Ananas ei ole aina hedelmä

Kuukausikokous 19.02.2021

Pamauksen helmikuun kuukausikokouksen esitelmän piti turvallisuusalan konkari Matti Malkamäki, joka toimii head of security -tehtävässä Airbus Defence and Space Oy:ssä. Airbus Defence and Space on osa Euroopan suurinta ilmailu-, puolustus- ja avaruusteknologiayritystä Airbus Groupia ja palvelee sekä viranomaisia ja muita turvallisuutta palvelevia organisaatioita ympäri maailman. Suomessa Airbusilla on lähes 350 työntekijää ja yritys on yksi Suomen suurimpia T&K-investoijia.

 

Matti Malkamäellä on yli 20 vuoden kokemus turvallisuusalalta ja hän on laajasti perehtynyt niin tieto- ja kyberturvallisuuden sekä fyysisen turvallisuuden johtamiseen ja kriisinhallintaan. Malkamäki on kotoisin Etelä-Pohjanmaalta mutta karjalaistakin verta hänestä löytyy.

Yritysvakoiluun voi olla useita eri intressejä. Vakoilija voi olla toinen yritys, jokin yksittäinen henkilö, yrityksen sisäinen toimija tai vaikkapa valtiollinen tai valtion sponsoroima toimija. Matti Malkamäki kertoi esimerkin valtiollisesta vakoilusta: Havaittiin, että erääseen afrikkalaiseen maahan lahjoitettu oppilaitos toimi vakoilijana. Viranomaisten huomion kiinnitti oppilaitoksen huomattavan suuri tietoliikennemäärä ja kävi ilmi, että kaikki verkossa saatavissa ollut kansallinen data kopioitiin ja lähetettiin yöaikaan toiseen valtioon.

Verkossa tapahtuu paljon mutta vakoilua voi tehdä fyysisestikin. Helpohko tapa vakoilla on esimerkiksi urkkia tietoa konsultointipyynnön avulla tai siten, että vakoilija rekrytoituu yrityksen palvelukseen. Yhtä hyvin voi yrityksen vastaanoton ohi päästä remonttimiehen keltaiset liivit päällä ja tikapuut olalla. Ja ehkäpä helpoin temppu on mennä istumaan kahden saman yrityksen työtekijän taakse junassa ja kuunnella.

Ananas ei ole aina hedelmä. WiFi Pineapple (Rogue access point) on yrityksen tiloihin luvatta tuotu laite, johon käyttäjä voi huolimattomuuttaan langattomasti kytkeytyä ja täten hänen verkkoliikennettään voidaan seurata ulkopuolisten toimesta. Matti Malkamäki kertoi esimerkin siitä, miten erään yrityksen verkkoon oli kiinnitetty luvatta ylimääräinen laite, joka oli ollut kiinni verkossa jo viisi vuotta mutta jota kukaan ei ollut huomannut.

Malkamäki korosti turvallisuuskulttuuria kaikessa toiminnassa. Hän määrittää turvallisuuskulttuuria siten, että sen pitää olla ohjattua ja mitattua. Henkilöstön asenne ja turvallisuus pitää huomioida kaikessa toiminnassa. Turvallisuus on kaikkien yhteinen asia ja jokaisen vastuulla.

Matti Malkamäki on myös ollut monesti testaamassa yritysturvallisuutta käytännössä. Hyvä keino päästä lukituista ovista on se, että tulijalla on paljon kantamuksia ja kilistelee tuskissaan avaimia. Malkamäki kertoi, että kaikkiin kiinteistöihin, jonne hän on pyrkinyt sisään, hän on sisään päässyt.

Hän on päässyt mm. erään yrityksen toimitusjohtajan huoneeseen, jossa hän otti valokuvia pöydällä olleista asiakirjoista, kun toimitusjohtaja tuli sisään. Malkamäki oli ottanut selville kiinteistöjohtajan nimen ja kertoi olevansa hänen asioillaan. Toimitusjohtaja tyytyi selitykseen ja lähti pois. Lähtiessään toimitusjohtaja pyysi laittamaan oven kiinni, kun on valmista.

Teksti: Jari Jokinen, kuvat: Ari Huovinen