Mitä kyberuhkia yritys voi kohdata ja miten niitä voi tunnistaa?
Yritysten tietoturva, osa 2 - Mitä kyberuhkia yritys voi kohdata ja miten niitä voi tunnistaa?
Taas uusi tietovuoto. Toimitusjohtajahuijauksia liikkeellä. Office 365 -tunnuksia kalastellaan. Tietosuojapuutteista määrättiin sakot. Nollapäivähaavoittuvuutta hyödynnetään tietomurtoaallossa. Uutisia lukiessa yritysjohtajan tai hallitusjäsenen mielessä alkaa kypsyä ajatus, että tietoturvauhkista pitäisi ymmärtää jotain. Mitä yrityksen pitäisi ymmärtää tietoturvasta ja miksi?
Tietoturva ja tietosuoja koskee kaikkia yrityksiä, ei pelkästään teknologiafirmoja. Tietotekniikka hyödyntävät nykyään kaikki, joten monet tietoturvauhkat, vaikkapa haittaohjelmat ja tietojenkalastelu koskettavat lähes kaikkia jotka selaavat internetiä ja käyttävät sähköpostia. Yrityssalaisuuksien turvaamisen lisäksi yrityksellä on velvollisuus suojata työntekijöidensä ja asiakkaidensa henkilötietoja. Toki monikansalliselle finassialan suuryritykselle ja viiden hengen makrkinointitoimistolle realistiset tietoturvariskit voivat olla erilaisia. Siksi keskeisiä ymmärrettäviä asioita ovat:
- Mitä kyberuhkia yrityksemme voi kohdata?
- Miten kyberuhat vaikuttavat liiketoimintaan ja rahallisesti?
- Kuka on vastuussa kyberriskeistä?
- Miten hyvin yrityksemme on suojautunut kyberuhilta ja riskeiltä?
Näitä kysymyksiä on ruodittu kattavasti oppaassa Kyberturvallisuus ja yrityksen hallituksen vastuu. Tässä blogissa kokoan käytännön vinkkejä yritysten kyberuhkakentän ymmärtämiseen.
Millaisia kyberuhkia yritys voi kohdata?
Kyberuhkat, joita yritykselle voi tulla vastaan, voi jakaa neljään kategoriaan:
- Kaikkia yrityksiä koskevat uhkat
- Yrityksen toimintaan tai teknologioihin liittyvät, pääasiassa kohdistamattomat uhkat
- Kohdistetut hyökkäykset
- Toimialakohtaiset uhkat.
Katsotaan seuraavaksi, mitä nämä erilaiset uhkat voivat olla käytännössä.
Kaikkia yrityksiä koskevat uhkat
Lähes kaikkia yrityksiä koskevia kyberuhkia ovat mm. toimitusjohtajahuijaukset ja laskutushuijaukset, kiristyshaittaohjelmat ja esimerkiksi Office365- tai Google-tunnusten laajamittainen kalastelu. Haittaviestit eivät välttämättä tule työsähköpostiin, sillä työkoneella henkilökohtaisia sähköposteja tai sosiaalista mediaa käyttävä voi epähuomiossa avata haitallisen linkin tai ladata haittaohjelman tai haksahtaa uskomattoman upeaan tarjoukseen.
Yrityksen toimintaan liittyvät, pääasiassa kohdistamattomat uhkat
Yritys voi päätyä kyberhyökkäyksen kohteeksi esimerkiksi käyttämänsä teknologia, kuten WordPress- tai Drupal-sisällönhallintajärjestelmän, Magento-verkkokauppa-alustan tai paikkaamattoman käyttöjärjestelmähaavoittuvuuden vuoksi. Tällöin hyökkäjä tyypillisesti on löytänyt yrityksen haavoittuvan web-sivun tai tietojärjestelmän esimerkiksi Shodan-hakukoneen avulla välittämättä kummemmin siitä, mitä yritys tekee.
