Kohta tulee kuluneeksi vuosi Lahden kaupunkia kohdanneesta tietoturvaongelmasta, jota hienommin kutsutaan kyberhyökkäykseksi. Onhan se paljon dramaattisempi kuin tietoverkkoon tunkeutuminen, tietomurto tai sähköinen vahingonteko.
Mitä Lahdessa tapahtui, on edelleen arvailujen varassa. KRP vetoaa tutkinnan keskeneräisyyteen eikä kerro yksityiskohtia. Emme siis tiedä, mikä haittaohjelma Lahdessa oli ja miten "kyberhyökkäys" toteutettiin. Emme voi siten myöskään ottaa oppia Lahden kokemuksista muutoin kuin yleisellä tasolla: laittakaa tietoturva ajoissa kuntoon. Jep.
Tutkinta on ollut kesken jo vuoden ajan, eikä KRP ole päässyt selville tekijän motiiveista, tuskin tekijöistäkään. Aktiivista tutkintaa tuskin on enää käynnissä, joten miksi tietoja pantataan edelleen? Milloin KRP aikoo kertoa sen vähän, mitä on saanut selville?
Ei ottanut kokemuksista oppia Lahti itsekään. Vähän aikaisemmin (helmikuu 2018) kunnan verkkopalvelimelle oli ujutettu Monero-kryptovaluutan louhintaohjelma. Ylläpito joutui katkaisemaan varotoimenpiteenä verkkoyhteydet, mikä tuotti suuria vaikeuksia mm. terveydenhuollon ja kirjastojen it-järjestelmille.
Siksi hämmästyin, kun MTV oli tänään kutsunut Lahden kaupunginjohtajan aamutelevisioon ja tehnyt viime kesän hyökkäyksestä uutisen. Sen mukaan hyökkäys ja sen selvittely aiheuttivat kaupungille miljoonan euron vahingot:
"Olemme jälkikäteen arvioineet, että noin 300 000 – 400 000 eurolla hyökkäys olisi estetty. Tämä sisältää vakavan opetuksen kaikille suomalaisille kunnille siitä, mikä merkitys tietoturvalla ja turvallisella yhteiskunnalla on."
Miten tämä pitäisi ymmärtää? Kaupungin pitää joka tapauksessa varmistaa tietojärjestelmiensä turvallisuus. Kyse ei ole mistään "estosta", vaan normaalista koulutuksesta, ohjeistuksesta ja tietoturvasta, jonka jokainen yritys ja organisaatio joutuu huomioimaan. Ei tämä voi tulla yllätyksenä.
Erityisen noloa esto on Lahdelle, joka ei ilmeisesti oppinut helmikuun 2018 tapahtumista riittävästi.
Jos viime kesän hyökkäyksessä oli jotain uutta ja erikoista (olihan se oikein kyberhyökkäys), tuntuu kohtuuttomalta panostaa torjuntaan 30-40 prosenttia vahingon hinnasta. Ottaisitko sinä 10 000 euron autoon 3-4 000 euron vakuutuksen? Joka kolmannen suomalaisen kunnan pitäisi joutua hyökkäyksen uhriksi, jotta 30-40 % panostus vahingon arvosta olisi kansantaloudellisesti perusteltua.
Emme tiedä, oliko Lahden tietoturvassa puutteita, vai oliko hyökkäys todella niin kehittynyt, että sen torjunta olisi vaatinut erityistoimia. Emme tiedä, mihin 300 000 - 400 000 euroa olisi pitänyt panostaa ja miksei Lahti tehnyt niin. Summa kuulostaa todella korkealta, etenkin kun haastattelussa mainitut keinot olivat yksinkertaisia ja halpoja, kuten salasanojen vahvistaminen. Eikö käyttäjiä oltu aiemmin varoitettu ja koulutettu lainkaan? Keksittiinkö Lahdessa tietoturva vasta nyt?
Emme tiedä muuta kuin että shit happened.
Rakenna tässä nyt sitten luottamusta suomalaiseen it-osaamiseen ja sähköiseen asiointiin. Sitä luodaan avoimuudella, ei salailulla.
Lisäys 22.6.2020: Australiassa on ollut oikea kyberhyökkäys. Näkisin hyvänä, että termi säästettäisiin tällaiseen käyttöön.
