Hoppa till huvudinnehåll

Fallet Vastaamo väcker frågor kring Finlands cyberförsvar: "Brist på resurser ett stort problem"

Illustration av nätfiske, där en person bokstavligen använder ett metspö för att komma åt en mans dator.
Hur säker är vår data om nätbrottsligheten kommer och knackar på vår dörr? Säker i jämförelse med många andra länder men det betyder inte nödvändigtvis så mycket. Illustration av nätfiske, där en person bokstavligen använder ett metspö för att komma åt en mans dator. Bild: Tumisu nätfiske

Finland placerar sig ofta högt i internationella jämförelser kring datasäkerhet men det innebär inte att vår data är särskilt säker. Speciellt småföretag saknar tillräckliga resurser för att upprätthålla ett effektivt cyberförsvar, säger Timo Seppälä, ledande forskare vid ETLA.

De läckta patientjournalerna från psykoterapicentret Vastaamo har skapat debatt de senaste dagarna. Den särskilt brutala utpressningen där privatpersoners terapianteckningar används som gisslan har lett till en diskussion kring lagrandet av känslig information digitalt, men också väckt frågor kring cybersäkerhet i allmänhet.

Professor Jarno Limnéll vid Aalto-universitetet besökte Yles Morgon-tv på fredagen och konstaterade att Vastaamo blev en väckarklocka för Finland.

Jarno Limnéll
Jarno Limnéll, professor i cybersäkerhet vid Aaltouniversitetet. Jarno Limnéll Bild: Tiina Jutila / Yle Jarno Limnéll

- En lärdom är att man i många organisationer och företag nu kommer fråga sig hur känslig information skyddas hos oss? Finns det en risk att vi kommer utsättas för ett liknande fall?

- Därför är det på ett sätt “bra” att fall som detta kommer fram för det innebär att hela samhället senast nu vaknar till att ta fasta på datasäkerhet och förbättra sina försvarsmekanismer i förhållande till risknivån, säger Limnéll.

Måste uppdateras hela tiden, inte nu som då

Vad är risken att de egna systemen kan utsättas för intrång? Det handlar enligt Limnéll om hur värdefull data man sitter på.

Samtidigt påpekar han att man, även fast man gör allt som man ska, kan råka ut för ett dataintrång. Man måste minnas att det inte finns absolut, perfekt säkerhet, även om man gör allt rätt. Av en eller annan anledning, oavsett om det sker av misstag eller medvetet, så händer det tråkiga saker ibland.

- Dataläckor och dataintrång händer ibland. Och det handlar därför om en bredare motståndskraft: Vad är organisationens eller företagets möjlighet att agera i en sådan situation?

Cybersäkerhet är inte en sak som man åtgärdar i första kvartalet och sedan återkommer till nästa år

Vikten av att uppdatera sina system och sin datasäkerhet kan inte överdrivas. Om systemen inte håller jämna steg med nätbrottslingar, kan man inte räkna med att ens data är säker.

- Cybersäkerhet är inte en sak som man åtgärdar i första kvartalet och sedan återkommer till nästa år. Det är en kontinuerlig process.

- Verksamhetsmiljön, speciellt i den digitala världen, lever och förändras hela tiden och snabbt. Man måste kontinuerligt förbereda sig för olika situationer och utveckla de egna systemen och det egna cyberförsvaret, säger Jarno Limnell.

Små företag måste bli bättre

Timo Seppälä, ledande forskare på Näringslivets forskningsinstitut ETLA och även professor vid Aaltouniversitetet, är orolig för småföretagen.

- Småföretagen har inte lika säkra datasystem som de stora, därför att de inte har resurser i huset. De förlitar sig istället helt på externa tjänster. Det tycker jag är ett problem, säger Seppälä, som var med och sammanställde ETLA:s Digibarometer i somras.

Porträttbild av Timo Seppälä som forskar vid Näringslivets forskningsinstitut.
Timo Seppälä är forskare vid ETLA och arbetslivsprofessor med digitalisering som expertområde vid Aalto Universitet. Porträttbild av Timo Seppälä som forskar vid Näringslivets forskningsinstitut. Bild: ETLA Timo Seppälä,Timo Seppälä ETLA

Digibarometern 2020 visade att Finland fortsättningsvis placerar sig högt i internationella jämförelser gällande datasäkerhet, men att greppet håller på att släppa.

