Tapaus Uber ja kyberrikollisuuden uudet muodot

Matti Suominen

November 24, 2017 at 10:47

Tiistaina 21. marraskuuta 2017 Uber paljasti, että yhtiötä kohtaan oli tehty vuonna 2016 jättimäinen tietomurto, jonka seurauksena 57 miljoonan käyttäjän ja yli 600 000 kuljettajan tiedot olivat päätyneet hakkereille. Uber myönsi maksaneensa hakkereille 100 000 dollaria tietojen tuhoamisesta ja asian salaamisesta sen sijaan, että olisi kertonut julkisesti tietomurrosta heti sen paljastuttua.

Uber

Uberin tietomurto osuu ajankohtaan, jolloin Eurooppa on hitaasti, mutta varmasti valmistautumassa vuoden 2018 toukokuun lopussa voimaan tulevaan EU:n tietosuoja-asetukseen (GDPR). Vaikka Uberin tapaus sijoittuukin Yhdysvaltoihin, kyberturva-ammattilaisen näkökulmasta ei ole vaikea kuvitella, etteikö sama voisi tapahtua myös EU:n alueella – miksei myös Suomessa.

Rikolliset kun toimivat samalla tavalla paikasta riippumatta, ja myös täällä toimii yrityksiä, jotka ovat alttiita samankaltaisille hyökkäyksille. Kyberrikollisuus on maailmanlaajuinen ilmiö, joka ylittää helposti niin maatieteelliset kuin lainsäädännölliset rajat ilman, että rikollisille aiheutuisi siitä suuria lisäkustannuksia tai ylimääräisiä ponnisteluja.

Tapaus Uber laittaa pohtimaan, miksi yritykset ylipäätään haluaisivat turvautua arveluttaviin keinoihin, välttyäkseen kertomasta vakavista tapahtumista julkisesti. Syitä on monia ja GDPR:n voimaantulo lisännee keskusteluun oman ulottuvuutensa. 

Tapaus Uber nostaa päivänvaloon uudenlaisen aseen, joka on rikollisten käytössä kun GDPR:ää aletaan soveltaa.

Koska GDPR:n sanktiot voivat olla yritykselle merkittävät jatkossa, saattaa tietomurron uhri olla tästä syystä halukkaampi maksamaan hakkereille tapahtumien salaamiseksi kuin ehkä ottamaan riskiä mahdollisista GDPR:n seurauksista. Jos rikollisten vaatimat lunnaat ovat kohtuulliset verrattuna rikkomusten ilmoittamisesta aiheutuviin kustannuksiin, rikolliset voivat nähdä tämän potentiaalisena uutena markkinana.

On kuitenkin hyvä ymmärtää tietosuoja-asetuksen tarkoitusperä pintaa syvemmälti. Vaikka GDPR:n taustalla oleva tavoite on suojata ennen kaikkea yksilöä ja hänen tietojaan, samalla siinä myös ymmärretään ja otetaan huomioon, että tietomurtoja voi sattua kaikesta huolimatta. Tästä syystä tietosuoja-asetuksen sisältämät prosessit on suunniteltu myös rajoittamaan vahinkoja. Nopea ilmoitus, yhteistyö viranomaisten kanssa ja jatkotoimet keskittyvät minimoimaan vaikutuksia henkilöihin, joiden yksityisyyttä on loukattu.

Keskeiset asiat yrityksille, jotka miettivät parhaillaan omaa strategiaansa tietomurtojen varalle:

  • Varmista, että organisaatiollasi on riittävä tietoturvallisuuden taso. Tämä on selvästi kaikkein kustannustehokkain tapa ja samalla ainoa, joka todella estää tietomurrot.
  • Pidä huolta, että yritykselläsi on tietomurtojen ilmoitusvelvollisuuden varalle prosessi, joka tavoittaa oikeat tahot ja on linjassa yrityksen eettisen ohjeistuksen kanssa.
  • Tietomurron tapahtuessa, kerro siitä avoimesti heti sen paljastuttua, ja pyri korjaamaan yrityksen mainetta tehokkailla jatkotoimilla.
  • Luo selkeä ohjesääntö, miten yrityksesi menettelee kiristystilanteissa ja varmista, että kaikki asianomaiset ovat siitä tietoisia.
  • Jos harkitset toimivasi rikollisten kanssa tietomurtojen peittelemiseksi, tiedosta ettei ole takeita siitä, etteikö tapaus tulisi julki joko välittömästi tai tulevaisuudessa.