No niin, nyt kuulostaa jo paljon perinteisemmältä palveluntarjoajan puheelta: 1) Kiistä kaikki ja 2) syytä asiakkaita.
Yhtiö on työskennellyt kolme viikkoa järjestelmien palauttamiseksi ja tapauksen selvittämiseksi.
Selvitystyössä on yksi mutta: Tietoevry ei Bordalin mukaan tiedä, miten Akira-haittaohjelmaa käyttäneet hyökkääjät pääsivät sisään. Lunnasvaatimuksia ei ole saatu, eikä hyökkääjien kanssaan ole muutenkaan kommunikoitu millään tavalla. Toisin sanoen on liki mahdotonta tietää, mitä yritys olisi voinut tehdä toisin välttääkseen murron.
”Tietoevryn järjestelmiä itsessään ei ole murrettu. Uskallan sanoa, että tunkeutumisesta huolimatta tietoturvamme on riittävällä, erittäin korkealla tasolla. Emme vain tiedä, miten hyökkääjät pääsivät sisään. Asiaa selvitetään poliisitutkinnassa”, Bordal sanoo DN:lle.
DN:n haastattelija kyseenalaistaa sen, eikö järjestelmiin tunkeutuminen tietoturva-aukkojen kautta kuitenkin määritelmällisesti ole niiden murtamista. Bordal korostaa, että Tietoevryn järjestelmien tietoturva on Ruotsin yleisellä tasolla, mutta että laajassa mielessä Ruotsin tietoturvaosaaminen on ehkä ”epäkypsää” tämänkaltaisia rikoksia ajatellen verrattuna esimerkiksi Yhdysvaltoihin.
Bordal kehottaa myös asiakkaita investoimaan tietoturvaan, sillä viime kädessä järjestelmät ja tietoturva ovat asiakkaiden käsissä. Hän myöntää, että ulkoistettuna järjestelmätoimittajana osavastuu on myös sillä. Yhtiö pyrkii ohjaamaan asiakkaitaan tietoturvassa parhaaksi katsomaansa suuntaan.
”Me itse investoimme moderneihin, turvallisiin palveluihin, joita meillä on paljon. Asiakkaan tulee pohtia, kuinka kriittisen arvokkaana pitää omia järjestelmiään. Tyytyykö turvalliseen Skodaan, vai tarvitseeko Rolls-Roycen.”
HS:n juttu maksumuurin takana. Taustassa ei sinällään paljoa uutta asiaa seuranneille, mutta pitkäkestoinen tapaus jonka kustannukset ei vielä tiedossa. Muutama lainaus alla.
HS haastatteli Tietoevryn tilanteesta kahta asiantuntijaa, F-securesta hiljattain irtautuneen Withsecuren tutkimusjohtajaa Mikko Hyppöstä ja Tietoevryä seuraavaa Danske Bankin analyytikkoa Sami Sarkamiestä.
Molempien mukaan tapauksessa on erityistä seurausten pitkä kesto.
”Onhan tämä poikkeuksellisen pitkään kestänyt tapaus”, Hyppönen sanoo.
Kestoa pidentää hyökkäyksen laajuus ja toki myös se, että Tietoevry ei periaatesyistä halua lunnaita rikollisille maksaa.
”Tässä on kyseessä poikkeuksellisen laaja järjestelmä, johon hyökkääjä on päässyt sisään. Uhrina ei ole vain yksi yritys ja sen järjestelmä vaan palveluntarjoaja, joka tarjoaa palveluita suurelle määrälle yrityksiä”, Hyppönen toteaa.
Analyytikko Sarkamies sanoo, että Tietoevryn torstaina ilmoittamat kulut tapaukseen liittyen tuskin tulevat olemaan koko totuus.
