Aukko tietoturvassa voi käydä kalliiksi

Kyberhyökkäyksen tehtailijalle riittää, että yksi suuryrityksen kymmenistä tuhansista tietokoneista on saastunut.

Aukot tietoturvassa voivat kurittaa yritystä satojen miljoonien eurojen tappioilla. Viime vuonna Wannacry-haittaohjelma ja Petya-virus lohkaisivat aimo paloja niiden kohteeksi joutuneiden yritysten myyntituloista ja onnistuivat seisauttamaan jopa tuotannon osassa yrityksiä.

Muun muassa Nivea-tuotesarjaa valmistava Beiersdorf arvioi Petyan pienentäneen myyntiä noin 35 miljoonan euroa. Todelliset tappiot ovat sitäkin suuremmat, sillä yritys joutui keskeyttämään tuotannon 17:ssä tuotantolaitoksessaan kyberhyökkäyksen vuoksi.

Suomessakin toimiva rakennusmateriaalien valmistaja Saint-Gobain sen sijaan arvioi kyberhyökkäyksen maksaneen yhtiölle noin 250 miljoonaa euroa.

Syitä hyökkäyksille on useita, kertoo turkulaisen kyberturvayrityksen Fiaronen toimitusjohtaja Markus Alkio. Yksi niistä on henkilötietojen kalastelu.

– Henkilötiedot ovat rahanarvoista tavaraa. Niitä voi ostaa ja myydä verkossa, Alkio kertoo.

Toisinaan hyökkäyksissä on kyse yritysvakoilusta tai valtiollisten toimijoiden suorittamasta vakoilusta. Valtiollinen vakoilu voi kuulostaa hurjalta, mutta se on tietyillä aloilla melko yleistä. Alkion mukaan tiettyjä yrityksiä koputellaan jatkuvasti. Koputtelulla viitataan hyökkäysyrityksiin.

Useinkaan hyökkääjät eivät tiedä, mitä hakevat.

– Eri tahot kiinnostavat eri pelureita. Joskus tarkoituksena voi olla vain saastuttaa mahdollisimman paljon koneita, jotta tulevasta hyökkäyksestä voidaan saada tehokkaampi, Alkio sanoo.

Yritysten on vaikeaa varautua kyberhyökkäyksiin. Tärkeintä olisi ennakointi, sillä usein hyökkäysten seuraaminen ja tutkiminen jälkikäteen on haastavaa, joskus jopa mahdotonta.

Kyberhyökkäyksissä toistuu siitä huolimatta Alkion mukaan usein sama kaava: yritykset pihtailevat tietoturva-asioihin panostamisessa, mutta kun vahinko tapahtuu, ei hintalappuun vilkaistakaan.

– Yritykselle edullisempaa olisi varautua. Pitäisi pohtia, millaisista tilanteista pystytään palautumaan ja miten.

Fiaroneen tulee Alkion mukaan myös jonkin verran yhteydenottoja yrityksiltä, joissa pyydetään selvittämään, onko niiden entinen työntekijä vienyt tietoja mukanaan. Asian selvittäminen vaatii lokien läpi kahlaamista.

– Harvalla yrityksellä on mahdollisuudet havaita itse tämänkaltaisia tietovarkauksia, ellei liikennettä seurata erikseen, Alkio toteaa.

Yritysten valveutuminen tietoturva-asioihin on saanut aikaan huimaa kasvua alalla. Fiarone kasvatti vuonna 2017 liikevaihtoaan 60 prosenttia edellisvuodesta. Tänä vuonna vuoden 2017 liikevaihto tuli täyteen jo kesäkuussa.

Yritys pyrkii kasvamaan sekä Turussa että pääkaupunkiseudulla.

Asiantuntijapalvelut ovat kasvaneet, mutta alan murros on lisännyt myös valvontapalveluiden kysyntää, erityisesti pienempien yritysten osalta. Aiemmin valvontaan kuuluvia lokienhallintapalveluita on pidetty raskaina ja hintavina.

– Yritykset ovat pikkuhiljaa heränneet siihen, että tietoturvaongelmien kohdalla puhutaan todella isoista vahingoista. Riskit kasvavat yrityksen koon kasvaessa, mutta myös pienten yritysten kohdalla varautuminen on tärkeää, Alkio sanoo.

Tietosuoja-asetus voi tuoda lieveilmiöitä

Kommentti

Milla Hägg
milla.hagg@ts.fi

Artikkeli julkaistu Turun Sanomissa 28.6.2018

Toukokuun lopussa voimaan tulleeseen tietosuoja-asetukseen eivät valmistautuneet ainoastaan yritykset, vaan myös kyberhyökkäysten tekijät. Japanilaisen tietoturvajätin Trend Micron selvityksessä nousi esiin huoli siitä, että uusi asetus luo mahdollisuuden hyökkäysten tehtailijoille kiristää yrityksiä. Hyökkäysten tekijät voivat kiristää yrityksiä maksamaan hyökkääjät hiljaisiksi. Jos yritys ei tottele, hyökkääjä ilmoittaa tiedot hyökkäyksestä viranomaisille. Yritystä voi silloin uhata sakot.

Kyberhyökkäyksen kohteeksi joutuneen yrityksen tulee ilmoittaa hyökkäyksestä viranomaisille 72 tunnin kuluessa. Ilmoitus voi johtaa tutkintaan, joka voi johtaa mittaviin sakkoihin, jos tietosuoja-asetusta on rikottu. Myös ilmoittamatta jättäminen voi johtaa sakkoihin. Fiaronen Markus Alkio on tietoinen aiheesta käydystä keskustelusta, mutta ei ole käytännössä vielä törmännyt vastaaviin tilanteisiin. Hän pitää tietoturvayritysten ja median maalailemia miljoonasakkouhkauksia liioiteltuina: ennen sakkoja yritys saanee varoituksia tai huomautuksia. Kiristämisen ei siis pitäisi käydä käden käänteessä. Todellisuus antanee kuitenkin odottaa itseään.