Kirjoittajat: Joonas Kiuru & Tony Kalliala

Johdanto 

Internet on samaan aikaan parasta ja pahinta, mitä yhteiskunnallemme on tapahtunut. Internetin ja muun tietotekniikan nopean kehittymisen tuoma digitalisaatio näkyy kaikkialla arjessamme. Ihmiskunta on muuttunut riippuvaiseksi sen digitalisaation tuotoksista. Mitä tapahtuisi, jos internet yhtäkkiä katkeaisi koko maailmasta? Kaaos voisi olla lievä lievä kuvaus seurauksista.  

Internet on helpottanut ihmisten elämää lukemattoman monessa asiassa. Lapsena en olisi ikinä voinut kuvitella, että jonain päivänä voisin työskennellä täysin kotoa käsin, saati tilata kauppakasseja kotiovelle muutamilla sormen sipaisuilla. 

Jos jotain hyvää, niin myös jotain pahaa. Digitalisaatio ei ole tietenkään ollut pelkkää ruusuilla tanssimista, vaan erilaisia tietoturva ongelmia on myös ilmennyt sen seurauksena. Internetiin ja muihin tietojärjestelmiin sisältyy paljon arvokasta dataa, josta niin sanotut verkkorikolliset ovat erityisen kiinnostuneita. Nykyään melko harvoin kuulee, että roistojengi on murtautunut pankkiholviin, mutta sen sijaan verkkopankkitunnusten kalastelu on arkipäivää. 

Yksityishenkilöiden lisäksi tietoturvahyökkäysten kohteina ovat yritykset ja yhteisöt. Tämä on syy, miksi päätimme kirjoittaa tämän esseen. Yrittäjän olisi todellakin syytä ymmärtää vähintäänkin tietoturvan perusteet välttyäkseen Vastaamon kaltaisilta tietoturvakatastrofeilta. Jos et tiedä tapauksesta, niin googleta. 

Miksi tietoturvaa voisi verrata Tetriksen pelaamiseen? 

Tämä ajatus tuli F-Securen tutkimusjohtajalta Mikko Hyppöseltä, kenties Suomen tunnetuimmalta tietoturva-ammattilaiselta. Hyppönen on tullut tunnetuksi ammattilaiseksi myös maailman mittakaavassa. Hän kiertää maailman suurimpien yritysten johtoryhmiä sekä yliopistoja jakamalla tietoaan tietotekniikasta sekä sen sudenkuoppien välttämisestä. Mikko Hyppönen on tämän lisäksi yksi harvoista suomalaisista Ted Talk-puheen pitäneistä henkilöistä. 

“Tetris on kaikille tuttu peli. Kun palasista saa rakennettua kokonaisen rivin, rivi katoaa. Tietoturvan tekeminen muistuttaa joskus Tetriksen peluuta: onnistumiset katoavat. Epäonnistumiset sen sijaan kasaantuvat, ja ne on helppo huomata. Kun tietoturva toimii täydellisesti, se on näkymätöntä. Harvoin ketään kiitetään siitä, että esti katastrofin, jota ei koskaan tapahtunut.” (Hyppönen 2021, 41.) 

Henkilötiedot
 

Vastaamon tapaus on ajatuksia herättelevä ääriesimerkki henkilötietomurrosta ja sitä voidaan tietyillä mittareilla pitää jopa Suomen historian suurimpana rikoksena. Vastaamo oli 250 terapeuttia työllistävä psykoterapiakeskus, jonka huonosti suojattu potilastietokanta joutui kyberhyökkäyksen kohteeksi. Hyökkäys oli poikkeuksellisen julma, koska hyökkääjä kiristi Vastaamoa uhkaamalla julkaista muistiinpanoja terapeuttien ja potilaiden välisistä keskusteluista. Tämänlainen tieto on tulenarkaa ihmisen koko elämän ajan. Keskustelujen aiheina oli ollut muun muassa: masennus, pelot, parisuhdeongelmat, päihdeongelmat. Terapeutti usein kirjaa ylös myös potilaan mietteitä hänen läheisistään: lapsista, puolisoista, siskoista veljistä ja esimiehistä. Ei ole vaikea ymmärtää, että kaaoksen ainekset olivat ilmassa, kun hyökkääjä lähetti Vastaamon johdolle todisteita varastetuista henkilötiedosta ja näiden pohjalta vaati suuria summia rahaa pitääkseen tiedot itsellään. (Hyppönen 2021, 199.) 

