Kommentti: Tällaista on joutua tietomurron kohteeksi - Tietoturva - Ilta-Sanomat

Kommentti: Tällaista on joutua tietomurron kohteeksi

Tietomurrot ovat arkipäiväistyneet, eikä kovinkaan moni jaksa edes lukea niitä koskevia uutisia. Uutisten takana on kuitenkin hurjasti kaaosta, jonka määrä ei ole ainakaan vähenemässä, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.

28.11.2017 9:09

– Onko meihin kohdistuneesta tietomurrosta kerrottu lehdistölle?

– Kyllä, kerroimme asiasta juuri lyhyellä tiedotteella.

– Kerroitte siis asiasta omin päin keskustelematta toimitusjohtajan kanssa?

– Kyllä.

– Entä onko johtoryhmällemme kerrottu?

– Ööö... ei.

No hupsista.

Edellinen sananvaihto on tietoturvayhtiö F-Securen järjestämästä tietomurtosimulaatiosta, jossa kansainvälinen lehdistö asettui eri tehtäviin fiktiivisessä murron kohteeksi joutuneessa yrityksessä. Toimitusjohtaja ei ollut ihan täysin tyytyväinen viestintäosaston ja tietohallinnon toimintaan.

Yhtiön ohjelmistotuotteen lähdekoodi vuosi verkkoon, ja hakkerit analysoivat ja repivät sen nopeasti kappaleiksi. Pr-katastrofi oli valmis. Iso asiakas sai tarpeekseen ja lähti julkiseen loanheittoon. Viranomaisiakin alkoi kiinnostaa.

Ei mennyt kaikki ihan putkeen. Ei sen enempää tiedottamisessa, murron analyysissa, verkon turvallisuuden varmistamisessa kuin tiimien välisessä kommunikaatiossakaan.

Tietomurto tulee johtoryhmän tietoon median kautta. Toimittajat tekevät työtään, mikä sen mukavampaa. Firman sisäisten asioiden kannalta ei ihan yhtä riemukasta.­

Kurkistus verhon taakse oli avartava. Vaikka kyse oli simulaatiosta, näin asiat yleensä toimivat. Harvalla on kuitenkaan mahdollisuutta päästä näkemään, millaisten asioiden kanssa murron kohteeksi joutunut yritys painii.

Samalla firman pitäisi vielä pyörittää tavallista liiketoimintaakin.

Yleensä tietomurroista julkisuudessa tiedottaminen on varsin nihkeää. Syitä voi olla monia.

Yksi on se, ettei edes murron kohde usein tiedä, mitä on tapahtunut. Tämä saattaa johtua esimerkiksi siitä, että kehittyneet vain järjestelmien keskusmuistissa toimivat haittaohjelmat (fileless malware) eivät juuri jätä jälkiä. Analyysi on hidasta ja työteliästä. Vaatii paljon, että voidaan sanoa järjestelmän olevan täysin puhdistettu. Saksan Liittopäivät päätyi pari vuotta sitten rakentamaan koko järjestelmänsä uudelleen murron jälkeen.

Tiedonpimittäjät ovat ihan oma lukunsa. Erityisen kehno esimerkki tästä on Uber, jolta vietiin 57 miljoonan ihmisen tiedot, mutta yhtiö vaikeni. Siihen asti, kunnes totuus tuli julki reilulla viiveellä.

 Jos kerrotaan mahdollisimman vähän, saatetaan selvitä vähemmällä.

Avoin tiedotuskin voi olla hankala homma. Tanskalainen varustamojätti Maersk tiedotti Petya/NotPetya-haittaohjelmakampanjan aikana tilanteestaan tunnin välein ja kokonaisvahinkojen selvittyä toi myös näkyväksi ruman hintalapun: jopa 300 miljoonaa dollaria. Vaikka yhtiön kriisitiedotus oli ensiluokkaista, se myös takasi näkyvyyden.

Pahimmassa tapauksessa tilanteen vielä ollessa päällä avoin tiedotus voi piirtää kuvan, joka on helposti pahempi kuin mitä se todellisuudessa on.

Ja kääntäen: Jos kerrotaan mahdollisimman vähän, saatetaan selvitä vähemmällä. Eräs brittikollega teki kyynisen arvion: Tietomurrostaan ääriniukasti kertonut teleoperaattori selvisi vähemmällä kuin avoimesti tiedottanut. Kun juuri mitään ei kerrottu, perinteiselle ja sosiaaliselle medialle jäi kovin vähän, mistä kirjoittaa.

Tähän on onneksi tulossa muutos, sillä kesän kynnyksellä voimaan astuva EU:n tietosuoja-asetus (gdpr) velvoittaa yrityksiä kertomaan asiakkailleen näiden tietojen vuotamisesta. Ken elää, se näkee.

Vai että viranomaiset kyselevät tietovuoden perään. Pitäisiköhän niille vastata jotakin?­

Murtouutiset eivät ole siitäkään syystä vähenemään päin, että myöskään tietomurrot eivät sitä ole. Ne ovat tätä nykyä niin yleisiä, että aika harvaa ne jaksavat edes kiinnostaa – ellei sitten omalla luottokortilla ole alkanut tapahtua jänniä.

Entäpä se harjoitus sitten? No, simulaatio toimi kuten pitikin. Osastot kiistelivät keskenään raportointisuhteista ja -velvollisuuksista. Päällekkäisiä asioita tehtiin. Tieto ei kulkenut. Toimenpiteitä johtivat usein kovaäänisimmät asioista tietävien sijaan. Paniikkikäskyjä jaeltiin. Johdon toimintaohjeita haudattiin hiljaisesti, koska ne tuntuivat tyhmiltä (itsehän olin CSIRTissä, eli tietoturvapoikkeamatilanteiden hallintatiimissä ja toki olimme tietävinämme paremmin).

Ja mikä tärkeintä, oman nahkan pelastaminen nousi nopeasti monessa tapauksessa murron selvittämistä tärkeämmäksi tehtäväksi, kun tuli raportoinnin aika. No hupsista.

Isännät tosin antoivat rohkaisevia kommentteja kovasta yrityksestä. ”Ei tämä ole pahinta, mitä olemme nähneet.”

Sillä toisella porukalla mahtoi mennä tosi huonosti.

Osion tuoreimmat

Luitko jo nämä?