JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.
16.2.2021 11:00

Teks­ti Ter­hi Hau­ta­mä­ki // Ku­vi­tus Ma­ria Vil­ja

Kaikenlaista kalastelijaa

Vas­taa­mon tie­to­mur­to sai mo­net poh­ti­maan, voi­si­ko sa­man­kal­tai­nen ka­tast­ro­fi ta­pah­tua myös asi­a­na­jo­a­lal­la. Tot­ta kai voi­si, ja sik­si tie­to­tur­vaa on syy­tä yhä pa­ran­taa.

Jy­väs­ky­lä­läi­sen asi­a­na­ja­jan Tero Ar­ti­mon toi­mis­tol­le on tul­lut vii­me vuo­si­na usei­ta hä­mä­riä säh­kö­pos­te­ja mui­den suo­ma­lais­ten asi­a­na­jo­toi­mis­to­jen ni­mis­sä. Näis­sä on pyy­det­ty avaa­maan link­ki tai lä­he­tet­ty hui­jauk­sel­ta hais­kah­ta­va las­ku.

Näyt­tää sil­tä, et­tä myös asi­a­na­ja­jien säh­kö­pos­te­ja on on­nis­tut­tu kaap­paa­maan ja ko­e­tet­tu hyö­dyn­tää hui­jauk­siin.

– Kai­ken­nä­köis­tä ka­las­te­li­jaa on lii­ken­tees­sä, ja hui­jau­sy­ri­tys­ten mää­rä on ai­van lo­pu­ton. Mei­dän toi­mis­tol­lem­me on tul­lut ai­na­kin kym­me­nen Mic­ro­soft-hui­jaus­soit­toa, Ar­ti­mo ker­too.

Psy­ko­te­ra­pi­a­kes­kus Vas­taa­mon vii­me syk­sy­nä pal­jas­tu­neen tie­to­mur­ron jäl­keen asi­a­na­ja­ji­a­kin on pu­hut­ta­nut, mi­ten vas­taa­val­ta voi suo­jau­tua. Myös Asi­a­na­jo­toi­mis­to Ar­ti­mo & Co:lla ta­paus joh­ti li­sä­toi­miin. Nel­jän asi­a­na­ja­jan ja sih­tee­rin työ­pai­kal­la ovat mo­net asi­at ol­leet jo en­nes­tään kun­nos­sa: vah­vat pa­lo­muu­rit, tie­to­jen kryp­taus, sa­la­tun säh­kö­pos­tin käyt­tö, asi­ak­kai­den val­von­ta toi­mi­ti­lois­sa ja asi­a­kir­jo­jen säi­ly­tys luk­ko­jen ta­ka­na.

– Vas­taa­mo-ta­pauk­sen jäl­keen teim­me ul­kois­tet­tu­jen it-pal­ve­lui­den kans­sa vie­lä laa­jem­man kat­sauk­sen tie­to­tur­van pa­ran­ta­mi­seen, Ar­ti­mo ker­too.

Yk­si suo­jaus­kei­no on Of­fi­ce 365 -jär­jes­tel­män kak­si­vai­hei­nen tun­nis­tau­tu­mi­nen, jos­sa tun­nis­tau­tu­mi­nen pi­tää hy­väk­syä sor­men­jäl­jel­lä var­men­nus­so­vel­luk­ses­sa. Toi­mis­to on myös ot­ta­nut nor­maa­lia tie­to­tur­va­oh­jel­mis­toa laa­jem­man li­sä­tur­van, jos­sa oh­jel­mis­to tar­kis­taa pos­tin jo pal­ve­li­mel­ta läh­ties­sä, en­nen kuin se tu­lee säh­kö­pos­ti­laa­tik­koon.

Tietoturvan taso vaihtelee laajasti

Suo­mes­sa ei ole vie­lä tun­net­tua ta­paus­ta asi­a­na­jo­toi­mis­toon koh­dis­tu­nees­ta tie­to­mur­ros­ta. Muis­ta mais­ta on esi­merk­ke­jä, ja on sel­vää, et­tä asi­a­na­jo­toi­mis­to­jen tie­to hou­kut­taa mo­nia ta­ho­ja.