Kuitenkaan tämän tyyppiset katastrofit eivät synny itsestään, vaan niinkuin mainittua, Vastaamon tietojärjestelmät ja potilastietokannat olivat heikosti suojattuja. Vastaamon toimitusjohtaja Ville Tavio oli itse hyvin tietoinen näistä puutteista, mutta systemaattisesti ohitti nämä ongelmat jopa useamman tietomurron jälkeen, ja näin tekemällä asetti tuhansien ihmisten tiedot vaaraan omalla piittaamattomalla toiminnallaan. 

Henkilötietojen käsittelyä ja säilytystä ohjaa EU:n tietosuojalainsäädäntö GDPR. Tietoturva-asioiden laiminlyömisen yksin vakavimmista riskeistä on henkilötietojen päätyminen vääriin käsiin. Asiakkaan menetettyä luottamusta voi olla mahdotonta hankkia takaisin. Yrityksen henkilötietoihin liittyvät puutteet johtavat myös suuriin mittaviin sakkoihin. (Yrittäjät.fi n.d.)  

Vastuu tietoturva-asioista 

Vuonna 2018 tietosuoja-asetus GDPR uudistui niin, että viranomais ja julkishallintojen toimistoille on aina palkattava tietosuojavastaava huolehtimaan tietoturva-asioista. Näiden lisäksi tämä koko EU:n laajuinen lakiuudistus laajennettiin koskemaan myös yksityisiä yrityksiä, joiden toiminnan keskiössä on arkaluontoisten henkilötietojen käsittely. Tällaisia tietoja voisi olla esimerkiksi terveys, etninen alkuperä, uskonnollinen vakaumus, poliittiset mielipiteet, seksuaalinen suuntautuminen tai rikokset. (Protietosuojavastaava 2018.) 

Vaikka tietosuojavastaavan palkkaamiselle ei olisi lain velvoittamia edellytyksiä, on se siltikin järkevää, mikäli resurssit ovat riittäviä. Nykyään tietosuojavastaavan ei välttämättä tarvitse edes olla yrityksen omaa henkilöstöä, vaan se voidaan ostaa myös ulkoistettuna palveluna. Ensisijaisesti ja viimekädessä vastuu tietosuoja-asioista huolehtimisesta on yrityksen johdolla. (Yrittäjät n.d.)  

Yritysten on myös hyvä muistaa, että tietosuojalakien näkyvä noudattaminen ei tuo pelkästään suojaa asiakkaalle, mutta myös yritykselle mahdollisen poikkeustilanteen kohdatessa.
 

Päivitä, päivitä, päivitä
 

Tietoturva-asiantuntija ja -tutkija Petteri Järvinen kertoo ajantasaisten ohjelmistopäivitysten olevan yksi keskeisimmistä toimenpiteistä tietoturvauhkilta välttymiseksi. Moni luulee, että tietokoneiden ja puhelimien uusimpien ohjelmistopäivitysten tärkein syy on käyttöliittymän uudet ominaisuudet. Tämä on median luomaa harhaa. Tärkein syy uusille päivityksille on tietoturva-aukkojen korjaaminen! Kuinka usein näet mediassa hehkutettavan iPhonen tai Windows-tietokoneen käyttöjärjestelmän virheenkorjauksista verrattuna uusimpiin pikakäyttöominaisuuksiin tai visuaaliseen ilmeeseen? 

Täydellisen aukotonta käyttöjärjestelmää ei ole toistaiseksi kehitetty, jonka takia uudet päivitykset jatkuvat, kun taas seuraavasta löytyy virheitä. Tämän takia on ehdottoman tärkeää hoitaa päivitykset pois alta nopealla aikataululla. Kuulostaa helpolta, mutta näin se ei kuitenkaan ole etenkin, kun puhutaan suuremmista yrityksistä. Uuden päivityksen lataaminen ja asentaminen voisi helposti keskeyttää työn teon ja siksi sen tekeminen lykkääntyy helposti hamaan tulevaisuuteen. Toinen syy on välinpitämättömyys tai tietämättömyys päivityksen tärkeydestä, jonka takia on tärkeä huolehtia henkilöstön tietoisuudesta tietoturva-asioiden tärkeyteen liittyen. Uusien ohjelmistopäivitysten automaatioasetukset ovat myös nykyään hyvä keino pitää järjestelmät ajantasalla. (Yrittäjän Podcast 2022.) 

