Sormet vilistävät näppäimillä. Tietokoneen ruudulle ilmestyy sarja komentoja.

#!/bin/sh

while [ 1 ]

do

logger -t DigabiOS Tähän tilalle joku pitkä teksti…

done

”Näin pilataan koko koulun ylioppilaskokeet”, Pete sanoo ja napsauttaa Enteriä.

Aikapommi on viritetty.

Silmiemme alla on juuri käynnistetty palvelunestohyökkäys. Samanlainen, joista voimme lukea silloin tällöin lehdistä: Hakkerit ovat kaataneet vaikkapa pankin tai poliisin nettisivut.

Peten kohde on sähköisten ylioppilaskirjoitusten koepalvelin. Pian näytöllä vilistävä koodi täyttää sen muistin. Sen jälkeen järjestelmä kaatuu, eikä koevastausten jättäminen enää onnistu. Pahimmillaan koko koulun koetulokset tuhoutuvat.

”Viime kerralla kun kokeilin tätä, se tärväsi mennessään koko tiedostojärjestelmän. Siitä ei pystynyt lukemaan koevastauksia, lokitietoja tai mitään muutakaan.”

Pete on hakkeri, joka ei halua kertoa oikeaa nimeään tässä jutussa. Riittää, kun tiedämme, että hänellä on vuosien kokemus ohjelmoinnista ja isojen tietotekniikkaprojektien hallinnoinnista.

Sekin meidän on hyvä tietää, että Pete ei hyökkää yo-koetta vastaan ilkeyttään. Hän haluaa osoittaa järjestelmän haavoittuvuuden.

Aihe on vakava, eikä aikaa ole hukattavaksi.

Suomessa ollaan sähköistämässä ylioppilaskirjoituksia. Syksyllä 2016 järjestetään sähköinen koe saksan, maantieteen ja filosofian kirjoittajille. Sen jälkeen hanke etenee asteittain. Vuonna 2019 lyijykynä siirtyy lopullisesti historiaan, ja abiturientit kirjoittavat lukion päättökokeen omilla tietokoneillaan.

Peten mielestä uuteen kokeeseen liittyy vakavia tietoturvariskejä.

Äskeisen kaltaisen palvelunestohyökkäyksen toteuttamiseen tarvitaan vain pieni, neljän rivin koodinpätkä. Kuka tahansa osaa kirjoittaa sen.

Pete siirtyy viereiselle tietokoneelle, joka simuloi valvovan opettajan konetta.

Näytöllä kaikki näyttää normaalilta. Opettaja ei voi mitenkään arvata, että viereiseltä koneelta on juuri käynnistetty palvelunestohyökkäys.

Järjestelmän täystuhoon on aikaa kymmenen minuuttia.

Sitä odotellessa kelataan vähän taaksepäin.

Sähköisen ylioppilastutkinnon syntysanat kirjattiin 2011 Jyrki Kataisen hallitusohjelmaan. Taustalla oli selvitys, jonka mukaan suomalaiset koulut ovat jääneet kansainvälisessä kehityksessä jälkeen. Ihmiset elävät tietotekniikan ympäröiminä, mutta kouluissa laitteita käytetään vähemmän kuin monissa muissa länsimaissa.

Yhtenä kehityksen tulppana pidettiin ylioppilaskoetta, joka tehtiin yhä lyijykynällä ruutupaperille. Se ei kannustanut lukioita käyttämään sähköisiä oppimisvälineitä.

Sähköinen ylioppilaskirjoitus oli opetusalan mahtihanke, jonka nimeksi tuli Digabi. Se maksaisi kunnille kymmenen miljoonaa euroa. Raha olisi investointi tulevaisuuteen.

Opetusministeri Krista Kiuru summasi odotukset vuonna 2013 ministeriön tiedotteessa: ”Koulutusjärjestelmämme erinomainen maine yhdistettynä pelialan ja muun ICT:n osaamiseen tarjoaa erinomaisen laukaisualustan globaaleillekin markkinoille suuntautuville yrityksille.”

Opetusministeriö osoitti 2013 yo-kirjoituksen uudistukseen 11,5 miljoonaa euroa. Hankkeen toteuttajaksi määrättiin ylioppilastutkintolautakunta eli YTL.

