Teemu Liila ja @Heikki_Keskivali keskustelivat TietoEvrystä ja Goforesta.
Ensimmäinen tietokone koskaan painoi 30 tonnia, eli noin viideontoista katumaasturin verran. Jaksossa kisaamassa IT-talo Gofore ja Suomen suurin IT-palvelualan toimija TietoEvry.
Aiheet:
00:00 Intro 00:52 Goforen ja Tietoevryn vertailua 06:41 Liiketoiminta ja näkymät 15:31 Arvostukset 20:59 Löytyykö yhtiöitä Teemun ja Heikin salkuista? 22:46 Kumpaa Heikki ja Teemu valitsevat kisasalkkuihinsa?
Mihin TietoEvryn pitäisi siis kommentoida? Ihan totta ja asiaahan tuossa kaikki TietoEvrystä oli eikä siinä sellaisia epäselviä asioita tullut mihin mielestäni pitäisi yhtiöltä saada vastaus.
Kovia väitteitä Tietoevrystä liittyen toteutuneeseen kyberhyökkäykseen Kauppalehdessä ja SvD:ssä "kyberhyökkäystä edelsivät Tietoevryn useat tietoturvaan liittyvät laiminlyönnit… “Salasana oli usein ’admin’ tai oletussalasana… Se oli kuin parodiaa”, lähde sanoo SvD:lle”
" Yhtiö vastaa: ei pidä paikkaansa
Toimitusjohtaja Kimmo Alkio ei tänään maanantaina ehtinyt kommentoida väitteitä Kauppalehdelle, mutta yhtiö on julkaissut Ruotsin-verkkosivuillaan tiedotteen asiasta:
”Artikkelista käy ilmi että Tietoevry on kommentoinut lehdelle, että väitteet eivät pidä paikkaansa eivätkä kuvaa Tietoevryn työtapaa."
Eipä siellä varmaan juuri ollut muita mahdollisuuksia, kuin todeta väitteiden paikkaansapitämättömyys ja todeta, että “Suhtaudumme turvallisuuteen erittäin vakavasti ja tartumme kaikkiin mahdollisuuksiin toiminnan parantamiseksi” (vapaa suomennos).
Todellisuus kuitenkin on, että ihan suurimpia yrityksiä myöden kyberturvallisessa tekemisessä on merkittäviä puutteita. Tämä korjaantuu vain johtamisen ja kulttuurin muutoksella.
Nyt olisikin hienoa nähdä Tietoevryltä hieman tekoja korulauseiden sijaan. Microsoftilla johdon palkitsemisen kriteereihin on jatkossa tulossa kyberturvallisuuden mittareita. Eli, jos sössitään kyberturva, no bonus. Toistaiseksi Tietoevryllä näyttää olleen tärkeämpää sisällyttää johdon palkitsemiseen kiintiörekrytointeja sukupuolen perusteella. Nyt sitten punnitaan onko tiedotteessa mainitulle statementille “teemme kaikkemme pitääksemme yritykset ja yhteiskunnan turvallisena” oikeasti katetta.
Huoh, siis kaikkia infraa toimittavia firmoja auditoidaan säännöllisesti, jotta he voivat säilyttää sertifikaatteja. Compliance Standards and Certifications tietoevry täyttänee kaikki.
Valitettavasti näillä sertifikaateilla ei kuitenkaan tarkoiteta sitä, että organisaatio toimisi tietoturvallisesti tai vaarantamatta asiakkaitaan. Informaatioarvo näillä on hyvin lähellä nollaa. T. sertifioitu osaaja.
EDIT: esim tuossa SvD:n lähteissä on mainittu että tietoturvaa on testattu. Osa serteistä vaatii, että tietoturvaa testataan ja havainnoille on olemassa käsittelyprosessi. Sertifikaatit eivät kuitenkaan pääsääntöisesti vaadi, että prosessin lopputulos pitäisi olla tietoturvaongelmien poistaminen.
Tämä on juuri näin - valitettavasti tosin, mutta näin se silti on.
Rakennusmaailmasta voisi myös kaivaa analogian eli kaikilla rakennusliikkeillä on vaikka ja minkämoiset laatustandardit ja valvontaa olemassa, joiden perusteella voisi kuvitella että rakentaminen on laadukasta ilman sisäilmaongelmia, puuttuvia palokatkoja, tippuvia rappauksia yms. yms. Ja sitten huutonaurua perään.
Se on juuri näin.
Niin kauan kun ihmiset suorittaa työtä, markkinatalouden ehdoilla (=kiireellä) niin virheitä ja mutkien suoriksi vetämisiä tapahtuu enemmän tai vähemmän. Helppo uskoa, että tietovrylläkään asiat ei tässä suhteessa ole ollut täydellisesti. Parantamisen varaa aina jää.
Ehkä tulevaisuudessa tekoälyä voidaan käyttää ihmismokien tilkitsemisessä.
Kun lukee näitä viestejä, tuntuu, että tämä TietoEvryyn kohdistunut kyberhyökkäyksen vahingot yhtiölle paisuvat kierros kierrokselta. Siksi on ihan hyvä pistää asioita mittasuhteisiin.
Rusta on arvioinut kvarttaalikatsauksessaan käyttökatteen menetykseksi 48 MSEK eli n. 4,25 Meur. Jos huomioidaan vielä Ruotsin yritysverokanta (20,6%), jää vahingoksi n. 3,4 Meur. Varan konsensus vuodelle 2024 odottaa TietoEvryltä n.240 Meuron tulosta ennen veroja eli tämä menetys on n. 1,5% suhteessa tulokseen. Toki Rustalle tässä yksittäisessä kvarttaalissa huomattava erä. Ilmeisesti asian käsittely on siinä määrin kesken, ettei Rusta ole voinut oikaista omaa tulostaan. Tästä huolimatta Rustan nettotulos kvarttaalilta olisi jäänyt pakkaselle.
Itse hyökkäyksen ”korjaus” on kuluineen Alkion mukaan on jo pääsosin ensimmäisen kvarttaalin sisällä, mikä selittänee kannattavuuden heikkenemistä. Alkio puhui myös viimeisessä osarissa, että näitä vaateita käsitellään yhteistyössä vakuutusyhtiön kanssa.
Jos olet mies, niin seuraavan 5,5 vuoden aikana taitaa olla turha hakea Tiedolle töihin, kun jakauman tasapainottaminen 50 %:iin vaatii, että seuraavat 9120 htv-rekryä ovat kaikki naisia, jotta tavoite saavutetaan.
Yleensä kaikki päälleliimatut arvot ovat epätoivottavia, mutta tässä lopputulosten tasa-arvoajattelussa toivon todella, että kyseessä olisi vain päälleliimattu statement, jolla saadaan fanaattisimmat aktivistit hiljaisiksi. Kunhan valitsee tarpeeksi pitkän tarkastelujakson, niin voi sitten julistaa taas uudet tavoitteet ajan trendien mukaan.