Mitä voimme oppia Intelin kriisistä?

/ Maria Heimonen

Suurin tietoturvakriisi vuosiin iski yllättäen. Käytännössä kaikki tietokoneet ja kännykät olivat vaarassa ja paikkaus tipauttaisi koneiden tehoja pysyvästi. Isot riskit ja otsikot – mutta mitä opimme?

Isot tietoturvakatastrofit noudattavat kaavaa: samat ongelmat, samat viestintämokat, sama epätietoisuus.

Siksi tässä jutussa ei puhuta itse Meltdown- ja Spectre-haavoittuvuuksien teknisestä sisällöstä, vaan kriisin anatomiasta.  

Fiksu teknologiayritys oppii tästä, kuinka kriisi kannattaa hoitaa, jos se sattuu omalle kohdalle.

Tervetuloa katastrofialueelle!

Mitä tähän mennessä on tapahtunut?

Päivänä nolla kaikki alkaa. Paljastus ja ensimmäiset tiedotteet sekä blogit asiasta. 

Otsikot kertovat ongelman olevan iso ja vaikuttavan lähes kaikkiin tietokoneisiin. Epätietoisuus ongelman laajuudesta kasvaa. Ei helpota, että asiaa on pyritty ensin korjaamaan salassa jo parin kuukauden ajan. 

Tämän seurauksena prosessorivalmistaja Intelin osakekurssi rytisee alaspäin pari peräkkäistä päivää. 

Ensimmäisten päivien mediajutut keskittyvät toistamaan samoja asioita, eikä juuri kukaan tee toimittajan työtä, eli syväanalyysiä vuosikymmenen suurimpiin kuuluvasta tietoturvakatastrofista.

Tietoturvayhtiöille tämä on rutiinia. Kymmenkunta suurinta tietoturvafirmaa julkaisevat jokainen oman paikkauksensa parissa päivässä. Ammattilaiset aavistelevat jo, että ei tästä mitään megaongelmaa synnykään.

Iltapäivälehdet ja paikallismedia jatkaa saman toistamista, vaikka kaikki ovat jo lukeneet paremmin taustoitetun alkuperäisuutisoinnin netin kansainvälisistä lähteistä.

Jenkeissä nostetaan joukkokanne. Varmuuden vuoksi. Tällähän saattaa tienata rahaa. 

Foliohatut syyttävät tästäkin ongelmasta NSA:n vakoilua ja sen laatimia tahallisia takaportteja.

Prosessorivalmistajat ja teknologiayhtiöt yrittävät selittää ongelmaa. Lähestymistapa on tekninen ja vieraannuttava. Ne sanovat ottavansa kriisin erittäin vakavasti ja samanaikaisesti vähättelevät mahdollisia ongelmia. Kaikki toistelevat, että yhtään tietomurtoa ei ole tullut tietoon.

Osa bloggaajista innostuu tästä, ja esittää, että tällä tekniikalla tehdyistä murroista ei nimenomaan jää jälkiä. 

Parhaat kansantajuistajat ja asiantuntijat tulevat valtamedian ja teknologiafirmojen ulkopuolelta. Silti juuri valtamedialla olisi paras status esimerkiksi haastatella ketä tahansa. 

Ihmisten mieliin jää raflaava lause: “Ongelman paikkaaminen voi tiputtaa jopa 30 % koneesi prosessoritehosta pysyvästi pois.”

Jokaisella on asiasta mielipide.


Mitä Meltdownissa ja Spectressä seuraavaksi tapahtuu? Mitä voisimme oppia?

Kun vihdoin ryhdytään tulkitsemaan tapahtunutta, kaikilla on lempipahiksensa mielessä: Joko syyllisiä ovat pahat korporaatiot tai NSA:n muiluttautumisportti tai vanhentunut prosessoriarkkitehtuuri tai jokin muu paha. 

Todennäköisin vaihtoehto saa kuitenkin eniten kannatusta: kyseessä oli inhimillinen mokailu. Sitä sattuu ja sitä pitää sietää, vaikka asia vaikuttikin poikkeuksellisen laajaan joukkoon.

Hiljalleen realismi valtaa alaa vaikutusten arvioinnissa: peruskäyttäjän kone saattaa hidastua paikkauksesta muutaman prosentin. Sitä ei huomaa. 

Samalla tarkentuu, että palvelinkäytössä hidastus on kuin onkin huomattava. Tästä media ei oikein jaksa enää raportoida. Jutut loppuvat, kun kohu laantuu. Aivan kuten WannaCry -kiristysohjelman uutisoinnissa. Kuka sitä enää muistaa.

Teknologiayhtiöiden viestinnästä jää kylmä maku. Kuten viestintäkouluttaja Katleena Kortesuo sanoo: Et voi yhtä aikaa kantaa vastuuta ja vähätellä sitä. Se tekee viestistäsi ristiriitaisen. Sitä linjaa yhtiöt kuitenkin jatkavat: ne toistelevat, kuinka vakavissaa korjaavat tilannetta. Vaikutukset arvioidaan kuitenkin pieniksi. 

Paljastuu, että yritykset eivät ole harjoitelleet viestintää. Vaikka esimerkiksi Intel tekee 60 miljardia liikevaihtoa ja vaikuttaa jokaisen ihmisen elämään, se ei haluaisi olla media-ajan yritys. Viesteistä puuttuu inhimillisuus. Hassua, sillä ihmisten tunteet huomioiva viestintä ei sulje pois faktoja ja asiantuntijuutta. Molemmat voisivat olla läsnä.

Intelin osakekurssi toipuu silti nopeasti. Romahdus olikin oston paikka. Markkinat menevät eteenpäin aivan kuten päästöskandaalin riepotteleman Volkswagenin tapauksessa; jättisakoista huolimatta autofirman osakekurssi on jo uusissa korkeuksissa.

Tietoturva-ammattilaiset paikkaavat ongelman hyvillä tai vähemmän hyvillä ratkaisuilla. Valmistajat lupaavat pyhästi, että seuraavissa prosessoriperheissä ongelmaa ei enää ole. Nykyvarastot myydään toki tyhjiksi täyteen hintaan.

Jenkeissä nostettu joukkokanne sovitellaan oikeussalin ulkopuolella.

Lopulta ongelma unohtuu, kun arki tuo muuta päänvaivaa. 

Ensi kuussa on jo uudet otsikot.