– Asi­a­na­jo­toi­mis­to ei it­ses­sään ole ko­vin kiin­nos­ta­va koh­de, mut­ta jos si­nul­la on asi­ak­kai­ta, joi­den asi­at kiin­nos­ta­vat, muu­tut koh­teek­si. Toi­mis­to­jen kaut­ta on ha­lut­tu pääs­tä yh­ti­öi­den tai julk­kis­ten tie­toi­hin, sa­noo asi­a­na­ja­ja Sami Jär­vi­nen asi­a­na­jo­toi­mis­to Kro­ge­ruk­ses­ta.

Jär­vi­nen on ol­lut lii­ton uu­den pää­sih­tee­rin Niko ­Ja­kobs­so­nin ve­tä­mäs­sä työ­ryh­mäs­sä, joka on päi­vit­tä­nyt Asi­a­na­ja­ja­lii­ton tie­to­tur­va­oh­jei­ta ja pi­tä­nyt kou­lu­tuk­sia lii­ton jä­se­nil­le. Tie­to­tur­va ei ole pelk­kää kryp­taus­ta, sa­la­sa­no­ja tai pa­lo­muu­re­ja, vaan sii­hen kuu­lu­vat myös työ­pai­kan pro­ses­sit ja käy­tän­nöt.

Jär­vi­nen ker­too, et­tä tie­to­tur­van taso vaih­te­lee val­ta­vas­ti. Yh­den hen­gen am­ma­tin­har­joit­ta­jal­la on eri ris­kit ja eri osaa­mi­nen kuin yli 200 työn­te­ki­jän or­ga­ni­saa­ti­os­sa. Yk­si asia on sil­ti yh­teis­tä:

– Kes­kei­sim­mät ris­kit ei­vät ole tek­ni­siä vaan ih­mis­ris­ke­jä: ih­mi­set toi­mi­vat vää­rin ei­vät­kä jär­jes­tel­mät. Toi­saal­ta näi­hin ris­kei­hin on hel­pom­pi puut­tua, Jär­vi­nen sa­noo.

Val­von­ta­lau­ta­kun­ta on ta­ka­vuo­si­na lan­get­ta­nut huo­mau­tuk­sia ja va­roi­tuk­sia ta­pauk­sis­sa, jois­sa si­vul­lis­ten kor­viin on kan­tau­tu­nut asi­a­na­jo­toi­mis­ton sa­las­sa pi­det­tä­viä tie­to­ja tai asi­a­kas on näh­nyt käyn­nil­lään toi­sen asi­ak­kaan tie­to­ja.

Lady Gagan asiat vuotivat juristilta

Mo­net tie­to­tur­vauh­kis­ta ovat yleis­tä ka­las­te­lua, jota koh­dis­tuu ke­neen ta­han­sa. Vii­me vuon­na yk­si rie­sa oli Emo­tet-hait­ta­oh­jel­ma, joka voi tul­la pdf- tai of­fi­ce-do­ku­ment­ti­na ja va­ras­taa säh­kö­pos­te­ja, yh­teys­tie­to­lis­to­ja, sa­la­sa­no­ja, mak­su­tie­to­ja ja muu­ta da­taa. Emo­tet on sii­tä ove­la, et­tä se vää­ren­tää säh­kö­pos­tin vas­tauk­sek­si jo ole­mas­sa ole­vaan kes­kus­te­lu­ket­juun ja ko­pi­oi ot­si­kon ja si­säl­lön oi­keis­ta vies­teis­tä.

Jos­kus tiet­ty asi­a­na­jo­toi­mis­to on suo­raan tie­to­mur­ron koh­tee­na. Va­koi­li­joi­ta kiin­nos­ta­vat lii­ke­sa­lai­suu­det tai ar­ka­luon­tei­nen tie­to, jol­la voi ki­ris­tää.

Vii­me ke­vää­nä yh­dys­val­ta­lai­nen ­asi­a­na­jo­toi­mis­to Grub­man Shire Mei­se­las & Sacks jou­tui ky­ber­hyök­käyk­sen koh­teek­si. Sil­tä va­ras­tet­tiin tie­toa ai­na­kin lau­la­ja Lady Ga­gan asi­ois­ta. Toi­mis­to on eri­kois­tu­nut viih­de- ja me­dia-alaan ja pal­ve­lee kuu­lui­suuk­sia Ma­don­nas­ta ja Bruce Springs­tee­nis­tä läh­tien.

