Sattuu, kun kyberturvallisuus ei ole johdon asia

Paljon on puhuttu siitä, että kyberturvallisuus on tai ainakin että sen tulisi olla johdon agendalla. Myös aikaisempi kirjoitukseni ” Kyberturvallisuus on johdon asia” käsitteli aihetta. Kaikissa organisaatioissa asia ei kuitenkaan vielä näin ole ja joskus se kostautuu – esimerkkinä tästä case Ransomware.

Ransomware eli kiristyshaittaohjelma on ilmiönä hyvin ajankohtainen. Vuoden 2016 aikana aihetta käsiteltiin aktiivisesti medioissa julkitulleiden tapausten yhteydessä. Kohteena eivät aina ole olleet ”perinteiset” tietojärjestelmät, vaan viime vuoden aikana hyökättiin esimerkiksi sairaalajärjestelmiä, sähkön jakelua, televisioita ja autoja vastaan. Suomessakin oli tilanteita, joissa kiinteistöjen lämmitys lakkasi toimimasta tai globaalisti toimivan yrityksen koko tietoverkko oli poissa käytöstä useita päiviä. Kanadasta puolestaan raportoitiin tapaus, jossa sairaalan järjestelmät olivat poissa käytöstä hyökkäyksen takia.

Ransomware on yksi yleisimmin esiintyvä haittaohjelmatyyppi Suomessa ja maailmalla. Sellaiseksi luokitellaan ne haittaohjelmat tai haitalliset verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila – tyypillisesti salaamalla järjestelmän tietosisältö tai ohjausdata – ja saada käyttäjä maksamaan lunnaita järjestelmän toimintakyvyn palauttamiseksi. FBI arvioi, että rikolliset tienasivat yhdellä tuottoisimmista ja yleisimmistä ransomware-ohjelmistoista vuonna 2016 jo lähes miljardi euroa.

Kukaan ei ole turvassa

Moni yritysjohtaja ajattelee, ettei Ransomware kosketa Suomea. Väärin. Vuoden 2016 aikana autoimme useita yrityksiä varautumaan näihin uhkiin tai toipumaan jo tapahtuneiden hyökkäysten seurauksista. Mielenkiintoista on ollut havaita, että sekä hyökkäysten vaikutukset että toipumistoimien monimutkaisuus ja kesto vaihtelevat merkittävästi suomalaistenkin pörssiyritysten kesken. Joissakin näkemissämme tapauksessa toipuminen on kestänyt viikkoja ja vaatinut verkon ja järjestelmien lähes täydellistä uudelleen rakentamista, joskus puolestaan tilanne on saatu normalisoitua tilannearvion, ongelmien rajaamisen ja palautusten jälkeen jo ennen seuraavaa työpäivää.

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta. Yleensä työntekijä on tietoisesti tai tiedostamattaan tehnyt jotakin, mikä on vaarantanut hänen työasemansa turvallisuuden. Toki työasemassa on myös pitänyt olla tietoturvapuutteita, joten vastuu on osittain ollut myös tietohallinnossa. Kyse on voinut olla myös koulutuksen ja tiedon puutteesta.

Ratkaiseva vaihe on siinä, kun tapaus on levinnyt yksittäisestä työasemasta eteenpäin — joko rajoitetusti tai laajalle alueelle. Tässä vaiheessa erot eri yritysten infrastruktuurin turvallisuudessa alkavat tulla esiin: hyvin suojatussa ja ylläpidetyssä ympäristössä hyökkäys ei välttämättä pääse leviämään kovin laajalti, tapaus huomataan nopeasti ja varmistuksiin voidaan luottaa, jolloin palautus hyökkäystä edeltäneeseen tilaan käy suhteellisen helposti.

Joskus sattuu

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu ja sitten sattuu, kun huono tuuri osuu kohdalle.

