Artikkeli pohjautuu Martti Lehdon Secappin asiakaspäivässä 3.11. pitämään puheenvuoroon ”Kyberturvallisuutta rakentamassa kriittisen infrastruktuurin ympäristössä”.
Sotatieteiden professori, EV evp. Martti Lehto on toiminut pitkään ilmavoimissa muun muassa valvonnan ja johtamisen suunnittelu- ja kehittämistehtävissä ja nykyään hän opettaa sekä tutkii kyberturvallisuutta Jyväskylän yliopistossa.
Puheenvuoro sisälsi kaunistelemattomia faktoja siitä, miten nykypäivänä sekä arjen että yhteiskunnan elintärkeät toiminnot ovat riippuvaisia digitaalisista palveluista ja tietoverkoista. Silmiä avaavia ovat esimerkiksi tämän päivän digitaalisesta maailmasta poimitut faktat ns. normaaleista digitaalisista palveluista, jotka ovat todennäköisesti osa hyvin monen arkea:
Vuonna 2022 maailmalla:
- lähetetään yli 300 miljardia sähköpostiviestiä
- lähetetään yli 500 miljoonaa twiittiä
- käytetään Googlen hakukonetta 6 miljardia kertaa.
Maailmassa on tällä hetkellä 46 miljardia verkkoon kytkettyä laitetta ja vuonna 2030 niitä on jo yli 125 miljardia. Vuonna 2021 ladattiin noin 220 miljardia matkapuhelinsovellusta. Samana vuonna uusia haittaohjelmistoja syntyi puoli miljoonaa. Pysäyttäviä lukuja, vai mitä?
Ei ihme, että kyberrikollisuudella menee paremmin kuin koskaan, kun digitalisoituminen tekee kattauksesta varsinaisen buffet-pöydän verkkorikollisille. Suurin syy rikollisuudelle on raha – kyberrikollisuuden liikevaihto on vuosittain yli 1,5 tuhatta miljardia. Martti Lehto havainnollisti tämän suuruutta vertauksella: “Jos kyberrikollisuus olisi maa, olisi sen kansantalous Yhdysvaltojen ja Kiinan jälkeen maailman kolmanneksi suurin”.
“Haittaohjelma lamautti sairaalan”
Kyberrikollisuus on tehty turhankin helpoksi anonyymien digipalvelualustojen kautta: TOR-verkko mahdollistaa anonyymin viestinnän, Bitcoinit anonyymin maksuliikenteen ja salattu mobiiliviestintä Wickr anonyymin keskustelun.
Kuitenkin perinteinen sähköposti pitää pintansa eniten käytettynä haittaohjelmien jakelukanavana ja lähteenä. Jopa 92,4% verkkorikollisuudesta tapahtuu sähköpostin kautta. Käyttäjiä ei siis suotta kehoteta varovaisuuteen epäilyttävien viestien lähettäjien, liitteiden tai muiden sisältöjen suhteen.
”Toimiakseen parhaalla mahdollisella tavalla, järjestelmien turvallisuus myös tulisi huomioida jo suunnitteluvaiheessa, eikä niin, että valmiin palvelun päälle liimataan lopuksi turvallisuus.”
Palomuurit, virustorjuntaohjelmistot ja sisäiset ohjeistukset ovat tärkeässä tehtävässä. on tärkeä rooli. Lehdon mukaan toimiakseen parhaalla mahdollisella tavalla, järjestelmien turvallisuus myös tulisi huomioida jo suunnitteluvaiheessa, ei niin, että ensin valmiina on palvelu, johon lopuksi liimataan päälle turvallisuus.
Haittaohjelmat todellakin aiheuttavat haittaa: sen lisäksi, että ne aiheuttavat ongelmia ihmisille, ne aiheuttavat merkittäviä kustannuksia. Vuonna 2020 uutisoitiin, miten lunnashaittaohjelmahyökkäys lamautti Yhdysvalloissa koko sairaalaketjun IT-järjestelmän.
Vaikutukset olivat valtavat: puhelin- ja tietojärjestelmät eivät toimineet, potilastiedot kirjattiin kynällä ruutuvihkoon ja potilaiden hoito viivästyi kun testitulosten saaminen kesti pidempään tai kun potilaita jouduttiin ohjaamaan muihin sairaaloihin. Palautuminen kesti kolme viikkoa ja kokonaistappio nousi 67 miljoonaan dollariin.
