Tuotteita tuunaamassa 3: pk-yrittäjän tietoturva

Huomautukset: —

[askelten ääniä]

Otto: Tervetuloa Tuote- ja palveluvirittämö -podcastsarjan pariin. Tässä sarjassa käsittelemme useita eri teemoja, ja teemojen tavoitteena on auttaa PK-yrityksiä ja pienyrityksiä kehittämään omaa liiketoimintaansa, ja olemaan ajan tasalla omassa liiketoiminnassa. Hanke on toteutettu Metropoliassa, ja osittain rahoitettu EU-rahoituksella. Minä olen Otto Härkönen. Ja meillä on tänään teemana tietoturva, ja kyberturva kokonaisuudessaan. Vieraaksi olen saanut mielenkiintoisen tietoturvan ammattilaisen Pekka Jäppisen, joka on muun muassa tehnyt väitöskirjansa tietoturvaan liittyen. Ja toimii tällä hetkellä Pegax Oy:ssä, sekä Swecollako se oli?

Pekka: Swecolla, kyllä.

Otto: Kerro hiukan itsestäsi, mitä teet ja kuinka toimit tietoturvan parissa? Ja mitä yrityksesi tekee?

Pekka: Joo, kiitoksia Otto. Eli mulla on tosiaan taustaa akateemisesta maailmasta, sellainen viitisentoista vuotta, tietoturva- ja tietosuoja-asioitten parissa. Enemmän teknisiä ratkaisuja etsien siellä. Jonka jälkeen sitten olen vaellellut niin julkishallinnossa kuin yritysmaailmassa, sekä konsulttina että ihan perustyöntekijänä, etsimässä, tukemassa oikeastaan sitä tietoturvatyötä organisaation sisällä. Sekä sitten jossain vaiheessa myöskin ollut tukemassa tuota tietoturvatutkimusta. Ja tällä hetkellä toimin Swecolla etsimässä ratkaisuja teollisuuden tietoturvakysymyksiin ja kyberturvakysymyksiin, joka on varsinkin nyt tietysti tämän Ukrainan tilanteen johdosta, niin noussut ehkä vieläkin enemmän esille. Ja sitten oman yrityksen kautta, niin tuen erikokoisia yrityksiä tietoturva-asioissa niin hallinnollisesti kuin sitten etsimällä teknisiä ratkaisuja mahdollisiin ongelmiin. Ja auttamalla myöskin niiden ongelmien tunnistamisessa.

Otto: Kiitoksia. Tietoturvaan kuuluu määrättyjä periaatteita. Taidetaan puhua sellaisesta kuin luottamuksellisuudesta, eheydestä ja käytettävyydestä. Nämä periaatteet saattaa olla aika monella hiukan epäselviä, mitä tarkoittaa esimerkiksi eheys ja käytettävyys. Voisit sä pikkaisen valaista tätä ajatellen ihan pienyrittäjän toimintaa, että mitä nämä periaatteet tarkoittaa? Ja millä tavalla niitä oikeastaan kokonaisuudessaan sitten käytetään osana, kun puhutaan tietoturvasta?