Tietoturvasäännöt ja henkilöstön koulutus kuntoon 

“Kaikki näkemämme tietoturvaongelmat voidaan jakaa kahteen ryhmään: teknisiin ja ihmisten aiheuttamiin ongelmiin. Teknisten ongelmien paikkaaminen voi olla vaikeaa, hidasta ja kallista, mutta ihmisten ongelmia ei voi paikata juuri mitenkään.” (Hyppönen 2022.) 

Ihminen on todennäköisesti yrityksen suurin yksittäinen tietoturvauhka. Hyppönen on varmasti oikeassa, koska suurin osa yritysten tietoturvavahingoista aiheutuu juurikin työntekijöiden tai sitten yrittäjän virheellisestä toiminnasta. Ehdottoman tärkeää on pitää huolta, etteivät työntekijät avaa tuntemattomilta vastaanotettuja liitetiedostoja, sillä ne saattavat hyvinkin sisältää erilaisia vakoilu tai haittaohjelmia. Toinen maininnan arvoinen asia on salasanat, joiden näkee liian usein olevan retuperällä. Ei todellakaan ole hyväksyttävää pitää samoja salasanoja kaikkialla, etenkään henkilökohtaisten salasanojen kanssa. Salasanat on myös pidettävä laadultaan tarpeeksi vahvoina. Näiden lisäksi työkäyttöön tarkoitettu tietokone on hyvä pitää erillään vapaa-ajan käytöstä. (yrittäjät.fi n.d.) 

Erilaiset verkkohuijaukset vaanivat niin yksityishenkilöjä kuin yrityksiäkin. Niiden varalta yrittäjän on syytä valistaa itsensä lisäksi työntekijöitä. Verkkosivu yrittäjät.fi on koonnut yhteen tietoturvan perusasiat, jotka kaikkien työntekijöiden olisi syytä tunnistaa: 

• “Aina kun sinulta pyydetään netissä jotakin, ole varuillasi. Luota arkijärkeen. Jos jokin kuulostaa liian hyvältä tai halvalta ollakseen totta, se ei ole totta. Huijauksia tehdään jopa toimitusjohtajien nimissä sekä erilaisilla huijauslaskuilla. 
• Huijarit räätälöivät sähköposteja, joiden kautta he yrittävät ujuttaa haittaohjelmia isompien yritysten laitteisiin. Myös yritysten identiteettejä on varastettu esimerkiksi niin, että huijarit ovat käyneet yritysrekisterissä vaihtamassa nimet. 
• Tiesithän, että voit tilata Patentti- ja rekisterihallitukselta hälytyksen, joka kertoo, jos yrityksesi tiedot muuttuvat. Palvelu on maksuton ja voit aktivoida sen täältä. 

• Jos sähköpostiviestin otsikko epäilyttää, älä avaa viestiä. Myös tutuilta tullut sähköposti voi sisältää viruksen. Sähköpostin liitetiedostoissa etenkin tiedostopäätteet .COM, .EXE, .SHS, .PIF ja .VBS ovat suosittuja sähköpostitse leviävissä haittaohjelmissa. 
• Kalastelumeilit saattavat näyttää hyvinkin aidoilta. Niillä yritetään saada käyttäjätunnuksia ja luottokorttitietoja. Kielioppivirheitä vilisevää meiliä lukiessasi hälytyskellojen pitäisi huutaa. 
• Vaikka surffaisit luotettavalla sivustolla, voit vahingossa joutua hakkeroidulle sivustolle, joka näyttää viralliselta. Jos selaimesi päivitykset ovat kunnossa, tilanne ei ole vaarallinen. Mutta muista: aina, jos tapahtuu jotakin epätavallista, tuntosarvien on noustava pystyyn. Tunnistat luotettavat sivustot osoitekentässä näkyvästä lukosta.” (yrittäjät.fi n.d.) 

