Henkilökohtainen hyökkäyspinta-ala on koko organisaation riski

Miksi olisit kyberrikollisille kiinnostava kohde? Mitä tietoa sinusta tai läheisistäsi näkyy verkossa ulospäin, ja miksi sillä on merkitystä? Kyberrikolliset käyttävät pitkälle vietyjä taktiikoita, kun he pyrkivät pääsemään kiinni arvokkaaseen tietoon. Vaakalaudalla voi olla yritys- ja jopa valtiotason data.

Artikkeli on julkaistu Viestimies-lehdessä 01/2024, ja se on osa artikkelisarjaa, jossa tarkastellaan tietoturvaa moderneissa IT-ympäristöissä. Tämä osa keskittyy kyberrikollisten vaikuttamiskeinoihin organisaatioissa ja niiden palveluketjuissa. Sarjan aiemmissa osissa näkökulmina ovat olleet tekoälyn mahdollisuudet turvallisuuskriittisissä ympäristöissä sekä tietoturva tämän päivän tietoliikenneverkoissa.

Kyberrikollisuuden uhkamaisema on muuttunut merkittävästi pelkästään viime vuoden aikana, ja muutos on nopeaa. Ala on ammattimaistunut selvästi. Jos ennen puhuttiin yksittäisistä, pahantahtoisista hakkereista tai hakkeriryhmistä, muistuttaa rikollisten järjestäytymisen tapa nyt mitä tahansa yritystoimintaa.

Kilpajuoksu hyvän ja pahan välillä on kovaa. Tietoturvan vahvistaminen edellyttää teknologioita ja reaaliaikaista valvontaa, mutta ne eivät yksin riitä muodostamaan aukotonta suojaa. Siksi on olennaista ymmärtää, millaisia riskejä liittyy tietoon, jota itse annamme itsestämme tai organisaatioistamme ulospäin, tiedostamatta tai tarkoituksella.

Palveluihin erikoistuneita ammattirikollisia

Moni tämän päivän kyberrikollisista toimii palveluntuottajina. Heillä ei ole välttämättä omaa intressiä aiheuttaa haittaa kohteelle, vaan hyökkäyksiä tehtaillaan laittomana liiketoimintana. 

Osa toteuttaa tilauksesta “Ransomware as a Service” -palveluita, eli myy kenelle tahansa kiinnostuneelle palvelua, jossa kohteen järjestelmiin asennetaan dataa kaappaavia tai kryptaavia kiristyshaittaohjelmia. Palvelumalli tekee tietoturvarikosten toteuttamisesta huomattavan helppoa. Ransomwaren lisääntyminen näkyykin tilastoissa.

Osa kyberrikollisista keskittyy hankkimaan pääsytietoja, kuten käyttäjätunnuksia ja salasanoja, ja myy niitä sen jälkeen eteenpäin (initial access brokers).

Osa hakkereista on erikoistunut tekoälyn hyödyntämiseen ja deepfake-palveluihin. Kyberhyökkäystä suunnitteleva voi ostaa palveluna esimerkiksi uskottavan oloisia keskusteluja käyvän AI-botin, joka vakuuttaa kohdehenkilön niin, että tämä päätyy klikkaamaan haitallista linkkiä. Keinotekoisilla, todellista henkilöä muistuttavilla videoilla on äänessä esimerkiksi yrityksen “toimitusjohtaja”, joka antaa valheellisia “ohjeita” alaisilleen.

Maailmassa, jossa tietoturvahyökkäyksen voi ostaa helposti palveluna, ei haitan aiheuttamiseen tarvita enää omaa, pitkälle vietyä tietoteknistä osaamista. Riittää, että palvelun ostajalla on motiivi päästä kiinni kohdeorganisaation dataan.

Datan kaappaamiseen ja kiristämiseen tähtäävät hyökkäykset yleistyneet erittäin jyrkästi

Globaalit uhkatiedusteluraportit kertovat, että vuonna 2023 ransomware- eli kiristyshaittaohjelmiin liittyvien hyökkäysten määrä kasvoi jopa 55,5 % edelliseen vuoteen verrattuna. 

Ennätysmäinen kasvu yllätti kokeneetkin tietoturva-asiantuntijat, mutta kehityskululle on selitys. Kuten edellä kuvattiin, ransomware-hyökkäyksiä on yhtäkkiä helppo hankkia palveluna, ja se on suhteellisen edullista.

Haitan aiheuttamisen takana voi olla useita erilaisia motiiveja. Jos kiristäjä saa haltuunsa suuria määriä liiketoimintakriittistä dataa, lunnaat voivat tuoda rikolliselle suuria taloudellisia voittoja. 

Toinen motiivi liittyy poliittisiin tai eettisiin mielenilmauksiin. Aktivisteista tulee hacktivisteja. Jos aktivistiryhmä kokoontui aiemmin yrityksen pääkonttorille osoittamaan mieltä, nyt viestin tehostamiseksi saatetaan ostaa digitaalinen hyökkäys yritystä kohtaan. Tämän tyyppisten hyökkäysten arvioidaan lisääntyvän tulevaisuudessa.