Joskus kyberuhka tulee sivuosumana, kun varsinainen kohde on ollut jokin muu. Esimerkiksi palvelunestohyökkäys voi kohdistua yrityksen käyttämään palveluntarjoajaan, jolloin yrityksenkin palvelut voivat olla poissa toiminnasta. Palvelukatkoja voi toki aiheutua myös inhimillisten virheiden tai vaikkapa myrskysään seurauksena. Ylipäänsä kannattaa huomioida, että kyberuhkaan ei aina tarvita hyökkääjää : käyttäjä voi esimerkiksi vahingossa jakaa arkaluontoisia tietoja liian laajalti tai lisätä väärän liitteen sähköpostiin.
Sivuosuma voi tulla myös haitallisista kolmannen osapuolen kirjastoista tai työkaluista, mikäli hyökkääjä on saastuttanut pakettien jakelukanavan tai käyttänyt typosquatting-tekniikkaa, eli tehnyt lähes samannimisiä haitallisia versioita suosituista kirjastoista. Nämä hyökkäystavat voivat olla myös täysin opportunistisia. Luottamusta pakettienhallintaan ja mahdollisia seurauksia on selitetty kattavasti Alex Birsanin artikkelissa.
Kohdistetut hyökkäykset
Kohdistetuissa hyökkäyksissä hyökkääjän tavoitteena on päästä käsiksi tietyn organisaatioon tietojärjestelmiin tai tietoon. Hyökkääjien motivaationa voi olla esimerkiksi yrityssalaisuuksiin tai henkilötietoon pääsy, poliittiseen päätöksentekoon vaikuttaminen tai haktivismi, kriittisten toimintojen kuten energiantuotannon tai vedenjakelun lamauttaminen, valeuutisten levittäminen tai taloudellisen hyödyn saaminen suoraan tai kiristämällä uhria. Kohdistettujen hyökkäysten toteutustapoja on selitetty Kyberturvallisuuskeskuksen julkaisussa Kohdistettujen haittaohjelmahyökkäyksien uhka on otettava vakavasti.
Oma lukunsa ovat sisäpiirin tai ex-sisäpiirin hyökkäykset, jolloin syynä voi olla rahallisen hyödyn lisäksi myös kosto.
Hyökkääjiä voi kiinnostaa myös yrityksen asiakkaat, yhteistyökumppanit ja alihankintaketjut. Hyökkäys voi siis tulla esimerkiksi palvelutoimittajan kautta, jolloin puhutaan toimitusketjuhyökkäyksestä (engl. supply-chain attack). Tuoreimpia esimerkkejä toimitusketjuhyökkäyksestä on SolarWinds Orion Platform -hallintatyökaluun ujutettu takaovi, joka mahdollisti työkalun asentaneisiin yrityksiin murtautumisen.
Toimialakohtaiset kyberuhkat
Tietyillä aloilla toimivilla yrityksillä voi olla isompi riski joutua kohdistetun kyberhyökkäyksen kohteeksi. Tällaisia toimialoja ovat mm. finanssiala, energiantuotanto, valtionhallinto ja puolutus, logistiikka ja liikenne, sosiaali- ja terveysala, lääke- ja kemianteollisuus, elintarviketeollisuus, media ja internet- ja puhelinpalvelut. Myös alalla toimivat kumppaniyritykset ja alihankkijat voivat olla kohteena.
Miten voi tunnistaa, mitkä kyberuhkat koskevat juuri meidän yritystämme?
Kaikki kyberuhkat eivät onneksi koske kaikkia yrityksiä. Omaa uhkakenttäänsä voi kartoittaa seuraavilla kolmella toimenpiteillä:
- Seuraa yleistä ja toimialakohtaisesta tilannekuvaa
- Arvioi tietojärjestelmien ja tietojen tärkeys
- Kartoita tietojärjestelmien uhkat uhkamallinnuksella ja arvioi riskien suuruus
- Kartoita hallintoon ja prosesseihin liittyvät uhkat ja arvioi riskien suuruus
Jokainen kohta on selitetty tarkemmin seuraavissa kappaleissa.
Uhkatieto kertoo lähitulevaisuuden tilannekuvan
Uusia haavoittuvuuksia paljastuu, hyökkääjät kehittävät tekniikoitaan, konekääntäjän tuottama suomenkielinen teksti paranee. Kyberuhkakenttä muuttuu jatkuvasti, joten on syytä pysyä perässä uhkatiedon avulla
Uhkatieto (engl. threat intelligence tai threat intel) voi olla yleisluontoista, kuten havaintoja Office 365 -kalastelukampanjasta hyvällä suomen kielellä. Uhkatieto voi liittyä myös yrityksen käyttämiin teknologioihin, kuten esimerkiksi tieto Docker-haittaohjelmien yleistymisestä. Toimialakohtaista uhkatietoa on esimerkiksi raportti kohdistetuista hyökkäyksistä koronavirusrokotetta kehittäviin organisaatioihin.
Uhkatieto voi olla teknistä, strategista, taktista tai toiminnallista. Tekninen uhkatieto pitää sisällään esimerkiksi haitalliseksi havaittuja verkko-osoitteita tai haittaohjelmien tunnistetietoja. Strateginen uhkatieto keskittyy kyberuhkien trendeihin, jolloin yritys voi paremmin ymmärtää, millaisia uhkia se lähitulevaisuudesssa todennäköisimmin kohtaa. Taktinen uhkatieto kertoo mm. kyberrikollisten käyttämistä menetelmistä. Tätä tietoa voidaan käyttää kyberhyökkäysten torjunta- ja tunnistusmekanismien kehittämisen ja järjestelmien suunnittelun apuna. Toiminnallinen uhkatieto auttaa ymmärtämään, mistä hyökkäyksistä on kyse. Lisää uhkatiedosta voit lukea Nixun blogista.
Yhdistelemällä useita tietolähteitä ja tietoa yritykselle sattuneista tietoturvapoikkeamista ja läheltä piti -tilanteista voi muodostaa kokonaisvaltaisen kybertilannekuvan ja ymmärtää, millaisia uhkia yritys voi kohdata lähitulevaisuudessa. Erityisten hyödyllistä uhkatieto on silloin, kun sitä hyödynnetään suoraan tietoturvavalvonnan kehittämiseen ja tehostamiseen. Tällöin voi myös arvioida, pitivätkö tilannekuva-arviot paikkansa.
Useat tietoturvayritykset julkaisevat uhkatietoraportteja kvartaaleittain tai vuosittain, minkä lisäksi ne tarjoavat erilaisia organisaatiolle räätälöityjä uhkatietopalveluita. Suomenkielistä maksutonta tilannekuvaa tarjoaa mm. Kyberturvallisuuskeskuksen Kybersää.
Tunnista tärkeät tiedot, tietojärjestelmät ja yhteistyökumppanit
On vaikeaa suojata sellaista, minkä olemassaolosta ei tiedä tai jonka tärkeyttä ei ymmärrä. Siksi yksi oleellisimpia asioita kyberuhkilta suojautumisessa on arvioida seuraavia asioita:
- Mitä tärkeää tietoa yrityksellä on? Onko jokin tieto erityisen kiinnostavaa hyökkääjälle? Kuka ja miten voi hyötyä siitä?
- Kiinnostavaa tietoa ovat esimerkiksi yrityssalaisuudet, henkilötieto, asiakarekisteri, taloustiedot tai teollisuusprosessin ohjausparametrit.
- Tärkeyttä kannattaa tarkastella kolmelta näkökannalta: tiedon luottamuksellisuus, eheys ja saatavuus.
- Mikä on tärkeää tietoa juuri sinun yrityksellesi?
- Mitkä ovat yrityksen kriittiset tietojärjestelmät?
- Kriittinen tietojärjestelmä sisältää tärkeää tietoa, ohjaa tärkeitä toimintoja tai on tarpeellinen yrityksen päivittäistoimintojen tai tarjoamien palvelujen kannalta. Myös mahdollinen vaikutus yrityksen maineeseen kannattaa huomioida.
- Esimerkiksi asiakasrekisteri, tilausjärjestelmä, yrityksen verkkosivut ja sometilit, tehtaiden prosessinohjausjärjestelmät tai keskitetty tunnistuspalvelu voivat olla kriittisiä tietojärjestelmiä.
- Mitä tärkeitä yhteistyökumppaneita, toimittajia tai asiakkaita yrityksellä on?
- Toimiiko yritys toimittajana tai alihankkijana sellaiselle organisaatiolle tai sellaisella toimialalla, jossa kohdistetun hyökkäyksen riski on suuri? Voisiko yritys olla astinlauta hyökkäykselle?
