Tietomurto tilitoimisto Kirjaajassa!
Tilitoimisto Kirjaaja – sähköinen tilitoimisto
Tilitoimisto Kirjaaja oli täysin sähköinen tilitoimisto. Teija oli paikallisen ATK- ja mainospalvelu Hartikainen Tmi:n avustuksella ottanut käyttöön Microsoft Office 365 -palvelun. Kaikki asiakkaisiin liittyvät tiedostot olivat turvallisesti omissa kansioissaan Sharepointissa. Asiakkaiden taloushallinto hoidettiin ProVisor-pilvipalvelulla. Kun työntekijöiden käyttöön oli vielä hankittu modernit Apple-tietokoneet, oli Kirjaajan tietoturva Teijan mielestä erinomaisella tolalla. Kybervakuutusta Teija ei arvellut tarvitsevansa, sillä toiminnan riskit olivat niin hyvin hallinnassa.
Loppuvuodesta Teija oli kyllä itse hairahtunut tutun yrittäjän sähköpostista tulleeseen tilausvahvistukseen, joka olikin huijausviesti. Teijan sähköpostin salasana oli päätynyt hetkeksi huijareiden käsiin. Hartikaisen avulla Teijan sähköpostin salasana vaihdettiin ja tilanne saatiin nopeasti haltuun. Teijan sähköpostista oli ehditty lähettämään muutamalle osoitekirjan vastaanottajalle huijausviesti, mutta Teija oli lähettänyt näille ihmisille heti viestin ja kertonut, että kyseessä oli huijaus.
Tuolloin Hartikainen oli kyllä puhunut jostakin monivaiheisesta tunnistautumisesta. Se oli kuulostanut niin vaikealta, että sitä ei haluttu tilinpäätöskiireiden alla ryhtyä tarkemmin pohtimaan.
Tietomurron kulku
Kun Teijan sähköpostiin loppuvuodesta murtauduttiin, rikolliset pääsivät käsiksi Teijan Office 365 -käyttäjätiliin sekä kaikkiin Teijan lähettämiin ja vastaanottamiin sähköpostiviesteihin. Yrittäjänä Teija oli myös Kirjaajan Office 365 -ympäristön pääkäyttäjä.
Teijan tietämättä rikolliset kävivät pääkäyttäjän oikeuksin ottamassa haltuunsa jokaisen Kirjaajan työntekijän sähköpostilaatikon sisällön. Lisäksi rikolliset latasivat itselleen Kirjaajan Sharepoint tiedostokirjaston kaikki asiakkaisiin liittyvät tiedostot sekä asiakasrekisterin. Vuosien varrella tiedostoja oli kertynyt paljon, ja joukossa oli runsaasti myös päättyneisiin asiakkuuksiin liittyviä tiedostoja.
Viime töinään rikolliset ottivat käyttöönsä eläkkeelle jääneen kirjanpitäjä Kaijan käyttäjätunnuksen, josta tehtiin Kirjaajan Office 365 -ympäristöön ylimääräinen pääkäyttäjä. Vaikka Hartikainen vaihtoi huijauksen paljastuttua Teijan käyttäjätunnuksen salasanan, rikollisilla oli yhä täysi pääsy Kirjaajan Office 365 -ympäristöön…
Näin tapahtumat etenivät
Perjantai 13. päivä
Perjantai-iltapäivällä toimistolla Kirjaajan työntekijät havaitsevat, että kenenkään sähköposti ei enää toimi ja sovellukset alkavat pyytämään salasanaa. Vanhat salasanat eivät kuitenkaan enää toimi. Teija on juuri aikeissa soittaa ICT-kumppanilleen, ATKja mainospalvelu Hartikaiselle, kun hän saa sähköpostin tuntemattomalta lähettäjältä.
”Olemme murtautuneet yrityksenne Office 365 -ympäristöön. Sinua lukuun ottamatta jokaisen työntekijän pääsy ympäristöön on estetty. Hallussamme on jokaisen työntekijänne sähköpostilaatikon sisältö. Lisäksi olemme ladanneet Sharepointista kaikki yrityksenne ja asiakkaidenne tiedostot haltuumme. Tiedostoja oli ainakin 24 000 kappaletta. Suosittelemme teitä toimimaan yhteistyössä ja maksamaan ohjeidemme mukaisesti 100 000 euroa bitcoineina. Sen jälkeen saatte pääsyn Office 365 -ympäristöönne takaisin. Ellette suostu vaatimuksiimme, julkistamme kaikki hallussamme olevat tiedot internetissä. Odotamme vastaustanne 24 tunnin sisällä.”
