Tietoturvaloukkaus on usein vaikeasti havaittava tietomurto

Tietoturva ei ole koskaan valmis

Tietoturvaloukkaus ei suinkaan aina kohdistu henkilötietoihin. Tyypillisiä tietoturvaloukkauksen muotoja ovat esimerkiksi tietomurto, palvelunestohyökkäys ja haittaohjelmat.

Tietoturvaloukkaus on tietoturvajärjestelmään kohdistuva pääasiassa fyysinen tai tekninen loukkaus. Tällöin organisaation, yrityksen tai yksityisen ihmisen tietojärjestelmän tietoihin murtaudutaan tai tunkeudutaan erikoislaitteiden avulla ja varastettua tietoa käytetään hyväksi.

Tietoja varastetaan, koska niitä voidaan myydä eteenpäin. Varsin usein tietomurron takana on rikollisliiga, jonka tekemänä murron rikosnimike muuttuu törkeäksi tietomurroksi. Suomessa tehtävien tietomurtojen takana on usein ulkomailta johdettu rikosliiga.

Näistä syistä tietoturvaloukkauksien ennaltaehkäisy ja niiltä suojautuminen on hyvin tärkeää.

Vaikea havaita, peittely yleistä

Tietomurtojen havaitseminen on usein vaikeaa ja ne saattavat paljastua vasta kuukausien kuluttua. Kaikki tietomurtoja ei edes havaita, eikä läheskään kaikista tietomurroista haluta edes ilmoittaa. Murto vaikuttaa yrityksen maineeseen kielteisesti.

Tunnetuin esimerkki tietomurron salailusta on vuonna 2013 tapahtunut Yahoon murto, josta yhtiö tiedotti vasta kolme vuotta myöhemmin. Murrossa varastettiin yli miljardi käyttäjätunnusta ja salasanaa.

Tietoturvauhkien määrä on kasvanut maailmassa räjähdysmäisesti. Suojautuminen niitä vastaan on kuitenkin tuonut selvästi tuloksia,  sillä vakavien tietoturvaloukkausten määrä ei ole lisääntynyt samassa suhteessa.

Tietoturvarikokset kasvussa

Suomessakin tapahtuu vuosittain sekä tietoon tulevia että pimentoon jääviä tietomurtoja. Keskusrikospoliisi tutki vuonna 2017 kahdeksaa törkeää tietomurtoa. Yksi näistä oli Metsä Groupin järjestelmiin kohdistunut murto.

KRP:n rikosylikomisario Timo Piiroinen on todennut, että yritykset ilmoittavat harvoin tietoturvaloukkauksista poliisille. Törkeät tietomurrot kuitenkin kuluvat poliisin tutkittaviksi.

Tietomurto ja jo sen yritys ovat rangaistavia tekoja. Maksimirangaistus on vuosi vankeutta.  Usein törkeän tietomurron takaa verkossa paljastuu alaan perehtynyt järjestäytynyt rikollisuus.  

Keskusrikospoliisi on arvioinut, että törkeä tietomurto rikosnimikkeenä tulee lisääntymään, kunhan yritykset lopulta heräävät kunnolla tietoturva-asioissa.  Törkeäksi tietomurron tekeminen muuttuu silloin, kun se tehdään osana järjestäytynyttä rikollisuutta tai muuten erityisen suunnitelmallisesti.

Tietomurron määritelmä

Tietomurto on määritelty rikoslaissa 578/1995 (38:8).

Lakikielisesti asia on näin: 

Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1. momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta. 

Kiusanteko houkuttaa

Paitsi että rikollisliigat ja yksittäiset rikolliset pyrkivät tunkeutumaan läpi organisaatioiden tietoturvajärjestelmien, myös puhtaasti kiusanteosta nauttivat yksityiset ihmiset tai ryhmät voivat tuottaa vaikeuksia organisaatioille.

On myös mahdollista, eikä lainkaan tuntematonta, että kilpailijat pyrkivät etsimään aukkoja toistensa järjestelmistä ja ilmoittamaan viranomaisille havaitsemistaan tai keksimistään tietoturvaongelmista ja -loukkauksista.

Kilpailevan yrityksen saattaminen epäilyn alaiseksi vaikkapa tarjouskilpailun yhteydessä voi tuottaa korvaamattomia vahinkoja, jos todellisista tai keksityistä tietoturvaongelmista ilmoitetaan viranomaisille.

Kiusanteon kasvaminen on mahdollista myös henkilötietojen tietosuojakysymyksissä. Jos  suuri joukko ihmisiä houkutellaan tarkistamaan omat tietonsa vaikkapa kilpailevan yrityksen järjestelmästä, niin se vie valtavasti resursseja yrityksen perustoiminnan hoitamisesta ja tuottaa taloudellisia ongelmia. 

