Moni suomalainen suhtautuu kyberturvallisuusuhkiin liian välinpitämättömästi. Tätä mieltä on Elisan aluejohtaja Juha Laukkanen.

– Olemme vielä liian luottavaisia. Ajatellaan, että ei minulle voi sattua mitään. Tai että ei Suomi ole kiinnostava maa. Mutta ei se pidä paikkansa – olemme kaikki yhtä suurta globaalia perhettä, ja kyberturvallisuuden riskit ovat yhtä suuret Suomessa kuin muuallakin, Laukkanen korostaa.

Kyberturvallisuusuhat koskettavat sekä yksityisiä ihmisiä että yrityksiä. Yksityisille ihmisille ovat tulleet tutuksi esimerkiksi erilaiset tietojenkalasteluviestit, joiden määrä on viime aikoina lisääntynyt.

Viesti voi tulla esimerkiksi Postiksi tai viranomaiseksi esittäytyvältä taholta. Viesti näyttää asianmukaiselta, mutta esimerkiksi sähköpostiosoite usein osoittaa, että kaikki ei ole kunnossa. Vastaanottajaa pyydetään yleensä avaamaan mukana tullut linkki tai antamaan jokin henkilökohtainen tietonsa. Jos linkin avaa, laitteeseen voi pesiytyä haittaohjelma tai rikollinen voi saada pääsyn laitteen tietoihin.

– Me Elisassa olemme viiden vuoden ajan lähettäneet työntekijöillemme kalasteluviestejä, jotta he oppisivat, että niihin ei pidä reagoida. Alussa linkin avasi noin 15 prosenttia työntekijöistä ja nyt alle 2 prosenttia, Laukkanen kertoo.

Kyberturvallisuuteen vaikuttaa koko maailman tilanne. Tällä hetkellä siihen vaikuttavat Laukkasen mukaan erityisesti Ukrainan sota sekä Kiinan ja Amerikan väliset jännitteet.

– Kun maiden välillä on kahnausta, ne yrittävät tehdä haittaa toistensa kyberturvallisuudelle. Ne voivat yrittää lamauttaa toisen maan hallinnollista järjestelmää tai heiluttaa yritystoimintaa, Laukkanen kuvailee.

Entistä enemmän kyberturvallisuusuhkia kohdistetaan kriittiseen infrastruktuuriin, kuten energia- ja tietoliikenneyhtiöihin. Tavoitteena ovat mahdollisimman suuret vahingot.

– Suomessa on päästy toistaiseksi vähällä. Täällä ei ole vielä aiheutettu suuria tuhoja tekemällä kyberhyökkäyksiä esimerkiksi energiayhtiöitä vastaan. Mutta hyökkäysyrityksiä on tehty, Laukkanen sanoo.

Kyberhyökkäyksessä rikollinen yrittää lamauttaa esimerkiksi yrityksen tuotanto- tai tietojärjestelmän.

– Kun tietojärjestelmään syntyy haavoittuvuus vaikkapa jonkin muutoksen yhteydessä, rikollinen löytää sen nopeasti ja pääsee sisään järjestelmään. Myös lunnasvaatimukset ovat yleistyneet. Tuoreessa muistissa on esimerkiksi Psykoterapiakeskus Vastaamon tietomurto, jossa murtauduttiin asiakastietojärjestelmään ja yritettiin kiristää tietojen julkaisulla rahaa.

Kyberturvallisuuttaan voivat parantaa sekä yritykset että yksityiset ihmiset. Yksityisiä ihmisiä Laukkanen kehottaa kartoittamaan kaikki kotona olevat, samassa verkossa olevat laitteet.

– Maailma on muuttunut monimutkaisemmaksi. Saman verkon sisällä voivat kotona olla jääkaappi, ilmalämpöpumppu, tabletti, tietokone ja pleikkari. Varmista, että olet suojannut ne kaikki tietoturvasovelluksella tai -palvelulla. Jos laitteita on paljon, kotikutoisesti sitä ei pysty tekemään, vaan kannattaa kääntyä jonkun asiantuntijan puoleen. Asiantuntija huolehtii siitä, että tietoturva päivittyy uusien uhkien osalta ja on ajan tasalla.

Laukkanen varoittaa, että jos jokin verkossa oleva laite ei ole suojattu, siitä voi muodostua rikolliselle portti esimerkiksi henkilön tietokoneeseen ja siellä oleviin tietoihin.

– Moni sanoo, että ei minulla ole mitään varastettavaa. Mutta jos rikollinen pääsee varastamaan vaikka henkilötunnuksesi, monessa paikassa sillä pääsee jo pitkälle, hän huomauttaa.

Laukkanen neuvoo puhumaan myös jälkikasvun kanssa tietoturva-asioista.

– Kannattaa keskustella, missä perheen salasanoja säilytetään, kuka ne tietää ja kuka ne vaihtaa. Joku voi laittaa saman salasanan joka paikkaan. Ymmärrän, että se on helppoa, mutta jos joku rikollinen saa sen tietoonsa, hän pääsee silloin käsiksi kaikkiin tietoihin, Laukkanen muistuttaa.

Laukkanen tähdentää myös, että kannattaa miettiä, miten käyttää kännykkää ja tietokonetta julkisilla paikoilla.

– Reissaan junalla Turun ja Helsingin väliä ja näen paljon ihmisiä, jotka käyttävät läppäriä ilman näytönsuojaa, vaikka ruudulla saattaa olla yksityiskohtaisiakin yritystietoja. Kannattaa muistaa, että tietoja voi päätyä väärien ihmisten silmiin. Yritysten on hyvä pitää huolta, että heidän työntekijänsä ovat tässä asiassa valveutuneita.

Yritysten uhka ovat myös pitkät toimitusketjut. Ketjun jokaisen portaan tietoturvallisuus on varmistettava, jottei rikollinen pääse uimaan käsiksi pääyrityksen tietoihin.

– Toimitusketjujen kautta tehtyjen kyberhyökkäysten määrä on kolminkertaistunut vuoteen 2020 verrattuna. Myös yritysten sisältä etsitään heikkoja lenkkejä, jotka ovat rahaa vastaan valmiita päästämään rikollisen sisään yrityksen järjestelmään, Laukkanen sanoo.

Tältä syksyltä Laukkanen kertoo yhden varoittavan esimerkin yrityksestä, joka teki sähköpostitse kaupat tutun singaporelaisen komponenttien toimittajan kanssa. Yritys maksoi laskun, mutta summa ei ilmestynytkään toimittajan tilille. Selitys oli, että kolmas taho oli kaapannut sähköpostikeskustelun ja ujuttanut laskutustietoihin oman tilinumeronsa. Kymmeniä tuhansia päätyi rikollisen pankkitilille.

– Jatkossa yritys aikoo aina varmistaa, että tilinumero on toimittajan tilinumero, Laukkanen toteaa.