Nokian tapaus ei ole ainoa: Kiristyksiä tapahtuu useita vuosittain

MTV Uutiset paljasti eilen, että Nokia maksoi useita miljoonia euroja henkilölle tai henkilöille, jotka kiristivät yritystä käsiinsä saamalla koodilla. Kiristys tapahtui vuosien 2007 ja 2008 vaihteessa.

– Kokoluokaltaan tapaus on Suomessa toki poikkeuksellisen suuri, mutta tapahtumana ei niinkään, sanoo myyntijohtaja Valtteri Peltomäki tietoturvakonsultointiin erikoistuneesta Nixu Oy:sta. 

Pelkästään Nixussa selvitellään vuosittain useita yrityksiin kohdistuneita kiristysjuttuja. Tarkkaa lukua kaikista tapauksista on mahdotonta tietää, sillä yritykset eivät mielellään kerro kiristyksestä julkisuuteen.

Usein kiristyksestä tietävät vain yrityksen johto ja yksityinen konsulttifirma. Poliisiakaan ei aina haluta mukaan tutkintaan.

– Eihän mikään yritys halua kertoa julkisesti, että on ollut uhrina. Jos lisäksi kertoo, että on uhrin asemassa maksanut rahaa, niin sehän antaa ymmärtää, että firmasta saa kiristettyä rahaa jatkossakin, kuvaa tietoverkkoliikenteen professori Jukka Manner Aalto-yliopistosta.

Sisäpiirikeikkoja

Nixun tutkimissa kiristystapauksissa suurimmassa osassa on ollut kyse yrityksen sisältä tulleesta tietovuodosta. 

– Joku sisäpiiristä yrittää hyödyntää saamaansa tietoa ja kiristää sillä, Peltomäki kertoo.

Kiristyksen lisäksi entinen tai nykyinen työntekijä saattaa myydä hankittua tietoa eteenpäin. Peltomäki arvioikin, että yrityksen sisältä tulevat tietovuodot alkavat olla yrityksille suurempi uhka kuin hakkerien tekemät tietomurrot.

– Kyllä tietovuoto on sen helppouden ja huomaamattomuuden takia oleellisempi.

Sekä Peltomäki että Manner arvioivat, että Wikileaksin kaltaisten suurten kansainvälisten tietovuotojen saama julkisuus on vaikuttanut myös suomalaisyrityksiin.

– Herätyksiä tarvitaan, jotta tajutaan, että tällaistakin voi tapahtua. Yritysten johdoissa on varmasti painettu paniikkinappulaa, kun isoja tietovuotoja on tullut julki, Manner sanoo.

Teknologia apuna

Viime vuosina niin sanottujen DLP-teknologioiden (Data Loss Prevention) käyttö yrityksissä onkin lisääntynyt. Työntekijä voi laukaista järjestelmässä hälytyksen, jos omat toimet eivät kestä päivänpaloa.

– Jos joku esimerkiksi haluaa aktiivisesti kerätä tietoa itselleen ja viedä sitä pois organisaatiosta, se pystytään havaitsemaan ja estämään, Peltomäki kuvaa.

Ohjelmat voivat vahtia esimerkiksi sitä, tallentaako työntekijä salaiseksi luokiteltuja tietoja muistitikulle. Mahdollinen valvonnan kohde on myös sähköpostiliikenne.

– Katsotaan esimerkiksi liitetiedostoista, sisältävätkö ne joitain avainsanoja, kuten "salainen" tai "luottamuksellinen". Sellaisten lähettäminen sitten estetään, Manner sanoo.