Etätyö ja pilvipalveluiden käyttö lisäävät IT-hallinnan haasteita. Samaan aikaan verkkorikollisuus kiihtyy ja pienimmätkin yritykset ja organisaatiot ovat hyökkäysvaarassa. Mikä neuvoksi, kun Ransomware 2.0 riehuu?

Etätyön räjähdysmäinen kasvu on laittanut IT-osastot lujille. Aiemmin kaikkien työskennellessä samojen seinien sisällä, koko ympäristö työntekijöiden laitteet mukaan lukien voitiin eristää ulkopuolisesta verkosta.

Nyt kun laitteet seikkailevat työntekijöiden mökkimaisemissa, perinteiset suojausmekanismit eivät anna samaa turvaa, ja hyökkääjille on tarjolla herkkukattaus eri reittejä yritysten järjestelmiin. Pilvipalveluiden lisääntynyt käyttö vielä kasvattaa kompleksisuutta IT-infran kokonaisuudessa.

Tuhannen taalan kysymyksiä ovat: tiedetäänkö yrityksen IT-osastolla mitä henkilöstön laitteilla tapahtuu, onko hyökkääjä päässyt järjestelmiin ja onko väylä jo niin avoin, että hän pääsee tutkimaan aineistoja ja laajentamaan hyökkäyspinta-alaansa.

Pienetkin yritykset ovat rikollisten tulilinjalla ⚠️

Viimeisen vuoden aikana medioissa on ollut esillä kyberhyökkäysten uhriksi joutuneita isoja caseja, kuten Colonial Pipeline, joka joutui pysäyttämään putkilinjaston, jossa kulkee päivittäin noin 380 miljoonaa litraa polttoaineita. Todella massiiviset hyökkäykset suuryrityksiin ovat kuitenkin vain pintaraapaisu, kovien ammattilaisten tekemiä kohdennettuja hyökkäyksiä.

Pinnan alla kuhisee joka hetki valtava määrä hyökkäyksiä, joiden uhriksi eri kokoiset organisaatiot joutuvat. Niistä ei kerrota missään, jolloin syntyy harha, että pienemmissä organisaatioissa ei olisi potentiaalia joutua hyökkäyksen uhriksi.

Valtaosa hyökkäyksistä on täysin opportunistisia iskuja, joita automaation avulla ammutaan joka suuntaan. Kun löydetään haavoittuvuus järjestelmästä tai kalastelusähköpostien kautta reitti organisaatioon sisään, kyberrikollinen aktivoituu ja hän alkaa tutkia tarjolla olevaa apajaa. Jokaisella yrityksellä on jotain rahan arvoista suojattavaa tietoa, ja raha on yleensä hyökkääjien ykkösmotiivi.

Tietomurto havaitaan yleensä vasta 2–3 kuukauden kuluttua hyökkäyksestä

Teimme F-Securella viime vuonna Euroopan laajuisen tutkimuksen, jossa oli mukana noin 2000 organisaatiota. Sen mukaan 68 % tutkimukseen osallistuneista havaitsi organisaatioonsa kohdistuneita kyberhyökkäyksiä viimeisen 12 kuukauden aikana. Tämä luku pitää sisällään vain ne yritykset, joilla on kyky havaita hyökkäykset. Tämän lisäksi tulevat yritykset, jotka eivät tiedä joutuneensa tällaisen uhriksi.

Suurimmalla osalla kyberhyökkäyksen kohteeksi joutuneista yrityksistä tietomurto tulee ilmi vasta 2–3 kuukauden jälkeen tapahtumasta, tai myöhemmin. Voi vain kuvitella, mitä hyökkääjä on kolmen kuukauden aikana ehtinyt tehdä ja kuinka laajalle tiedot ovat levinneet.

”Ramsonware 2.0” eli rikollisten uusin villitys

Viime vuosiin saakka kiristys- ja haittaohjelmahyökkäyksissä (ransomware) hyökkääjät kryptasivat uhrin tietokannan ja järjestelmät, eli estivät uhria pääsemästä tietoihin käsiksi. Jos yrityksen datasta oli varmuuskopiot kunnossa, tarvittava tieto ja toiminnot voitiin palauttaa hyökkäystä edeltävälle tasolle ja jatkaa työtä kohtuullisen pienin vaurioin. Mutta rikollisilta eivät konstit lopu, enää ei kryptaus heille riitä.

Viimeisen reilun vuoden aikana on yleistynyt ”ramsonware 2.0”, nimitys, jonka Mikko Hyppönen on ilmiölle antanut. Siinä kryptataan tietokannat kuten ennenkin, mutta myös uhataan julkistaa tiedot verkossa.

