Panostajan sijoituskohde Oscar Software joutui tietoturvaloukkauksen kohteeksi keväällä 2023. Yli vuosi tapahtuneen jälkeen kriisitilanteesta on saatu paljon oppeja. Oscarin Markku Virtanen korostaa, että sisäisten prosessien luominen etukäteen helpottaa toimimista itse tilanteessa. Hyökkäyksestä opittiin, että inhimillisellä johtamisella on suuri rooli tilanteen läpiviennissä.
Toiminnanohjausjärjestelmiä kehittävä Oscar Software joutui maaliskuussa 2023 haastavan tilanteen eteen, kun yrityksen palvelimiin kohdistui hyökkäys. Lopulta asiakasdatan vaarantuminen pystyttiin minimoimaan, ja asiakkailta saatiin kiitosta tavasta hoitaa haastava tilanne.
“Jos tällaiseen ei olla valmiiksi organisoiduttu, aiheutuu siitä sekä sisäinen että ulkoinen kaaos. Tämä on arvokasta oppia ihan mille tahansa organisaatiolle”, toteaa Markku Virtanen, joka oli tietoturvaloukkauksen tapahtuessa Oscar Softwaren toimitusjohtaja. Oscar onnistui valmistautumisen avulla hyvin minimoimaan hyökkäyksen vaikutukset.
Suunnitelmallisuus ja nopea reagointi avainasemassa
Oli aikainen tiistaiaamu maaliskuussa 2023. Oscarin ympärivuorokautinen monitorointi heidän omille palveluilleen oli tavalliseen tapaan käynnissä.
“Meidän asiakkailtamme todennäköisesti varastetuilla tunnuksilla nousi monitoroinnissa poikkeavaa käytöstä”, Virtanen kertoo tapahtumien alusta. Pienille hyökkäysyrityksille on rutiininomaiset prosessit, mutta tässä oli kyse jostakin suuremmasta. Tehtiin päätös ottaa palvelut irti verkosta, jottei hyökkäys päässyt etenemään.
Kriisinhallinta lähti käyntiin nopeasti. Aloitettiin niin kutsuttu MIM-prosessi, eli Major Incident Management. Prosessia varten Oscarilla on eri osa-alueiden vastuuryhmiä, eli MIM-ryhmiä. “Päätös siitä, että mennään pois verkosta, tehtiin kello 5.40, ja johtoryhmä oli kasassa kello 7 aamulla. Ensimmäinen operatiivinen MIM-ryhmä tapasi Teamissa 8.30, ja ensimmäinen livefeed asiakkaille aloitettiin 9.15”, Virtanen kertaa nopeasti edenneitä tapahtumia.
Kun palvelut olivat irti verkosta, täyttyivät Oscarin asiakaspalvelukanavat huolestuneiden asiakkaiden yhteydenotoista. Keskeistä olikin pitää asiakkaat jatkuvasti ajan tasalla siitä, mitä tapahtuu seuraavaksi, vaikka kaikissa vaiheissa konkreettista tietoa ei ollut jakaa paljon.
Lopulta itse hyökkäys ei aiheuttanut suurta vauriota Oscarin järjestelmiin. Tietomurron alkulähde jäljitettiin palvelimeen, jossa ei säilötty asiakastietoja.
“Pystyimme melko vahvasti poissulkemaan sen mahdollisuuden, että meidän tietokantoihimme olisi päästy. Pystyimme pitämään tietokannat käynnissä koko ajan, mikä tarkoitti, että kaikista kriittisimmät palvelut olivat koko ajan käytössä”, Virtanen kertoo.
Tietoturvaloukkauksen jälkimainingit olivat kuitenkin suuret. Turvallisuuden maksimoimiseksi asiakaskunnasta valtaosan salasanat jouduttiin resetoimaan, mikä toi mukanaan suuren työmäärän. “Tämä on aina valtava juttu, vaikka kävisi niin kuin nyt kävi, että saimme hyökkääjän toimet rajattua tekniseen minimiin”, toteaa Virtanen.
