”Meillä on vahva epäilys rikoksesta. Epäilty on oma työntekijä. Hän on nyt kadonnut, lähtenyt lomalle. Verkkoon on vuotanut henkilötietoja, kuvia ja sähköasemien paikkatietoja”, kertoo Fingridin turvallisuuspäällikkö Vesa Syrjälä KRP:n kyberrikostorjuntakeskuksen taktiselle ja tekniselle tutkijalle.
Mitä merkitsisi kyberisku kantaverkkoon?
- Kyberisku kantaverkkoon voisi lamauttaa sähköverkot ja sitä kautta yhteiskunnan toiminnan.
- Kyberiskujen torjunnassa tehdään paljon yhteistyötä. Kantaverkkoyhtiöissä sitä hidastavat yhtiöiden erilaiset toimintatavat.
- Erilaiset kybertunkeutumisyritykset ovat suomalaisissa yrityksissä arkipäiväisiä.
- Lue lisää täältä.
Rikostutkijat ovat ihan oikeasti Keskusrikospoliisista. Vesa Syrjälä voisi olla oikeasti tällaisessa poliisin alustavassa puhuttelussa. Mutta tilanne on lavastettu. Kyse on Jyväskylän ammattikorkeakoulun omistaman JYVSECTECin yhdessä Fingridin kanssa luomasta harjoituksesta, jossa harjoitellaan EU:n tietoturvallisuusasetus GDPR:ään liittyviä kysymyksiä kriisitilanteessa.
Poliisi puhuttaa Syrjälää ja ICT-erikoisasiantuntija Olli Aaltosta. Simuloitu vuoto on tapahtunut muutama päivä aikaisemmin, mutta se on huomattu vasta nyt. Arkaluontoiset tiedot on ladattu Pastebin-palveluun.
Ennen poliisin tuloa Fingridin tiimi on jo selvittänyt epäillyn työntekijän liikkeet katoamispäivänä. Hän on liikkunut muun muassa valvomossa, johon epäillyllä ei pitäisi olla mitään pääsyä, sillä hän on sähkömarkkina-asiantuntija.
Kun poliisi kyselee lisätietoja epäillystä, Fingrdin HR-päällikkö Sonja Heiskanen huomauttaa muulle tiimille, että epäilty voi olla uhri. Mitä jos hän on joutunut kiristyksen uhriksi? Heiskanen katsoo epäillyn lähiomaisen tiedot Wattin järjestelmästä. Watti on harjoitusta varten luotu organisaatio, joka on kantaverkkoyhtiö ja kaiken kaikkiaan varsin samanalainen kuin Fingrid.
Sitten viestinnän asiantuntija Marjut Määttänen saa yhteydenoton Helsingin Sanomista. Määttänen ryhtyy miettimään, miten asiasta kerrotaan medialle. Samaan aikaan kun Määttänen suunnittelee tiedotusta, poliisi haluaa tietää, onko vaara, että kriisi eskaloituu? Onko viitteitä siitä, että joku haluaa iskeä sähköasemiin ja kenties lamauttaa koko maan? Toistaiseksi ei. Taustalla ICT-asiantuntijat Pauli Laine ja Samuli Vainionpää tekevät koko ajan teknistä tutkintaa siitä, mitä epäilty henkilö oli oikeasti tehnyt.
JYVSECTECin teknologiajohtaja Marko Vatanen korostaa, että tietoverkkoihin liittyvän turvallisuuden harjoittelu ei ole vain organisaation IT-osaston vaan koko organisaation asia. Siksi Fingridin harjoituksessakin on mukana henkilökuntaa eri puolilta organisaatiota.
”Asiantuntijoilla täytyy olla ymmärrys ja kokemusta omasta roolistaan kriisitilanteessa”, Vatanen sanoo.
Roolin ymmärtämisessä konkreettinen treenaaminen auttaa enemmän kuin pitkät manuaalit, jotka voivat pahimmassa tapauksessa jäädä lukematta.
”Realistisen treenaamisen tarkoitus on harjoittaa organisaation kyvykkyyttä kriisitilanteesta”, Valtonen toteaa.
Fingrid on tehnyt JYVSECTECin kanssa yhteistyötä jo pitkään. Takana on monta harjoitusta. Ajatuksena on, että palomuurit, virusturvat ja tietoturvapäivitykset eivät enää riitä.
”Pahaa ei aina voi pitää ulkona. Siksi on tärkeää harjoitella, miten sen kanssa toimitaan, kun se pääsee sisälle”, sanoo Jyrki Pennanen, Fingridin tietoturvapäällikkö.
Myös keskusrikospoliisi tuli mielellään paikalle, sillä he saivat samalla mahdollisuuden harjoitella itse.
Kesäkuun alussa järjestetty GDPR-harjoitus oli ensimmäinen laatuaan. GDPR:n takia harjoituksessa mukana on myös lakimies Antti Kivipuro, jolle tietosuojakysymykset Fingridissä kuuluvat. Hänen ammattitaitoaan tarvitaan, kun pitää selvittää, voidaanko epäillyn työntekijän sähköpostit katsoa. Pohdintaan osallistuu myös pääluottamusmies, sähköasema-automaatioasiantuntija, Jari Tiusanen. Hän valvoo epäillyn työntekijän oikeuksia.
Tiusanen pitää harjoitusta realistisena. Sähköpostien katsomista hän oli osannut odottaa, eikä se tullut yllätyksenä.
”Tottakai tämä herättää ajatuksia. Lähinnä siitä, kuinka tärkeää on, että etukäteen on harjoiteltu ja ohjeistettu”, Tiusanen sanoo.
Äkisti tilanne pahenee. Käy ilmi, että verkkoon on vuotanut tietoa kriittisistä sähköasemista, Olkiluodon ydinvoimalan läheltä. Iltalehti uutisoi kriittisen infraan liittyvien tietojen vuotamisesta ulos. Sekin selviää, että tietovuoto on aiemmin tiedettyä pahempi: myös Fingridin sähköyhtiöasiakkaan henkilökunnan tietoja on vuotanut ulos. Määttänen ja Heiskanen pääsevät jälleen miettimään, mitä tehdä ja miten asiasta informoidaan asiakasta.
Poliisilta tulee tieto, että epäilty on lentänyt Suomesta maahan, joka ei luovuta rikollisia. Lopulta selviää, että hän on myös vuotanut tietoa ulkopuoliselle, valtiolliselle taholle. Tiukka paikka. Poliisi tekee vuotajasta etsintäkuulutuksen. Harjoitus päättyy.
Pennanen on tyytyväinen päivään ja kehuu sekä JYVSECTECiä että KRP:tä. Poliisi on harjoituksessa antanut neuvoja siitä, miten toimia vaarantamatta rikostutkintaa. Poliisi sähköisti tilanteen, kun enää ei harjoiteltukaan vain omalla tutulla porukalla.
”Olennaista tässä on nimenomaan oppia toimimaan kriisitilanteessa. Me emme niinkään halua opettaa täällä sitä, mitä pitää klikata, vaan mitä täytyy ajatella”, Pennanen sanoo.
Mitä merkitsisi kyberisku kantaverkkoon? Lue lisää täältä.
Artikkelin on kirjoittanut MustReadin kaupallinen johtaja Merja Mähkä