1. yle.fi
  2. Uutiset
  3. tietoturva

Kunnilla heikkoja salasanoja ja huteria palomuureja – Lahti maksoi kyberhyökkäyksen torjunnasta liki miljoonan ja jakaa nyt oppeja muillekin

Kyberturvallisuuskeskuksen mukaan moni kunta ei tunne omia tietojärjestelmiään riittävän hyvin.

Yhteiskunta on entistä riippuvaisempi tietoverkoista, mutta kokonaiskuva kuntien kyberturvallisuudesta puuttuu. Kuva: Henrietta Hassinen / Yle

Kuntien pitäisi pystyä varautumaan tietoturvahyökkäyksiin nykyistä paremmin.

Tänä vuonna kuntien tietojärjestelmiin on tehty useita tietomurtoja ja kyberiskuja. Tietomurtoja on ollut ainakin Porissa, Espoossa ja Siuntiossa. Viime kesänä Kokemäelle sekä Lahteen iskettiin haittaohjelmilla.

Kyberhyökkäys paljasti, ettei Lahden kaupungilla ollut kaikki kunnossa. Ongelmia oli muun muassa palomuurissa ja salasanoissa.

– Ihmisillä oli liian köykäisiä salasanoja, sanoo Lahden kaupungin tietohallintojohtaja Marko Monni.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen mukaan kuntien tietoturvan tasosta ei ole kokonaiskuvaa tällä hetkellä kenelläkään.

Moni kunta ei tunne omia tietojärjestelmiään, vaikka se olisi varautumisen kannalta tärkeää.

– Kun tuntee järjestelmän, tietää myös sen vahvuudet ja heikkoudet. Sitten voi tehdä järkevää riskianalyysiä tunnistaakseen heikoimmat lenkit, joihin kannattaa panostaa eniten, sanoo yksikönpäällikkö Arttu Lehmuskallio Kyberturvallisuuskeskuksesta.

Tietohallintojohtaja Marko Monni sanoo, että Lahti jakaa mielellään kokemuksiaan ja oppejaan kyberhyökkäyksestä selviämiseen myös muille kunnille. Kuva: Petri Niemi/Yle

Kuntaliitosta myönnetään, että tietoturva-asiat kunnissa on hoidettu kirjavasti.

– Uhkiin varautumisaste vaihtelee paljon. Varautumiseen vaikuttavat muun muassa kunnan koko, johdon suhtautuminen tietoturvaan ja ICT-palveluiden järjestämistapa, sanoo tietoyhteiskunta-asioiden johtaja Tommi Karttaavi Kuntaliitosta.

Lasku Lahden hyökkäyksestä: noin 900 000 euroa

Tietomurroista ja kyberiskuista kotimaassa ja ulkomailla uutisoidaan nykyisin lähes päivittäin. Kyberturvallisuuskeskuksen mukaan kyberrikollisilla usein teon motiivina on raha.

– Virtuaalivaluutan louhinta on yksi tapa. Siinä otetaan it-ympäristön resurssit käyttöön luodakseen rahaa. Kiristyshaittaohjelma on toinen tapa, jolloin laitetaan tietojärjestelmät lukkoon ja pyydetään rahaa avainta vastaan, kertoo yksikönpäällikkö Arttu Lehmuskallio.

Lahden kaupunki on kokenut parin vuoden aikana kaksi massiivista kyberhyökkäystä. Vuonna 2017 hyökkäyksen tarkoitus oli käyttää kaupungin tietojenkäsittelyresursseja virtuaalivaluutan louhintaan.

Kesäkuun 2019 hyökkäys tuli Suomen ulkopuolelta, mutta motiiveista ei ole tarkkaa tietoa. Keskusrikospoliisin esitutkinta tapauksessa on vielä kesken. Lahdessa haittaohjelma levisi noin tuhanteen kaupungin työasemaan, ja kaupungin palvelinympäristö oli myös hyökkääjän hallussa.

Jälkiä on siivottu ja tietoturvaa kehitetty iskun jälkeen noin 900 000 eurolla. Lahti reagoi asiantuntijoiden mukaan hyökkäyksen torjuntaan nopeasti. Lahden tietohallintojohtaja on käynyt puhumassa Lahden kokemuksista myös muualla Suomessa.

