Kyberhyökkäyksistä on tullut arkea myös Suomessa, eikä niiltä voi täysin suojautua. Siksi on pakko harjoitella. Hyökkäysten kustannukset voivat nousta miljooniin euroihin sekä yksityisellä että julkisella puolella.

Neljä puhelinta pärähtää soimaan samaan aikaan. Yhden luurin päässä on hätääntynyt soittaja Amsterdamista. Hakkerit ovat sulkeneet pankkiautomaatit ja vaativat niiden avaamisesta bitcoineja. Asiakkaat alkavat hermostua.

Ollaan suuressa mustassa rekassa IBM:n pääkonttorin edessä Helsingissä. Sen sisälle on rakennettu operaatiokeskus, jossa pääsee kokemaan, miltä tuntuu olla kyberhyökkäyksen keskellä.

Hakkerit kiristävät kuvitteellista yritystä kaapatuilla asiakastiedoilla. Kaikki puhuvat päällekkäin. Kukaan ei tiedä, mitä pitäisi tehdä tai missä järjestyksessä.

Paniikki alkaa iskeä, ja se on tarkoituskin.

– Sekasorto vastaa oikeaa kyberhyökkäystilannetta. Useimmilla organisaatioilla ei ole suunnitelmaa hyökkäysten varalle, sanoo IBM:n rekkaharjoituksista vastaava Erno Doorenspleet .

Harjoittelu vähentää kustannuksia 20–30 prosenttia

Edes valmis suunnitelma kyberhyökkäysten varalle ei tänä päivänä riitä, kertoo pääsihteeri Kimmo Rousku julkisen hallinnon digitaalisen turvallisuuden Vahti-johtoryhmästä. Kyberhyökkäyksiin reagoimista pitää harjoitella ennakkoon.

– Olemme havainneet, että reagointi on paljon tehokkaampaa, jos on etukäteen varauduttu ja harjoiteltu. Toipumisessa säästetään merkittävästi aikaa ja rahaa.

Samaa kertoo IBM Suomen toimitusjohtaja Mirva Antila .

– Valmistautuminen ja harjoittelu vähentävät tutkimusten mukaan tietomurtojen kustannuksia 20–30 prosenttia, eli puhutaan isoista rahoista.

Hyökkäykset lisääntyvät ja kohdistuvat myös julkisiin tahoihin

Kyberhyökkäysten torjuntaa on pakko harjoitella, koska niitä on mahdotonta täysin estää.

– Emme voi ikinä saavuttaa sadan prosentin turvallisuutta. Meidän täytyy varautua yhteiskuntana siihen, että kyberhyökkäysten määrä kasvaa ja ne kohdistuvat yhä useammin myös julkisiin tahoihin, Kimmo Rousku sanoo.

Tänä vuonna jo kolme suomalaista kuntaa on joutunut hyökkäyksen uhriksi.

– Kyberhyökkäyksistä on tullut kansainvälisten rikollisten liiketoimintaa, joka ulottuu Suomeen asti. Toiminta ei välttämättä ole kohdistettu suomalaisia vastaan, mutta rikollisten kampanja osuu myös Suomessa oleviin organisaatioihin, Rousku kertoo.

Kun digitaalisessa yhteiskunnassa palveluiden ja datan määrä kasvaa, niin kyberrikollisten lisäksi myös ICT-häiriöt ja inhimilliset erehdykset aiheuttavat merkittäviä ongelmia palveluiden toiminnalle.

– Jos tänä vuonna on sata yksikköä digiä ja kymmenen vuoden päästä tuhat, ongelmia ja poikkeamia tulee kymmenen kertaa enemmän julkisuuteen, vaikka kyberturvallisuus pysyisi samalla tasolla, Rousku selventää.

Harjoittelulle on kysyntää

Valtionhallinto korostaa nyt kyberhyökkäysten torjunnan harjoittelua, jotta häiriötilanteisiin voitaisiin reagoida oikein.

Harjoituksissa on tarkoitus testata, miten organisaatiot voivat rajoittaa ja hallita hyökkäyksiä niin, että häiriöiden vaikutukset ja kestot olisivat mahdollisimman pieniä. Opit ovat tarjolla julkisen hallinnon lisäksi yrityksille.

– Ei riitä, että julkinen hallinto hoitaa asiat hyvin, koska valtaosa julkishallinnon palveluista tuotetaan joko suoraan tai välillisesti yritysten toimesta, Kimmo Rousku toteaa.

Tietomurtoihin ja kyberhyökkäyksiin varaudutaan esimerkiksi Väestörekisterikeskuksen järjestämässä TAISTO19-harjoituksessa, joka järjestetään marraskuussa toista kertaa. Viime vuoden harjoitukseen osallistui yli 230 eri organisaatiota.

Tänä vuonna oppia otetaan kesän kyberhyökkäyksistä Lahteen, Kokemäelle ja Poriin. Kuntia onkin ilmoittautunut harjoitukseen innokkaammin kuin viimeksi.

Yrityspuolella IBM:n rekka on yksi mahdollisuus harjoitella sitä, miten tehtävät jaetaan kyberhyökkäyksen iskiessä ja kuinka kriisistä viestitään ulkopuolelle.

Tälle näyttää olevan tilausta. Kun IBM ilmoitti rekan tulosta Helsinkiin, viime viikon kaikki ajat täyttyivät alle kahdessa päivässä. Simulaatioharjoituksiin osallistui esimerkiksi isoja finanssialan yrityksiä ja sote-alan toimijoita.

– Tietoturva on Suomessa yritysten ja julkisen hallinnon agendalla, mutta ihan selvästi on tarvetta hyökkäystilanteen harjoittelulle. Se on mielestäni puuttunut kyberturvallisuudesta, Mirva Antila sanoo.

Kyberhyökkäyksestä miljoonien kustannukset

Moni organisaatio pitää kyberhyökkäystä ainoastaan teknisenä ongelmana, mutta sen hintalappu voi nousta miljooniin euroihin.

Kyberrikolliset voivat aiheuttaa mittavia tappioita tai vahinkoja, jos hyökkäys halvaannuttaa yhtiön tai julkisen organisaation toiminnan. Lisäksi rikolliset saatavat vaatia tietojen tai toimintojen palauttamisesta lunnaita tai tieto hyökkäyksestä voi romahduttaa pörssiyhtiön kurssit.

Viimeisen viiden vuoden aikana tietomurroista aiheutuneet kustannukset ovat nousseet 12 prosenttia, kertoo IBM:n tilaama Ponemon-instituutin tutkimus. Sen mukaan maailmanlaajuisesti kyberhyökkäys maksaa organisaatioille keskimäärin 3,5 miljoonaa euroa, kun Pohjoismaissa vastaava luku on kaksi miljoonaa euroa.’

Kyberhyökkäyksen hintalappu voi nousta korkeaksi myös julkisella puolella. Esimerkiksi Lahden kaupungin tietoverkkoon kesäkuussa tehty hyökkäys on maksanut tähän mennessä yli 700 000 euroa.

– Tähän lukuun lisätään vielä välilliset kustannukset. Merkittävä, laajavaikutteinen julkisen hallinnon toimijaan kohdistuva hyökkäys voi siis maksaa miljoonia euroja, Kimmo Rousku kertoo.

Rosvoja ja poliiseja digimaailmassa

IBM:n Mirva Antilan mukaan kyberhyökkäyksen jälkipyykissä kustannuksia tulee esimerkiksi mahdollisista oikeuskuluista, korvausvaatimuksista ja sakoista. Eniten tappiota tulee kuitenkin menetetyistä tuloista.

Hyökkäyksen hintaa ei voi aina mitata edes rahassa.

– Jos hyökkäys osuu esimerkiksi sairaalaan, hintana voi olla ihmishenkiä. Digitalisaation mahdollisuuksiin liittyy aina uhka, että joku haluaa käyttää niitä väärin. Tästä syntyy rosvo ja poliisi -asetelma, Antila toteaa.

Rouskun mukaan kyberturvallisuuteen olisikin syytä investoida ennakkoon niin julkisella kuin yksityiselläkin puolella.

– Tietoturvan kehittämiseen menee huomattavasti vähemmän rahaa kuin hyökkäykseen.

