Järjestäytynyt kyberrikollisuus on miljardien arvoista, globaalia liiketoimintaa. Tietoverkkorikoksia raportoidaan Suomessakin säännöllisesti. Jokaisen organisaation vastuulla on huolehtia omien tietojensa suojaamisesta ja kyberhyökkäysten torjunnasta.
Tietovarannot ovat yhä useamman organisaation arvokkainta omaisuutta, siksi ne houkuttavat puoleensa myös rikollisia Internetin hämärämmältä puolelta. Kamppailu kyberuhkia vastaan ei ole helppoa, eikä se lopu koskaan — kerran saavutettu tietoturvan taso rapautuu nopeasti ilman jatkuvia toimia. Yrityksillä on usein hallussaan monimutkainen IT-ympäristö, joka koostuu monen näköisistä ja ikäisistä järjestelmistä ja laitteista. Yksittäisen työntekijän virhe tai tärkeän ohjelmistopäivityksen viivästyminen voi altistaa yrityksen uusille vaaroille. Kyberrikolliset etsivät aktiivisesti hyökkäyksille alttiita kohteita ja hyödyntävät säälimättä jokaista mahdollisuutta.
Terveydenhuollon toimijat kyberhyökkäysten kohteena
Kyberrikollisten näkökulmasta terveydenhuollon organisaatiot ovat erityisen houkuttelevia kohteita. Niillä on hallussaan varsinainen kultakaivos: potilastiedot ovat arvokasta valuuttaa pimeillä markkinoilla. Terveydenhuolto on myös erittäin riippuvainen verkkoon kytkettyjen järjestelmien häiriöttömästä toiminnasta. Tästä saimme vastikään riipaisevan esimerkin Saksasta, missä sairaala ei pystynyt ottamaan ambulanssilla tuotua, hengenvaarassa olevaa potilasta vastaan kyberhyökkäyksen jumitettua sairaalan tietojärjestelmän.
Vastaamo-tapauksen jälkeen Suomessakin on ahkerasti pohdittu terveydenhuollon tietoturvaa, erityisesti viranomaisten roolia potilastietojärjestelmien turvallisuuden varmistamisessa. Keskustelua on herättänyt varsinkin niin sanottu Kanta-auditointien kattavuus. Yksittäinen auditointi on kertaluontoinen happotesti, ja sillä on roolinsa tietoturvan kehittämisessä. Se ei kuitenkaan takaa tietoturvan tasoa pitkällä aikavälillä, eikä poista organisaation omaa vastuuta elintärkeiden tietojen ja toimintojen suojaamisesta.
Viranomaisen suorittama tarkastus ei takaa tietoturvan tasoa pitkällä aikavälillä, eikä poista organisaation omaa vastuuta elintärkeiden tietojen ja toimintojen suojaamisesta.
Tietoturvan rakentaminen lähtee jo suunnittelupöydältä, ja työtä tietoturvan ylläpitämiseksi pitää tehdä pitkäjänteisesti ja säännönmukaisesti. Esimerkiksi organisaation kulttuurilla on huomattava vaikutus tietoturvan toteutumiseen. Moni yritys onkin alkanut kehittää omaa kyberkulttuuriaan, jonka tavoitteena on vaikuttaa henkilöstön asenteisiin ja käyttäytymiseen. Tästä hyvänä esimerkkinä on OP Ryhmä, joka on luonut uuden kyberstrategian ja -kehittämissuunnitelman, jonka yhtenä osa-alueena on kyberturvakulttuurin kehittäminen.
Apotti on puolestaan hyvä esimerkki kansallisesti merkittävästä terveydenhuollon järjestelmästä, jonka suunnittelussa ja käyttöönotossa on alusta saakka kiinnitetty huomiota tietoturvan ja tietosuojan toteutumiseen. Apotti on organisaationa sisäistänyt oman vastuunsa asiakas- ja potilastietojen suojaamisessa.
