tietoturva, kyberturvallisuus, Ajankohtaista, Yritykset

Seitsemän päivän kybermyrsky

Valtiollinen toimija painostaa Suomea vaikuttamalla kansantalouteen. Skenaario perustuu oletuksille suomalaisten tietojärjestelmien toiminnasta. Sen kaikki osa-alueet ovat alan ammattilaisten mahdollisena pitämiä.
Panu Vesterinen
FacebookTwitterLinkedIn

Jo vuosia eräs valtiollinen toimija on kerännyt tunnuksia ja pääsytietoja Suomen finanssialan, logistiikka-alan ja kriittisen infrastruktuurin toimijoiden verkkoihin. Toimintaa on peitelty muun muassa kohdistamalla palvelunestohyökkäyksiä toimijoiden internetsivustoille.

Kun hyökkäyksen kohde käyttää resurssinsa tilanteen korjaamiseen, verkossa valmistellaan toimenpiteitä. Hyökkääjävaltio on rakentanut takaovia ja ”passiivisia” haittaohjelmia uinumaan useiden julkisten ja yksityisten toimijoiden tietoverkkoihin.

1. Päivä

Sähkönjakelu alkaa kärsiä katkoista.

2. Päivä

Pankkiautomaatit lakkaavat toimimasta.

3. Päivä

– Pankkitileissä on havaittu virheellisiä rahansiirtoja.
– Pankit eivät enää luota järjestelmän maksumääräyksiin.
– Kuluttajat eivät voi ostaa verkossa, eivätkä pääse pankkitileilleen.

4. Päivä

– Logistiikka-alan yritykset hukkuvat valituksiin kadonneista ja vääriin osoitteisiin toimitetuista lähetyksistä. Hyökkäys on korruptoinut logistiikkajärjestelmät.
– Suomen kauppakumppanit eivät luota tilausten oikeellisuuteen, tuonti ja vienti häiriintyvät.

5. Päivä

Kaasu- ja öljyputkien toiminta keskeytyy. Kyberhyökkäykset eivät näy prosessien valvontajärjestelmissä, jolloin lisävahinkoja syntyy operaattorien jatkaessa normaalia toimintaa.

6. Päivä

Puhelinverkot kaatuvat.

7. Päivä

Sähköverkkoon hyökätään massiivisesti. Hyökkäys kohdistuu sähkönsiirtoon ja tuotantolaitosten generaattoreihin ja muuntajiin rikkoen niitä.

Viikon saldo

– Yhteiskunnan ja yritysten toiminta on vaikeutunut merkittävästi.
– Vaikutukset murentavat kansantaloutta.
– Henkilöstöä ei riitä hyökkäysten selvittämiseen eikä järjestelmien palauttamiseen.

Kansantaloutta vahingoittava uhka on todellinen

Kybermyrsky-skenaarion hyökkäystä kutsutaan nimellä APT eli Advanced Persistent Threat. Kun tietoturva-asiantuntijat kohtasivat ensimmäisen kerran kohdistettuja hyökkäyksiä, ymmärrettiin, että kyseinen uhka ei katoa. Koettiin, että tällaisia hyökkäyksiä on vaikeaa tai lähes mahdotonta torjua.

-Hyökkääjät ovat kehittäneet digitaalisia keihäänkärkiä erityisesti kriittisen infrastruktuurin verkkoihin. Ne on saatu eri keinoin tietoverkkoihin ja ne uinuvat siellä havaitsemattomina kuten sukellusveneet odottaen toimintakäskyä, kuvaa yhdysvaltalainen kyberasiantuntija Chris Fogle.

Tällaisten huomaamattomasti levitettyjen hyökkäysten aktivoimisen seuraukset voivat olla järisyttäviä kansantaloudelle.

-Voidaan olettaa, että valtiotason toimijat ovat keränneet suuren varaston työkaluja, tekniikoita ja nollapäivän haavoittuvuuksia, joita ei ole vielä havaittu.

Tilanne ei kuitenkaan ole täysin menetetty. Pitkän ajan kuluessa on opittu paljon APT-toimijoiden toimintatavoista.

-Olemme oppineet tunnistamaan keitä hyökkääjät ovat, millaisia maaleja he suosivat ja millaisia operaatioita kukin mielellään käyttää. Taito löytää ja seurata hyökkäyksiä tietoverkoissa on kehittynyt, samoin se, millaisista tunnusmerkeistä verkossa lymyävä hyökkäys voidaan tunnistaa.

Hyökkäyksien tunnistaminen vaatii pitkäjänteisyyttä, sillä APT-hyökkääjät ovat taitavia välttämään perinteisen tietoverkkoturvallisuuden keinot. Olennaista on tietoverkon jatkuva monitorointi tunnusmerkkien löytämiseksi.

-Taistelussa digitaalisia keihäänkärkiä vastaan kyse on aktiivisesta taitavien ammattilaisten toteuttamasta tietoverkon seurannasta. Ammattilaiset pystyvät tunnistamaan poikkeamia tietoverkossa ja osaavat suhteuttaa näkemänsä asiat uhkatietoon. Lisäksi on kehitetty työkaluja helpottamaan tiedon keräämistä verkoista ja tiedon analysointia, Fogle kertoo.

Erilaisten valvontatyökalujen hankkiminen on turhaa, jos niiden tuottamaa tietoa ei osata hyödyntää.

Osaajien puute on varsin yleistä erityisesti teollisten prosessien valvontajärjestelmissä. Järjestelmät ohjaavat kriittisen infran toimintaa, kuten sähkölaitoksia ja siirtoverkkoa, öljyputkia ja jalostamoja, tehtaiden prosesseja sekä kemian tuotantolaitoksia ja varastoja.

Haasteena on löytää kokeneita kyberturvallisuuden ammattilaisia,jotka tietävät käytännössä, mitä prosesseissa tapahtuu. Moni tietoturvatyökaluista vaatii kuitenkin modifiointia, jotkut saatavat aiheuttaa jopa teollisten prosessien pysähtymisen.

-Hunt-toimintaan kykenevän oma tietoturvahenkilökunnan kouluttaminen voi tuntua hintavalta, mutta ainakin suuremmille toimijoille ja valtiolle se ei ole liian suuri sijoitus. Liiketoiminnan historiassa on ensimmäistä kertaa uhka, johon varautumisen laiminlyöminen voi johtaa kansantaloudellisiin vaikutuksiin, Chris Fogle vakuuttaa.

 

Chris Fogle

Chris Fogle on Delta Risks ja CyVantage yhtiöiden perustajajäsen.Chris Fogle, tietoturva, kyberturvallisuus

Hän on työskennellyt Yhdysvaltain Ilmavoimissa ja viimeiset kahdeksan vuotta kyberturvallisuusyrittäjänä.

Fogle on erikoistunut muun muassa kriittisen infran kyberpuolustautumiseen ja kyberammattilaisten korkeatasoisten taitojen kehittämiseen ja ylläpitämiseen. Hän myös neuvoo yritysten johtoryhmiä kyberasioissa.

Kommentoi