Compliance-teatteri vs. Tietoturva

Compliance-teatteri on tietoturvaa joka näyttää hyvältä auditissa, mutta ei pysäytä todellista hyökkäystä. Auditin läpäisy ja tietomurron selättäminen ovat kaksi eri asiaa. Kolme tunnettua tapausta osoittavat tämän kalliilla hinnalla, ja samat virheet toistuvat tänään suomalaisissa pk-yrityksissä, jotka rakentavat NIS2-vaatimustenmukaisuutta.

Mitä compliance-teatteri tarkoittaa käytännössä

Vaatimustenmukaisuus luo rakennetta, vastuuta ja yhteisen kielen riskistä puhumiseen. Se on aitoa arvoa. Mitä se ei kuitenkaan luo automaattisesti, on turvallisuus. Tätä eroa kutsutaan compliance-teatteriksi: organisaatio optimoi vaikutelmaa turvallisuudesta sen sijaan että optimoisi todellista suojaa.

Ilmiön havainnollistamiseksi kannattaa katsoa kolmea tapausta, jotka kyberturva-alalla tunnetaan ulkoa. Niistä mikään ei johdu hakkereiden nerokkuudesta. Kaikki kolme johtuvat siitä, että turvallisuusohjelma oli viritetty läpäisemään auditin, ei pysäyttämään hyökkääjää. Riskistrategi Rafat Yazdani kokosi nämä esimerkit huhtikuussa 2026 julkaistuun esseeseen ”Three breaches that had nothing to do with hackers and everything to do with compliance theater”, ja hänen rajauksensa on niin osuva, että se kannattaa tuoda myös suomalaiseen keskusteluun. Linkki alkuperäiseen kirjoitukseen on tämän tekstin lopussa.

Target 2013: PCI-sertifioitu, silti murrettu

Yhdysvaltalainen vähittäiskauppaketju Target oli muodollisesti mallioppilas. PCI-DSS-sertifikaatti voimassa, valvomossa parhaat työkalut, mukaan lukien FireEye-haittaohjelmien tunnistus. Ja silti hyökkääjät veivät 40 miljoonan korttitiedon ja 70 miljoonan asiakkaan tiedot.

Mielenkiintoinen yksityiskohta: valvontatyökalut havaitsivat juuri sen haittaohjelman, joka varasti maksukorttidataa kassajärjestelmistä reaaliajassa. Hälytykset tulivat. Ne luokiteltiin matalan prioriteetin ilmoituksiksi ja ohitettiin. Syynä ei ollut välinpitämättömyys, vaan se että ohjelma oli rakennettu vastaamaan kysymykseen ”onko kontrolli paikallaan”, ei kysymykseen ”toimiiko kontrolli oikeaa hyökkäystä vastaan”.

Opetus: vaatimuskehys kertoo mitä kontrolleja pitää olla, mutta ei sitä toimivatko ne sinun ympäristössäsi sinun hyökkääjiäsi vastaan. Se kuilu on hyökkääjien koti, ja siitä compliance-teatteri tunnistetaan.

Pk-yritysten kannalta tämä on opetuksena nöyryyttävämpi kuin miltä se kuulostaa. Vaikka yrityksesi ei käytä FireEye-luokan järjestelmiä, sinulla on melkein varmasti samanlaisia hälytyksiä jossakin. Microsoft Defenderissä, palomuurissa, sähköpostin roskapostisuodattimessa tai pilvipalveluiden kirjautumislokeissa syntyy päivittäin signaaleja, jotka erottavat normaalin liikenteen poikkeamasta. Kysymys on, lukeeko niitä joku, vai kerääntyvätkö ne lokiin jota kukaan ei avaa.

Vetonaulan helpdesk tekee juuri tätä. Se ei ole pelkkä tukipuhelin, joka vastaa alle yhdeksässä sekunnissa käyttäjien päivittäisiin atk-ongelmiin, vaikka sekin kuuluu palveluun. Sama helpdesk toimii myös tietoturvakeskuksena eli SOC:na ja seuloo yrityksenne ympäristöstä tulevia hälytyksiä jatkuvasti. Tällä tavalla mahdolliset uhkatilanteet tunnistetaan ajoissa ja riskit eivät ehdi realisoitua.

Uber 2016: peittely-yritys oli kalliimpi kuin itse vuoto

Uberin tapauksessa hyökkäys itsessään oli rutiinia. Tunnukset löytyivät koodirepositoriosta, ja 57 miljoonan käyttäjän ja kuljettajan tiedot vuotivat. Tällaisia tapauksia sattuu jatkuvasti.

Erikoiseksi tarinan tekee se, mitä tehtiin sen jälkeen. Uber maksoi hyökkääjille 100 000 dollaria bug bounty -ohjelman kautta ja kirjasi maksun lailliseksi haavoittuvuuspalkkioksi. Tietomurto piilotettiin yli vuoden ajan. Kun se lopulta tuli julki, peittely-yritys aiheutti moninkertaisesti enemmän sääntelyseuraamuksia ja oikeudellisia kuluja kuin alkuperäinen vuoto olisi tehnyt.

