Trustcastissa avataan kyberturvan ja digitaalisen luottamuksen aihepiirejä vaihtuvien vieraiden kanssa. Uusimmassa jaksossa vieraana on VISMA Enterprisen toimitusjohtaja Jukka Holm.

Jukka Holm ehti Trustcastin vieraaksi kiireiden keskellä, juuri ennen kesälomien alkamista. VISMA Enterprisen johtamisen lisäksi hän toimii kuuden muun VISMA-yrityksen hallituksessa.

”Itseasiassa neljässä eri maassa. Pääsee sitten näkemään, millaisia erilaisia ohjelmistoratkaisuja eri maissa tehdään”, Holm sanoo.

Jukka Holm ehti Trustcastin vieraaksi kiireiden keskellä, juuri ennen kesälomien alkamista. VISMA Enterprisen johtamisen lisäksi hän toimii kuuden muun VISMA-yrityksen hallituksessa.

VISMAlle työskentelee tänä päivänä kaiken kaikkiaan 16 000 työntekijää Pohjoismaissa ja läntisessä Euroopassa. VISMAan kuuluu useita tunnettuja ohjelmistobrändejä, kuten oppilashallintojärjestelmä Wilma, laskutus- ja kirjanpitojärjestelmä Netvisor sekä sähköisen allekirjoittamisen ja asiakirjahallinnan ohjelmisto VISMA Sign.

” VISMAlla halutaan myös ylläpitää näitä tuotebrändejä. VISMAn nimi näkyy, mutta siellä taustalla on itseasiassa kymmeniä eri yrityksiä. Jokaisella näistä yrityksistä on oma johtaja ja hallitus”, Holm kertoo.

Aina tietoturvahyökkäystä ei tehdä rahan takia – tietoturva suojaa myös hyvinvointia

VISMA omistaa ohjelmistoja, joiden tietoturvasta huolehtiminen on kriittisen tärkeää. Esimerkiksi kuntien käyttämään oppilashallintojärjestelmä Wilmaan on kohdistettu palvelunestohyökkäyksiä, joko ilkivaltana tai toisen valtion toimesta. Tämän tapaisen toiminnan tavoitteena on koetella kyberhyökkäyksen tekemisen mahdollisuuksia Suomessa.

”Me on haluttu pitää asiaa myös julkisesti esillä. Kun hyökkäyksiä tai loukkauksia on tapahtunut, niistä on haluttu kertoa julkisesti. Jotta hyvikset pysyy pahisten edellä, vaatii se tiedon jakamista ja sitä että ollaan avoimia, jaetaan oppeja. Tämä on meille iso asia ja näkyy myös jokaisen hallituksen agendalla.”

Viime vuodet ovat osoittaneet, että aina tietoturvaa ei pyritä murtamaan vain rahan takia. Holm nostaa esimerkiksi psykoterapiakeskus Vastaamon tietomurtotapauksen.

”Tietoturvassa kyse voi olla turvallisuudesta, hyvinvoinnista ja jopa yhteiskunnallisesta toimivuudesta. Mekin VISMAlla ollaan tekemisissä monenlaisten järjestelmien kanssa, jotka ovat tosi kriittisiä sekä liiketoiminnan mutta myös yhteiskunnan toimivuuden kannalta.”

Tietojen suojaaminen vaatii hyvää yhteistyötä asiakkaiden kanssa

Tämä päivänä tietojenkäsittely ei ole enää kovin yksinkertaista. Tietoa ei pidetä ainoastaan yhdessä järjestelmässä, vaan tieto kulkee verkostoissa järjestelmästä toiseen.

”Esimerkiksi Wilmasta siirtyy tietoja valtiollisiin rekistereihin. Samalla pääkäyttäjä pääsee määrittämään tietoja, kuka pääsee katsomaan mitäkin. Tämä on aika pitkä ketju, mikä pitää ymmärtää. Tietoturva ei siis liity ainoastaan itse järjestelmään, vaan koko tämä kokonaisuus pitää suojata”, Holm kuvailee.

Käytännössä tämä vaatii hyvää yhteistyötä asiakkaiden ja viranomaistatahojen kanssa. Usein tietoturvan heikoin lenkki ei ole tekninen haavoittuvaisuus vaan inhimillinen: esimerkiksi käyttämänsä järjestelmän salasanan säilyttäminen paperilapulla näppäimistön alla on iso tietoturvariski.

”Tätäkin pohditaan siitä näkökulmasta, miten me voimme auttaa käyttäjiä, ettei tällainen haavoittuvaisuus olisi mahdollista. Esimerkiksi kaksinkertainen varmennus estää sen, että yksittäinen tunnus voisi aiheuttaa ongelmia.”

Wilma on iso järjestelmä, josta vain osa näkyy oppilaille tai heidän vanhemmilleen. Järjestelmää käytetään alustana myös esimerkiksi kouluvuoden opetuksen suunnitteluun, opettajien työajan kirjaamiseen sekä oppimismateriaalien hallinnoimiseen. Jotta eri käyttäjäryhmien on mahdollista ymmärtää järjestelmän käyttömahdollisuuksia, on niistä viestittävä eri käyttäjille eri tavoin.

”Etäkoulu oli herätys koulujen oppimisen digitalisaatioon. Kun ennen oppiminen on tapahtunut fyysisesti paikan päällä, haastoi etäkoulu ajattelemaan tätä uudella tavalla. Meitä ohjelmistonkehittäjiä se haastoi miettimään, että miten oppimisen infrastruktuuri rakennetaan tulevaisuudessa. Enää etäoppimismahdollisuutta ei tarvitse perustella. Maailma muuttuu.”

