Kaikenlaista kalastelijaa

Kaikenlaista kalastelijaa

19.2.2021 Teksti Terhi Hautamäki // Kuvat Maria Vilja

Vastaamon tietomurto sai monet pohtimaan, voisiko samankaltainen katastrofi tapahtua myös asianajoalalla. Totta kai voisi, ja siksi tietoturvaa on syytä yhä parantaa.

Jyväskyläläisen asianajajan Tero Artimon toimistolle on tullut viime vuosina useita hämäriä sähköposteja muiden suomalaisten asianajotoimistojen nimissä. Näissä on pyydetty avaamaan linkki tai lähetetty huijaukselta haiskahtava lasku.

Näyttää siltä, että myös asianajajien sähköposteja on onnistuttu kaappaamaan ja koetettu hyödyntää huijauksiin.

– Kaikennäköistä kalastelijaa on liikenteessä, ja huijausyritysten määrä on aivan loputon. Meidän toimistollemme on tullut ainakin kymmenen Microsoft-huijaussoittoa, Artimo kertoo.

Psykoterapiakeskus Vastaamon viime syksynä paljastuneen tietomurron jälkeen asianajajiakin on puhuttanut, miten vastaavalta voi suojautua. Myös Asianajotoimisto Artimo & Co:lla tapaus johti lisätoimiin. Neljän asianajajan ja sihteerin työpaikalla ovat monet asiat olleet jo ennestään kunnossa: vahvat palomuurit, tietojen kryptaus, salatun sähköpostin käyttö, asiakkaiden valvonta toimitiloissa ja asiakirjojen säilytys lukkojen takana.

– Vastaamo-tapauksen jälkeen teimme ulkoistettujen it-palveluiden kanssa vielä laajemman katsauksen tietoturvan parantamiseen, Artimo kertoo.

Yksi suojauskeino on Office 365 -järjestelmän kaksivaiheinen tunnistautuminen, jossa tunnistautuminen pitää hyväksyä sormenjäljellä varmennussovelluksessa. Toimisto on myös ottanut normaalia tietoturvaohjelmistoa laajemman lisäturvan, jossa ohjelmisto tarkistaa postin jo palvelimelta lähtiessä, ennen kuin se tulee sähköpostilaatikkoon.

Tietoturvan taso vaihtelee laajasti

Suomessa ei ole vielä tunnettua tapausta asianajotoimistoon kohdistuneesta tietomurrosta. Muista maista on esimerkkejä, ja on selvää, että asianajotoimistojen tieto houkuttaa monia tahoja.

– Asianajotoimisto ei itsessään ole kovin kiinnostava kohde, mutta jos sinulla on asiakkaita, joiden asiat kiinnostavat, muutut kohteeksi. Toimistojen kautta on haluttu päästä yhtiöiden tai julkkisten tietoihin, sanoo asianajaja Sami Järvinen asianajotoimisto Krogeruksesta.

Järvinen on ollut liiton uuden pääsihteerin Niko Jakobssonin vetämässä työryhmässä, joka on päivittänyt Asianajajaliiton tietoturvaohjeita ja pitänyt koulutuksia liiton jäsenille. Tietoturva ei ole pelkkää kryptausta, salasanoja tai palomuureja, vaan siihen kuuluvat myös työpaikan prosessit ja käytännöt.

Järvinen kertoo, että tietoturvan taso vaihtelee valtavasti. Yhden hengen ammatinharjoittajalla on eri riskit ja eri osaaminen kuin yli 200 työntekijän organisaatiossa. Yksi asia on silti yhteistä:

– Keskeisimmät riskit eivät ole teknisiä vaan ihmisriskejä: ihmiset toimivat väärin eivätkä järjestelmät. Toisaalta näihin riskeihin on helpompi puuttua, Järvinen sanoo.

Valvontalautakunta on takavuosina langettanut huomautuksia ja varoituksia tapauksissa, joissa sivullisten korviin on kantautunut asianajotoimiston salassa pidettäviä tietoja tai asiakas on nähnyt käynnillään toisen asiakkaan tietoja.

Keskeisimmät riskit eivät ole teknisiä vaan ihmisriskejä.

Lady Gagan asiat vuotivat juristilta

Monet tietoturvauhkista ovat yleistä kalastelua, jota kohdistuu keneen tahansa. Viime vuonna yksi riesa oli Emotet-haittaohjelma, joka voi tulla pdf- tai office-dokumenttina ja varastaa sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta dataa. Emotet on siitä ovela, että se väärentää sähköpostin vastaukseksi jo olemassa olevaan keskusteluketjuun ja kopioi otsikon ja sisällön oikeista viesteistä.

Joskus tietty asianajotoimisto on suoraan tietomurron kohteena. Vakoilijoita kiinnostavat liikesalaisuudet tai arkaluonteinen tieto, jolla voi kiristää.