Tämä on äärimmäinen esimerkki compliance-teatterista. Turvallisuusfunktio optimoi vaikutelmaa turvallisuudesta, ei itse turvallisuutta. Kysymys ei ollut ”ovatko asiakkaamme suojassa”, vaan ”miten tämä saadaan katoamaan”. Aidossa turvallisuusohjelmassa ilmoittaminen viranomaiselle ei ole uhka, vaan oikea reaktio virheeseen joka pitää korjata.

Pk-yritykselle tästä seuraa konkreettinen neuvo. Tietomurron jälkihoito ei ole asia, jota suunnitellaan vasta murron tapahduttua. NIS2 edellyttää merkittävän poikkeaman raportointia Traficomin Kyberturvallisuuskeskukselle 24 tunnin sisällä, ja tarkemman ilmoituksen 72 tunnin sisällä. Lisäksi henkilötietojen vuotaminen laukaisee GDPR-velvoitteet tietosuojavaltuutetun toimistoon. Käytännössä tämä tarkoittaa, että johdon ja IT-vastuullisten pitää sopia etukäteen kuka soittaa, mihin numeroon, missä vaiheessa ja minkä tiedon kanssa. Lisäksi pitää olla selvillä mihin asiakkaisiin otetaan yhteyttä ja millä viestillä. Kun kalenterissa on lauantai-ilta ja kiristyshaittaohjelma on jo lukinnut tiedostot, on liian myöhäistä alkaa miettiä prosessia.

SolarWinds 2020: kehys ei yksinkertaisesti kattanut hyökkäystä

Kolmas tapaus on toista maata. Hyökkääjät, jotka yhdistettiin venäläiseen valtiollisesti tuettuun ryhmään, pääsivät käsiksi SolarWindsin ohjelmistojen rakennusympäristöön ja istuttivat haitallisen koodin Orion-tuotteen päivityksiin. Päivitykset jakautuivat noin 18 000 asiakkaalle, joukossa useita Yhdysvaltain viranomaisia ja suuria yrityksiä. Koodi oli digitaalisesti allekirjoitettu, kuten jokainen turvallisuuskehys kontrollina suosittelee.

Mikään kehys ei silti pysäyttänyt hyökkäystä. Hyökkäysvektorina oli toimitusketjun kompromissi rakennusvaiheessa ennen allekirjoitusta, eikä tätä skenaariota oltu määritelty kontrolloitavaksi yhdessäkään valtavirran kehyksessä. Kehykset kirjoitetaan tunnettujen hyökkäysten pohjalta. Ne ovat määritelmänsä mukaan jälkijunassa. Riittävän kyvykäs vastustaja löytää ne aukot, joihin kehys ei vielä yllä.

SolarWindsin opetus pk-yritykselle ei ole se, että sinun pitäisi pelätä valtiollisia hyökkääjiä. Opetus on, että toimittajasi turvallisuus on käytännössä sinun turvallisuutesi. Kun ulkoistat kirjanpitojärjestelmän, asiakkuudenhallinnan tai dokumenttihallinnan pilveen, otat samalla heidän hyökkäyspinta-alansa osaksi omaasi. NIS2:n 12 toimenpiteen joukossa on toimitusketjun turvallisuus juuri tästä syystä, ja se on yksi yleisimmin alidokumentoiduista kohdista pk-kentässä.

Compliance-teatterin tunnusmerkit suomalaisessa pk-yrityksessä

Edellä kuvatut tapaukset ovat suuryritysmaailmasta, mutta sama dynamiikka näkyy nyt selvästi NIS2-direktiivin ja Kyberturvallisuuslain vauhdittamassa pk-kentässä. Lain 21 artikla listaa 12 pakollista hallintatoimenpidettä: riskienhallintapolitiikka, häiriönhallinta, toiminnan jatkuvuus, toimitusketjun turvallisuus, tietoturvakoulutus, salaus, pääsynhallinta, ja niin edelleen. Lista on hyvä. Lista ei vain ole tae mistään, jos jokaista kohtaa lähestytään dokumenttina, ei toimintamallina.

Tyypilliset compliance-teatterin oireet pk-yrityksessä näyttävät seuraavilta:

Jokainen kohta voidaan rastittaa auditissa. Yksikään ei pysäytä todellista hyökkäystä. Tämä on compliance-teatterin ydin.

Miten compliance-teatteri vältetään

Vaatimustenmukaisuus vastaa kysymykseen ”täytämmekö standardin”. Turvallisuus vastaa kysymykseen ”olemmeko oikeasti suojassa”. Ne menevät päällekkäin, mutta eivät ole sama kysymys. Organisaatiot jotka kohtelevat niitä samana, oppivat eron yleensä kantapään kautta.

Käytännön ero ei vaadi kehysten hylkäämistä. Se vaatii niiden alistamista. NIS2-lista on perustaso, jonka päälle rakennetaan ohjelma joka kysyy vaikeampia kysymyksiä. Mikä on yrityksemme kriittisin omaisuuserä? Mitä realistisesti tapahtuu jos se vaarantuu? Onko meidän kontrollimme suunniteltu pysäyttämään se uhka, vai pelkästään miellyttämään tarkastajaa?