Cyber Blog - Published 10.5.2022

Edessä historiallinen Cyber Security Nordic konferenssi!

Kimmo Rousku
Board member, Finnish Information Security Association (FISA),
General Secretary, Finnish Digital Agency

Harva meistä omaa sellaisia oraakkeliennustajalahjoja, että voisi nyt kehua ennustaneensa keväällä 2020 korona-aikakauden ulottuvan useammalle vuodelle, Venäjän hyökkäyksen Ukrainaan ja Suomen hyvin todennäköisen päätöksen hakea NATOn jäseneksi 12.5.2022 ja pian sitä seuraavan itse hakuprosessin.

Korona-aika on aiheuttanut valtavan digiloikan, osa toimialoista on pystynyt kehittämään toimintaa jopa yli viiden vuoden edestä. Korona on toiminut globaalina Chief Digital Officerina. Nyt kyberpoliittisen ilmapiirin muututtua Venäjän hyökättyä Ukrainaan, onko nyt käynnistynyt odotettu kyberloikka? Saammeko vastaavasti parannettua meidän digi- ja kyberturvallisuuttamme yhtä tehokkaasti, mitä korona on ohjannut meitä edistämään digipalveluita?

Verkkorikollisuus kehittyy

Jo ennen korona-aikaa meillä oli selkeästi havaittavissa verkkorikollisuuden kasvu. Lunnashaittaohjelmat ja kiristäminen alkoivat yleistyä ja nämä trendit heijastuivat myös Suomessa, josta pahimpana esimerkkinä Psykoterapiakeskus Vastaamon julkisuuteen noussut tapaus lokakuussa 2020.

Vuotta 2021 leimasivat lukuisat meitä käyttäjiä vastaan kohdistuneet kaikissa digikanavissa ja palveluissa toteutetut huijaus- ja kalasteluviestikampanjat, joilla verkkorikolliset yrittivät saada tietojamme tai suoraan rahaa tai muuta virtuaalista omaisuutta haltuunsa. Sama ilmiö tuntuu jatkuvan vuonna 2022, verkkorikolliset soveltavat ja kehittävät uusia hyökkäyskeinoja sitä mukaan, kun käyttäjät ja organisaatiot oppivat vanhoja tunnistamaan ja niiltä suojautumaan. Tietoturvallisuuden kehittäminen onkin yhdistelmä teknisten ja hallinnollisten suojakeinojen sekä meidän käyttäjien digiturvaosaamisen ja tietoisuuden kehittämistä.

Hyökkäysten apuna on käytetty ennen näkemättömän paljon nollapäivähaavoittuvuuksia, joista osa on perua esimerkiksi valtiollisten toimijoiden kyberaseiden vuotamisesta julkisuuteen. Jos digitaalista kybermaailmaa vertaa fyysiseen maailmaan, kyberaseiden kohdistaminen on merkittävästi epätarkempaa kuin perinteisten aseiden. Tästä tunnetuin esimerkki on kesäkuussa 2017 Ukrainaan kohdistettu NotPetya-hyökkäys, joka levisikin maailmanlaajuiseksi ja sen on arvioitu aiheuttaneen jopa yli 10 miljardin dollarin vahingot.

Valtiolliset toimijat ovat entistä aggressiivisempia

Mikäli verkkorikolliset ovat kehittäneet nopeasti liiketoimintaansa, sama koskee valtiollisia toimijoita. Korona-aika aiheutti heille sen, että liikkuminen fyysisessä maailmassa muuttui merkittävästi haastavammaksi, joka kannusti heitä siirtymään entistä aktiivisemmin hyödyntämään digimaailmaa. Toinen merkittävä muutos koskee kohteita, joita vastaan on hyökätty. Osa kohteista on valittu suoraan kohteeksi sen takia, koska heidän etsimä tieto sijaitsee vain siellä. Toisaalta yhä useammin näissä hyökkäyksissä käytetään myös alihankintaketjuja ja niissä toimivia, tietoturvaltaan eri tasolla toimivia palvelutuottajia. Tällaisen merkittävän palveluntarjoajan tietomurto on hyökkääjälle mahdollisuus päästä kerralla kiinni valtavaan määrään organisaatioita- ja tietoa. Esimerkiksi Solarwindsin tietomurto loppuvuodesta 2020 ja Microsoft Exchange-palvelimen nollapäivähaavoittuvuus maaliskuussa 2021 ovat esimerkkejä, kuinka löydettyjä haavoittuvuuksia on hyödynnetty aktiivisesti sekä verkkorikollisten että valtiollisten toimijoiden toimesta.