Pekka: Ne oikeastaan periaatteita, tai oikeastaan tavoitteita, että mitä sillä tietoturvalla pyritään saavuttamaan. Eli jos me mietitään, vaikka lähdetään siitä eheydestä, niin yleensä me halutaan, että kun meillä on jotain tietoa, että se olisi myöskin oikeassa muodossa. Se on niin, että sitä ei ole kukaan käynyt muuttamassa. Jos mietitään, ajatellaan nyt vaikka lennonjohtotornia, joka lähettää viestejä lentokoneelle, niin on aika tärkeää, että se tieto, minkä se lentokone ottaa vastaan, niin on täysin samaa kuin mitä se lennonjohtotorni on lähettänyt. Eli että siinä ei ole kukaan päässyt muokkaamaan sitä välissä. Pienen yrityksen kannalta ehkä oleellisia asioita on erilaiset sopimukset, että molemmilla osapuolilla on sopimuksessa samat summat ja samat ehdot. Eli että näitä asioita ei ole muuttunut siinä välissä. Eli eheydellä yritetään varmistaa näitä asioita. Se ei välttämättä tarkoita, että pyritään varmistamaan, että ne asiat oikeita, mutta että ne on siinä muodossa kuin missä on sovittu, tai mistä on puhuttu. Ja aina sitten riippuen liiketoiminnasta, niin sen eheyden merkitys sille käsiteltävälle tiedolle, niin se on joko erittäin tärkeä, tai sitten jossain tapauksissa sen huomattavasti paljon vähemmän tärkeää. Että se aina sitten riippuu tilanteesta. Ja tietoturvassahan monesti, niin asiat oikeastaan riippuu hyvin pitkälti tapauksesta, eli joudutaan aina miettimään, että mikä se tavoite on. Eli jos meillä tässä ensimmäisenä käytiin tavoitteena eheyttä, niin toinen tavoite on vaikka luottamuksellisuus. Eli meillä on erilaisia salaisuuksia, me halutaan, että ne tiedot ei päädy muuta kuin niille tahoille, joilla on oikeus päästä siihen tietoon, ja jotka sitä tietoa tarvitsee. Ja taas tapauksesta riippuen, niin se kuinka paljon meidän kannattaa siihen panostaa, niin jos meillä on joku salainen tutkimustulos, jota me ollaan lähdössä patentoimaan, niin silloin me halutaan pitää se mahdollisimman hyvin tietysti piilossa, ettei kukaan pääse sitä julkistamaan ja tuhoamaan sitä meidän patenttia. Meillä voi olla erilaisia salaisia sopimuksia, jota me joudutaan suojaamaan. Ja sitten ihan käytännössä, niin jos me käsitellään henkilötietoja, niin sitten taas lainsäädäntö jo vaatii, että meidän pitää pitää sitä tietoa luottamuksellisesti, ja suojata se, ettei se päädy ulkopuolisten käsiin. Sitten aina tapauksesta riippuen, jos me mietitään, niin jos nyt otetaan vaikka sitä lentokonecasea tuossa esimerkkinä, niin siellähän tärkeää oli, että se tieto on ehdottomasti eheää. Ja silloin se eheys on nimenomaan se ykköstavoite, mitä pyritään. Se, että joku saa kuulla, että minne se lentokone menee, niin toki sitäkin voidaan käyttää väärin sitä tietoa, mutta ensisijaisesti, niin se ei ole se kaikkein pahin skenaario, vaan nimenomaan se, että joku käy muuttamassa sitä tietoa. Ja sitten jos siirrytään siihen kolmanteen tavoitteeseen, mikä on käytettävyys, tai saatavuus. Eli kun meillä on tietoa, niin on aika oleellista, että siihen tietoon myöskin päästään käsiksi. Eli, mitä me tehdään sellaisella tiedolla, jos meillä on vaikka asiakastiedot, niin jos ei niihin pääse kukaan käsiksi, niin ei siihen asiakkaaseen voi ottaa yhteyttä. Ja tietoturvassa sitten pyritään myöskin takaamaan se, että niihin tietoihin päästään käsiksi. Ja mielellään vielä sitten mahdollisimman nopeasti. Että ajatellaan nyt vaikka, että jos tehdään pörssikauppaa, ja tiukasti seurataan pörssikursseja, niin siellä voi jo minuutin viive siihen pörssikurssimuutoksiin, niin se voi jo aiheuttaa ongelmia. Eli siellä se saatavuus on äärimmäisen tärkeää, tai käytettävyys, että sitä tietoa pystytään käyttämään mahdollisimman nopeasti, mahdollisimman tehokkaasti. Se, että se tietohan on periaatteessa julkista, eli ei tarvitse käyttää keinoja sen luottamuksellisuuden suojaamiseen. Sen sijaan eheys on taas sitten tässä tapauksessa huomattavankin tärkeää, koska jos tehdään väärän kurssin mukaan päätöksiä, niin saattaa tulla huonoja päätöksiä.

Otto: Niinpä. Kun tietoturvan tarkoitus on kokonaisuudessaan, senhän tehtävä on toisaalta turvata tietoa. Ja me puhutaan aika usein teknisesti siten, että mun käsityksen mukaan, niin noin 20 prosenttia ehkä on sitä teknistä suojaamista. Ja loppuasia sitten tietoturvan käsittelyssä on ehkä enemmän hallinnollisia toimenpiteitä. Vaikka esimerkiksi se, että sä laitat sen toimiston oven lukkoon, kun sä lähdet pois sieltä, että kukaan ei pääse sun sopimuksiin käsiksi, kun sä et itse ole siellä. Että ohjeistat myös työntekijät lukitsemaan oven, kun lähtevät työpaikalta pois. Että siellä on aika paljon tällaista hallinnollista ja ohjeistamista kokonaisuudessaan. Ja tietoturva käsittää paljon, paljon muutakin kuin pelkästään bittejä. Että siinä on myös paljon muuta, kuuluu siihen. Ja mä olen itse ihmetellyt sitä, että minkä takia varsinkin pienyrittäjät ja pienet ihmiset ei ymmärrä sitä, että hitto soikoon, se sun tietosi ja sun persoonallisuus, identiteetti, niin se on aika kallisarvoista tietoa. Että jos me ajatellaan, mennään tuonne bittimaailmaan, ja maihin, joissa tulotaso on huomattavasti pienempi, esimerkiksi että kuukausipalkka saattaa olla 10 euroa. Niin silloinhan jos joku pystyy varastamaan sun Facebook-tunnuksen ja mesellä pyytää rahaa kavereilta, tai sitten tekee jonkun ostoksen, meilin ja muun tällaisen kautta, että pystyy tavallaan varastaan sun identiteettiä siellä, niin sille 10 euron saaminen, niin sehän on pirun iso asia. Kuinka paljon sä näet, että maailma muuttuu tästä fyysisen tietoturvan puolesta sitten tuonne bitteihin, kyberturvan puolelle, että onko siellä tapahtumassa merkittävää muutosta? Vai kuinka se tapahtuu? Että jos ajatellaan sitä, että aikaisemmin pääasia oli siinä fyysisessä tietoturvassa, että muistitikkuja ei jätetä, ja niin poispäin. Ovet lukitaan. Ja sitten ne tietokoneet ei ollut internaatissa. Niin kuinka se muutos on sun mielestä tapahtunut? Tai mihinkä me ollaan menossa sen kokonaisuuden kanssa?

