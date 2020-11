Kilpikonnan nimi on Toisio. Se asuu akvaariossa tietoturvayhtiö Nixun yhteistiloissa seitsemännessä kerroksessa ja kiipeää välillä lämpölampun alle lekottelemaan. Nimi tulee siitä, että se on järjestyksessä toinen Nixun kilpikonna. Ensimmäinen oli nimeltään Ensio.

”Toisio ei lörpöttele asiakassalaisuuksia”, nauraa Antti Kurittu.

Kuritun työtä on auttaa yhtiön asiakkaita tietoturvaloukkausten selvittämisessä.

Psykoterapiakeskus Vastaamoon kohdistuneet tietomurrot, potilasrekisterin varastaminen ja sen tiedoilla kiristäminen ovat nostaneet tietomurrot ja tietoturvan ajankohtaiseksi puheenaiheeksi.

Vähintään kolmensadan mutta pahimmillaan jopa 40 000 ihmisen henkilötiedot ja arkaluontoiset potilaskertomukset on vuodettu verkkoon sivullisten luettaviksi. Poliisille on tehty yli 20 000 rikosilmoitusta, mikä todennäköisesti tekee tapahtuneesta uhrimäärältään Suomen rikoshistorian suurimman tapauksen.

Espoon Keilaniemessä Vastaamo on nyt hieman vaikea puheenaihe.

Vastaamo on nimittäin juuri Nixun asiakas. Nixu on palkattu selvittämään juurisyitä Vastaamon tietoturvaloukkaukselle.

Tästä syystä Antti Kurittu ei puhu Vastaamosta mitään, mikä ei ole jo lukenut lehdissä.

Kun jotain pahaa tapahtuu, Kuritun johtama DFIR-tiimi hälytetään hätiin. DFIR tulee sanoista digital forensics and incident response, suomeksi digitaalinen forensiikka eli tutkinta sekä tietoturvapoikkeamien hallinta.

Kurittu sanoo, että yleensä paikalle lähetetään agentti. Hän täydentää heti, että agentti tarkoittaa etäkäytettävää työkalua.

”Ei me tulla paikalle mustilla helikoptereilla, vaan etäyhteydellä. Fyysistä läsnäoloa edellyttää ehkä viisi tapausta sadasta.”

Läsnäolo voi olla tarpeen jos asiakas perustaa mimmin, eli major incident management -ryhmän. Tietoturva-ala vilisee englanninkielisiä termejä ja lyhenteitä, joille ei ole syntynyt suomenkielisiä vastineita. Tällainen ”mimmi” onkin oikeastaan poikkihallinnollinen kriisityöryhmä. Niitä perustetaan varsinkin silloin, jos asiakkaan liiketoiminnan jatkuvuus on uhattuna.

Kurittu ja hänen tiiminsä tutkivat työasemia, verkkolevyjä, kirjautumistietoja, teknisiin lokeihin jääviä jälkiä.

”Varsinkin isoissa tilanteissa, joilla on vaikutuksia liiketoiminnan jatkumiseen, moni haluaa vetää piuhat irti. Me olemme mukana arvioimassa, miten toimet vaikuttavat, kun pitää tehdä nopeita päätöksiä puutteellisella informaatiolla. Yritämme vähentää stressiä.”

Vastaamon tapauksessa monelle on jäänyt epäselväksi, mitä yksityinen yritys tekee, ja onko se poliisina poliisin paikalla. Selvyyden vuoksi: yrityksen tekemä tietoturvatutkinta ei ole poliisityötä.

Kurittu vertaa työtään palosyyn tutkintaan. Siinä missä palosyyn tutkinta selvittää, että makuhuoneen nurkassa oli bensaa, poliisitutkinta puolestaan selvittää, kuka bensan sinne kaatoi ja miksi.

”Me selvitämme juurisyyn tai -syyt tietoturvaloukkaukselle. Poliisi selvittää tekijän.”

Toisaalta: Antti Kurittu on taustaltaan poliisi.

Ennen Nixua hän on työskennellyt useaan otteeseen liikenne- ja viestintäviraston eli Traficomin alaisuudessa toimivassa Kyberturvallisuuskeskuksessa ja rikosylikonstaapelina Helsingin poliisin tietotekniikkarikostutkinnassa.

”Poliisissa oli suurempia tunteita, kun kyse ei ollut pelkästään tietomurroista. On paljon intiimimpää kohdata datassa pedofiilin alaikäiset uhrit tai asianomistajaa vainoava mustasukkainen eksä”, Kurittu sanoo.

”Eivät firmojen tekniset asiat ole samalla tavalla tutkijalle henkisesti kuormittavia.”

Antti Kurittu on työskennellyt Nixulla reilun vuoden.­

Yritysten tietoturva puhuttaa erityisesti nyt, kun Vastaamon tapauksessa epäilty kiristäjä väitti pimeän verkon keskustelussa saaneensa potilastiedot haltuun, koska ne oli suojattu oletuskäyttäjätunnuksella ja -salasanalla.

