Lahti, Kokemäki, Pori – kyberiskut ovat jo täällä
Tietoturva ei ole leikin asia. Paha ei tule enää sisään etuovesta, vaan laajakaistaa myöden pikavauhdilla. (Kuva: Pixabay)
Kunnat ja kaupungit ovat paljon vartijoina suomalaisten arkea pyöritettäessä. Ja kun jotain poikkeavaa tapahtuu, niin se tietää ylimääräistä työtä. Tämä on huomattu kesän aikana Lahdessa, Kokemäellä ja Porissa, jossa on saatu karulla tavalla havaita tietoturvan pettäneen.
Kesäkuussa Lahden kaupungin tietojärjestelmiin tehty kyberhyökkäys näkyy yhä niin kaupungin, kuin Päijät-Hämeen hyvinvointikuntayhtymän toiminnassa. Heinäkuun lopulta saakka Kokemäellä on painittu ongelman kanssa ja tuoreimpana tapauksena Pori ilmoitti viime keskiviikkona tapahtuneesta tietomurrosta.
Porissa havaittiin yhdellä opetusverkon työasemalla tietomurto. Työaseman kautta oli saatu asennettua haittaohjelma opetusverkon käyttäjähakemistopalvelimille.
-Haittaohjelman tarkoituksena oli datan kerääminen, joka on saattanut vaarantaa käyttäjien kirjautumistietoja. Varotoimenpiteenä kaikkien opetusverkon käyttäjien salasanat vaihdetaan, kertoo ICT-yksikön päällikkö Heikki Haaparanta kaupungin nettisivuilla.
Maksut ja moni muukin asia seis
Naapurikaupungissa Kokemäellä havaittiin kaupungin tietohallintoverkossa oleva kiristyshaittaohjelma maanantaina 29. heinäkuuta. Siitä lähtien ongelma on työllistänyt kaupungin tietohallintohenkilöstöä ja kaupungille ICT-palveluja toimittavaa yritystä.
-Sosiaalihuollon palveluissa on jouduttu keksimään eniten vaihtoehtoisia tapoja hoitaa asioita. Esimerkiksi täydentävää toimeentulotukea emme ole pystyneet normaaliin tapaan hoitamaan. Pankin kanssa olemme sovittua jotain erikoisjärjestelyjä, joilla olemme tärkeimmät asiat pystyneet hoitamaan. Käytännössä se on sitten tarkoittanut paperilaskujen kiikuttamista pankkiin, Kokemäen hallintojohtaja Mikko Löfbacka kertoo.
Tilanteen paljastuttua jouduttiin lyömään tietokoneiden käytölle täysi stoppi, mutta nyt kaupungin sisäistä verkkoa ja järjestelmiä siirretään hallitusti testauksesta normaaliin käyttöön. Jos kaikki sujuu suunnitellusti, niin kaupungin palvelut ovat normaali-iskussa viikon kuluttua.
-Hyökkäys tapahtui viikonloppuna, jolloin valtaosa tietokoneista oli kiinni. Tämä osaltaan rajoitti saastuneiden tietokoneiden määrään. Nyt on kuitenkin työyksikkö kerrallaan varmistettava laitteiden puhtaus ennen käyttöönottoa. Olemme priorisoineet koneiden tarpeen ja sen mukaan etenemme, Löfbacka kertoo.
Meneillään olevan hallitun käyttöönoton arvioidaan vievän noin viikon, joten ensi viikon lopulla tietojärjestelmät ovat jälleen käytössä normaaliin tapaan, mikäli kaikki sujuu suunnitellusti. Kaupungin arvion mukaan joidenkin järjestelmien osalta työ voi kestää pidempäänkin.
Ensimmäisenä Kokemäellä otetaan käyttöön maksuliikenteeseen ja palkanmaksuun liittyvät järjestelmät sekä sosiaalipalveluiden järjestelmät. Sen jälkeen sisäverkkoon päästetään avainhenkilöitä ja esimiehiä eri osastoilta sekä myöhemmin työyksikkö kerrallaan arvioidussa tärkeysjärjestyksessä. Koulut pyritään saamaan sisäverkkoon vielä tämän viikon aikana.
Kaikista kolmesta tapauksesta on tehty rikosilmoitus poliisille.
Ongelmatilanteita pitää harjoitella
Kuntaliiton erityisasiantuntija Tuula Seppo korostaa harjoittelun ja varautumisen merkitystä, kun kunnat taistelevat kyberhyökkäyksiä vastaan. Hyökkäyksiä ei välttämättä pystytä täysin estämään hyvistäkään varautumista huolimatta, joten ongelmatilanteiden harjoittelu nousee arvoon arvaamattomaan.
-Harjoittelu on avainsana, kun kyberhyökkäyksiin varaudutaan. Henkilökunta on koulutettava niin, että he tietävät miten tunnistaa häiriötilanteita ja miten toimia, kun merkkejä hyökkäyksestä havaitaan. Myös koneiden päivitykset on pidettävä ajan tasalla.
