21.05.2021TOP 5 kyberuhat Suomessa 05 - 2021

”Hello sir… I am calling from the IT department of Microsoft…” Kuulostaako tutulta? Kyseessä on kyberhyökkäys. Korona-aika on verkkokaupan ja digitalisaation lisäksi aktivoinut kyberrikollisia. Joillekin hakkereille kyse on haasteiden etsimisestä ja eräänlaisesta urheilusta. Vakavimmimmissa tapauksissa kyse voi olla valtiollisen tason vakoilusta. Useimmiten asialla ollaan kuitenkin ihan kylmästi rahan takia. Tämä artikkeli vetää yhteen vuoden 2021 alkupuoliskon näkyvimpiä tietoturvaan liittyviä uhkia ja herättelee suhtautumaan teemaan asianmukaisella vakavuudella.

Erilaisia rikollisia busines caseja on useita. Ansaintalogiikka voi olla esimerkiksi pelotella tai muuten höynäyttää uhri irti rahoistaan sähköpostiviestin perusteella, tyhjentää rahat uhrin tililtä omatoimisesti tai pitää palveluita panttivankina, kunnes omistaja maksaa sopivan summan rahaa. Erityisesti viimeksi mainitut tapaukset ovat lisääntyneet viimeisen 6-12 kuukauden aikana.

 

Ajankohtaisimmat kyberuhat Suomessa

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tietoihin perustuen vuoden 2021 kyberuhkien paalupaikkaa piti alkuvuodesta tietojenkalastelu ja muu käyttäjien manipulointi. Moni suomalainen onkin jo vuoden ajan saanut puheluita vähemmän rehelliseltä ”Microsoftin IT-tukihenkilöltä”.  Kalastelua ja manipulointia vastaan paras puolustus on käyttäjien valveutuneisuus. Koulutuksella on suuri merkitys siihen, jääkö tietojen kalastelu vain yritykseksi vai ei. Myös se, että suomi on kielenä hankala ja marginaalinen auttaa hieman. Mutta yritykset käyvät aina vain taidokkaammiksi. Linkki kalastelusivulle voi olla naamioitu aidon näköiseksi kokouskutsuksi tai jopa pankin tekstiviestiksi.

Viime kuukausina tietoturvauhkien listan kärkeen on noussut päivittämättömät järjestelmät, joiden haavoittuvuudet avaavat rikollisille reitin organisaation järjestelmiin ja sähköisiin palveluihin. Esimerkiksi WordPress sivujen tietoturvan kannalta on erittäin oleellista varmistaa, että kaikki lisäosat eli arkisesti plugarit ovat ajan tasalla. Yli kolmasosa maailman sivustoista pyörii WordPress-alustalla. Alusta on lähtökohtaisesti turvallinen, mutta suuren markkinaosuuden johdosta järjestelmän ja sen heikkouksien tunteminen avaa paljon mahdollisuuksia myös pahoissa aikeissa liikkuville. Mikäli epäilee oman palvelun aukottomuutta voi asiaan hakea varmuutta hyvin palvelevalta hosting palveluntarjoajalta tai tilaamalla ulkopuolisen tietoturva-auditoinnin.

Kolmas nosto ennen varsinaista top 5 listaa on kyberhyökkäyksien käyttö kiristystarkoituksissa. Näissä hyökkäyksissä tavoitteena on estää tai ottaa panttivangiksi jokin yritykselle kriittinen sovellus tai palvelu (kuten verkkosivu tai verkkokauppa) ja kiristää sillä rahaa. Summat liikkuvat kymmenistä tuhansista satoihin tuhansiin euroihin. Toiminta tällä rintamalla on aktiivista ja kehittyy jatkuvasti. Kyberturvallisuuskeskuksen ohje on sitä vastoin pysyvä ja selkeä: Älä maksa kiristäjille. Kiristyshyökkäyksen kohteeksi voi joutua kuka tahansa pienestä yksinyrittäjästä monikansalliseen korporaatioon tai jopa yksityishenkilöt. Tyypillisesti kohde valikoituu heikon tietoturvan perusteella. Asuntomurroissakin voro mitä luultavimmin valitsee kohteen, jossa ei ole vartiointiliikkeen tarroja. Ulkopuolisen tahon suorittama sovellustietoturva-auditointi on monessa tapauksessa järkevä digimurtoja ennalta ehkäisevä toimi.

