Internet-yhteisö kohahti 9.12, kun Apachen Log4j-kirjastosta löytyi vakava tietoturvahaavoittuvuus. Haavoittuvuus sai hurjasti mediahuomiota ja ymmärrys haavoittuvuuden vakavuudesta tunnistettiin laajasti. Tämän enempää ei sitten ymmärrettykään. Keskivertokansalainen luki uutisen, totesi, että aha ja jatkoi elämäänsä. Toinen ajatteli, että tämä ei koske minua ja toinen ajatteli, että minä en voi tehdä asialle mitään. Keskimäärin ihmiset eivät ymmärtäneet, mistä oli kysymys.
Olemme harjoitelleet elämistä koronan kanssa vajaat kaksi vuotta. Log4j ja korona näyttäytyivät suurelle yleisölle hyvin samalla tavalla. Syksyllä 2019, kun koronaviruksesta uutisoitiin ensimmäisiä kertoja, ihmiset toimivat täsmälleen samoin. Uutinen noteerattiin ja sitä ehkä jopa hieman pelästyttiin. Tämän jälkeen todettiin, ettei tämä koske minua tai että minä en voi tehdä asialle mitään. Muutamia kuukausia myöhemmin kuuntelimme, kun pääministerimme kertoi ennen kokemattomista rajoitustoimista ja korosti jokaisen yksilön vastuuta tilanteen hallintaan saamiseksi.
Log4j alkoi samalla tavalla kuin koronapandemia pari vuotta aikaisemmin. Miten tämä saaga tulee jatkumaan, se jää meillä nähtäväksi. En halua luoda uhkakuvia siitä, että Log4j:sta tulisi kybermaailman pandemia, mutta se olisi täysin mahdollista.
Jälkeenpäin on todettu, millaisia virheitä koronaviruksen alkuvaiheessa tehtiin ja miten tuossa kohtaa maailma menetti hallintansa virukseen. Aivan samoin voi käydä myös kybermaailmassa. Kyse on ennen muuta siitä, miten suhtaudumme tämänkaltaisiin tietoturvauhkiin. Perummeko tarvittaessa muut tärkeät, jopa liiketoimintakriittiset tehtävät, ja käytämme tarvittavan energian asian korjaamiseen. Onko meillä riittävä kyky ymmärtää ja priorisoida tietoturvauhkia toisistaan? Osaammeko ja uskallammeko vaatia itseltämme ja yhteistyökumppaneiltamme riittävää tietoturvaa vai olemmeko valmiita tinkimään tietoturvasta kustannusten, aikataulupaineen tai jopa välinpitämättömyyden vuoksi?
Tavallinen käyttäjä ei välttämättä voi eikä olisi voinut tehdä log4j-haavoittuvuudelle teknisesti mitään. Mutta nostiko yrityksen toimitusjohtaja aiheen esille ja esitti kysymyksen kyberasioista vastaaville, miten tämä log4j-haavoittuvuus vaikuttaa meidän yritykseemme? Olimmeko me kuluttajina kiinnostuneita siitä, miten käyttämämme pilvipalvelut suhtautuivat tähän haavoittuvuuteen? Annettiinko yrityksen tietotekniikasta vastaaville henkilöille riittävät resurssit tilanteen korjaamiseksi? Hyväksyttiinkö IT:n selitys, että asiakasprojekti myöhästyi log4j:n korjaustoimenpiteiden takia ja tästä syntyi mahdollisesti jopa mittavat sopimussakot maksettavaksi. Vastasitko kaikkiin edellisiin kysymyksiin kyllä?
Meillä Log4j-haavoittuvuuden työstämisen jälkeen tunnistimme monia prosesseihimme liittyviä kehityskohteita, joita tulemme kehittämään. Tietoturva on ikuista uuden oppimista. Olemme tehneet valtavasti työtä saadaksemme tietoturvan osaksi jokaisen työntekijämme DNA:ta. Kun seuraavan kerran kohtaamme vastaavan tietoturvauhan, osaamme jälleen toimia varmasti vielä paremmin. Oli tästä huolimatta mahtavaa huomata, kuinka meillä organisaatio tiiminä kääri automaattisesti hihansa ja aloitti tähän liittyvät selvitykset, teki tarvittavat korjaukset ja rajoitti toimintaa niissä komponenteissa, joihin ei välittömästi ollut korjauspäivitystä saatavilla.
Meillä Magic Cloudissa on ISO 27001 -tietoturvasertifikaatti, mutta meille tietoturva ei ole kilpailuvaltti. Se on olemassaolomme edellytys. Tällä on valtava ero siihen, miten meillä jokainen henkilö suhtautuu tietoturvaan joka päivä omassa työssään tekniikasta myyntiin ja toimitusjohtajasta markkinointiin.
Kirjoittaja on Timo Haapavuori, Magic Cloudin toimitusjohtaja, joka herää edelleen 25 yrittäjävuoden jälkeen joka aamu tekemään parempaa pilvipalvelua. Tietoturvan edistäminen on Timolla selkärangassa ja siksi usein esiintyykin tietoturvaan liittyvissä koulutuksissa ja webinaareissa tietoturvan viestintuojana.