”Yhtiö arvioi eilen yllättävän pieniä vaikutuksia. Muutaman miljoonan euron vaikutuksen myyntiin ja muutaman miljoonan euron ylimääräiset kulut. Se tuntuu yllättävän pieneltä, kun ruotsalaisille asiakkaille on tullut tästä niin merkittäviä vaikutuksia.”
Sarkamies tulkitsee, että torstaina ilmoitetuissa summissa oli todennäköisesti huomioitu vasta suorat kulut, kuten ulkopuolisen avun palkkaaminen, mutta ei epäsuoria kuluja vielä lainkaan.
Mahdollisten vahingonkorvausten ja sopimuksiin kuuluvien korjaustoimien suuruutta on toistaiseksi mahdoton arvioida. Niiden tarve riippuu kunkin asiakkaan sopimuksista ja osapuolten vakuutuksista.
SIITÄ SARKAMIES on vakuuttunut, että Akira-hyökkäyksen loppulasku ei ole tiedossa vielä tämän vuoden aikana. Aluksi Tietoevry yrittää palauttaa järjestelmiä ja tietoja yhteistoiminnassa asiakkaiden kanssa. Vasta sen jälkeen vahinkojen suuruutta voidaan arvioida.
Sarkamies huomauttaa, että vahingon arvoa on vielä vaikeampi määrittää sellaisissa Ruotsin median uutisoimissa tapauksissa, joissa tieto ei ole palautettavissa edes varmuuskopioilta.
”Jos nettisivut eivät toimi viikon ajan, vahingon suuruus on helppo näyttää toteen. Mutta jos häviää historiadataa, syntynyttä vahinkoa on vaikea arvioida.”
Tässä voi olla edessä vahingonkorvausoikeudenkäynnit - mielestäni Alkio ohitti aiheen aika ohkaisesti webcastissa, mutta tietysti tätä yritetään piiloitella viimeiseen saakka.
“Venäläisen Akira-hakkeriryhmän uhriksi Ruotsissa joutuneen Tietoevryn asiakkaat sanovat, että iskussa tuhoutui runsaasti varmuuskopioita. Näin tapahtui siitäkin huolimatta, että Tietoevry on useiden asiakkaiden mukaan vastuussa varmuuskopioista.”
“Seurauksista on joutunut kärsimään myös Ruotsin hammas- ja lääkehoidon korvauksista huolehtiva virasto, jonka diaariluettelo on hävinnyt kokonaan. Sen vanhimmat osat on osittain saatavilla paperilla, mutta niiden hakemiseen käytetty digipalvelu on menetetty.”
Tässä on paljon liikkuvia osia, joten tietenkään ei tiedetä, mitä toimittaja-asiakas sopimuksessa on sovittu jne. Mutta jo aika pienet yritykset ostaa varmistuspalvelut, jossa data on hajautettu kahteen eri konesaliin ja myöskin offline-kopioita otetaan nauhoille tietyn aikavälein (jotta saadaan jokin takatuki esim. 3kk taaksepäin). Varmistukset on aika halpoja toteuttaa nykyisin verrattuna 10v taaksepäin.
Vakuutusturvatkin voi olla monenkirjavia, jos mukaan tulee sekoittamaan toimittajan toiminnan haavoittuvuus systeemin rakentamisessa. Eli jos vahingon aiheuttaja ei olekaan pelkästään hyökkääjä.
Jos olisin sijoittanut Tietoon, kysyisin vuosia Tiedon asiakkaina toimineilta tutuilta onko joskus käynyt niinkin että maksettuja varmuuskopioita ei olekaan olemassa ja palautus ei onnistu riippumatta siitä oliko kyseessä joku ransomware vai täysin muu syy. Hypoteettisesti: Jos tuo luotettavuus on luokkaa fifty-sixty, niin silloinhan on myös merkittävä riski siitä, että vakuutusyhtiö huomaa että mitään kryptattuja varmuuskopioita ei ole olemassa.