Meidän pitää nyt kerätä Ukrainan opit

Nyt Venäjän hyökättyä Ukrainaan 24.2.2022 sekä digitaalisessa että fyysisessä maailmassa, samalla on pystytty entistä paremmin havainnoimaan sitä, millaisia menetelmiä Venäjä on käyttänyt Ukrainaa vastaan kybermaailmassa. Vuoden 2014 toukokuun presidentinvaalien vaikuttamisyritykset, sähkönjakeluverkkoon vuosina 2015 ja 2016 kohdistuneet hyökkäykset, sekä edellä mainittu NotPetya ovat erinomaisia, huolestuttavia esimerkkejä pitkäaikaisesta vaikuttamisesta. Venäjän seuraava, fyysistä hyökkäystä edeltänyt vaihe alkoi 13.1.2022 itseäni erityisesti huolestuttavilla #Datawiping-hyökkäyksillä. Tämän jälkeen CyberPeaceInstituten (Ukraine: Timeline Of Cyberattacks | CyberPeace Institute) tietojen mukaan Ukrainaan on kohdistettu yli 40 merkittävää ja satoja pienempiä hyökkäyksiä.

Mihin meidän pitää Suomessa varautua?

Koska ympärillämme oleva digitaalinen toimintaympäristö tarjoaa valtavasti huikeita mahdollisuuksia tuottaa ja tarjota erilaisia palveluita, mahdollistaa se samalla hyökkääjille alati kasvavan hyökkäyspinta-alan mitä vastaan hyökätä. Edellisten perusteella voidaan listata esimerkiksi seuraavia osa-alueita, joista organisaatioiden johdon ja asiantuntijoiden tulee olla tietoisia:

  • hybridivaikuttaminen
    • esimerkiksi tänä vuonna on ollut jo useampi ilmatilaloukkaus
  • informaatiovaikuttaminen
    • meistä jokainen on huomannut tämän niin perinteisen kuin etenkin sosiaalisen median kanavissa
  • kybervaikuttaminen
  • palvelunestohyökkäykset
  • tietomurrot ja tietovuodot
  • kiristäminen
  • käyttäjätilien kaappaukset
  • datamanipulaatio
  • tietojen tuhoaminen
  • muut keinot vaikuttaa kriittiseen infrastruktuuriin, esimerkiksi sähkönjakelu-, tietoliikenne- ja maksuliikenneverkkoihin, gps-häirintä

Eikä unohdeta ihmisen roolia!

Kaikki ne suojaukset, joita me rakennamme digitaalisen maailman suojaksi, on myös mahdollista murtaa ihmisen toimesta. Valitettavasti valtaosa erilaisista digiturmista tapahtuu meidän ihmisten inhimillisen, vahingossa tapahtuvan toiminnan seurauksena. On kyseessä käyttäjä, joka menee naputtamaan tekstarina juuri saapunutta mielenkiintoista tekstiviestiä (Kuuntele pomosi viesti) tai sovelluskehittäjää, jolla jää koodiin bugi, joka aiheuttaa ohjelmistohaavoittuvuuden.

Tulemme jatkossa varmasti hyötymään uuden teknologian tarjoamista mahdollisuuksista digimaailman suojaamisessa, mutta valitettavasti myös meitä uhkaavat toimijat ovat jatkossakin tässä kenties loikan, toivottavasti ei kvantti sellaisen, edellä.

Tulemme keskustelemaan edellä mainituista ilmiöistä perjantaina klo 11.25 yhdessä Arttu Lehmuskallion, Jarno Limnéllin ja Ari Uusikartanon kanssa – Case Finland – lessons learned from latest global #cyberthreats.

Pikakurssi hybridi- ja informaatiovaikuttamiseen?

Katso Kimmo Rouskun haastattelu MTV:n Viiden jälkeen ohjelmassa 4.5.
Näin tunnistat hybridivaikuttamisen – MTVuutiset.fi

Kimmo Rousku toimii Tietoturva ry:n hallituksen jäsenenä sekä Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) pääsihteerinä Digi- ja väestötietovirastossa. Voit seurata Kimmoa Twitterissä @kimmorousku sekä LinkedInissä https://www.linkedin.com/in/kimmorousku/

Kimmo Rousku

General Secretary, Finnish Digital Agency.
Board member, Finnish Information Security Association (FISA)