Vielä yksi maininnan arvoinen asia on niin sanottu kaksivaiheinen tunnistautuminen, joka on meille arkipäivää etenkin verkkopankkien sisään kirjautumisessa. Yrityksen tulisi suojata tilinsä, jollain kaksivaiheisen tunnistautumisen keinolla, sillä se estää mahdollisen tunkeutujan aikeet, mikäli tunkeutuja on onnistunut kalastamaan käyttäjän käyttäjätunnuksen ja salasanan. (yrittäjät.fi n.d.) Varsin helppo ja toimiva ratkaisu kaksivaiheiseen tunnistautumiseen on erilaiset authenticator-sovellukset. 

Suojaa oma sivustosi 

Lähes jokaisella yrityksellä on nykyään omat verkkosivut, vaikka yrityksellä ei olisikaan verkkokauppaa. Markkinointipiireissä kulkeekin lentävä lausahdus “jos et ole netissä, et ole olemassa”. Yrityksen verkkosivujen yksi tärkeimmistä tehtävistä on luottamuksen luominen asiakkaaseen. Luottamuksen voi helposti ajaa karille, jos verkkosivuilla tulee vastaan tietoturvaan liittyviä kysymysmerkkejä. (yrittäjät.fi n.d.) 

Verkkosivujen tietoturvallisuuden kenties tärkein asia on niin sanottu SSL-salaus. Varmasti kaikki ovat verkossa surffailessaan huomannut verkko-osoitteen alussa olevaan tunnuksen: “https://”. Tällöin olet viettänyt aikaa SSL-sertifioidulla verkkosivulla. Verkkosivuston salaamisen tärkein tehtävä on salata käyttäjän ja sivuston välistä tietoliikennettä yhteydenottolomakkeista pankkikorttitilauksiin. (yrittäjät.fi n.d.) 

Suurimmat hakukoneet, kuten Google Chrome merkitsee SSL-suojaamattomat verkkosivustot automaattisesti turvattomiksi, varoittamalla käyttäjiä sivuston suojaamattomuudesta. Tämä saattaa helposti pienentää sivuston löydettävyyttä sekä heikentää yrityksen luotettavuutta asiakkaan silmissä. SSL-sertifikaatin voi asentaa itse, mutta se on helpompi ulkoistaa ammattilaiselle tai käyttää webhotellin palvelua. (yrittäjät.fi n.d.) 

Myös jos sivustolla näkyy hämäräperäisten firmojen mainoksia, tai näyttö täyttyy epämääräisistä popup-ikkunoista, on se omiaan heikentämään sivuston luotettavuutta käyttäjän silmissä. Vaikka sivuston SSL-sertifikaatti olisi kunnossa, harva meistä kokisi sekavalta ja hämäräperäiseltä vaikuttavaa sivustoa turvalliseksi. 

Rahaliikenteen suojaus on yleensä yritykselle helppoa, sillä nykyään lähes aina siitä vastaa ulkopuolinen palveluntarjoaja. Kun asiakas on tehnyt ostoksensa verkkokaupassa ja on valmis maksamaan, hänet ohjataan ulkoisen palveluntarjoajan maksuportaaliin, jossa asiakas voi suorittaa pankkimaksut turvallisesti. Suosittuja ja luotettavia maksupalveluntarjoajia ovat muun muassa Klarna ja Paytrail. 

Turvallinen verkko 

Nykypäivänä lähes jokaisella yrityksellä on oltava oma verkkonsa. Tämän verkon on oltava suojattu salasanalla tai muuten sitä voi käyttää kuka tahansa, myös mahdollinen hyökkääjä. Asiakas tai vierailija saattaa helposti kysyä, että voisiko hän käyttää verkkoa, jonka takia yrityksen kannattaa hankkia toinen yhteys, jota ei käytetä lainkaan liiketoimintaan liittyvissä asioissa. (yrittäjät.fi n.d.) 

Huoli kannattaa pitää myös etätöitä tekevien verkkokäyttäytymisestä. Esimerkiksi julkisen kahvilan salaamaton verkko ei ole turvallinen alusta töiden tekemiselle. Omasta puhelimesta jaetun ja vahvalla salasanalla suojatun verkkoyhteyden turvin töitä voi tehdä melko turvallisin mielin, mutta on asia erikseen, kuka istuu ja katselee takavasemmalla. (yrittäjät.fi n.d.) 