Vuon­na 2016 kol­me kii­na­lais­ta mies­tä on­nis­tui pää­se­mään kä­sik­si ne­wy­or­ki­lais­ten yri­tys­kaup­po­ja hoi­ta­vien asi­a­na­ja­jien tie­toi­hin. He on­nis­tui­vat teke­mään mil­joo­nia dol­la­rei­ta pörs­sis­sä, kun he hyö­dyn­si­vät sa­las­sa pi­det­tä­vää tie­toa tu­le­vis­ta yri­tys­kau­pois­ta.

Tietomurtoa ei usein huomata heti

Ku­kaan ei pys­ty sa­no­maan var­mas­ti, et­tä ”meil­lä ei ole täl­lais­ta ta­pah­tu­nut”. Tie­to­jen ka­las­te­lu tai vää­rin­käyt­tö ei ai­na tule yri­tyk­sen tie­toon sa­man tien ei­kä vält­tä­mät­tä kos­kaan.  

HPP Asi­a­na­jo­toi­mis­ton asi­a­na­ja­ja Ris­to Sand­vik on ve­tä­nyt kou­lu­tuk­sia pait­si ju­ris­teil­le, myös tek­nii­kan am­mat­ti­lai­sil­le. Sand­vik sa­noo, et­tä va­li­tet­ta­van usein tie­to­mur­to ha­vai­taan vas­ta, kun jo­tain on sat­tu­nut: esi­mer­kik­si pank­ki­ti­lin sal­do näyt­tää vää­räl­tä. Tie­to­ko­ne ja oh­jel­mis­tot saat­ta­vat toi­mia en­ti­seen ta­paan sii­tä huo­li­mat­ta, et­tä tun­keu­tu­ja on pääs­syt si­sään tie­to­jär­jes­tel­miin ja seu­raa nii­den toi­min­taa.

Sand­vik ver­taa tie­to­tur­van pa­ran­ta­mis­ta ter­vey­den­huol­lon po­ti­las­tur­val­li­suu­den pa­ran­ta­mi­seen: para­­dok­­­saa­li­ses­ti mitä enem­män poik­ke­a­mia ra­por­toi­daan, sitä pa­rem­pi on or­ga­ni­saa­ti­on tur­val­li­suus­kult­tuu­ri.

– Jos or­ga­ni­saa­tio ei ole ha­vain­nut kos­kaan min­kään­­lai­sia tie­to­mur­ron yri­tyk­siä ja poik­ke­a­mia, oli­sin huo­lis­sa­ni. To­den­nä­köi­ses­ti nii­tä on ta­pah­tu­nut, mut­ta nii­hin ei ole ha­vah­dut­tu.

Myös HPP on ko­ke­nut hui­jau­sy­ri­tyk­siä, jot­ka ovat on­nek­si jää­neet yri­tyk­sik­si. Mur­ron koh­teek­si jou­tu­neel­ta yh­teis­työ­kump­pa­nil­ta saat­taa tul­la oi­ke­an nä­köi­nen las­ku, mut­ta ti­li­nu­me­ro on muu­tet­tu.

Sand­vik sa­noo, et­tä las­ku­tus­hui­jauk­sia eh­käi­see se, et­tä sum­man ol­les­sa riit­tä­vän iso sitä ei yk­si hen­ki­lö pys­ty mak­sa­maan, vaan tar­vi­taan var­mis­tus. Jär­jes­tel­mään voi myös asen­taa au­to­maat­ti­sen va­roi­tuk­sen, joka il­moit­taa, jos las­kut­ta­ja il­moit­taa eri ti­li­nu­me­ron kuin ai­em­min.

Velvoittavia ohjeita ja koulutusta

Asi­a­na­ja­ja­liit­to on pyr­ki­nyt tuo­maan alal­le en­tis­tä pa­rem­paa tie­to­tur­vaa. Asi­a­na­ja­jia vel­voit­ta­vat tie­to­tur­va­oh­jeet päi­vi­tet­tiin tam­mi­kuus­sa 2020. Li­säk­si liit­to tar­jo­aa kou­lu­tus­ta. Liit­to on jul­kais­sut ai­hees­ta mak­sut­to­man verk­ko­kou­lu­tuk­sen Asi­a­na­ja­ja-aka­te­mi­as­sa.