Mitä Lahdessa tapahtui, on edelleen arvailujen varassa. KRP vetoaa tutkinnan keskeneräisyyteen eikä kerro yksityiskohtia. Emme siis tiedä, mikä haittaohjelma Lahdessa oli ja miten "kyberhyökkäys" toteutettiin. Emme voi siten myöskään ottaa oppia Lahden kokemuksista muutoin kuin yleisellä tasolla: laittakaa tietoturva ajoissa kuntoon. Jep.
Tutkinta on ollut kesken jo vuoden ajan, eikä KRP ole päässyt selville tekijän motiiveista, tuskin tekijöistäkään. Aktiivista tutkintaa tuskin on enää käynnissä, joten miksi tietoja pantataan edelleen? Milloin KRP aikoo kertoa sen vähän, mitä on saanut selville?
Ei ottanut kokemuksista oppia Lahti itsekään. Vähän aikaisemmin (helmikuu 2018) kunnan verkkopalvelimelle oli ujutettu Monero-kryptovaluutan louhintaohjelma. Ylläpito joutui katkaisemaan varotoimenpiteenä verkkoyhteydet, mikä tuotti suuria vaikeuksia mm. terveydenhuollon ja kirjastojen it-järjestelmille.
Siksi hämmästyin, kun MTV oli tänään kutsunut Lahden kaupunginjohtajan aamutelevisioon ja tehnyt viime kesän hyökkäyksestä uutisen. Sen mukaan hyökkäys ja sen selvittely aiheuttivat kaupungille miljoonan euron vahingot:
"Olemme jälkikäteen arvioineet, että noin 300 000 – 400 000 eurolla hyökkäys olisi estetty. Tämä sisältää vakavan opetuksen kaikille suomalaisille kunnille siitä, mikä merkitys tietoturvalla ja turvallisella yhteiskunnalla on."
Miten tämä pitäisi ymmärtää? Kaupungin pitää joka tapauksessa varmistaa tietojärjestelmiensä turvallisuus. Kyse ei ole mistään "estosta", vaan normaalista koulutuksesta, ohjeistuksesta ja tietoturvasta, jonka jokainen yritys ja organisaatio joutuu huomioimaan. Ei tämä voi tulla yllätyksenä.
Erityisen noloa esto on Lahdelle, joka ei ilmeisesti oppinut helmikuun 2018 tapahtumista riittävästi.
Jos viime kesän hyökkäyksessä oli jotain uutta ja erikoista (olihan se oikein kyberhyökkäys), tuntuu kohtuuttomalta panostaa torjuntaan 30-40 prosenttia vahingon hinnasta. Ottaisitko sinä 10 000 euron autoon 3-4 000 euron vakuutuksen? Joka kolmannen suomalaisen kunnan pitäisi joutua hyökkäyksen uhriksi, jotta 30-40 % panostus vahingon arvosta olisi kansantaloudellisesti perusteltua.
Emme tiedä, oliko Lahden tietoturvassa puutteita, vai oliko hyökkäys todella niin kehittynyt, että sen torjunta olisi vaatinut erityistoimia. Emme tiedä, mihin 300 000 - 400 000 euroa olisi pitänyt panostaa ja miksei Lahti tehnyt niin. Summa kuulostaa todella korkealta, etenkin kun haastattelussa mainitut keinot olivat yksinkertaisia ja halpoja, kuten salasanojen vahvistaminen. Eikö käyttäjiä oltu aiemmin varoitettu ja koulutettu lainkaan? Keksittiinkö Lahdessa tietoturva vasta nyt?
Emme tiedä muuta kuin että shit happened.
Rakenna tässä nyt sitten luottamusta suomalaiseen it-osaamiseen ja sähköiseen asiointiin. Sitä luodaan avoimuudella, ei salailulla.
Lisäys 22.6.2020: Australiassa on ollut oikea kyberhyökkäys. Näkisin hyvänä, että termi säästettäisiin tällaiseen käyttöön.
2 kommenttia:
Tuo kuullostaa siltä että joku lipevä konsultti päässyt iskemään haaskalle.
Asiasta ymmärtämättömillä poliitikoilla ja virkamiehillä paniikki päällä, hyvä myyjä tai konsultti iskee kyllä saaliiseen kiinni ja myy jonkun ylihintaisen tietoturvapalvelun.
Ehkäpä siellä käytetään vielä wanhaa kunnon Windows XP:tä.
Joku syyhän tuohon lausuntoon täytyy olla, muinainen systeemi on yksi vaihtoehto.
Mutta ei se saa tai voi noin olla. Meillähän on jopa valtion vetämä kokonaisarkkitehtuuri, eikö siellä ole speksattu nämä aspektit?
Lähetä kommentti