Etukäteen valmistautuminen johti hyviin lopputuloksiin ja positiiviseen asiakaspalautteeseen
Virtanen painottaa, että merkityksellistä ei ole vain se, mitä tapahtui kriisin huippuhetkellä, vaan se, mitä tehtiin ennen sitä ja sen jälkeen. “Valtaosa kaikista toimenpiteistä, joita olemme tehneet, ovat osa suurempaa jatkumoa”, hän korostaa.
“Panoksia jaetaan tällaisten tilanteiden estämiseen, mutta yhtä lailla kehitetään sitä, miten toimitaan, kun tällainen hyökkäys tapahtuu, sillä riskejä ei voi koskaan kokonaan nollata”, Virtanen lisää.
Tietoturvahyökkäys vauhditti joitakin prosesseja, mutta tietoturvan kehittäminen on Oscarilla joka tapauksessa jatkuvasti käynnissä. Tietoturvaloukkauksen jälkeen Oscarilla otettiin käyttöön kaksivaiheinen kirjautuminen, ja heidän palveluissaan minimoitiin kolmansien osapuolten alustojen käyttöä. Näin parannettiin palvelujen turvallisuutta. Lisäksi MIM-prosessia ja riskiarvioita päivitettiin tietoturvahyökkäyksen jälkeen.
Samalla viikolla, jolla tietoturvaloukkaus tapahtui, järjestettiin Oscar Gaala. Käsillä olisi voinut olla katastrofin ainekset, mutta gaala päädyttiin pitämään suunniteltuun tapaan, ja se osoittautui hyväksi tilaisuudeksi viestiä tilanteesta sidosryhmille kasvokkain.
“Asiakkaat tuntuivat arvostavan sitä, että pystyimme reagoimaan nopeasti. Gaalassa tietohallintopäällikkömme kertoi avoimesti asiakkaille kaiken olennaisen, mitä siinä hetkessä pystyttiin kertomaan”, Virtanen kertaa.
Jälkeenpäin saatu palaute tietoturvaloukkaustilanteen hoitamisesta oli valtaosin positiivista. “Asiakkailta tuli kiitosta siitä, että olimme asiakastiedotuksessa aktiivisia, vaikkemme aina kovin paljoa pystyneet kertomaan”, Virtanen kertoo.
Hän reflektoi, että myös Oscarin omalle henkilöstölle olisi voitu viestiä tilanteesta vielä aktiivisemmin sen ollessa päällä. “Tuollaisessa tilanteessa tiedonjano on loputon. Tuskin ikinä tulee sellaista palautetta, että nyt tiedotettiin liikaa”, hän toteaa.
Virtanen näkee, että valmiit prosessit auttoivat heitä vaikeassa tilanteessa. Lisäksi kriisitilanteessa korostuu reagointinopeus. “On tärkeää, että tietyt vastuut saadaan käyntiin ennemmin ensimmäisten tuntien kuin ensimmäisen päivän aikana”, hän kiteyttää.
Markku Virtasen kolme oppia tietoturvaloukkauksesta:
- Teknisen valmistautumisen rinnalla tulisi miettiä kriisitilanteen inhimillistä puolta: sitä, miten haastava tilanne johdetaan läpi. Tämä näkökulma jää helposti paitsioon.
- Tietoturvahyökkäystilanteiden estämiseen tulee laittaa paukkuja, mutta yhtä lailla tulee panostaa tilanteesta palautumiseen. Kaikkia panoksia ei kannata laittaa kriisin estämiseen, sillä sen todennäköisyyttä ei saada koskaan täysin nollaan.
- Tietoturvaloukkauksen hallinta ei ole projekti, vaan prosessi. Se vaatii jatkuvaa riskien kartoittamista ja arviointia myös muulloin kuin itse tapahtumahetkellä.