Pekka: Jos me nyt mietitään vaikka 80-lukua, kun meillä ei vielä ollut internettiä, ja meillä ei laitteet ollut verkotettu. Ja vielä 90-luvullakin, niin ehkä ei ollut niin suuressa määrin. Että kaikilla oli kotona, saattoi olla tietokone, mutta sitä ei ollut muuta kuin silloin, kun me lyötiin se modeemi kiinni ja otettiin yhteys modeemipankkiin, niin sitä kautta oltiin sitten verkossa kiinni. Toisin kun tänä päivänä, missä kone saattaa olla koko ajan siellä, että sitä ei edes sammuteta, muuta kuin päivityksen yhteydessä. Niin totta kai uhkakuvat on aika erilaiset. Että siinä maailmassa, että silloin kun meillä ei laite ole missään verkossa kiinni, niin silloinhan me suurin piirtein tiedetään, että kuka seuraavan 10 minuutin päässä, niin voi uhata sitä meidän laitetta. Eli me tiedetään, että 10 minuutissa tähän nyt ei pääse kauhean kaukaa, tänne Metropoliaan, kun tuolla on noita ovia ja muitakin välissä, niin tänne studioon on aika vaikea tulla varastamaan näitä laitteita. Ihan fyysisesti. Mutta sen sijaan, jos mietitään, että nämä laitteet on verkossa tällä hetkellä kiinni, niin yhtäkkiä meillä voi ihan kuka tahansa maailmasta yrittää murtautua niihin laitteisiin. Eli sitä kautta se potentiaalisten hyökkääjien määrä on kasvanut huomattavasti. Ja samoin myöskin, mitä enemmän meillä on potentiaalisia hyökkääjiä, niin sitä todennäköisemmin siellä on myöskin sellaisia hyökkääjiä, jotka oikeasti osaa sen hommansa. Toinen puoli on sitten tietysti se, että myöskin kohteita on aika paljon enemmän näillä hyökkääjillä. Joka tarkoittaa myöskin sitä, että sitten se meidän yksittäinen kone ei välttämättä ole se pääkohde, mihin hyökätään. Mutta se voi olla mielenkiintoinen kohde ihan sen takia, että siellä ei ole suojauksia, ja sitä voidaan hyödyntää sen jälkeen muihin hyökkäyksiin, ja piilottamaan sitten sitä hyökkääjän identiteettiä. Ja sitä reittiä, mistä se hyökkääjä on oikeasti yrittänyt päästä siihen mahdolliseen kohteeseensa. Sitten tietysti, puhuit noista identiteettivarkauksista, niin nehän on ihan yleisiä, ei vaan kymmenien eurojen takia, vaan ihan hyödynnetään niitä siihen, että hankitaan isoja lainoja, otetaan suurempia määriä rahaa. Sen lisäksi, niin voidaan pyrkiä murtautumaan erilaisiin yrityksiin. Jos olet jossain yrityksessä työntekijänä, niin se teidän identiteetti saattaa olla sellainen keino, millä voidaan saada vaikka Googlelta varastettua se teidän Google-identiteetti. Ja sen kautta sitten, jos se on linkitetty luotettavaksi osoitteeksi, tai autentikointimenetelmäksi jonnekin, niin sillä päästään hyppimään sitten taas eteenpäin. Eli se ei välttämättä ole suoraan, rahallista voittoa tavoitella, vaan paremminkin sitten yritetään päästä erilaisiin muihin järjestelmiin, jolloinka se identiteettivarkauden kohde ei välttämättä olekaan se pääkohde, mitä yritetään murtaa.

Otto: Tämä on tosi mielenkiintoista tämä hyökkääjien, tai mahdollisten hyökkääjien määrä on kasvanut järjettömän suureksi. Oikeastaan kuka tahansa, joka on netissä, niin se voi olla myös potentiaalinen hyökkääjä. Tämän identiteetin varastaminen, puhutaan siitä, että esiinnytään toisena, niin sehän on aina ollut mahdollista. Mä muistan joskus aikanaan, kun mulla emäntä oli töissä tuossa Vallilassa, ja se oli kuudennessa kerroksessa, ja kaikki ovet oli lukittu, ja millään ei päässyt sisään mihinkään. Ja sitten meillä sattui olemaan hääpäivä, ja mä kävin hakemaan kukkapuskan ja pistin puvun päälle, ja mä ajattelin, että mä vien hänelle työpaikalle sen. Niin yllättävän helposti pääsin sisään. Ei tarvinnut muuta kuin kysyä, kertoa immeiselle, että hei, että mä olen tulossa viemään kukkia vaimolle, että pääsenkö mä samalla hissillä mukaan, että voitko sä aukaista mulle tuon oven. Ja kun käyttäytyi kohteliaasti ja fiksusti, niin mä olin yhtäkkiä emännän työpöydän vieressä, ja kaikki, että kuinka sä tänne pääsit. Että tämä on hämmästyttävää, kuinka luottavaisia me ollaan kokonaisuudessaan toisiin ihmisiin, ja toisiin järjestelmiin. Että me ei millään, me ei kyseenalaisteta ollenkaan sitä. Ja mua hämmästyttää välillä, että kuinka pienet yritykset ja pienet yrittäjät on niin luottavaisia kaikesta nettiin tulevasta, niin kuin meileihin ja tarjouspyyntöihin ja kyselyihin. Onko sulla tietoa, että paljonko tapahtuu tällaista normaalissa viestinnässä tai muualla, että onko prosentti tietojenkalasteluyrityksiä, vai onko se promillemäärä, vai mitä? Onko tästä tutkittua tietoa, viimeaikaista?

