Cyber Security Outlook 2023 – katsaus kyberturvallisuuden ilmiöihin

Lukuaika 4 min

Kybertoimintaympäristön muutokset vaativat nopeaa reagointikykyä. Jotta yllättäviinkin muutoksiin pystytään reagoimaan ajoissa ja riittävällä tavalla, oikeanlaisen tilannekuvan muodostaminen on tärkeää. Tässä blogikirjoituksessa käsittelen havaintojani kyberturvallisuuden näkymistä ja lähitulevaisuuden ilmiöistä.

Kyberturvallisuus liiketoiminnan ytimessä

Kyberturvallisuudesta on tullut liiketoiminnan mahdollistaja ja olennainen osa yhteiskunnan toimivuutta. Turvallisuuden huomioiminen palveluissa ei ole enää vaihtoehtoinen lisäominaisuus vaan olennainen osa koko organisaation toimintaa. Jatkuvuuden varmistamisen näkökulmasta kyberturvallisuudella on hyvin merkittävä rooli.

Tutkimusyhtiö Gartner arvioi, että 70 % johtoryhmistä pitää sisällään tulevaisuudessa kyberturvallisuuteen erikoistuneen jäsenen.1

Allianz Risk Barometer 2023 -tutkimuksen2 mukaan kyberhäiriöt ovat merkittävin riski toiminnan jatkuvuudelle jo toisena vuonna peräkkäin. Kyberhäiriöt nousivat haastateltavien mielestä korkeammalle kuin esimerkiksi inflaatioriski tai luonnonkatastrofit.

Verkkorikollisuuden, kiristyshaittaohjelmahyökkäyksen ja tietomurtojen uhka koetaan akuutiksi ja ajankohtaiseksi liiketoimintariskiksi. Kyberpoikkeamatilanteet voivat johtaa liiketoiminnan pitkiinkin keskeytyksiin, jolloin vaikutukset voivat olla erittäin merkittäviä toiminnan jatkuvuuden näkökulmasta.

Laajemmat geopoliittiset jännitteet muokkaavat organisaatioiden riskinsietokykyä. Kyberympäristön muutokset edellyttävät nopeaa sopeutumiskykyä ja liiketoiminnan riskien jatkuvaa arviointia.

Organisaation selviytymiskyky ja joustavuus poikkeustilanteissa on hyvä tavoite riskien hallinnassa. Resilienssin kehittäminen vaatii ennaltaehkäisevää ja ennakoivaa ajattelutapaa sekä pitkäjänteistä kehitystyötä.

Ihmiset vaativat enenevissä määrin, että ostamissaan palveluissa ja tuotteissa turvallisuus on rakennettu sisään. On tärkeää käsitellä kyberturvallisuutta liiketoiminnan arvon tuottamisen ydinominaisuutena ja lopputuloksena, ei vain irrallisena vaatimuksena, oletuksena tai yksittäisenä tarkistuslistana.

Kyberrikollisuus on jatkuvasti muuntautuva liiketoiminta

”Today’s attackers do not break in, they log on” kertoo ilmiöstä, jossa järjestelmien teknisten suojausten kehityttyä rikollisten on pitänyt etsiä uusia keinoja rikollisiin toimiinsa.

Vaihtoehtona on ollut yritys päästä varastetuilla käyttäjätunnuksilla sisään kohdeorganisaatioihin ja jatkaa toimenpiteitä kaapattujen tunnusten avulla.

Varastettujen käyttäjätunnusten kauppamarkkinat ovat kasvaneet merkittävästi viime vuosina; lähes 80 % kyberhyökkäyksistä hyödyntää identiteetin hyväksikäytön.3

Harvemmin enää yksi rikollisryhmittymä suorittaa hyökkäyksen alusta loppuun saakka itse, vaan nyt puhutaan rikollisten välisestä liiketoiminnasta. Rikolliset erikoistuvat ja on kannattavampaa ostaa täsmäpalveluna hyökkäykseen tarvittavia komponentteja muilta toimijoilta.

Pääsyoikeuksien myynti yritysten verkkoon on yli kaksinkertaistunut vuotta edeltäneeseen tilanteeseen nähden.4 Rikollisuus on kannattavaa liiketoimintaa. Kyberrikollisuuden taloudellisen arvon nähdään vastaavan kolmanneksi suurinta taloutta Yhdysvaltojen ja Kiinan jälkeen.5

Tietojenkalastelu on edelleen merkittävä ja erittäin yleinen hyökkäystapa. Toimitusjohtajahuijaukset (Business Email Compromise, BEC) ovat vieläkin varma tulonlähde rikollisille. 6 Erilaiset laskuhuijausyritykset kiihtyvät jälleen lomakauden lähestyessä.

Verkkorikollisuus jatkaa kasvuaan, kun rikollismarkkinoille pääsy on madaltunut.

Rikolliset tarjoavat helpon pääsyn työkaluihin ja palveluihin (esim. Ransomware as a Service, RaaS) eikä erikoisosaamista juurikaan enää vaadita hyökkäysten suorittamiseen.

Laajamittaisia kiristyshaittaohjelmahyökkäyksiä on edelleen paljon ja uhka on merkittävä. Kiristyshaittaohjelmarikollisuus jatkaa tasaista kasvuaan, vaikka rikollisille maksetut palkkiot ovat pienentyneet.7 Organisaatioiden varautuminen ja sitä kautta reagointi kiristyshyökkäyksiin on parantunut ja rikollisten on pitänyt etsiä uusia kiristyskeinoja palkkioidensa varmistamiseksi.

Rikolliset hyödyntävät erilaisia haavoittuvuuksia nopeasti. Järjestelmähaavoittuvuuksia käytetään hyväksi jopa muutamissa tunneissa tai minuuteissa. Riskiperusteinen haavoittuvuuksien korjaaminen on ratkaisevan tärkeää, koska haavoittuvuuksien määrä on suuri ja kasvaa koko ajan. Kaikkia paikkauksia ei pystytä tekemään vaan pitää keskittyä organisaatiolle kriittisimpien haavoittuvuuksien korjaamiseen.

Zero Trust – toimitusketju uhattuna

Toimitusketjuhyökkäykset ovat kasvussa. Erilaiset uhkatoimijat kohdistavat hyökkäyksiä erityisesti kriittiseen infrastruktuuriin, hyödyntävät ICT-palveluntarjoajia ja erilaisia toimitusketjuja lisätäkseen onnistuneen hyökkäyksen todennäköisyyttä ja vaikutusta. Hyökkääjät ovat laajentaneet toimenpiteitään keskisuuriin ja pienempiin organisaatioihin. Rikolliset käyttävät erilaisia toimitus- ja arvoketjuja päästäkseen sisään tavoittelemaansa organisaatioon.

Pienempi yritys voi olla keino päästä toimitusketjuhyökkäyksessä eteenpäin varsinaiseen kohteeseen, sillä pienemmissä yrityksessä eivät suojaukset välttämättä ole niin korkealla tasolla. Yhteistyö ja tiedonvaihto eri organisaatioiden välillä on tärkeää yhteisen puolustuksen ylläpitämiseksi.

Rikollisryhmät pyrkivät röyhkeästi palkkaamaan yritysten sisäpiiriläisiä ja aktiivisesti etsivät pimeiltä markkinoilta organisaatioiden käyttäjätunnuksia. Toimintojen ulkoistamisesta oman organisaation ulkopuolelle ja siirtämisestä toiseen maahan tulee entistä suurempi riski. Turvallisuuden varmistamisen on ulotuttava pidemmälle kuin vain perinteisten sopimusehtojen täyttämisessä. Toimintamallit, valtuudet ja roolit poikkeustilanteissa pitää olla kaikille osapuolille selvät.

Vahvojen käyttäjätunnusten (privileged users) hallinta on entistä tärkeämpää. Vahvojen käyttäjätunnusten kontrollien puute tai riittämättömyys oli syynä lähes 93 % kiristyshaittaohjelmistohyökkäyksissä.8 Käyttäjätunnusten liian suuret käyttövaltuudet mahdollistavat lateraalisen liikkumisen organisaatiossa.

Ohjelmistojen toimitusketjuhyökkäykset (software supply chain attacks) ovat kasvava uhka, jotka kohdistuvat erityisesti ohjelmistokehitykseen ja lisäävät tarvetta ymmärtää tarkemmin käytettyjä ohjelmistokomponentteja. Komponenttien määrä on suuri ja yhtä ainoaa helppoa ratkaisua ei ole. Paras suojautumiskeino on rakentaa kerroksellista puolustusta koko organisaation tasolle.

Kompleksisuus on turvallisuuden vihollinen

Erilaisten IT-ympäristöjen kompleksisuus ylittää jo ihmisen ymmärryskyvyn. Kokonaisuuksien hahmottaminen on entistä vaikeampaa. Hyökkäyspinta on kasvanut 150-kertaiseksi vuoteen 2000 verrattuna9 ja jatkaa kasvamistaan kompleksisuuden lisääntyessä ja IT-ympäristöjen hajautuessa mm. pilveen.10 Uhkia vastaan on tämän takia entistä vaikeampi suojautua. Kompleksiset toimintaympäristöt vaativat yhtenäisempiä ja automatisoidumpia uhkien havaitsemis- ja reagointityökaluja.

