Incident Response eli häiriövaste on yksi toimiva keino haastaa yrityksiä heidän tietoturvatasostaan.

Monet organisaatiot pähkäilevät tietoturva-asioita, mutta vähintään yhtä monet eivät.

–  Sitten yllätytään kun jotain tapahtuu ja päädytään raapimaan päätä, että onko se se meidän Jussi, joka on miettinyt näitä juttuja?, Kim Nyström kuvaa ajatuksenjuoksua tietomurron tapahtuessa.   

Nyström toimii tietoturvayritys Combitechillä myyntijohtajana, joten hänen toimenkuvaansa kuuluu luonnollisesti organisaatioiden herättely tietoturvauhkiin.

FBI:n aiempi johtaja Robert S. Mueller heitti vuonna 2012 kuuluisan lainauksensa “On vain kahdenlaisia yrityksiä: niitä, jotka ollaan hakkeroitu, ja niitä, jotka tullaan hakkeroimaan”.

– Kuuden vuoden mittaan sanonta on kääntynyt tietoturvakentässä muotoon “Ne, joihin on hyökätty, ja ne, joihin tullaan hyökkäämään uudestaan”, Kim Nyström kertoo.  

“On vain kahdenlaisia yrityksiä: ne, joihin on hyökätty, ja ne, joihin tullaan hyökkäämään”

– Tai niihin, jotka eivät vielä tiedä joutuneensa hyökkäyksen kohteeksi, hän lisää.  

Viestin tarkoitus on muistuttaa, että yksikään yritys ei ole suojassa tietoturvauhkilta.

 

Miten toimitaan, kun tietoturvaloukkaus tapahtuu?

Vaikka tietoturvaan ei oltaisi varauduttu, yrityksissä pitäisi miettiä miten toimitaan, kun tietoturvauhka havaitaan.

Combitechillä on jäsennetty tietomurtoon vastaaminen kolmeen askeleeseen.

 

1. Proaktiiviset tietoturvatoimet


Proaktiivisilla tietoturvatoimilla lähdetään pienentämään sitä pintaa, jolta tietoturvauhkia voisi syntyä.

– Tarkoituksena on tukkia mahdollisimman hyvin ne väylät, joista isku voi tapahtua, ja valvoa ympäristöä, jotta tiedettäisiin jos jotain poikkeavaa tapahtuu. Laitetaan ikään kuin Securitas-tarra ikkunaan kertomaan, että kamerat ja hälyttimet on hankittu.

Osa kyberrikoksista voi jäädä jo näillä toimilla yrittämättä.

Osa proaktiivisia tietoturvatoimia on jatkuvaan valvontaan siirtyminen. Jos yritykseen yritetään joka tapauksessa iskeä ennemmin tai myöhemmin, on tärkeää varmistaa se, että joku havaitsee poikkeamat verkossa mahdollisimman aikaisessa vaiheessa.

“Laitetaan Securitas-tarra ikkunaan kertomaan, että kamerat ja hälyttimet on hankittu”

Henkilöstön kouluttaminen ja luotettavuus ovat myös osa tehokasta ennaltaehkäisyä.

– Varsinkin kohdistetuista hyökkäyksistä suurin osa tapahtuu sisäpiirin kautta, joko tietoisesti tai tietämättä. On maksettu tiedoista tai ujutettu työntekijälle kavala sähköposti. Suuressa osassa tapauksia varkaat ovat olleet nimenomaan finanssitiedon perässä.

Kun kysyy, mitkä toimialat ovat herkimpiä iskuille, Nyström neuvoo katsomaan missä raha liikkuu.

Pankkiala on kaikista herkin tietomurroille, koska siellä liikkuvat suurimmat rahavirrat. Erilaiset tutkimusalat, kuten tuotekehitystä tekevät teollisuusyritykset ovat toinen merkittävä iskujen kohde.

– Suurella teknologiayrityksellä voi olla satoja tai tuhansia patentteja, joilla luodaan kilpailuetua. Lääkeyhtiöt voivat laittaa kymmeniä miljoonia tutkimukseen. Silti monilta puuttuu aseet ja toimet tietomurron ennalta ehkäisemiseksi ja havaitsemiseksi.

Nyströmin mukaan meillä Suomessa ollaan sinisilmäisiä, että näin ei tapahdu meillä. Mutta kyllä sitä tapahtuu.

 

2. Incident response eli häiriövaste


Kun serverit kaatuvat, lunnasohjelma laittaa päätteet jumiin tai mitä tahansa toimintaa häiritsevää tapahtuu, vasteaikaa tapahtumaan reagoinnille nimitetään Incident Response Timeksi eli häiriövasteeksi.

– Organisaatioiden on tärkeää rakentaa toimintasuunnitelma, joka kuvaa mitä tehdään kun pamahtaa, Nyström sanoo.

“Incident Response Plan kuvaa mitä tehdään kun pamahtaa”

Iso haaste on se, että yritykset eivät yleensä huomaa tietomurtoa pitkiin aikoihin. Keskimäärin kuluu 150 – 200 päivää, ennen kuin asia huomataan, ja huomion tekee usein joku ulkopuolinen taho. 

– Voi olla, että rikoksessa käytetään vain hyväksi palvelinkapasiteettia, kuten Lahden terveydenhuollon järjestelmää hyödyntäneessä Bitcoin-louhinnassa tapahtui.

Toista ääripäätä edustaa Tanskalaisen logistiikkayhtiön Maerskin tarina. Hakkerit saivat Maerskin järjestelmiin lunnasohjelman, joka tuli maksamaan yrityksen arvion mukaan noin 200 miljoonaa dollaria.

