Siirry sisältöön

Alkuvuoden 2016 kyberuhkat ja niiltä suojautuminen

25.08.2016 | Kunta- ja sotepäättäjät | Marko Ruotsala


Vuoden 2016 ensimmäistä puolikasta värittivät erilaiset kyberuhkat, joita on käsitelty näkyvästi myös mediassa. Uhkat ovat muuttuneet amatöörien puuhastelusta vakavasti otettavaksi rikollisuudeksi. Arvioiden mukaan tässä rikollisuuden muodossa liikkuu jo enemmän rahaa kuin huumebisneksessä.

Näyttävästi esillä koti- ja ulkomaisessa mediassa ovat olleet kiristyshaittaohjelmat. Kiristyshaittaohjelmat ovat totisinta totta myös kotimaassa erilaisilla toimijoilla. Kiristyshaittaohjelma voi tietoturvakontrollit läpäistyään aiheuttaa vakavia seurauksia liiketoiminnalle. Kotona todennäköisesti harmittaa, kun vuosien ajan kootusta perheen kuva-albumista vaaditaan vaikkapa tuhannen euron lunnaita. Mikäli varmistuksia ei ole olemassa ja tietojen menetys ei tule kyseeseen, tulee maksaminen helposti mieleen. Maailmalta ja kotimaasta on tullut tietoon esimerkkejä tapauksista, joissa yritykset ovat maksaneet kiristäjille. Ulkomainen kiristäjä ei luultavasti ole tietoinen siitä, että Suomalainen julkishallinto ei voi kiristäjille maksaa, ja näin myös julkishallinto on potentiaalinen kohde.
"Haittaohjelmatartunnan aikaansaaminen on erittäin helppoa. Tähän tarvitaan vain yksi heikkous uhriksi joutuvan tahon ICT-ympäristössä, tai erityisesti inhimillisessä toiminnassa."

Haittaohjelmatartunnan aikaansaaminen on erittäin helppoa. Tähän tarvitaan vain yksi heikkous uhriksi joutuvan tahon ICT-ympäristössä, tai erityisesti inhimillisessä toiminnassa. Olen itse tutustunut teoriatasolla ja käytännössä erilaisten haittaohjelmien toimintaan noin parinkymmenen vuoden aikana. Alkukesästä järjestimme sisäisen Istekin turvallisuuspalveluiden koulutustilaisuuden, jossa ns. ”valkohattu hakkerin” johdolla ”kädet savessa” testattiin kuinka helppoa tietoteknisten laitteiden haltuunotto ja esim. vakoileminen on. Tähän ei edes tarvita huipputason ohjelmointikykyä, eikä oikeastaan enää syvällistä teknistä osaamistakaan. Olen toiminut jo kohta kymmenen vuotta muissa kuin syvällisissä tietoteknisissä työtehtävissä. Tämä ei kuitenkaan estänyt minua ottamassa haltuun työasemia, palvelimia ja palomuureja yleisesti internetistä saatavilla työkaluilla. Ilmaisilla tai hyvin edullisilla työkaluilla, joita esimerkiksi eri hakkeriryhmät kauppaavat voidaan saada merkittävää haittaa aikaiseksi niin yksityishenkilöille, yrityksille, julkishallinnolle ja kaikkialle muuanne, minne vaan on olemassa verkkoyhteys. Toisaalta edes verkkoyhteyttä ei tarvita ujuttamaan sopiva haittaohjelma uhrin verkkoon. USB-muistitikku tai saastunut asennusmedia riittää tartuttamiseen.

Alkuvuoden aikana haittaohjelmien levityskeinoista tutuiksi on tullut mm. ns. Watering Hole, jossa käyttäjä houkutellaan saastuneelle hyvämaineiselle sivulle, joka jakaa selaimen kautta haittaohjelmia. Näin tapahtui alkuvuodesta tunnetun kotimaisen uutissivuston tapauksessa, jota olimme aktiivisesti Istekissä selvittämässä ja raportoimassa. Toinen erittäin yleinen levityskeino ovat sähköpostin mukana tulevat liitteet ja linkit. Viattoman oloinen pdf tiedosto voi sisältää haittaohjelman, jonka asentamisesta ei käyttäjä tiedä yhtään mitään. Haittaohjelmat pyrkivät pysymään salassa, osa loputtomasti, osa siihen saakka kunnes esim. käyttäjän tiedostojen ja verkkolevyjen salaus on valmiina. Perinteisille virustorjuntatuotteille uusia tuntemattomia haittaohjelmia levitetään yhä enenevissä määrin, joten tähän uhkaan vastatakseen täytyy ottaa käyttöön uudenlaisia analysointi- ja heuristiikkamenetelmiä. Kolmas klassinen tapa levittää haittaohjelmia, tai tehdä vielä huomattavasti vakavampia rikoksia on ”sähköpostilaatikon lisätila” tai muu vastaava, jossa käyttäjä houkutellaan aidon näköiselle ”tukisivulle”. Sivulla houkutellaan antamaan omat käyttäjätunnukset esimerkiksi ”saadakseen lisätilaa sähköpostilaatikkoon”.

