapaus-oikeusprosessin tuomiona, muuttavat sitten vasta toimintaansa. Liikeyrityksinä laskevat, että kannattaa sakonkin uhalla toimia, ja sitten maksavat maallikkokansalaisen näkökulmasta tähtitieteelliset sakot, joka lienee jokin prosenttiosuus liikevaihdosta,

On pitkä prosessi EU:lla päästä irti noista rapakon takaa sijaitsevista teknojäteistä omavaraikseksi palveluiden tuottajana, mitä Euroopassa ole yhtään prosessoritehdastakaan taida olla.

[JaniAlander]

On pitkä prosessi EU:lla päästä irti noista rapakon takaa sijaitsevista teknojäteistä omavaraikseksi palveluiden tuottajana, mitä Euroopassa ole yhtään prosessoritehdastakaan taida olla.

Ja siihen tilaan ei ainakaan päästä ylitiukalla säädellään etukäteen tietämättä mitä oikeastaan olisi luvassa meiningillä.

[JaniAlander]

No toki näin, mutta jos ajatellaan että vaikka Suomen valtio kehittäisi oman protokollan, joka olisi salainen ja sisältäisi avoimen puolen salauksen, niin sellaista voisi käyttää kriittisen infran toimintoihin. Avoin salaus takaa, että salaus on todennetusti hyvää ja salattu protokolla tarkoitaa, että sitä on vaikea murtaa. Eli vaikka joku onnistuisi saamaan protokollan rakenteen tietoonsa, hänellä olisi vielä luotettava salaus murretavanaan.

Tuossa siis kaksi lukkoa nykyisen yhden sijaan.

Siinä on silti "security by obscurity" aines mukana, ja se ei nyt vaan oikein kummasti auta asioita.

Tuosta oli jo hyvin ennen vanhaan aineksia, mekaanisten lukkojen tekemiseen oli pari lähestymistapaa, toinen niistä oli salainen konstruktio, ts. lukon sisuskalut pyrittiin hautaamaan kaikenlaisen fyysisen esteen taakse, jotta ei voisi nähdä helposti miten se pelaa. Ja yksityiskohdat olivat salaisia.  Toinen sitten oli avoin, vaikkapa abloy lukon toimintatapa ei ollut mitenkään salattu juttu. Mutta no lukitsemis"algoritmi" oli sikäli hyvä että se tarjosi kohtalaisen fyysisen turvallisuuden.