Kiristysohjelmat eivät ole suurin ongelma, vaan yritysten huonot turvakäytännöt

Identiteettivarkaus
(Kuva: Future)

Viimeaikaisten uutisotsikoiden perusteella vaikuttaisi siltä, että kiristysohjelmiin pohjautuvat hyökkäykset ovat lisääntyneet. Vaikka onnistuneita hyökkäyksiä on ollut aiempaa enemmän, suurempi syy johtuu siitä, etteivät yritysten turvallisuusasiantuntijat ole suojanneet omia verkkojaan riittävän hyvin.

Näin ainakin uskoo Optiv Security väittäessään, että valtaosa yrityksistä, jotka suostuvat hyökkääjiensä vaatimuksiin, ovat tehneet sen itse. Yhtiön mukaan suurin osa yrityksistä, jotka joutuvat "maksa tai kärsi"-kaltaisiin tilanteisiin, ovat siinä sen takia, ettei heidän kyberturvallisuus ole ollut vaaditulla tasolla.

James Turgal, Optivin Cyber Risk, Strategy and Transformation -osaston varapuheenjohtaja ja entinen FBI:n Information and Technology -osaston apujohtaja, on auttanut useita yrityksiä vastaamaan ja selviytymään kiristysohjelmahyökkäyksen jäljiltä. Keskustelimme hänen kanssaan ymmärtääkseen kiristysohjelmilla tehtäviä hyökkäyksiä tarkemmin ja miten yritykset voisivat suojautua näitä vastaan paremmin.

Mitkä ovat yleisimmät puutteet, joiden korjaamisella yritykset olisivat olleet turvassa kiristysohjelmahyökkäyksiltä?

Jokainen yritys on erilainen. Joillain vanhemmilla ja vakiintuneimmilla organisaatioilla on vuosien varrella kehittyneet lähiverkot ja infrastruktuuri, joissa ei ole priorisoitu turvallisuuteen. IT-alan yhtiöt ovat taas perinteisesti omaksuneet uudet teknologiat ilman niiden kunnollista asennusta ja/tai vanhan teknologian poistamista alta.

Jopa pilveen rakennetuilla startup-yhtiöillä on joitain paikallisia palvelimia tai infrastruktuuria, jotka vaativat jatkuvaa huolenpitoa.

Joitain yleisiä teemoja ja virheitä, joita yritykset tekevät ovat:

1. Ei paikkausstrategiaa (patch strategy) tai strategia, jonka suurin huolenaihe on verkon käytettävyys, eikä itse tiedon turvallisuus ja varmennus.

2. He eivät ymmärrä, miltä normaali liikenne näyttää lähiverkossa ja/tai ainoastaan ohjelmistotyökaluihin turvautuminen. Usein liian monet niistä ovat päällekkäisiä ja niiden asetukset on laitettu väärin. Verkkoarkkitehtuuri on joko yrityksen turva tai haavoittuvuus väärinasennettujen työkalujen vuoksi.

3. Liiallinen luotto varmuuskopioihin, ja usko siihen, että varmuuskopiointi on riittävä suoja. Varmuuskopiot, joita ei oltu jaokkeistettu lähiverkosta, on suunniteltu palauttamaan vain tietty kohta ajasta, eikä niitä ole suunniteltu suojaamaan hyökkäyksiltä. Varmuuskopioita täytyy testata säännöllisesti, jotta niissä oleva data ei ole korruptoitunut.

Kuulemme usein, kuinka yritysten varmuuskopiotkin on onnistuttu purkamaan, sillä ne ovat sijainneet samassa verkossa kuin yhtiön varsinainen data. Mihin muihin vastaavanlaisiin perustavanlaatuisiin puutteisiin olet törmännyt?

Olen työskennellyt FBI-urani aikana niin useissa kyberselvityksissä, joissa yhtiöt olivat keskittyneet ainoastaan seuraavaan digiloikkaan, että he unohtivat turvata heidän nykyisen infrastruktuurin suojauksen.

Esimerkiksi monet pilveen siirtyvät yhtiöt ovat usein niin keskittyneitä pilvimigraatioon, että he unohtavat heidän komeroissa pölyyntyvät palvelimet ja infrastruktuurin, jotka ovat edelleen kytkettyinä verkkoon.

Tarvitaan vain yksi avoin portti tai päivittämätön haavoittuvuus, joita hyökkääjät voivat hyödyntää.

Varjo-IT ja varjodatan säilytyspaikat ovat todella haavoittuvaisia ja juuri hyökkääjien lempikohteita, joita he pyrkivät löytämään yrityksen verkon haavoittuvuuksia etsiessään.

Optiv työskentelee satojen isojen yritysten kanssa kehittääkseen heidän puolustustaan kiristysohjelmahyökkäyksiä vastaan. Mitkä ovat yleisimmät käytännöt, joita jokaisen yrityksen pitäisi tehdä suojautuakseen kiristysohjelmia vastaan??

Valmistautuminen on elintärkeää, ja on parempi olla joutumatta ylipäätään uhriksi kuin joutua kiristysohjelman kohteeksi.

Parhaat strategiat ovat kuitenkin seuraavat:

1. Tunne yrityksesi verkko ja infrastruktuuri, tai jos käytät kolmannen osapuolen palveluita näihin, pyri tutustumaan aiheutettuun vahinkoon mahdollisimman nopeasti. On elintärkeää ymmärtää hyökkäyksen laajuus, tehdä juuritason analyysi, saada ympäristö takaisin hallintaan, ja selvittää, onko dataa mahdollisesti onnistuttu varastamaan ja jos kyllä, niin mistä se koostuu.

2. Tiedä, missä data sijaitsee, etenkin organisaation "kruunujalokivet". Jos ne on jaokkeistettu asiaan kuuluvalla tavalla ja yrityksellä on riittävät (puhtaat) varmuuskopiot, hyökkäykseen reagoimiseen on varmemmat otteet.

3. Huolehdi siitä, että yrityksellä on riittävän kattava tietoturvahäiriön hallintaopas, jossa käsitellään varta vasten kiristysohjelmia. Sekä tietenkin kriisiä varten harjoittelu, harjoittelu ja harjoittelu aina hallitusta myöten.

4. Huolehdi, että yrityksellä on myös ulkopuolisia asiantuntijoita (ulkopuolista konsultointia, rikostekniikkatutkimusta, PR- ja kommunikaatioasiantuntijoita).

Laitteiston vahvistamisen lisäksi pitäisikö yhtiöiden päivittää myös heidän henkilöstön tietotaitoa, kun otetaan huomioon, että monet kiristysohjelmat ja haittaohjelmat hyödyntävät inhimillisiä heikkouksia??

Olen aina sanonut, että kyberturvallisuus koskee enemmän näppäimistön takana olevia ihmisiä kuin varsinaista teknologiaa.

Kun teknologia kehittyy, ja tekoäly, koneoppiminen ja pilvimigraatiot kehittyvät, alalla tarvitaan uusia kykyjä. Huolimatta yrityksen tai organisaation koosta, kaikki kilpailevat samoista lahjakkaista osaajista.

Haluan painottaa sanaa "lahjakas", sillä meillä ei ole ainoastaan pulaa lahjakkaista henkilöistä, vaan myös heidän taitoerot ymmärtää nykyisten lähiverkkojen monimutkaisuuksista kasvaa entisestään.

Puutteet teknologiaan liittyvissä kyvyissä saattaa estää yritystä menestymästä entisestään, ja vielä suurempia negatiivisia riskejä voi tapahtua silloin, kun yrityksen tietohallintojohtajana tai tietoturvajohtajana on henkilö, jolla ei ole vaadittavia taitoja mutta joka väittää yrityksen olevan suojattu.

Olet ollut mukana neuvotteluissa joidenkin kiristysohjelmahyökkäyksiä tehneiden tekijöiden kanssa. Miten nämä ovat kehittyneet vuosien varrella? Oletko koskaan törmännyt tapauksiin, joissa hyökkääjät olisivat onnistuneet tehtävässään ja myyneet saamansa datan yrityksen kilpailijoille?

Monet yritykset tuntuvat luulevan, että kaikki rikollisryhmät ovat itsenäisiä soluja ja kilpailevat keskenään.

Sen sijaan nämä ryhmät jakavat usein dataa ja tietoja uhreistaan. Kun data on saatu varastettua yritykseltä ja se julkaistaan tai myydään pimeässä verkossa, muut rikollisryhmät käyttävät tätä samaa dataa käyttääkseen sitä muita uhreja vastaan tai haavoittuvuuksien parantamiseen.

Tällaiset tuplakiristysuhat ovat lisääntyneet aikakaudella, jolloin kiristysohjelmia myydään palveluina ja pimeästä verkosta löytyy Silk Roadin ja AlphaBayn kaltaisia kauppoja. Uhat eivät tule enää yhden organisaation suunnalta, vaan toisinaan rikollisryhmät työskentelevät keskenään ja tarjoavat toisilleen kiristyspalveluita ja Botnettejä, joita voi hyödyntää kiristyksessä.

Miten tuplakiristyksiin voi varautua? Vaikka yritykset saisivat palautettua kaiken varmuuskopioista ja hallitsisivat jälleen omaa verkkoaan, miten he voivat olla varmoja siitä, etteivät hyökkääjät vain paljasta saamiaan tietoja muille?

Tuplakiristyksen uhka on todellinen, mutta kiristysohjelmahyökkäyksissä on aina ollut uhka siitä, että hyökkääjät vuotavat saadun datan kaikille, joten en pidä tätä uhkaa kovin uutena.

Emme elä enää ajassa, jossa kyberhyökkäyksen kohteeksi joutunut uhri joko maksaa tai palauttaa järjestelmän, eikä hyökkäyksestä kerrota julkisuuteen mitään. Hyökkäyksistä raportointi ja tulevat lakisäädökset määrittelevät läpinäkyvyyden ja asian julkitulon.

Mitä mieltä olet AXA:n taannoisesta ilmoituksesta, jossa se kertoi luopuvansa turvaamasta ranskalaisia asiakkaitaan kiristysohjelmilta? Onko se mielestäsi tehokas keino vähentää kiristysohjelmahyökkäyksiä?

Uskon AXA:n päätöksen perustuneen heidän arvioonsa nykyisestä kybervakuutusmarkkinasta, ja siihen vaikuttaneen myös sääntelyelinten ja viranomaisten painostus.

Olen ollut mukana tapauksissa, joissa hyökkääjät ovat tietoisesti etsineet uhrin infrastruktuurista ja datasta tietoja siitä, onko uhrilla kybervakuutusta. Osa hyökkääjistä on jopa käyttänyt tätä saamaansa dataa kiristysohjelmassaan ja maininnut kiristysviestissä, ettei yrityksellä ole mitään syytä olla maksamatta, koska he ovat vakuutettuja.

Siten voitaisiinkin perustella, että kybervakuutukset vain rohkaisevat hyökkääjiä, jolloin maksujen ja kattavuuden rajoittaminen saattaisi vähentää tulevia hyökkäyksiä.

Uskon tähän trendiin ja koen, että se näkyy kiristyshyökkäysten pienemmissä maksuvaateissa sekä siinä, että vakuutuksenottajat joutuvat ylläpitämään entistä tiukempia suojauskäytäntöjä, suorittamaan parempia ja useampia riskiarvioita sekä turvautumaan entistä paremmin uhkia vastaan. Mielestäni tämä on parempi tapa vastata kiristyksiin kuin pelkästään olla maksamatta vaatimuksia.

Joonas Pikkarainen

Joonas Pikkarainen on teknologia- ja pelitoimittaja, jolla on erityisen vahvat juuret juuri pelialan raportoinnista useissa eri kotimaisissa medioissa. Muihin kiinnostuksiin lukeutuvat valokuvaus, videotuotanto ja elokuvat, sekä oikeastaan kaikki muu siltä väliltä ja näiden lisäksi.