Pekka: Siis social engineeringhän on tosiaan, eli ei ehkä ole identiteettivarkaus, vaan muuten vaan yritetään vakuuttavasti esiintyä, ja hyödyntää sitä vastapuolen heikkoutta. Että yritetään osoittaa, että meillä on oikeus tehdä jotain tai oikeus päästä johonkin. Niin en tiedä, mikä on prosentuaalinen onnistumisprosentti. Mutta jos ajatellaan, että me pystytään lähettämään hyvinkin helposti sadoilletuhansille ihmisille sähköpostia. Verkosta löytyy, voi ostaa isoja sähköpostilistoja. Niin jos ajatellaan, että lähetetään sadalletuhannelle tai miljoonalle ihmiselle viesti, jolla yritetään saada heidät toimittamaan jotain informaatiota tai jotain rahaa johonkin tarkoitukseen. Ajatellaan nyt vaikka tyypillinen nigerialaiskirje, missä sanotaan, että täällä on Sese Sekon veljenpoika, ja meillä on täällä näin 60 miljoonaa dollaria rahaa, ja pitäisi saada siirrettyä se turvaan. Ja olette kuulemma luotettava henkilö, ja sovitaan, että saatte 10 prosenttia tästä näin. Ja kun sinne ottaa yhteyttä, niin sitten sen jälkeen tulee erilaisia pikkumaksuja, mitkä pitää hoitaa, että saadaan ne rahat pois. Että voisitko hoitaa tämän tullimaksun, ja pitäisi lahjoa vähän tuota virkailijaa, ja niin poispäin. Ja sitä kautta pumpataan sitten sitä rahaa hyväuskoiselta käyttäjältä. Niitä on erilaisia tapauksia. Joku voi olla joku rikas upseeri, joka etsii rakkautta, ja sitten ottaa yhteyttä vanhempiin naishenkilöihin, yleensä Facebookin kautta. Ja sitten taas tarvitaan rahaa, että pystyy lentämään Suomeen, tai jotain muuta vastaavaa, jotain on hajonnut. Eli sitä kautta yritetään sitä ihmistä huijata. Ja nyt taas kun tulee kesä, niin toimitusjohtajahyökkäykset ja -huijaukset on vakiokamaa. Eli otetaan yhteyttä johonkin työntekijään, ne on yleensä kohdennettuja, että katsotaan, että mikä yritys on, katsotaan verkkosivuilta toimitusjohtajan nimi. Ja sitten lähetetään mahdollisesti kesäharjoittelijalle tai jollekin uudelle työntekijälle, tai voi olla vaikka kaikillekin työntekijöille, että hei, että nyt pitäisi tehdä kaupat, ja pitäisi saada rahaa äkkiä siirrettyä, että käytkö hakemassa vaikka Google Play -kortteja, ja raaputa niistä ne numerot ja lähetä tänne näin, niin hän saa siirrettyä rahat. Tai jotain vastaavaa. Ja kun kyseessä on toimitusjohtaja, ja on kiire, niin normaalitilanteessa varmasti mietitään, että miksi toimitusjohtaja tarvitsee Google Play -kortteja, että se saa siirrettyä rahaa. Mutta kun meillä on kiire, ja tosiaan siellä on se toimitusjohtajan auktoriteetti, sähköposti on kirjoitettu vielä ehkä niin, että tämä on äärimmäisen tärkeä diili, niin silloin se virhe tulee tehtyä. Jokainen ei niihin mene, mutta kun tarpeeksi monta kertaa tekee, niin joku aina menee.

