Alkuvuodesta kuulimme lukuisia katsauksia viime vuoden digi- ja kybermaailman tapahtumiin sekä ennustuksia alkaneelle vuodelle. Voit katsella myös meidän arvioimme tai jonkin muun tilaisuuksistamme YouTube-
kanavaltamme.
Viime vuonna tietoverkkorikolliset aktivoituivat merkittävästi, osin uudistamalla liiketoimintamallia enemmän kiristyspainotteiseksi (tiedolla johtamisen sijaan sillä kiristämiseksi). Samoin kybervakoilun osalta tapahtui selkeä muutos, loppuvuoden
SolarWinds-yrityksen kautta toteutettu operaatio kuuluu samaan sarjaan Stuxnetin ja NotPetyan ohella.
Niin, tähän vielä kaupan päälle koronaviruspandemian aiheuttamat uhkat, esimerkiksi siirtyminen etätöihin ja tämän loistavan mahdollisuuden ohella tilanteeseen kohdistuvat uudenlaiset uhat. Eri tilastotietojen perusteella viime vuonna on skannailtu verkkoja enemmän kuin koskaan sekä tehty erilaisia huijausyrityksiä kasvavassa määrin. Tästä esimerkkinä lokakuussa esille nostamani #Kimmovshuijari eli Microsoft-
tukipuheluhuijarit. Näiden perusteella oli helppo ennustaa, että vuodesta 2021 ei ole tulossa helppoa. Se on valitettavasti alkanut ennustuksiakin huonommin
.
Miten hyvin teidän päivitysprosessinne toimivat?
2.3.2021 jää historiaan, koska tuolloin Microsoft julkaisi korjaukset peräti neljään Exchange-palvelinohjelmiston nollapäivähaavoittuvuuteen normaalin päivityssyklin ulkopuolella. Toivottavasti useimmissa organisaatioissa tämän perusteella tehty riskienarviointi aiheutti sen, että ne ajettiin *välittömästi* seuraavan vuorokauden kuluessa niiden julkaisusta. Suosittelen lukemaan ja seuraamaan Brian Krebsin erinomaista sivustoa – esimerkiksi tämän haavoittuvuuden aikajana antaa loistavan taustoituksen
suurimpaan huoleeni.
Ja se huoleni liittyy siihen, että valitettavan moni organisaatio saattoi viivytellä liikaa tämän kriittisen päivityksen osalta ja aiheuttaa tämän takia henkilötietojen tietoturvaloukkauksen, siis tietomurron. Ja kuten olen itse
nostanut esille, tässä ei riitä se, että ajetaan päivitykset ja vilkaistaan, että ”eihän tuolla ole mitään epäilyttävää shelliä asennettuna”, vaan tilanne vaatii perusteellisen tietoturvatarkastuksen. Siis kaivetaan lokit esille ja käydään läpi ainakin kaikki tämän vuoden lokit. Toisaalta, koska tämä haava on ollut ”ikuisesti” tai ainakin 10+ vuotta, tätä on saatettu sen tietävien osalta hyödyntää aikaisemmin. #nollapäivä #kybervakoiluMitä tästä pitäisi oppia? Kun esimerkiksi Suomessa Liikenne- ja viestintävirasto Traficom / Kyberturvallisuuskeskus julkaisee ns. punaisen varoituksen ja se koskee organisaation käytössä olevia palveluita, riskienarviointi ja päätökset pitää tehdä välittömästi. Tämä ei tarkoita sitä, että päivitykset pitää saada heti liikkeelle, laadusta tinkimällä – tässä hätäilemällä voi kaivaa itselleen vain vielä syvemmän kuopan.
Kybervakoilu on arkipäivää
Edellisen ohella nostin esille jo aikaisemmin #kybervakoilu. Suosittelen tutustumaan SUPOn
vuosikirja 2020 sekä uutiseen koskien APT31-ryhmän toimintaa ja kolmantena heidän uutisensa siitä, että ulkomaiset tiedustelupalvelut käyttävät yritysten ja yksityishenkilöiden verkkoreitittimiä kybervakoiluun. Kuinka moni on ohjeistanut ja neuvonut, miten henkilöstö päivittää nämä kotona olevat kriittiset ict-laitteet? Ja miksi se on muuten niin pirun hankalaa?Nämäkin uutiset löytyvät SUPOn sivuilta ajankohtaisosiosta. Nämä luettuasi ymmärrät, että koronavirus aiheutti digiloikan ohella kybervakoiluloikan, joka ei tällä tavalla viestitettynä jää enää huomaamatta. Fyysisen maailman ohella tuosta on tullut entistä näkyvämpi digitaalisen toimintaympäristön uhka.
Mitä tästä pitäisi oppia? Jokaisen organisaation johdon tulisi arvioida, millainen merkitys heidän toiminnallaan on kansallisen turvallisuuden näkökulmasta ja millaisena kohteena heidän organisaatio näyttäytyy kybervakoilulle. Ja vaikka vastaus olisi edelliseen aluksi ei, entä onko teillä sellaisia asiakkaita, joihin tie kulkeekin teidän kauttanne? Tietoverkkorikollisten osalta tätä arviointia ei tarvitse tehdä, koska me #kaikki olemme heille kohteita, tietysti organisaation tulee tunnistaa, mikä erityisesti heitä kiinnostaa (mitkä tiedot tai prosessit) ja miten tätä riskiä hallitaan.
Huhtikuu alkanut synkästi
Jos maaliskuu oli haasteellinen, huhtikuu ei ole alkanut yhtään sen iloisemmin. Kuukautta varjostaa uutiset usean eri sosiaalisen median palvelun tietojen päätymisestä palvelun ulkopuolisille toimijoille. Mediassa ovat esille nousseet Facebookin, mahdollisesti jopa kahden eri tapauksen kautta, LinkedIn ja Clubhouse-palvelun käyttäjiin kohdistuvat henkilötietojen tietoturvaloukkaukset. Nyt tietysti voidaan kysyä, onko nämä oikeita ”tietoturvaloukkauksia”, koska tietoja ei ole välttämättä saatu tietomurron seurauksena, vaan ne on voitu kaapia tai haravoida (”data scraping”) palveluista esimerkiksi erilaisten rajapintojen ja kyselyiden avulla. Itse koen ne tietoturvaloukkauksina, koska en ole antanut lupaa mihinkään tällaisiin tietojenluovutuksiin ja tietojeni hyödyntämiseen. Odotankin mielenkiinnolla, miten EU-alueella sovelletaan tähän #GDPR.
Tule kuuntelemaan lisää meidän kaikille avoimen ajankohtaistilaisuuden tallenteesta 21.4. omalta YouTube-kanavaltamme
Tieto- ja terveysturvallista kevättä!
