"Ylessä on tapahtunut vakava tietomurto. Haittaohjelmia on levinnyt laajalti, ja toimitiloihin on tunkeuduttu fyysisesti."

"Tehtävänne on ottaa haltuun it-komentokeskus ja pelastaa viimeinen varmuuskopio, ennen kuin sekin kryptataan. Vasta sitten uutistoiminta saadaan jälleen käyntiin."

Kuulostaa huolestuttavalta.

Seisomme metallisessa merikontissa ja silmäilemme näyttöjä, kaapeleita ja lukittuja kaappeja. Seinällä on kello, jossa aika käy pahaenteisesti kohti nollaa.

– Jos paniikki iskee, niin tästä hätäkatkaisijasta ulko-oven saa auki, it-yhtiö CGI:n kyberturvallisuusjohtaja Jan Mickos varmistaa.

Metallinen ovi kolahtaa kiinni. Peli alkaa.

Tietoturvan koulutustila on pakattu merikonttiin. Jyrki Ojala

Pakohuoneesta tietoturvataitoja

It-yhtiö CGI:n parkkipaikalle Helsingin Pitäjänmäkeen kuljetettu merikontti toimii kulissina pelille, jonka tarkoitus on kouluttaa tietoturvataitoja.

Kontin kalustus tuo mieleen vanhemmat James Bond -elokuvat.

Kyseessä on niin kutsuttu pakohuonepeli. Kyseessä on viime vuosina suureen suosioon noussut pelimuoto, jossa fyysiseen huoneeseen suljettujen ihmisten on suoritettava tehtävä. CGI keksi valjastaa pakohuoneen tietoturvataitojen koulutukseen.

Idea on mainio. Viime viikolla uutisoitiin tietovuodosta, joka kosketti lähes 800 miljoonaa internetin käyttäjää. Se herätti monet miettimään tietoturvaansa ja vaihtelemaan salasanojaan.

Vielä useampi todennäköisesti jatkaa yhä ruususen untaan.

Pakohuoneen seinällä kello käy kohti nollaa. Jyrki Ojala

"Rasti ruutuun ei riitä"

Jan Mickosin mukaan tietoturvaa koskeavasta uutisoinnista saa väärän kuvan. Valtiollisista kyberoperaatioista kirjoitetaan paljon, mutta 95 prosenttia tietoturvaongelmista on aivan tavallisia kalasteluviestejä ja kohdentamattomia haittaohjelmaepidemioita.

Tällaisista iskuista suurin osa voitaisiin estää, jos työntekijät osaisivat toimia oikein.

– Noin 70 prosentissa tapauksista ihminen myötävaikuttaa hyökkäyksen onnistumiseen. Siellä on siis ihminen klikkailemaan linkkejä, syöttämään salasanoja tai tekemään jonkun muun virheen.

Mickos toteaa, että perinteinen valistus ei toimi niin hyvin kuin sen pitäisi toimia. Tietoturvakoulutus on hänen mukaansa yleensä verkkolomakkeisiin perustuvaa “rasti-ruutuun-hommaa”.

– Me emme näe minkäänlaista korrelaatiota sen koulutuksen ja todellisuuden välillä. Usein koulutuksessa opetellaan ne oikeat vastaukset, laitetaan rasti ruutuun ja heti perään tehdään oikeassa elämässä se sama virhe.

Yli 70 prosenttia hyökkäyksistä voitaisiin torjua, jos käyttäjien osaaminen on kunnossa, sanoo CGI:n kyberturvallisuusjohtaja Jan Mickos. Jyrki Ojala

Uuden koulutusmuodon tavoitteena on välttää tietoturvakoulutusten helmasynnit, joista suurin on paperinmakuisuus, vaikeatajuisuus ja tylsyys.

– Toisaalta ihmiset oppivat hyvin eri tavoin. Me yritämme tehdä tästä moniaistillisen kokemuksen, joka voidaan tuoda osaksi perinteistä koulutusta.

Kyberkontti kiertää pian ympäri Suomea. Mickosin mukaan niitä kalustetaan myös tarpeen mukaan lisää.

Pelastuiko työpaikka?

Ylen testiryhmä joutui turvautumaan vinkkeihin ja kello ehti kulua pariinkin kertaan nollaan, ennen kuin pakohuoneen salaisuus ratkesi. Hölmöimmät sudenkuopat onnistuimme välttämään, mutta emme olleet riittävän nokkelia.

Turvakamera kertoo hämäräperäisten tyyppien liikkuvan alueella. Jyrki Ojala

Sovimme pelinjärjestäjien kanssa, ettemme paljasta enempää. Tässä kuitenkin CGI:n 12 vinkkiä kyberturvalliseen työhön: