Kyberhyökkäyksestä

Julkaistu: 03.04.2023

Aiheet: . Uutiset

Suurin osa Lemonsoftin asiakkaista pystyy nyt käyttämään palveluitaan normaalisti – osa asiakasympäristöistä rakennetaan vielä uudelleen kyberhyökkäyksen takia

Viikko sitten lauantaina 25.3. ohjelmistotalo Lemonsoftiin kohdistui kiristysohjelmahyökkäys, mikä sai yrityksen sulkemaan varotoimenpiteenä palvelimensa. Maanantaihin mennessä puolet asiakasympäristöistä oli saatu palautettua. Palvelimien sululla ja uudelleenkäynnistyksellä oli suora vaikutus 2 200 asiakkaaseen. Asiakkaiden tietoja ei ole vuotanut hakkeriryhmän hyökkäyksessä ulospäin. Asiakastietojen palautukset ovat edenneet suunnitellusti aikataulupaineesta huolimatta.

Viikko hyökkäyksen jälkeen Lemonsoft rakentaa vielä uusia asiakasympäristöjä asiakkailleen. Tämä koskee yhteensä noin 50 asiakasta. Jo maanantaina 27.3. Kellokortti-asiakkaat pääsivät kirjautumaan palveluun. Vielä on kuitenkin haasteita ilmennyt esimerkiksi raportointipalveluissa ja yksittäisissä kirjautumisissa, joita selvitellään parhaillaan. Perjantaina 31.3. lähes 90 prosenttia kaikista asiakasympäristöiden palvelimista olivat jo ylhäällä.

– Suljimme alussa varotoimena kaikki palvelimet, vaikka näyttikin siltä, että hyökkäys kohdistui suppeaan joukkoon asiakkaita, sillä emme halunneet vaarantaa muitakin asiakkaita. Asiakastietoja ei hyökkäyksessä näytä lokitietojemme mukaan vuotaneen ulospäin, kertoo Lemonsoftin tietohallintojohtaja Tuukka Karttunen.

”Haluamme olla läsnä asiakkaalle kriisitilanteessakin”

Asiakaskokemusjohtaja Janika Vilposen mukaan asiakkaiden tukipyyntöjä on tullut hyökkäyksen jälkeen noin 1 700 viikon aikana, mikä vastaa lähes kuukauden keskimääräistä tukipyyntömäärää.

Lemonsoftille tärkeintä on ollut varmistaa, että asiakkaiden kannalta tietojen palautuksissa ja ohjelmien käyttöönotossa edetään turvallisesti: tietohallinnolle on annettu työrauha palvelimien palauttamiseen, mahdollisten ongelmatilanteiden ratkomiseen ja uusien ympäristöjen rakentamiseen.

Väliaikatietoja on annettu asiakkaille aktiivisesti julkisessa häiriötiedotekanavassa, puhelimitse ja uutiskirjeitse. Vaikka asiakkaille on viestitty aktiivisesti, yksittäisiin pyyntöihin ei ole pystytty aina vastaamaan asiakaskunnan laajuuden vuoksi:

– Palvelimien sulku koski suoraan 2 200 asiakasta ja epäsuorasti 10 000 asiakasta asiakkaiden tilitoimistot mukaan lukien. Haasteeksi asiakasviestinnässä muodostui yksilölliset tarpeet: asiakkaita kiinnostaa, milloin heidän ohjelmistonsa saadaan käyttöön, eikä tätä vastausta ole aina pystytty antamaan, kommentoi Lemonsoftin toimitusjohtaja Kari Joki-Hollanti.

Lemonsoftin yleinen linja heti alusta asti oli kuitenkin olla asiakkaalle läsnä, vaikka annettava apu olisikin ollut rajallista.

– Asiakkailla on ollut luonnollisesti huolta, ja osalla oli palkanmaksukin tulossa. Emme piiloudu poteroihimme tai valmiin puhelinnauhan taakse, vaikka meillä ei olisi antaa selkeitä vastauksia. Keskitymme siis kuuntelemaan ja tekemään kaiken voitavamme, Vilponen kertoo.

Salasanat on vaihdettu ja tietoliikennettä tiukennettu

Lemonsoft haluaa tehdä kaikkensa, että jatkossa vastaavaa ei sattuisi. Vielä ei tiedetä, kuinka hyökkäys onnistuttiin tehdä, vaikka konkreettinen tapa tiedetäänkin: asiakasympäristön tunnukseen päästiin hyökkäyksessä käsiksi. Samankaltaisen hyökkäyksen kohteeksi joutui tällä viikolla myös toinen suomalainen ohjelmistotalo, jonka kanssa on arvioitu tilannetta. Kiristyksessä vaadittuja lunnaita ei olla maksamassa, vaan poliisille on tehty rikosilmoitus, Tietosuojavaltuutetulle ilmoitus tietoturvaloukkauksesta ja Kyberturvallisuuskeskukselta on myös saatu arvokasta apua.

Seuraavaksi Lemonsoft on varautunut mahdolliseen kiristysvaateeseen tietojen julkaisun uhalla. Lemonsoft on myös estänyt ulkomailta tulevan tietoliikenteen palvelimilleen.

– Kaikkien asiakkaiden salasanat on luonnollisesti myös vaihdettu. Voimme jatkossa ehdottaa asiakkaillemme kaksivaiheisen tunnistautumisen käyttöönottoa, jotta ainakin käyttäjätunnusten väärinkäytökset voidaan minimoida, Karttunen toteaa.

Viikko on ollut Lemonsoftille pitkä, kun tietohallinto on tehnyt yötöitä asiakkaiden palvelimien pystyyn saamiseksi ja uusien ympäristöjen rakentamiseksi. Kriisitilanne näyttääkin vahvistaneen organisaatiota, jossa uudet tiimit ovat löytäneet toisensa ja kehitelleet ratkaisuja yhdessä.

– Lemonsoftin tärkeä sisäinen viesti työntekijöilleen on ollut, että aiheutunut hyökkäys ei ole kenenkään syy. Haasteita ratkotaan yhdessä kriisitilanteesta syntyneiden uusien tiimien voimin, toteaa Joki-Hollanti.