Verkkohyökkäys lukitsi autotarvikeliikkeen kassat, salasi tiedot ja sulki ovet – Tiedätkö miten varautua, sillä voit olla rikollisen seuraava kohde?

Kyberturvallisuuskeskus kehottaa varautumaan verkkoiskuun, jotta toimintaa pystyisi jatkamaan mahdollisimman pian.

Tietotekniikkarikollisuus
Keminmaan Paakkarin yrittäjä Raimo Tunkkari työpisteensä äärellä
Yrittäjä Raimo Tunkkari sai myymälänsä auki kohtuullisen nopeasti hakkeri-iskun jälkeen, sillä tärkeimmät tiedot olivat tallessa toisaalla ja niiden avulla toiminta saatiin käyntiin uudestaan. Antti Ullakko / Yle

Yrittäjä Raimo Tunkkaria odotti heinäkuisena aamuna ikävä yllätys. Keminmaassa toimivan autotarvike- ja korjaamoyrityksen tietokoneruudulla oli viesti, jossa hakkerit kertoivat lukinneensa yrityksen tiedot. Varaosa Paakkarin asiakas- ja varastotiedot oli salattu, korttimaksaminen oli mahdotonta. Myymälä oli pakko sulkea.

– Menetimme hetkellisesti kaikki tiedot. Kaikki oli jumissa, emme tienneet, mitä meillä on varastossa. Kassat eivät auenneet eli emme voineet myydä. Oltiin kaksi päivää kiinni.

Pelastukseksi tuli viimetalvinen serverin vaihto. Sen jäljiltä oli tallessa tietokanta, jonka avulla liike saatiin auki viikonlopun kovan työnteon jälkeen. Kaupanteko sujuu toki hiukan nilkuttaen, sillä käytettävissä olevat tiedot ovat helmikuisia eli vanhentuneita.

– Elämme nyt helmikuun 12. päivän tilanteen mukaan. Suurin menetys on, että emme tiedä, mitä varastossa on. Inventaario on pakko tehdä.

Vanhojen tietojen löytyminen oli kuitenkin arvokasta, sillä varastotiedoista löytyy esimerkiksi tieto tavaroiden hyllypaikasta. Varaosaliikkeen valtavaa valikoimaa ajatellen tieto on elintärkeä.

Keminmaan Paakkarin varaosaliikettä odottaa inventaario
Autotarvikkeita ja -varaosia myyvälle liikkeelle varastotiedot ovat ensiarvoisen tärkeitä. Keminmaalaisyrityksen arkea helpottaa se, että tavaroiden hyllypaikat tiedetään, vaikka muut varastotiedot ovatkin vanhentuneita.Antti Ullakko / Yle

Tietokoneruudulla olleessa hakkereiden viestissä kehotettiin ottamaan yhteys annettuihin sähköpostiosoitteisiin, jos haluaa tehdä “yhteistyötä”. Paakkarilta lähetettiin viesti. Vastausta odotettiin luvatun 24 tunnin kuluessa, mutta mitään ei kuulunut. Oli pakko ottaa käyttöön varasuunnitelma eli kaivaa esille vanha tietokanta.

Muutaman vuorokauden odottelun jälkeen hakkereilta tuli vastaus ja lunnasvaatimus: tiedot saa auki, jos pulittaa bitcoinmaksua tuhansien eurojen edestä.

Kannattaako lunnaat maksaa?

Kysymykseen lunnaiden maksamisesta tulee sekä poliisilta että tietoturva-asiantuntijoilta yksiselitteinen vastaus. Lunnaita ei pidä maksaa.

– Ei ole mitään takeita siitä, että rikolliset luovuttavat lunnaita vastaan avaimen, jolla saa tiedot auki. Ja vaikka luovuttaisivatkin, ei ole takeita siitä, etteivätkö rikolliset lukitsisi tietoja uudestaan tai vuotaisi tietoja, sanoo tietoturva-asiantuntija Jan Wikholm Kyberturvallisuuskeskuksesta.

Sama viesti tulee KRP:ssä verkkorikoksia tutkivalta rikoskomisario Marko Leposelta. Sekä Wikholm että Leponen tietävät, että joissain tapauksissa lunnaita on päädytty maksamaan, koska toiminnan jatkaminen on koettu muuten mahdottomaksi – rikoksen kohteeksi joutuneella ei siis ole ollut riittäviä varmuuskopiota ja muita keinoja palauttaa toiminta edes auttavalle tasolle.

