Yritys kyberhyökkäyksen kohteena
Kun kyberrikollinen iskee yritykseen, tilanteen selviämistä edesauttavat valmiiksi suunnitellut toimintamallit ja ennakkoon tehty varautuminen. Tässä kuvitteellisessa tarinassa helsinkiläisyrityksen tuotannon sekoittaa kiristyshaittaohjelma. Mitä kaikkea sitten tapahtuu, ja miten tilanteesta selvitään?
Helsinkiläisessä PK-yrityksessä on iltavuoro täydessä vauhdissa, tuotannon linjoilla automaatiolaitteet ja henkilöstö työskentelevät sulassa sovussa. Kello kahdeksan kahvitunnin jälkeen erään tuotantolinjan tietokone ei lähde normaalisti toimimaan, vaan herjaa entuudestaan vierasta vikakoodia. Muilla linjoilla tuotanto jatkuu iltakymmeneen normaalisti, joten iltavuoro välittää asiasta tiedon työnjohtajalle ja poistuu töistä.
Seuraavana aamuna tuotannon aamuvuorolaisten tullessa töihin sama virhekoodi toistuu kaikilla tuotannon päätelaitteilla. Työnjohtaja soittaa yrityksen omalle IT-palveluntuottajalle, joka alkaa selvittämään asiaa.
Kahdeksalta aamulla johdon sihteeri sekä talouspäällikkö ilmoittavat, että IT-verkossa olevien toimiston työkoneiden näytölle on ilmestynyt kiristysviesti, jossa kerrotaan yrityksen tietojen olevan salausalgoritmin takana. Tiedot voi saada takaisin ainoastaan maksamalla lunnaat kryptovaluuttana annetulle tilille. Tällaista hyökkäystä kutsutaan nimellä kiristyshaittaohjelma (ransomware).
Varaudu ennakkoon
Mikä tahansa yritys voi joutua kyberhyökkäyksen uhriksi. Yleisimmin kyberhyökkäykset kohdistuvat kriittisiin toimijoihin.
On olemassa tekniikoita, joilla internetiä ja siihen kytkettyjä verkkoja koko ajan skannataan ja etsitään haavoittuvuuksia. Näitä tekniikoita on mm. verkon kautta tapahtuva tietojen kalastelu sekä boteilla toteutetut tietomurtokokeilut, joilla rikolliset etsivät heikkouksia tietojärjestelmistä. Tämän vuoksi ennakointi ja suojautuminen on tärkeää.
Murtautuminen yrityksen tietojärjestelmiin saattaa alkaa kuukausia ennen varsinaista hyökkäystä. Aikaisessa vaiheessa voi murtautumisen huomata havainnoimalla poikkeuksia ympäristössä (esim. tilin murto tai kaapattu tunnus).
Hyökkäyksen onnistumiseen vaikuttaa se, onko teknisiä asiantuntijoita paikalla, onko palvelutasosopimuksissa määritelty reagointikyky riittävällä tasolla ja käytössä myös iltaisin ja öisin, ja kuinka hyvin käyttäjät on koulutettu tunnistamaan poikkeamia. Hyvä analyysiohjelma tunnistaa järjestelmän käyttäjien käytöksessä tapahtuvat muutokset, jolloin murrot ja hyökkäykset voidaan torjua nopeasti.
Hyökkääjät käyttävät hyväkseen mm. tietovuodoissa vuotaneita salasanoja, yleisesti käytettyjä salasanoja ja luovat niistä salasanakirjastoja, joilla he yrittävät murtautua alhaisella tietoturvalla varustettuihin kohteisiin.
IT-asiantuntija ilmoittaa, että kaikki yhtiön koneet on kytkettävä pois päältä ja irrotettava verkosta. Yhteistyössä IT-palvelutuottajien kanssa yhteys yrityksen pilvipalvelimeen suljetaan ja yrityksen nimissä tehdään rikosilmoitus poliisille sekä ilmoitus tietoturvaloukkauksesta Kyberturvallisuuskeskukselle. Tässä vaiheessa ei vielä tiedetä, onko mahdollisesti henkilöihin kohdistuneita tietoja joutunut rikollisten käsiin, joten vielä ei tehdä ilmoitusta tietosuojavaltuutetun toimistolle.
Hyökkääjä voi iskeä eri reittejä
Kyberhyökkäys on yleensä kasvoton, opportunistinen ja monesti ulkomailta käsin tehty hyökkäys järjestelmän haavoittuvuutta kohtaan. Yrityksen digitaalisten ympäristöjen segmentointi ja muut suojaustoimet ratkaisevat, kuinka iso osa toiminnasta hyökkäyksessä turmeltuu.
