Venäjän kyberuhka ja tilitoimistot
Kun ihmiset saavat palkkansa, sujuu arki ja yhteiskunnan rattaat pyörivät. Entä jos maksuliikenneyhteys pankkiin tökkii tai jokin pilvipalveluohjelmisto ei ole käytössä? Tässä maailmantilanteessa on paikallaan, että tilitoimistossa mietittäisiin vaikka koko porukan voimin, mitä voidaan tehdä ja mitä ei voida tehdä, jos vaikkapa toimiston Internet-yhteys katkeaa pariksi päiväksi.
Muuttuneet kyberuhat
Kyberturvallisuuden merkityksestä yrityksille on puhuttu paljon viime vuosina ja paljon on asian eteen myös tehty. Tilitoimistoissa kyberturvan merkitys korostuu, koska liiketoiminnassa käsitellään henkilötietoja sekä asiakkaiden liikesalaisuuksia ja hoidetaan maksuliikennettä suuressa mittakaavassa.
Tähän asti turvallisuusuhkana on pidetty rikollisia, joiden motiivi on kiristää tietomurtojen kohteelta rahaa sekä teollisuusvakoilua harjoittavia yrityksiä ja valtioita. Nyt odotettavissa on Venäjän valtion ja sen puolesta toimivien ryhmien laajamittaisia kyberhyökkäyksiä, joilla pyritään lamauttamaan suomalaisen yhteiskunnan kriittisiä toimintoja ja vaikuttamaan kansalaismielipiteeseen Suomessa ja ulkomailla.
Tietoturvan perusteet kuntoon
Aiheesta lisää
Tietoturva ja tietosuoja etätyössä, Tero Anttila (Tilitoimistossa 17.11.2020)
Pienyrityksen tietoturvan muistilista, Ville Vuorihuhta (julkaistu 26.10.2021)
Etätyö ja tietoturva, Timo Haapavuori (Tilisanomat 13.10.2020)
Tietomurto tilitoimisto Kirjaajassa!, Tero Anttila & Janne Fredman (Tilitoimistossa 17.1.2021)
Venäjän uhka ja uho ei muuta mitenkään sitä tosiseikkaa, että tilitoimistojen tietoturvan pitää olla kunnossa tavallisia rikollisia vastaan. Jos Venäjän valtio suorittaa kyberhyökkäyksiä, luo hämmennys ja sekasorto myös otollisia tilanteita perinteiseen kiristystarkoituksessa tehtävään rikollisuuteen. Mahdollista on, että osin samat tahot ajavat Venäjän poliittista agendaa ja keräävät siinä sivussa rahaa rikoksen keinoin.
Taloushallintoliitto on korostanut jäsenvaatimuksissaan tietoturvan merkitystä. Jäsentarkastusten yhteydessä täytettävään itsearviointilomakkeeseen (linkki jäsensivuille, vaatii kirjautumisen) on kerätty tietoturvan kannalta keskeisiä toimintoja, sovittavia asioita sekä teknisiä vaatimuksia. Niiden tulee kerta kaikkiaan olla kunnossa sekä Venäjän että tavallisen kyberrikollisen vuoksi. Ja myös ihan tavallisia vahinkoja ja laiminlyöntejä varten asiakasyritysten ja näiden työntekijöiden vuoksi.
Tilitoimiston kriittiset palvelut
Tilitoimistojen tarjoamien palvelujen merkitys yhteiskunnan toimivuuden ja huoltovarmuuden kannalta on ymmärretty julkishallinnossakin. Tilitoimistoalan sisälläkin ollaan ehkä oltu turhan vaatimattomia siitä, kuinka tärkeää osaa tilitoimistot hoitavat suomalaisessa arjessa. Listaan alle neljä tilitoimistojen keskeistä palvelukokonaisuutta:
- Juoksevan kirjanpidon hoito ja tilinpäätösten valmistelu
- Pk-yritysten laskutuksen ja maksuliikenteen hoito
- Veroilmoittaminen ja verojen keruu julkisen vallan puolesta
- Palkanlaskenta ja maksatus
Olen käynyt keskusteluja muutamien valtionhallinnon edustajien kanssa näiden palvelujen kriittisyydestä poikkeusoloissa. Oma tulkintani Suomen valtion näkemyksestä näiden kriittisyydelle on:
- Palkanlaskenta ja maksu. Kun ihmiset saavat palkkansa, sujuu arki ja yhteiskunnan rattaat pyörivät
- Pk-yritysten laskutuksen ja maksuliikenteen hoito. Tämäkin on kriittistä.
Kaukana näiden jälkeen tulee verojen keruu. Ilmeisesti Suomen valtion asema rahoitusmielessä on vahva ja Suomen jäsenyys Euroopan keskuspankissa tuo huoltovarmuutta. Ja pahan paikan tullen ei niillä tilinpäätöksillä ole mikään kiire. Suomeksi sanottuna siis tilitoimistojen liiketoiminnan alkukoti ja kova ydin – kirjanpito, yritysverotus ja arvonlisäverojen hoito – saa kriisitilanteessa jäädä yritysten ja työntekijöiden taloudenhoidon jalkoihin.
Tilitoimistojen resilienssi
Sana resilienssi on tullut meille tutuksi viime aikoina. Kielikellon mukaan termi on alun perin psykologian ammattitermi, joka tullut osaksi yleiskieltä. Se tarkoittaa kriisinkestävyyttä. Tilitoimistoissa resilienssi tarkoittaa sitä, kuinka menestyksekkäästi ja kuinka pitkään palvelua voidaan tuottaa kriisioloissa. Jokainen voi pohtia tätä arkijärjellään.
