Jokainen yritys on kyberhyökkäyksen arvoinen

Tietoturvayritys F-Securen kybertulkki Janne Kauhanen neuvoo hyökkäyspolkujen kartoituksen olevan matalan kynnyksen vaihtoehto perinteiselle tietomurtosimulaatiolle. Kun kyse on kyberrikollisuudesta, yksikään yritys ei ole turvassa.  

^{TEKSTI | VALTTERI MÖRTTINEN   KUVA | JUHO LÄNSIHARJU JA F-SECURE}

Suomalaisen yrityksen kulunvalvontajärjestelmään on murtauduttu. Täysin ulkopuolinen henkilö kävelee yrityksen käytävää pitkin ja lukee mikrofoniinsa ääneen ovien numeroita. Samaan aikaan tietokoneella istuva rikoskumppani avaa hänelle ovia. Henkilö saapuu lopulta käytävää pitkin serverihuoneen metalliovelle, avaa sen ikkunalasin ruuvit ja astuu ilman hälytystä sisälle serverihuoneeseen.

Tapaus on aito, mutta esimerkin yritykselle ei onneksi päässyt kuitenkaan käymään vahinkoa. Tämän hyökkäyksen oli nimittäin tilannut toimiston omistava yrittäjä itse F-Securen tiimiltä. Kyseessä on perinteinen Red Team Attackiksi kutsuttu tietomurtosimulaatio, jossa tietoturva-asiantuntijat paljastavat aukkoja yrityksen suojautumisessa.

Nämä Hollywood-trillereitä muistuttavat hyökkäyssimulaatiot eivät kuitenkaan ole enää yritykselle ainoa vaihtoehto yritysturvallisuuden testaamiseksi. F-Securen kybertulkki Janne Kauhanen esittelee parhaillaan tietoturva-aukoista huolestuneelle yrittäjälle kohdennetumpaa matalan kynnyksen lähestymistapaa:

– Tuollaisen murtautumisen sijaan voimme vain kulkea samaa käytävää pitkin yhdessä yrityksen edustajan kanssa ja yksinkertaisesti todeta ne samat ongelmakohdat, Kauhanen kertoo.

Tunnista hyökkäyspolut

F-Securen tarjoama uusi vaihtoehtoinen palvelu hyökkäyspolkujen kartoittamiseen on saanut nimekseen Attack Path Mapping. Nimi viittaa siihen, että asiantuntijat etsivät yrityksen tietoverkosta polkuja, joita pitkin hyökkääjä voisi mahdollisesti kulkea päästäkseen haluamaansa dataan. Näiden polkujen varrella hyökkääjä on mahdollista pysäyttää, vaikka tämä olisikin läpäissyt jo ensisijaisen suojauksen.

Perinteinen Red Team Attack on kylmää testaamista, jossa suojauksen haavoittuvuus pyritään vain osoittamaan. Attack Path Mapping sen sijaan on päivänvalossa toteutettu versio, jossa haastatellaan henkilökuntaa ja vastataan asiakkaan omiin huolenaiheisiin. Palvelun tarkoitus on tunnistaa tietoturvan merkittävimmät heikkoudet, joihin yrityksen kannattaa jatkossa investoida.

Se ei silti varaa asiakkaan aikaa muutaman henkilön haastattelutunteja pidempään. Hyökkäyspolkujen käytännön testaamisen F-Secure tekee itsenäisesti sillä välin, kun yrityksen liiketoiminta jatkuu normaaliin tapaan.

Varaudu hyökkäyksiin

Varautumattomuus hyökkäyksiin on yleistä, ja Kauhasen mukaan osasyynä tähän on suomalainen vaatimattomuus.

– Hirveän monissa firmoissa ajatellaan, että emmehän me nyt ole hyökkääjiä kiinnostava kohde. Ja se on liiketoimintaa harjoittavalta yritykseltä, jonka tilillä on yhtään rahaa, hieman erikoinen näkemys, Kauhanen toteaa.  

