F-Securen tietoturvakonsultin Antti Laatikaisen ohjeita yrityksille.
Venäjän Ukrainaa vastaan käymä sota on tuonut päivänvaloon kybersodankäynnin uuden aikakauden. On nähtävissä että kyberhyökkäyksiä käytetään yhteiskunnallisesti ja sotilaallisesti merkittävien tietojärjestelmien, verkkojen ja operatiivisten valmiuksien murtamiseen, häiritsemiseen ja tuhoamiseen yhtenä sotilasoperaation muotona.
Hybridivaikuttaminen on maailmanlaajuinen ilmiö. Usealla taholla on vahvoja poliittisia motivaatiota vaikuttaa ihmisten mielipiteisiin ja näkemyksiin sodasta.
Vaikka sota saattaakin fyysisesti rajoittua tietyille alueille, sen vaikutukset ulottuvat koko maailmaan ja kaikkialle Internetiin. Kotimaisille yrityksille ja organisaatioille, ja miksei yksittäisille ihmisillekin, tämä tarkoittaa käytännössä sitä, että jos et ole laittanut “poliittisesti motivoituneita ryhmiä ja valtiollisia toimijoita” oman organisaatiosi uhkatoimijoiden listalle, nyt on korkea aika lisätä ne sinne.
Näiden uhkatoimijoiden erikoisuutena on että he eivät välttämättä ole kiinnostuneita suoraan sinusta tai yrityksestänne. Heitä saattaa kiinnostaa enemmän mitä edustatte, mihin tietoon teillä saattaa olla pääsy ja mitä he saavuttaisivat varastamalla henkilöllisyytesi, pääsyoikeutesi, verkkosi ja vaikkapa asiakasyhteystietosi. Teistä tai sinusta voi muodostua yksittäinen lenkki heidän johonkin toiseen toimijaan kohdistuvassa toimittajahyökkäyksen ketjussa (eng. supply chain attack) tai ponnahduslauta hybridivaikuttamisen kampanjassa. Tätä toimintaa vastaan voidaan onneksi puolustautua.
Nämäkään uhkatoimijat eivät käytä hyökätessään taikuutta, hekin käyttävä tietokoneidensa näppäimistöjä.
Mikäli pohdit omaa uhkakenttääsi tai miten tätä asiaa voisi lähestyä teidän yrityksen kontekstissa, voit käyttää seuraavia kysymyksiä lähtiessäsi purkamaan tätä eri tiimien kanssa:
Riskienhallinta
- Olemmeko osa maamme kansallista turvallisuutta?
- Osallistummeko maamme kriittiseen infrastruktuurin ylläpitoon?
- Tarjoammeko palveluita tai ohjelmistoja osapuolille jotka edistävät edellä mainittua?
- Olemmeko näkyvässä vai tärkeässä roolissa kansalaisten arjessa? Voiko meitä vastaan hyökkäämällä lietsoa yleistä pelkoa tai hämmennystä?
Jos vastaatte johonkin kysymykseen kyllä, saatatte olla mielenkiintoinen kohde poliittisesti motivoituneelle toiminnalle. Tärkeimmät erot perinteisten uhkatoimijoiden ja poliittisesti motivoituneiden välillä ovat resursointi ja toiminnan sinnikkyys. Jälkimmäisessä hyökkääjät eivät siirry “seuraavaan kohteeseen listalla” niin nopeasti vaikeuksia kohdatessaan.
Sisällytä tämän ajattelutyön tulokset siihen uhkamalliin joka sinulla on käytössäsi omaa toimintaasi ja prosessejasi varten juuri nyt. Kiinnitä erityistä huomiota palveluntarjoajiin ja toimittajiin. Millaisia hyökkäysvektoreita he muodostavat, jos heidän oman toiminnan eheys vaarantuu?
IT ja operatiivinen suojaus
Päivitä tietoturvapäivitykset kaikkiin käyttämiisi järjestelmiin ja tekniikoihin. Kiinnitä erityistä huomiota että tietoturvapäivitykset ovat oikeista lähteistä ja eheitä.
- Onko meillä teknisiä ja toiminnallisia valmiuksia havaita työasemillamme ja palvelimillamme suoritettuja haittaohjelmia ja hakkerityökaluja, sekä reagoida näihin havaintoihin nopeasti?
- Otammeko säännöllisiä varmuuskopioita kaikista kriittisistä tietojärjestelmistämme? Tallennetaanko ne niin, etteivät hyökkääjät pääse niihin käsiksi ja olemmeko varmoja, että ne toimivat tarvittaessa?
- Olemmeko rajoittaneet sallitun ulospäin lähtevän liikenteen järjestelmistämme ja verkoistamme minimiin ja voimmeko valvoa sallittua liikennettä? Millä tarkkuudella ja kuinka kattavasti?
- Arvioi kriittisten tiedostojen eheyden valvontaratkaisun (eng. file integrity monitoring) käyttöönoton tarvetta kaikkiin kriittisiin järjestelmiin, jos et ole vielä tehnyt niin.
- Käytämmekö monivaiheista tunnistautumista kaikissa ylläpidollisissa toimissa riippumatta siitä toimimmeko luotetussa tai alemman turvaluokan verkoissa?
- Käytämmekö monivaiheista tunnistautumista kaikissa etäyhteyksissä, mukaan lukien pilvijärjestelmät ja niiden hallintaportaalit?
- Käytämmekö Venäjältä, Valko-Venäjältä tai Ukrainasta peräisin olevia ohjelmistoja ja/tai ohjelmistokirjastoja?
- Olemmeko uhkamallintaneet tilanteen jossa näiden ohjelmistojen ja/tai kirjastojen eheys vaarantuu ja niiden oletettuun toimintaan ja turvallisuuteen ei voida enää luottaa?
(Huomaa, että oletusarvoisesti sinun ei pitäisi luottaa missään päin maailmaa tehtyyn koodiin tai sovellukseen sokeasti.)
Poikkeamanhallinta (IR)
- Olemmeko harjoitelleet kyberhyökkäyksen tunnistamista, rajaamista, poistamista ja niistä toipumista kaikkien asiaankuuluvien osapuolten (ja mahdollisten palveluntarjoajien) kanssa viimeisen kuuden kuukauden aikana?
- Olemmeko teknisesti kykeneviä ja toimintavaltuuksien puolesta sallittuja tekemään tarvittaessa nopeastikin päätöksiä esimerkiksi tietojärjestelmiä tai kokonaisten verkkojen eristämisestä? Myös yrityksen/organisaation toiminnalle kriittisten?
- Tiedämmekö miten tehdä sujuvaa yhteistyötä eri viranomaisten ja paikallisen CERT-toimijan kanssa?
Huomaa, että tämä ei ole kattava luettelo vaan sisäisen keskustelun avaus. Käänny luottamasi kyberturvallisuuden asiantuntijan puoleen saadaksesi apua jos tunnet tarvitsevasi sitä.
Haastavissakin tilanteissa ja kyvykkäidenkin hyökkääjien ollessa vastassa on hyvä muistaa että perinteisillä vanhan koulukunnan IT:n ja tietoturvallisuuden perusprosesseilla sekä hyvillä käytänteillä saadaan vahinkoja pienennettyä huomattavasti, joissain tapauksissa jopa kokonaan vältettyä. Nyt on hyvä hetki varmistaa omat valmiudet ja kyvykkyydet.
Kategoriat