Holmin mukaan yksi mielenkiintoinen kysymys onkin, miten oppilaiden perhe saadaan mukaan oppimisjärjestelmään – ja niin että se on tietoturvallista.

Luottamuksen voi joko saavuttaa tai menettää – kaikki on kiinni avoimesta viestinnästä

Tietoturvamurron tai loukkauksen vaikutukset ovat pitkäikäiset, sillä se vaikuttaa yrityksen ja asiakkaan väliseen luottamukseen. Holm on ollut IT-alalla pitkään ja on tottunut siihen, että vahinkojen ennaltaehkäisystä puhutaan paljon. Se, ettei mitään ongelmia synny, on tietenkin paras tapa pitää yllä luottamuksellista suhdetta asiakkaaseen. Mutta aina on oltava valmis myös siihen tilanteeseen, että asiat eivät sujukaan kuten on suunniteltu.

”Meillä on ollut paljon opittavaa siinä, että mitä me tehdään niissä tilanteissa, kun jotakin sattuu. Viestimmekö me läpinäkyvästi? Pidämmekö me käyttäjiä ja asiakkaita tarpeeksi ajan tasalla siitä, mitä tapahtuu? Vai teemmekö me hiljaa piilossa tarvittavia korjauksia? Siinä voi joko menettää tai saavuttaa sitä luottamusta”, Holm sanoo.

Holm oli itse tekemisissä viime vuonna tapauksen kanssa, jossa havaittiin, että VISMAn asiakkaan kriittisiä tietoja oli vaarantunut. Asiaa tutkittiin yhdessä asiakkaan ja viranomaisten kanssa, jonka tuloksena selvisi, että heikentyneestä suojauksesta huolimatta tietoihin kohdistunut hyökkäys ei ollut päässyt käsiksi kyseisiin tärkeisiin asiakirjoihin.

”Kun asiaa tutkittiin, pidimme asiakasta hyvin informoituna, että tällainen epäily ja selvitys on nyt käynnissä. Minusta tuntuu, että lopulta tämä tiivis, päivittäinen yhteydenpito itseasiassa vahvisti meidän välistä luottamustamme.”

Yrityksen sisäinen tietoturvaohjelma pitää huolta suojauksen riittävästä tasosta

Tietoturva tulee ottaa erityisesti huomioon myös silloin kun VISMA ostaa ohjelmistoyrityksiä. Holm kertoo tietoturvaa tutkittavan eri näkökulmista.

”Sopimukset on yksi näkökulma, josta tietoturvaa tarkastellaan. Lisäksi tarkastellaan esimerkiksi yrityksen taloutta ja henkilöstöä. Sitten on vielä tämä tekninen näkökulma. Me ostamme nimenomaan yrityksiä, jotka tekevät skaalautuvia SAAS-palveluja. Sen takia myös se itse ohjelmiston teknologinen taso on tärkeä tutkia.”

Tietoturvan haavoittuvuusselvitys tuo Holman mukaan käytännössä aina esiin haavoittuvuuksia. Nämä korjataan aina ennen kaupan syntymistä.

”Kaupan jälkeen vastuu yrityksestä siirtyy täysin meille. Nämä yritykset otetaan osaksi VISMAn tietoturvaohjelmaa, jossa meillä seurataan ja pisteytetään tietoturvan tilannetta. Tietoturva ei ole ikinä täydellinen. Se on sellainen jatkuva prosessi ja työ.”

Tietoturvan kehittäminen on yrityksen hallituksen vastuulla. Sisäinen tietoturvaohjelma pisteytyksineen auttaa hallitusta seuraamaan tilannetta reaaliaikaisesti, sekä suunnittelemaan tarvittavia toimenpiteitä tilanteen korjaamiseksi. Mitä kriittisempiä tietoja järjestelmässä käsitellään, sitä korkeammalla sen tietoturvan tasoa tulee ylläpitää.

Hybridivaikuttamiselta puolustaudutaan tietoisuutta lisäämällä

Sosiaalinen media on paikka, jossa jokainen meistä voi todistaa hybridivaikuttamisen keinoja. Holm kertoo, että tavallisesti tietojenkalastelun kohteena ovat juuri tietoturvan parissa työskentelevät. Asiantuntijoihin voidaan ottaa yhteyttä sosiaalisen median kanavissa toivoen, että he ovat valmiita jakamaan tärkeitä tietoja tietoturvallisuuden horjuttamiseksi.

”Sosiaalisessa mediassa saatetaan lähestyä esimerkiksi kysymällä asiantuntijuutta käyttöön korvausta vastaan. Osa näistä toki saattaa olla legitiimejä ja tiedän esimerkiksi tutkimuslaitoksia, jotka hyödyntävät ulkopuolisia asiantuntijoita. Mutta osa liittyy tällaisten henkilöiden etsimiseen, jotka ovat valmiita luovuttamaan tietojaan vieraalle vallalle. Puhutaan tällaisista vakoojaverkostoista. Kyllä siinä pitää olla hereillä.”

Holm sanoo, että hybridivaikuttamista vastaan toimitaan tehokkaasti lisäämällä tietoisuutta aiheesta ja tavoista, joilla vaikuttamista pyritään tekemään.

”Tämä onkin ollut enenevissä määrin esillä mediassa. Mutta kyllä myös yrityksillä on vastuu kouluttaa ja ylläpitää henkilöstön osaamista aiheesta.”