MAINOS:

Yhden työntekijän huolimattomuus tietoturvassa voi johtaa yrityksen koko liiketoiminnan kaatumiseen – ”Esimerkkejä löytyy runsaasti”

Tietovuotojen ja -murtojen yleistyessä on digitaalinen turvaverkko nyt tärkeämpi kuin koskaan. Tietoturvan toteutuminen on silti paikoin hälyttävän huonoa.

Tietoturva- ja kyberhäiriöt ovat arkipäiväistyneet siinä määrin, että Suomen Kyberturvallisuuskeskus kutsuu niitä jo ”uudeksi normaaliksi”. Uhkaan tulee suhtautua vakavasti, sillä tietoturvan vaarantuessa seuraukset saattavat olla suorastaan katastrofaaliset.

Kyberhyökkäysten historiaa kirjoitettiin keväällä 2021, kun venäläinen hakkeriryhmä aiheutti Yhdysvaltain suurimman polttoainelinja Colonial Pipelinen sulkeutumisen kuudeksi päiväksi. Isku rampautti polttoainekuljetukset käytännössä koko itärannikolle ja aiheutti hätätilan 17 osavaltioon.

”Tietoturva tiivistyy oikeastaan kolmeen asiaan: suojaa data, suojaa laitteet ja suojaa käyttäjät”, sanoo Telian tietoturvapalveluiden johtaja TONI VARTIAINEN.

”Colonial Pipeline on hyvä esimerkki siitä, kuinka oikeastaan mikään näistä ei toteutunut.”

Telia tarjoaa laajan kirjon tietoliikenne-, it- ja digipalveluita suomalaisille yritysasiakkaille ja julkishallinnolle.

Vartiaisella itsellään on yli 20 vuoden kokemus alalta. Tietoturva lähtee hänen mukaansa yksinkertaisista asioista kuten siitä, ettei samaa salasanaa käytetä useassa eri palvelussa.

”Tässä tapauksessa hakkerien käsiin päätyi toiseen palveluun tehdyn tietomurron seurauksena yhtiön työntekijän salasana, joka oli sama, mitä hän oli käyttänyt kirjautumiseen työpaikalla”, Vartiainen kertoo.

Yrityksen verkkoon kirjautuminen onnistui helposti, sillä käytössä ei ollut esimerkiksi kaksivaiheista tunnistautumista – pelkkä tunnus ja salasana riittivät.

Tieto on paremmassa turvassa, kun data sijoitetaan mahdollisimman kauas yrityksestä, esimerkiksi toisella mantereella sijaitsevaan pilvipalveluun.

TARUA. Ulkomaisia pilvipalveluita on tarjolla sekä runsaasti että kohtuuhinnalla. Niihin liittyy kuitenkin monta kysymystä: onko alueen lainsäädäntö linjassa EU:n kanssa? Kuka omistaa tietoon liittyvän metadatan ja kuinka sitä kerätään? Metadatan eli varsinaisesta tiedosta tietoa antavan tiedon mukana ulkopuolisen tahon haltuun saattaa päätyä esimerkiksi IP-osoitteita, tunnistetietoja sekä laitteiden lokitietoja, jotka voivat muodostaa mahdollisia uusia riskejä toisaalla.

Myös tiedon saatavuutta ja liiketoiminnan jatkuvuutta ajatellen lähelle sijoitettu data on parempi valinta – esimerkiksi kansainvälisen konfliktin sattuessa yhteydet eri mantereille saattavat katketa kokonaan.

COLONIAL PIPELINELTA VARASTETTIIN VALTAVA määrä tietoa ja sen verkkoon ujutettiin haittaohjelma, joka lukitsi järjestelmän. Sitten tuli viiden miljoonan dollarin lunnasvaatimus. ”Luultavasti yhtiö ei ollut varmuuskopioinut liiketoimintakriittistä dataa eikä sillä ollut valmiuksia palauttaa järjestelmiään itse. Taloudellisimmaksi vaihtoehdoksi jäi maksaa vaaditut lunnaat”, arvelee Vartiainen.

Vaikka isku ei kohdistunut varsinaiseen tuotantojärjestelmään vaan hallinnolliseen systeemiin, olivat sen vaikutukset suuret.