Det bekräftar Perttu Halonen på Cybersäkerhetscentret vid Transport- och kommunikationsverket. Men det betyder inte att våra myndigheter, företag och organisationer skulle vara immuna mot digital kriminalitet.

- Dataintrång händer också här. Å andra sidan är det sällan så som i fallet Vastaamo, att det har så stora konsekvenser för privatpersoner, säger Halonen.

Exakt vad som gått fel då Vastaamos journaler hamnat i fel händer kan Halonen inte svara på. En expert från cybersäkerhetsföretaget F-secure sa till MTV att användning av standardlösenord skulle vara boven i dramat. Om det stämmer är det inte en överraskning att dataintrånget skedde.

Paradoxen med kunnig personal: Finns många men för få

Kan en förklaring till varför Finland klarar sig bra i internationella jämförelser vara att vi har framgångsrika företag inom digitala tjänster och digital säkerhet? Kanske, säger Perttu Halonen från Cybersäkerhetscentret.

- Företag som F-secure och lättillgängliga myndigheter gör att tröskeln är låg att få hjälp. Det är lätt att kontakta experter om man behöver, spekulerar Perttu Halonen från Cybersäkerhetscentret.

Halonen tror också att finländska företag är väldigt noggranna i många avseenden, även då vi organiserar vårt cyberförsvar.

- Då vi gör saker gör vi det med omsorg. Det kanske finns en viss Nokiaingenjörsmentalitet, säger Halonen.

Vi har ganska många studerande inom datasäkerhet men inte tillräckligt

Men samtidigt som vi har nära till experter har vi en brist på kunnig personal i landet, visar Digibarometern.

ETLA:s Timo Seppälä berättar att många större företag tvingas jaga cyberexperter på den europeiska eller den asiatiska marknaden, eftersom man inte får napp på den öppna arbetsmarknaden i Finland.

- Där små företag inte har råd att anställa kunnig personal lider de stora företagen av ett helt annat problem. Vi har ganska många studerande inom datasäkerhet men inte tillräckligt för att tillgodose behovet här i Finland. Och därför måste vi hämta arbetskraft från Europa eller Indien, säger Seppälä.

Han påpekar att för att bli cybersäkerhetsexpert krävs väldigt bra matematikkunskaper, och att det inte nödvändigtvis finns ett överskott av matematiskt välbegåvade personer i Finland. Det viktigaste är ändå att öka antalet studerande inom branschen.

Behöver du hjälp: Ring Cybersäkerhetscentralen

Cybersäkerhetscentret jobbar aktivt på flera fronter på att stärka Finlands cyberförsvar. Centret sprider information om cybersäkerhet, upprätthåller e-postlistor för intresserade och har också regelbundna möten med olika aktörer inom branschen.

Dessutom hjälper centret också offer för dataintrång, som man nu gjort också med Vastaamo. Om man själv eller ens företag utsätts för dataintrång kan man alltid vända sig till Cybersäkerhetscentret, säger Perttu Halonen.

- Man kan ta kontakt med oss och det sker om man så vill i förtroende. Det minsta vi kan hjälpa med är att ge rådgivning och sätta offer i kontakt med företag eller organisationer inom datasäkerhet, så att man får hjälp, säger Halonen.

Kvantdatorerna kommer, är vi redo?

ETLA:s Digibarometer 2020 tog upp kvantdatorer. Som alltid med prefixet kvant- innebär det något obegripligt avancerat.

I korthet och hemskt förenklat innebär kvantdatorer och allt som tillkommer att det är datorer som kan lösa problem på en bråkdels sekund som tar tiotals vanliga datorer flera år att genomföra.

Vad händer då nätbrottslingarna lägger vantarna på sådan teknik? Är Finlands kollektiva cybersäkerhet tillräcklig för att stå emot en sådan anstormning? ETLA:s ledande forskare Timo Seppälä svarar:

- I nuläget, absolut inte. Men det tar tiotals år innan kvantdatorer är tillgängliga, så bi har mycket tid på oss. Så nog tror jag vi är beredda då som kvanthotet blir en realitet.

Läs också