Toki järkevä asiakas myös tekee säännöllisesti palautustestejä (eri aikajaksoille, ei pelkästään tuoreimmalle) esim. huoltokatkojen yhteydessä eikä sokeasti luota toimittajaan. Noissa voi hyvin paljastua omiakin mokia kun kaikki tarvittava ei olekkaan medioilla. Tieto mielellään myy eri tasoisia ja hintaisia varmistuspalveluita, joten voi tästä tulla myös katetta jatkoa ajatellen kun yritykset heräävät varmistusten tärkeyteen.
Korostat maksullisuutta (boldaukset yllä omiani), mutta maksullisen tuotteen valitseminen esimerkiksi open sourcen sijaan ei valitettavasti takaa yhtään mitään. Maksullisessa, usein suljetun lähdekoodin, sovelluksessa voi olla aukkoja ihan yhtä lailla, vieläpä yhteisöltä ja käyttäjiltä täysin piilossa. Maksullisuus sinänsä ei myöskään tuo mukanaan mitään toiminta- tai päivitystakuuta tai vakuutusta tulevaisuuden varalle. On tärkeää huolehtia päivityksistä ja olet kiinnittänyt huomiota moneen keskeiseen seikkaan. Maksullisuus ei tässä kuitenkaan loppujen lopuksi ole keskeinen muuttuja.
En minäkään käyttäisi. Puhuin yleisemmällä tasolla, VPN:n olet maininnut vain sinä. Jos nyt minäkin nostan tähän yhden konkreettisen esimerkin niin esim. KeePass-salasanamanageri on ilmainen, open sourcea ja tietoturvallisuuden puolesta laadukas ohjelmisto. Mikä esim. tässä tapauksessa on se pelottelemasi koukku, jota kautta loppukäyttäjä välillisesti maksaa?
Väärin. Oikeasti isoissa ympäristöissä tietoturva ja siihen liittyvät lisenssit ovat merkittävä kuluerä. Ja myös tarpeellinen. En minä mitään isoa corporate-ympäristöä lähtisi ilmaistuotteilla tekemään, koska ne eivät yleensä skaalaudu.
Alkuperäinen pointtini oli, ettei laadukasta ilmaisohjelmaa kannata olla käyttämättä vain siksi, ettei sillä ole hintalappua - ja käänteisesti hintalappu ei tee huonosta hyvää. Ratkaisut valitaan tapauskohtaisesti.
Olen alusta asti tätä tiedon casea seuratessani ihmetellyt suuresti sitä, että miten osake ei ole ottanut tätä enempää itseensä. Hinnoittelu tuntuu olevan aivan business as usual tasolla.
Asiassa on tuntunut alusta asti olevan vain jäävuoren huippu näkyvillä, ja potentiaali hyvin pitkäkestoiseen ja venyvään epätietoisuuteen niin mahdollisissa vastuuvakuutusasioissa että lopullisissa korvausasioissa. Äkkiä ajatellen tuntuisi, että korvaukset voivat olla jopa järisyttävän isot suhteessa tiedon ebittiin, vai olenko väärässä?
Itse näkisin asian olevan ylimitoitettu. Kyse on Tech Servicen ruotsin toiminnon moka, joka on hyvinkin pieni osa kokonaisuutta. Kaiken lisäksi ovat saaneet ainakin osan sivustoista palautettua. Uskon, että ransomware summat ovat olleet korjaus vaihtoehtoa suurempia.
Eräitä Tietoevryn Jäljelle Jäävää Liiketoimintaa koskevia alustavia tilintarkastamattomia havainnollistavia taloudellisia tietoja Alla olevat eräät Tietoevryn Jäljelle Jäävää Liiketoimintaa koskevat alustavat tilintarkastamattomat havainnollistavat taloudelliset tiedot 31.12.2023
päättyneeltä tilikaudelta (sisältäen tuloslaskelman vertailutiedot 31.12.2022 päättyneeltä tilikaudelta) on johdettu Yhtiön historiallisista tilintarkastetuista konsernitilinpäätöksistä havainnollistamaan Tietoevryn Jäljelle Jäävää Liiketoimintaa ikään kuin Jakautuminen olisi toteutettu 1.1.2023, jolloin Banking liiketoimintaan liittyvät erät on jätetty pois tiedoista.