Tiesitkö, että yli puolet pienistä ja keskisuurista yrityksistä on raportoinut joutuneensa tietomurron kohteeksi?
LUE LISÄÄ

”Tapauksesta on pyritty löytämään aatteellista Venäjä-Amerikka-vastakkainasettelua, mutta uskon motiivin olleen puhtaasti rahallinen. Kiristäminen on loppujen lopuksi hakkeriryhmille bisnestä”, Vartiainen toteaa.

Colonial Pipelinen ja Suomessa muutama vuosi sitten kuohuttaneen Vastaamon tietomurron välillä Vartiainen näkee tiettyä yhtäläisyyttä.
”Vastaamon järjestelmässä oli ilmeisesti jo lähtökohtaisesti omat puutteensa, mutta molemmissa tapauksissa olisi varmasti auttanut, jos tietoturvan tilannekuva olisi ollut parempi”, hän sanoo.

On turvallista antaa tietoja, kun esimerkiksi yrityksesi IT-tuki tiedustelee tunnuksiasi sähköpostitse.

TARUA. Sähköpostin ja viestien kautta tulevat kyselyt ovat edelleen yleisin tapa toteuttaa tietojenkalastelua. Viestit voivat vaikuttaa hyvinkin aidoilta ja kiireessä asiaa ei välttämättä tule ajatelleeksi sen enempää. Tarkkana on kuitenkin syytä olla. Mikäli saat esimerkiksi viestin, jossa kehotetaan klikkaamaan linkkiä ja päivittämään käyttäjätiedot, siirry sivustolle sen sijaan eri selainikkunaa käyttäen ja tarkista tietosi siellä.

Johtajat myöskään harvemmin lähettävät koko firman kattavia palkankorotustaulukoita sähköpostien liitteenä katsottavaksi. Älä klikkaa liitteitä ja linkkejä auki, ellet ole niiden turvallisuudesta aivan varma.

TILANNEKUVALLA VARTIAINEN TARKOITTAA näkymää tietoturvan toteutumiseen. Colonial Pipelinen järjestelmään päässyt ryhmä ehti valmistella varsinaista iskua luultavasti kuukausia. Myös Vastaamon järjestelmään murtauduttiin useamman kerran. Yritykset olisivat voineet käyttää esimerkiksi automaattisia seurantatyökaluja, jotka havainnoivat epätyypillistä käytöstä verkossa tai kirjautumisia sen järjestelmiin.

”Näkymä tietoturvaan on monissa yrityksissä hälyttävän huono. Ei tiedetä mitä esimerkiksi palvelimilla tapahtuu ja koska ei tiedetä, tuudittaudutaan tunteeseen, että kaikki on kunnossa”, sanoo Vartiainen.

Miten muodostan kattavan yleiskuvan yritykseni ICT-ympäristön toiminnasta ja mahdollisista tietoturvapoikkeamista?
LUE LISÄÄ

Hän muistuttaa, että kyberrikokset voivat olla varsin monivaiheisia operaatioita, joita suunnitellaan pitkään.

”Niihin liittyy järjestelmällistä kalastelua eri puolilla verkkoa ja eri palveluissa, jotta löydetään henkilö tai henkilöitä, joiden tunnuksia, salasanoja tai laitteita voidaan rikoksessa hyödyntää”, hän kertoo. Kohteena olevan yrityksen järjestelmiä saatetaan käydä ikään kuin tunnustelemassa useita kertoja ennen varsinaisen näkyvän rikoksen tapahtumista.

”Toteutunut tietomurto voi olla sen kohteelle valtava mainehaitta, varsinkin jos toimitaan huoltovarmuuskriittisellä tai yhteiskunnalle merkittävällä toimialalla”, Vartiainen huomauttaa.

Jopa 33 000 uhria

Digitaalinen turvaverkko on hänen mukaansa nyt tärkeämpi kuin koskaan aikaisemmin. Toimiakseen se edellyttää niin yksittäisten käyttäjien kuin digitaalisesta infrastruktuurista huolehtivien tahojen saumatonta yhteispeliä.