– On tapauksia, joissa lunnaat on maksettu, mutta tietoja ei kuitenkaan ole pystytty avaamaan, koska rikolliset eivät ole luovuttaneet tarvittavia avaimia, kertoo rikoskomisario Marko Leponen.

Keminmaan Paakkarin varaosaliikkeelle lähetetty uhkauskirje
Yrittäjä otti hakkeriviestistä paperitulosteen. Viesti sisälsi kolme sähköpostiosoitetta, joihin piti ottaa yhteys, jos halusi "yhteistyöhön".Antti Ullakko / Yle

Verkon oviin tarvitaan vahvat lukot

Mitä yritysten, yhteisöjen, yksityishenkilöiden sitten pitäisi tehdä suojautuakseen? Ensinnäkin on tietysti on hankittava tuhti tekninen tietoturva toiminnalleen, ja sen jälkeen tehtävä varautumissuunnitelmat.

– Aikanaan yritysten oviin hankittiin vahvemmat lukot, jotta estettäisiin murtovarkaiden pääsy rakennukseen. Nyt lukkoja pitää vahvistaa verkkomaailmassa, jotta torjutaan rikollisten pääsy tiloihin sitä kautta, kuvailee rikoskomisario Marko Leponen.

Vahvoista tietoturvatoimista huolimatta hakkerit voivat kuitenkin onnistua iskemään ja siksi tärkeää on ennakoida. Hyökkäys on myös mahdollista havaita; siitä voi kieliä tavallista suurempi verkkoliikennepiikki. Siinä vaiheessa on jo oikeastaan liian myöhäistä – iskun mahdollisuuteen on varauduttava hyvissä ajoin.

Iskusta toipumista pitää harjoitella

– Pitää pohtia, mitkä toiminnat ja tiedot ovat niitä kriittisimpiä, jotka ehdottomasti tarvitaan. Monessa yrityksessä vallitsee aikamoinen it-viidakko, ja sieltä pitäisi hyvän sään aikana etsiä ne tärkeimmät tiedot ja palvelimet, sanoo tietoturva-asiantuntija Jan Wikholm.

Valmistautumislista on pitkä, mutta johdonmukainen, ja se toimii yhtä lailla tulipalon kuin verkkorikollisenkin varalta. Mitä ja miten usein tietoja varmuuskopioidaan, turvataanko kaikki tarpeelliset tiedot, ovatko varmuuskopiot varmassa tallessa, jotta rikolliset eivät pääse niihin kiinni samalla iskulla? Rikollisten käsissä varmuuskopiot saavat nimittäin kyytiä melkein ensimmäisenä.

On laadittava suunnitelma vaikkapa tilanteeseen, jossa rikollinen on tehnyt palvelimista käyttökelvottomia. Millä tavalla ja miten nopeasti varmuuskopiot pystytään ottamaan käyttöön niin, että toimintaa voidaan edes jossain määrin jatkaa?

– Toipumista on siis harjoiteltava, tiivistää Jan Wikholm.

Yksi oljenkorsi tietonsa menettäneille on poliisiviranomaisten ja kansainvälisten tietoturvatalojen ylläpitämä No More Ransom- eli Ei enää lunnaita -sivusto, josta löytyy purkutyökaluja vanhemmille salaaville haittaohjelmille.

– Sen varaan ei kannata laskea, sillä vähänkään uudemmille haittaohjelmille sieltä ei löydy purkuapua, Wikholm sanoo.

"Rikolliselle Keminmaa on yhtä lähellä kuin Hongkong"

Keminmaalaisliikkeen tapahtumat eivät ole harvinaisia. Sekä poliisi että Kyberturvallisuuskeskus tietävät, että yrityksen tai yhteisön koolla, toimialalla tai maantieteellisellä sijainnilla ei verkkomaailmassa – eikä varsinkaan verkkorikollisuuden maailmassa – ole merkitystä. Hakkeri voi iskeä keneen tahansa.

Tietoturva-asiantuntija Jan Wikholm jakaa hyökkäykset karkeasti kahteen pääryhmään, kohdennettuihin ja sattumanvaraisiin. Rikolliset voivat etsiä hakkerointikohteita esimerkiksi tietyltä toimialalta. Lisäksi verkkoa skannataan, "haravoidaan" koko ajan eli etsitään minkä tahansa kohteen haavoittuvuuksia.

