MaineTietoturva

Tietomurto koettelee rajusti yrityksen mainetta

tietomurto ja maine

Tietoturva on tällä hetkellä vahvasti tapetilla, ja vieläpä poikkeuksellisen ikävällä tavalla, kun on käynyt ilmi, että kymmenien tuhansien ihmisten arkaluontoiset tiedot päätyivät rikollisille ja avoimeen verkkoon yksityisen terveyspalveluntuottajan tietojärjestelmiin kohdistuneen tietomurron yhteydessä.

Tapaus on laajuudessaan ja häikäilemättömyydessään harvinainen.

Se on vakava muistutus tietoturvan tärkeydestä ja siitä, että tietoturvaketjun heikoin lenkki määrittää, miten vahvasta suojauksesta loppupeleissä on kyse.

Pomminvarmaa järjestelmää ei olekaan, mutta parhaansa voi jokainen tehdä. Ja on syytä tehdä.

Monesti tietoturvan kohdallakin puhutaan kustannuksista, mutta yksi oleellisesti tietoturvaan vaikuttava asia ei maksa mitään, ja se on vahva salasana.

Esimerkin vuoksi niin sanotussa brute force- eli väsytyshyökkäyksessä vain numeroista muodostettu seitsemän merkkinen salasana on murrettavissa lähes välittömästi. Puolestaan numeroista, pikkukirjaimista, isoista kirjaimista ja erikoismerkeistä rakennettu 11 -merkkinen salasana vie jo 400 vuotta.

Esitetyt ajat ovat luonnollisesti riippuvaisia monista eri tekijöistä, mutta siitä käy kuitenkin ilmi se, minkälainen merkitys vahvalla salasanalla on.

Nykyisin on saatavilla runsaasti salasanojen hallintaan käytettäviä sovelluksia, mikä poistaa tarpeen luoda helposti muistettavia ja siten yleensä heikkoja salasanoja. Puhumattakaan siitä, että samoja tunnuksia käytettäisiin eri palveluissa.

Näistä sovelluksista käytetään useimmiten nimityksiä salasanamanageri, salasanaohjelma tai salasanan hallintaohjelma.

Esimerkiksi tuhansien suomalaistenkin yritysten käyttämässä WordPress -julkaisujärjestelmässä pelkkä vahva pääkäyttäjän salasana tai tunnus eivät riitä, vaan tulee huomioida mm. FTP-tunnukset, webhotellin tunnukset, tietokannan tunnukset ja sähköpostin tunnukset.

Mikäli suoraan julkaisujärjestelmän tiedostoihin tai tietokantaan päästään käsiksi, murtautujan on mahdollista aiheuttaa monenlaista vahinkoa, sekä päästä käsiksi esimerkiksi asiakastietoihin.

Tässä tilanteessa yritykselle useimmiten muodostuu GDPR-asetuksen mukainen ilmoitusvelvollisuus niin valvontaviranomaiselle, eli tietosuojavaltuutetun toimistoon, kuin myös niitä henkilöitä kohtaan, joiden tiedot ovat mahdollisesti olleet tietoturvaloukkauksen kohteena. Myös sakkojen ja vahingonkorvausten mahdollisuus on olemassa.

Sanomattakin on selvää, minkälainen vaikutus julki tulevalla tietomurrolla on yrityksen luotettavuuteen asiakkaiden silmissä. Yrityksen maine kärsii pahoin, ja voi pahimmillaan kaataa koko yrityksen. Joka tapauksessa kestää kauan paikata vahingoittunut maine.

Käyttämällä luotettavia järjestelmiä, vahvoja salasanoja, sekä huolellisia menetelmiä, päästään jo pitkälle, mutta kuten todettua, aina on olemassa jonkinlainen riski tietomurtoon.

Ennestään vahvamaineisten yritysten kestokyky tämän tyyppisessä tilanteessa on parempi verrattuna maineeltaan heikkoon tai maineettomaan yritykseen.

Yritys hyötyy vahvasta maineestaan toiminnan joka osa-alueella, minkä vuoksi maineenhallinta on tärkeä osa yrityksen jokapäiväistä toimintaa. Samalla tulee kuitenkin muistaa huolehtia myös tietoturvasta riittävällä tavalla.

Yksikin heikko salasana voi pahimmillaan aiheuttaa paljon vahinkoa – asiakkaille, yhteistyökumppaneille, henkilöstölle ja yritykselle itselleen.