Tiedot laitetaan jakoon yleensä Tor-verkon kauppapaikoilla, mutta myös julkisella puolella voidaan jakaa uhrien hyvinkin luottamuksellisia tietoja. Näillä uhreja sitten kiristetään, eli ”jos et maksa 2 miljoonaa euroa lunnaita, me julkistamme nämä tiedot”.

Tämä kiristysmuoto on yleistynyt merkittävästi, sillä tietojemme mukaan vuonna 2019 vain yksi rikollisjärjestö hyödynsi tätä taktiikkaa, mutta vuoden 2020 lopussa näin toimi jo 15 muutakin ryhmää. Vaikka lunnaita ei koskaan pitäisi maksaa, niin valitettavasti sitä tapahtuu.

Mikä neuvoksi, kun aukotonta järjestelmää ei ole?

Tänä päivänä kyberhyökkääjien kyvyt, taktiikat ja tekniikat kehittyvät niin nopeasti, että sataprosenttista suojaa ei kukaan pysty rakentamaan. Lähes kaikissa IT-järjestelmissä ilmenee haavoittuvuuksia ja niiden lukumäärä vain kasvaa. Harvoilla on kykyä korjata ja paikata heikkouksia tarpeeksi nopeasti, joten hyökkääjät pystyvät hyödyntämään tilanteen avatakseen väylän ja ujuttautuakseen haittaohjelmilla sisään.

Paras tapa varautua hyökkäyksiin on pitää havainnointiin ja reagointiin liittyvät palvelut kunnossa:

  1. Varmista näkyvyys IT-ympäristösi tapahtumiin, jotta kykenette valvomaan ja tunnistamaan normaalista poikkeavan käytöksen niin organisaation järjestelmissä kuin työntekijöidenkin laitteissa. Tehokas havainnointiratkaisu havaitsee myös sen, jos joku työntekijöistä vaarantaa tietoturvan ottamalla työkoneella käyttöön epäilyttäviä palveluita, sekä tunnistamaan epäilyttäviä tapahtumaketjuja.
  2. Varmista nopea reagointi. Kun tunnistat poikkeavuudet nopeasti, voit aloittaa niiden tutkimisen ja löytää viat ajoissa. Jos hyökkääjä on saanut pääsyn yrityksen ympäristöön vaikkapa työntekijän sähköpostin kautta, riittävän ajoissa tehty havainto ja reagointi – kuten kyseisen tietokoneen eristäminen verkosta – tukahduttaa hyökkääjän reitin.
  3. Määrittele etukäteen vastuut ja tee selkeät toimintaohjeet hyökkäyksen varalle. Pohtikaa myös, mitä osaamista organisaation sisältä löytyy ja miten tietoturvakumppani voi tukea. Sopikaa etukäteen myös se, miten tiedotus asiakkaille, kumppaneille ja yleisölle hoidetaan ripeästi. Yrityksen tietoturvan ollessa uhattuna, nopea ja oikeanlainen reagointi on avainasemassa. Panikointi tai hätäinen toiminta usein johtaa vain entistä suurempiin ongelmiin ja voi jopa tuhota tutkinnan kannalta arvokasta tietoa.

Jos yritys kyberhyökkäyksen kohteeksi jouduttuaan hoitaa syntyneen tilanteen hyvin, tämä herättää asiakkaissa ja sidosryhmissä luottamusta. Toimimalla vastuullisesti ja miettimällä prosessit kuntoon, hyökkäyksen aiheuttamat haitat voivat jäädä vähäisiksi. Kaikkia kyberhyökkäyksiä on mahdotonta estää ennalta, mutta oikeaoppisella varautumisella vahingot pystytään minimoimaan ja turvaamaan liiketoiminnan jatkuvuus.

Haluatko tietää lisää? Ilmoittaudu mukaan Tietokeskuksen ja F-Securen yhteiseen Tietoturva-aamupäivään ke 1.9. klo 9–11.

Ilmoittaudu tietoturva-aamupäivään

Kuka on Petri Nuojua?

  • Suomen B2B-liiketoiminnan markkinointipäällikkö F-Securella
  • Työskennellyt aikaisemmin pilvi- ja koneoppimisteknologioiden myynnissä sekä markkinointipäällikkönä IBM:llä
  • Koulutukselta kansainvälisen liiketoiminnan ja B2B-markkinoinnin diplomi-insinööri
  • Haluaa tehdä kyberturvasta yritysjohdolle ymmärrettävää