– Tässä Keminmaan tapauksessa on todennäköisesti ollut lähinnä huonoa tuuria ja yritys on osunut tuohon haravaan.

Asiakas Keminmaan Paakkarin varaosaliikkeen kassalla
Keminmaalaismyymälän toimii hiukan nilkuttaen, sillä varastotiedot ovat helmikuulta.Antti Ullakko / Yle

Myös verkkorikoksia tutkiva rikoskomisario Marko Leponen KRP:stä huomauttaa, että maantieteellä tai yrityksen koolla ei ole verkossa mitään merkitystä.

– Rikolliselle Keminmaa on yhtä lähellä kuin Hongkong. Rikollisen tavoitteena on vain saada rahallista hyötyä mahdollisimman nopeasti ja mahdollisimman paljon.

Poliisi: Tee aina rikosilmoitus

Poliisi painottaa, että on tärkeää tehdä rikosilmoitus kaikista hakkerointi-, huijaus- ja kalastelutapauksista ja niiden yrityksistä. Esimerkiksi maineen menetyksen pelossa tai häpeästä ei pidä jättää rikosilmoitusta tekemättä.

– Verkkorikos on rikos siinä missä mikä tahansa omaisuusrikos tai väkivaltateko, muistuttaa rikoskomisario Ossi Granat Lapin poliisista.

Poliisin on tärkeää saada mahdollisimman kattavasti tiedot verkkorikoksista tai niiden yrityksistä, koska karttuva tieto voi johtaa ketjujen ja isojen rikoskokonaisuuksien äärelle.

– Itseensä kohdistunutta huijausta tai muuta verkkorikosta voi moni erehtyä pitämään liian pienenä tai vähäpätöisenä, mutta se on väärä ajatus. Rikosilmoitus auttaa poliisia pääsemään tutkinnassa eteenpäin ja saamaan rikollisia kiinni, Granat sanoo.

Toiveena on, että ilmoitus rikoksista tai niiden yrityksistä tehtäisiin myös Traficomin Kyberturvallisuuskeskukselle.

Kyberturvallisuuskeskus saattaa maallikon korviin kuulostaa laitokselta, joka käsittelee vain laajoja tietoturvauhkia ja suuriin yhteisöihin tai yrityksiin tai koko yhteiskuntaan kohdistuvia verkkorikoksia. Laaja-alainen kyberturvallisuustyö on toki tärkeä osa keskuksen toimintaa, mutta lisäksi tehtäviin kuuluu auttaa ja neuvoa kansalaisia. Kyberturvallisuuskeskuksen päivystäjiltä saa ohjeita ja tukea erilaisten verkon kautta tehtyjen verkkorikosten selvittelyyn ja niistä selviämiseen.

Mitä varaosaliike tästä oppi?

Hyökkäyksen kohteeksi joutuneen keminmaalaisliike ei maksanut lunnaita, vaan on pääsemässä jaloilleen omin avuin. Opin kantapään kautta yrittäjä ja henkilökunta ovat kyllä saaneet.

– Halusin kertoa tapauksesta, jotta muutkin, esimerkiksi tällaiset mikroyrittäjät, havahtuisivat siihen, että tällainen "maanmatonenkin" kiinnostaa rikollisia, Raimo Tunkkari sanoo.

Tunkkarilla on jo alustava suunnitelma tulevaisuuden varalle. Jatkossa yrityksen tietoja turvataan entistäkin tehokkaammin teknisin toimin, varmuuskopiot tallennetaan turvalliseen paikkaan, ja lisäksi kaikenlaista varovaisuutta verkossa lisätään.

– Esimerkiksi sähköpostiviestien ja päivityskehotusviestien kanssa ollaan entistä tarkempia, Tunkkari tuumii.

Keminmaan Paakkarin yrittäjä Raimo Tunkkari työpisteensä äärellä
Yrittäjä Raimo Tunkkari löysi heinäkuisena aamuna tietokoneeltaan tyrmäävän hakkeriviestin. Kaikki tiedot oli salattu, joten liikkeen toiminta piti keskeyttää. Antti Ullakko / Yle

Edit 23.7.20 klo 10.45 Tarkennus: Kansalaiset ja esimerkiksi pienyritykset saavat Kyberturvallisuuskeskuksesta ohjeita virka-aikana, eivät ympäri vuorokauden.