Suomalaisen pörssiyhtiön tulostiedot kybermurron kohteena

Olemme kirjoittaneet varoituksia kybervaarasta jos toisestakin – siinä ohessa alleviivasimme yhtä, joka koskee julkisia osakeyhtiötä. Mitenhän lie viesti mennyt perille?
Joka tapauksessa kohdennettua kybermurtoa pörssinoteeratun Oyj:n viestinnän tai jopa sen taloushallinnon tietokantaan sen datan varastamiseksi, saatettiin odottaa myös Suomessa.
Se uhka tulee ottaa vakavasti: Metsä Group tiesi, kuinka tulee toimia, kun isku järjestelmään on tapahtunut, ja se yritti minimoida kyberiskun tuhot reaalimaalimassa.
Nyt meillä on ennakkotapaus suuresta suomalaisessa metsäalan yrityksestä.
Näyttää siltä, että vahinko pääsi tapahtumaan pitkälti siksi, että pitävät todisteet vaarasta, niin kutsuttu savuaava ase, on puuttunut. Vaikka toki Wall Street tuntee nämäkin metkut kaukana meistä.
Nyt savuaa. Metsä Group uskoo joutuneensa tietomurron kohteeksi, minkä vuoksi yhtiö julkaisikin viime vuoden loka-joulukuun tulostietojaan etuajassa.
Yhtiö halusi julkistaa tiedot etuajassa mahdollisten väärinkäytösten eli kurssivedätyksen estämiseksi. Protokollan mukainen vuoden 2017 viimeisen kvartaalin tulostietojen julkaisu oli ajoitettu vasta helmikuun alkupuolelle: kvartaalitilinpäätöstiedote oli luvattu 8. helmikuuta.
Tämä sählinki viittaa siihen, että dataa on lähtenyt syvältä yhtiön taloushallinnon automatisoidusta taselaskennasta, tai muusta vastaavasta erittäin kriittisestä kohteesta.
Halusimme pelata varman päälle, kommentoi yhtiö tulojulkistuksensa aikaistamista STT:lle. Varmaan päälle pelaamista olisi kuunnella varoituksen sanoja ja investoida korkeatasoiseen tietoturvaan. Dataturvan varmistaminen taas on kuin saavutettu taloudellinen etu, joka täytyy varmistaa joka päivä uudelleen. Vanhentunut järjestelmä tai järjestelmän osa, jonka kyberrikollinen löytää, on hänelle kuin totovoitto.
Tällainen haavoittuvuus näet syntyy helposti ja itsestään, kun laiminlyömme aina uusimman järjestelmäpäivityksen asennuksen.
Vielä tyypillisempää on tuskastua aikaa vieviin eri järjestelmien päivittelyihin, tyyliin: ”Vastahan se järjestelmämme toissapäivänä päivitettiin, ei sitä nyt koko ajan tarvitse olla säätämässä: saa odottaa vähän aikaa. Kalliiksikin tulee…”
Kuuostaako tutulta?
Tuollainen repliikki – tässä nyt puhutaan yleisellä tasolla – kertoo tietoturva-ammattilaiselle, että asianomaisessa yrityksessä ei välttämättä ole hajuakaan siitä, millaisessa sodassa verkon kyberrikolliset ovat joka päivä. Toisella puolella ovat hyvikset, eli tieturvayhtiöt ja eettiset hakkerit.
Yhtään sertifioitua tuotevalmistajan päivitystä, jota tarjotaan sisäistä viestikanavaa pitkin, ei tule ilman syytä. Siitä voimme olla varmoja. Jos päivitys tulee heti edellisen perään, sitä suuremmalla syyllä se tulee heti ajaa sisään.
Vaikka esimerkkimme metsäteollisuusyhtiö ei luonnollisesti turvallisuussyistä kommentoi tietomurtoepäilynsä yksityiskohtia, se toteaa, ettei tietovuodosta aiheutunut firmalle taloudellisia seurauksia.
Toukokuun alusta tämäkin asia on toisin. Varomattomuudesta vuotanut tieto tutkitaan, ja siitä langetetaan sanktio, joka kannustaa turvaaman kriittiset tiedot.
Metsä Groupin loka-joulukuun liikevaihto oli noin 1 328 miljoonaa euroa ja vertailukelpoinen liiketulos noin 185 miljoonaa euroa. Jos siitä miljoonakin rokotetaan dataturvahutiloinnin takia, se tuntuu. Dataturvaan satsaaminen taas maksaa, mutta vain vähäisen murtosan verrattuna kyberrikosten aiheuttamiin vahinkoihin ja nyt EU-tasolla säädettyihin sanktioihin.
Miksihän tulemme aina jälkijunassa? Kuhnurit ehtivät pitkään lennellä kuvaamassa ja äänittämässä kriittisiä kohteita sekä lopulta todistetusti myös suorittamassa salakuljetusta valtionrajan yli, ennen kuin viranomaistasolla herättiin uuteen ongelmaan. Tietenkin vasta sitten, kun rysähti.
Vieläkin havaitsen sellaista impivaaralaista henkeä, että ehkä jossain jotain voi tapahtua, mutta ei se nyt meitä koske. Tämä on puolustusmekanismi, torjuntareaktio, kun haluamme pysyä Impivaara- tai lintukotonimisellä mukavuusalueellamme.