Lahti oli harjoitellut kyberhyökkäystä vastaan toimimista tammikuussa. Kesän hyökkäys opetti, että tilannehuoneen perustaminen operaation johtamiseksi oli tärkeää.

Häiriön alussa tarvitaan myös nopeasti suuri joukko asiantuntijoita niin ohjelmisto- kuin perustietotekniikan toimittajilta.

– Hyökkäys voi silti toistua, sillä aukotonta järjestelmää ei saa koskaan aikaiseksi. Palomuuri poistaa kymmeniä kolkutusyrityksiä päivittäin, sanoo tietohallintojohtaja Monni.

Lahti on hyökkäyksen jälkeen ainakin tiukentanut työntekijöidensä salasanakäytäntöjä, muuttanut palvelimille ja palveluihin kirjautumista sekä muokannut palomuurisäännöstöä. Myös tietoteknisen ympäristön valvontaa on tehostettu.

Monnin mukaan järjestelmien kehittämisen lisäksi työntekijöiden tietoturvatietämystä pitää kasvattaa ja korostaa varovaisuutta tietotyössä.

Kyberturvallisuuskeskuksen yksikönpäällikkö Arttu Lehmuskallio kannustaa kuntia harjoittelemaan toimintaansa tietoturvahäiriöiden varalta. Kuva: Petri Niemi/Yle

Kuntien tiukka taloustilanne syö tietoturvan kehittämishaluja

Kokemäen kaupungin sisäiseen verkkoon pääsi kiristyshaittaohjelma heinäkuun lopulla. Tietoturvahyökkäyksen takia muun muassa sähköiset palvelut ja maksuliikenne olivat pois käytöstä.

Kaupunki sai järjestelmänsä palautettua muutamia viikkojen päästä hyökkäyksestä. Järjestelmät ovat sen jälkeen toimineet normaalisti.

– Kaupungin palomuuri ja käyttäjähallinta siivottiin haittaohjelmahyökkäyksen jälkeen. Myös kaupungin salasanakäytäntöä on muutettu, sanoo Kokemäen hallintojohtaja Mikko Löfbacka kertoo.

Löfbacka arvioi, että tietoturvan kehittäminen on monessa kunnassa jäänyt jälkeen kuntien heikon taloustilanteen takia.

– Kokemäki on joutunut tasapainottamaan talouttaan koko 2010-luvun. Tietohallinnon resurssit ovat pysyneet samana liki 20 vuotta, vaikka ylläpidettävien palveluiden määrä ja toimintaympäristö ovat muuttuneet.

Kaupungin ensi vuoden talousarviossa tekninen kehittämistyö on huomioitu. Kokemäki on tilaamassa myös ulkopuolisen selvityksen tietoturvastaan ja riskien parannusehdotuksista.

Puhdistustyö ja järjestelmän palautus normaalitilaan maksoivat muutamia kymmeniä tuhansia euroja. Kyberturvallisuuskeskus auttoi hyökkäyksen ensivaiheen toipumisessa ja tietoturvan parantamisessa.

Kaupunki teki heti hyökkäyksestä rikosilmoituksen. Poliisitutkinta on yhä kesken.

Kuntien tietoturvaverkosto rakenteilla

Kuntaliitto on syksyllä rakentanut tietoturvavastaavien verkostoa. Tarkoitus (siirryt toiseen palveluun)on parantaa tiedotusta häiriötilanteissa. Noin joka kolmas kunta on tähän mennessä liittynyt verkostoon.

– Autamme kaikkia, jotka joutuvat tietomurron kohteeksi. Jos yhdelle käy jotakin, varoitamme muitakin, jotta ne voivat ennalta estää samaa tapahtumasta itselleen. Siksi tällainen uusi kanava on hyvä askel, sanoo yksikönpäällikkö Arttu Lehmuskallio Kyberturvallisuuskeskuksesta.

Lahden Kaupunginjohtaja Pekka Timonen on samaa mieltä siitä, että viranomaisten tiedonvaihtoa pitää parantaa. Hän pitää kuntien nykyistä tietoturvaa tällä hetkellä yhtenä suomalaisen yhteiskunnan suurimpana haavoittuvuutena.

– Vastassa ei ole yksittäisiä nörttejä, vaan kansainvälisiä järjestäytyneitä tahoja.