Kukaan tuskin valmistaa harrastuksekseen betonielementtejä, mutta kaikki myytävät tietotekniikan ohjelmistot sisältävät sen sijaan runsaasti avointa lähdekoodia eli vapaaehtoistyönä kehitettyjä koodielementtejä.
Talojen ja ohjelmistojen rakentamiseen välillä on muutenkin yhtäläisyyksiä. Kuten vanhaa rakennusta asuvat tietävät, huoltoa vaativia ongelmia alkaa ajan mittaan kertyä. Aikoinaan myös parhaimpana pidetyt rakennuskäytännöt voivat niin ikään ajan saatossa osoittautua riskirakenteiksi tai homeongelmiksi.
Vuonna 2024 epäonnistunut ohjelmistopäivitys johti yli kahdeksan miljoonan tietokoneen kaatumiseen.
Digitaalinen rakentaminen kehittyy – ja vanhenee – fyysistä verrokkiaan monin verroin nopeammin. Riskirakenteita löydetään koko ajan, ja niitä pitää korjata jatkuvasti. Tämä on yksi syy meitä piinaaviin jatkuviin ohjelmistopäivityksiin. Sillä ihan kuten hometalo johtaa terveysongelmiin ja remonttien kierteeseen, ”homeinen” koodi aiheuttaa järjestelmiin käyttökatkoja, jopa tietomurtoja.
Tietoturvaohjelmistoyritys Crowdstriken epäonnistunut ohjelmistopäivitys pääsi otsikoihin heinäkuussa 2024. Se johti yli kahdeksan miljoonan tietokoneen kaatumiseen. Muun muassa lentoyhteyksiä ja lääkärien vastaanottoaikoja peruttiin ympäri maailmaa. Tapahtuman juurisyy oli, että ohjelmiston muutokselta puuttui kunnollinen laadunvalvonta.
Ohjelmistovirheet ovat taustalla myös useissa tietomurroissa. Kun virhe löydetään, korjaava päivitys jaetaan toki ohjelmiston käyttäjille, mutta osa asennuksen vitkastelijoista päätyy rikollisten uhreiksi. Pahimpia ovat tietysti tapaukset, jossa itse virheenkin keksii ensimmäisenä rikollinen taho.
Tekoäly yleistyy ohjelmistotyön apuna, mutta myös tekoäly koodaa virheitä.
Monet yritykset ovat alkaneet käyttää myös tekoälyä rakentaakseen ohjelmistoja nopeammin ja halvemmalla. Mutta myös tekoäly koodaa virheitä.
Ohjelmistojen vastuista on perinteisesti sovittu käyttöehdoissa tai lisenssisopimuksissa. Käyttäjälle ne näyttäytyvät ärsyttävinä ponnahdusikkunoina, joihin pitää painaa ok, jotta ohjelmaa pääsee käyttämään.
Jos erehtyy tosissaan perehtymään ehtoihin, saa yleensä eteensä pitkän lakiteknisen tekstin, jossa sanoudutaan irti kaikista ohjelmiston virheisiin liittyvistä vastuista.
Mutta joulukuussa 2027 tähän kaikkeen tulee muutos. Silloin astuu voimaan EU:n kyberkestävyyssäädös (CRA), joka lisää yritysten vastuuta. Säädös vaatii hyvää tietoturvan perustasoa kaikkiin myytyihin ohjelmistoihin, ja vakavimmista tietoturvallisuuden laiminlyönneistä voidaan äärimmillään määrätä miljoonien sakkoja.
Ohjelmistojen käyttäjät saavat parin vuoden päästä siis melkoisen joululahjan. Säädös myös edellyttää, että yritysten on viestittävä käyttäjille ohjelmistojen tuen pituudesta ja niissä havaitsemistaan ongelmista. Yritysten tulee myös tutkia käyttäjien esiin nostamat tietoturvaongelmat.
Yrityksiä lisääntyvä sääntelyä kismittää, ja ne ovat EU-hanketta kritisoineet. Muutos tulee kuitenkin tarpeeseen, sillä merkittävä osa ohjelmistojen tekijöistä ei juurikaan piittaa tietoturvasta. Ja miksi olisi piitannutkaan – asiakkaitahan kiinnostavat yleensä vain hinta ja ominaisuudet. Milloin olet itse vaikkapa televisiota valitessasi miettinyt sen tietoturvaa?
Muutos tulee tarpeeseen. Merkittävä osa ohjelmistojen tekijöistä ei juurikaan piittaa tietoturvasta.
Rikolliselle turvaton televisio on paitsi hyökkäyskohde myös ponnahduslauta uusiin hyökkäyksiin. Kodin laitteita on käytetty hyökkäyksissä muun muassa suosittuja verkkopalveluja ja pankkeja vastaan. Sääntely voi estää osan tällaisista hyökkäyksistä.
Ohjelmistojen heikko tietoturvan on myös koko yhteiskunnan kokoinen ongelma. Suomessakin suurempia tietomurtoja ilmoitetaan vuosittain kymmeniä. Jokaisen kustannukset voivat olla miljoonaluokkaa
Osalle yrityksistä kunnollinen tietoturvasta huolehtiminen on ollut jo nyt itsestäänselvää. Ne ovat jo pitkään korjanneet ohjelmistojensa ”valesokkeleita” ja pitäneet toimistaan huoltokirjaa. Kun säännöt nyt muuttuvat koskemaan kaikkia, vastuullisten yritysten on myös helpompi pärjätä kilpailussa.
Jussi Eronen
Kirjoittaja löytää jatkuvasti hometta niin omasta kuin muidenkin koodista.