Otto: Tuo oli, kun otit esiin tuon nigerialaiskirjeet, niin mä luin jostain tutkimuksen, tästä on muutama vuosi aikaa. En muista mistä se oli, taisi olla joku viranomaisen tutkimus. Että yllättävän moni yrittäjä hairahtuu näihin nigerialaiskirjeisiin ja näihin. Ja siellä aika usein taustalla sen yrityksen taloudellisia ongelmia, tai omia taloudellisia ongelmia. Sitten tavallaan haetaan sitä viimeistä ratkaisua, että ehkä tätä kautta mä saisin tämän yrityksen nyt pelastettua. Että nyt kun yrittäjät kuuntelee tätä, niin muistakaa, että se ei ole ratkaisu. Että kannattaa enemmin mieluummin epäillä kuin tarttua. Että liian hyvää ollakseen totta, on yleensä huijaus. Eikö ole näin?

Pekka: Kyllä. Ja sitten niissä on aina yleensä sellainen pieni rikollinen ajatus jo siinä itse viestissä mukana, jolla yritetään estää sitä, että se kohde ei yleensäkään puhu siitä eteenpäin. Eli pitää sen salassa, eikä rupea kysymään neuvoja keltään, koska no, onhan se vähän epäilyttävää Afrikasta diktaattorin rahoja siirtää. Mutta jos siitä nyt oman siivun saa, ja sillä oma firma pelastuu, niin se ajatusmalli lähtee helposti sellaiselle maailmalle. Ja yleensä kannattaa miettiä, että kun on epätoivoinen tilanne, niin silloin kun ulkopuolelta tulee yllättäviä tarjouksia, niin sitä motiivia on hyvä miettiä. Ja hetken aikaa istua alas ja oikeasti ajatella, että minkä takia joku haluaisi antaa juuri mulle kuusi miljoonaa dollaria siitä, että mä saan tililleni rahaa. Varsinkin kun se rupeaa sen jälkeen nyhtämään oikeasti sitä tietoa.

Otto: Tämä on hassu nyt, itselle ainakin, mulle tulee koko ajan yhä enemmän ja enemmän Instagramiin outoja seuraajapyyntöjä. Ja sitten Linkkariin tulee ihan kummallisia pyyntöjä. Se voi olla toisaalta verkostoitumista, mutta sitten aina välillä epäilee, että mikä siellä taustalla on kokonaisuudessaan. Että minkä takia tällainen komea nuori nainen haluaisi nyt ruveta minun seuraajakseni, varsinkin kun sähköpostiosoite näyttää vähän epäilyttävältä ja muuta. Vähän kuulostaa, että hei, tämä ei ole ehkä nyt ihan oikea juttu. Joskus puhutaan, siis kun puhutaan esimerkiksi laatuasioista, niin laadussa puhutaan aika usein sitä, että liian kovan laadun tekeminen maksaa enemmän kuin mitä siitä voidaan asiakkaalta sitten siitä tuotteesta pyytää. Että laadussa ei pitäisi mennä ylenpalttisuuteen, vaan laatuasioissa tuottaa hiukan odotukset ylittävää laatua. Eikö tietoturvassa ole vähän sama asia, että pitäisi ajatella sitä suojauksen maksamaa hintaa versus siitä saatavaa hyötyä?

