Jan Mickos

416 päivää kyberhyökkäyksen kohteena – Miten suojaudut tietopääomavarkaudelta?

Kybersodan uhkakuvia on maalailtu jo pitkään, ja yhä useammin tietoisuuteemme nousee yksittäisiä tapauksia mittavista vakoiluoperaatioista ja epäillyistä hakkeriryhmistä. Kiristyshaittaohjelmat pitävät tietoja panttina ja vaativat lunnaita yrityksiltä ja jopa tavallisilta ihmisiltä ympäri maailman.

Miten suojaudut tietopääomavarkaudelta?

Valtiolliset toimijat eivät ole suojassa kyberuhilta ja informaatiovaikuttamiselta. Viimeisimpinä mediassa on puitu muun muassa venäläistaustaisen hakkeriryhmän vaikuttamista sekä Yhdysvaltojen presidentinvaaleihin että Ranskan vaalien joutumista saman ryhmittymän kohteeksi.

Politiikkaa terrorisoivat hyökkäykset nousivat julkisuuteen, sillä niiden tavoitteetkin olivat julkisia. Pyrkimyksenä ei ollut kerätä kriittistä tietopääomaa vuosikausia, liikkua sisäverkoissa huomaamattomasti ja toteuttaa massiivista vakoilua kenenkään huomaamatta – vai oliko? Julkisuuteen nousseissa tapauksissa paljastuu vain jäävuoren huippu. Se, mihin harva yritys osaa edes varautua, piilee syvemmällä pinnan alla.

Tilastojen mukaan vain 6 % yrityksistä havaitsee tietomurron itse, loput kuulevat siitä jostain ulkopuolelta. Keskimäärin kuluu 416 päivää, ennen kuin uhka ylipäätään havaitaan.

Kun kyberhyökkäyksiä tehdään erittäin hyvin resursoiduilla keinoilla ja kyvykkyyksillä, voi toiminta pahimmillaan häiritä kokonaisia valtioita tai jopa maanosia. Jos hyökkäyksen tavoitteena on tietopääoman varastaminen, toimintatapana on nimenomaan pysytellä tutkan alapuolella ja toimia rauhassa, kenenkään huomaamatta.

 

openTilastojen mukaan vain 6 % yrityksistä havaitsee tietomurron itse, loput kuulevat siitä jostain ulkopuolelta.close

 

Miten yritysvakoilusta voi selvitä?

Laajasta tietopääomavarkaudesta toipuminen lähtee havainnosta. Missä ja miten hyökkäys kävi ilmi? Esimerkiksi Suomen ulkoministeriöön kohdistunut kyberhyökkäys huomattiin vasta, kun se oli jatkunut jo vuosia, ja ulkopuolisen tahon vinkistä.

Tässä perinteiset keinot ovat tulleet tiensä päähän jo kauan sitten. Jotta saadaan tarpeeksi kattavaa puolustusta, tarvitaan tarpeeksi syvää osaamista.

Miten yrityksesi voi ennakoida ja suojautua vakoilulta? Ennen kaikkea voimme oppia julkisuuteen nousseista tapauksista sen, että kuka tahansa voi joutua kyberhyökkäyksen kohteeksi eikä niiden jälkipyykkiä kannata yrittää pestä omin avuin.

 

openSuojeltavaa tietopääomaa on kaikilla.close

Miksi hyökkääjä kiinnostuisi yrityksestäsi? Suojeltavaa tietopääomaa on kaikilla. Moni yritys on osa suurempaa arvo- tai palveluketjua, jonka hallussa oleva tieto kiinnostaa kilpailijoita.

Hätiköidyt ratkaisut ja puutteellinen asiantuntemus uhan havaitsemisen jälkeen voivat koitua kohtaloksi. Pahimmassa tapauksessa saatetaan hävittää kriittistä dataa hyökkääjään liikkeistä, eikä ikinä saada selville mistä hyökkäys on alkanut. Tässä tohinassa usein vahingossa paljastetaan hyökkääjälle, että nyt ollaan jäljillä, jolloin tämä luonnollisesti vaihtaa vain toimintatapojaan.

 

Havainnointikyky on kaiken a ja o

Aina tarvitaan havainnointikykyä. Pitää olla kyky havaita uhka, ennen kuin voidaan edetä pelastaviin toimenpiteisiin mittavilla hunting-operaatioilla. Hunting-operaatio on nopea, iteratiivinen ja reaktiivisesti etenevä ketterä prosessi, jossa yhdistyy forensiininen tutkimus ja sitä kautta paljastuvien uusien indikaattoreiden etsiminen. Hyvin harvalla yrityksellä on tarpeeksi resursseja toteuttaa tällainen prosessi itsenäisesti.

Toimintaympäristöstä pitäisi tehdä mahdollisimman forensiikka-ystävällinen jo etukäteen, kun ei ole vielä mikään hätä. Toiminnasta tulisi syntyä tarpeeksi lokeja, ja lokit tulisi säilöä siten, että ne ovat oikeasti suojassa – ja myös saatavilla tarpeeksi pitkältä aikaväliltä. Lisäksi esimerkiksi muistidumppien ottaminen harjoittelumielessä toimii hyvänä testinä todellista uhkatilannetta ajatellen.

Paras suojautumiskeino on varmistaa, että hädän hetkellä apuna on osaava kumppani. Vakavan kyberhyökkäyksen vaikutukset voivat yltää aina tietopääoman menettämisestä mainekolhuihin saakka. Mitä sitten, kun hyökkäys osuu omalle kohdalle? Onko yrityksesi varautunut tietomurron uhkaan riittävillä resursseilla ja kyvykkyydellä? 416 päivää on pitkä aika olla hyökkäyksen kohteena – varmista, ettei näin käy sinun yrityksellesi.

Kirjoittaja on CGI:n johtava tietoturva-asiantuntija Suomessa, ja vastaa tietoturvallisuuden asiantuntijapalveluiden lisäksi CGI:n globaaleista kyberturvallisuuspalveluista Suomessa.

Blogi on alunperin julkaistu Cyber Security Nordic -tapahtuman sivuilla.

Tutustu myös

Blog moderation guidelines and term of use