YTL on suomalaisen lukiokoulutuksen lahjomaton vallankäyttäjä. Se vastaa tutkinnon toimeenpanosta, laatii kysymykset ja muuttaa kokelaiden arvosanoja ylös- tai alaspäin. Vuosien saatossa oppilaat ja opettajat tasapuolisesti ovat oppineet pelkäämään lautakuntaa.

Tietokoneohjelmistojen kehittäminen ei kuulu YTL:n ydinosaamiseen. Mutta nyt lautakunnalle annettiin tehtäväksi kehittää sähköinen kurssikoejärjestelmä.

Sen nimeksi tulisi Abitti.

Parin vuoden työn jälkeen Abitin ensimmäinen kehitysversio luovutettiin lukioiden testattavaksi viime tammikuussa. Sen jälkeen kuka tahansa on voinut asentaa ohjelman omalle koneelleen.

Niin Petekin teki.

Oikeastaan hän tutustui Abittiin sattumalta, lukioikäisen poikansa kautta. Poika oli pyytänyt apua tutustuakseen uuteen koeympäristöön.

Pete löysi järjestelmästä vakavia tietoturva-aukkoja.

Ja vaikka järjestelmä on vasta kehitysvaiheessa, hälyttävä uutinen on tässä:

”Abitti on toteutettu niin, ettei murtomenetelmiä voi estää. Pystyn helposti keksimään kymmeniä tapoja hyökätä järjestelmään sisään. Vain mielikuvitus on rajana.”

Pete avaa kolmannen läppärin.

”Tämä seuraava murtautumistapa on äärettömän tehokas ja yksinkertainen toteuttaa.”

Sähköisessä yo-kokeessa tietokoneetta on tarkoitus käyttää vain kirjoittamiseen. Kokeen alussa kokelas käynnistää läppärinsä opettajan antamalta Abitti-muistitikulta. Tikun pitäisi estää pääsy nettiin tai koneen omiin tiedostoihin.

Siis teoriassa.

Pete on viritellyt omaa konettaan niin, että se osaa kiertää Abitti-muistitikun. Tietokone käynnistyy nyt GRUB2-ohjelman avulla. Ulospäin kaikki näyttää normaalilta, mutta kokelas pääsee vapaasti katselemaan kovalevylle tallettamiaan lunttilappuja tai hakemaan netistä tietoa.

Tämä menetelmä lamauttaa myös mahdolliset sähköiset valvontaohjelmat. Vilpistä ei jää mitään jälkiä.

Pete kopioi Wikipediasta vastauksen kokeeseen. Se vie puoli minuuttia.

”Minulla voisi olla vaikka tiimi, joka valmistelee koevastauksia etänä.”

Peten mukaan Abittiin murtautuminen on helppoa, koska ylioppilaskoe tehdään oppilaiden omilla koneilla. Tietomurtoon tarvittava koodi voidaan asentaa koneelle kaikessa rauhassa kotona.

”Taitavimmat opiskelijat osaavat murtautua Sonyn tai muiden isojen toimijoiden järjestelmiin. Tällainen Abitti on heille nakkihommia”, Pete sanoo.

Mikä pahinta, murtautumistavat ovat helposti monistettavissa.

”Kuka tahansa pystyy murtautumaan Abittiin, jos joku kertoo koodin. Oppilas on aina askeleen kokeen valvojaa edellä”, Pete sanoo.

Digabi-hankketta kohtaan on esitetty myös virallista kritiikkiä.

Hankkeeseen kohdistui suuria odotuksia, joten ylioppilastutkintolautakunta lähti liikkeelle kovalla kiireellä. Tietohallintolain mukaan näin iso hankinta olisi edellyttänyt valtiovarainministeriön lausuntoa. YTL teki kuitenkin ensin isot päätökset ja pyysi lausuntoa vasta sen jälkeen.

Valtionvarainministeriössä toimintaa pidettiin lainvastaisena.

Lausunnon yhteenvedossa kysytään, riittääkö YTL:n kaltaisella pienellä virastolla ylipäätään kykyjä toteuttaa näin suuri hanke. Lisäksi VM kiinnittää huomiota siihen, että käytännössä YTL ohjaa hanketta yksin. Opetusministeriö, opetushallitus tai muut ulkopuoliset tahot eivät istu Digabin ohjausryhmässä.

