Vastaamon tietomurtoa tutkimaan tulee perustaa selvitysryhmä

Nyt nähty tietomurto ja kiristys ovat poikkeuksellinen tapaus jopa maailmanlaajuisella tasolla. Tähän on yhteiskuntamme reagoitava vahvasti ja samalla otettava oppia varautumisen ja kriisinsietokyvyn kehittämiseen. Vaikka kyseessä on kansallinen kriisitilanne, jossa iso joukko suomalaisia tuntee parhaillaan vakavaa turvattomuuden tunnetta, kukaan ei ole vieläkään ehdottanut selvitysryhmän perustamista. Eikö kymmenien tuhansien ihmisten ahdinko ole riittävän suuri kriisi?

Tämän päivän tiedon valossa Vastaamon asiakasrekisteriin on tehty useampi kuin yksi tietomurto. Hyökkääjä ilmoitti varastaneensa asiakasrekisteristä 40 000 Vastaamon terapiapalveluita käyttäneen asiakkaan potilastiedot ja uhkasi julkaista ne, mikäli yhtiö ei maksa yli 400 000 euron lunnasvaatimusta. Myöhemmin terapiakeskuksen asiakkaat saivat sähköposteihinsa henkilökohtaisia kiristyskirjeitä, joissa luvattiin poistaa yksittäisen henkilön tiedot rekisteristä, mikäli tämä maksaa satojen eurojen lunnaat kryptovaluutassa.

Tietomurron laajuus ja kohde olivat ennennäkemättömiä. Hyökkäys kohdistui ihmisiin, joiden elämässä saattoi jo muutenkin olla riittävästi huolenaiheita. Tämä jos mikä on kansallinen kriisi, mutta jostakin syystä siihen ei ole vastattu samalla vakavuudella kuin perinteiseen suuronnettomuuteen.

Suuronnettomuus ei ole mitätön vain siksi, että se kohdistuu mieleen ja bitteihin. Teko on moraaliton ja järkyttävä. Tämä on valitettava esimerkki siitä, kuinka suuria vaikutuksia pahantahtoisilla kybertoimilla voi olla myös digitaalisen maailman ulkopuolella. Poliisin järjestelmät ruuhkautuivat, kun rikosilmoituksia tehtiin muutamassa päivässä tuhansittain. Edessä on mahdollisia identiteettivarkauksia ja luottotietojen väärinkäyttöjä, joiden uhreiksi päätyy ihmisiä, joilla on pahimmassa tapauksessa vaikeuksia suoriutua tavallisesta arjesta. Vahingonkorvausprosessi tulee todennäköisesti kestämään vuosia. Puhumattakaan epävarmuudesta, joka liittyy luottamuksellisten, henkilökohtaisten ja hyvin arkaluontoisten terveystietojen päätymisestä vääriin käsiiin.

Nyt hallitus pohtii ratkaisuiksi muun muassa juuri kaatunutta henkilötunnusuudistusta sekä asiakastietolain muuttamista niin sanottujen b-luokan yritysten tietoturvavaatimusten osalta. On hyvä, että toimia mietitään ja nopeisiinkin ratkaisuihin ollaan valmiita, mutta on syytä kysyä, minkä tiedon varassa juuri nämä valitut keinot olisivat parhaat mahdolliset?

Yleensä, kun jotakin näin vakavaa sattuu, perustetaan kansallinen selvitysryhmä tutkimaan tapausta. Vastaava perustettiin viimeksi tänä vuonna tutkimaan koronakriisin hoitoa, ja sellainen tarvitaan nytkin.

Selvitysryhmän tarkoitus ei ole etsiä syyllisiä, vaan tehdä kattava jälkiarvio. Olennaista on, että tarkastelussa ei keskitytä vain yhden yrityksen tai pelkästään suppeasti rajatun julkishallinnon toimiin, vaan yhteiskunnallista kyberturvallisuutta sekä kriisinsietokykyä arvioidaan. Ja tämä arvio on erittäin tärkeää tehdä nimenomaan kokonaisuutena. Jos emme tee perusteellista selvitystä, hukkaamme mahdollisuuden kerätä tärkeitä oppeja tulevien tietomurtojen ja -vuotojen varalle. Jokaisen kriisin tulisi kehittää varautumistamme tavalla, joka edesauttaa koko yhteiskuntaamme.

JarnoLimnell

Jarno on kyberturvallisuuden työelämäprofessori Aalto-yliopistossa ja Tosibox Oy:n toimitusjohtaja. Hän toimii dosenttina kolmessa yliopistossa ja on Maailman talousfoorumin asiantuntijaverkoston jäsen. Hän on koulutukseltaan sotatieteiden tohtori, VTM ja upseeri (majuri evp.).

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu