15.1.2019

Maailma muuttuu - yritysten tietoturvaongelmat eivät enää ole liikesalaisuuksia

Kukapa ei olisi joskus törmännyt tilanteeseen, jossa ensimmäinen reaktio havaittuun tietoturvaongelmaan on: “Ei kerrota tästä kenellekään!” Joskus käy jopa niin, että salailun kulttuuri estää tiedon jakamisen niidenkin kesken, joiden tulisi korjata ongelma. Menneistä on myös vaikea oppia, mikäli tietoja tapahtuneesta ei ole käytettävissä. Usein ajatellaan, että yrityksen maine menee, mikäli asiakas tai kilpailijat kuulisivat tietoturvahaasteista. Luulen kuitenkin, että maailma on tämän osalta muuttumassa. Osittain käytäntöjen, standardien ja lainsäädännön pakottamana, mutta osittain myös ilmapiirin muuttuessa. Tietoturvayhteisö jakaa jatkuvasti enemmän tietoa erilaisista tietoturvaloukkauksista ja haavoittuvuuksista. Yritys, jolle ei koskaan ole tapahtunut mitään, ei enää vaikuta uskottavalta. Peittelevätkö he vai eivätkö ole edes huomanneet tapahtunutta?

Tietoturvayhteisöllä olisi paljon opeteltavaa ilmailusta. Ilmailualalla on kokemuksen kautta opittu, että tieto pienimmästäkin poikkeamasta pitää jakaa kaikille, jotta mahdollinen vaaratilanne voitaisiin jatkossa välttää. Ilmailun alalla tämä ei ole vapaaehtoista vaan kaikki toimijat on velvoitettu ilmoittamaan poikkeamista. Viranomaiset aloittavat matalalla kynnyksellä saamiensa tietojen perusteella turvallisuustutkinnan. Kaikki turvallisuustutkinnat puolestaan ovat julkisesti saatavilla. Näin voidaan varmistua, että tietoisuus riskeistä ja tehdyistä turvallisuussuosituksista ovat kaikkien käytettävissä. Turvallisuussuositukset ovat muuttaneet ilmailualaa valtavasti. Liikennelentäjät eivät esimerkiksi saa keskustella mistään lentoon liittymättömästä asiasta nousujen ja laskujen aikana. Harrastajalentäjätkin käyttävät yksinkertaisimmissakin asioissa muistin tukena tarkastuslistoja. Se ei ole noloa vaan se on merkki oikeasta asenteesta ja taidosta. Kaikkiin näihin toimintatapoihin on päädytty, koska joskus on ollut vaaratilanne tai onnettomuus, joka olisi voitu välttää käyttämällä oikeita menetelmiä.

GDPR edellyttää tietosuojaloukkauksista raportointia. Viranomainen voi tarvittaessa määrätä, että raportointi on julkista. Ilmoittamatta jättämisestä on säädetty merkittävät seuraamukset. Miltei aina tietoturvaloukkaus koskee myös henkilötietoja. Lainsäädäntö on siis muuttunut: tietoturvaongelmat eivät ole enää liikesalaisuuksia. Yritykset eivät enää voi jatkaa pimittämisen kulttuuria.

Onnettomuustutkintakeskus julkaisi 11.1.2019 uuden turvallisuustutkinnan sairaanhoitopiirin tietoliikennehäiriöistä. 7.-8.11.2017 sairaanhoitopiirin runkoreitittimessä oli häiriö ja se esti hoitohenkilökunnalta pääsyn potilastietojärjestelmään. Tilanne oli sen verran vakava, että Onnettomuustutkintakeskus, tosin vasta STM:n kehotuksesta, päätti suorittaa asiasta tutkinnan. Aikaisemmin onnettomuustutkintakeskus on tutkinut ilmailun, raideliikenteen ja vesiliikenteen vaaratilanteita ja onnettomuuksia sekä suuronnettomuuksien vaaratilanteita. Toiminnan laajentaminen tietoteknisen häiriöiden tutkintaan on uraauurtavaa, ehkäpä jopa maailmanlaajuisesti ainutlaatuista. Tutkintaseloste on kaikkien saatavilla Onnettomuustutkintakeskuksen sivustolta. Suosittelen lukemaan. Mikäli et pode lentopelkoa, kannattaa lisäksi perehtyä johonkin esimerkiksi ilmailun tutkintaraporttiin. Tutkimalla muita raportteja muodostuu kuva siitä mitä kaikkea hyvää tällaisella käytännöllä voitaisiin jatkossa saavuttaa muilla aloilla.

Turvallisuustutkinnan yksi tärkeä kulmakivi on, että tutkinnalla ei etsitä syyllisiä vaan syitä. Tämä antaa mahdollisuuden kaikille tutkintaan osallistuville kertoa mikä meni pieleen ilman pelkoa paljastumisen seuraamuksista. Itse asiassa turvallisuustutkinnassa saadun tiedon käyttämistä esitutkinnassa tai tuomioistuimessa on rajoitettu lailla. Tällä pyritään varmistumaan siitä, että tutkinnassa on käytettävissä kaikki tarpeellinen tieto, jotta tulevia vaaratilanteita voitaisiin välttää.

