CGI Suomen blogi
Jens Säynäjärvi

Jos verkkohyökkäys lamauttaa sähkönjakelun?

Mediat uutisoivat kesäkuun lopussa Energetic Bear- tai Havex-nimen saaneesta haittaohjelmasta, joka on iskenyt satoihin eurooppalaisiin sähkövoimaloihin.

Haittaohjelman levittäjäksi epäillään Dragonfly-nimistä ryhmää. Sen arvioidaan olevan lähtöisin Itä-Euroopasta tai jopa Venäjän hallinnosta. Hyökkäyksen kohteeksi kerrotaan joutuneen tuhat organisaatiota 84 maassa.

Hyökkäys on Symantecin mukaan alkanut jo puolitoista vuotta sitten. Ensimmäisinä kohteina olivat yhdysvaltalaiset puolustus- ja lentoteollisuuden yritykset. Myöhemmässä vaiheessa kohde vaihtui energiateollisuuteen.

Hyökkäyksen pituus ei ole yllätys. Amerikkalaisen tutkimuslähteen mukaan haittaohjelma saa jyllätä vapaasti yrityksen verkossa keskimäärin 416 päivää, ennen kuin se havaitaan. Yli yhdeksässä tapauksessa kymmenestä havainnon tekee joku ulkopuolinen.

Pääsy valittuun kohteeseen voidaan toteuttaa monella tapaa. Perinteisiä, joskin edelleen hyvin toimivia tapoja ovat sähköpostin linkit ja liitetiedostot tai saastuneen USB-tikun kytkeminen verkossa olevaan tietokoneeseen.

Jos kohde on tarpeeksi mielenkiintoinen, käyttöön voidaan ottaa useita hyökkäystapoja ja useita tiedustelulajeja. Energetic Bearia esimerkiksi levitettiin useilla eri menetelmillä, joista yksi hyödynsi teollisuuden automaatiojärjestelmien (ICS) päivityssivustoja.

Myös Suomessa on runsaasti kriittistä infrastruktuuria. Disci-tutkimushanke kuitenkin osoitti, että yksittäisten toimijoiden puolustuskyky ei ole kovin mairitteleva. Voi vain arvailla, onko Suomi yksi alussa mainituista 84 maasta.

Vaikka ei olisi, kriittinen infra on Suomessakin jonkun tahon kiinnostuksen kohde. Kriittisten kohteiden tunnistaminen on sotilastiedustelun perustiedonhankintaa. Uhkana voi olla myös terrorismi tai anarkismi.

Mikäli tekojen taustalla on valtiollinen toimija, kyseessä saattaa olla ns. valtiollinen yritysvakoilu. Kun merkittävä yritystoiminta tai teollisuudenala on tarpeeksi lähellä valtiota, voi se valjastaa tiedustelukoneistonsa hankkimaan yritystoimintaansa tai teollisuuttaan hyödyttävää tietoa. Tähän suuntaan kallistuu arvio myös Energetic Bearin kohdalla. Kyseessä voisi olla yritysvakoilukin, mutta yksittäisen yrityksen tekona kokonaisuus kuulostaa liian monimutkaiselta ja pitkäaikaiselta.

Suomalaisella teollisuudella on raollaan ovi, joka olisi syytä sulkea. Minkälaisen häiriön yhteiskuntaan aiheuttaisi – tekijästä riippumatta – jos Helsingin tai Oulun sähkönjakelu keskeytyisi päiviksi tai kuukausiksi, metrotunnelit täyttyisivät vedellä tai vesihana tarjoilisi vain suolavettä?

Syntynyt ongelma on tulosta perusasioiden laiminlyömisestä. Riskienhallintaa tulee tehdä tulosorientoidusti, ei pelkkänä paperiharjoituksena. Kuinka monen päivän toiminnan keskeytymisen organisaatio, liiketoiminta tai yhteiskunta kestää? Kun tämän on aidosti tiedostanut, on riskinkäsittelykeinoja lukuisia; teknisiä, juridisia tai vakuutusturvan hankkiminen kyberriskien varalta.

Blog moderation guidelines and term of use