Teija kauhistuu ja soittaa Hartikaiselle, joka on juuri saapunut mökilleen Lieksaan. Hänellä ei ole tietokonetta mukanaan, mutta hän lupaa lähteä ajamaan heti takaisin kotia kohti. Hartikainen arvioi olevansa noin kolmen tunnin kuluttua takaisin tietokoneensa ääressä. Työntekijät toteavat työnteon mahdottomaksi ja lähtevät viikonlopun viettoon. Illan hämärtyessä Teija miettii, pitäisikö uhkaajan vaatimuksiin suostua. Häntä raivostuttaa ajatus kiristettävänä olemisesta ja rikollisen toiminnan rahoittamisesta. Hän ei myöskään keksi, miten voisi hyvällä omallatunnolla kirjata suorituksen kirjanpitoon. Päätös kypsyy nopeasti – hän ei maksa.
Illalla Hartikaisen päästyä tietokoneensa ääreen tilanteen vakavuus alkaa paljastua. Hartikainen saa omilla tunnuksillaan Kirjaajan Office 365 -ympäristön hallintaansa. Näyttää siltä, että kiristysviestin lähettäjä on oikeassa. Kaikki Kirjaajan ja sen asiakkaiden tiedot ovat rikollisten hallussa. Teija on shokissa.
Hartikaisen avustuksella järkyttynyt Teija tekee Kyberturvallisuuskeskuksen verkkosivuilla ilmoituksen tietoturvaloukkauksesta. Vain viisitoista minuuttia myöhemmin Kyberturvallisuuskeskuksen päivystäjä soittaa ja antaa toimintaohjeet tietomurron tilkitsemiseksi. Hartikaisen avustuksella Teija saa illan viimeisinä tunteina tehtyä poliisille sähköisen rikosilmoituksen ja lähtee uupuneena kotiin. Hartikainen ryhtyy saamiensa ohjeiden avulla yötä myöten tilkitsemään Office 365 -ympäristössä havaittuja tietoturvapuutteita. Kaikkien käyttäjien salasanat vaihdetaan ja monimenetelmäinen todentaminen tekstiviestillä pakotetaan kaikissa käyttäjätileissä käyttöön.
Lauantai 14. päivä
Lauantaina aamupäivällä Teijan puhelin soi. Puhelimessa on keskusrikospoliisin tutkija, joka ottaa yhteyttä Teijan tekemän rikosilmoituksen takia. Yhdessä poliisin ja Hartikaisen kanssa Teija käy tapahtumasarjan läpi. Käy ilmi, että Teijan joulukuinen haksahdus huijausviestiin voisi olla kaiken takana. Poliisikin kehottaa olemaan maksamatta lunnaita, sillä kaikki Kirjaajan ja asiakkaiden tiedostot ovat jo väärissä käsissä. Poliisi kehottaa Teijaa ilmoittamaan henkilötietojen tietoturvaloukkauksesta tietosuojaviranomaisille. Teija tekee työtä käskettyä ja ryhtyy myös soittamaan kaikille työntekijöille kertoakseen tapahtuneesta onnettomuudesta.
Koska Office 365 on saatu takaisin toimintaan, yhdessä sovitaan, että töihin tullaan maanantaina normaalisti. Lauantai-iltapäivällä rikollisten antama 24 tunnin määräaika tulee täyteen. Teija
saa uuden sähköpostin:
”Ette ole suostuneet vaatimuksiimme. Ohessa liitteenä teille todiste siitä, että hallussamme on kaikki yrityksenne tiedot. Lähetämme kymmenen asiakkaanne tiedostot osoitekirjassanne oleville kontakteille ja julkaisemme ne internetissä tänään kello 18.00. Saatte vielä 12 tuntia aikaa maksaa lunnaat. Muutoin julkaisemme kaiken hallussamme olevan materiaalin.”
Teija seuraa kauhuissaan kiristysviestissä olevaa linkkiä ja näkee asiakkaidensa tiedostojen olevan hyökkääjän hallussa. Asiakkaille Teija ei ole kertonut vielä mitään. Hän pohtii kuumeisesti, miten asiasta kertoisi, mutta ei saa viikonlopun aikana muotoiltua asiasta mielestään sopivaa sähköpostiviestiä. Pääasia, että työnteko taas onnistuu.
Myöhään illalla Teijan sähköpostiin alkaa tulvia viestejä huolestuneilta tuttavilta ja asiakkailta, jotka ovat huomanneet hyökkääjän heille lähettämän viestin. Monet ihmiset yrittävät soittaa Teijalle, mutta hän ei uskalla vastata puhelimeen. Hän laittaa sähköpostiinsa lomavastaajan päälle.
Maanantai 16. päivä
Maanantaina Kirjaajan toimistolla on tilanne päällä. Jokaisen työntekijän puhelin soi taukoamatta ja sähköposteja tulvii. Asiakkaat ovat järkyttyneitä ja pahoillaan Teijan puolesta. Kaikkia kiinnostaa myös tietää, mitä tietoja heidän yrityksestään on joutunut rikollisten käsiin.
Sitten Tietosuojavaltuutetun toimiston asiantuntija soittaa. Hän pyytää selvittämään, mikä on Teijan yrityksen suhde asiakkaisiinsa ja millaisia henkilötietoja tietoturvaloukkauksessa on päätynyt väärin käsiin. Jo puhelussa Teijalle käy ilmi, että tietosuojaviranomainen edellyttää Kirjaajaa ilmoittamaan henkilötietojen tietoturvaloukkauksesta viipymättä asiakkailleen. Asiakkaat ovat tietosuoja-asetuksen tarkoittamia rekisterinpitäjiä ja Kirjaaja pelkkä henkilötietojen käsittelijä. Asiaa ei voida viivyttää enää hetkeäkään, sillä tietosuoja-asetuksen edellyttämä 72 tunnin aikaraja on ylittymässä.
Yhdessä Hartikaisen ja miehensä kanssa Teija laatii tiedotteen asiakkaitaan varten. Tässäkö tämä nyt oli, Teija pohtii mielessään. Yhdessä työntekijöiden kanssa he haalivat kasaan asiakkaiden sähköpostiosoitteet ja lähettävät tiedotteen tapahtumasta asiakkaille. Tärkeimmille asiakkailleen Teija soittaa itse. Työntekijät kyselevät varovaisesti, onko sotkun selvittämiseen käytetty työaika kenties ylityötä.
Sitten tulee pommi. Rikollisten asettama määräaika on tullut täyteen ja Teija saa taas postia:
”Ette ole vieläkään suostuneet vaatimuksiimme. Olemme julkaisseet kaikki yrityksenne ja asiakkaidenne tiedostot sekä sähköpostit internetissä. Linkki materiaaliin on lähetetty kaikille asiakkaillenne ja suurimmille suomalaisille tiedotusvälineille. Hyvää päivänjatkoa.”
Teija soittaa keskusrikospoliisin tutkijalle. Poliisi vahvistaa, että vaikka Kirjaajan Office 365 -ympäristön on nyt huolellisesti tilkitty Kyberturvallisuuskeskuksen ohjeiden mukaan, tietovuodolle he eivät voi mitään. Kaikki mikä on kerran julkistettu internetissä, pysyy siellä tavalla tai toisella ikuisesti. Teijan puhelin soi taas. Puhelimessa on Helsingin Sanomien rikostoimittaja. Suomen suurin tilitoimistoon kohdistunut tietomurto on kohta kaikkien suomalaisten tiedossa.
Jätämme tarinan jatkon lukijan mielikuvituksen varaan. Uskoisimme, että suurin osa asiakkaista osoittaa ymmärrystä, mutta kaikki eivät. Osa asiakkaista lähtee ja korvauskanteitakin on asiakkailta odotettavissa. Tapahtuneen vahingon osoittaminen korvausvaateissa lienee kuitenkin vaikeaa.
Teijan tarina on onneksi fiktiota, mutta siinä on elementtejä tosielämästä. Tietoturvariskit on syytä tunnistaa ja niihin on syytä reagoida.
Miten Kirjaajan tietomurto olisi voitu estää?
Paperilla Kirjaajan tietoturva näytti mallikelpoisesti hoidetulta. Teija ei kuitenkaan ollut ymmärtänyt vaatia ICT yhteistyökumppaniaan huolehtimaan Office 365 -palvelun turvallisesta konfiguroinnista, eikä Hartikainen ymmärtänyt sitä pontevammin tarjota. Vaikka ICT-kumppani oli ottanut monitasoisen todennuksen puheeksi, asia sivuutettiin liian vaikeana ja henkilöstöä työllistävänä. Myös Teijan hairahdus tietojenkalasteluviestiin hoidettiin leväperäisesti. Sähköpostin salasanan vaihto ei riitä, vaan koko järjestelmä on tutkittava murtautujien tekemien takaporttien varalta. Pilvipalvelunkin tietoturva on yhtä vahva kuin sen heikoin lenkki.
Näillä vinkeillä jokainen tilitoimisto voi varautua vastaaviin tilanteisiin:
- Ulkoista tilitoimiston ICT-asiat osaavalle kumppanille
- Pyydä ICT-kumppaniasi huolehtimaan teknisestä tietoturvasta parhaiden käytäntöjen mukaisesti
- Luovu vanhentuneista tietojärjestelmistä ja omista palvelimista
- Ota viipymättä käyttöön monitasoinen todennus sähköpostipalveluissa
- Kouluta henkilöstöäsi tunnistamaan tietojenkalastelu
- Valmistaudu toimimaan tietoturvaloukkaustilanteissa oikein
- Hanki asianmukainen vakuutusturva tietomurtojen ja tietoturvaloukkausten varalta