Kyberturvallisuus – meidän jokaisen asia
Maaliskuun 19. päivä 2019 norjalaisessa Norsk Hydro -teollisuusyrityksessä tapahtui outoja asioita. Koko noin 34 000:n työntekijän globaali organisaatio koki tietojärjestelmien poikkeavaa käyttäytymistä ja vähitellen pääsy tietoihin häiriintyi vakavasti. Palvelimilta ja käyttäjien koneilta oli lukittu valtava määrä tiedostoja vahvasti salaamalla ja laitteiden näytölle ilmestyi viesti, jossa vaadittiin maksua lukitusten avaamisesta.
Pahimmat ongelmat koskivat Extruded Solutions -liiketoiminta-aluetta muiden pystyessä osittain jatkamaan toimintaansa, tosin selvästi normaalia hitaammin ja tehottomimmin manuaalisin menettelyin.
Yrityksen tietoverkkoon oli ujutettu haittaohjelma nimeltä LockerGoga. Jälkikäteen häiriön taloudellisten menetysten suuruudeksi arvioitiin yli 60 MEUR muun muassa toimitusten merkittävän hidastumisen vuoksi.
Sähköpostiviestin avaamisesta miljoonavahingot
Norsk Hydron tapauksessa keino päästä yrityksen verkkoon oli luotetulta ulkopuoliselta taholta saatu, mutta hyökkäävän tahon haittaohjelmalla saastuttama sähköpostiviesti. Kuinka herkästi digitaalinen turvallisuutemme rikkoutuu mitättömältä vaikuttavan tapahtuman seurauksena!
Teknisten suojausten ja verkkorikollisten hyökkäystyökalujen välinen kilpajuoksu on pysyvä olotila. Kilpailussa toinen osapuoli on vuorollaan askelen edellä, kunnes toinen löytää jälleen uusia apuvälineitä tai keinoja pidempään loikkaan ohittaen toisen. Microsoftin O365-pilvipalvelu on kasvattanut suosiotaan kustannustehokkaana ja yritykselle helposti käyttöönotettavana ympäristönä. Palvelun menestyksen ovat noteeranneet myös verkkorikolliset, ja parin viime vuoden aikana on nähty lukuisia O365-tileille murtautumisia ja näin saatujen tietojen hyödyntämisiä esimerkiksi väärennettyjen laskujen lähettämiseen. Yksi syy murtojen onnistumiseen on ollut perinteisen käyttäjätunnus-salasana-yhdistelmän helppo kalastaminen käyttäjältä. Nyt näiden murtojen määrä on onneksi kääntynyt laskuun, mihin yhtenä tekijänä on ns. monimenetelmäisen todentamisen (MFA, Multi-Factor Authentication) ottaminen laajasti käyttöön. MFA vaatii käyttäjätunnuksen ja salasanan lisäksi esimerkiksi älypuhelimen sovellukseen tulleen pyynnön hyväksymisen.
Tekniikkakisassa ei selvää voittajaa ole, mutta ihmisten toimintatavoissa ja käyttäytymisessä hyvien puoli on vahvoilla. Jokainen meistä haluaa lähtökohtaisesti tehdä työnsä hyvin ja oikein. Kyberhyökkäysten torjunnassa ja erityisesti ehkäisyssä yrityksen koko henkilökunnan, ylimmästä johdosta asiantuntija- ja työntekijätasolle, tietoisuus työhön liittyvistä uhista ja niiden toteutumisen estämisestä on kyberturvallisuuden ytimessä. Läpi organisaation toteutettu järjestelmällinen, toistuva ja ajantasainen viestintä yhdistettyinä vaikkapa tietoiskumaisiin koulutustilanteisiin luovat perustaa hyvälle turvallisuuskulttuurille ja -asenteelle.
Yhteinen internet, yhteisiä riskejä, avoimuutta tarvitaan
Norsk Hydron ylin johto päätti hyökkäyksen alettua ja sen laajuuden paljastuttua paitsi hankkia kaiken tarvittavan ulkopuolisenkin avun, niin myös kertoa avoimesti julkisuuteen hyökkäyksestä, sen vaikutuksista toimintaansa ja toipumistyön etenemisestä.
Verkottuneessa ja verkostoituneessa ympäristössämme olemme usein kaikki samojen uhkien ja haavoittuvuuksien kohteina. Tietoturvallisuus ja tietosuoja ovat meidän kaikkien asioita, joita ei voi jättää ”jonkun muun” tehtäväksi. Meidän on alettava aidosti nähdä ja ymmärtää vastuumme paitsi omassa työssämme ja sen tietojen suojaamisessa, niin myös roolimme osana suurempaa kokonaisuutta. Perinteinen vertaus ketjusta ja sen heikosta lenkistä pätee paremmin kuin hyvin digitaaliseen turvallisuuteen. Alihankkija-, toimittaja- tai palveluverkoston kyberkestävyys on tarkalleen yhtä vahva kuin sen sisältä löytyvä heikoin turvallisuuskulttuuri. Mahdollisimman pitkälle viety avoimuus sidosryhmille kertoen tapahtuneista häiriöistä ja hyökkäyksistä auttaa muita suojaamaan omia ympäristöjään.
