Maailman suurimmaksi tietovuodoksi kuvailtujen Panaman papereiden vuoto saattoi johtua toimenpiteestä, jonka moni yritys jättää tekemättä – julkaisujärjestelmän päivittämisestä. Huhtikuun alussa saatiin viitteitä siitä, että Mossack Fonseca -lakitoimisto tarjosi suojan maailman silmäätekevien miljardeille, mutta käytti verkkosivustollaan WordPressin vanhentunutta versiota ja säilöi dokumentteja melkein kolme vuotta vanhan Drupalin päälle rakennettuun asiakasportaaliin. Arkaluontoisia sähköposteja säilytettiin salaamattomana ja niitä lähtettiin Outlookin seitsemän vuotta vanhasta nettiversiosta.

Vanhentuneet ohjelmistot ovat tietoturvariski sinänsä, mutta portti Mossack Fonsecan järjestelmiin on saattanut hyvinkin aueta avoimen lähdekoodin järjestelmissä käytetyistä lisäosista. Nämä verkosta vapaasti ladattavissa olevat lisäosat täydentävät julkaisujärjestelmiä ja verkkokauppa-alustoja, mutta niiden laatu ja tietoturvataso vaihtelevat melkoisesti.

Haavoittuvat järjestelmät ja niiden lisäosat tarjoavat oivan ympäristön internetiin kytkettyjä koneita nuuskiville boteille eli tietoturvahyökkäysten valmisteluun käytettäville tietokoneohjelmille. Botit etsivät väsymättä verkkoon liitetyistä järjestelmistä erilaisia haavoittuvuuksia, joita niiden tekijät voivat hyödyntää varsinaisen verkkohyökkäyksen tai tietomurron tekemiseen. Vihamieliset botit saattavat aiheuttaa merkittävän osan verkkosivuston liikenteestä, joten jos järjestelmästä löytyy haavoittuvuus, on melko todennäköistä, että botit ennen pitkää löytävät sen. Pieni tietoturva-aukko saattaa raottaa oven muihinkin koneeseen kytkeytyviin järjestelmiin, verkkoihin tai koneisiin.

Kenen vastuulla tietoturva on?

Vuotivatpa Panaman paperit julkisuuteen hakkeroinnin takia tai eivät, tapaus on hyvä ottaa herätyksenä huonon tietoturvan vaaroihin. Monessa yrityksessä tilanne ei ole juuri Mossack Fonsecaa parempi. Viestinnässä ja markkinoinnissa käytetään usein verkkoratkaisuja, joiden tietoturva vanhenee nopeasti. Yrityksen IT-yksikölle yksittäisen kampanjasivuston perustamiseen liittyvät yksityiskohdat saattavat tuntua vähäpätöisiltä, eikä siihen välttämättä kiinnitetä kovinkaan paljon huomiota. Viestinnän ja markkinoinnin osastoilta taas ei välttämättä löydy tietoturvallisuuden asiantuntemusta.

Kuitenkin näillä osastoilla tehdyt päätökset julkaisujärjestelmistä, järjestelmätoimittajista ja yhteistyökumppaneista voivat vaikuttaa oleellisesti yrityksen verkkopalvelun ja sitä kautta myös yrityksen tietoturvaan. Tilapäiseksi tarkoitettu, mutta vuosikausiksi verkkoon unohtunut kampanjasivusto saattaa vanhetessaan hyvinkin tarjota boteille pääsyn syvälle yritykseen. Tällainen sivusto voi myös mahdollistaa aivan toisenlaisen markkinoinnin kuin alun perin oli tarkoitettu: yksi yleisimmistä haavoittuvuuden hyödyntämistavoista on nimittäin käyttää murrettua konetta roskapostin lähettämiseen.

Ovatko markkinointiviestinnän tekijät sitten vastuussa verkkopalveluiden tietoturvasta? Eivät varmasti suoraan, mutta Mossack Fonsecan tapaus muistuttaa, että ihan jokaisen yrityksen työntekijän tulee suhtautua tietoturvaan vakavasti. Tietoturvan heikoin lenkki on aina viimekädessä ihminen.

Imagon hinta

Maailman uutismediat toivottivat Mossack Fonsecasta vuotaneet tiedot tervetulleiksi niiden arkaluontoisuuden vuoksi. Kaikissa hakkerointitapauksissa hyökkääjä ei kuitenkaan julkaise haltuunsa saamaa materiaalia, vaan kiristää kohdettaan yksityisyyden takaamiseksi tai yrityssalaisuuksien pitämiseksi.

Mossack Fonsecan tapauksessa julkisuus oli silti se pahin isku. Lehtien etusivuille päätyneet tiedot aiheuttivat suuria mainetappioita monille yksityishenkilöille, yrityksille ja valtiotason päättäjille. Monet heistä joutuvat tekemään valtavan ponnistuksen markkinoidessaan imagoaan ylös pohjamudista. Kovan kolauksen maineeseensa sai myös itse Mossack Fonceca. Sen olisi ollut huomattavasti helpompi huolehtia tietoturvastaan kuin hoitaa sen laiminlyönnistä koituneet seuraukset.

 

Kirjoittaja Tommi Rainio toimii Crasman Oy:ssä palvelutuotantoyksikön liiketoimintajohtajana. Tommin yksikkö vastaa Crasmanin tietoturvallisesta ohjelmistotuotekehityksestä ja verkkopalveluiden elinkaaripalveluista.