"Ylessä on tapahtunut vakava tietomurto. Haittaohjelmia on levinnyt laajalti, ja toimitiloihin on tunkeuduttu fyysisesti."
"Tehtävänne on ottaa haltuun it-komentokeskus ja pelastaa viimeinen varmuuskopio, ennen kuin sekin kryptataan. Vasta sitten uutistoiminta saadaan jälleen käyntiin."
Kuulostaa huolestuttavalta.
Seisomme metallisessa merikontissa ja silmäilemme näyttöjä, kaapeleita ja lukittuja kaappeja. Seinällä on kello, jossa aika käy pahaenteisesti kohti nollaa.
– Jos paniikki iskee, niin tästä hätäkatkaisijasta ulko-oven saa auki, it-yhtiö CGI:n kyberturvallisuusjohtaja Jan Mickos varmistaa.
Metallinen ovi kolahtaa kiinni. Peli alkaa.
Pakohuoneesta tietoturvataitoja
It-yhtiö CGI:n parkkipaikalle Helsingin Pitäjänmäkeen kuljetettu merikontti toimii kulissina pelille, jonka tarkoitus on kouluttaa tietoturvataitoja.
Kontin kalustus tuo mieleen vanhemmat James Bond -elokuvat.
Kyseessä on niin kutsuttu pakohuonepeli. Kyseessä on viime vuosina suureen suosioon noussut pelimuoto, jossa fyysiseen huoneeseen suljettujen ihmisten on suoritettava tehtävä. CGI keksi valjastaa pakohuoneen tietoturvataitojen koulutukseen.
Idea on mainio. Viime viikolla uutisoitiin tietovuodosta, joka kosketti lähes 800 miljoonaa internetin käyttäjää. Se herätti monet miettimään tietoturvaansa ja vaihtelemaan salasanojaan.
Vielä useampi todennäköisesti jatkaa yhä ruususen untaan.
"Rasti ruutuun ei riitä"
Jan Mickosin mukaan tietoturvaa koskeavasta uutisoinnista saa väärän kuvan. Valtiollisista kyberoperaatioista kirjoitetaan paljon, mutta 95 prosenttia tietoturvaongelmista on aivan tavallisia kalasteluviestejä ja kohdentamattomia haittaohjelmaepidemioita.
Tällaisista iskuista suurin osa voitaisiin estää, jos työntekijät osaisivat toimia oikein.
– Noin 70 prosentissa tapauksista ihminen myötävaikuttaa hyökkäyksen onnistumiseen. Siellä on siis ihminen klikkailemassa linkkejä, syöttämässä salasanoja tai tekemässä jonkun muun virheen.
Mickos toteaa, että perinteinen valistus ei toimi niin hyvin kuin sen pitäisi toimia. Tietoturvakoulutus on hänen mukaansa yleensä verkkolomakkeisiin perustuvaa “rasti-ruutuun-hommaa”.
– Me emme näe minkäänlaista korrelaatiota sen koulutuksen ja todellisuuden välillä. Usein koulutuksessa opetellaan ne oikeat vastaukset, laitetaan rasti ruutuun ja heti perään tehdään oikeassa elämässä se sama virhe.
Uuden koulutusmuodon tavoitteena on välttää tietoturvakoulutusten helmasynnit, joista suurin on paperinmakuisuus, vaikeatajuisuus ja tylsyys.
– Toisaalta ihmiset oppivat hyvin eri tavoin. Me yritämme tehdä tästä moniaistillisen kokemuksen, joka voidaan tuoda osaksi perinteistä koulutusta.
Kyberkontti kiertää pian ympäri Suomea. Mickosin mukaan niitä kalustetaan myös tarpeen mukaan lisää.
Pelastuiko työpaikka?
Ylen testiryhmä joutui turvautumaan vinkkeihin ja kello ehti kulua pariinkin kertaan nollaan, ennen kuin pakohuoneen salaisuus ratkesi. Hölmöimmät sudenkuopat onnistuimme välttämään, mutta emme olleet riittävän nokkelia.
Sovimme pelinjärjestäjien kanssa, ettemme paljasta enempää. Tässä kuitenkin CGI:n 12 vinkkiä kyberturvalliseen työhön:
- Opettele tunnistamaan haittaohjelmia ja niiden riskejä.
- Tunne laitteesi sen ohjelmistot.
- Salaa arkaluonteiset tietosi ja sähköpostisi, erityisesti ulkomailla.
- Älä jaa langattoman verkkosi salasanaa tuntemattomille.
- Pidä käyttöjärjestelmät ja ohjelmistot ajan tasalla.
- Ota säännöllisesti varmuuskopioita tiedostoistasi.
- Pidä käyttäjätunnuksesi omana tietonasi ja käytä vain vahvoja salasanoja.
- Lukitse laitteet ja suojaa ne salasanoilla.
- Harkitse tarkkaan mitä julkaiset internetiin.
- Suhtaudu varauksella netissä tavattuihin henkilöihin.
- Älä avaa epäilyttäviä liitteitä, viestejä tai klikkaa niissä olevia linkkejä.
- Älä käytä samaa usb-laitetta tai -tikkua kotona, töissä ja asiakkailla.