Viime keväänä yhdysvaltalainen asianajotoimisto
Grubman Shire Meiselas & Sacks joutui kyberhyökkäyksen
fokus
kohteeksi. Siltä varastettiin tietoa aina-kin
laulaja Lady Gagan asioista. Toimisto on erikois-tunut
viihde- ja media-alaan ja palvelee kuuluisuuksia
Madonnasta ja Bruce Springsteenistä lähtien.
Vuonna 2016 kolme kiinalaista miestä onnistui
pääsemään käsiksi newyorkilaisten yrityskauppoja
hoitavien asianajajien tietoihin. He onnistuivat tekemään
miljoonia dollareita pörssissä, kun he hyödynsivät
salassa pidettävää tietoa tulevista yrityskaupoista.
TIETOMURTOA EI USEIN HUOMATA HETI
Kukaan ei pysty sanomaan varmasti, että ”meillä
ei ole tällaista tapahtunut”. Tietojen kalastelu tai
väärinkäyttö ei aina tule yrityksen tietoon saman tien
eikä välttämättä koskaan.
HPP Asianajotoimiston asianajaja Risto Sandvik on
vetänyt koulutuksia paitsi juristeille, myös tekniikan
ammattilaisille. Sandvik sanoo, että valitettavan usein
tietomurto havaitaan vasta, kun jotain on sattunut:
esimerkiksi pankkitilin saldo näyttää väärältä.
Tietokone ja ohjelmistot saattavat toimia entiseen
tapaan siitä huolimatta, että tunkeutuja on päässyt
sisään tietojärjestelmiin ja seuraa niiden toimintaa.
Sandvik vertaa tietoturvan parantamista terveydenhuollon
potilasturvallisuuden parantamiseen: paradoksaalisesti
mitä enemmän poikkeamia raportoidaan,
sitä parempi on organisaation turvallisuuskulttuuri.
– Jos organisaatio ei ole havainnut koskaan
minkäänlaisia
tietomurron yrityksiä ja poikkeamia,
olisin huolissani. Todennäköisesti niitä on tapahtunut,
mutta niihin ei ole havahduttu.
Myös HPP on kokenut huijausyrityksiä, jotka
ovat onneksi jääneet yrityksiksi. Murron kohteeksi
joutuneelta yhteistyökumppanilta saattaa tulla oikean
näköinen lasku, mutta tilinumero on muutettu.
Sandvik sanoo, että laskutushuijauksia ehkäisee
se, että summan ollessa riittävän iso sitä ei yksi
henkilö pysty maksamaan, vaan tarvitaan varmistus.
Järjestelmään voi myös asentaa automaattisen varoituksen,
joka ilmoittaa, jos laskuttaja ilmoittaa eri
tilinumeron kuin aiemmin.
VELVOITTAVIA OHJEITA JA KOULUTUSTA
Asianajajaliitto on pyrkinyt tuomaan alalle entistä
parempaa
tietoturvaa. Asianajajia velvoittavat tietoturvaohjeet
päivitettiin tammikuussa 2020. Lisäksi
liitto tarjoaa koulutusta. Liitto on julkaissut aiheesta
maksuttoman verkkokoulutuksen Asianajaja-akatemiassa.
Liiton tietoturvaohjeita päivittämässä ollut
Sami Järvinen sanoo, että tietoturvan pohdinnan
olisi hyvä tulla automaattiseksi osaksi kaikkea
tekemistä.
– Ennen kuin käytät jotain viestintävälinettä,
mietit, onkohan tämä tietoturvallista. Jos tallennat
jotain muistitikulle, mietit, onko se salattu ja onko
ylipäätään pakko tallentaa tietoa helposti hukkaan
menevälle fyysiselle laitteelle.
Tärkeää on se, että jokaisella on pääsy vain
omissa projekteissaan tarvittavaan tietoon. Jos
pahin tapahtuu, yhden ihmisen tunnuksilla saadaan
rajallinen osa toimiston aineistosta.
Tero Artimo toteaa, että velvoitteet asianajajille
ovat lisääntyneet viime vuosina niin tietosuojasta
kuin tietoturvasta huolehtimisessa. Iso haaste
hänen mukaansa on byrokratia, eli dokumentoinnin
velvoitteet.
– Väitän, että suurella osalla pienistä toimijoista ei
ole resursseja panostaa dokumentaatioon niin paljon
kuin vaaditaan. Ylemmän tason ohjeistuksen lisäksi
tarvittaisiin kädestä pitäen -ohjeita ja malliasiakirjoja:
esimerkiksi minkä näköinen valmiussuunnitelma
kannattaa laatia.
Pääsihteeri Niko Jakobsson muistuttaa, että
osallistuminen liiton luottamustehtäviin on
asianajajille erinomainen tapa vaikuttaa asianajajia
koskevaan sääntelyyn käytännössä. Esimerkiksi
liiton päivitettyjä tietoturvaohjeita on ollut
kommentoimassa niin liiton it-valiokunta kuin
teknologia, viestintä ja tietosuoja -asiantuntijaryhmäkin.
HARJOITTELUSTA ON APUA
Koska tietomurto voi sattua kenelle tahansa, Risto
Sandvikin mukaan tilannetta on hyvä harjoitella.
Keneen ongelman havainnut ihminen ottaa yhteyttä,
mikä porukka kutsutaan kokoon ja jos tarvitsee kerätä
sähköistä todistusaineistoa, miten se tehdään?
– Tyypillisesti tietomurron sattuessa tilanne on
todella hektinen, ja täytyy nopealla aikataululla
selvittää,
mitä ilmoitetaan ja kenelle ja minkä
sisältöisenä tai pitääkö ajaa järjestelmä alas vahinkojen
estämiseksi. Vaikeita päätöksiä pitää tehdä tosi
nopeasti, Sandvik sanoo.
Kun tietomurto tulee julkiseksi, kriisiviestintä
on tärkeää. On hyvä miettiä, kuka median kanssa
keskustelee.
Tietoturvavirheisiin liittyvästä häpeilystä on syytä
päästä eroon. Sandvik sanoo, että työpaikalla pitäisi
olla matala kynnys kertoa ongelmista ja virheistä.
– Kun jotain tapahtuu ja joku raportoi siitä,
lähdettäisiin ensisijaisesti ratkaisemaan asiaa eikä
etsimään syyllistä. Tulokulma ei olisi sellainen, että
miksi menit klikkaamaan.
16