-On myös harjoiteltava ja laadittava muun muassa jatkuvuussuunnitelma, miten esimerkiksi potilaiden hoito järjestetään, mikäli potilastietojärjestelmät eivät ole käytettävissä . Kun asioita pohditaan ja harjoitellaan etukäteen, niin hyökkäyksistä aiheutuvat vahingot voidaan minimoida. Esimerkiksi terveydenhuollossa kyse on niin kriittisistä järjestelmistä, että harjoitteleminen on todellakin tarpeen, painottaa Seppo.
Marraskuussa mahdollisuus
Väestörekisterikeskus järjestää ensi marraskuussa TAISTO19-harjoituksen. Harjoituksessa julkisen hallinnon organisaatiot harjoittelevat henkilötietojen tietoturvaloukkausten hallintaa ja testaavat siten omaa digiturvakyvykkyyttään. Kaikki julkisen hallinnon organisaatiot voivat osallistua maksuttomaan harjoitukseen.
-Vain harjoittelemalla saadaan selville oman organisaation pullonkaulat kriisitilanteissa. Mitä paremmin henkilöstö tilanteissa toimii, sitä pienemmäksi vahingot jäävät, Kuntaliiton Tuula Seppo muistuttaa.
Kyberhyökkäykset ovat nettimaailmassa arkipäivää. Kalasteluviestejä tai hauskoja videoita tulvii sähköposteissa ja erilaisissa sosiaalisen median kanavissa. Kaikkea kivaa ja mukavaa ei kannata klikata. Ei ainakaan työnantajan koneella.
-Nykyään pitää olla todella tarkkana sen suhteen, mitä klikkaa ja missä liikkuu, erityisasiantuntija Tuula Seppo painottaa.
Ja kun jotain tapahtuu, niin avoin tiedottaminen kannattaa aina. Asiakkaat saavat ajantasaista tietoa siitä, minkä takia palvelut eivät pelaa ja naapurikunnissakin herätään nettimaailman ongelmiin. Viestintä on myös suunniteltava etukäteen ja sovittava siitä, kenellä on viestintävastuu.
-Esimerkiksi Lahdessa on julkistettu hienosti tämä prosessi ja tiedotettu asioista sekä aikatauluista, kehaisee Kuntaliiton erityisasiantuntija Tuula Seppo.
-Ja on syytä muistaa, että liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukseen on hyvä tehdä ilmoituksia matalalla kynnyksellä, mikä tietoturvaloukkauksia tai -poikkeamia ilmenee. Ilmoituksia otetaan vastaan sähköpostiosoitteenseen cert@traficom.fi , Seppo jatkaa.
Varautuminen kirjavaa
Kuntien varautumista on kehitetty viime vuosina KUJA-hankkeiden puitteissa. Nyt menossa olevaa KUJA2-hanketta vetäjä projektipäällikkö Aki Pihlaja myöntää, että varautuminen kyber-hyökkäyksiin on kuntakentällä hyvin kirjavaa.
-Kyberuhkiin varautumisen taso kunnissa vaihtelee hirveästi. Monissa suurissa kaupungeissa varautuminen on keskimääräisesti ihan hyvällä tasolla, mutta pitää muistaa, että koko ajan kehittyvät myös hyökkäyksiä tekevien taidot, Pihlaja toteaa.
Vaikka kotikunnassa ei mitään olisi tapahtunutkaan, niin verkko elää koko ajan. Ja kaikki lähestymiset bittien muodossa eivät ole ystävällisiä.
-Hyökkäyksiä tapahtuu koko ajan. Pienessä kunnassa riskit ovat pienemmät, mutta asioista kannattaa huolehtia sielläkin. Kunnanjohtajan on hyvä kysellä näidenkin asioiden perään, Aki Pihlaja opastaa.
Hyökkääjien tarkoitusperät ovat hyvin erilaisia.
-Esimerkiksi Kokemäen casessa kyse oli kiristyksestä, jossa pyrittiin saamaan rahaa koneiden vapauttamisesta. Sitten on yleistä haitantekoa sekä tietojen keräämistä, projektipäällikkö Aki Pihlaja kertoo.
Porin tietomurto luultua vakavampi
Viime keskiviikkona Porin kaupungin opetusverkkoon tehty tietomurto on osoittautunut arveltua vakavammaksi. Opetusverkon työaseman kautta oli saatu asennettua haittaohjelma käyttäjähakemistopalvelimelle. Haittaohjelma on aiheuttanut tuhojaan myös opetusverkon käyttäjien tiedostoissa.
-Asiaa tarkemmin tutkiessa havaittiin, että myös osa käyttäjien tiedostoista eivät olleet käytettävissä. Tutkimme tähän johtaneita syitä ja sitä, saadaanko tiedostot palautettua käyttäjille. Tutkinnan ajaksi kaikki opetusverkon verkkolevyt ovat pois käytöstä, sanoo IT-palvelut-toimintayksikön esimies Jani Setälä.
Tapahtumien selvittely jatkuu edelleen. Porin kaupungin mukaan tapauksesta tehdään rikosilmoitus, kyberturvallisuusilmoitus sekä ilmoitus tietoturvaloukkauksesta.
-Pian vahvistui, että murto tapahtui pelkästään opetusverkkoon, eikä murto levinnyt laajemmalle kaupungin verkossa. Toimintoja pystytään siis jatkamaan normaalisti, Setälä toteaa.