Blogin kirjoittaja on Centeron asiakassuhteista vastaava Teemu Tiainen.

Viestintäviraston Kyberturvallisuuskeskus julkaisi 31.1.2017 Tietoturvan vuosi 2016 -katsauksen. Julkaisussa tarkastellaan kuluneen vuoden merkittävimpiä tietoturvailmiöitä sekä tulevia trendejä. Tässä artikkelissa pyrimme lyhentämään raportin sanoman tiiviiseen muotoon lähinnä päätelaiteympäristöjen kannalta. Artikkelissa on myös kirjoittajan omia havaintoja ja johtopäätöksiä Kyberturvallisuuskeskuksen raportissa käsitellyistä aihealueista.

Tietoturvan TOP5-uhat ja -ratkaisut

Alla olevasta kuvasta voit tarkastella, millaisia TOP5-uhkia ja -ratkaisuita niin yritys- kuin yksityishenkilöiden puolella katsauksessa on havaittu.

Tietoturvan-vuosi_2016_TOP5

Tietoturvan vuosi 2016 -raportin TOP5-tietoturvauhat ja -ratkaisut niin organisaatioiden kuin yksityishenkilöidenkin näkökulmasta

Yritys- ja kuluttajapuolella TOP5-listalta erottuu haittaohjelmien ja muiden uhkien leviäminen järjestelmiin päivitysten laiminlyömisestä johtuen. Me Centerolla työskentelemme jatkuvasti erityisesti päätelaitteiden ja niihin liittyvien ohjelmistojen päivittämisen kanssa. Olemme itsekin työssämme huomanneet, että koska järjestelmien päivittäminen vaatii usein henkilötyöaikaa, tehdään siksi liian usein kompromisseja tietoturvallisuudesta huolehtimisen ja resurssien käytön välillä.

Näin ei tietysti pitäisi olla, vaan järjestelmät pitäisi pitää ajan tasalla. Itseasiassa kun puhutaan päätelaitteilla käytettävien ohjelmistojen haavoittuvuuksista, päivittämisen pitää tapahtua nopeasti päivityksen julkaisun jälkeen. Tyypillistä on, että kun sovellustoimittaja julkaisee päivityksen, välittömästi sen jälkeen sitä hyödynnetään kaikkein eniten. Syynä tähän on se, että silloin laitteet ja sovellukset ovat vielä päivittämättä ja todennäköisyys haavoittuvuuden onnistuneelle hyödyntämiselle on mahdollisimman suuri.

Centero Software Manager on työkalu, jonka avulla työasemilla käytettävät kaikkein vaarallisimmat laajalti käytetyt usein päivittyvät sovellukset saadaan päivitettyä täysin automaattisesti. Kannattaa tutustua palveluumme käymällä palvelun sivuilla tai tsekkaamalla alla oleva video. Huomaathan, että CSM:n pilvipohjaisella versiolla saat samalla myös Microsoftin päivitykset keskitettyyn hallintaan.

Huijaukset ja kiristyshaittaohjelmat nostivat päätään

Erilaisia huijauksia ja kalasteluyrityksiä on verkkorikollisten toimesta käytetty kasvavassa määrin. Suomalaisiltakin viedään vuosittain miljoonia euroja nettihuijauksilla. Näistä saa lukea viikoittain iltapäivälehdistä. Vuoden 2016 aikana huijausten laatu kohentui loppuvuotta kohden. Huijauksien suunnittelusta paistaa yhä ammattimaisempi ja luovampi ote. Tämän takia niin yksityisiltä henkilöiltä, organisaatioiden tietoturvasta vastaavilta tahoilta ja järjestelmiltä vaaditaan yhä suurempaa tarkkuutta huijausilmiöiden varalta.

Kiristysohjelmien kasvu oli myös kuluneen vuoden aikana merkittävää. Tiedostoja salaavien kiristyshaittaohjelmien muunnelmien määrä kasvoi vuoden aikana yli kuusinkertaiseksi. Kuten kalastelun tapauksessa, myös kiristysohjelma pääsevät useimmiten leviämään ympäristöihin ihmisten sinisilmäisyyttä ja tietämättömyyttä hyväksi käyttäen. Yleisin tarttumistapa lienee uskottavasti muotoiltu sähköposti, jonka linkkiä tai liitetiedostoa klikkaamalla käyttäjä itse asentaa haittaohjelman koneelleen.

Erityisesti terveydenhuoltoon kohdistui pelottavan paljon hyökkäyksiä. Mediassa kohistiin vuoden mittaan useammastakin sairaaloihin kohdistuneesta kiristyshaittaohjelmatapauksesta. Eräässä tapauksessa kiristyshaittaohjelmaa levitettiin erityisesti sellaisiin kohteisiin, jotka häiritsivät mahdollisimman pahasti itse sairaalan ydintehtävää eli potilaitten hoitoa.

Eräs sairaala oli maksanut 17000 $ lunnaat saadakseen salatut tiedostot jälleen käyttöön. Summa ei välttämättä tunnu järkyttävän suurelta, mutta ansaintalogiikka perustuukin enemmän siihen, että summat vaaditut summat ovat hyökkäyksen kohteen maksukyvyn mukaan sen verran pieniä, että maksukykyä on riittävästi.

Toinen hyökkäyksille kasvavassa määrin altistunut sektori on pankkimaailma. Onnistunut hyökkäys rahalaitoksiin voivat tuottaa makoisia kertasumma verrattuna kuluttajilta nyhdettyihin yksittäisiin pikkusummiin. Helmikuussa 2016 yritettiin maailman suurinta digitaalista pankkiryöstöä Bangladeshin keskuspankista väärentämällä pankkien välistä rahaliikennettä. Roistojen näppäilyvirhe onneksi johti kiinni jäämiseen.

Haavoittuvuuksien hyödyntäminen ja verkkovakoilu ovat merkittäviä uhkia

Kuten blogin alussa kerroimme, haavoittuvuuksien hyödyntäminen on pitänyt pintansa tietoturvauhkien TOP-listalla. Asiakkaidemme kanssa keskustellessamme törmäämme hyvin ajatusmaailmaan, jossa asiakas ajattelee, ettei juuri heidän organisaatiossaan ole mitään sellaista tietopääomaa, minkä takia verkkorikolliset uhkaisivat heitä.

On kuitenkin erittäin oleellista ymmärtää, että välttämättä se pahin uhka ei olekaan se, että kyberhyökkäykselle altistunut organisaatio tai sen omistama tieto itsessään kiinnostaisi hyökkääjää. Usein organisaation koneita käytetään vain alustana ja resursseina johonkin aivan toisaalle kohdennettuun hyökkäykseen. Toisaalta haittaohjelmat leviävät monesti satunnaisesti tai ”massajakeluina” esimerkiksi sähköpostilla tai webin kautta.

Näin se todellinen organisaation uhka voikin olla PR-ongelmat, jos selviää, että organisaation koneita on hyödynnetty hyökkäyksessä muualle tai jos ylipäätään mediaan valuu tietoa ympäristön altistumisesta. Kyberhyökkäykset ja altistumiset erilaisille haitakkeille ovat arkipäivää erityisesti isoimmissa yrityksissä. Juurikin maineeseen liittyvien syiden vuoksi tällaiset asiat käsitellään usein ”suljettujen ovien takana”, eikä näistä liiemmin avoimesti keskustella.

Toki on olemassa myös haittaohjelmia, jotka vain yksinkertaisesti tekevät kiusaa ja joidenka poistamiseksi IT-ylläpito voi joutua kuluttamaan aikaa todella paljon. Tällöin välilliset kustannukset saattavat nousta suuriksi, kun IT-ylläpito joutuu käyttämään todella paljon työaikaa päätelaitteiden kunnostamiseksi. Pahimmillaan haittaohjelma saa tietokoneen sellaiseen kuntoon, että koneen käyttäjän työnteko hankaloituu tai on peräti mahdotonta.

Tietysti välillisten uhkien lisäksi on olemassa riski, että hyökkääjä tunkeutuu järjestelmiin nimenomaan tiedon saamiseksi. Käytännössä silloin puhutaan vakoilusta, joka sekin on rahanarvoista puuhaa, jos puhutaan esimerkiksi vahvasti tutkimusta ja tuotekehitystä tekevistä organisaatioista.

Alla olevasta Kyberturvallisuuskeskuksen vuosiraportin kaaviosta selviää yllä oleva asiat ytimekkäästi.

