Mielipidekirjoitus, julkaistu Keskisuomalaisessa 22.9.2022.
S-Pankki on tällä hetkellä isosti julkisuudessa tietomurron takia, jossa virheellisesti toiminut ohjelmistokomponentti oli sallinut käyttäjän toimimaan toisen henkilön nimissä. Pienemmillä otsikoilla on selvinnyt Wilma-järjestelmä, joka sulki API-rajapintansa kolmannen osapuolen ohjelmistoilta. Niiden kautta oli saatavilla liian laajoja tietoja oppilasryhmien kokoonpanoista ilmeisesti ohjelmointivirheen takia.
Samalla kun yhteiskuntamme verkottuu yhä tiiviimmin, myös tietomurrot ja läheltä piti -tilanteet lisääntyvät. Vastaamon tapauksesta ovat kaikki kuulleet, mutta nopealla uutishaulla otsikoissa ovat olleet pelkästään muutaman viime kuukauden sisällä mm. STT, Päijät-Sote, Wärtsilä, Valtra ja Turun yliopisto.
Monia tapauksia yhdistää yksi asia: julkisuuteen ei ole kerrottu murron tarkkoja yksityiskohtia. Tästä on seurannut, ettei muilla alan toimijoilla ole ollut mahdollisuutta kuin arvailla, onko omissa järjestelmissä tai prosesseissa vastaavia virheitä.
Toivon, että S-Pankki samoin kuin muutkin organisaatiot Suomessa ottavat tavaksi julkaista tutkinnan edetessä avoimesti järjestelmissä tai prosesseissa olleet virheet, joista tietoturvapoikkeama on johtunut. IT-alalla on olemassa tähän kansainvälisesti vakiintunut käytäntö: julkinen post mortem -raportointi. Tämä auttaa muita toimijoita välttämään tai korjaamaan samankaltaiset ongelmat ja lisää näin kaikkien turvallisuutta.
Post mortemit ovat sukua liikenneonnettomuuksien tutkintaselostuksille. Niiden päämääränä ei ole osoittaa syyllisiä, vaan käydä läpi tapahtumat neutraalisti ja oppia toimimaan jatkossa paremmin. Raporteissa ei selosteta pelkästään sitä, mikä on mennyt pieleen, vaan pohditaan, miten asiat olisi voinut tehdä toisin ja mitä tapahtuneesta on opittu.
Julkiset post mortemit ovat jo monissa yrityksissä vakiokäytäntö. Suuret toimijat, kuten Google, Cloudflare, Amazon ja Spotify julkaisevat yksityiskohtaiset tiedot järjestelmän vakauteen ja tietoturvaan vaikuttaneista virheistä, niiden selvitysprosesseista ja korjauksista. He toimivat näin myös mielipidevaikuttajina: Monet tietoturvaparannukset ovat suoraan syntyneet näiden raporttien parannusehdotusten myötä. Raportteja tehdään myös itse havaituista tietoturva-aukoista, joita ei välttämättä ole edes hyödynnetty, jälleen tiedon jakamisen nimissä.
Avoin ja ajantasainen tiedottaminen lisää luottamusta organisaatioon. Yksityiskohtien paljastaminen auttaa myös muita välttämään samat virheet. Tietoturva lisääntyy parhaiten, kun kaikki toimivat yhdessä saman tavoitteen eteen.