Tietoturva kuntoon tilitoimistoissa

Kuulun siihen ikäluokkaan, jossa kaverit alkoivat harrastaa koodausta 1980-luvulla Vic-kaksikymppisillä, Commodore kuusnelosilla ja vastaavilla. Intoa lisäsi elokuva Sotaleikit, joissa nörtit kirjautuvat Pentagonin palvelimille. Mielikuva hakkereista oli harmiton ja jopa ihaileva. Teinit leikkivät, kilpailevat ja kehittävät taitojaan kirjautumalla surisevilla puhelinmodeemeillaan jännittävien suuryritysten ja valtionhallinnon yksiköiden salaisimpiin sopukoihin. Näitä tarinoita sitten kelpasi kertoa kavereille, mutta ilmeisesti oikeaa tuhoa aiheutettiin harvoin.

Tänään on toisin ja asiaan on nyt syytä viimeistään herätä. Kirjoittaessani tätä pääkirjoitusta huhtikuun alussa olimme saaneet lukea, että kaksi varteenotettavaa suomalaista ohjelmistotaloa oli joutunut tietomurron kohteeksi. Onneksi rikolliset eivät tietojen mukaan päässeet käsiksi henkilötietoihin ja liikesalaisuuksiin. Ei myöskään pidä uskotella, että tässä olisi ollut kyse ainutkertaisesta ja yllättävästä asiasta. Viime vuosina ovat monille tulleet yllättävät “haluan jakaa asiakirjan kanssasi” viestit paljastaneet, että monen tilitoimiston asiakkaiden tiedot ovat todennäköisesti päätyneet rikollisten käsiin Microsoft-tilin kaappauksella. Rohkenen myös epäillä, että näistä yksittäisiin tilitoimistoihin kohdistuneista tapauksista ei ole aina ilmoitettu asianmukaisesti asiakkaille ja viranomaisille.

Tietomurtoja tekevät tänään valtiolliset toimijat muualtakin kuin Venäjältä. Niitä tekevät rikoksiin ryhtyneet yksityiset It-asiantuntijat ja näiden muodostamat liigat. Ilmeisesti valtiolliset ja yksityiset toimijat toimivat usein myös yhdessä. Motivaationa on kiristää rahaa tai varastaa liikesalaisuuksia. Tietomurto on valtava isku tilitoimistolle ja se voi vaarantaa koko liiketoiminnan.

Tietoturva ja henkilötietojen suoja ei ole kuitenkaan merkityksellistä ainoastaan tilitoimistojen ja näiden asiakkaiden liiketoiminnan ja työntekijöiden kannalta. Tilitoimistojen asiakkailleen tarjoamat palvelut ovat tärkeä osa yhteiskunnan huoltovarmuutta kriisitilanteessa. Jos palkanmaksu katkeaa tai pk-yritysten laskutus ja maksuliike seisahtuu, on koko yhteiskunta vaikeuksissa.

Suomen huoltovarmuustyötä koordinoiva Huoltovarmuuskeskus on ymmärtänyt tilitoimistojen, niiden tuottamien palvelujen ja niiden käsittelemien tietojen merkityksen Suomelle niin hyvinä kuin huonompinakin aikoina. Huoltovarmuuskeskus on myöntänyt mittavan rahoituksen koko taloushallintolan tietoturvaa kehittävälle koulutushankkeelle, jota Taloushallintoliitto koordinoi. Projektin tuottamilla koulutuksilla, työpajoilla ja auditointimallilla voidaan nostaa tietoturvan tasoa. Koulutukset ovat maksuttomia. Näin alan pienimpienkin toimijoiden on helpompi panostaa asiaan. Me kaikki tiedämme, millainen vaatimusten paine tilitoimistoihin kohdistuu.

Huoltovarmuuskeskus ja Taloushallintoliitto suunnittelevat myös pysyvää yhteistyömallia, jossa tilitoimistojen It-asiantuntijat voivat lyödä viisaat päänsä yhteen ja suunnitella varautumista erilaisiin tietoturvauhkiin. Tuotokset jaetaan koko alan käyttöön. Tietoturvan kehittäminen ja ongelmiin varautuminen edellyttää hyvää yhteistyötä erilaisten palveluntarjoajien kesken. Serverien pitää hurista, pilvipalveluohjelmistojen pitää olla käytössä tietoturvallisesti, maksuliikenteen soljua pankista toiseen ja Suomi.fi-tunnistuksen toimia.