Kyberturvallisuus liiketoiminnassa BusinessBreakfast 8.6. Mikkelissä
– Palvelunestohyökkäykset, kalasteluviestit, tietomurrot eli hakkerointi, kiristys- ja haittaohjelmat sekä trollaus eli mielipidemanipulointi ovat kasvaneet kyberuhkina viime vuosina – jopa 350 prosenttia, latasi F-Secure Oyj:n tietoturva-asiantuntija Juha-Matti Heljaste. Älypuhelinten ja -laitteiden yleistyessä räjähdysmäisesti myös tietoturvauhkat ja -hyökkäykset tuntuvat yleistyvän samassa tahdissa. – Uusia haitakkeita ilmaantuu 5-6 kappaletta joka sekunti.
Pienyrityskeskuksen viime torstaiseen Kyberturvallisuus liiketoiminnassa -aamutilaisuuteen Xamkin kampussaliin oli saapunut reilusti yli kolmekymmentä aamuvirkkua pk-yritysten edustajaa kuuntelemaan tietoturva-alan viimeisintä tietoa. Maistuvan aamiaisen ohella tarjolla olikin tiivis tilannekatsaus hyödyllisine evästyksineen.
Tuorein maailmanlaajuista huomiota herättänyt tapaus oli taannoinen kiristysohjelma WannaCry, verkkomato, joka Heljasteen mukaan perustui yli 10 vuotta vanhaan, tunnettuun ohjelmassa olleeseen tietoturva-aukkoon ja joka silti pystyi lamauttamaan sairaaloita, autotehtaita ja teleoperaattoreita. – Suomessa sen vaikutukset onneksi jäivät vähäisiksi, kiitos tehtyjen ohjelmapäivitysten antaman suojan.
Ihminen itse on edelleen uhka nro yksi
Vaikka pk-yrityksissä pyritään turvaamaan haavoittuvia tietojärjestelmiä säännöllisesti virusturva-aukkoja paikkaavilla päivityksillä, luomaan suositusten mukaisia palomuureja ja tietoturvaohjeistuksia, on yrityksessä työskentelevä ihminen Juha-Matti Heljasteen mielestä edelleen uhka. – Liian usein myös salasana on ”salasana”, eikä sitä vaihdeta toiseksi vaikka ympärillä tapahtuisi mitä. Esimerkiksi LinkedInissä ja Dropboxissa jo kauan aikaa sitten tapahtuneiden tietoturvaan kohdistuneiden hyökkäysten jälkeenkin suurella osalla käyttäjistä on edelleen hyökkäyksiä edeltävät salasanat käytössään.
Älylaitteiden vahingonteot ovat kasvussa
Erityisen heikoiksi lenkeiksi yritysten tietoturvan osalta Heljaste listaa päivittämättömät kotikoneet, joiden pöpöt voivat kulkeutua työpaikan koneisiin nopeastikin työntekijöiden USB-tikkujen kautta.
Juha-Matti Heljaste kertoi edelleen, että uusimmaksi ilmiöksi ovat nousseet esineiden internetin uhkat eli älylaitteisiin kohdistuneet vahingonteot. Suojaamaton tuotantokoneen verkkoyhteys voi olla reitti lamauttaa koko yrityksen tuotannollinen toiminta kerralla. Se voi aiheuttaa yllättävän, toiminnan keskeyttävän vedenpaisumuksen tai vaikkapa merkittävän lämpötilan muutoksen tuotantotiloissa. Tällainen esimerkiksi tuotantoeläimiin keskittyneissä maatilayrityksissä voisi koitua toiminnalle kohtalokkaaksi.
– Riskit kannattaa ennakoida, estää ja minimoida haitat ja haittaohjelmat, löytää poikkeamat ja minimoida vahingot. – Ongelmana on vain usein se, ettei uhka näy. Hän luokitteleekin yritykset karusti kahteen ryhmään: niihin, joissa tietoturva on murrettu – sekä niihin yrityksiin, jotka eivät vain tiedä sitä vielä.
Mikkeliläisen tietoturvayritys Lokkit Oy:n Toni Kirjalainen ja F-Secure Oy:n tietoturva-asiantuntija Juha-Matti Heljaste olivat samoilla linjoilla kyberturva-asioista. ”Yritykset satsaavat kyllä reippaasti hinnakkaisiin IC-laitteisiin, mutta rauta ei useinkaan pysty korvaamaan ihmisen typeryyttä”, totesi Kirjalainen.
Pilvee, pilvee pilvee…
Yksityishenkilöiden kohdalla tiedostojen ja valokuvien säilöminen ns. pilveen on myös tätä päivää. Pilvessä skannatut passit, valokuvat ja muut talletettavat dokumentit säilyvät vaivattomasti ja kätevästi. Heljaste muistuttaa kuitenkin ”pilvenkin” olevan vain jonkun muun tietokoneen jossain päin maailmaa. Myös julkiset, langattomat verkot ovat aina käyttäjälleen riski. Ethän haluaisi kahvilassa lähipöydän tuntemattoman asiakkaan seuraavan sujuvasti älypuhelimesi kautta tapahtuvaa liikennettä.
Toimintaohjeita kyberhyökkäyksen kohteeksi joutuvalle
Heljasteen teesien mukaan verkkohyökkäyksen havaittuasi tärkeää on olla panikoimatta. Älä myöskään sammuta konettasi, sammuta kuitenkin verkkoyhteys. Älä koske enempää laitteeseen, vaan kirjaa ylös mitä tapahtui – ja soita apua.
Ennaltaehkäisevistä toimenpiteistä tärkeimpänä Juha-Matti Heljaste pitää sitä, että ohjelmien päivitykset ovat kunnossa ja sitä kautta ohjelmassa havaitut aukot tietoturvassa ovat tukittuina. Hänen mukaansa kannattaa myös satsata tuoreeseen kaupalliseen virustorjuntaohjelmaan, joiden hän väittää olevan askelen edellä maksuttomia, verkosta saatavia olevia ohjelmia. – Ilmaisia lounaita ei ole olemassa.
Kannattaa myös olla tarkkana siitä mitä oikeuksia ohjelmia ladatessasi annat. Esimerkiksi hauskan FaceApp-ohjelman mukana saatat vahingossa antaa ohjelman omistajalle oikeudet viedä kuvasi ja tiedostosi vaikkapa Pohjois-Koreaan.
Juha-Matti Heljasteelle sopi Pienyrityskeskuksen aamukeikka sopivasti kalenteriin. – Oli luksusta lähteä aamulla keskellä viikkoa Sulkavan mökiltä töihin. Työviikon seuraava etappi olikin jo Länsi-Suomessa.
Tilaisuus on osa Xamk Pienyrityskeskuksen toteuttamaa JOKO – johtajuuden uudet suunnat –hanketta, joka saa Etelä-Savon ELY-keskuksen kautta Euroopan sosiaalirahaston osarahoitusta.
Teksti: Marja Wickström
Kuvat: Marja Wickström ja Eila Avelin