Ladataan
Uutiset Elämänmeno Urheilu Puheenvuoro Näköislehti Blogit Kaupallinen yhteistyö

Murto kaupungin tietojärjestelmään on aito uhka – Päivän kestäneessä harjoituksessa varauduttiin 10 000 ihmisen henkilötietojen anastamiseen

Nokian kaupunki harjoitteli, miten toimitaan, jos kaupungin palvelimelle murtaudutaan. Kuvitellaan seuraavanlainen tilanne: Ulkopuolinen taho tunkeutuu Nokian kaupungin palvelimelle. 10 000 nokialaisen henkilötiedot päätyvät vääriin käsiin. Tekijäksi ilmoittautuu rikollisryhmittymä. Nokian kaupunki osallistui marraskuun lopulla valtakunnalliseen TAISTO-18 -harjoitukseen. Osallistujien tehtävänä oli toimia päivän ajan kuin edellä kuvattu uhkatilanne olisi totta. Harjoituksessa toimittiin Väestörekisterikeskuksen johdolla. Nokialla harjoitukseen osallistui 11 asiantuntijaa. He saivat säännöllisin väliajoin ohjeet siitä, mitä seuraavaksi pitää tehdä. Tilanne oli tehty todentuntuiseksi. –Saimme muun muassa videoviestin rikoksen tehneeltä ryhmittymältä. Siinä he kertoivat tekevänsä tämän, koska he voivat, Nokian kaupungin tietosuojavastaavana toimiva erityisasiantuntija Terttu Haataja kertoo. Hän toteaa, että tämänkaltainen harjoitus oli hyvä käydä läpi. –Uhkia ei voi täysin välttää, mutta niihin voi varautua ja välttää siten pahimmat vahingot. Harjoittelemalla todentuntuista tilannetta organisaatiot saavat selvitettyä, toimisivatko heidän ohjeistuksensa ja toimintamallinsa, kuten on kuviteltu, vai kaipaavatko ne vielä kehittämistä, Terttu Haataja kertoo. Lahdessa uhkakuva koettiin jo todeksi Harjoituksessa todettiin, että Nokialla valmius hallita tietoturvauhkia ja tietosuojapoikkeamia on varsin hyvä. –Näin on etenkin organisaation omien hallinnollisten prosessien osalta. Parannettavaakin löytyy muun muassa kriisiviestinnästä, ohjeistusten ajantasaisuudesta sekä sopimuksista ohjelmatoimittajien kanssa, kertoo harjoituksen johtajana toiminut talousjohtaja Mikko Koskela . Terttu Haataja toteaa, että kaupungin tietoturvajärjestelmien turvallisuudesta ei ole syytä kantaa suurta huolta. Yleisemminkin ottaen tietoturvariskit ovat Suomessa hyvin hallinnassa. –Silti tällaisen uhkakuvan toteutuminen on mahdollista. Vastapuolella on huippuosaajia, jotka valitettavasti käyttävät taitonsa väärällä tavalla. Kuluvan vuoden helmikuussa rikolliset tunkeutuivat Lahden kaupungin tietoturvajärjestelmiin sillä seurauksella, että palvelut jumittuivat. –On erittäin tärkeää miettiä etukäteen, mitä tehdään, jos hyökkäyksen kohteena ovat esimerkiksi terveys- ja sosiaalipalveluiden järjestelmät. Siellä ei voida laittaa lappua luukulle, on oltava toimiva varajärjestelmä. Henkilötiedot ja sähköpostiosoite vaarallinen yhdistelmä Jokaisen kannattaa tiedostaa tietoturvallisuuteen liittyvät riskit omassakin elämässään ja opetella varautumaan niihin. Terttu Haataja tietää tämän omastakin kokemuksesta. –Henkilötietoni joutuivat väärälle taholle vuonna 2014 Joensuun avoimen yliopiston tietokannasta yhteensä 16000 opiskelijan tietojen kanssa, Haataja kertoo. Ongelmat ilmenivät vasta viiveellä. –Parin vuoden kuluttua minulle alkoi tulla tuhansien eurojen arvosta laskuja NetAnttilasta ja Hobby Hallista, joista en ollut tehnyt ostoksia. Poliisi selvitti asiaa. Ilmeni, että muutkin Joensuun yliopiston rekisteristä peräisin olevat Ha-alkuiset nimet olivat päätyneet samoille tekijöille. Henkilötietojen lisäksi rikolliset olivat saaneet käsiinsä opiskelijoiden sähköpostit. Sillä yhdistelmällä tekee jo paljon. Jos anastettuihin tietoihin lisätään vielä tilitiedot, yhdistelmä on rikolliselle hyvin käyttökelpoinen. Näitä tietoja kalastellaan ihmisiltä myös sähköposteilla, jotka on naamioitu esimerkiksi pankkien lähettämiksi viesteiksi. Näihin viesteihin ei saa koskaan vastata. Mikään oikealla asialla oleva taho ei pyydä kyseisiä tietoja ihmisiltä sähköpostilla. –Keväällä velvoittavaksi tullut Euroopan uusi tietosuoja-asetus on toisaalta aiheuttanut myös turhaa hysteriaa. Esimerkiksi etu- ja sukunimen esiintymistä esimerkiksi hiihtokilpailujen tuloslistalla ei tarvitse pelätä. Sillä yhdistelmällä rikollinen ei tee vielä mitään. Jos henkilötietorikos pääsee tapahtumaan, ihminen voi estää tietojen väärinkäytön kuolettamalla luottotietonsa www.asiakastieto.fi-sivustolla. –Sen jälkeen tietoja ei voida käyttää nettikaupoissa, osamaksusopimuksissa ja muissa sitoumuksissa. Tieto kulkee palvelujen järjestäjille, koska niiden velvollisuus on tarkastaa luottotiedot.