Pekka: Niin, oikeastaan jos mietitään, että mitä tietoturva on, niin sehän on omalta osaltaan vähän kuin vakuutus. Eli oikeastaan ensimmäisenä pitää miettiä, että mitä jos mitä jos jotain tapahtuu, niin mitkä sen vaikutukset on. Eli aika usein ensimmäinen ajatus aina on, että no, ei tällä mun tiedolla ole mitään arvoa. Tai että ei haittaa vaikka joku pääsee näihin käsiksi. Mutta sitten kun me ruvetaan vähän tarkemmin miettimään, että mitä sillä tiedolla mahdollisesti voidaan tehdä. Ja mitä vaikutuksia sillä on, muuta kuin, että siinä nyt saatiin mun henkilötunnus selville, tai saadaan mun pankkitilin numero, niin mitä sitten. Eihän se ole iso asia, en mä siinä mitään menetä. Mutta sitten kun ruvetaan miettimään pitemmällä tähtäimellä, mutta mitäs kaikkea siellä tiedolla voidaankaan tehdä. Voidaanko sillä hankkia vaikka luottokortti, uusi luottokortti, jolla sitten sen jälkeen käydään ostoksilla. Niin yhtäkkiä sitä rupeaakin miettimään, että se suojaus, mikä ensin tuntui kalliilta, niin se ei välttämättä olekaan enää kallis, kun me mietitään niitä vaikutuksia. Mutta totta kai, ei kannata laittaa viiden euron leipää kassakaappiin. Paitsi ehkä sitten tietysti, jos me ollaan Afrikassa alueilla, jossa on kauhea nälänhätä, niin silloin sen yhtäkkiä sen leivänpalasen arvo saattaakin olla huomattavasti paljon suurempi. Eli pitää myöskin aina miettiä, että mikä on se toimintaympäristö. Että vesipullo Suomessa on huomattavasti vähemmän arvokas kuin keskellä Saharan aavikkoa kuumassa auringonpaisteessa, eikä ole tietoa, että minnepäin ollaan menossa.

Otto: Just näin. Eli ei olla ihan kauhean yksinkertaisten asioiden äärellä kuitenkaan. Meillähän on hyviä viranomaisia, jotka tarjoaa tietoa tietoturvasta. Ja niistä löytyy hyviä opetuksia myös netistä. Esimerkiksi Ylellä on. Mistä sä lähtisit, jos sä olet nyt pienyrittäjä, ja sua rupeaa pohdituttaan, että mikä tämä mun tietoturvan taso on, ja millä tavalla mä selvittäisin tästä itselleni perusasiat, niin mitkä on sun mielestä parhaimpia kohteita, mistä voisi lähteä hakemaan lisätietoa? Totta kai soittamalla sulle, ja ottamalla sun konsultaatiota asiaan, sehän on kaikista paras keino. Mutta eikö viranomaisillakin ole aika paljon paikkoja, josta löytyy fiksuja?

Pekka: Siis joo. Viranomaisilta löytyy. Tuollahan on, kyberturvakeskus ilmoittaa ja pitää, siellä on sellainen kuin kyberturvasää, jossa kerrotaan, että mitä on kyberturvan suhteen tällä hetkellä tapahtumassa. Sitten löytyy tuolta, hetken aikaa pitää miettiä, on tällainen vahtiryhmä, joka tekee valtionhallinnon tietoturvaa. Niin heillä löytyy myöskin ihan hyviä yleisiä oppaita. Vaikka ne on suunnattu valtion hallinnolle, niin pienyrittäjäkin löytää niistä aika paljon asiaa. Toki aina sitten, ehkä se oleellisin asia on miettiä aina sitten omalta kohdalta sitä asiaa, että kun lukee näitä erilaisia ohjeita, niin mikä tästä on validia sen oman toiminnan kannalta. Että perusperiaatteet on kuitenkin oikeastaan samanlaisia, että pitäisi vähän tietää se, että mikä siinä omassa toiminnassa on arvokasta ja tärkeää. Eli mikä on sen oman yritystoiminnan kannalta oleellista. Että jos meillä vaikka tarvitsee lähettää paljon sähköposteja asiakkaalle, niin silloinhan se meidän sähköpostilista, ja se sähköpostien lähettämispalvelu, niin se on aika arvokas palvelu sen meidän toiminnan kannalta. Mutta se ei kuitenkaan kaada, jos se on yhden päivän pois käytöstä, niin se ei vielä haittaa sitä meidän toimintaa. Jos meillä on verkkokauppa, ajatellaan vaikka että meillä on hyvin sesonkipitoinen verkkokauppa, niin jos me myydään vaikka joulukuusenkoristeita, niin on aika oleellista, että joulunaikana ainakin se verkkokauppa olisi päällä 24/7. Koska pienetkin viiveet, tai palvelun alhaallaolot, niin ne saattaa aiheuttaa isojakin tappioita. Eli vähän miettiä, oikeasti tärkeitä on miettiä sitä omaa toimintaa, ja mikä on siellä sitä turvattavaa. Ja sitten katsoa, verkosta löytyy paljon sitten erilaista apua, kun tietää, että mitä haluaa suojata ja millä tavalla. Teknisiä ratkaisuja on, ja yleensä palveluntarjoajat, jotka yleensä ulkoa ostetaan, niin heillä on sitten myöskin tarjolla erilaisia suojausratkaisuja.

