Suomi kohisee nyt ison digitaalisuuteen liittyvän akuutin ongelman parissa, kun Psykoterapiakeskus Vastaamon potilastietoja on päätynyt bitcoin-kiristäjien haltuun. Tietoturvayritys Trend Micron Suomen maajohtaja Kimmo Vesajoen mukaan tietomurtojen teko on nykyään tehty jo liian helpoksi.
Vesajoen mukaan Trend Micro on – monien muiden ohella - viestinyt ongelmasta jo pidemmän aikaa. Yhtiön kyberturva-asiantuntija Kalle Salmisen mukaan tilanne on vakava. - Tietomurron yrittäminen ei edellytä tekijältään erityistä taitoa, koska rikokset ja niihin tarvittavat exploitit, haittaohjelmat sekä muut tarvittavat työkalut voi ostaa palveluna. Tarjolla on jopa RaaS-palvelu eli kiristyshaittaohjelman voi ostaa valmiina palveluna, Salminen kertoo.
Vesajoen mukaan verkosta löytyvät työkalut ja palvelut ovat teknisesti erittäin edistyneitä. – Kyse on ammattimaisesta toiminnasta. Koska meillä ei ole globaalia lainsäädäntöä, esimerkiksi RaaS-tyyppiset palveluissa on yritystason helpdesk- ja chat-palvelut, joissa verkkorikollisia autetaan. Palvelumallit ja ansaintamallit ovat verkkorikollisuudessa täsmälleen samat kuin lainkuuliaisella puolella, Vesajoki sanoo.
Julkisuudessa olleiden tietojen mukaan Vastaamon potilastietoja sisältävä palvelin on ollut verkkoon auki maaliskuuhun 2019 saakka ja tätä pidetään todennäköisenä reittinä datavarkaudelle. Miksi ihmeessä sote-alan yritys rakentaisi tietokantansa heikon paikallisen ratkaisun varaan?
- Julkipilvi on hyvä ratkaisu, kunhan muistetaan jaetun vastuun malli tietoturvassa. Pilvipalvelun tarjoaja vastaa esimerkiksi IaaS-palvelussa fyysisestä turvallisuudesta, mutta siinäkin käyttäjä on vastuussa datan suojauksesta ja esimerkiksi haavoittuvuuksien päivityksestä. Julkipilvi ei ratkaise kaikkia ongelmia. Jos mennään pilvipalvelussa pidemmälle eli PaaS- tai SaaS-palveluihin, niin näissä palveluntarjoaja vastaa ohjelmansa tietoturvasta.
Vesajoki uskoo, että Vastaamon datavarkauksen takia tietosuojalainsäädäntöön tullaan tekemään tiukennuksia ja tietoturvan merkitys korostuu varmasti entisestään. - Ongelma on, ettei kyberrikollisuus ole kansallisen regulaation keinoin saatavissa aisoihin, koska se on globaali ilmiö ja sen regulointia varten tarvitaan ylikansallista päätöksentekoa.
Esimerkiksi luottokorteissa on sertifioidut auditointitoimijat. – Samaan tapaan pitäisi olla setifiointi, joka oikeuttaa tekemään tämäntyyppisiä auditointeja. Voi olla, että tarvitaan myös erillisiä tarkennuksia potilastietojärjestelmiin, että vain tietyt tahot saisivat niiden tietoturvaa auditoida, Vesajoki arvioi.
Joskus on sanottu, että kaikki data, joka on yhteydessä verkkoon, on periaatteessa haavoittuvainen ja kaikki suojaukset murrettavissa. Onko tähän dilemmaan olemassa ratkaisua? Trend Micron kyberturva-asiantuntija Kalle Salmisen mukaan absoluuttista tietoturvaa ei ole olemassa mutta tietoturvallisuuden koulutukseen, prosesseihin ja teknologioihin liittyviä parhaita käytäntöjä olisi syytä terottaa.
- Perusasiat, kuten päivitykset ja pääsynhallinta pitäisi laittaa nyt joka yrityksessä kuntoon, jonka lisäksi tietoturvan säännöllinen auditointi olisi paikallaan. Teknologioita löytyy luottamuksellisen tiedon ja tietokantojen sekä tietokantapalvelinten (data-rekisteri-alusta) suojaukseen kuten myös tietomurtojen havaintaan ja tunkeutumisen estoon, Salminen kuvaa.
Vastaamo-murtoa voidaan pitää suorana iskuna koko digitalisoituvaan yhteiskuntaan. Viimeistään nyt kaikkien toimijoiden on herättävä ymmärtämään tietoturvan merkitys. Turvallisuuden ja suojausten pitäisi olla mukana kaikesta alusta asti. Vesajoki peräänkuuluttaa security by design -lähestymistapaa.
Esimerkiksi IoT-ympäristöissä on ollut ongelmana, ettei ole ajateltu sitä, että laitteet voivat muodostaa uhkavektorin, jonka kautta verkkorikollinen voi saada sillanpääaseman vaikkapa etätyöntekijän kotitoimistoon, jonka kautta päästään käsiksi todelliseen kohteeseen eli työantajan tietoverkkoon.
- Tämä on selkeä ongelma, johon onneksi on ratkaisuja. Jos laitteet itsessään eivät ole tietoturvallisia, pitää keskittyä havaitsemiseen. Haavoittuvaan laitteeseen hyvin harvoine edes pystyy asentamaan mitään, joten pitää hankkia ratkaisuja, joilla liikennettä monitoroidaan. Tätä kautta voidaan estää haavoittuvien laitteiden hyväksikäyttö, Vesajoki päättää.
Tallinnassa ruoditaan taas elektroniikkateollisuuden tilaa EEIA:n eli Viron elektroniikkateollisuuden liiton järjestämässä IPC DAY -seminaarissa. Liiton puheenjohtaja Arno Kolk sanoo, että vuodessa markkina on kellahtanut lähes päälaelleen. Huippukasvusta on tultu aikaan, jossa uusia tilauksia ei tule.
Uusi langaton standardi näyttää auttavan lunastamaan älykkään kodin lupaukset. Se myös tarjoaa kuluttajille turvallisempia, luotettavampia ja saumattomimpia yhteyksiä ja sitä myötä parempia kokemuksia. Standardi on nimeltään Matter.
