Millä tolalla suomalaisyritysten tietoturva on? – Onko Vastaamon tapaus varoitus siitä mitä voi pian olla luvassa muillekin?

EK:n johtava asiantuntija Markku Rajamäki listaa perusasioita, joita mikä tahansa yritys voi hyödyntää vaikka heti.

– Tieto on todella arvokasta toimialasta riippumatta. Yhtiöiden johdolla on iso rooli miettiessä, mitä se tarkoittaa, se ei ole vain firman ict:n vastuulla, Rajamäki sanoo.

Psykoterapiakeskus Vastaamo kertoi viime viikolla joutuneensa tietomurron ja kiristyksen kohteeksi. Asiakkaiden henkilökohtaiset tiedot ja potilaskertomukset päätyivät salattuun tor-verkkoon ja asiakkailta on vaadittu lunnaita.

Vyyhdin myötä yritysten tietoturva, etenkin erityisen arkojen henkilötietojen suhteen, nousi taas tapetille.

Laki on tiukka

Millä tolalla suomalaisyritysten tietoturva on, ja onko Vastaamon tapaus varoitus siitä mitä voi pian olla luvassa muillekin?

Kesäkuussa julkaistun Digibarometri 2020 -selvityksen mukaan Suomi yltää kokonaisindeksissä kyberturvallisuudessa vertailumaista sijalle kaksi.

Suomalaisten yritysten osalta luvut eivät kuitenkaan mairittele. Tietovuodot olivat suomalaisyrityksissä yli kolme kertaa yleisempiä kuin Euroopassa keskimäärin.

– Tietoturva on tullut koko ajan tärkeämmäksi, lainsäädäntö on monimutkaistunut ja vaatimustaso noussut sen ympärillä. Kaikki ajaa siihen, että sen tärkeys täytyy ymmärtää ja siihen pitää varata resursseja, Rajamäki tiivistää

Suomessa ei kannata tuudittautua

Rajamäki varoittaakin tässä yhteydessä vanhanaikaisesta lintukoto-ajattelusta.

– Tässä on syytä pysytellä hereillä. Ei voida ajatella, että meillä Suomessa kaikki on hyvin ja riskit hallinnassa. Verkkorikollisuus ei tunne rajoja, ja rikolliset hakevat koko ajan heikkoja kohtia.

– Samoin ei yksittäinen yrityskään voi ajatella niin, että ei meillä ole mitään suojattavaa tai emme me voi olla kenenkään mielenkiinnon kohteena. Siellä voi olla sellaista joka jollekin voi olla arvokasta rikollisessa mielessä.

Sanktiot yrityksille esimerkiksi tietosuoja-asetuksen pohjalta voivat olla niin isot, että pienemmän yrityksen taru voi sellaiseen loppua.

Rajamäen mukaan myös kolhut maineelle voivat olla kovia. Vaikka sanktioista selviäisikin, mainekolhusta toipuminen kestää joka tapauksessa pitkään.

Valmistautuminen on yrityksille yhä tärkeämpää, sillä datan määrä kasvaa koko ajan.

– Helposti käy niin, ettei mitään heitetä pois, vaan sitä vain kertyy lisää. Eikä systeemi toimi aina siitä päästä, mikä data on jo tarpeetonta ja minkä voisi tieturvallisesti hävittää. Tietosuoja-asetus säätää kuitenkin henkilötiedot hävitettäviksi, kun niitä ei ole enää perustetta säilyttää, Rajamäki kuvailee.

– Yleisesti ottaen trendi on tämän tyyppinen ollut jo pitkään ja näyttäisi jatkuvan. Se alleviivaa sitä, että on pakko ymmärtää, mikä osa datasta on tärkeää ja suojattavaa. Kysymys on siitä, kuinka paljon paukkuja mihinkin laitetaan, koska kaikkea ei kannata suojata samalla intensiteetillä.

Rajamäki huomauttaa, että suomalaisyrityksissä on eroa sekä toimialoittain että erikokoisten yritysten välillä.

– Terveys- ja finanssialalla, toimialan luonne ja massiivinen regulaatio vaikuttavat siihen, että tietoturvaan on panostettu. Finanssiala on kärjessä vertailussa.

– Toinen erottava tekijä on yrityskoko. Todella isoja yrityksiä on Suomessa vähän, valtaosa on mikro- ja pieniä pk-yrityksiä. Pienten päässä ei valitettavasti ole ihan samoja resursseja turvallisuuteen kuin isoissa.

Huomio perusasioihin

Miten tilannetta sitten voi parantaa ja mitä yritysten kannattaa juuri nyt tehdä?

Rajamäen mukaan ensin on tärkeää ymmärtää, mikä ylipäätään on tärkeää ja suojattavaa tietoa.

– Jos yrityksessä on tähän havahduttu, muutamia teknisiä perusasioita kannattaa käydä läpi: Varmistetaan että tiedot ovat järjestelmässä useamman lukon takana, ettei esimerkiksi vain järjestelmän ulkoraja ole suojattu.

Muita oletusasioita ovat oletusarvoisten salasanojen vaihtaminen kaikista järjestelmistä, järjestelmien päivittäminen, varmuuskopiointi ja palautusprosessi.

– Sitten kannattaa miettiä reaktiivisia prosesseja kuntoon. Jos henkilötietoja käsitellään, niiden vaarantumisesta on velvollisuus tehdä 72 tunnin sisällä ilmoitusvelvollisuus tietosuojavaltuutetulle. Jos prosessia ei ole mietitty, ei sitä näin lyhyellä aikataululla enää saada kuntoon kun vahinko on jo sattunut.