Jos tilitoimiston konttori menee käyttökelvottomaan kuntoon, voivat pilvipalvelukirjanpitäjät useimmiten hoitaa hommat kotoa tai kesämökiltä. Tätä on opeteltu yli kaksi vuotta. Ja jos kirjanpitoa tehdään pelkällä pc:llä ilman pilveä, voidaan pc ja mapit napata syliin ja ajaa kotiin jatkamaan hommia. Eli tiettyyn rajaan saakka resilienssiä on. Mutta jos netti kaatuu laajemmin tai pankkien tietoliikenne katkeaa tai verkkolaskuoperaattorien toiminta keskeytyy tai pilvipalveluohjelmistot eivät toimi, niin kyllä se työnteko useimmilla mahdottomaksi menee. Eli aika lailla tilitoimistoissakin seistään tai kaadutaan yleisen tietoliikenneinfrastruktuurin mukana.
Miettikää toimintamalleja kriisitilanteisiin
Eri tilitoimistoilla ja yhden tilitoimiston sisälläkin on erilaisia toimintamalleja. Kirjanpitoa ja palkkoja saatetaan hoitaa:
- pilvipalveluohjelmistoilla
- omassa lähiverkossa pyörivillä ohjelmistoilla työasema-palvelinympäristössä
- yksittäisellä pc:llä
Näissä malleissa on kaikissa kriisinkestävyyden näkökulmasta omat haasteensa ja ratkaisukeinonsa. Ei olisi pahitteeksi, että tilitoimistossa mietittäisiin vaikka koko porukan voimin, mitä voidaan tehdä ja mitä ei voida tehdä seuraavissa tilanteissa:
- toimiston Internet-yhteys katkeaa pariksi päiväksi
- maksuliikenne yhteen tai useampaan pankkiin katkeaa pariksi päiväksi
- verkkolaskut lakkaavat kulkemasta
- yksi tai useampi pilvipalveluohjelmisto ei ole käytössä
- toimiston tietokoneet menevät jumiin kyberhyökkäyksen vuoksi.
Miten asiakaskuntaa tiedotetaan? Mitä toimia voidaan tehdä, jotta osa palveluista voisi jatkua? Mitkä tärkeät palvelut jäävät väkisinkin tekemättä? Mitä ei kiireellisiä töitä lähdetään tekemään, jotta toimintaolosuhteiden palauduttua normaaliksi voidaan keskittyä täysillä kriittisimpiin rästihommiin.
Jos palkat tai ostolaskut jäävät maksamatta?
Ohjeita ja lisätietoja (vain jäsenille)
Tietoturvan ja tietosuojan kartoitustyökalu (lataa Excel-lomake)
Tietoturvakoulutuksen tallenteet (à kesto n. 1 tunti):
- Mistä tietoturva koostuu? Timo Haapavuori Katso koulutuksen tallenne
- Tietoverkot, palvelimet, ICT-kumppanit, Timo Haapavuori Katso koulutuksen tallenne
- Tietokoneet, mobiililaitteet, sähköposti, salasanojen hallinta, henkilöstö, Timo Haapavuori Katso koulutuksen tallenne
- Rahanpesu, tietosuoja ja asiakassuhteen hoito, Janne Fredman Katso kouluksen tallenne
Kaikesta valmistautumisesta huolimatta voi tulla vastaan tilanne, jossa palkat ja yritysten ostolaskut jäävät maksamatta. Jos netti ei toimi tai pankkien maksuliikennepalvelut ovat alhaalla, ei maksuliikennettä saada mitenkään hoidettua harvoja poikkeuksia lukuun ottomatta. Näitä poikkeuksia ovat esimerkiksi huoltovarmuuden kannalta keskeiset suuryritykset, jotka ovat asiaan valmistautuneet sekä ehkä myös mikroyritykset, jos pankkiautomaateista saa käteistä.
Olen vakuuttunut, että tällaisissa poikkeusoloissa julkishallinto reagoi tilanteeseen ripeästi ja varmistaa lainsäädännöllä tai viranomaismääräyksin, että palkansaajan tai yritysten ei anneta tilanteesta aiheetta kärsiä. Eli käytännössä esimerkiksi perintätoimeen ja maksuhäiriömerkintöjen tekemiseen tulee tilapäisiä rajoituksia. Kääntöpuolena tietysti seuraa kriisin eskaloituminen, koska saamisiaan odottavilta yrityksiltä jää rahaa saamatta ja niiden kassatilanne saattaa kriisiytyä.
Force majeure
Suuret palveluyritykset ovat sopimuksissaan sitoutuneet tuottamaan asiakkaille palvelua, vaikka taivaalta sataisi niskaan tulta ja tulikiveä ja maa olisi heinäsirkkojen peitossa. Ne ovat varautuneet palvelun jatkuvuuteen tietokantojen tuplaamisilla eri konesaleihin, useilla Internet-yhteyksillä, varakonejärjestelmillä, vesipumpuilla ja työsopimusten lausekkeilla.
Tavallisten tilitoimistojen näkökulmasta esimerkiksi pankkien maksupalvelujen tai pilvipalveluna toimivien palkka- ja kirjanpito-ohjelmistojen pitkäaikainen kaatuminen on käytännössä force majeure eli ylivoimainen este. Tämä tilanne ei sitä paitsi koskisi yksittäistä tilitoimistoa vaan laajasti koko kenttää. Samoja pankkeja ja samoja ohjelmistojahan Suomessa käytetään.