Katsooko tietoturvan heikoin lenkki peilistä?

YLE:n Team Whack -ohjelmassa hakkerit valjastavat LähiTapiolan toimitusjohtajat osaksi luottamukseen perustuvaa huijausta. Vaikka ohjelma onkin lavastettu, on huoli aito. Yritysten tietoturvaa koetellaan kaikin mahdollisin keinoin joka päivä Suomessa. Siksi siitä tulisi myös puhua enemmän julkisuudessa.

LähiTapiolassa olemme pitkään tehneet red teaming -testausta tietoturvamme kehittämiseksi.*) Organisaation luvalla tehtävissä harjoituksissa hyvishakkerit testaavat varautumista erilaisiin kyberhyökkäyksiin ja fyysisiin uhkiin. Jatkuvat todenmukaiset harjoitukset tuottavat hyvän näkyvyyden turvallisuuden kehittämisen painopisteisiin sekä antavat turvallisuustyöhön uusia ulottuvuuksia.

Olemme harjoituksista tunnistettujen kehityskohteiden perusteella investoineet muun muassa henkilöstön koulutukseen, lukitukseen, kameravalvontaan ja tietoverkkojen havainnointikykyyn. Sekä harjoittelu että investoinnit vaativat hyvää yhteistyötä ja dialogia riskienhallinnan, liiketoiminnan, turvallisuuden ja tietoturvallisuuden välillä. Meille jokainen Red Teaming -harjoitus tarkoittaa kehittämishankkeen, pienen tai laajan, käynnistämistä jollakin turvallisuuden osa-alueella ja ne läpi viedään yhteistyössä usean eri toimijan kanssa.

Innostuinkin, kun YLE taannoin tiedusteli halukkuuttamme osallistua Team Whack -hakkeriohjelmaan (katso jakso tästä), jossa tehtäisiin yhteistyötä red teaming -harjoituksen saralla meille jo entuudestaan tuttujen Team Whackin hyvishakkerien kanssa. Paljastamatta liikaa ohjelman sisällöstä, voin kertoa, että hakkerit päätyvät yrittämään luottamukseen perustuvaa huijausta ja pyrkivät siksi yksittäisten toimitusjohtajiemme koneille.

Ammattimaiset huijarit tuntevat erinomaisesti ihmisen psykologian ja pyrkivät sitä hyödyntämään, kuten voit lukea tästä jutusta. Siksi myös meillä on jo pitkään varauduttu luottamukseen perustuviin huijauksiin osana turvallisuustyötä.

Toivottavasti tämä Team Whack -jakso osaltaan lisää ymmärrystä erilaisista tietoturvauhista ja niihin varautumisesta. LähiTapiolassa tietoturvatyön perimmäinen tarkoitus on tehdä vastuullista työtä kaikilla tasoilla asiakkaiden hyväksi. Oman tietoturvamme kehittämisen rinnalle pyrimme myös laajemmin vaikuttamaan tietoturvan edistämiseen Suomessa. Yksi hyvä keino tähän on ollut jakaa julkisesti kokemuksiamme, kuten Hack day -hakkeripäivistä ja laajasta palvelunestohyökkäysharjoituksesta.

Haluan esittää omasta puolestani kiitokset Team Whackille sekä Yleisradiolle kun saimme olla mukana tässä harjoituksessa sekä osana Yleisradion DocStop -dokumenttisarjaa.

*) Red Teaming on harjoitus, jossa organisaatio antaa luvan hyvishakkereille testata varautumista erilaisin kyberhyökkäyksiin. Red Teaming -harjoitukset eivät aiheuta haittaa henkilötietojen turvallisuudelle, LähiTapiolan asiakkaille tai palvelujen normaalille käytölle.

Leo Niemelä
tietoturvajohtaja
LähiTapiola