Suomessa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus haluaa tietää kaikista tietoturva- tai kyberhyökkäyksistä tai poikkeuksellisista häiriöistä. Kyberturvallisuuskeskus voi auttaa tilanteiden selvittelyssä ja varoittaa muita tietäessään, millaisia hyökkäyksiä kulloinkin on käynnissä.
Tietoturvallisuus ja tietosuoja ovat meidän kaikkien asioita, joita ei voi jättää ”jonkun muun” tehtäväksi.Jyrki Lahnalahti, Kiwa Inspecta
Ennakointia täytyy tehdä, mutta viisasta on myös varautua
Turvallisuuden yksi kulmakivistä on ennaltaehkäisy. Tämä koskee kaikkia turvallisuuden muotoja työturvallisuudesta rikostorjunnan kautta kyberturvallisuuteen. Riskienhallintaa ja turvallisuutta ei voi erottaa toisistaan ja mitä muuta kuin ennaltaehkäisyä riskienhallinta onkaan. Mutta voiko kaikkea ennakoida?
Ilkeämielisten tahojen liikkeet ovat nopeita, kun jostain laajalti käytössä olevasta ohjelmistosta löytyy heikkous ja tieto siitä leviää. Pahin tilanne, ns. nollapäivähaavoittuvuus, syntyy tällaisen heikkouden ja sen hyväksikäyttötavan paljastumisesta ennen kuin korjaavaa päivitystä on saatavilla tai sitä on asennettu.
Viimeisin näkyvä esimerkki nollapäivätilanteesta saatiin, kun Microsoftin Exchange -sähköpostipalvelinohjelmiston vakavasta haavoittuvuudesta julkaistiin tieto ja turvallisuuspäivitys maaliskuun 2021 alussa. Haavoittuvuutta oli kuitenkin käytetty hyväksi jo tammikuussa, joten korjauspäivityksestä huolimatta kyseiset järjestelmät piti tarkistaa ja tarvittaessa puhdistaa. Kuka olisi osannut odottaa tällaista laajalti käytetyn sähköpostipalvelinohjelmiston aukkoa. Lausunnot täydellisestä tietoturvasta tai haavoittumattomasta tietojärjestelmästä ovat utopiaa.
Pilvipalvelut, kuten Microsoftin Azure ja M365 tai Amazonin AWS, tarjoavat valtavia mahdollisuuksia helposti ja kustannustehokkaasti. Esimerkkeinä mainittujen palveluntarjoajien resurssit rakentaa turvallisia konesaleja ja turvakäytäntöjä ovat valtavia, mutta häiriötilanteita on ollut näissäkin palveluissa. Lisäksi, vaikka pilvipalveluntarjoajan järjestelmät toimisivat moitteettomasti, häiriöt internet-yhteyksissä voivat estää niihin pääsyn.
Näidenkin esimerkkien pohjalta on helppo ymmärtää, kuinka tärkeää on paitsi ennakoida niin myös valmistautua ja varautua siihen, että jotain kuitenkin tapahtuu.
Uskottavaan ja häiriötilanteessa aidosti toimivaan varautumiseen kuuluu ymmärrys toiminnan kannalta kriittisistä toiminnoista: tiedot, tietojärjestelmät, tietoliikenneyhteydet, laitteet, toimitilat, toimittajat, raaka-aineet, varaosat, dokumentit, osaaminen jne. Kun nämä elementit ja aikarajat niiden siedettäviin katkoaikoihin on tunnistettu, voidaan suunnitella mitä ja miten ennaltaehkäisten vahvistetaan ja häiriötilanteen sattuessa myös priorisoidusti palautetaan käyttöön. Elementtien kriittisyyspriorisointien ja toipumisaikatavoitteiden (RTO, Recovery Time Objective) yhdistäminen omaisuuden- tai konfiguraationhallintaan on luonteva ja tehokas tapa hallita tätä kokonaisuutta.
Norsk Hydrolla oli jo ennen hyökkäystä jatkuvuussuunnitelmia vakavien häiriötilanteiden varalle. Näiden avulla yritys pystyi osin jatkamaan toimintaansa palaamalla manuaaliseen ja paperiperusteiseen toimintamalliin muun muassa asiakastilausten käsittelyssä ja tuotannossa.
Mitä voidaan ottaa opiksi?
Ehkä tärkein oppi Norsk Hydronkin tapauksesta on se, että mikään yksittäinen tekniikka, koulutus, kumppani, toimittaja tai periaate ei riitä suojaamaan isoakaan yritystä kyberhyökkäyksiltä.
Välttämättömiä ja jo vaikuttavasti toteutettuja tekniikoita ja menettelyitä pitää täydentää aidolla riskienhallinnalla ja pahimpienkin skenaarioiden toteutumiseen valmistautumalla – ylimmän johdon tukemana, resurssit osoittamana ja johtamana.
Kirjoittaja on Jyrki Lahnalahti, Kiwa Inspectan tuoteryhmäpäällikkö ja tietoturvallisuuden pääarvioija.
Artikkeli on alun perin julkaistu Promaint-lehden numerossa 2/2021