Jarno Limnèll: ”Yli 90 prosenttia tietomurroista ja -vuodoista alkaa kalastelusähköpostilla”

Kalasteluohjelmia, tietomurtoja, terrorismia – kyberhyökkäyksiä. Otsikoissa kyberturvallisuudesta huolehtiminen tarkoittaa isoilta uhilta suojautumista. Kyberturvallisuuden työelämäprofessori Jarno Limnéll haluaa kuitenkin poistaa mystiikkaa kyberturvallisuus-sanan ympäriltä. Hänen mielestään sanan voisi pian jopa unohtaa.

”Kyberturvallisuuden sijaan voimme puhua kohta yksinkertaisesti vain turvallisuudesta, sillä digitaalisuus on koko ajan yhä vahvemmin osa kaikkea arkeamme ja elämäämme. Käsitettä ei kuitenkaan kannata unohtaa ihan vielä, vaan vasta jonkin ajan päästä. Nyt on kuitenkin jo hyvä totutella ajatukseen, että digitalisuuteen ja teknologiaan yhdistyvät turvallisuusnäkökohdat ovat nousemassa koko ajan tärkeämmiksi ja siinä jokainen voi tehdä oman osansa. Turvallisuus on uhkien tiedostamista ja riittävää varautumista”, Limnéll sanoo.

Arjen kyberturvallisuuteen kuuluu esimerkiksi omien laitteiden päivityksestä ja turvallisista salasanoista huolehtiminen. Tärkeää on myös pysyä valppaana, jotta voi välttää huijaukset. Limnéllin ohje aivan kaikille, titteliä tai työnkuvaa katsomatta, on: mieti, mitä klikkaat ja jaat.

”Kun huolehtii osaltaan tärkeimmistä perusasioista, on jo tehnyt paljon itsensä, työpaikkansa sekä yhteiskunnankin kyberturvallisuuden eteen. Jokainen meistä on tärkeä kyberturvallisuuden tekijä.”

Sähköpostin tietoturvaan kannattaa panostaa

Kaikki yritykset ovat jo nyt digitaalisia yrityksiä, koska ne tarvitsevat aina jossain määrin verkkoa ja siihen liittyviä palveluja.

”Kauppakamarin muutaman vuoden takaisen tutkimuksen mukaan yli 40 prosenttia suomalaisista yrityksistä olisi toimintakyvyttömiä yhden netittömän päivän jälkeen ja vain neljäsosa yrityksistä pystyisi jatkamaan toimintaansa ilman internetiä. Nyt nuo luvut ovat varmaan jo paljon suurempia”, Limnéll arvioi.

Yksi käytetyimmistä työvälineistä on sähköposti. Työntekijä viettää keskimäärin lähes kolmanneksen työviikostaan sähköpostin parissa.

”Sen käytössä kannattaakin olla erityisen tarkkana: yli 90 prosenttia tietomurroista ja -vuodoista alkaa kalastelusähköpostilla. Ja kun murto tapahtuu, sen havaitsemiseen kuluu aikaa. Pohjoismaissa organisaatiolla kestää keskimäärin 225 päivää havaita tietomurto ja 74 päivää eristää sen leviäminen”, Limnéll kertoo.

Sähköpostin tietoturvaan kannattaa siis panostaa. Salausmenetelmät kehittyvät ja yleistyvät nopeasti. Valtionhallinnossa on laajasti käytössä esimerkiksi Erillisverkkojen Deltagonin Sec@GW-ohjelmisto.

Selvitysryhmä tutkimaan Vastaamon tietomurtoa

Koko Suomea on puhuttanut psykoterapiakeskus Vastaamon tietomurto ja kiristys. Kyberturvallisuusalan ammattilainen ei sinänsä yllättynyt murrosta, mutta piti sitä järkyttävänä.

”Teko on täysin moraaliton ja poikkeuksellinen jopa maailmanlaajuisesti verrattuna. Hyökkäys kohdistui ihmisiin, joiden elämässä oli varmasti jo muutenkin riittävästi huolenaiheita.”

Limnéll korostaa, että Vastaamon tietomurrossa ei ole kyse vain yksittäisen yrityksen ongelmasta, vaan kansallisesta kriisistä.

”Mielestäni Vastaamon tietomurto on verrattavissa kansalliseen suuronnettomuuteen, minkä vuoksi siihen tulisi suhtautua myös samalla vakavuudella. Yleensä kun yhteiskunnassamme sattuu jotakin näin traagista, perustetaan kansallinen selvitysryhmä tutkimaan tapausta. Sellainen tarvitaan myös tätä tutkimaan”, Limnéll sanoo.

”Selvitysryhmän tarkoitus ei olisi etsiä syyllisiä, vaan tehdä kattava jälkiarvio, jonka avulla saisimme tärkeitä oppeja myös tulevien tietomurtojen ja -vuotojen varalle. Selvitysryhmän tehtävä olisi myös arvioida koko yhteiskuntamme kyberturvallisuutta ja kriisinsietokykyä yhtenä kokonaisuutena. Jokaisen kriisin tulisi kehittää varautumistamme niin, että se auttaa koko yhteiskuntaamme.”

Suomen oltava kyberturvallisuuden kärkijoukkoa

Jarno Limnéll teki työelämäprofessori Martti Lehdon ja työryhmän kanssa vuonna 2017 raportin Suomen kyberturvallisuudesta ja suositeltavista toimenpiteistä.

”Yksi johtopäätöksistämme oli, että strategisen johtajuuden selkeyttäminen ja vahvistaminen olisi hyvin tärkeää maamme kyberturvallisuuden kannalta. Vertailimme raportissa Suomen käytäntöjä muutamiin muihin maihin. Muualla korostuu yksi vahva piirre: kyberturvallisuuden strateginen johtaminen sijoittui hyvin lähelle poliittista johtoa.”

Kyberturvallisuuteen liittyvät asiat ovat yhä keskeisempi osa ulko- ja turvallisuuspolitiikkaamme.

Limnéll korostaa myös, että kyberympäristöt ja niiden turvallisuus eivät ole staattisia tai pysyviä, vaan ne muuttuvat koko ajan.

”Meidän pitää olla hereillä koko ajan, koska verkkorikollisuus ja valtiollisten toimijoiden kyvykkyydet kehittyvät jatkuvasti. On tärkeää ymmärtää, kuinka merkittävästä asiasta on kyse. Kyberturvallisuuteen liittyvät asiat ovat yhä keskeisempi osa ulko- ja turvallisuuspolitiikkaamme. Myös lainsäädäntöämme pitää kehittää jatkuvasti, jotta pysymme kyberturvallisuuden kehityksen mukana – ja mielellään vielä kärkipäässä”, Limnéll painottaa.

Suomen lainsäädäntöä ollaankin parhaillaan tarkistamassa. Liikenne- ja viestintäministeriö asetti 9. marraskuuta työryhmän, joka kartoittaa muutostarpeita yhteiskunnan keskeisten toimialojen tietoturvaa koskevaan lainsäädäntöön. Työryhmä tekee myös hallitukselle ehdotuksen poliittisista linjauksista. Tavoitteena on, että suomalainen yhteiskunta olisi entistä tietoturvallisempi.