Pahin tapaus, jonka olemme Suomessa nähneet, johti koko yrityksen globaalin tietoverkon hallinnan ja satojen palvelinten kohtuullisen pitkäkestoiseen menettämiseen. Hyvin työvoima- ja tietointensiivisessä yrityksessä tuhannet työntekijät eivät voineet tehdä töitään useisiin päiviin. Tilanne oli kyseisen yrityksen kannalta erittäin hankala, mutta silti se olisi voinut olla vielä pahempi. Tässä kyseessä olivat ”vain” yrityksen tietoverkko ja liiketoimintakriittisen tiedon sisältävät palvelimet, jotka voitiin kuitenkin kohtuullisella vaivalla ja kustannuksilla palauttaa ja rakentaa uudelleen. Vastaavasti, jos hyökkäys kohdistuu kuluttajan taulutelevisioon tai vastaavaan laitteeseen, voidaan se mahdollisesti palauttaa takaisin tehdasasetuksiin tai korvata laite uudella.

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu

Silloin, kun kaapattuna on sairaalan potilastietojärjestelmät, voimalaitos tai sähkönjakeluverkko, ei uudelleen asennus, palautus varmistuksilta tai palautus tehdasasetuksiin ole mahdollista. Pelissä voivat olla jopa ihmishenget. Näitä haavoittuvaisuuksia useiden maiden hallitukset ja tietoturvaviranomaiset pitävät yhtenä merkittävimmistä uhkista yhteiskuntien toimivuudelle ja huoltovarmuudelle.

Miten varautua?

Kuten muussakin varautumisessa ja tietoturvatyössä asioiden tekeminen etukäteen on avain menestykseen. Järjestelmistä ja ympäristöistä ei tehdä turvallisia ainoastaan toivomalla tai toteamalla, että järjestelmästä rakennetaan turvallinen ja ostamme vain turvallisia ratkaisuja. Tietojärjestelmähankkeissa ja tietotekniikan levitessä kaikkialle yhteiskuntaan, on lopulta lähes kaikissa hankkeissa tietoturvallisuuden ja tietosuojan varmistamiseen varattava merkittävästi entistä enemmän aikaa ja resursseja. Pidemmän päälle se maksaa itsensä nopeasti takaisin.

Ransomware-tapausten osaltakaan suojautuminen ja etukäteen varautuminen ei ole erityisen vaikeaa. Kyseessä on kuitenkin useiden tekijöiden summa. Varautumiseen löytyy lukuisia ohjeita, ja esimerkiksi SANS on julkaissut julkisesti saatavilla olevan ohjeen ”Enterprise Survival Guide for Ransome ware Attack”. Tämän ohjeen kirjoittamiseen on osallistunut KPMG:n asiantuntijoita. Ohje on suhteellisen pitkä, joten tiivistin sen keskeisen sisällön seuraaviin yhdeksään kohtaan, jotka on tehtävä ENNEN kuin vahinko pääsee tapahtumaan.

  1. Laita perusasiat kuntoon: selkeät roolit ja vastuut, hyvin ylläpidetyt ja tietoturvatestatut järjestelmät
  2. Muista järjestelmien ja datan varmistukset
  3. Käytä Windows Volumy Shadow Copy -toiminnallisuutta
  4. Kouluta henkilöstö tunnistamaan riskit ja toimimaan oikein
  5. Huolehdi järjestelmien tietoturvapäivityksistä — myös muiden kuin toimistojärjestelmien
  6. Hanki hyvä tietoturvatiimi tai -kumppani
  7. Jaa kirjoitusoikeuksia rajoitetusti
  8. Jaa käyttöoikeuksia rajoitetusti
  9. Huolehti monikerroksellisesta suojauksesta (esim. verkossa)

Erilaiset kiristysohjelmat ja niihin liittyvät hyökkäykset tulevat jatkossakin olemaan riesanamme. Kyse on rikollisille erittäin tuottoisasta toiminnasta.
Suojautumiseen ei ole olemassa yhtä patenttiratkaisua eikä järjestelmien aukoton suojaaminen edes ole mahdollista. Suojaukset tulee kuitenkin rakentaa mahdollisimman toimiviksi ja muistaa se, että IT on nykyään muutakin kuin palvelimet ja työasemat. On hyvä varautua siihen, että jonakin päivänä joku organisaation järjestelmä tai tuote on hyökkäyksen kohteena. Silloin punnitaan varautumisen ja ennakkovalmistautumisen taso.