Viestintäviraston Kyberturvallisuuskeskus kertoo, miten jokainen yritys voi varautua lisääntyviin kyberhyökkäyksiin.
Kyberhyökkäykset ammattimaistuvat, lisääntyvät ja kehittyvät tulevaisuudessa merkittävästi, sillä koko yhteiskunta, yritykset ja ihmiset ovat yhä tiukemmin verkkojen ja koneiden varassa. Kyberrikolliset ovat jo valjastaneet IoT-laitteet käyttöönsä.
“Kun yrityksen perustietoturva on kunnossa, kyberuhista on hallinnassa jo noin 80 prosenttia. Se suojaa tehokkaasti massalevityksenä tehtyihin erilaisiin verkon häirintäviesteihin, palvelunestohyökkäyksiin ja haittaohjelmiin.” Näin sanoo Viestintäviraston Kyberturvallisuuskeskuksen tilannekuva- ja yhteistyöasioiden ryhmäpäällikkö Jarna Hartikainen.
Perustietoturvalla tarkoitetaan sitä, että työasemat ja päätelaitteet sekä niiden ohjelmistot, virusturvat, salasanojen hallinta ja pilvipalvelujen suojaukset ovat kunnossa ja ajantasaisia.
Viestintäviraston Kyberturvallisuuskeskus on kansallinen tietoturvaviranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Se seuraa toimintaa kuuden eri kyberturvallisuuteen liittyvän ilmiön alla; palvelunestohyökkäyksiä, tietohuijauksia ja tietojen kalastelua, ohjelmistojen haavoittuvuuksia ja haittaohjelmia, vakoilua, verkon toimivuutta ja esineiden internetiin, IoT:hen liittyviä uhkia.
Yhä edelleen tyypillisin kyberuhka on tietojen kalastelu verkossa. Toinen tyypillinen verkkohuijaus ovat erilaiset laskutushuijaukset. Niissä käytetään hyväksi ihmisten palvelualttiutta ja hyväntahtoisuutta.
”Verkon kautta tulee esimerkiksi toimitusjohtajan nimissä kiireinen maksatusmääräys. Kiireessä lasku sitten maksetaan, vaikka hälytyskellojen pitäisi aina soida, jos pyydetään toimimaan normaalista prosessista poikkeavalla tavalla.”
Verkkorikolliset rahan perässä
Varsinaisissa kyberhyökkäyksissä verkkorikolliset käyttävät hyväkseen esimerkiksi kryptaavia haittaohjelmia, jotka lukitsevat koneen tai laitteen tiedostot. Jos haittaohjelma päätyy yhteiskäytössä olevalle verkkolevylle, kaikkien siihen yhteydessä olevien koneiden tiedostot lukittuvat ja ovat pois käytöstä.
Lukitut tiedostot itsessään ja yrityssalaisuudet eivät verkkohuijareita Hartikaisen mukaan yleensä kiinnosta. Useimmiten he vain koettavat kiristää haittaohjelman avulla rahaa. Yritystä saatetaan uhkailla tietojen levittämisellä tai vaikka koneiden lukitsemista vielä suuremmilla häiriöillä.
”Jos yrityksen toiminnan kannalta kriittiset tiedot on lukittuna, yrityksen toiminta voi halvaantua vakavastikin. Siksi onkin tärkeää huolehtia tietojen varmuuskopioinnista. Kun tiedot ovat tallessa, kiristykseltä menee pohja”, Hartikainen sanoo ja muistuttaa, ettei lunnaiden maksamista suositella muutenkaan.
Tietoturvaloukkauksista voi olla yhteydessä esimerkiksi Viestintäviraston Kyberturvallisuuskeskukseen. ”Me neuvomme, miten tilanteessa kannattaa edetä, jotta verkkoa on jälleen turvallista käyttää ja uusilta loukkauksilta vältytään. Jos kyseessä on verkkorikos, opastamme myös olemaan yhteydessä poliisin, joka käynnistää rikostutkinnan.”
Segmentoitu verkko suojaa
Jotta yritys saisi mahdollisimman pieniä vaurioita kyberhyökkäyksessä, tietoverkkojärjestelmä on rakennettava segmentoidusti. Silloin vaurioitunut osa verkkoa voidaan blokata erilleen, eikä koko yrityksen toiminta häiriydy.
Muutenkin yrityksen tietoverkkojärjestelmää on mietittävä kokonaisuutena. Ei riitä, että omat järjestelmät ovat kunnossa, alihankkijatkin on otettava huomioon.
Verkko on yhtä hyvä, kuin sen heikoin laite. Heikko lenkki voi olla vaikka yrityksen tietoverkkoon liitetty kahvikone, jota alihankkija lukee etänä osatakseen tulla oikeaan aikaan huoltamaan sitä.
”Jos suojaukset ovat puutteelliset, kahvikoneen kautta voi päästä koko yrityksen verkkoon. Yhtä lailla IoT-laite voi olla verkossa oleva kitaravahvistin, robotti-imuri tai isonkin yrityksen kiinteistönohjauksessa käytettävät laitteet ”, Hartikainen sanoo.
IoT-laitteet ovatkin ilman ajantasaisia päivityksiä ja asianmukaista ylläpitoa kasvava kyberuhka. Niitä käytetään esimerkiksi haittaohjelmien jakeluun ja palvelunestohyökkäyksiin. Itse laitetta ei ole useinkaan tarkoitus vahingoittaa tai aiheuttaa laitteen omistajalle haittaa, vaan käyttää hyväksi laitteen kapasiteettia.
Toimintasuunnitelma kyberhyökkäyksien varalta kannattaa
Ehkä pieneltäkin vaikuttava perustietoturvaan liittyvä asia on päätelaitteiden ja ohjelmistojen päivitykset. Kun niitä tarjotaan, päivitys kannattaa tehdä viipymättä.
”Mitä nopeammin turvallisuutta ja suojauksia parantavat päivitykset asennetaan, sitä lyhyemmän ajan rikolliset pääsevät hyödyntämään tietoturva-aukkoja”, Hartikainen sanoo.
Kyberrikollisia on vaikea saada kiinni, sillä esimerkiksi palvelunestohyökkäyksen tekijä voi olla fyysisesti aivan toisessa maassa, missä verkkohyökkäys tapahtuu. Samoin hyökkäyksessä käytettävät laitteet saattavat sijaita ympäri maailman ja niitä voi olla vaikka 100 000.
Vaikka kyberhyökkäystä ei olisikaan vielä omalle kohdalle sattunut, Jarna Hartikainen suosittelee laatimaan toimintasuunnitelman kyberhyökkäysten varalta. Mitä yrityksessä tehdään ja missä järjestyksessä, jos verkkoon kohdistuu jonkinlainen hyökkäys?
”Jos uhka ei nyt tunnu kovin suurelta voi pohtia, kuinka nopeasti yritys saadaan toimintakykyiseksi, jos verkko esimerkiksi lukkiutuu. Ja kuinka suurista taloudellisista menetyksistä on kyse, mainekolhuista puhumattakaan.”
Yritykset lisääntyvään yhteistyöhön
Jos Hartikainen saisi päättää, yritykset tekisivät huomattavasti enemmän yhteistyötä kyberuhkien torjuntatyössä. Yhteistyö on rikollistenkin tapa kehittää osaamistaan.
”On kaikkien etu, jos yritykset kertoisivat, minkälaisia ongelmia ne ovat kohdanneet. Se auttaa muita varautumaan ja samalla saa itse muilta tietoa. Eri yritykset katsovat asiaa aina vähän eri näkökulmista, siksi hyviä käytäntöjä kannattaa jakaa.”
Muutenkin Hartikainen toivoisi positiivisempaa suhtautumista tietoturvaan. Se ei saisi olla mörkö, jota pelätään.
Tämä on pitkälti johtamiskysymys.
”Ihmiset tekevät virheitä, se kuuluu ihmisyyteen. Meillä pitäisi olla kulttuuri, jossa uskaltaa kertoa, jos edes epäilee tehneensä virheen. Silloin virheen seuraukset voidaan selvittää ja paikata. Talo voisi tarjota tietoturvamokailun kertomisesta vaikka kakkukahvit.”
Sataprosenttisen varmaa tietojärjestelmää ei pystytä rakentamaan milloinkaan. “Kun perustietoturva on kunnossa ja suunnitelmat valmiina, valtaosa selviää kohdalle osuvista kyberuhista silti säikähdyksellä ja toipuu vakavammista tietoturvaloukkauksista nopeammin”, Jarna Hartikainen sanoo.
Eivätkä yritykset ole ongelmien kanssa yksin. Apua löytyy omalta palvelutarjoajalta ja Viestintäviraston Kyberturvallisuuskeskuksesta. Se julkaisee kuukausittain Kybersääkatsausta, joka kertoo kuukauden merkittävimmistä tietoturvapoikkeamista ja -ilmiöistä.
Jarna Hartikaisen vinkit kyberuhkien torjuntaan
- Yrityksen perustietoturva kuntoon.
- Työasemat ja päätelaitteet sekä käyttöjärjestelmät ja ohjelmistot sekä virusturva ja salasanojen hallinta ajan tasalle.
- Selvitä palvelutarjoajasi kanssa, minkälaisesta turvasta sopimuksessa maksetaan.
- Laatikaa yritykselle toimintastrategia kyberhyökkäysten varalta. Varmistakaa, että kaikille on yrityksessä selvää, mikä on marssijärjestys kyberhyökkäyksen osuessa kohdalle.
- Luo yritykseen niin luottamuksellinen ilmapiiri, että tietoturvaan liittyvistä virheistä uskalletaan puhua.
- Seuraa Viestintäviraston kuukausittaista yleistä kybersäätiedotetta viraston kotisivuilla ja Facebookissa ncsc-fi sekä Twitterissä @certfi.
Katso lisätietoja Elisan kyberturvapalveluista. Tutustu myös kattavaan palveluvalikoimaamme yrityksen verkon ja laitteiden tietoturvassa.
Lue myös
Yritysten kriittisin data turvaan kyberhyökkäyksiltä