Varautuminen auttaa toipumisessa

Varmin tapa välttyä tietoturvaloukkaukselta on varautua siihen etukäteen mahdollisimman perusteellisesti.  Organisaation johtajan on hyvä kysyä peilikuvaltaan, mitä hän on valmis menettämään yrityksensä arvosta tietoturvattomuuden seurauksena.

Jos vastaus on ”ei mitään”, niin silloin kannattaa hakea apua niiltä asiantuntijoilta, jotka  tarjoavat ratkaisuja suojautumiseen. 

Organisaatiolla on myös oltava suunnitelma tapahtuneiden  tietoturvaloukkausten varalle. Kun ongelma havaitaan, on hyvä tietää mitä tehdään

Jos ja kun tietoturvaloukkaus tapahtuu, organisaatiolla on oltava selvät nuotit kuinka toimitaan. On tiedettävä kuka ottaa johdon asiassa ja millä tiimillä asian etenemistä hoidetaan. 

Varautumissuunnitelman pitää kattaa toimintakäytänteet erilaisten tietoturvaloukkausten varalle. On tiedettävä mitä tehdään haittaohjelmatorjunnan petettyä, palveluhyökkäyksen tukkiessa tiedonkulun tai kun tietoja on varastettu tai yritetty varastaa.

Vakuutus on yksi turva

Tietomurtoihin ja muihin tietoturvalaukkauksiin voi hakea turvaa myös vakuutuksista. Vakuutusyhtiöt ovat tuoneet markkinoille tietoturvavakuutuksia, jotka antavat sekä neuvonta-apua korvaavat että taloudellisia taloudellisia vahinkoja tietoturvan suojauksen pettäessä.

Tietoturvavakuutusten yleisesti korvattavia vahinkoja ovat muun muassa liiketoiminnan keskeytymisestä aiheutuvat taloudelliset vahingot, hakkeroinnin tai palveluhyökkäyksen aiheuttamat  kulut, viruksen tai haitallisen koodin  aiheuttamat kulut tai vaikkapa tietojen, ohjelmien ja verkkojen palauttamiskulut.

Vakuutuksen kautta on mahdollista saada korvausta myös asiakkaille aiheutuvista kuluista. Vakuutuksen varaan tietoturvaa ei kuitenkaan kannata rakentaa, sillä se ei korvaa esimerkiksi maineen menetystä.

Pk-yritysten tietoturvavakuutusten vuotuiset kustannukset, tietenkin vakuutuksen laajuudesta ja liikevaihdosta riippuen, alkavat parista sadasta eurosta.

Ilmoitus kyberturvallisuuskeskukselle

Tietojen kalastelusta, palvelunestohyökkäyksistä tai muista tietoturvaloukkauksista ja niiden yrityksistä kannattaa tehdä ilmoitus. Yksityiset henkilöt, yritykset ja organisaatiot voivat ilmoittaa niihin kohdistuneista tietoturvaloukkauksista Viestintäviraston Kyberturvallisuuskeskukselle.

Ilmoituksen voi tehdä kätevimmin lomakkeella, joka löytyy Viestintäviraston sivulta. Lomakkeella annetaan tiedot tapahtuma-ajasta ja paikasta, kuvaillaan tapahtuma ja kerrotaan mihin toimiin loukkauksen vuoksi on jo ryhdytty.

Rikosyrityksiä paljon 

Tietoturvarikokset ja niiden yritykset eivät kohdistu suinkaan pelkästään suuriin yrityksiin ja organisaatioihin. Vakuutusyhtiö Ifin kysely vuonna 2017 kertoo karua kieltään siitä, että pk-yrityksetkään eivät ole suojassa yhä kasvavalta nettirikollisuudelta. 

Vakuutusyhtiön kyselyn mukaan jopa kolmannes pk-yrityksistä on joutunut tietoturvarikoksen kohteiksi. Kolmen viime vuoden aikana tapahtuneista rikoksen yrittämisistä yli 20 prosenttia oli onnistunut.

Kyselytulos vahvistaa jatkuvasti toistettavan totuuden, ettei organisaatio ole koskaan valmis tietoturva-asioissa. On hyvä muistaa, että rikolliset ovat näissä asioissa aina ainakin yhden askeleen edellä.

Julkaistu: 18.04.2018

Ota yhteyttä

Kiinnostuitko? Heräsikö lisäkysymyksiä? Kerromme mielellämme lisää - jätä yhteystietosi alla olevalla lomakkeella, niin palaamme tuota pikaa asiaan!

*pakollinen kenttä

Palvelua toteuttamassa