Nyt tehty tutkinta koski julkishallinnon organisaatiota. Mutta koska osa toiminnoista oli ulkoistettu, käsitellään tutkinnassa myös joidenkin yritysten toimintaa. Laki ei myöskään tee eroa julkisen organisaation tai yksityisen yrityksen välillä. Onnettomuustutkintakeskuksen on tiettyjen kriteerien täyttyessä suoritettava tutkinta, mikäli on havaittu onnettomuus tai vaaratilanne. Vaaratilanteen käsite on hyvin laaja. Nyt tehty tutkinta saattaa olla ensimmäinen uudessa käytännössä, jossa myös yrityksissä tapahtuvat yhteiskunnan kannalta merkittävät vaaratilanteet tutkitaan. Terveydenhuoltoon, elintarvikejakeluketjuun, energianjakeluun tai tietoliikenteeseen liittyvissä toiminnoissa tapahtuvat vaaratilanteet saattavat jatkossa hyvinkin päätyä tutkittaviksi. Mikseipä myös aivan johonkin muuhun liittyvä henkilötietojen suurimuotoinen loukkaus. Laajaa maksamiseen liittyvää häiriötä voitaisiin selvittää valtioneuvoston päätöksellä ns. poikkeuksellisen tapahtuman tutkintana.

Mitä sairaanhoitopiirissä sitten tapahtui? Tutkinnan perusteella lähtötilanne oli valitettavan tuttu. Käytössä oli kahdennettu reititin, mutta sitä ei oltu uskallettu päivittää sen kriittisyyden vuoksi. Reititin oli pitänyt vaihtaa jo aikoja sitten uuteen, mutta projekti oli lykkääntynyt. Aina oli ollut jotain tärkeämpää ja kiireellisempää. Laajoja tietoliikenneongelmia varten piti olla osastokohtaiset valmistellut toimintatavat, mutta ohjeet olivat ylimalkaisia, niiden mukaista toimintaa ei oltu harjoiteltu eikä niiden toteuttamiseen tarvittavia varusteita ollut. Kyseessä oli siis tunnettu ongelma, harkittu riski ja sen realisoitumista varten piti olla suunnitelmat. Kun reititin sitten eräänä kauniina päivänä lakkasi toimimasta, kukaan ei toiminut kuten oli suunniteltu. Koko sairaanhoitopiiri vajosi hetkessä kivikaudelle. Samalla ovien lukot lakkasivat toimimasta, lankapuhelimet lamaantuivat eikä edes potilaiden hälytysnapit toimineet. Vika kesti tunteja, koska mitään varalaitteita ei ollut. Vielä seuraavana päivänä itse laiterikon korjaamisen jälkeen esiintyi hitautta ja ongelmia. Kukaan ei onneksi tällä kertaa kuollut. Raportista käy ilmi, että vastaavia häiriöitä on ollut aikaisemminkin muissa sairaaloissa.

Aika paljon opittavaa? Ehkä paras opetus on, että hyvään tuuriin perustuva riskienhallinta ja tietoturva harvemmin jatkuu ikuisesti. Asioita on suunniteltava ja suunnittelussa on käytettävä ammattitaitoa. Koko henkilöstön on saatava tarpeellinen koulutus, että poikkeustilanteessa voidaan toimia oikein. Koulutuksella voidaan tietenkin päästä myös siihen, ettei poikkeustilannetta syntyisi lainkaan.

Liittyykö tämä jotenkin tietoturvaan? Kyllä, saatavuus on yksi tietoturvan osa-alue. Lisäksi miltei aina mikä tahansa tietotekninen ongelma aiheuttaa riskin myös tietoturvan muille osa-alueille. Tiedon eheys vaarantui, koska oikeaan tietoon ei päästy ja tietoa ei saatu päivitettyä.

Tälläkin kertaa kuitenkin paljastui, että laiminlyönnit aiheuttivat myös vakavan ongelman tiedon luottamuksellisuudelle. Pääreitittimen tuki oli päättynyt paljon ennen tapahtumaa. Sairaanhoitopiiri ei ollut edes uudelleenkäynnistänyt pääreititintään kahdeksaan vuoteen. Ilmeisesti siihen ei oltu myöskään tehty mitään turvallisuuspäivityksiä. Tuona aikana julkaistuja haavoittuvuuksia CVE -numerolla laitteelle oli 15 kappaletta. Niistä esimerkiksi yksi mahdollistaa laitteessa mielivaltaisten komentojen ajamisen ilman kirjautumista etäältä. Toisin sanoen, kytkemällä laitteen mihin tahansa sairaanhoitopiirin pääreitittimeen kytkettyyn verkkoon on todennäköisesti voinut ottaa reitittimen haltuunsa ja esimerkiksi tutkia ja uudelleen ohjata tietoliikennettä. Tietoliikenne on tuskin ollut salattua, joten 25.4.2013 lähtien julkisesti saatavilla olevien tietojen avulla kaikki sairaanhoitopiirin potilastiedot olisivat suurella todennäköisyydellä ollut saatavilla ilkeämieliselle toimijalle. Kulkeekohan muuten potilaiden ja vieraiden käyttämä WLAN kyseisen reitittimen kautta? Entä miten on muiden laitteiden ja ohjelmistojen laita? Onko niitä päivitetty? Annetaanko sairaanhoitopiirin sairaaloissa potilaille vuosia sitten vanhentuneita lääkkeitä, vai rajoittuuko parasta ennen -päivien leväperäinen tulkinta vain IT-organisaatioon?

Raportista käy ilmi myös yllättäviä sivuseikkoja. Tapahtumaketjun alkaessa johtoa ei tavoitettu, koska koko johto oli sellaisissa tiloissa, joihin ei saa viedä matkapuhelimia. Vaikuttaa siis siltä, että johto oli leikkimässä sotaleikkejä samalla hetkellä kun arkiset toiminnot romahtivat. Asioilla on oltava prioriteetit. Kriisiajan valmiuden rakentaminen ei ole mielestäni ajankohtaista silloin kun kriittisten it-järjestelmien ylläpito on laiminlyöty vuosia ja järjestelmät ovat avoinna tietoturvaongelmien vuoksi koko maailmalle. Tietoturvassa usein heikoin lenkki ratkaisee.

Mikko Pohjala