Kuvittele tilanne: Heräät aamulla onnellisena toimitusjohtajana, kunnes saat tietää mitä on tapahtunut. 130 000 asiakkaan luottokorttitiedot on varastettu.

Näin kävi British Airways -lentoyhtiölle kesäkuussa 2018.

Osaamme rakentaa varautumissuunnitelmia luonnonilmiöiden, henkilö- ja omaisuusvahinkojen, lakkojen ja tulipalojen varalle. Nyt tämä reaalimaailman varautumisosaaminen tulee vain ulottaa kyberturvallisuusriskeihin osana yrityksen liiketoiminnan jatkuvuuden turvaamista. (Elisan tietoliikenneverkoista ja kyberturvallisuudesta vastaava liiketoiminnanjohtaja Pasi Korhonen)

Mikael Rautanen kertoo InderesPodin jaksossa 57 “Tilannekatsaus kyberturvamarkkinoihin” siitä, kuinka myös hänen luottokorttitietonsa varastettiin monen muun onnekkaan joukossa tämän hakkeroinnin yhteydessä. Varastetulla luottokortilla oli ostettu 1000€ hotelliyöpymisiä ja kuntosalimaksuihin oli mennyt 100€. Pankki kuitenkin lähetti uuden luottokortin ja varastettu summa korvattiin. Kuluttajalle tästä ei siis suurempaa vahinkoa päässyt syntymään. Lentoyhtiölle vahingot olivat kuitenkin merkittävät. Se joutui hyvittämään kaikki varastetut rahat sekä maksamaan usean sadan miljoonan euron sakot.

Ihminen on heikoin lenkki

Hakkeroinnin syyksi tai mahdollistajaksi löytyi perus simppelin päivityksen laiminlyöminen. Päivityksen unohtuminen johtui luultavasti inhimillisestä virheestä. Tästä huomaamme miten tärkeää uusien päivitysten käyttöönotto on, koska uudet päivitykset korjaavat aina aiemman version tietoturvahaavoittuvuuksia. Kyberturvallisuusasioita ei ratkaista pelkällä teknologialla, vaan asiat ovat tuttuun tapaan kompleksisia. Ihminen ja sen huolimattomuus ovat usein heikoin lenkki.

”Kyber-hygieniaan” tullaan toivottavasti kiinnittämään jatkossa enemmän huomiota, sillä kaikkein merkittävimmin kyberturvallisuuden tasoa nostetaan esimerkiksi yrityksissä laittamalla perusasiat kuntoon, ja tämä koskee ennen kaikkea perustaitojen opettamista ja vaatimista meiltä jokaiselta. (Kyberturvallisuusjohtaja, professori Jarno Limnell)

Henkilöstön tietämättömyys tai tarkoituksenhakuinen toiminta yritystä vastaan muodostavat merkittävän turvallisuusriskin. Yritysten ja yhteisön oman henkilöstön opastaminen laitteiden turvallisesta käytöstä ja turvallisesta käyttäytymisestä on kaikkein tärkeintä. Arkisena esimerkkinä toimivat esimerkiksi perinteiset, yrityksille tulevat puhelinyhteydenotot, asiakasgallupit ja nettikartoitukset. Niitä käyttävät yhä useammat huijarit, jotka esiintyvät jonkun tutkimuslaitoksen edustajana. On tärkeää, että yrityksessä on sovittuna pelisäännöt siitä, kuka vastaa yritykselle tuleviin kyselyihin. Sähköposti on virusliitetiedostojen, mainospostin ja tietojenkalasteluviestien myötä melkoinen riski. Liitetiedostojen ja linkkien mukana on helppo ujuttaa haittaohjelma yrityksen sisäverkkoon (Peltomäki & Norppa s.109).

Hakkerit olivat British Airwaysin järjestelmässä jopa useita viikkoja. Tämä osoittaa sen, kuinka vaikeaa hakkereiden huomaaminen ylipäätään on. Useimmat yritykset pitävät verkon kautta tapahtuvaa teollisuusvakoilua vain teoreettisena uhkana, joka voidaan hyvinkin torjua virustorjuntaohjelmalla ja salasanoilla. (KPMG Unknown Threat in Finland 2013) Osasyy tähän lienee, että suurinta osaa hyökkäyksistä ei yrityksissä edes havaita. (Peltomäki & Norppa s.100)

On kahdenlaisia verkkohuijauksen uhreja: niitä, jotka ovat joutuneet hakkeroiduksi ja niitä, jotka tulevat hakkeroiduksi jossain vaiheessa. (Tietoturvakonsultti Ilkka Demander)

Vuonna 2012 tehdyn tutkimuksen mukaan suuryrityksistä 43 prosentissa oli havaittu luvattomia yrityksiä tunkeutua tietoverkkoon. Keskisuurten yritysten kohdalla vastaava luku oli 24 prosenttia. (Peltomäki & Norppa s.99) Vain murto-osa esimerkiksi palvelunestohyökkäyksistä tulee julkisuuteen, yleensä siitä syystä, että yritykset pyrkivät välttämään maineen menettämisen riskiä. Mediahuomio saattaisi johtaa asiakkaiden ja rahoittajien luottamuksen menettämiseen. Kyberturvallisuus on asia, jonka kustannuksista ei kannata tinkiä, sillä vahingon sattuessa seurausten korvaaminen tulee kalliiksi ja voi pahimmassa tapauksessa lamauttaa koko liiketoiminnan. Kokonaisymmärryksen saamiseksi tämä koskee yrityksissä niin IT-osastoa kuin rahoitusjohtajaa ja markkinointijohtoa. On tiedostettava, mitä tapahtuu liiketoiminnalle ja maineelle, jos riski realisoituu. Tapahtuneen peittely maineriskin pelossa ei kuitenkaan edistä kyberturvallisuuden kehittymistä.

Miksi juuri minut hakkeroitaisiin? Minulla ei ole mitään kamalan arvokasta tietoa. Rahan lisäksi kaikki tieto on nykyisin rahanarvoista kauppatavaraa. Rikollisten lisäksi myös kilpailijat ja ulkomaiset tiedustelupalvelut ovat kiinnostuneita oman kilpailukyvyn ylläpitämisestä, jolloin yrityksen asiakas- IPR- ja tuotekehitystiedot sekä muut strategiset tiedot ovat kiinnostavia. Näitä tietoja haetaan yrityksistä haittaohjelmilla. (Peltomäki & Norppa s.100)

Kyberturvallisuus ja kyberhyökkäykset ovat monelle aika iso mörkö. Asia ei tule mieleen päivittäisessä arjessa ja sitä pidetään todella absurdina asiana. Voisi jopa ajatella, että kyberturvallisuus on kunnossa, kunnes jotain vakavaa oikeasti tapahtuu. Samalla se kuitenkin on todella pelottava ja ahdistava. Meidän kaikkien henkilökohtaiset tiedot, esimerkiksi pankki ja terveystiedot, löytyvät netistä, kuten myös yritysten liikesalaisuudet, patenttihakemukset ja taloustiedot. Vakoilu, tietovuoto tai palvelunestohyökkäys olisi pahin painajainen varmasti jokaiselle yrittäjälle.

Kyberrikollisuus bisneksenä

Kirjaa lukiessani mietin, kuinka kiva ja helppo hakkerin ammatti olisikaan. Tulot ovat valtavia ja kiinnijäämisen riski suhteellisen pieni. Myöskään lainsäädäntö ei ole kehittynyt samaa vauhtia teknologian kanssa. Kyberrikollisuus on valtava bisnes, toiseksi suurin rikollisuuden ala heti huumekaupan jälkeen. Kyberrikolliset saavat kahden miljardin euron hyötyjä hakkeroimalla yritysten ja laitosten verkkosivuja vuosittain. Pasi Korhosen mukaan palvelunestohyökkäyksellä kiristävien rikollisten kohteiksi on joutunut myös suomalaisia verkkokauppoja, pankkipalveluyrityksiä (Osuuspankki 2014) ja julkisen hallinnon laitoksia (Kela 2018).

Kyberrikollisuus on hyvin verkottunutta. Hyökkäystyökalujen valmistajat ovat koodaamisen ammattilaisia, jotka myyvät tuotteensa asiakkailleen. Esimerkiksi kilpailijan liiketoiminnan häiritseminen verkkosivujen tai verkkokaupan halvaannuttamisen avulla on tehokas keino vaikuttaa yritykseen. Toisessa tapauksessa rikollinen lamauttaa yrityksen verkkosivut ensin haittaohjelmalla, ja sen jälkeen yritystä kiristetään maksamaan ”suojelurahaa” toiminnan palauttamiseksi ennalleen. Usein ei kuitenkaan edes tarvitse tehdä varsinaista hyökkäystä, vaan pelkkä tehokas uhkaus saattaa riittää (Peltomäki & Norppa s.103).

Rikolliset ovat yleensä todella luovia kavereita, ja niin ovat myös kyberrikolliset. Rikosten motiivi voi olla se perinteinen taloudellinen pääoma tai sitten kosto tai kiristäminen. Iskut voivat olla tehty poliittisessa tarkoituksessa tai ihan vain pilailumielessä, niin kuin Osuuspankille tehtiin uutenavuotena 2014. Mielestäni on mielenkiintoista, kuinka helposti esimerkiksi osakemarkkinoita hyväksikäyttämällä kyberrikollisuudella voidaan saada merkittäviä summia. Shorttaamalla (lyhyeksi myymällä) yritystä, johon hyökkäys tehdään, voi saada suuriakin voittoja, tai vaihtoehtoisesti sijoittamalla kilpailevaan yritykseen.

Ilkka Demander kuitenkin muistuttaa, että Suomessa suurin työllistäjä on pk-sektori, jossa valitettavan usein tietoisuus verkon uhista ja riskeistä on hyvin perustasolla, eikä niitä ole välttämättä kartoitettu riittävästi. Varsinkin pk-yrityksissä tietoturvan hallinta on vaikeampaa ja koko liiketoiminta voi olla yrityksen ainoalla kannettavalla tietokoneella tai netissä. Kyberturvallisuudesta huolehtiminen ja varautuminen voivat parhaimmillaan olla yritykselle myös kilpailuetu, verkkoliikennetoiminnalle jopa elinehto. (Peltomäki & Norppa s.110) Brändi ja maine ovat arvokasta pääomaa. Jokainen asiakas olettaa, että tiedot pysyvät tallessa, ja tätä luottamusta ei missään nimessä saa pettää.

Listan siitä, mitä toimenpiteitä konkreettisesti pitäisi tehdä jätän teidän omalle vastuullenne selvittää, jotta esseeni lukukokemus pysyisi tarpeeksi miellyttävänä. Neljä asiaa on kuitenkin tärkeää pitää mielessä:(1) salasanojen tarpeeksi hyvä vahvuus, (2) varovaisuus liitetiedostojen avaamisessa, (3) tietojenkalasteluyritysten tunnistaminen, (4) Tärkeimpien tietojen varmuuskopiointi esimerkiksi pilveen.

Lähteet:

Peltomäki & Norppa, Rikos meni verkkoon, Talentum Media Oy, 2015, Helsinki