Huomaa, että havainnollistavia taloudellisia tietoja tulee lukea yhdessä aiemmin raportoitujen taloudellisten tietojen kanssa, mukaan lukien valuuttakurssien vaihteluiden vaikutus.
Tase
Milj. euroa 31.12.2023
Varat yhteensä 2 819,3
Oma pääoma yhteensä 1 207,9
Velat yhteensä 1 611,3
Korollinen nettovelka 785,7
Nettovelka/käyttökate (EBITDA) 2,4
Oma pääoma yhteensä/Varat yhteensä, % 42,8
Tietoevry Create voitti KEHA-keskuksen kilpailutuksen projektin määrittely- ja arkkitehtuuripalveluiden osalta saamalla korkeimmat yhteispisteet vertailussa (40 % hinta, 60 % laatu). Sopimus laajentaa KEHA-keskuksen ja Tietoevryn pitkäaikaista yhteistyötä.
KEHA-keskuksen asiakkaat, kuten TE-toimistot ja ELY-keskukset, ovat tärkeässä asemassa Suomen elinkeinotoiminnassa. Toimijat pyrkivät tarjoamaan entistä asiakaslähtöisempiä, kustannustehokkaampia ja vaikutuksiltaan parempia palveluita ja ratkaisuja. Sopimuksen myötä Tietoevry Createn asiantuntijat toimivat tukena ja tekijöinä näissä tehtävissä yhdessä KEHA-keskuksen kanssa.
Yksi Tietoevryn palvelimista Ruotsissa joutui kiristyshaittaohjelman uhriksi tammikuun 19. ja 20. päivän välisenä yönä. Yhtiö kertoi onnistuneensa pysäyttämään hyökkäyksen ja rajoittamaan vahinkoja.
Hyökkäyksellä oli vaikutuksia useisiin yhtiön asiakkaisiin eri aloilla, ja sen vaikutukset ovat näkyneet ruotsalaisessa yhteiskunnassa monin eri tavoin. Tietoevry kertoo katuvansa suuresti hyökkäyksen aiheuttamia vaikeuksia yhtiön asiakkaille ja muille toimijoille.
Yhtiö kertoo jatkaneensa työskentelyä korjatakseen kaikki hyökkäyksessä vahingoittuneet asiakkaiden palvelut. Tietoevryn tuoreimman tiedotteen perusteella järjestelmän palauttaminen on 97-prosenttisesti valmis. Siitä huolimatta asiakkaiden palveluista vain 83 prosenttia on palautettu.
Tietoevryn mukaan ero luvuissa selittyy sillä, että jotkin asiakaskohtaiset tilanteet ovat hieman monimutkaisempia. Yhtiö kertoo asiakkaiden järjestelmien palauttamisen olevan sen korkein prioriteetti.
Osana tutkintaa asiantuntijat ovat myös tehneet suuren data-analyysin. Tietoevry on lisäksi palkannut kolmannen osapuolen asiantuntijoita varmistamaan tutkimuksen tuloksia ja hoitamaan vaikeimpia järjestelmän palautuksia. Tutkimuksen tulokset jaetaan jatkuvasti viranomaisille.
Olen luullut, että TietoEvry on sen kokoluokan ja kaliiberin firma, että siellä on Pohjoismaiden parasta osaamista melkein alueella kuin alueella. Ei näytä olevan, kun joutuvat ostamaan osaamista ulkopuolelta.
Ns. kiinnostavaa kehitystä johdon osakeohjelman palkitsemiskriteereissä. 2020/21 alkaneiden ohjelmien (allekirjoittaneen mielestä) varsin tasapainoinen mittaristo (EPS, osakkeen kokonaistuotto ja liikevaihdon kasvu) korvautuneet pelkällä osakkeen kokonaistuotolla ja esg-mittareilla.