”Vähintäänkin valittuun ohjausmalliin sisältyy riskitekijöitä, jotka voivat realisoituessaan vaarantaa hankkeen läpivientiä”, raportissa todetaan.

Opetusministeriön näkymättömyys on kiinnostavaa. Tietohallintolaki edellyttää, että ministeriö ohjaa oman alansa hankkeita.

”Ei opetusministeriö ainakaan kovin tiiviisti tätä hanketta ohjannut. Lautakunta on toiminut itsenäisesti”, sanoo valtiovarainministeriön neuvotteleva virkamies Toni Äikäs.

Kymmenen minuuttia on kulunut.

Pete nostaa opettajan läppärin kannen ylös. Palvelunestohyökkäys on saavuttanut maalinsa, koepalvelin on kaatunut.

Oppilaan näytöllä on herja: Vastauksen lähettäminen ei onnistu.

Tämä koe on selvästikin ohi.

Tieto Abitin tietoturva-aukoista on kantautunut Tampereelle.

”Heikolla jäällä mennään”, lukiokoulutuksen johtaja Eija Tiisala-Heiskala sanoo.

Hän on huolissaan yo-kokeen tulevaisuudesta. Tietoturvasta on jo kirjelmöity ylioppilastutkintolautakuntaan.

”Mutta me emme ole saaneet heiltä sellaista vastausta, joka kertoisi, että koe tulee olemaan jatkossakin luotettava.”

Tiisala-Heiskala on kokenut opettaja, joka on työskennellyt aiemmin Sammon keskuslukion rehtorina. Hän näkee uudessa päättökokeessa merkittävän epäsuhdan.

”YTL vastaa yo-tutkinnon johtamisesta ja toimeenpanosta, mutta käytännön toimeenpanovastuu on rehtorilla. Sähköisessä yo-kirjoituksessa nousee esiin aivan uudenlaisia valvontahaasteita. Rehtorit ja opettajat eivät edes tiedä, mitä heidän pitäisi valvoa.”

Toistaiseksi ylioppilastutkintolautakunta on ehdottanut, että Abitin tietoturvaongelmat ratkaistaan lisäämällä koetilanteessa fyysistä valvontaa – siis enemmän opettajia, jotka valvovat kokelaiden toimintaa.

Tiisala-Heiskala pitää ajatusta epärealistisena.

Sähköisestä kokeesta koituu Tampereen kaupungille satojentuhansien eurojen vuotuinen kuluerä. Tilapaineiden vuoksi yo-kirjoituksia ollaan siirtämässä Tampereen Messu- ja Urheilukeskukseen. Jatkossa kaupungin kaikki 1 500 abiturienttia tekevät kokeen saman katon alla.

Koepaikan pystytykseen tarvitaan kilometritolkulla johtoa, muusta logistiikasta puhumattakaan.

”Jos opiskelijoilla on omat koneet mukana, ja samassa tilassa on toistatuhatta kirjoittajaa, mikään fyysinen valvontamäärä ei riitä. Me emme voi olla sataprosenttisen varmoja, ettei siellä jotain pahaa päästä tekemään”, Tiisala-Heiskala sanoo.

Valvova opettaja ei voi seistä kokeen aikana oppilaan selän takana, sillä se rikkoisi työrauhan. Eikä siitä olisi välttämättä hyötyäkään. Opettaja ei tiedä koetehtäviä etukäteen, eikä hän voi tietää, onko ruudulla vilahtava materiaali kiellettyä.

Kyse on myös kokelaan oikeusturvasta. Jos koetilanteessa epäillään vilppiä, millä perusteella opettaja voi keskeyttää kokeen? Oikea päätös on tehtävä nopeasti, eikä virheeseen ole varaa.

Kouluissa odotetaan jo kärsimättöminä uusia ohjeistuksia, joiden mukaan sähköinen koe järjestetään.

”Koulut elävät vähintään vuoden etuajassa. Sekä opettajan että oppilaan oikeus- turvaan kuuluu, että tiedetään, mihin valmistaudutaan”, Tiisala-Heiskala sanoo.