Myös kohdistetut hyökkäykset ja haittaohjelmat ovat nykypäivänä yleistyneet merkittävästi. Kohdistetussa hyökkäyksessä muodostetaan kuva kohteen organisaatiorakenteesta ja vastuuhenkilöistä. Vastuuhenkilöille kohdistetaan tuntematon haittaohjelma, jonka avulla päästään ajallaan haluttuun lopputulokseen esim. liikesalaisuuksien varastamiseen.

EU:n uusi yleinen tietosuoja-asetus kiristää rekisterinpitäjien vastuuta henkilötietojen suojaamisessa monin eri tavoin, kuten asettamalla näyttövelvollisuuden tietojen asianmukaisesta suojaamisesta. Tietosuoja-asetuksen myötä kansallinen tietosuojaviranomainen voi määrätä hallinnollisen sakon laiminlyönneistä. Sakon suuruus voi olla enintään 20M€ tai 4% yrityksen kansainvälisestä liikevaihdosta.

Nykyiset kyberuhkat ja kiristynyt säätely uhkasakkoineen voi tuntua organisaatioiden vastuuhenkilöistä melkoiselta taakalta. Kuitenkin jos organisaatiossa tiedostetaan nykypäivän vakavat uhkakuvat, tietosuoja-asetuksen kiristyneet vaatimukset, organisaation vastuu ja vastuuhenkilöt, niin ollaan jo pitkällä menossa oikeaan suuntaan.
"Tietoturva- ja tietosuojaprosessit ovat yrityksen riskienhallinnan työkaluja ja mm. lainmukaisuuden varmistamisen työkaluja."

Tietoturva- ja tietosuojaprosessit ovat yrityksen riskienhallinnan työkaluja ja mm. lainmukaisuuden varmistamisen työkaluja. Tietoturva- ja tietosuoja vaativat syvällistä erikoisosaamista, jota harvalla organisaatiolla on itsellään. Syvällinen kyberturvallisuus- ja tietosuojaosaaminen ovat sellaisia erikoisosaamisalueita, joiden osaajia kotimaisesti ja kansainvälisesti on huomattavasti vähemmän, kuin tarvetta olisi. Tämä osaamisvaje tulee pahenemaan lähivuosina ja organisaatioiden on hyvin hankala saada osaajia itselleen. Erityisen harvinaista on kyberturvallisuus ja tietosuojaosaaminen yhdistettynä liiketoimintaosaamiseen. Liiketoimintaan ja henkilötietoihin kohdistuvat kyber- ja tietosuojariskit on osattava tunnistaa ja priorisoida oikein. Ilman asianmukaista riskienhallintaa on hyvin hankalaa valita ne kaikkein vaikuttavimmat, tärkeimmät ja kustannustehokkaat tietoturvakontrollit.
"Tuotamme kokonaisvaltaisia turvallisuuspalveluita ja mitoitamme turvallisuusratkaisut asiakkaan kanssa yhdessä tehtyyn riskiarvioon perustuen."

Istekki on ottanut yhdeksi strategiseksi kehityskohteeksi tietoturvan tietosuojan, sekä perustanut alkuvuodesta turvallisuuspalvelut tarjoamaan asiakkaillemme asiantuntija-apua Kyberuhkien torjuntaan ja EU:n uuden yleisen tietosuoja-asetuksen voimaantuloon. Tuotamme kokonaisvaltaisia turvallisuuspalveluita ja mitoitamme turvallisuusratkaisut asiakkaan kanssa yhdessä tehtyyn riskiarvioon perustuen. Istekin erityisiä vahvuuksia turvallisuuspalveluissa ovat vankka ICMT(information, communication and medical technology) -osaaminen yhdistettynä asiakkaiden toimialatuntemukseen.

 

Jatkamme astetta syvällisemmin sote- ja kuntasektorien kyberturvallisuus- ja tietosuojakysymysten parissa bloggaamista sekä itseni että Istekin tietoturva- ja tietosuoja-asiantuntijoiden toimesta. Pysy kuulolla!


25.08.2016

|

Kategoriat: Kunta- ja sotepäättäjät

Marko Ruotsala

Marko Ruotsala

liiketoimintapäällikkö, turvallisuus- ja riskienhallintapalvelut

Kirjoittaja on Istekki Oy:n turvallisuus- ja riskienhallintapalvelut liiketoimintapäällikkö. Erityisesti sote-, maakunta- ja kuntasektoreiden riskilähtöinen kyberturvallisuuden kehittäminen, tietoturvanhallintajärjestelmät ja tietosuoja ovat hänen intohimon kohteina.



Jaa sivu somessa:

 

Tietoa blogista

Blogissamme Istekin asiantuntijat valottavat digitalisaation tulevaisuuden näkymiä ja nykytilannetta julkisyhteisöjen ja terveydenhuollon ammattilaisten, päättäjien sekä tietohallinnon näkökulmasta.

 

TUTUSTU KIRJOITTAJIIN