Tietoturvan-vuosi_2016_Haavoittuvuudet

Palveluestohyökkäykset ja IoT:n hyödyntäminen verkkohyökkäyksissä kasvaa

Vuonna 2016 lyötiin uusiksi volyymienkat palveluestohyökkäysten (DoS) osalta. Mirai-bottiverkko sai paljon huomiota tykittämällä palveluita kuormittavaa haitallista liikennettä yli terabitin sekuntivauhdilla. Tämä hyökkäys sai polvilleen monia merkittävä kaupallisia toimijoita, kuten Twitter, Reddit ja Netflix.

Myös Suomi sai osansa palveluhyökkäyksistä. Suomessa erityisesti valtionhallinto sai kärsiä palvelunestohyökkäyksistä.

Esineiden internet eli IoT (Internet of Things) hyppäsi aimo loikkauksen eteenpäin vuoden 2016 aikana. Internettiin kytkettyjen laitteiden määrä kasvoi voimakkaasti. Valitettavasti myös kyseisiin laitteisiin liittyvät vahingolliset lieveilmiöt, kuten verkkorikollisuus, kasvoi vähintään samaa tahtia. Internettiin liitetyt kodinkoneet, automaatiolaitteet, valvontakamerat ja muut vastaavat houkuttelevat verkkorikollisia, koska niissä tietoturvaan ei aina ole kiinnitetty riittävästi huomiota.

Huhtikuussa hyväksytty tietosuoja-asetus on kuuma peruna

Euroopan parlamentin ja neuvoston päätöksillä hyväksyttyä EU:n yleistä tietosuoja-asetusta ryhdytään EU:n jäsenvaltioissa noudattamaan vuoden 2018 toukokuussa. Aiheesta on ollut hyvin paljon puhetta, mutta valitettavasti myös epätietoisuutta. Epätietoisuus johtuu pääosin siitä, että asetuksen soveltamiseen ei vielä ole juurikaan ollut käytännön ohjeita.

Asetus koskee henkilötietojen käsittelyä sekä tietoja käsittelevien organisaatioiden vastuita. Oikeusministeriö työstää kansallisen tason ohjeistuksia. Yksittäiset tahot ovat myös tekemässä esimerkiksi toimialakohtaisia ohjeistuksia. Lopullinen vastuu on kuitenkin organisaatiolla itsellään.

Me Centerolla olemme käyneet asiakkaiden kanssa paljon keskustelua GDPR:n (General Data Protection Regulation) tiimoilta ja järjestimme myös webinaarisarjan, jossa käsittelimme GDPR:ään liittyviä aihealueita linkittyen omiin palveluihimme.

Kannattaa tsekata webinaarisarjan nauhoitteet Youtubesta.

Centero tekee asiakkailleen myös IT-ympäristön tietoturvakartoituksia, joissa käydään teknistä tietoturvaa läpi EU:n tietosuoja-asetuksen vaatimukset huomioiden. Lue lisää kartoituspalvelustamme täältä.

Vuoden 2017 näkymät

Kyberturvallisuuskeskus ennustaa, että vuonna 2017 suomalaisilla organisaatiolla on edelleen paljon parannettavaa kyberuhkien havainnointiin liittyen. Organisaatiot tulevat edelleen täysin tietämättään altistumaan kyberhyökkäyksille.

Tietoturvan merkitys kasvaa jatkuvasti ja siksi osaamisen kysyntä kasvaa tarjontaa suuremmaksi. Ei siis ole hullu ajatus miettiä omaakin tietoturvaosaamista, jos on palvelutarjoaja tai alan työnhakija. Uhkien havaitseminen ja osaaminen pitäisi olla riittävällä tasolla myös GDPR:n vaatimuksia ajatellen.

Kiristyshaittaohjelmat jatkavat kasvuaan. Levitysmekanismina tullaan perinteisten tapojen lisäksi näkemään esimerkiksi sovellushaavoittuvuuksien kautta tapahtuva hyökkäys.

Mobiililaitteiden tietoturva on jo pitkään ollut tapetilla, mutta jatkossa tullaan näkemään yhä laajempia ja monimutkaisempia haittaohjelmia ja muita hyökkäystapoja mobiililaitteisiin kohdistuen. Tämän vuoksi organisaatioiden tulisi miettiä tosiaan, millä tavalla mobiililaitteet kannattaa hallita, jotta niissä on edes perusasiat tietoturvan suhteen kunnossa. Kannattaa lukea täältä, miten Keski-Uudenmaan koulutuskuntayhtymä KEUDA on hoitanut homman.

Kiitos kiinnostuksestasi ja tietoturvallista vuoden 2017 jatkoa!