Hyökkäyksistä pitää puhua avoimesti

IBM Suomen kyberturvallisuusyksikön maajohtaja Juha Kolehmainen kertoo, että moni yritys ei tuo kyberhyökkäystä julkisuuteen, vaan asia käsitellään suljettujen ovien takana.

– Avoimuus on tänä päivänä parempi vaihtoehto, jotta luottamus säilyy.

Nyt esimerkiksi Lahden kaupunki on tiedottanut avoimesti kesän kyberhyökkäyksestä ja sen vaikutuksista. Kimmo Rouskun mukaan näitä oppeja jaetaan eteenpäin muille kunnille ja organisaatioille.

Hän muistuttaa, että avoin kriisiviestintä hyökkäystilanteessa hyödyttää kaikkia. Kaikista hyökkäyksistä kannattaa myös ilmoittaa poliisille sekä Liikenne- ja viestintäviraston Kyberturvallisuuskeskukseen. Näin rikolliset voidaan saada kiinni ja viranomaiset saavat tilanteesta kokonaiskuvan.

– Viimeaikaiset uutiset kyberhyökkäyksistä Suomessa osoittavat, että niistä on valitettavasti tullut osa arkea, Rousku sanoo.

Eniten tietotekniikan häiriöitä

Rouskun mielestä Suomessa kyberturvallisuus on kuitenkin keskimäärin monessa suhteessa parempi kuin muissa maissa.

Hän listaa vahvuuksiksi laaja-alaisen yhteistyön sekä ICT-palvelutuotannon toimivat prosessit. Vaikka parantamisen varaa on, lähtökohdat ovat hyvät.

Rousku muistuttaa, että vaikka kyberrikollisuus on merkittävä ongelma, valtaosa häiriöistä johtuu edelleen tietoteknisistä ongelmista, ei niinkään turvallisuuspuutteista.

– Toimintamallien täytyy kuitenkin olla samat häiriön luonteesta riippumatta, Rousku toteaa.

Hakkerit voi valjastaa hyvien puolelle

Kyberhyökkäyksiä tehtailevat hakkerit voidaan värvätä myös organisaatioiden palvelukseen.

Näin on tehty muun muassa Lähi-Tapiolassa, jonka Big Bounty -ohjelmassa “valkohattuiset” hakkerit ovat etsineet tietojärjestelmien haavoittuvuuksia palkkiota vastaan jo vuodesta 2015 alkaen.

– Eettiset hakkerit tekevät taidoillaan hyvää ja tunkeutuvat järjestelmiimme meidän luvallamme. On löytynyt paljon haavoittuvuuksia, jotka olisivat jääneet muuten piiloon, tietoturvajohtaja Leo Niemelä kertoo.

Lähi-Tapiola on korjannut ohjelman ansiosta 200–300 haavoittuvuutta. Lisäksi hakkerit ovat raportoineet ainakin kaksi haavoittuvuutta, joita kukaan muu maailmassa ei ole vielä löytänyt. Ne ovat vielä paikkaamattomia tieturva-aukkoja, eli nollaturvahaavoittuvuuksia.

Palkkiomallissa organisaatio maksaa hakkereille ainoastaan tuloksista, ei käytetystä ajasta. Keskimäärin Lähi-Tapiola maksaa löydetystä haavoittuvuudesta 1 000–2 000 euron palkkion.

– Kokonaisuudessaan olemme maksaneet palkkioita yli 130 000 dollaria. Isoin palkkiomme on 50 000 dollaria, Niemelä kertoo.

– Meillä on tilastotietoa siitä, että eettiset hakkerit eivät luisu pahojen puolelle. Tämä perustuu luottamukseen. Hakkeri ottaa rahat laillista tietä pitkin, eikä lähde yhteistyöhön rikollisten kanssa.

Suomessa hakkereita käytetään haavoittuvuuksien metsästämisessä myös esimerkiksi S-Pankissa ja verohallinnon OmaVero-palvelussa.

– Olemme ihmetelleet, miksi organisaatiot eivät ole käynnistäneet vastaavia ohjelmia enemmän. On valtavan tehokas ja hyvä tapa antaa palvelu eettisten valkohattujen käsiin, Niemelä toteaa.