Miten Vastaamon tietomurto tapahtui? Muista tietojen suojaaminen

Vastaamon tietomurto on poikkeuksellinen ja erittäin vakava. Tietomurtoja ja tiedon julkistamisia tapahtuu jatkuvasti, mutta tässä tapauksessa vuodon kohteena oli erityisen arkaluontoisia tietoja. Toistaiseksi julkaistun tiedon valossa keskeisin syy tietomurtoon olivat heikot salasanat ja riittämätön tietojen suojaaminen.

”Tässä on ollut oletussalasanoja. Jos salasanoja ei uusi, näin siinä saattaa käydä. Salasanat ovat kaikkein helpoin tietoturvakonsti. Ne eivät maksa mitään eivätkä lopu koskaan.”

F-Securen tietoturvajohtaja Erka Koivunen MTV3:n haastettelussa

Tietomurron seuraukset

Vastaamolle tulee tästä iso lasku, sakkoja ja mahdollisesti rangaistuksia. Maineen ja luottamuksen menetys on vain yksi suurimmista haitoista. Ihmiset muistavat tällaiset tapaukset vielä vuosien päästä ja harkitsevat voivatko ostaa palveluja kyseiseltä yritykseltä. Yhteistyö on jo jäätynyt muiden yritysten ja sairaaloiden kanssa.

Vielä suurempi vahinko on tullut niille ihmisille, joiden tietoja on nyt vuodettu. Viikonlopun aikana yksityisiin henkilöihin kohdistuneet kiristysviestit aiheuttavat varmasti paljon henkistä ahdistusta ja stressiä, sekä käytännön järjestelyjä ja selvitystyötä. Yksityisen henkilön elämä menee todella sekaisin. Vuodettu tieto on myös muiden rikollisten saatavilla, ja mikäli varastettuja henkilötietoja käytetään identiteettivarkauteen, se mahdollistaa mm. toisen ihmisen nimissä tehtyjä osamaksukaupoja tai verkkokauppa- sekä lehtitilauksia, muuttoilmoitukset ja muita rikoksia.

Tärkeimmät järjestelmät sekä niiden salaus ja suojaus

Kaikki tärkeimmät järjestelmät mitä organisaatioissa käytetään, pitäisi rakentaa ja suojata riittävästi. Puhun nyt siis ohjelmistoista joilla ohjataan logistiikkaa, myyntiä tai vaikkapa osakekauppaa.

Valmiissa ohjelmistoissa on lähtökohtaisesti parhaat ominaisuudet turvalliseen toimintaan. Toki ohjelmistoa pitää päivittää ja sen ympäristö määrittää tietoturvallisesti. Itsekoodatut ja ulkoisesti teetetyt ohjelmistot ovat helposti riskialttiita hyökkäyksille ja tietovuodoille. Usein pienemmillä organisaatioilla on vähemmän resursseja käytettävissä ohjelmiston perustoimintojen kehittämiseen. Tällöin on äärimmäisen tärkeää, että ympäristöön, salauksiin, hallintaan ja prosesseihin on panostettu. Varmista, että ainakin seuraavat asiat ovat kunnossa:

- - - - Suojaa palvelinohjelmisto vaatimalla VPN-yhteyttä
      - Suojaa julkisesta verkosta pääsy vahvalla tunnistautumisella ja SSL-salauksella
      - Päivitä, koveta (hardening) ja testaa ympäristöä
      - Käytä yksilöllisiä tunnuksia palveluun

Tietoturvan merkitykseen herätään usein vasta, kun maito on jo kaatunut

Tietoturva koetaan usein tylsäksi, tekniseksi, monimutkaiseksi ymmärtää ja, että sillä ei ole suoraa vaikutusta tuottavuuteen. Usein, kun juttelen päättäjän kanssa jostain tietystä tietoturvaan liittyvästä aiheesta, päättäjä toteaa, että ”kyllä meillä on tämä (yksittäinen) asia kunnossa.” ja keskustelu tietoturvasta yleensä kariutuu tähän. Valitettavasti se yksi seikka ei riitä, vaan on useampia asioita, joita tulee ottaa huomioon. Onneksi nämä ovat kuitenkin sellaisia asioita, jotka on mahdollista laittaa kuntoon osaavan kumppanin kanssa. Suosittelen panostamaan tietoturvan kaikkiin eri osa-alueisiin.

Asioita, joita voitte tehdä heti organisaation tietoturvan kohentamiseksi!

- - - - Aloita henkilökunnan jatkuva tietoturvakouluttaminen
      - Luo kaikille työntekijöille omat uniikit käyttäjätunnukset ja salasanat
      - Ota käyttöön vahva tunnistautuminen (MFA)
      - Ota Single Sign-On (SSO) -palvelu käyttöön
      - Ota kaikille työntekijöille salasananhallintaohjelmisto käyttöön + käyttökoulutus

Huom! GDPR-laki vaatii, että jokainen tietoja käyttävä pitää pystyä yksilöimään. Eli muista varmistaa, että kaikilla työntekijöillä on omat uniikit käyttäjätunnukset ja salasanat.

Me Etevällä haluamme olla mukana varmistamassa, että tällaisia tietomurtoja ei pääse tapahtumaan. Olemme valmiina auttamaan organisaatioita oman tietoturvan tarkistamisessa ja parantamisessa. On tärkeää, että tietoturva on aina ajan tasalla!

Voit lukea blogistamme lisää, kuinka laittaa yrityksen tietoturva kuntoon.