Hyökkäys sairaalaan ei toki ollut ainoa laatuaan, vaan haittaohjelmahyökkäyksiä kriittiseen infraan tehdään jatkuvasti. Kohteeksi ovat joutuneet terveydenhuollon lisäksi muun muassa teollisuus, energiatuotanto, maksuliikennejärjestelmät, pankit, polttoainehuolto ja viestintä.
Kaikki toimialat ovat mahdollisia kohteita ja Lehdon mukaan kyberhyökkäys yleensä onnistuu, kun tekijällä on riittävästi motivaatiota, aikaa ja osaamista toteuttaa hyökkäys. Pahimmillaan häiriöt voivat johtaa ihmishenkien menetykseen, esimerkiksi juuri terveydenhuollossa.
Tapaukset ovat herätteleviä esimerkkejä siitä, miten varautuminen on entistä tärkeämpää ja kaikkien on oltava hereillä. Myös investoimalla nopeaan reagointikykyyn ja toimintojen palauttamiseen kustannuksia ja haittoja pystytään minimoimaan, jos (ja kun) kyberhyökkäys tai vastaava haitta osuu kohdalle.
Kybertiedustelu ja tietojen kokoaminen on osa digitaalista arkipäivää
Martti Lehto kertoi puheessaan myös kybertiedustelusta ja tietojen keräämisestä – ja sen helppoudesta. Huijausverkkoja käyttämällä hyökkääjät ovat päässeet seuraamaan myös valtioille tärkeiden henkilöiden Internetin käyttöä.
Häiritsemällä mobiilitukiasemia tai tekeytymällä erillisen laitteen avulla mobiilitukiasemaksi, on saatu tietoon matkapuhelimien sijainteja, ja jopa pystytty kaappaamaan puheluita tai tekstiviestejä.
Todellisuutta on, että koska elämämme on hyvin paljon verkossa ja älypuhelimessa, on se mitä parhain kohde tiedustelulle. “Erilaisten digitaalisten palveluiden käyttäjinä olemme itse antaneet luvan tietojen kokoamiseen, jakamiseen ja käyttämiseen”, Martti Lehto muistuttaa.
Luovutettavia asioita ovat muiden tietojen ohella myös muun muassa biometriset tunnisteet, ääni, sormenjäljet, kasvonpiirteet ja sijainti. Esimerkiksi Googlen sopimussuhteessa saamme vastineeksi käyttää Googlen palveluita, kunhan annamme Googlelle luvan ylläpitää, jäljentää, jakaa ja välittää sisältöjämme.
“Erilaisten digitaalisten palveluiden käyttäjinä olemme itse antaneet luvan tietojen kokoamiseen, jakamiseen ja käyttämiseen”
WhatsApp on käyttäjälle ilmainen viestipalvelu, jonka käyttöehdoissa todetaan, että käyttäjä antaa luvan luovuttamaan laitteeseen tallennetut yhteystiedot palvelulle. Saksalaiset tutkijat ovat myös havainneet WhatsAppissa ja muissa pikaviestimissä puutteita, joiden vuoksi ryhmäkeskusteluiden turvallisuus voi vaarantua. Keskusteluun saattaa ilmaantua muiden osallistujien tietämättä “näkymättömiä osallistujia”, jotka myös saavat keskustelun sisällön itselleen.
Lehto kehottaa pitämään mielessä vanhan sananlaskun ”ilmaisia lounaita ei ole”, joka soveltuu myös ilmaisiin digitaalisiin palveluihin. Jos palvelu on käyttäjälle ilmainen, joku sen keräämistä tiedoista on valmis maksamaan.
Kyberturvallisuuden rakentaminen organisaatioissa
Miten sitten pysyä turvassa kybermaailman uhkatilanteilta? Se ei välttämättä täysin edes onnistu. Lehdon mukaan yrityksistä puuttuu usein kybertilannekuva.
Vain 8 % yrityksistä pystyy havainnoimaan kyberhyökkäyksen erittäin nopeasti, 11% nopeasti, ja vain 21 % yrityksistä on yksi yhteinen näkymä datavarantoihin.
