Colonial-öljyputki, jonka kautta kulkee merkittävä osa Yhdysvaltain itärannikolla käytetystä bensiinistä, dieselistä ja lentokerosiinista, suljettiin toukokuun alussa kyberhyökkäyksen johdosta.
Aiheesta uutisoitiin kohtuullisen paljon eri medioissa ja otsikkoina näkyi ”Hyökkäys nostaa esiin kyberturvan merkityksen” ja ”Öljyteollisuus on jäljessä kyberhyökkäysten torjunnassa”. Kun on itse toiminut kyberturvallisuuden parissa pitkään, niin väkisinkin tulin miettineeksi, että tämäkö se nyt sitten vuonna 2021 nostaa esiin kyberturvallisuuden merkityksen.
KPMG:n ja muiden tahojen yritysjohdon riskikarttaa globaalisti luotaavissa tutkimuksissa kyberturvallisuus on ollut riskien kärkijoukkoa jo vuosikausia. Esimerkkinä tästä on World Economic Forumin Global risk report 2021.
Se nyt vain pitäisi hyväksyä myös Suomessa, että kyberriskit ovat todellisia ja niillä on oikeita vaikutuksia liiketoimintaan ja yhä enenevässä määrin myös fyysisen maailman tapahtumiin. Toki Suomessakin on viime aikoina ollut ihan konkreettisia esimerkkejä, joissa kyberturvallisuuteen liittyvillä asioilla on ollut merkittävää vaikutusta muun muassa yrityskaupan onnistumiseen ja jopa yksittäisen yrityksen olemassaoloon, joten tietoisuus on kyllä lisääntynyt.
Mistä löytyy se taianomainen ratkaisu?
Tulisi hyväksyä, ettei kyberturvallisuuden huomioimiseksi ole mitään yhtä tuotetta, ratkaisua tai palvelua, joka poistaisi ongelman mahdollisimman vähällä vaivalla ja kustannuksilla. Usein tuntuu, että asiakkaat edelleen odottavat tällaista taianomaista ratkaisua ja ovat pettyneitä, kun sellaista ei ole.
Muistan hyvin tapauksen, jossa suomalainen pörssiyritys oli joutunut pienimuotoisen kiristyshaittaohjelmatapauksen uhriksi ja kysyi neuvoa. Odotuksena oli yksittäinen, helppo ja halpa ratkaisu.
Minulla oli tarjota kymmenkohtainen lista asioista, joiden tulee olla kunnossa ja jotka tulisi tarpeen mukaan korjata. Tätä ei kuitenkaan haluttu tehdä.
Noin kaksi kuukautta myöhemmin tuli toinen kiristyshaittaohjelma, jonka seurauksena koko yrityksen toiminta oli globaalisti enemmän tai vähemmän estynyt useiden päivien ajan.
Toisin kuin joissakin kirjoituksissa on esitetty, nyt hyökkäyksen kohteeksi joutunut öljyteollisuus on itseasiassa aika paljon paremmin varautunut kuin moni muu toimiala. Tästä huolimatta, alussa mainitun tapauksen yhteydessä kiristysviestin lähettäneelle hakkeriryhmälle jouduttiin maksamaan lunnaita. Osa kybervakuutuksista korvaa myös lunnaskustannuksia. Tämä on merkittävä ongelma ja kiristystapaukset varmasti lisääntyvät entisestään, koska rikollisten liiketoimintamalli selkeästi toimii. Suomen osalta voidaan vastaavina esimerkkeinä ajatella terveydenhuoltoa tai vedenjakelua. Pitäisikö olla huolissaan? Mielestäni pitäisi.
Kirjoitus on alun perin julkaistu KPMG:n blogissa 18. toukokuuta 2021.