Lii­ton tie­to­tur­va­oh­jei­ta päi­vit­tä­mäs­sä ol­lut Sami Jär­vi­nen sa­noo, et­tä tie­to­tur­van poh­din­nan oli­si hyvä tul­la au­to­maat­ti­sek­si osak­si kaik­kea te­ke­mis­tä.

– En­nen kuin käy­tät jo­tain vies­tin­tä­vä­li­net­tä, mie­tit, on­ko­han tämä tie­to­tur­val­lis­ta. Jos tal­len­nat jo­tain muis­ti­ti­kul­le, mie­tit, on­ko se sa­lat­tu ja on­ko yli­pää­tään pak­ko tal­len­taa tie­toa hel­pos­ti huk­kaan me­ne­väl­le fyy­si­sel­le lait­teel­le.

Tär­ke­ää on se, et­tä jo­kai­sel­la on pää­sy vain omis­sa pro­jek­teis­saan tar­vit­ta­vaan tie­toon. Jos pa­hin ta­pah­tuu, yh­den ih­mi­sen tun­nuk­sil­la saa­daan ra­jal­li­nen osa toi­mis­ton ai­neis­tos­ta.

Tero Ar­ti­mo to­te­aa, et­tä vel­voit­teet asi­a­na­ja­jil­le ovat li­sään­ty­neet vii­me vuo­si­na niin tie­to­suo­jas­ta kuin tie­to­tur­vas­ta huo­leh­ti­mi­ses­sa. Iso haas­te hä­nen mu­kaan­sa on by­rok­ra­tia, eli do­ku­men­toin­nin vel­voit­teet.

– Väi­tän, et­tä suu­rel­la osal­la pie­nis­tä toi­mi­jois­ta ei ole re­surs­se­ja pa­nos­taa do­ku­men­taa­ti­oon niin pal­jon kuin vaa­di­taan. Ylem­män ta­son oh­jeis­tuk­sen li­säk­si tar­vit­tai­siin kä­des­tä pi­tä­en -oh­jei­ta ja mal­li­a­si­a­kir­jo­ja: esi­mer­kik­si min­kä nä­köi­nen val­mius­suun­ni­tel­ma kan­nat­taa laa­tia. 

Pää­sih­tee­ri Niko Ja­kobs­son muis­tut­taa, et­tä osal­lis­tu­mi­nen lii­ton luot­ta­mus­teh­tä­viin on asi­a­na­ja­jil­le eri­no­mai­nen tapa vai­kut­taa asi­a­na­ja­jia kos­ke­vaan sään­te­lyyn käy­tän­nös­sä. Esi­mer­kik­si lii­ton päi­vi­tet­ty­jä tie­to­tur­va­oh­jei­ta on ol­lut kom­men­toi­mas­sa niin lii­ton it-va­li­o­kun­ta kuin tek­no­lo­gia, vies­tin­tä ja tie­to­suo­ja -asi­an­tun­ti­ja­ryh­mä­kin.

Harjoittelusta on apua

Kos­ka tie­to­mur­to voi sat­tua ke­nel­le ta­han­sa, Ris­to Sand­vi­kin mu­kaan ti­lan­net­ta on hyvä har­joi­tel­la. Ke­neen on­gel­man ha­vain­nut ih­mi­nen ot­taa yh­teyt­tä, mikä po­ruk­ka kut­su­taan ko­koon ja jos tar­vit­see ke­rä­tä säh­köis­tä to­dis­tu­sai­neis­toa, mi­ten se teh­dään?

– Tyy­pil­li­ses­ti tie­to­mur­ron sat­tu­es­sa ti­lan­ne on to­del­la hek­ti­nen, ja täy­tyy no­pe­al­la ai­ka­tau­lul­la sel­vit­tää, mitä il­moi­te­taan ja ke­nel­le ja min­kä si­säl­töi­se­nä tai pi­tää­kö ajaa jär­jes­tel­mä alas va­hin­ko­jen es­tä­mi­sek­si. Vai­kei­ta pää­tök­siä pi­tää teh­dä tosi no­pe­as­ti, Sand­vik sa­noo.

Kun tie­to­mur­to tu­lee jul­ki­sek­si, krii­si­vies­tin­tä on tär­ke­ää. On hyvä miet­tiä, kuka me­di­an kans­sa kes­kus­te­lee. Tie­to­tur­va­vir­hei­siin liit­ty­väs­tä hä­pei­lys­tä on syy­tä pääs­tä eroon. Sand­vik sa­noo, et­tä työ­pai­kal­la pi­täi­si ol­la ma­ta­la kyn­nys ker­toa on­gel­mis­ta ja vir­heis­tä.

– Kun jo­tain ta­pah­tuu ja joku ra­por­toi sii­tä, läh­det­täi­siin en­si­si­jai­ses­ti rat­kai­se­maan asi­aa ei­kä et­si­mään syyl­lis­tä. Tu­lo­kul­ma ei oli­si sel­lai­nen, et­tä mik­si me­nit klik­kaa­maan. 

Liit­to oh­jeis­taa tie­to­tur­vas­sa

Asi­a­na­ja­ja­liit­to on an­ta­nut oh­jeen asi­a­na­jo­toi­min­nan tie­to­tur­vas­ta. Täs­sä esi­merk­ke­jä oh­jeis­ta. Tie­to­tur­va­oh­je (B 05.1) ja Tie­to­tur­va­o­pas (B 05.2) löy­ty­vät ko­ko­nai­suu­des­saan net­ti­si­vui­ta:
asi­a­na­ja­ja­liit­to.fi/saa­dok­set

•     Hen­ki­lö­kun­nan tie­to­tur­va­o­saa­mi­nen on riit­tä­vän kor­ke­al­la ta­sol­la. Vä­hin­tään 10 työn­te­ki­jän toi­mis­ton on jär­jes­tet­tä­vä ul­koi­nen tie­to­tur­va-au­di­toin­ti sään­nöl­li­sin vä­li­a­join.

•     Fyy­si­set toi­mi­ti­lat on lu­kit­tu ja suo­jat­tu. Kaik­ki asi­a­na­ja­ja­sa­lai­suu­den pii­rin kuu­lu­va ai­neis­to on suo­jat­tu.

•     Lait­tei­den ja vä­li­nei­den tie­dot on sa­lat­tu (kryp­tat­tu), ei­kä näi­tä saa an­taa ul­ko­puo­lis­ten käyt­töön. Asi­a­na­jo­sa­lai­suu­den säi­lyt­tä­mi­sek­si tu­lee vält­tää vie­rai­den lait­tei­den käyt­töä tai nii­den kyt­ke­mis­tä omiin lait­tei­siin. Lait­teet, joi­hin ei enää tar­jo­ta päi­vi­tyk­siä, pi­tää vaih­taa uu­siin.

•     Lan­gat­to­mat ver­kot on suo­jat­tu. Vie­rai­li­joil­la ei tule ol­la pää­syä si­säi­seen verk­koon. Käy­tet­tä­es­sä jul­ki­sia verk­ko­ja on käy­tet­tä­vä sa­lat­tua yh­teyt­tä, ku­ten vpn-yh­teyt­tä.

•     Sa­la­sa­nat ovat riit­tä­vän mo­ni­mut­kai­sia, ne vaih­de­taan tar­peek­si usein ja huo­leh­di­taan, et­tei­vät muut pää­se nii­hin kä­sik­si. Li­sä­tun­nis­tau­tu­mis­me­ne­tel­miä käy­te­tään mah­dol­li­suuk­sien mu­kaan.

•     Tie­to­tur­va­oh­jel­mis­tot ja pa­lo­muu­ri ovat kun­nos­sa. Lait­tei­den, käyt­tö­jär­jes­tel­mien, oh­jel­mien ja so­vel­lus­ten päi­vi­tyk­set asen­ne­taan il­man ai­hee­ton­ta vii­vy­tys­tä.

•     Asi­a­kir­joi­hin tu­lee ol­la pää­sy vain niil­lä hen­ki­löil­lä, jot­ka tar­vit­se­vat tai saat­ta­vat tar­vi­ta sa­las­sa pi­det­tä­viä tie­to­ja tai pää­syä ky­sei­siin tie­dos­toi­hin työ­teh­tä­vien­sä hoi­ta­mi­sek­si.

•     Säh­kö­pos­til­la tai muul­la säh­köi­sel­lä ta­val­la lä­he­tet­tä­vä ai­neis­to on tar­vit­ta­es­sa sa­lat­tu