RSA on yhtiö, joka auttaa tietoturvaratkaisuillaan organisaatioita vähentämään digitaalisessa maailmassa toimimisen riskejä. Yhtiön johtajana toimineen Amit Yoranin mukaan yritykset eivät kokoa oikeita tietoja eivätkä hyödynnä keräämiään tietoja sekä käyttävät uhkien torjumiseen vanhanaikaisia tekniikoita.
Nykypäivän kyberuhkiin emme voi vaikuttaa, mutta organisaation haavoittuvuutta voimme pyrkiä vähentämään kolmen eri osa-alueen avulla, joita ovat ihmisten toiminta, prosessit ja teknologia.
Ihmisiin liittyviä toimia
- Osaamisen kehittäminen
- Toimintatapojen ja –menettelyjen kehittäminen
- Henkilökohtaiset sertifikaatit
Prosesseihin liittyviä toimia
- Virtaviivainen kyberturvallisuuden johtamisprosessi
- Organisaation kaikkien prosessien hallinta
- Häiriötilanteiden hallinta – jatkuvuuden hallinta
Teknologiaan liittyviä toimia
- Kyberturvallisuusarkkitehtuuri
- Tietojärjestelmäympäristön tilannetietoisuus
- Sertifioidut laitteet ja ratkaisut
Koska kaikkien kolmen tekijän 100% toimivuus voi olla käytännössä mahdotonta, on tärkeää varautua siihen, että osataan toimia suunnitellusti silloin, jos kyberuhka konkretisoituu omalla kohdalla.
Organisaatioiden johdon tulisi huomioida varautuminen suunnitelmissa, ja suunnittelun lisäksi myös jalkauttaa asiat organisaation toimintaan ja harjoitella tilanteita etukäteen. Silloin kyberhyökkäysten aiheuttamien haittojen ja hankaluuksien vaikutusaikaa saadaan ainakin minimoitua. Varsinkin kriittisen infran toimintojen ollessa hyökkäyksen kohteena, jokainen sekunti todella merkitsee.
Artikkeli pohjautuu Martti Lehdon Secappin asiakaspäivässä 3.11. pitämään puheenvuoroon ”Kyberturvallisuutta rakentamassa kriittisen infrastruktuurin ympäristössä”.
Sotatieteiden professori, EV evp. Martti Lehto on toiminut pitkään ilmavoimissa muun muassa valvonnan ja johtamisen suunnittelu- ja kehittämistehtävissä ja nykyään hän opettaa sekä tutkii kyberturvallisuutta Jyväskylän yliopistossa.
Puheenvuoro sisälsi kaunistelemattomia faktoja siitä, miten nykypäivänä sekä arjen että yhteiskunnan elintärkeät toiminnot ovat riippuvaisia digitaalisista palveluista ja tietoverkoista. Silmiä avaavia ovat esimerkiksi tämän päivän digitaalisesta maailmasta poimitut faktat ns. normaaleista digitaalisista palveluista, jotka ovat todennäköisesti osa hyvin monen arkea:
Vuonna 2022 maailmalla:
- lähetetään yli 300 miljardia sähköpostiviestiä
- lähetetään yli 500 miljoonaa twiittiä
- käytetään Googlen hakukonetta 6 miljardia kertaa.
Maailmassa on tällä hetkellä 46 miljardia verkkoon kytkettyä laitetta ja vuonna 2030 niitä on jo yli 125 miljardia. Vuonna 2021 ladattiin noin 220 miljardia matkapuhelinsovellusta. Samana vuonna uusia haittaohjelmistoja syntyi puoli miljoonaa. Pysäyttäviä lukuja, vai mitä?
Ei ihme, että kyberrikollisuudella menee paremmin kuin koskaan, kun digitalisoituminen tekee kattauksesta varsinaisen buffet-pöydän verkkorikollisille. Suurin syy rikollisuudelle on raha – kyberrikollisuuden liikevaihto on vuosittain yli 1,5 tuhatta miljardia. Martti Lehto havainnollisti tämän suuruutta vertauksella: “Jos kyberrikollisuus olisi maa, olisi sen kansantalous Yhdysvaltojen ja Kiinan jälkeen maailman kolmanneksi suurin”.