Kun sukupuolten %-osuuksille asetetaan kiinteät prosenttimääräiset rajat jotka vaikuttavat merkittävällä tavalla johdon palkitsemiseen, on selvää, että nämä kiintiöt tullaan saavuttamaan. Mutta kysymys kuuluu, löytyykö työntekijämarkkinalta vastaavalla sukupuolijakaumalla haluttuja osaajia? Alle kymmenen vuotta sitten tietotekniikan opiskelijoista Suomen korkeakouluissa yli 80 % on kuitenkin ollut miehiä (lähde: Kone näyttää, miten pahasti jotkin alat ovat sukupuolittuneita korkeakouluissa | Politiikka | Yle).
Varmaankin on hyväksi että it-alallakin sukupuolijakauma muuttuu tasaisemmaksi, mutta itse näin boomer-henkisenä yksityissijoittajana arvostaisin enemmän liiketoiminnan ydinlukuihin perustuvaa palkitsemista.
Mutta jo aika pienet yritykset ostaa varmistuspalvelut, jossa data on hajautettu kahteen eri konesaliin ja myöskin offline-kopioita otetaan nauhoille tietyn aikavälein (jotta saadaan jokin takatuki esim. 3kk taaksepäin). Varmistukset on aika halpoja toteuttaa nykyisin verrattuna 10v taaksepäin.
Varmuuskopioita on tehty niin kauan kuin tietokoneita on ollut olemassa. Ensisijassa niitä on tehty tiedon suojaamiseen laiterikkojen, tulipalojen, ohjelmistovirheiden, varkauksien, vahinkojen ja vastaavien riskien varalle. Tietovälineiden fyysiseen tuhoutumiseen varmistusten säilyttäminen fyysisesti etäällä – esim. toisessa konesalissa kuten sanoit – on paras suoja. Näistä riskeistä on jo vuosikymmenten aikana kertynyt paljon osaamista, kokemusta ja parhaita käytäntöjä. (Toki silti perusasiatkin usein tunaroidaan.)
Ransomware sen sijaan on aivan eri tyyppinen riski, ja siinä fyysinen etäisyys ei auta, jos varmuuskopio ei ole täysin offline tai fyysisesti kertakirjoitteinen media, kuten optinen levy tai melko luotettavasti (vaikkei fyysisten ominaisuuksiensa perusteella) kertakirjoitteinen (WORM) nauhamedia.
Kaikki menetelmät, missä varmistusten koskemattomuus taataan pelkällä ohjelmistolla toteutetulla eristämisellä, ovat aina jollain tavalla haavoittuvia, koska käytännössä aina on olemassa joku mahdollisuus päästä käsiksi itse varmistusjärjestelmään, koska jonkunhan sitä on pystyttävä viime kädessä ylläpitämään. Mutta tällaisia menetelmiä suositaan niiden joustavuuden ja kustannustehokkuuden vuoksi, koska samaa tallennusmediaa voidaan uudelleenkäyttää.
Lisäksi on helppo miettiä vain riskejä mitä hyökkääjä voisi tehdä jo tehdyille ja eheille varmistuksille. Sitten kun ryhdyt miettimään esimerkiksi tilannetta, missä ransu vähitellen sabotoi varmistettavaa dataa niin, että kaikki näyttää hyvältä siihen asti, kunnes palautuksessa huomataankin että viimeisen puolen vuoden ajalta on kyllä varmistukset olemassa ja ne pystytään palauttamaan, mutta data onkin täynnä satunnaisia virheitä satunnaisissa paikoissa, eikä sen eheyteen voida luottaa. Nation state actoreilla voi riittää mielikuvitusta vieläkin tehokkaampiin tapoihin aiheuttaa tuhoa.