- Vastaavasti, onko yrityksellä jotain kolmannen osapuolen toimittamia palveluita tai järjestelmiä, joiden kautta yritykseen voisi hyökätä? Miten näiden järjestelmien turvallisuudesta on varmistuttu?
Uhkamallinnus tunnistaa tietojärjestelmien kyberongelmat ennalta
Kun tärkeät tiedot ja kriittiset tietojärjestelmät on tunnistettu, niiden aiheuttamia tietoturva- ja tietosuojauhkia voi kartoittaa tarkemmin uhkamallinnuksen avulla. Myös tekninen tietoturvatestaus auttaa löytämään akuutit ongelmat, mutta uhkamallinnuksen avulla voidaan havaita myös esimerkiksi prosesseihin ja käytänteisiin, kuten ohjelmistokehitysprosessiin tai käyttäjähallintaan, liittyviä piileviä uhkia.
Uhkamallinnuksen ideana on miettiä, mikä voi mennä pieleen, mitä siitä seuraa ja mitä asialle voidaan tehdä. Uhkamallinnukseen on useita eri tekniikoita, kuten STRIDE, uhkapuiden piirtäminen ja evil user stories eli pahiskäyttötapaukset. Mallinnustekniikkaa oleellisempaa on miettiä järjestelmää monipuolisesti eri näkökulmista ja tunnistaa sekä mahdollisten hyökkääjien motivaatio että virhetilanteet jotka voivat aiheuttaa hallaa liiketoiminnalle tai maineelle. Hyökkääjien ja muiden kiusankappaleiden tunnistamiseen voi käyttää Nixun Cyber Bogies -pelikortteja.
Hallitsetko tietoturvaa vai hallitseeko se sinua?
Koska yritys ei ole pelkkä käyttämiensä tietojärjestelmien ja niiden hallintaprosessien summa, kannattaa näkökulmaa laajentaa muunmuassa seuraaviin:
- Riskienhallinta. Arvioidaanko riskit mututuntumalta vai systemaattisesti?
- Havainnointikyky. Onko tietoturvapoikkeamien havaitsemiseen työkaluja ja ilmoitusprosessi vai havaitaanko ne lähinnä vahingossa? Kerätäänkö ja analysoidaanko aiempia tapauksia?
- Reagointikyky. Osataanko häiriötilanteen sattuessa toimia etukäteen harjoitellun ohjeen mukaan vai juostaanko kuin päättömät kanat?
- Tietoturvakulttuuri. Onko tietoturva pakollinen paha vai ymmärtävätkö työntekijät, miten heidän tekemisensä vaikuttavat positiivisesti tietoturvaan? Onko tietoturva koulutus jatkuvaa ja organisaatiolle oleellista vai kalvosulkeisia ja pakkopullaa?
- Tietoturvaan investointi. Investoidaanko tietoturvan kehittämiseen suunnitelmallisesti vai vasta pakon edessä (lue: tietomurron jälkeen)?
Muitakin osa-alueita on, ja niiden kypsyystasoa voi arvioida esimerkiksi Kyberturvallisuuskeskuksen kehittämällä Kybermittarilla joko sellaisenaan tai osana laajempaa kartoitusta.
On tärkeää saada näkemyksiä ja tietoa tietoturvan tasosta laaja-alaisesti koko yrityksestä, eikä pelkästään IT:ltä tai tietohallinto-osastolta. Taloushallinto kohtaa todennäköisesti eniten laskutushuijauksia, viestintään tai myyntiin voi tulla monenlaista tietojenkalastelua, sovelluskehitystiimi on voinut tunnistaa haasteita teknisissä ympäristöissä ja fyysisten tunkeutumis- ja murtoyritysten tuoreimmat tilastot voivat löytyä vaikkapa kiinteistöhuollolta.
Tämä blogi on osa yritysten tietoturvaa ja tietoturvatietoisuutta käsittelevää blogisarjaa. Sarjan edellisessä osassa pohdittiin, miksei hyvin hoidettuun tietoturvaan voi sijoittaa. Sarjan seuraavassa osassa käsitellään riskien arviointia.