“Haittaohjelma lamautti sairaalan”
Kyberrikollisuus on tehty turhankin helpoksi anonyymien digipalvelualustojen kautta: TOR-verkko mahdollistaa anonyymin viestinnän, Bitcoinit anonyymin maksuliikenteen ja salattu mobiiliviestintä Wickr anonyymin keskustelun.
Kuitenkin perinteinen sähköposti pitää pintansa eniten käytettynä haittaohjelmien jakelukanavana ja lähteenä. Jopa 92,4% verkkorikollisuudesta tapahtuu sähköpostin kautta. Käyttäjiä ei siis suotta kehoteta varovaisuuteen epäilyttävien viestien lähettäjien, liitteiden tai muiden sisältöjen suhteen.
”Toimiakseen parhaalla mahdollisella tavalla, järjestelmien turvallisuus myös tulisi huomioida jo suunnitteluvaiheessa, eikä niin, että valmiin palvelun päälle liimataan lopuksi turvallisuus.”
Palomuurit, virustorjuntaohjelmistot ja sisäiset ohjeistukset ovat tärkeässä tehtävässä. on tärkeä rooli. Lehdon mukaan toimiakseen parhaalla mahdollisella tavalla, järjestelmien turvallisuus myös tulisi huomioida jo suunnitteluvaiheessa, ei niin, että ensin valmiina on palvelu, johon lopuksi liimataan päälle turvallisuus.
Haittaohjelmat todellakin aiheuttavat haittaa: sen lisäksi, että ne aiheuttavat ongelmia ihmisille, ne aiheuttavat merkittäviä kustannuksia. Vuonna 2020 uutisoitiin, miten lunnashaittaohjelmahyökkäys lamautti Yhdysvalloissa koko sairaalaketjun IT-järjestelmän.
Vaikutukset olivat valtavat: puhelin- ja tietojärjestelmät eivät toimineet, potilastiedot kirjattiin kynällä ruutuvihkoon ja potilaiden hoito viivästyi kun testitulosten saaminen kesti pidempään tai kun potilaita jouduttiin ohjaamaan muihin sairaaloihin. Palautuminen kesti kolme viikkoa ja kokonaistappio nousi 67 miljoonaan dollariin.
Hyökkäys sairaalaan ei toki ollut ainoa laatuaan, vaan haittaohjelmahyökkäyksiä kriittiseen infraan tehdään jatkuvasti. Kohteeksi ovat joutuneet terveydenhuollon lisäksi muun muassa teollisuus, energiatuotanto, maksuliikennejärjestelmät, pankit, polttoainehuolto ja viestintä.
Kaikki toimialat ovat mahdollisia kohteita ja Lehdon mukaan kyberhyökkäys yleensä onnistuu, kun tekijällä on riittävästi motivaatiota, aikaa ja osaamista toteuttaa hyökkäys. Pahimmillaan häiriöt voivat johtaa ihmishenkien menetykseen, esimerkiksi juuri terveydenhuollossa.
Tapaukset ovat herätteleviä esimerkkejä siitä, miten varautuminen on entistä tärkeämpää ja kaikkien on oltava hereillä. Myös investoimalla nopeaan reagointikykyyn ja toimintojen palauttamiseen kustannuksia ja haittoja pystytään minimoimaan, jos (ja kun) kyberhyökkäys tai vastaava haitta osuu kohdalle.
Kybertiedustelu ja tietojen kokoaminen on osa digitaalista arkipäivää
Martti Lehto kertoi puheessaan myös kybertiedustelusta ja tietojen keräämisestä – ja sen helppoudesta. Huijausverkkoja käyttämällä hyökkääjät ovat päässeet seuraamaan myös valtioille tärkeiden henkilöiden Internetin käyttöä.
Häiritsemällä mobiilitukiasemia tai tekeytymällä erillisen laitteen avulla mobiilitukiasemaksi, on saatu tietoon matkapuhelimien sijainteja, ja jopa pystytty kaappaamaan puheluita tai tekstiviestejä.