“Maerskin tietomurto tuli maksamaan yrityksen arvion mukaan noin 200 miljoonaa dollaria.”

Ohjelma kryptasi koneet, ja yrityksessä jouduttiin asentamaan uudelleen koko heidän ympäristönsä. Maerskilla oli käytössään  45 000 pc:tä, 4000 palvelinta ja 4000 sovellusta.

– Maerskin tietohallinto asensi kaiken kymmenessä päivässä, mikä lienee jonkin sortin maailmanennätys. Monelle it-toimittajalle useampi kuukausi voisi olla optimistinen aika, Nyström sanoo.

Tässä tapauksessa hyökkäyksen kohteeksi joutunut yritys ei suostunut maksamaan lunnaita. Hyökkäyksen hintana logistiikkayhtiö ei voinut muun muassa käsitellä tilauksia, jolloin laivat jäivät satamaan ja logistiikka pysähtyi.

– Keskimäärin joka viidestoista minuutti johonkin satamaan saapuu laiva, jossa on tuhansia kontteja. Jos tuollaisesta operaatiosta osa pysähtyy, niin skaala on aika huikea. Kun tietojärjestelmät pettävät, suuri osa toiminnasta halvaantuu, sillä kaikki joudutaan tekemään manuaalisesti, Nyström pohtii.

Siksi tietomurron tapahtuessa paikalle täytyy kutsua Sherlock Holmes.

 

Kim Nyströmin mukaan yli 95 % prosenttia tietomurroista ei koskaan päädy poliisin tietoon.

 

3. Etsivät paikalle


Kun rikos on tapahtunut ja tapahtuman vaikutus minimoitu ja rajattu, paikalle pitää kutsua etsivät, jotka aloittavat tutkinnan.  

– Heidän tehtävänään on kerätä saatavilla oleva tieto tapahtuneesta. Iskun jälkeen halutaan selvittää, mistä tämä johtui, mutta kun laitteet käynnistetään uudestaan, jäljet häviävät, Kim Nyström kertoo.

Tietomurtoa voisi siis verrata siihen, että on tapahtunut onnettomuus ja soitetaan hätänumeroon ensiavun saamiseksi. Sitten tajutaankin, että kyseessä ei ole sittenkään onnettomuus vaan rikos. Ensiapu hoidetaan samalla kun soitetaan poliisille.

– Huomataan, että tämä mies ei ole voinut työntää puukkoa selkäänsä itse, vaan sen täytyy olla joku muu. Kun poliisi on saatu paikalle, he eristävät rikospaikan ja rikosetsivät aloittavat tutkinnan, Nyström vertaa.

Siksi reagointikyky on tärkeää valvonnan lisäksi.

– Kun todistusaineisto on kerätty, voidaan lähteä tekemään rikosilmoitus. Jos ilmenee, että tietomurron takana on pahin kilpailija, lähdetäänkin ehkä neuvottelemaan, että mitenkäs tässä näin kävi.

Nykypäivänä yli 95 % prosenttia tietomurroista ei kuitenkaan mene poliisin tietoon, koska ei ole pakko.

– Yleensä yrityksissä kartetaan negatiivista julkisuutta. Jos sinulla on esimerkiksi lääketeollisuuden tutkimusyritys ja sinne murtaudutaan, et halua osakkeenomistajien ja markkinan tietävän, että joku vei meiltä kaiken tiedon. Ajatellaan, että on parempi pitää matalaa profiilia.

“Yli 95 % prosenttia tietomurroista ei mene lainkaan poliisin tietoon”

Keväällä 2018 laajemmin voimaan tuleva GDPR tosin muuttaa tätä kenttää, sillä se velvoittaa yritykset ilmoittamaan tietoturvaloukkauksista viranomaisille.

Mitä tulee avun saamiseen, monissa tapauksissa viranomainen on kuitenkin voimaton. Kyberrikollisten määrä on tuntematon.

Kim haluaa alleviivata, että varautumista ei kannata vähätellä.

Valitettavasti varautuminen alkaa usein vasta kun jotain ikävää on sattunut, joten perushygienia pitää hoitaa kuntoon. Sillä tuskin estetään murtoja, mutta voidaan parantaa havainnointikykyä ja hidastaa murtojen tapahtumista.

“Maailmalla etiikka on erilaista”

– Maailmalla etiikka on erilaista. Siellä rikolliset muodostavat konsulttiyrityksiä ja tarjoavat yritystietoa vähän business intelligence tyyppisesti. Näin rehelliset yritykset voivat saada arvokasta informaatiota tietämättä, että se on suoraan kilpailijan palvelimelta.

Kim Nyströmin pääviesti on se, että perushygienian lisäksi yrityksellä tulee olla suunnitelma eli pitää tietää mihin soittaa ja mitä tehdä kun tietomurto tapahtuu.

– Jos esimerkiksi lunnasohjelma iskee niin silloin pitää olla prosessit kunnossa tai edes numero tiedossa kenelle soittaa.

 

Combitechin ite wiki -profiili
Combitechin kotisivut

 

Onko yrityksellänne mielenkiintoinen juttu kerrottavaksi, ohjelmisto esiteltäväksi tai osaava digitalisaation asiantuntija haastateltavaksi? Ole yhteydessä ite wikin toimitukseen johannes.puro@itewiki.fi tai elina.koskipahta@itewiki.fi, niin tehdään artikkeli!