-osioon:
Opsec Oy:n Halloween -tarina 2018.

Opsec Oy:n Halloween -tarina – “Tämä tarina on tosi”

Olipa kerran menestyvän yrityksen toimitusjohtaja, jonka tehtävälistalta puuttui tietoturvallisuus. Hänelle oli kyllä markkinoitu kaikenlaisia teknisiä härpäkkeitä ratkaisuksi asiaan, mutta mitäpä hän olisi noita miettinyt, sillä tietohallinto hoiti yrityksen virushommat.

“Ja, mitä meillä olisi varastettavaa. Tavallista liiketoimintaahan tässä tehdään, eikä mitään sotilassalaisuuksia.”

Toimitusjohtajan ja koko yrityksen arki kulki tavalliseen tapaan. Tietohallintokin oli tuonut yritykseen uusia asioita viime vuoden lopulla, kun yritys oli siirtänyt tietoja pilveen. Sinne, mistä kaikki muutkin puhuivat. Johtaja oli kuullut, että pilvestä olisi turvallista ja tehokasta käyttää tietoja. Samalla tuo pilven käyttöön siirtyminen oli vapauttanut investoimasta niihin mystisiin palvelimiin ja lisensseihin, mihin tietohallinto halusi tämän tästä lisää rahaa. Pilvestä kuulemma pääsisi myös eroon nopeasti ja halvalla, jos sattuisi mielipide muuttumaan.

Uusista hienoista työkaluista huolimatta toimitusjohtaja ja muutama muu johtoryhmän jäsen käytti tietokonetta kuten ennenkin. Ei ollut aikaa, eikä oikein haluakaan opetella uusia asioita. Tietoturvasta oli myös jonkinlaisia ohjeita yritetty kouluttaa, mutta siihen kohtaan oli tullut monelle johtoryhmän jäsenelle muita menoja.

“Onhan meillä tietohallinto hoitamassa tietoturva-asioita, niin voi itse keskittyä oikeisiin töihin.”

Mutta eräänä syksyisenä päivänä, kun ulkona tuuli vimmatusti, tuli talouspäällikkö huolestuneen näköisenä toimitusjohtajan puheille. Pitkäaikaisen ja hyvän asiakkaan maksut olivat pahasti myöhässä ja asiaa oli selvitelty myyntireskontranhoitajan toimesta ilman tuloksia. Asiakas ei vastannut yhteydenottoihin ja muutaman ison toimituksen vuoksi myöhästyneet maksut tekivät jo merkittävää haittaa kassavirralle. Sovittiin, että asian käsittely siirretään talouspäällikölle.

Pian asiakkaalta saatiinkin vastaus. Asiakas oli maksanut laskut ajallaan ja toimitti myös tilisiirrot todisteeksi asiasta. Kaikki oli siis muuten kunnossa, mutta rahat olivat hukassa. Paljastui, että laskuilla oli täysin outo tilinumero. Asiakas kertoi saaneensa reskontranhoitajalta sähköpostilla tiedon uudesta tilinumerosta, joten laskut oli maksettu annetuilla tiedoilla. Reskontranhoitaja kuitenkin väitti kivenkovaa, ettei ollut tällaista viestiä koskaan lähettänyt. Sähköpostin Lähetetyt -kansiostakaan ei sellaista viestiä löytynyt. Tässä vaiheessa talouspäällikön huolestuminen vaihtui pelkoon. Talouspäällikkö soitti pikaisesti tietohallintoon.

Samaan aikaan yrityksen myyntipäällikkö yritti epätoivoisesti avata myynnin sähköpostiin saapunutta tarjouspyyntöä. Hermot olivat valmiiksi kireällä ja lisäksi tietokone oli yrittänyt tehdä turhia päivityksiä. Onneksi myyntipäällikkö oli kuitenkin jälleen onnistunut ohittamaan nuo päivitysilmoitukset ja päässyt käsiksi oikeisiin töihin. Hän oli saanut tallennettua tarjouspyynnön yhteiseen hakemistoon, missä oli myynnin, tuotannon ja tuotekehityksen kaikki tiedot. Tallennettu liite ei vain suostunut aukeamaan hakemistosta. Hän päätti olla sitkeä, sillä tavoitteena oli vastata tarjouspyyntöihin mahdollisimman nopeasti. Lopulta tiedosto avautui, monen erilaisen varoituksen ja virheilmoituksen jälkeen. Virustorjunta väitti tiedostoa vaaralliseksi, mutta myyntipäällikkö ohitti varoitukset, koska sähköposti vaikutti selkeän englannin vuoksi aidolta. Samassa tietokoneen ruudun väri muuttui punaiseksi ja siihen ilmestyi isoin kirjaimin teksti: “YOUR FILES ARE ENCRYPTED”. Myyntipäällikkö soitti pikaisesti tietohallintoon.

Tietohallintopäällikön aamupäivä oli kulunut ikivanhan varmuuskopiointijärjestelmän ongelmia selvitellessä. Kiireessä varmuuskopioinnin rutiinitarkastuksiin ei ollut jäänyt aikaa, mutta tällä kertaa hän huomasi ihan vahingossa, etteivät varmuuskopioinnit olleet toimineet kunnolla kuukausiin. Tietohallintopäällikön selvitellessä varmuuskopiointiongelmia hänen sähköpostiinsa alkoi tulla virustorjunnasta viestejä. Hän ajatteli niiden olevan taas turhia ilmoituksia ja siirsi ne lukematta roskakoriin. Tietohallintopäällikön puhelin alkoi hetken kuluttua soimaan.

Iltapäivällä, kun tuuli oli muuttunut myrskyksi, toimitusjohtajan oven takana seisoi neljä johtoryhmän jäsentä. Näiden päälliköiden vastuulla oli yrityksen myynti, talous, tuotekehitys ja tietohallinto. Jokaisen ilme oli kireä ja huolestunut. Epävarmat katseet kiersivät ja viimein tietohallintopäällikkö koputti tärisevin käsin toimitusjohtajan työhuoneen ovea..

Sen pituinen se. Loppu jääköön mielikuvituksesi varaan..

Mika Lindberg
IT-joukkueen pelaaja #22
toimitusjohtaja