Top 5 tietoturvauhkien järjestys on vaihdellut hieman vuoden 2021 ensimmäisten kuukausien aikana, mutta teemat ovat olleet pitkälti samoja. Seuraava listaus kuvastaa toukokuun 2021 tilannetta:

 

  1. Päivittämättömät haavoittuvuudet
  2. Kiristyshyökkäykset
  3. Tietojen kalastelu
  4. Heikko vastuunjako ja kyberriskienhallinta
  5. Lokitietojen puutteellisuus

Listan kolmen kärki tuli avattua jo artikkelin alkuvaiheilla. Kahdesta viimeisestä listatuista kyberuhista toinen on luonteeltaan operatiivinen ja toinen enemmän tekninen. Heikolla vastuunjaolla viitataan sekä sisäiseen että ulkoiseen vastuunjakoon. Sisäisesti kyse on työnjaosta, jolla varmistetaan ettei tietoturva jää sen ”jonkun” vastuulle. Ulkoisesti vastuista voidaan sopia esimerkiksi hankintasopimuksella. Vastuunjaon lisäksi organisaatioiden tulisi suunnitella ja harjoitella ennakkoon tietoturvaloukkauksiin reagoimista ja niistä palautumista.

Lokitietojen puutteellisuus on monissa organisaatioissa tiedostamaton riski. Sinänsä kyseessä helppo tekninen asia. Pahimmillaan riittämättömät lokitiedot johtavat siihen, että tietomurron ajankohtaa, laajuutta ja syntymekanismia ei pystytä jälkikäteen todentamaan. Esimerkiksi lokien pitäisi onnistuneiden istuntojen lisäksi tallentaa epäonnistuneet yritykset, jolloin epäilyttävä toiminta voidaan havaita jo alkumetreillä. Lokit pitäisi myös säilyttää vähintään vuoden ajan.

 

See no evil, hear no evil…

Yritykset näkevät tyypillisesti investointihyödyn fyysiseen turvaan ja kulunvalvontaan panostamisessa. Digitaaliseen turvallisuuteen panostaminen ei ole vielä kaikille arkipäivää. Digitaalisessa maailmassa uhka on kansainvälistä skaalaa ja mikään moderni yritys ei ole riippumaton tietoliikenteestä ja tietotekniikasta. Siksi nykymaailmassa kyberturvallisuuteen panostaminen on vähintään yhtä relevanttia kuin fyysisestä turvasta huolehtiminen. Tässä yksi luku mukaan otettavaksi: Kyberrikollisuus aiheuttaa globaalisti suoran 945 miljardin dollarin rahallisen menetyksen. Luku on suurempi kuin kahden maailman suurimman yrityksen (Walmart ja Sinopec Group) liikevaihto yhteensä.

Tietomurtoja ei voi absoluuttisesti estää, mutta niiden todennäköisyyttä voi oleellisesti madaltaa. Kuten fyysinen turva myös kyberturvallisuus on tasapainoilua kulujen ja turvan tason välillä. Ei tarvitse ampua tykillä kärpästä. Ehkä haluaisit tehdä yrityksesi tietoturvalle jotain käytännössä, mutta et oikein tiedä miten? Ole yhteydessä. Me autamme. Voimme alkuun pitää maksuttoman kartoituspuhelun videoyhteydellä, jossa arvioimme yrityksesi tilannetta ja tarvetta. Mikäli tarvetta on, etenemme käytännön kartoitustyöhön. Voimme alkuun kammata palvelusi läpi karkealla tasolla, jonka jälkeen voimme löydösten perusteella edelleen päättää jatkotoimenpiteiden tarpeesta. Tämän seurauksena sovellustietoturvan taso yrityksessäsi on tietoinen päätös eikä tuuripeliä.

Jos mielessäsi on joku tietoturva-aiheinen teema, josta haluaisit meidän kertovan artikkelin muodossa, niin otamme mielellämme vastaan myös otsikkoaiheita.

 

Turvallista matkaa kohti digitaalista tulevaisuutta!

 
 

Evästeistä

Tervetuloa! Sivustomme käyttää evästeitä, jotta voimme tallentaa asetuksesi ja tarjota yksilöllisen käyttökokemuksen. Ensimmäisellä käyttökerralla sivusto luo lyhyen tekstipätkän koneellesi, johon nämä tiedot tallentuvat. Mikäli tämä ei sinulle sovi, niin voit estää evästeiden käytön selaimesi asetuksissa tai olla kokonaan käyttämättä evästeitä hyödyntäviä sivuja.

SELVÄ