Hyökkäys voi olla tietomurto, kybervakoilua, kiristys- tai huijausviesti tai tietojen kalastelua. Hyökkäys voi kohdistua automaatioon, IoT-järjestelmiin, kauko-ohjattaviin laitteisiin, verkko- tai pilvipalvelimiin tai IT-laitteistoihin. Hyökkäys voi olla myös välillinen eli kohdistua yritykselle palvelua tarjoavaan SaaS-palvelun tuottajaan − esimerkiksi kirjanpitoyritykseen tai pilvipalvelimen ylläpitäjään. Kyberhyökkäyksien motiivina on taloudellinen hyöty. Ukrainan sodan myötä myös kilpailijan tietojärjestelmien tuhoaminen on noussut relevantiksi uhaksi.
Maailmanlaajuisesti havaittuja kyberhyökkäyksiä voi seurata osoitteessa: https://threatmap.checkpoint.com/
Seuraavien tuntien aikana IT-asiantuntija käynnistää yrityksen johdon tuella poikkeamahallintasuunnitelman mukaiset toimenpiteet:
- kutsuu koolle kriisiryhmän, jonka kokoonpano on valmiiksi suunniteltu
- kriisitiimi aloittaa sisäisen ja ulkoisen viestinnän toimivia kanavia pitkin (SoMe, tekstiviestit, LinkedIn, verkkosivut, SMS-palvelu ym.)
- ottaa yhteyttä teknisen tutkinnan palveluntarjoajaan
- asettaa tavoitteet teknisen tutkinnan suorittajalle. Tavoitteena voi olla esim. hyökkäyksen kulun selvittäminen, tietovuodon laajuuden ja laadun selvittäminen, korjaavat toimenpiteet järjestelmiin, todisteiden kerääminen viranomaisten tutkintaa varten, raportointi ja/tai ympäristön turvallinen palautus.
Kyberhyökkäyksen aiheuttamat kustannukset voivat olla mittavat
Kyberhyökkäyksen selvittäminen viranomaistutkintoineen ja järjestelmän palautuksineen voi olla pitkä, päiviä tai jopa viikkoja kestävä prosessi. Kustannukset voivat nousta kymmenistä tuhansista aina satoihin tuhansiin euroihin. Häiriön kesto sekä rahallinen menetys on minimoitavissa hyvällä varautumisella eli tekemällä suojaustoimenpiteitä ja mahdollisesti suojautumalla vaikutuksia vastaan vakuutuksella.
Markkinoilla on useita kybervakuutuksia tarjoavia yrityksiä. Vakuutuksen saadakseen yrityksen tietoturvatason tulee olla riittävän hyvä ja vakuutusyhtiöt tekevät vakuutusta hakevalla yrityksille riskienkartoituksen. Vakuutuksesta korvataan yleensä asiakkaille koituvat vahingot, ilmoitus- ja tutkintakulut, tiedotuksen kuluja sekä oikeudenkäyntiin liittyviä kuluja. Vakuutus saattaa olla pienelle organisaatiolle kannattamaton korkean kustannuksen takia. Vakuutuksen sijaan tulisi tällöin panostaa järjestelmien varmuuskopiointiin sekä ennakointiin digitaalisessa turvallisuudessa.
Yrityksen henkilöstö on alkuun tilanteesta hämillään. Tilanteesta päätetään kriisitiimin toimesta viestiä avoimesti, jotta mahdollinen mainehaitta ei kasva salailun vuoksi. Kriisitiimin esityksestä yrityksen johto tekee päätöksen, ettei kiristäjän vaatimuksiin suostuta. Maksamalla vaaditut lunnaat yritys rahoittaisi seuraavia hyökkäyksiä ja täten parantaisi rikollisen toiminnan kannattavuutta.
Tekninen selvitys saadaan nopeasti käyntiin minikilpailutuksella, ja hankinnan tueksi kirjoitetaan perustelumuistio, jossa riskiarvio on liitteenä. Tekninen selvitys keskittyy alussa tilannekuvan luomiseen, ns. selvittämään hyökkäyksen point-of-entry:n kartoittamiseen ja sen jälkeen varmistamaan ympäristön eheyden.
Yritys pyrkii alusta asti tukemaan teknistä selvitystä suorittavaa palveluntarjoajaa sekä poliisia toimittamalla riittävät tiedot tutkintaa varten sekä antamalla hyökkäystä edeltäneen tilannekuvan palveluntarjoajan käyttöön. Hyökkäyksen aikaan ei yrityksen palveluntarjoajilla ole ollut tiedossa tunnistettuja nollapäivähaavoittuvuuksia. Tutkimuksessa selviääkin, että haavoittuvuuden on todennäköisesti aiheuttanut käyttäjän heikko salasana tai esimerkiksi aktiivilaitteen, kuten reitittimen, oletussalasanan vaihtamatta jättäminen. Heikkouden kautta hyökkäys on edennyt tunkeutumalla ja luomalla järjestelmään jalansijaa hyökkäystä varten.