Viime keväänä yhdysvaltalainen asianajotoimisto Grubman Shire Meiselas & Sacks joutui kyberhyökkäyksen kohteeksi. Siltä varastettiin tietoa ainakin laulaja Lady Gagan asioista. Toimisto on erikoistunut viihde- ja media-alaan ja palvelee kuuluisuuksia Madonnasta ja Bruce Springsteenistä lähtien.

Vuonna 2016 kolme kiinalaista miestä onnistui pääsemään käsiksi newyorkilaisten yrityskauppoja hoitavien asianajajien tietoihin. He onnistuivat tekemään miljoonia dollareita pörssissä, kun he hyödynsivät salassa pidettävää tietoa tulevista yrityskaupoista.

Tietomurtoa ei usein huomata heti

Kukaan ei pysty sanomaan varmasti, että ”meillä ei ole tällaista tapahtunut”. Tietojen kalastelu tai väärinkäyttö ei aina tule yrityksen tietoon saman tien eikä välttämättä koskaan.

HPP Asianajotoimiston asianajaja Risto Sandvik on vetänyt koulutuksia paitsi juristeille, myös tekniikan ammattilaisille. Sandvik sanoo, että valitettavan usein tietomurto havaitaan vasta, kun jotain on sattunut: esimerkiksi pankkitilin saldo näyttää väärältä. Tietokone ja ohjelmistot saattavat toimia entiseen tapaan siitä huolimatta, että tunkeutuja on päässyt sisään tietojärjestelmiin ja seuraa niiden toimintaa.

Sandvik vertaa tietoturvan parantamista terveydenhuollon potilasturvallisuuden parantamiseen: paradoksaalisesti mitä enemmän poikkeamia raportoidaan, sitä parempi on organisaation turvallisuuskulttuuri.

– Jos organisaatio ei ole havainnut koskaan minkäänlaisia tietomurron yrityksiä ja poikkeamia, olisin huolissani. Todennäköisesti niitä on tapahtunut, mutta niihin ei ole havahduttu.

Myös HPP on kokenut huijausyrityksiä, jotka ovat onneksi jääneet yrityksiksi. Murron kohteeksi joutuneelta yhteistyökumppanilta saattaa tulla oikean näköinen lasku, mutta tilinumero on muutettu.

Sandvik sanoo, että laskutushuijauksia ehkäisee se, että summan ollessa riittävän iso sitä ei yksi henkilö pysty maksamaan, vaan tarvitaan varmistus. Järjestelmään voi myös asentaa automaattisen varoituksen, joka ilmoittaa, jos laskuttaja ilmoittaa eri tilinumeron kuin aiemmin.

Velvoittavia ohjeita ja koulutusta

Asianajajaliitto on pyrkinyt tuomaan alalle entistä parempaa tietoturvaa. Asianajajia velvoittavat tietoturvaohjeet päivitettiin tammikuussa 2020. Lisäksi liitto tarjoaa koulutusta. Liitto on julkaissut aiheesta maksuttoman verkkokoulutuksen Asianajaja-akatemiassa.

Liiton tietoturvaohjeita päivittämässä ollut Sami Järvinen sanoo, että tietoturvan pohdinnan olisi hyvä tulla automaattiseksi osaksi kaikkea tekemistä.

– Ennen kuin käytät jotain viestintävälinettä, mietit, onkohan tämä tietoturvallista. Jos tallennat jotain muistitikulle, mietit, onko se salattu ja onko ylipäätään pakko tallentaa tietoa helposti hukkaan menevälle fyysiselle laitteelle.

Tärkeää on se, että jokaisella on pääsy vain omissa projekteissaan tarvittavaan tietoon. Jos pahin tapahtuu, yhden ihmisen tunnuksilla saadaan rajallinen osa toimiston aineistosta.

Tero Artimo toteaa, että velvoitteet asianajajille ovat lisääntyneet viime vuosina niin tietosuojasta kuin tietoturvasta huolehtimisessa. Iso haaste hänen mukaansa on byrokratia, eli dokumentoinnin velvoitteet.

– Väitän, että suurella osalla pienistä toimijoista ei ole resursseja panostaa dokumentaatioon niin paljon kuin vaaditaan. Ylemmän tason ohjeistuksen lisäksi tarvittaisiin kädestä pitäen -ohjeita ja malliasiakirjoja: esimerkiksi minkä näköinen valmiussuunnitelma kannattaa laatia.

Pääsihteeri Niko Jakobsson muistuttaa, että osallistuminen liiton luottamustehtäviin on asianajajille erinomainen tapa vaikuttaa asianajajia koskevaan sääntelyyn käytännössä. Esimerkiksi liiton päivitettyjä tietoturvaohjeita on ollut kommentoimassa niin liiton it-valiokunta kuin teknologia, viestintä ja tietosuoja -asiantuntijaryhmäkin.