Todellisuutta on, että koska elämämme on hyvin paljon verkossa ja älypuhelimessa, on se mitä parhain kohde tiedustelulle. “Erilaisten digitaalisten palveluiden käyttäjinä olemme itse antaneet luvan tietojen kokoamiseen, jakamiseen ja käyttämiseen”, Martti Lehto muistuttaa.
Luovutettavia asioita ovat muiden tietojen ohella myös muun muassa biometriset tunnisteet, ääni, sormenjäljet, kasvonpiirteet ja sijainti. Esimerkiksi Googlen sopimussuhteessa saamme vastineeksi käyttää Googlen palveluita, kunhan annamme Googlelle luvan ylläpitää, jäljentää, jakaa ja välittää sisältöjämme.
“Erilaisten digitaalisten palveluiden käyttäjinä olemme itse antaneet luvan tietojen kokoamiseen, jakamiseen ja käyttämiseen”
WhatsApp on käyttäjälle ilmainen viestipalvelu, jonka käyttöehdoissa todetaan, että käyttäjä antaa luvan luovuttamaan laitteeseen tallennetut yhteystiedot palvelulle. Saksalaiset tutkijat ovat myös havainneet WhatsAppissa ja muissa pikaviestimissä puutteita, joiden vuoksi ryhmäkeskusteluiden turvallisuus voi vaarantua. Keskusteluun saattaa ilmaantua muiden osallistujien tietämättä “näkymättömiä osallistujia”, jotka myös saavat keskustelun sisällön itselleen.
Lehto kehottaa pitämään mielessä vanhan sananlaskun ”ilmaisia lounaita ei ole”, joka soveltuu myös ilmaisiin digitaalisiin palveluihin. Jos palvelu on käyttäjälle ilmainen, joku sen keräämistä tiedoista on valmis maksamaan.
Kyberturvallisuuden rakentaminen organisaatioissa
Miten sitten pysyä turvassa kybermaailman uhkatilanteilta? Se ei välttämättä täysin edes onnistu. Lehdon mukaan yrityksistä puuttuu usein kybertilannekuva.
Vain 8 % yrityksistä pystyy havainnoimaan kyberhyökkäyksen erittäin nopeasti, 11% nopeasti, ja vain 21 % yrityksistä on yksi yhteinen näkymä datavarantoihin.
RSA on yhtiö, joka auttaa tietoturvaratkaisuillaan organisaatioita vähentämään digitaalisessa maailmassa toimimisen riskejä. Yhtiön johtajana toimineen Amit Yoranin mukaan yritykset eivät kokoa oikeita tietoja eivätkä hyödynnä keräämiään tietoja sekä käyttävät uhkien torjumiseen vanhanaikaisia tekniikoita.
Nykypäivän kyberuhkiin emme voi vaikuttaa, mutta organisaation haavoittuvuutta voimme pyrkiä vähentämään kolmen eri osa-alueen avulla, joita ovat ihmisten toiminta, prosessit ja teknologia.
Ihmisiin liittyviä toimia
- Osaamisen kehittäminen
- Toimintatapojen ja –menettelyjen kehittäminen
- Henkilökohtaiset sertifikaatit
Prosesseihin liittyviä toimia
- Virtaviivainen kyberturvallisuuden johtamisprosessi
- Organisaation kaikkien prosessien hallinta
- Häiriötilanteiden hallinta – jatkuvuuden hallinta
Teknologiaan liittyviä toimia
- Kyberturvallisuusarkkitehtuuri
- Tietojärjestelmäympäristön tilannetietoisuus
- Sertifioidut laitteet ja ratkaisut
Koska kaikkien kolmen tekijän 100% toimivuus voi olla käytännössä mahdotonta, on tärkeää varautua siihen, että osataan toimia suunnitellusti silloin, jos kyberuhka konkretisoituu omalla kohdalla.
Organisaatioiden johdon tulisi huomioida varautuminen suunnitelmissa, ja suunnittelun lisäksi myös jalkauttaa asiat organisaation toimintaan ja harjoitella tilanteita etukäteen. Silloin kyberhyökkäysten aiheuttamien haittojen ja hankaluuksien vaikutusaikaa saadaan ainakin minimoitua. Varsinkin kriittisen infran toimintojen ollessa hyökkäyksen kohteena, jokainen sekunti todella merkitsee.