Kurittu ei puhu Vastaamon tapauksesta, mutta kertoo, että yleensä asiakas oppii paljon ensimmäisestä kerrastaan tietoturvaloukkauksen kohteena. Yritysten tietoturvaan panostetaan, kun on ensin huomattu konkreettisesti, mitä sen puutteet voivat aiheuttaa.

Jos asiakas oppii, tietoturvaloukkauksia tapahtuu jatkossa vähemmän.

Onko Kuritun ja hänen tiiminsä tarkoitus siis tehdä itsensä tarpeettomiksi?

”Myös poliisi ja palomiehet yrittävät tehdä itsensä tarpeettomiksi, mutta se päivä ei koskaan tule. Jos sellainen päivä tulisikin, että tietoturvaloukkauksia ei enää tapahtuisi, voin kyllä tehdä jotain muuta.”

Vertaus tulipaloihin nousee esiin usein. Myös silloin, kun Kurittu pohtii, miten yhteiskunta menee tietojen turvaamisessa eteenpäin.

”Paloturvallisuuteen on hyvä ja toimiva normisto. Poistumistiet on merkitty selkeästi ja seinältä löytyvät toimintaohjeet”, Kurittu sanoo ja osoittaa vielä sprinklereitä toimistotilan katossa.

”Mutta tietojärjestelmän saa pistää pystyy kuka vain, ja digitaalisia palotarkastajia ei ole. Vaikka tietosuoja-asetus on tuonut hallinnollisia seuraamuksia, asetus on vähän kuin sakottaisi asukasta sen jälkeen, kun talo on palanut.”

Tietoturva on kuten muukin turvallisuustyö. Sitä ei huomata niin kauan, kun kaikki toimii hyvin.

”Se on kuluerä, joka pitää muut kuluerät hallinnassa. Valvonta ja kontrolli varmistavat sen, että esimerkiksi paperitehdas saa rauhassa keskittyä tuottamaan paperia.”

Vastaamon tapauksessa on kummasteltu sitä, miten vähällä sääntelyllä yksityisen sektorin terveydenhuoltoyritykset toimivat ellei niitä ole liitetty potilasjärjestelmä Kantaan. Vastaamoa ei ollut.

Kurittu ei vaikuta uskovan pelkästään sääntelyn lisäämiseen. Hätiin voi tulla markkinatalous.

”Kybervakuutukset yleistyvät, ja tulevat nostamaan tietoturvan tasoa vähitellen, kun vakuutusyhtiöt alkavat asettaa vakuutusehdoissaan sille edellytyksiä.”

Nixu on vuonna 1988 perustettu suomalainen tietoturvayritys. Se työllistää noin 400 ihmistä Suomen lisäksi Hollannissa, Ruotsissa, Tanskassa ja Romaniassa.

Tuotteiden takia tekninen tausta on melkein välttämätön, mutta pörssiyrityksessä tarvitaan myös laki-, viestintä-, ja myyntiosaajia. Marraskuun alussa Espooseen etsittiin kolmea uutta työntekijää, yhtenä yksityisyydensuojaan perehtynyttä juristia.

Yksi sen päätuotteista on jatkuva valvontapalvelu. Sitä ostavat pääsääntöisesti suuret yritykset, vaikka on Nixu etsinyt myös keinoja laajentaa valikoimaansa pienemmillekin. DFIR-palvelua voi sen sijaan ostaa kuka tahansa, mutta käytännössä niin ei tapahdu.

Yksityiselle asiakkaalle hintalappu voi olla kova, mutta monelle yritykselle se kannattaa. Kurittu kertoo esimerkin menneisyydestä: hissijätti Koneen verkkoihin oli päässyt Australiassa kiristyshaittaohjelma, joka vaati lunnasrahoiksi vaatimattomat tuhat euroa bitcoineina.

Koneen yli yhdeksän miljardin liikevaihdossa summa on säälittävä, mutta Kone päätti, että lunnaita ei makseta.

”Koneelle tuli paljon kalliimmaksi se, että Nixun työntekijä lensi Australiaan selvittämään tilannetta. Mutta lunnaiden maksaminen sopii huonosti suomalaiseen kulttuuriin”, Kurittu naurahtaa.

Vastaamon asiakkaista silti useat ovat maksaneet kiristäjälle. Kuka auttaisi tällaista kiristyspostin saanutta yksityistä ihmistä tai pientä yritystä, jonka vakuutus ei ehkä korvaa tietomurron jälkiä?

”Tätä varten on ainakin Traficomin Kyberturvallisuuskeskus ja KyberVPK, jossa on myös meidän asiantuntijoita on mukana.”

VPK – se tarkoittaa tietenkin vapaaehtoista palokuntaa.