Tähän asti koulut ovat luottaneet siihen, että Abitti-järjestelmä on luotettava. Enää Eija Tiisala-Heiskala ei ole siitä ihan varma. Hänestä nyt pitäisi puhua avoimesti siitä, tarvitseeko hanke aikalisän.

”Opiskelijoiden tasavertaisuuden ja kokeen luotettavuuden pitäisi nyt mennä kaiken muun edelle. Muuten en näe, mitä merkitystä tällä kokeella enää on.”

Kuinka vakavia Peten löytämät tietoturva-aukot ovat?

Kysytään Mikko Hyppöseltä.

F-Securen tutkimusjohtaja on yksi Suomen johtavia tietoturva-asiantuntijoita. Sattumalta hän tuntee myös Abitin.

Pari vuotta sitten ylioppilastutkintolautakunta järjesti Hackabi-kilpailun, jossa opiskelijoita kannustettiin etsimään järjestelmästä tietoturva-aukkoja.

Hyppönen oli kilpailun tuomaristossa.

”Sähköisiin ylioppilaskirjoituksiin tulee varmasti kohdistumaan hyökkäyksiä. Siksi oli hyvä idea etsiä turva-aukkoja kilpailun kautta yhdessä”, Hyppönen sanoo nyt.

Kilpailussa löydettiin aukkoja, jotka on sittemmin tukittu. Mitä mieltä Hyppönen on Peten löytämistä puutteista?

”Palvelunestohyökkäystä tuskin pystytään kokonaan estämään. Mutta minulle tulee siitä päällimmäisenä mieleen motiivi: Kuka sen tekisi ja miksi? Miksi oppilas haluaisi tuhota koko koulun kokeen”, Hyppönen sanoo.

Asiantuntijan mukaan GRUB2-murto on pahempi ongelma.

”Todellinen riski on siinä, että järjestelmästä löytyy porsaanreikä, jonka voi tuotteistaa. Silloin sitä voi hyödyntää kuka tahansa. Sitä voi vaikka myydä.”

Hyppösen mukaan on pakko hyväksyä, että joku murtautuu järjestelmän suojauksista läpi. Mikään järjestelmä ei ole täysin turvallinen.

”Ihan varma on, että jotain ongelmia tulee. Mutta väitän, että lopulliset hyödyt ovat silti suuremmat. Kun ajattelee, miten iso koemäärä tämä on, paperin pyörittely on turhaa”, Mikko Hyppönen sanoo.

Sitä paitsi myös vanhanaikaiseen paperikokeeseen liittyy tietoturvaongelmia.

Tänä keväänä postin autosta varastettiin nippu yo-koevastauksia. Ne löytyivät hylättyinä Hesburgerin parkkipaikalta.

Helsingin Sörnäisissä sijaitsevassa ylioppilastutkintolautakunnan toimistossa paiskitaan töitä, jotta Abitti valmistuisi ajoissa. Käytävillä on rullakkoja, joissa lojuu kasoittain parhaat päivänsä nähneitä testikoneita.

Neuvotteluhuoneen pöydän ääressä istuu kaksi henkilöä, joiden vastuulla sähköisen yo-kirjoituksen tulevaisuus lepää. Heille kritiikki ei tule yllätyksenä.

”Uudet asiat pelottavat, ja se on ihan luonnollista. Opettajia huolettaa, osaavatko he siirtyä tähän digitaaliseen maailmaan”, YTL:n pääsihteeri Kaisa Vähähyyppä sanoo.

Hän vastaa lain mukaan lukion päättökokeen toimeenpanosta.

Vieressä nyökkäilee Digabi-hankkeen projektipäällikkö Matti Lattu.

Latun mukaan Abitin tekijöillä on ollut alkuvaiheessa paljon muutakin mietittävää kuin järjestelmän turva-aukot.

”Tällä hetkellä tietoturva riittää vasta siihen, ettei opiskelijan vastauksia pääse vuotamaan sivulliselle. Vilpintahtoinen opiskelija pystyy tekemään järjestelmässä erilaisia asioita. Sen kanssa me emme ole vielä työskennelleet.”

