“Kiireessä voi mennä lankaan” – Näin asvaltointiyhtiö selvisi tietomurrosta

Se tuli täysin puun takaa.

Elettiin vuoden 2023 keskikesää. Asvaltoinnin ja maanrakentamisen palveluita tarjoavassa Asfalttikallio Oy:ssä valmistauduttiin jo juhannukseen, kun yrityksen sisällä kiinnitettiin huomiota tavallisesta poikkeaviin sähköposteihin. Asiakkailta alkoi tulla ilmoituksia oudoista viesteistä.

Pian Asfalttikallion tekniselle johtajalle Ville Hirvilammelle alkoi valjeta, mistä on kyse.

– Sähköpostit oli naamioitu tarjouspyynnöiksi, mutta eivät ne tarkemmalla katselulla kovin aidoilta näyttäneet, hän kertoo.

Vaikutelma aidosta syntyi siitä, että sähköpostit liittyivät oikeisiin tarjouspyyntöihin ja tulivat oikeilta asiakkailta. Ja juuri se teki viesteistä vaarallisia.

– Aidoin viesti oli naamioitu turvapostiksi, johon käyttäjän piti syöttää omat tunnuksensa, jotta saa viestin näkyviin.

Asfalttikallion kohdalla onni onnettomuudessa oli, että tietomurto ei ehtinyt aiheuttaa vakavia seurauksia. Tiedostoja ei viety.

Hirvilammen mukaan suurin seuraus oli yritykselle koitunut mainehaitta.

– Maine koki ison kolauksen, kun asiakkaille lähtee kalasteluviestejä meidän palvelimiltamme. Sitä voi pitää merkittävänä vahinkona.

Ville Hirvilammi kertoi Asfalttikallion kokemuksista Valtakunnallisilla yrittäjäpäivillä Seinäjoella.

Yrityksiä oli kohdistettu kaikkiaan viiteentoista käyttäjätiliin, mutta noin puolet yrityksistä ei johtanut tietomurtoon.

”Jokainen meistä on riski”

Ensimmäisenä toimenpiteenä Asvalttikallion sisällä nollattiin kaikkien saastuneiksi tiedettyjen käyttäjätunnusten salasanat. Tutkimukset paljastivat, että niitä oli seitsemän.

– Kyseiset salasanat oli saatu tietojenkalastelulla. Kun rikolliset olivat päässeet järjestelmään, he lähettivät meiltä eteenpäin samanlaisia huijausviestejä kuin mitä meille oli tullut.

Kalasteluviestejä oli tullut Asfalttikallion toimihenkilöille. Yrityksiä oli kohdistettu kaikkiaan viiteentoista käyttäjätiliin, mutta noin puolet yrityksistä ei johtanut tietomurtoon.

– Jos nopeasti katsottuna aidolta vaikuttava huijausviesti tulee sähköpostiin kesken kiivaimman tarjousajankohdan, vieläpä oikealta asiakkaalta, toimihenkilö saattaa kiireessä mennä lankaan. Jokainen meistä on kävelevä tietoturvariski, Hirvilammi sanoo.

“Pientenkin yritysten kannattaa pitää mielessä, että aika paljon asioita voi ulkoistaa.”

Ville Hirvilammi, Asfalttikallio

Asiakkaat ymmärsivät

Ensimmäisessä vaiheessa osa asiakkaista laittoi Asfalttikallion joksikin aikaa mustalle listalle epämääräisten sähköpostien takia.

Kun Hirvilammi otti yhteyttä asiakkaisiin ja kertoi tilanteesta, reaktio oli ymmärtäväinen.

– Asiakkaat olivat siinä vaiheessa valmiita auttamaan asiassa. Keskustelimme muun muassa siitä, mikä tietoturvalisenssi olisi paras ja millaisia toimenpiteitä meilläkin voisi tehdä, jotta vastaava ei toistu. Keskustelu oli hyvin lämminhenkistä.

Asfalttikallio otti tietomurron havaitsemisen jälkeen yhteyttä ulkopuoliseen yritykseen, jolle tietoturva oli ulkoistettu.

– Saimme sieltä ison avun. Pientenkin yritysten kannattaa pitää mielessä, että aika paljon asioita voi ulkoistaa. Emme mekään ole tietoturvan ammattilaisia. Mitä pienemmästä yrityksestä on kyse, sitä vähemmän resursseja sillä on kokopäiväiseen tietoturvatyöhön. 

Asfalttikalliolla on ollut oma ict-osasto yrityksen perustamisesta lähtien, mutta vasta yrityskauppojen tekemisen jälkeen yrityksellä on ollut Hirvilammen mukaan riittävästi resursseja kokonaisvaltaiseen tietoturvan organisoimiseen.

”Vain ajan kysymys”

Tapauksen jälkeen Asfalttikalliossa otettiin käyttöön kaksivaiheinen tunnistautuminen, mistä oli puhuttu pitkään. Se saatiin nopeasti käyttöön koko organisaatiossa. Yrityksessä käynnistettiin myös henkilökunnan kouluttaminen tietoturva-asioista.

– Lisäsimme systemaattista koulutusta, verkkokoulutuksia ja erilaisia tietoiskuja. Tietoisuuden lisääminen on näissä tapauksissa ainoa vaihtoehto.

Tietomurron jälkeen vastaavia tietoturvaongelmia ei ole ilmennyt. Hirvilammella tapaus opetti, että tietoturvauhka vaanii jatkuvasti.

– Tietomurto voi osua minkä tahansa yrityksen kohdalle. Se on oikeastaan vain ajan kysymys. Jos niin käy, täytyy toimia heti.