Monimutkaisuus johtaa usein ihmisen virheisiin ja liiallisiin käyttöoikeuksiin. Riittävän näkyvyyden puute muodostaa riskin ja hyökkäysten laaja-alaisten vaikutusten ymmärtäminen on entistä tärkeämpää. Tekoälyn hyödyntäminen rikollisiin tarkoituksiin voi johtaa räätälöityihin, merkittäviin ja laajasti vaikuttaviin kyberhyökkäyksiin. Puolustajien on vastavuoroisesti hyödynnettävä tekoälyä selviytyäkseen. On hyvä huomioida, että kyberhygieniasta huolehtimisella pääsee jo varsin pitkälle; Microsoftin arvion mukaan perusasiat huomioimalla voi edelleen suojautua noin 98 % hyökkäyksistä.11 Ihmiset ovat edelleen keskeinen osa kyberturvallisuutta: 82 % tietomurroista hyödynnetään ihmisten heikkouksia.12

Julkaistujen haavoittuvuuksien määrä on kasvanut eksponentiaalisesti. Vuoden 2022 lopussa julkaistiin 190 971 haavoittuvuutta, joka tarkoittaa satoja uusia viikoittaisia haavoittuvuuksia.13 Riskiperusteinen priorisointi on välttämätöntä haavoittuvuuksien korjaamisessa sillä tutkimukset osoittavat myös, että ainoastaan 4 % löydetyistä haavoittuvuuksista aiheuttaa organisaatioille aidon riskin.14

Kyberturvallisuuden osaajapula on edelleen todellinen. Osaamispuute on jatkossakin merkittävä riski yksittäiselle organisaatioille ja koko yhteiskunnalle. Tulevaisuudessa yhä useampi organisaatio kasvattaa omista työntekijöistään kyberosaajia pelkän ulkoisen rekrytoinnin sijaan.15

Organisaatioiden kyberturvallisuus on kehittynyt merkittävästi, kun panostuksia on lisätty entistä enemmän tietoturvaan ja riskienhallintaan. Teknologiat ja menetelmät ovat kehittyneet. Esimerkiksi tekoälypohjaiset uhkien tunnistusjärjestelmät ja käyttäjän käyttäytymisen analysointi on parantanut kykyä havaita ja torjua kyberhyökkäyksiä. Samalla on keskitytty henkilöstön kouluttamiseen tietoturvasta ja tietoisuuden lisäämiseen kyberuhkista, jotta organisaatiot voivat toimia proaktiivisesti ja vahvistaa puolustuskykyään. Toisaalta myös kyberuhkat ovat kehittyneet monimutkaisemmiksi ja hienostuneemmiksi, hyödyntäen tekoälyä ja koneoppimista. Hyökkääjät ovat käyttäneet entistä enemmän kohdennettuja hyökkäyksiä, sosiaalisen manipulaation tekniikoita ja edistyneitä haittaohjelmia, mikä vaatii organisaatioilta entistä vahvempia ja monikerroksisia puolustusstrategioita.

Lue myös edellisvuoden Cyber Security Outlook -katsaus

Lähteet:

1. Gartner Top trends in Cybersecurity 2023
2. Allianz Risk Barometer 2023
3. Crowdstrike Global Threat report 2022
4. iB-Group: Hitech crime trends 2022-2023
5. Cybersecurity Ventures & eSentire, Official Cybercrime Report 2022
6. FBI 2022 Internet Crime Report
7. Chainanalytics: Crypto Crime Report 2023
8. Microsoft Digital Defence Report 2022
9. Bob Carver/Verizon: Cybersecurity Predictions and a Wishlist for 2022
10. Gartner Top Trends in Cybersecurity 2023
11. Microsoft Digital Defence Report 2022
12. Verizon: Data Breach Investigations Report 2022
13. F5 Labs: The Evolving CVE Landscape report 2023
14. Kenna Security: Prioritization to Prediction, Vol 8
15. Gartner Top trends in Cybersecurity 2023

Lue myös

Cyber Security Outlook 2022 – katsaus kyberkentän uhkiin, mahdollisuuksiin ja ilmiöihin

Kyberharjoitukset varmistavat yhteiskunnan toiminnan jatkuvuutta

Harjoittelu on tärkeä osa kyberuhkiin varautumista

Varaudu kyberhyökkäykseen – kyse ei ole jos, vaan milloin

Kirjoittanut

Teemu Mäkelä
Chief Information Security Officer

Elisa Oyj:n tietoturvajohtaja (CISO) Teemu Mäkelä on liiketoimintakeskeinen kyberturvallisuusjohtaja, jolla on yli 25 vuoden käytännön kokemus alasta. Teemu on ihmislähtöisen turvallisuuden puolestapuhuja, joka uskoo, että kyberturvallisuus on mahdollisuus, ei este ja sen tulee aina perustua asianmukaiseen riskienhallintaan mahdollistamalla liiketoiminta. Hänen merkittävä panoksensa alalla sai tunnustusta, kun Suomen suurin kyberturvallisuuden ammattilaisten verkosto Tietoturva Ry valitsi hänet Vuoden CISOksi vuonna 2020.