Nykyään tyypillisimmät hyökkäykset ovat niin sanottuja ransomware-hyökkäyksiä, joissa haittaohjelma lukitsee yritykseltä pääsyn omiin tietoihinsa ja vaatii lunnaita varastettujen tietojen vapauttamiseksi. Myös haittaohjelmat, joilla uhrin omistamat tietokoneet valjastetaan louhimaan kryptovaluuttaa, ovat yleistyneet.

Eivät rikolliset itsekään välitä, onko kyseessä pienyritys vai pörssiyhtiö. 

F-Securen kybertulkki Janne Kauhanen

Konkreettisia esimerkkejä kyseisistä hyökkäyksistä nousee pinnalle nykyään tasaisin väliajoin. Viimeisimpinä niistä voidaan pitää teknologiayhtiö Garminin ransomware-tapausta tai Lahden kaupungin kryptolouhijahyökkäystä.

– Rosvot levittävät sitä pöpöään ympäri maailmaa, ja se tarttuu, mihin tarttuu. Eivät rikolliset itsekään välitä, onko uhri lopulta monikansallinen pörssiyhtiö vai konepaja Pielavedellä.

Eivätkä rahat välttämättä tule suoraan hakkeroidun yrityksen tililtä. Palvelimilta voi viedä myös arvokasta, eteenpäin myytävää informaatiota kuten osavuosikatsauksia tai salassa pidettäviä asiakastietoja. Tuoreessa muistissa on etenkin laajasti mediahuomiota saanut Vastaamon tapaus, jossa kyberhyökkääjät pääsivät käsiksi mahdollisesti jopa tuhansiin yksityiskohtaisiin potilastietoihin. Vastaamon tapauksessa hakkerit eivät myöskään tyytyneet pelkästään yrityksen kiristämiseen, vaan ottivat kohteekseen myös yrityksen palveluita hyödyntäneet asiakkaat.

– Ja kaikkien muiden haittojen jälkeen käy vielä kaiken lisäksi niin, että tietomurron uhriksi joutuneelle yritykselle paukahtaa tuntuvat sakot paikalliselta tietosuojavaltuutetulta, Kauhanen toteaa.

Testaa turvajärjestelmä

Kauhanen ymmärtää hyvin myös sen, miksi asiakkaat usein empivät palveluiden äärellä. Yrityksen, jonka oma toimiala on jossain muussa kuin ATK-asioissa, voi olla vaikea valita kaikista markkinoilla olevista laitteista ja ohjelmistoista ne oikeat, jotka turvaavat juuri hänen yrityksensä. Ja juuri siksi F-Secure toteuttaa aktiivisesti hyökkäyssimulaatiota.

– Hyökkäyssimulaatiolla voimme testata, tekevätkö hankitut järjestelmät ja palvelut sitä, mitä yritys kuvittelee niiden tekevän, Kauhanen avaa toimintaa. 

Tietoverkon tutkiminen on toki äärimmäisen luottamuksellista toimintaa, eikä palveluita voi tilata mistä tahansa. Kauhanen painottaa, että F-Secure on kokeneena kotimaisena toimijana perillä internet-rikollisten toimintatavoista, ja osaamista tukee myös se, että F-Secure tekee testauksen lisäksi tietomurtojen tutkintaa enemmän kuin yksikään kilpailija Euroopassa. Yrittäjän ei kannata kuitenkaan odottaa jo tapahtuneen tietomurron tutkintavaiheeseen asti palvelujen tilaamista.

– Ransomware-hyökkäyksissä käy usein niin, että kun hyökkäys on jälkikäteen havaittu, niin vaikka pyydetyt lunnaat maksettaisiinkin, hyökkääjillä ei ole aikomustakaan tai kenties edes mahdollisuutta palauttaa tietoja, Kauhanen muistuttaa.