Yhdistys yllättyi: nettisivuja pääsi muuttamaan helposti

Nettisivujen tekijät eivät välttämättä pidä huolta tietoturvasta. Tämän sai kokea eräs suomalainen yhdistys. Harva asiakas edes tajuaa kysyä, miten turvallisuus on hoidettu.

Kotimaa
Henkilö käyttämässä kannettavaa tietokonetta.
Yle

Usealla suomalaisella palveluntarjoajalla on tietoturvaongelmia. Yle Uutiset sai vinkin useasta tällaisesta palveluntarjoajasta tietoturvaharrastajalta, joka oli huolissaan asiasta. Otimme yhteyttä yhteen yhdistykseen, joka oli ostanut sivut tällaiselta palveluntarjoajalta.

Koska yhdistys parhaillaan korjaa sivustonsa tietoturvaa, emme voi kertoa yhdistyksen nimeä.

Yhdistyksen sivustolta löytyi paljon ongelmia. Heidän sivuiltaan oli helppo löytää, mitä käyttäjätunnuksia siellä on käytössä. Käyttäjätunnukset olivat työntekijöiden nimillä ja salasanana oli työntekijän etunimi.

Yhdistys ei kuitenkaan käyttänyt itse näitä tunnuksia tai ollut niistä edes tietoinen. Kuka tahansa, joka olisi osannut etsiä, olisi voinut mennä yhdistyksen sivuille ja muuttaa niitä miten vain.

Lisäksi ohjelmisto, jolla nettisivusto tehtiin, selviää helposti sivustolta. Jos henkilö tuntee vanhentuneen ohjelmiston tietoturva-aukot, voi hän käyttää niitä hyväkseen eikä hän edes tarvitse käyttäjätunnuksia tai salasanoja.

– En olisi ikinä itse käyttänyt salasanaa, jonka voi heti yhdistää minuun, kauhistelee yhdistyksen nettisivuista vastaava työntekijä.

"Tosi pelottavaa"

Yhdistyksen työntekijä kertoo, että palveluntarjoajan kanssa käytiin läpi, millaisia päivityksiä sivuihin tehdään. Tietoturvasta ei sen enempää puhuttu.

– Tuntui, ettei tietoturva ole asia, jota täytyy erikseen kysyä. Sehän on lähtökohta tuollaisessa palvelussa, että tietoturva on kunnossa. Ei tullut mieleenkään, ettei se ole kunnossa, hän toteaa.

Yhdistyksessä ollaan todella yllättyneitä sivuston tietoturvaongelmista.

– Onhan se nyt tosi pelottavaa. Edelleenkin sinne pystyisi joku käydä laittamassa mitä tahansa. Täytyy puuta koputtaa ja olla tyytyväinen, että sinne ei ole kukaan käynyt tekemässä tuhoja, yhdistyksen työntekijä sanoo.

Osa palveluntarjoajista ei toimi turvallisesti

Yhdistys vaihtoi palveluntarjoajaa ja on juuri päivittämässä järjestelmäänsä. Moni saman palveluntarjoajan asiakas ei edes tiedä, että heillä on tietoturvaongelmia. Tietoturvaongelmat tulevat yleensä esille vasta, kun jotain tapahtuu.

Kun omat nettisivut ostetaan ulkopuoliselta, oletetaan usein, että silloin kaikki on kunnossa. Ikävä kyllä näin se ei automaattisesti ole.

– Meillä on valitettavan paljon firmoja, jotka tietävät kyllä, miten tulisi toimia turvallisesti, mutta he eivät toimi annettujen ohjeiden mukaan, kertoo Tietoturva-yhdistyksen puheenjohtaja Antti Pirinen.

Pienenkin yrityksen nettisivut tarvitsevat tietoturvaa

Moni voi ihmetellä, mitä väliä on, vaikka tavallisen pienen yhdistyksen tai yrityksen sivuille pääsisikin joku. Eihän vaikkapa kampaajan nettisivuilla ole tulenarkoja tietoja. Ei niin, mutta hyökkääjät voivat aiheuttaa muita ongelmia, sanoo Pirinen.

Hän törmäsi vain vähän aikaa sitten tapaukseen, jossa palveluntarjoaja möi nettisivut ja unohti mainita, ettei niitä aiota päivittää mitenkään.

– Hyökkääjät olivat menneet vanhasta ohjelmistosta heittämällä sisään. Varmuuskopioita ei ollut lainkaan, joten kaikki, mitä yritys oli sivuille laittanut, hävisi, Pirinen kertoo.

Muista kysyä tietoturvasta

Ylimääräisen työn lisäksi tietoturvaongelmat voivat tuoda tahran maineeseen, jos yrityksen tai yhdistyksen nettisivuille päästään julkaisemaan mitä tahansa.

– Ja jos sivulla on ajanvarausjärjestelmä tai jokin muu lista asiakkaista tai jäsenistä, siitä muodostuu henkilörekisteri. Jos se vuotaa, olet vuotanut henkilötietoja ja silloin olet siitä vastuussa, Pirinen varoittaa.

Jos haluaa pitää huolen, että nettisivut ovat turvalliset, pitää Antti Pirisen mukaan muistaa kysyä, miten palveluntarjoaja tietoturvan hoitaa. Tärkeää on tietää, miten käyttäjätunnuksia hallitaan, kuinka usein päivityksiä tehdään ja miten varmuuskopioita otetaan. Ja tilaajan täytyy ymmärtää, miten asiat hoidetaan.

– Jos kysyt, miten turvallisuus on järjestetty ja ymmärrät vastauksen, silloin luultavasti tilanne on kunnossa, hän kiteyttää.