Miten Lattu kommentoi hakkerin löytämiä tietoturva-aukkoja?

”Palvelunestohyökkäyksiä on vaikea estää. Meidän tavoitteemme on pystyä tunnistamaan, kuka hyökkäyksen teki.”

Latun mukaan todellisessa koetilanteessa on käytössä useita palvelimia. On epätodennäköistä, että kaikki palvelimen tiedot tuhoutuisivat hyökkäyksessä. Sabotaasin tekijä jäisi todennäköisesti kiinni, ja hänelle rapsahtaisi isot sakot.

Entä GRUB2-hyökkäys? Sen osalta Lattu vahvistaa Peten väitteen todeksi.

”Teknisesti tätä ei pystytä estämään, se on totta. Jos päätelaitteet ovat kokelaiden omia, heillä on rajattomasti mahdollisuuksia kiertää suojauksia.”

Tietoturva paranisi, jos lukiot antaisivat opiskelijoille työkoneet. Siihen ei kuitenkaan ole varaa.

Kaisa Vähähyypän mukaan on mahdollista, että osa kokelaista kokeilee uudenlaista vilppiä. Niin on ollut aina. Tänäkin keväänä kolme kokelasta jäi kiinni vilpistä. Kiinnijääneiden kaikki koetulokset mitätöitiin.

”Varmasti näitä riskinottajia tulee myös jatkossa. Mutta sellainen oppilas ottaa aika ison riskin oman elämänsä kannalta.”

Kaisa Vähähyyppä sanoo ymmärtävänsä opettajien kärsimättömyyden. Sähköisen yo-kokeen myötä myös valvonta ja sitä koskevat säännöt menevät uusiksi. Vielä kukaan ei tiedä, miten.

Sääntöuudistukset on tarkoitus kertoa kouluille ensi syksynä.

”Mitään valvontamuotoa ei ole vielä naulattu kiinni. Meidän on puhuttava tästä asiasta rehtoreiden kanssa.”

Tärkein valvontamuoto on yhä oikeat ihmiset, jotka valvovat koetta.

”Minä luotan valvojiin. Kyse on valvontakameraefektistä. Kiinnijäämisen riski on saatava niin isoksi, että se tuntuu samalta kuin nykyään”, Matti Lattu sanoo.

Kun Digabi-hanke käynnistettiin, sen keskeinen tavoite oli pitää tietoturva ”vähintään nykyisellä tasolla.” Ylioppilastutkintolautakunnan edustajan mukaan Abitti-järjestelmään murtautumista ei kuitenkaan voida estää teknisesti.

Mitä väistyvä opetusministeri Krista Kiuru (sd) tästä ajattelee?

”Täysin aukotonta järjestelmää on mahdoton luoda”, ministeri vastaa.

Hän muistuttaa, että myös vanhassa järjestelmässä on tietoturvaongelmia.

YTL:n mukaan lyijykynän tietoturva on ollut varsin hyvä. Tänä keväänä vain kolme kokelasta jäi kiinni vilpistä.

Paljonko siitä on varaa heikentää?

”En usko, että on näyttöä, että vilppi lisääntyisi. Pikemminkin lähtökohta on, että tietoturvaan kiinnitetään entistä enemmän huomiota”, Kiuru muotoilee.

Hakkeri-Peten mielestä Abitti on järjestelmä, jonka korjaaminen on mahdotonta. Jotta järjestelmästä saataisiin turvallinen, se olisi rakennettava alusta asti uudelleen.

Krista Kiurun mukaan hankkeeseen on suhtauduttava kärsivällisesti. Ylioppilaskokeen sähköistäminen on vuosien projekti, jossa ollaan vasta puolivälissä.

”Maailma, jossa ei uskalleta digitalisoida, ei ole enää mahdollinen. Ensi syksy antaa meille enemmän osviittaa, kun kouluissa järjestetään sähköisen yo-kokeen vapaaehtoinen kenraaliharjoitus”, Kiuru sanoo.

Aikataulu on tiukka, ja juna on jo vauhdissa.

Juttu julkaistu 8.5. klo 5.15, juttua muokattu 8.5. klo 10.37: koodia täydennetty.