Kiristykseen ei kannata suostua
Kyberhyökkäys voi alkaa nopeasti parissa tunnissa (nollapäivähaavoittuvuus), tai kestää kuukausia. Hyökkäys käynnistetään, jonka jälkeen palvelin, halutut tiedot tai muu kiristyksen kohde ympäristössä salataan salausalgoritmilla ja tiedot pyritään usein myös kaappaamaan. Kohdeorganisaatiota kiristetään ja vaaditaan lunnaita purkuavainta vastaan. Kiristykseen ei kannata suostua. Kiristykseen suostuminen saattaa johtaa lisäkiristykseen esim. tietovuodon julkisuuteen viemisellä tai tietojen vuotamisella TOR-verkkoon. Tietoja saatetaan myös käyttää lunnaiden maksamisesta huolimatta.
Kyberrikollisia saadaan kiinni maltillisesti, ja oikeusprosessia sekä korvauksia voi joutua odottamaan pitkään. Suomessa hyökkäyksistä ilmoitetaan ja saadaan dataa keskimääräistä vähemmän muihin Euroopan maihin verrattuna. Kaikki ilmoitukset palvelevat yhteiskunnallista tilannekuvaa sekä sektorikohtaista dataa, jolloin rikollisten kiinnisaaminen helpottuu. Avoimuus saattaa kannattaa myös sopimusehtojen vuoksi. Mikäli sopimusehdoissa on kyberhyökkäys huomioitu ylivoimaisena esteenä (force majeure), on helpompi neuvotella tilanteen aiheuttamista ongelmista asiakkaiden kanssa.
Yrityksellä sekä ulkopuolisella teknistä selvitystä suorittavalla palveluntarjoajalla kuluu useita päiviä tietomurron kartoittamiseen. Tutkinnassa ei saada näyttöä, että henkilötietoja tai asiakkaiden tietoja olisi vuotanut hyökkääjälle. Henkilöstöä suositellaan varmuuden vuoksi asettamaan oma luottokielto Suomen Asiakastieto Oy:lle sekä Bisnode Finland Oy:n luottotietorekistereihin. Oma luottokielto estää myös muita ottamasta velkaa kiellon tekijän henkilöllisyydelläsi tai nimiin mikäli henkilötietoja on päässyt vuotamaan.
Hyökkäysten selvittäminen haastavaa
Hyökkäyksen alkuperän selvittäminen on haastavaa ammattilaisillekin. Yleensä epäillystä saadaan melko nopeasti luotua jonkinlainen kuva, joskin hyökkääjät käyttävät hyvin monimutkaisia tekniikoita piilotellakseen toimintaansa. Hyökkääjät saattavat hyödyntää muissa maissa olevia laitteita, bottiverkkoja jne. Välillä kyberhyökkäyksen vaikutukset yrityksen toimintaan voivat olla merkittäviä.
Yrityksen tietojärjestelmät sekä laitekanta palautetaan toimintaan kahden viikon kuluttua hyökkäyksestä.
Tässä tapauksessa tappiota yritykselle syntyi paitsi henkilöstökuluissa ja ostopalveluissa myös tuotannon seisokin vuoksi. Tilanne aiheutti tilauksien myöhästymistä sekä sidosryhmien ja henkilöstön henkistä kuormitusta. Luottamus yrityksen tietojärjestelmiin heikkeni pitkäksi aikaa. Yritys tekee korjausliikkeenä ulkopuolisen tietoturvatestauksen, päättää ottaa tietoturvaharjoitukset osaksi yrityksen arkea sekä tihentää tietoturvakartoituksien taajuutta. Yritys päättää jatkossa tehdä aiempaa tiiviimpää yhteistyötä palveluntarjoajien kanssa erityisesti haittaohjelmien ja analyysityökalujen havainnointikyvyn parantamiseksi.
Yritys myös budjetoi henkilöstön IT-koulutuksiin lisää rahaa. Yrityksessä otetaan aiempaa selkeämpi linja yksilön vastuiden selkeyttämiseksi ja luodaan aiempaa paremmat ohjeet henkilöstölle. IT-arkkitehtuurissa yritys vähentää hallintatunnuksien jakamista ja luo selkeän päivitysprotokollan ohjelmistoille. Yrityksessä lähdetään myös rakentamaan IT-havainnoille omaa kanavaa sekä avointa kulttuuria asian ympärille.
Kirjoittajat:
Valmiuspäällikkö Antti Nyqvist, Teknologiateollisuus Ry. Antti toimii Digipoolin poolisihteerinä.
Asiantuntija Taina Kallus toimii jätealan huoltovarmuustoimikunnan sihteerinä.
Juttua varten on haastateltu erityisasiantuntija Jere Finneä Kyberturvallisuuskeskuksesta.
Lisätietoa kyberturvallisuudesta:
Kyberturvallisuuskeskus tarjoaa yrityksille tietoa, työkaluja ja neuvontaa kyberturvallisuuden kehittämiseen
Huoltovarmuusorganisaation Digipoolin tuottamat selvitykset ja oppaat: