Ajattelemattomuus, huolimattomuus ja suunnittelemattomuus kostautuvat helposti

Yrityksen tietoturvan suurin uhka on oma työntekijä

Viime toukokuun suuret ja paljon julkisuutta saaneet palvelunestohyökkäykset Virossa ja täällä Suomessa mm. YLEn ja Eniron suomi24.fi-sivuja vastaan olivat näkyvä muistutus siitä, että merkittäväkin verkkopalvelu on suhteellisen helppo lamauttaa - ainakin hetkellisesti.

Luulisi, että nämä onnistuneet hyökkäykset olisivat innostaneet mainetta tavoittelevia nettinikkareita enempäänkin häiriöntekoon, mutta kesä on ollut tällä rintamalla tavanomaisen hiljaista aikaa, kertoo tietoturva-asiantuntija Ari Husa Viestintävirastossa toimivasta CERT-FI:stä. Yksikön tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen kansallisella tasolla. Se myös ottaa vastaan ilmoituksia tietojärjestelmiin kohdistuvista hyökkäyksistä ja loukkauksista.

- Pieniltä ja keskisuurilta yrityksiltä tällaisia ilmoituksia ei juuri tule. Palvelunestohyökkäyksiä tehdään yleensä julkisuudentavoittelun ja kiusanteon hengessä: niille on vaikea kuvitella mitään taloudellista tavoitetta, Husa arvelee. Hän kuitenkin haluaa muistuttaa, että riskejä on aina kun ollaan tekemisissä tietotekniikan ja verkkoyhteyksien kanssa. – Erityisesti pk-yrityksille tämä on haastava paikka. Niillä kun ei useinkaan ole sellaista henkilökuntaa, jolla olisi tietoturva-asiantuntemusta.

Henkilöstöpolitiikka avainasemassa

Poliisin näkökulmasta katsottuna pk-yrityksien tietoturvaa uhkaavat riskit ovat kuitenkin moninaisemmat kuin julkisuudessa repostellut nettihyökkäykset. Rikosylikonstaapeli Kimmo Laajavuori Turusta kertoo, että poliisille asti päätyvistä jutuista erottuu kaksi pääryhmää: yritysalaisuuteen liittyvät jutut sekä joko yrityksen sisällä tapahtuva tai ulkoa tullut tietomurto. – Minkä lisäksi on tämä tietoliikenteen häirintä tietysti. Ongelma vaan on, että nämä rikokset ovat asianomistajarikoksia ja hyvin harva yritys tekee ilmoitusta poliisille. Se koetaan kai imagokysymykseksi.

- Yrityksen tietoturvan suurin uhka on oma työntekijä, painottaa Laajavuori. Joko ajattelemattomuuttaan, huolimattomuuttaan tai tahallisesti tietoturvan vaarantaa useimmiten yrityksen nykyinen tai entinen työntekijä, jolloin merkitystä on myös sillä, miten yritys hoitaa henkilöstöpolitiikkaansa. – On tärkeää huolehtia sisäisestä turvallisuudesta ja käyttää koneita oikein. Tervettä maalaisjärkeä olisi hyvä käyttää. Jos koneella on yrityssalaisuuksia, sellainen kone ei saisi periaatteessa olla ollenkaan verkossa. Langattomat verkot ovat viime aikoina muuttaneet tilannetta vielä radikaalisti: langattoman verkon suojaaminen on äärimmäisen tärkeää.

- Pitäisi myös muistaa ylläpitää järjestelmää: päivittää virustorjuntaohjelmat ja palomuurit, uusia salasanat, poistaa entisiltä työntekijöiltä käyttöoikeudet jne., Kimmo Laajavuori luettelee yksinkertaisia, mutta tehokkaita toimenpiteitä.

Jos sitten käy huonosti ja on syytä epäillä jopa rikosta, pitäisi ottaa yhteyttä poliisiin, Laajavuori vetoaa. – On harvinaista, että tieto poliisilta mihinkään vuotaisi. Oikeuden päätös on sitten tietysti julkinen, mutta kaikki jutut eivät toki etene sinne asti. Yritykselle on yleensä helpotus tietää kuka sen teki tai ollaanko edelleen uhattuna.

Vakuutusyhtiö edellyttää ennakointia

Jos poliisille ilmoitetaan vain pieni osa tietoturvarikoksista, vakuutusyhtiön korvattavaksi niitä päätyy todella harvoin. If:n verkkopalvelujohtaja Carl-Johan Björkgren sanookin, ettei heillä varsinaisesti ole edes tuotetta, joka suoraan korvaisi vahinkoja, jotka aiheutuvat tietovuodon johdosta. - Lähinnä tämä johtuu siitä, että korvattavuuden ja vahingon määrän määritteleminen on kovin hankalaa. Sen sijaan If:n omaisuusvakuutuksista löytyy tuotteita, jotka kyllä korvaavat tietokonevahingot, jos laite on rikkoutunut tai varastettu. Laaja omaisuusvakuutusturva, ns. täysturva, korvaa varmistettujen tietojen palautuksesta aiheutuvat lisätyöt.

Vakuutusturva ei kata tietomurtoa, virusten aiheuttamia eikä muita vastaavia ohjelmiin, tiedostoihin tai laitteisiin kohdistuvia vahinkoja. Vakuutusyhtiö haluaakin valmentaa yritysasiakkaitaan ennaltaehkäisevään työhön, johon vakuutusehdot niitä suorastaan velvoittavatkin.

- Meillä on selkeät ohjeet varmuuskopioinnista. Tämän lisäksi suosittelemme palomuuri- ja virustorjuntaohjelmien käyttöä. Jos laitteet varastetaan tai ne vaikkapa palavat, säästytään monelta murheelta ja toiminta saadaan nopeasti jatkumaan, jos tiedot säästyvät. Laitteitahan saa nopeasti uusia, mutta yritykselle tärkeintä on tieto, Björkgren muistuttaa. - Nyt kun monet kännykät ovat pienoistietokoneita, niidenkin tiedot kannattaisi laittaa talteen, hän vinkkaa. Toinen, yhä yleisempi tiedon säilyttämis- ja kuljetusmuoto ovat muistitikut. Niiden kohdalla kannattaa muistaa sekä vieraista tikuista tulevat virusvaarat että tikun mahdollinen, helppo siirtyminen vääriin käsiin. Myös kannettavien tietokoneiden lukitukset ja tiedon kryptaaminen olisi muistettava.

- Yrityksellä pitäisi olla valmis suunnitelma, mitä sitten tehdään kun se pahin tapahtuu, Björkgren sanoo. Suunnitelma auttaa samalla varautumaan riskeihin, jolloin ei jouduta sellaiseen tilanteeseen kuin eräässä pohjoismaisessa konsulttifirmassa. – Yrityksen työntekijät käyttivät kannettavia tietokoneita, jotka yöllisen murron yhteydessä vietiin kerralla kaikki. Heillä meni vähän liian kauan aikaa kaikkien tietojen ja keskeneräisten projektien palauttamisessa.