Aihe on myös aiheuttanut julkista keskustelua viime aikoina, kun Vasemmistoliiton kansanedustaja Anna Kontula tunnusti käyttävänsä Helsingin metron julkista verkkoa työtehtäviensä hoitoon (Kemppi, J. & Hanska, J. 2022). Tämä ei hyvästä syystä monenkaan mielestä sovi kansanedustajalle, sillä avoin verkko on aina tietoturvariski, ja niinkin korkean tason toimijan kuin kansanedustajan tulisi olla tietoinen tietoturvallisuuden perustaidoista. 

Huolehdi varmistuksista 

Suurimalle osalle yrityksistä tietokantoihin on saatettu kerätä mittaamattoman arvokasta dataa esimerkiksi asiakas- tai tutkimustietojen muodossa. Joidenkin yritysten kohdalla arvokkaiden tiedostojen häviämisestä saattaisi seurata pahimmillaan jopa konkurssi.  

Tiedot voi hävitä monenkin syyn seurauksena. Useimmiten tietoja häviää täysin vahingossa, kun poistetaan epähuomiossa väärä tiedostokansio, mutta huonolla tuurilla tiedostot voivat jopa tuhoutua ohjelmistovirheen takia. Myös salasanaunohdukset tai laitteen tuhoutuminen voi johtaa datan häviämiseen. Yrityksen kyberhyökkääjälläkin voi syystä tai toisesta olla intressejä tietojen kalastelun sijaan niiden hävittämiseen. Näiden syiden takia erilaisten tietovarastojen ja dokumenttien suojaamisesta tulisi huolehtia säännöllisellä varmuuskopioinnilla. Tiedot kannattaa varmentaa myös ulkoiseen ympäristöön, jotta ne voidaan tarvittaessa palauttaa ongelma tai kiristystilanteissa. (yrittäjät.fi n.d.) 

Pidä käyttäjätiedot ajantasalla 

Niin kuin jo aikaisemmin mainittu, suurin yksittäinen tietoturvauhka on ihminen. Tästä syystä järjestelmiin liittyvät käyttöoikeudet on syytä pitää ajantasalla. Jos työsuhde päättyy, on tärkeää huolehtia käyttäjätilien sulkemisesta tai oikeuksien poistamisesta heti, kun käyttötarvetta niille ei enää ole. (yrittäjät.fi n.d.) 

Pääsynhallinnasta huolehtiminen kuuluu myös EU:n tietosuojalain noudattamiseen, joten käyttäjätilien hallinnoimiselle ei ole pelkästään käytännöllinen, vaan myös lakitekninen peruste. 

Yhteenveto 

Tietoturva on laaja ja moniulotteinen kokonaisuus, jonka kokonaisvaltaiseen hahmottamiseen tarvitaan usein ammattilaisen apua. Perusasiat on toki syytä jokaisen yrittäjän tiedostaa ja huolehtia kuntoon.

Tietoturvasta tietämättömän yrittäjän/yritysjohtajan kannattaa pitää mielessään tietoturvan Tetrisvertaus. On tärkeää arvostaa tietoturvaonnistumisia, joita emme arjen tohinassa näe. Hyppönenkin mainitsi kirjassaan, että harvoin kenellekään annetaan kiitosta siitä, että oli estämässä katastrofia, jota ei koskaan edes tapahtunut. Toisin on toki silloin, kun vahinko on jo tapahtunut. Silloin on luontaista ja helppoa etsiä syyllisiä.

LÄHTEET 

Hyppönen, M. (2021) Internet. WSOY. Helsinki. 

Iltalehti. Kemppi, J. & Hanska, J. 2022. Viitattu 1.12.2022. https://www.iltalehti.fi/digiuutiset/a/4a2b8852-2674-4051-9a82-e5f99df5eb59 

Protietosuojavastaava. (2018) Tietosuojavastaava. Viitattu 20.10.2022: https://www.protietosuojavastaava.fi/ 

Yrittäjän Podcast. (2022) Päivitä, päivitä! (Ja muita Petteri Järvisen tietoturvavinkkejä). Spotify: https://open.spotify.com/episode/43bAyXasYgxcM1QRWy7VZX?si=471f1782fd2e4986 

Yrittäjät.fi. n.d. Tietoturva. Viitattu 20.10.2022: https://www.yrittajat.fi/tietopankki/turvaa-yrittamiseen/tietoturva/