“Sosiaali- ja terveydenhuollon tiedot ovat hyvin sensitiivisiä ja näin ollen houkutteleva kohde hyökkääjille, sanoo Oy Apotti Ab:n toimitusjohtaja Hannu Välimäki ja jatkaa: ”Me Apotissa olemme suhtautuneet alusta asti tietoturvakysymyksiin todella vakavasti ja teemme jatkuvasti työtä kehittääksemme tietoturvaamme edelleen. Apotti-järjestelmä on Suomen ja koko maailman ensimmäinen sosiaali- ja terveydenhuollon yhdistävä toiminnanohjausjärjestelmä. Järjestelmä on Kanta-sertifioitu A-luokan tietojärjestelmä, muttemme Apotissa tuudittaudu sertifioinnin luomaan turvallisuuden tunteeseen. Tietoturva syntyy teknisten ja toiminnallisten asioiden kokonaisuudesta sekä organisaatiokulttuurista. Näiden ylläpito ja kehittäminen vaatii jatkuvaa valppautta ja kehitystyötä.”
Uhkana järjestäytynyt kyberrikollisuus
Kansainvälinen rikollisuus toimii verkossa siinä missä reaalimaailmassakin. Nykypäivän kyberrikolliset ovat järjestäytyneitä ja erikoistuneita. Kyseessä on miljardien eurojen arvoinen, globaali bisnes, joka koostuu eri alojen palveluntarjoajista ja monimutkaisista toimitusketjuista. Yksi etsii työkseen haavoittuvuuksia, toinen hyödyntää niitä omissa hyökkäyksissään, ja kolmas jalostaa varastettuja tietoja myydäkseen ne edelleen eniten tarjoavalle. Ketjun loppupäästä löytyy asiakas, joka hyödyntää rikollisin keinoin hankittuja tietoja omiin tarkoituksiinsa.
"Kyberrikollisilla on omia markkinapaikkojaan TOR-verkossa ja tavallisessakin Internetissä. Jos rikollinen on saanut kohteesta haluamansa hyödyn tai ei pysty itse hyväksikäyttämään jotakin kohdetta, hän voi myydä jatkorikoksiin tarvittavat tiedot muita keinoja käyttäville rikollisille”, kertoo erityisasiantuntija Perttu Halonen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta. Näin vanhat tietomurrot ja tietojenkalastelut voivat tulla eteen kerta toisensa jälkeen: "Esimerkiksi kalasteltuja käyttäjätunnuksia ja salasanoja myydään mustassa pörssissä kahmalokaupalla, ja eri rikolliset yrittävät toistuvasti tehdä niillä tietomurtoja. Rikolliset luottavat siihen, että moni ihminen käyttää jo paljastuneita, helposti arvattavia tai samoja salasanoja useissa eri paikoissa", tiivistää Halonen.
Kyberrikollisten motiivina voi olla esimerkiksi terroristisen tai muun rikollisen toiminnan rahoitus. Joskus syynä on halu aiheuttaa vahinkoa kohdeyrityksen maineelle tai rapauttaa luottamusta yhteiskunnan toimintaan. Uhrien joukosta voidaan etsiä julkisuuden henkilöitä tai korkeassa asemassa olevia päättäjiä, joita kiristämällä on mahdollista päästä käsiksi isoihin rahoihin tai omiin poliittisiin tavoitteisiin.
Kohdennetut kiristyshaittaohjelmahyökkäykset ovat yksi suurimmista terveydenhuollon toiminnan lamauttavista riskeistä. Vaikka sellaisten kohteeksi joutuvia organisaatioita on vähän verrattuna esimerkiksi tietojenkalastelun uhrien määrään, niin kiristyshaittaohjelmahyökkäyksen vaikutukset ovat välittömiä ja huomattavia.
