Viimeisen reilun viikon ajan olemme voineet jännityksellä seurata Lahden kaupungin aloittamaa Bitcoin-louhintaa. Kyse ei kuitenkaan ole siitä, että Lahti olisi päättänyt aloittaa virtuaalivaluutan louhimisen: Lahden kaupungin ja heidän ICT-kumppaninsa tietoturva pääsi pettämään pahemman kerran ja WannaMine-haittaohjelmisto saastutti ilmeisesti tuhansia kaupungin tietokoneita.
Julkisuudessa on kerrottu vielä tähän mennessä vähän tapahtumaketjusta, joka on johtanut Lahden kaupungin ICT-ympäristön saastumiseen ja sen sulkemiseen. Tapahtunut on kuitenkin hyvä muistutus ICT-ympäristöihin kohdistuvista uhista. Lahdessa tapahtunut tilanne on aiheuttanut jo tähän mennessä yli viikon ajan merkittäviä ongelmia ainakin terveydenhuoltoon, sosiaalipalveluihin, kirjastopalveluihin ja koko kaupungin sähköpostijärjestelmiin. Julkisuudessa olleiden tietojen mukaan näyttäisi siltä, että ainakin hetkellisesti käytännössä kaikki kaupungin ICT-palvelut saastuivat WannaMinen seurauksena.
Vahingoniloon tai syyttelyyn ei ole aihetta, vaan tapahtuneeseen tulisi mielestäni suhtautua mitä suurimmalla vakavuudella. Tämänkertainen haittaohjelma ei aiheuttanut tietojen tuhoutumista eikä ilmeisesti kriittisen tiedon vuotamista, mutta koko ICT-ympäristön saastumisesta on aiheutunut paitsi valtavat taloudelliset tappiot, se on myös vaikuttanut kaupunkilaisten arkeen. Terveydenhuollossa on jopa jouduttu turvautumaan varatoimenpiteisiin, sillä esimerkiksi sähköisten reseptien käytön kerrottiin estyneen.
Koska tapahtumakulkua ei ole julkisuudessa tarkasti avattu, täyttä varmuutta WannaMine-haittaohjelmiston aiheuttamista saastumisista ja leviämistavasta ei ole. Tiedossa kuitenkin on, että WannaMine hyödyntää leviämisessä samaa tietoturva haavoittuvaisuutta (MS17-010), jota WannaCry-haittaohjelmisto käytti levitessään toukokuussa 2017. Tähän kyseiseen haavoittuvaisuuteen on ollut korjaus olemassa ja saatavilla jo noin vuoden ajan. Jos todella on niin, että leviäminen olisi tapahtunut tätä haavoittuvaisuutta hyväksikäyttäen, jotain on mennyt pahasti pieleen. Jos olisi niin, että leviäminen olisi tapahtunut tätä haavoittuvaisuutta hyväksikäyttäen, Lahden tietoturvapäivitysten prosesseissa on jokin mennyt pahasti pieleen.
MS17-010 -haavoittuvuuden käyttö WannaMine-haittaohjelmiston leviämisessä on pelkästään omaa henkilökohtaista spekulointia, eikä perustu tietoon, että näin olisi todella tapahtunut. Spekuloinnista huolimatta tietoturva-aukkojen mahdollistamiin uhkiin on syytä Lahden tapauksen myötä herätä. Olin eilen kouluttamassa Tampereen Kauppakamarin jäsenyrityksiä tietoteknisten valmiuksien saattamisesta GDPR:n vaatimalle tasolle. Eilenkin muistutin kaikki läsnä olleita tietoturvan rakentamisen alkavan tietoturvapäivitysten ajantasaisesta jakelusta kaikkialla organisaatiossa. Vasta ajantasaisten päivitysten päälle aletaan rakentaa muita suojakerroksia tietoturvan parantamiseksi. Mikäli tietoturvakokonaisuuden ensimmäinen ja tärkein kerros jää vaille sen ansaitsemaa huomiota, on tietoturva väistämättä pahasti vajavaista.
Uutisoinnin mukaan Lahdessa WannaMinen puhdistustoimenpiteet jatkuvat tämänkin viikonlopun ylitse. Valistunut arvaukseni on, että tilanteen rauhoituttua varsinainen projekti vasta alkaa ja siinä riittää tekemistä. Toivon todella, että Lahdessa tapahtunut katastrofi toimii herätyksenä mahdollisimman monelle organisaatiolle: huonosti hoidettu tietoturva on kuin tikittävä aikapommi ja hoitamattomana se räjähtää varmasti. Kysymys kuuluu, onko sinun organisaatiosi tietoturvan kivijalka kunnossa?