Harjoittelusta on apua

Koska tietomurto voi sattua kenelle tahansa, Risto Sandvikin mukaan tilannetta on hyvä harjoitella. Keneen ongelman havainnut ihminen ottaa yhteyttä, mikä porukka kutsutaan kokoon ja jos tarvitsee kerätä sähköistä todistusaineistoa, miten se tehdään?

– Tyypillisesti tietomurron sattuessa tilanne on todella hektinen, ja täytyy nopealla aikataululla selvittää, mitä ilmoitetaan ja kenelle ja minkä sisältöisenä tai pitääkö ajaa järjestelmä alas vahinkojen estämiseksi. Vaikeita päätöksiä pitää tehdä tosi nopeasti, Sandvik sanoo.

Kun tietomurto tulee julkiseksi, kriisiviestintä on tärkeää. On hyvä miettiä, kuka median kanssa keskustelee. Tietoturvavirheisiin liittyvästä häpeilystä on syytä päästä eroon. Sandvik sanoo, että työpaikalla pitäisi olla matala kynnys kertoa ongelmista ja virheistä.

– Kun jotain tapahtuu ja joku raportoi siitä, lähdettäisiin ensisijaisesti ratkaisemaan asiaa eikä etsimään syyllistä. Tulokulma ei olisi sellainen, että miksi menit klikkaamaan.

Liitto ohjeistaa tietoturvassa

Asianajajaliitto on antanut ohjeen asianajotoiminnan tietoturvasta. Tässä esimerkkejä ohjeista. Tietoturvaohje (B 05.1) ja Tietoturvaopas (B 05.2) löytyvät kokonaisuudessaan nettisivuita:
asianajajaliitto.fi/saadokset

  • Henkilökunnan tietoturvaosaaminen on riittävän korkealla tasolla. Vähintään 10 työntekijän toimiston on järjestettävä ulkoinen tietoturva-auditointi säännöllisin väliajoin.
  • Fyysiset toimitilat on lukittu ja suojattu. Kaikki asianajajasalaisuuden piirin kuuluva aineisto on suojattu.
  • Laitteiden ja välineiden tiedot on salattu (kryptattu), eikä näitä saa antaa ulkopuolisten käyttöön. Asianajosalaisuuden säilyttämiseksi tulee välttää vieraiden laitteiden käyttöä tai niiden kytkemistä omiin laitteisiin. Laitteet, joihin ei enää tarjota päivityksiä, pitää vaihtaa uusiin.
  • Langattomat verkot on suojattu. Vierailijoilla ei tule olla pääsyä sisäiseen verkkoon. Käytettäessä julkisia verkkoja on käytettävä salattua yhteyttä, kuten vpn-yhteyttä.
  • Salasanat ovat riittävän monimutkaisia, ne vaihdetaan tarpeeksi usein ja huolehditaan, etteivät muut pääse niihin käsiksi. Lisätunnistautumismenetelmiä käytetään mahdollisuuksien mukaan.
  • Tietoturvaohjelmistot ja palomuuri ovat kunnossa. Laitteiden, käyttöjärjestelmien, ohjelmien ja sovellusten päivitykset asennetaan ilman aiheetonta viivytystä.
  • Asiakirjoihin tulee olla pääsy vain niillä henkilöillä, jotka tarvitsevat tai saattavat tarvita salassa pidettäviä tietoja tai pääsyä kyseisiin tiedostoihin työtehtäviensä hoitamiseksi.
  • Sähköpostilla tai muulla sähköisellä tavalla lähetettävä aineisto on tarvittaessa salattu

Julkaistu numerossa Advokaatti 1/2021

Kirjoittaja Terhi Hautamäki

on vapaa toimittaja, joka kirjoittaa Advokaattiin erityisesti laajoja oikeudenhoitoon liittyviä artikkeleita.

Jaa kirjoitus Kopioi linkki
Jaa kirjoitus Kopioi linkki

Uusimmat kirjoitukset

Liitossa tapahtuu

Advokaatille kunniamaininta

Advokaatti-verkkolehti sai kunniamaininnan viestinnän alan järjestön ProComin Oma Media 2022 -arviossa.

Liitossa tapahtuu

Advokaatille kunniamaininta

Advokaatti-verkkolehti sai kunniamaininnan viestinnän alan järjestön ProComin Oma Media 2022 -arviossa.

Liitossa tapahtuu

Vuoden asianajoassistentiksi valittiin Sanna Husu

Vahva oikeudentaju innosti Castrén & ­Snellmanilla työskentelevän Sanna Husun juridiikan pariin.

Liitossa tapahtuu

Vuoden asianajoassistentiksi valittiin Sanna Husu

Vahva oikeudentaju innosti Castrén & ­Snellmanilla työskentelevän Sanna Husun juridiikan pariin.

Yleinen

Nimitykset 5/2022

Julkaisemme tällä palstalla asianajotoimistojen meille ilmoittamia nimitysuutisia.

Yleinen

Nimitykset 5/2022

Julkaisemme tällä palstalla asianajotoimistojen meille ilmoittamia nimitysuutisia.