"Yhdysvalloissa kohdennettujen kiristyshaittaohjelmien epidemia alkaa olla jo hiipumaan päin, mutta Euroopassa ne ovat vasta kasvussa”, Halonen toteaa ja jatkaa: "Vuonna 2020 Yhdysvalloissa tehtiin useita hyökkäyksiä päivässä. Rikolliset salasivat useiden sairaaloiden tietokoneiden ja palvelinten sisällöt ja vaativat sairaaloilta tyypillisesti yli sadan tuhannen dollarin lunnaita salauksen purkamisesta. Koska ongelma on ollut Yhdysvalloissa iso, sairaalat ovat todennäköisesti menneen vuoden aikana parantaneet suojauksiaan niin paljon, että rikolliset ovat nähneet parhaaksi alkaa hakea kohteita muualta."
Kyberuhkiin varautuminen on olennainen osa yritysten jokapäiväistä toimintaa
Järjestäytynyt kyberrikollisuus toimii yli rajojen ja on jo löytänyt tiensä suomalaisiin organisaatioihin. Suomessa poliisille tehdään ilmoituksia tietoverkkorikoksista säännöllisesti. Suuri osa poliisin tietoon tulleista tietoverkkorikoksista koskee edelleen yksityishenkilöiden verkkotileihin kohdistuneita tietomurtoja, luvattomia käyttöjä tai viestintäsalaisuuden loukkauksiin liittyviä rikoksia. Poliisin mukaan tyypillisiä organisaatioihin kohdistuvia rikoksia puolestaan ovat tietomurrot, tietojärjestelmien häirintään liittyvät rikokset ja datavahingonteot. Monet organisaatiot joutuvat myös petosten tai kiristysten kohteiksi.
"Joillakin maailman alueilla verkkorikollisuus saattaa olla monen ihmisen pääelinkeino. Tämä kehitys vaikuttaa vahvistuneen edelleen viimeisten vuosien aikana. Ammattimaisilla ja järjestäytyneillä rikoksentekijöillä on kyky ja mahdollisuus jatkuvasti kehittää yhä hienovaraisempia rikoksentekomenetelmiä ja lähestyä suuria massoja kaikkialla maailmassa. Suomi on lisäksi suhteellisen vauraana maana suosittu rikollisten kohde syrjäisestä sijainnistaan ja oudosta kielestään huolimatta", muistuttaa ylitarkastaja Christian Jämsén Keskusrikospoliisin kyberrikostorjuntakeskuksesta.
Niin yritysten kuin julkishallinnon organisaatioidenkin on tunnettava oma vastuunsa ja toimittava pitkäjänteisesti tietoturvan kehittämiseksi ja kyberhyökkäysten torjumiseksi. Myös Halonen korostaa organisaation vastuuta yrityksen toiminnan jatkuvuudesta: "Kyberturvallisuuden hallinta kuuluu muiden liiketoiminnan riskien hallinnan rinnalla yrityksen ylimmän johdon pöydälle. Olemme julkaisseet tätä koskevan oppaan 'Kyberturvallisuus ja yrityksen hallituksen vastuu' ja suosittelen lämpimästi sen lukemista."
Vastuuta tietoturvasta ei voi ulkoistaa kenellekään, ei edes viranomaisille. Se on ja pysyy organisaatiossa ja sen ylimmässä johdossa.
Ota yhteyttä, mikäli haluat keskustella aiheesta kanssani lisää:
Hannu Kasanen
Hannu Kasanen työskentelee johtajana, vastuullaan Deloitten kyberturvallisuuspalvelut Suomessa. Hannulla on mittava kokemus tietoturvan, tietosuojan ja käyttövaltuushallinnan kehittämisestä. Hän on uransa aikana johtanut lukuisia hankkeita Suomen tunnetuimmissa yrityksissä ja julkishallinnon organisaatioissa. Briefly in English: Hannu works as a Director in Finland, leading Cyber Security services. Hannu has an extensive experience on Information Security, Data Privacy, as well as Identity and Access Management. He has successfully led complex projects with some of the biggest brands and government agencies in Finland.