”Esimerkiksi operaattoreiden vastuulla on huolehtia digitaalisesta turvallisuudesta kirjaimellisesti jo maan rajoilla. Me voimme pysäyttää ison määrän rikollisten tahojen kyberhyökkäyksiä ennen kuin ne pääsevät aiheuttamaan tuhoa”, Vartiainen korostaa.

Kaksivaiheinen, vahva tunnistautuminen on tällä hetkellä varmin tapa tunnistaa käyttäjä.

TOTTA. Kun tunnistautumiseen tarvitaan käyttäjätunnuksen ja salasanan lisäksi myös lisävarmennus esimerkiksi tiettyyn puhelimeen lähetettävän koodin, varmistussoiton tai erillisen todennuslaitteen eli niin sanotun tokenin avulla, voidaan käyttäjä tunnistaa melko varmasti.

Tietoturvan näkökulmasta käyttäjätunnistuksen kanssa päällekkäin kannattaisi kuitenkin tehdä myös laitetunnistusta eli listata kaikki käytössä olevat laitteet, määrittää, millä niistä on sallittua päästä yrityksen dataan käsiksi ja seurata kirjautumisyrityksiä aktiivisesti.

TIETOISUUDEN MERKITYSTÄ osana tietoturvaa ei voi liikaa korostaa. Asianmukaiset virustorjuntaohjelmat, ajallaan suoritetut päivitykset, pelittävät palomuurit ja kaksivaiheiset todennukset ovat lopulta turhia ilman yhteisiä ja sisäistettyjä tietoturvakäytänteitä. Valistusta tarvitaan.

”Yksi mieleenpainuvimmista tapauksista urallani liittyy teknologiayritykseen, jossa yksittäisen työntekijän Google-tili oli murrettu, sitä kautta päästy hyödyntämään selaimeen tallennettuja tunnuksia ja salasanoja ja sieltä saatu myös työpaikan käyttäjätunnus sekä salasana”, Vartiainen kertoo.

Yrityksellä oli käytössään kaksivaiheinen todennus, mutta röyhkeä hyökkääjä oli työntekijänä esiintyen ottanut yhteyttä yrityksen IT-tukeen, sepittänyt tarinan tilanteesta, jossa ei pystynyt vastaanottamaan kirjautumiseen tarvittavaa koodia tavalliseen tapaan ja onnistunut näin kiertämään todennuksen.

SSL-varmenne takaa, että verkkosivusto on turvallinen.

TOTTA JA TARUA. TSL- tai SSL-varmenteista puhuttaessa tarkoitetaan nettisivulle asennettavaa teknologiaratkaisua, joka takaa, että sivuston käyttäjän ja sivuston välinen tieto liikkuu turvallisesti ilman pelkoa vääriin käsiin joutumisesta. Varmenne on myös hakukoneille todiste verkkosivun yhteyden luotettavuudesta ja parantaa osaltaan sen mainetta. Verkossa asioidessa tulee kuitenkin muistaa, että periaatteessa myös huijari voi käyttää oikeita varmenteita muistuttavia domain-validoituja varmenteita valesivustonsa liikenteen turvaamiseksi.

Esimerkiksi Telia suosittaa luotettavampien organisaatiovalidoitujen TLS/SSL -varmenteiden käyttöä, jolloin varmenteen myöntämisprosessiin kuuluu varmenteen hakijayrityksen tarkistus.

Miten varmistan, että verkkosivujeni sertifikaatit ovat kunnossa?
LUE LISÄÄ

”Selkeä virhe tapahtui, kun tähän vipuun mentiin. Varmasti on ollut ohje, joka tällaisen toiminnan kieltää – kaksivaiheista todennusta ei ole tarkoituksenmukaista kiertää”, Vartiainen toteaa.

On varsin tavallista, että samoja laitteita käytetään sekä työntekoon että vapaa-ajalla. Tämä johti myös yllä mainittuun tietomurtoon.

”Mutta sen sijaan, että tiukasti erotettaisiin laitteet toisistaan, olisi tärkeämpää, että käyttäjät oppisivat tuntemaan tervettä epäluuloa pientäkin poikkeuksellista toimintaa kohtaan ja tiedostamaan, että myös juuri hän ja yritys jossa hän työskentelee, voi olla kiinnostava kohde kyberrikolliselle.”