Otto: Tähän kohtaan täytyy antaa nyt jokaiselle kuulijalle ja jokaiselle yrittäjälle tehtävä. Me yleensä ollaan näissä podcasteissa annettu joku tehtävä, niin nyt viimeistään sitten pitää ruveta hahmottamaan sitä omaa tietoturvaympäristöäsi. Eli käytä edes puolituntia siihen, että piirrät, että missä menet, ja mietit, mikä on sulle tärkeää. Ja minkä asian sä haluat suojata kokonaisuudessaan omassa liiketoiminnassa. Tai sitten vaikka ihan omassa yksityiselämässäkin. Että aika monella pienyrittäjällä, niin se oma identiteetti on suunnilleen sama kuin on se yrityksen identiteetti. Kiitoksia Pekka tästä paljon. Tämä puolituntia menee taas todella, todella nopeasti. Mä toivoisin, että sä kertoisit vielä pienen mainoksen itsestäsi ja edustamastasi yrityksestä. Että mistä sut saa kiinni, jos joku on kiinnostunut lisää, vaikka pyytämään puhujakeikkaa tietoturvasta, tai tekeen tietoturvakonsultointia, kartoitusta, tai muuta. Niin pieni mainos varmaan olisi paikallaan, koska tietoturva-ammattilaisia on aika harvassa, ja ne on aika kiireisiä. Niin voisi olla hyvä, että jostain edes jonkun immeisen saisi kiinni.

Pekka: Joo. Kiitoksia vaan tästäkin mahdollisuudesta. Eli helpoiten saa yhteyttä, kun laittaa sähköpostia pekka.jappinen@pegax.com. Ja verkkosivut www.pegax.com kertoo jotain, mitä nyt pienyrittäjällä on ollut aikaa tehdä verkkosivuja, niin sieltä löytyy yhteystiedot. Varmasti eniten ehkä apua, mitä pystyn tarjoamaan, niin just löytämään ne asiat, mihin kannattaa keskittyä siinä tietoturvassa, eli auttaa siinä fokusoinnissa. Sen lisäksi jos tarvitsee koulutuksia, niin hyvin paljon erilaisia koulutuksia on tullut tehtyä hyvin monenlaiselle yleisölle. Tavoitteena yleensä se, että niistä jää myöskin muutama mietelause aina mieleen, niin että pystyy sitten hyödyntämään sitä siinä normaalissa elämässä.

Otto: Kiitoksia. Ja eikö se Pegax ollut x:llä?

Pekka: X:llä.

Otto: Eli viimeinen on x, eli ks, vaan x:llä, pegax.com.

Pekka: Ja g:llä.

Otto: Ja g:llä. Eli kauhean helposti. Mutta ehkä tämä tuli nyt kaikille selväksi. Hei, kiitoksia kauheasti. Kuuntelit siis Tuote- ja palveluvirittämön -podcastsarjaa. Ja tämän päivänä teemana oli tietoturva. Ja tehtäväksi sulle tuli hahmottaa omaa tietoturvaympäristöä tämän johdannon perusteella. Kiitoksia, Pekka. Ja kiitoksia myös kuulijoille. Mun nimi oli Otto Härkönen ja vieraana oli..

Pekka: ..Pekka Jäppinen.

Otto: Kiitos, moi moi.