Oma lukunsa on valtiollinen vaikuttaminen ja kybervakoilu. Suomessa seurataan tällä hetkellä tarkasti varsinkin Venäjän hallintoon yhdistettyjä uhkatoimijoita, mutta merkittäviä ryhmiä liittyy myös mm. Kiinan ja Pohjois-Korean hallintoihin.

Vuonna 2023 Venäjän valtioon kytkeytyvä hakkeriryhmä APT29 lähetti Ukrainassa toimiville diplomaateille BMW-autojen myynti-ilmoitukseksi naamioituja viestejä. Ilmoituksen sisältämän linkin klikkaaminen johti haittaohjelman latautumiseen. Ilmoitukset olivat samankaltaisia, joita autoaan myyvä puolalainen diplomaatti oli lähettänyt kollegoilleen muutamaa viikkoa aiemmin. Hyökkäys kohdistui ainakin 22 lähetystöön Kiovassa. Niissä työskenteli muun muassa Yhdysvaltojen, Kanadan, Turkin, Alankomaiden, Tanskan ja Viron valtioiden diplomaatteja. (Lähde: Unit 42)

Maailman valtioiden välillä on jonkin verran eroja kyberrikollisten kyvykkyydessä. Yleisesti ottaen voi kuitenkin todeta, että osaavia ammattilaisia on tällä hetkellä joka mantereella. Esimerkiksi Etelä-Amerikasta käsin tehdään tällä hetkellä paljon hyökkäyksiä. Osa hakkereista määrätään tehtäviin valtiolliselta taholta, toisia taas saattaa houkutella rikolliselle uralle yksinkertaisesti lupaus paremmasta elintasosta.

Tietojenkalastelun kohdehenkilöt ovat tarkasti valikoituja

Ransomware-hyökkäyksissä rikollisen tavoitteena on tietyn organisaation datan haltuun saaminen. Joko dataa on tarkoitus varastaa omiin tarkoituksiin tai kiristystä varten, tai se halutaan kryptata käyttökelvottomaksi haitantekomielessä. 

Kiristyshaittaohjelman asentamiseen ei aina tarvita teknologista haavoittuvuutta, jonka kautta järjestelmiin ujuttauduttaisiin luvatta. Sen sijaan yleinen taktiikka on kalastella pääsytietoja organisaation avainhenkilöiltä.

Tarkkaan kohdennetuissa phishing-hyökkäyksissä, joissa on tarkoitus saada haltuun tietyn organisaation dataa, myös kohdehenkilöt on usein valikoitu hyvin tarkasti. 

Mikä sitten tekee yksittäisestä henkilöstä mielenkiintoisen kohteen? Kiinnostavia avainhenkilöitä on rikollisten silmissä paljon:

C-level- eli johtoryhmätason päättäjillä on laajasti valtaa. Finanssiosaston takana on organisaation rahaliikenne. Erikoisalueiden asiantuntijoilla on hallussaan kriittisen tärkeää tietoa. IT-vastuuhenkilöillä on laajat pääsyoikeudet järjestelmiin.

Venäjänkielinen ransomware-ryhmä BlackCat/ALPHV ilmoitti joulukuussa 2023 kohdistaneensa kyberhyökkäyksen yhdysvaltalaiseen Ultra Intelligence and Communicationsiin. Kyseessä on yksityinen kyberturva-alan yritys – ei suoraan valtiollinen taho – mutta sen asiakaskuntaan kuuluu valtion virastoja ja muita Yhdysvaltain kriittisen infrastruktuurin kannalta tärkeitä toimijoita. Ultra Intelligence and Communicationsin kaltaisille organisaatioille on tärkeää varautua hyökkäyksiin ennalta niin, että haitat jäävät mahdollisimman pieniksi. (Lähde: The Cyber Express)

Suomessa ollaan vielä melko sinisilmäisiä riskien suhteen sekä organisaatioiden että yksilöiden tasolla. Moni ei pidä omaa henkilökohtaista hyökkäyspinta-alaansa (attack surface) riittävän kiinnostavana, eikä tunnista, mitä kaikkea kriittistä tietoa oman työroolin hoitamiseen liittyy. 

Organisaation datan ajatellaan olevan turvassa Suomen syrjäisen sijainnin vuoksi tai siksi, että muita, houkuttelevampia kohteita hakkereille kyllä riittää. Mediapuhe huoltovarmuuden kannalta keskeisten alojen kriittisestä infrastruktuurista voi johtaa harhaan, jos se yksinkertaistuu mielikuvissa vain energiasektorin tai maanpuolustuksen asiaksi. Oman liiketoimintadatan arvoa ei usein nähdä samoin.

Näitä ajatuksia pitäisi kyseenalaistaa vahvasti. “Kriittisyys” on aina suhteellinen termi. Lähtökohtaisesti kaikki suojausten ja salasanojen taakse suljettu infra ja data on kriittistä millä tahansa toimialalla. Omalla datalla on merkitystä niin yhden hengen mikroyritykselle kuin suurille valtakunnallisille tai globaaleille toimijoille. Pahimmassa tapauksessa vakava ransomware-hyökkäys riittää kaatamaan koko liiketoiminnan ja vaikuttaa myös toimitusketjun muihin osiin.

Rikollisten on helppo löytää henkilökohtaisia tietoja kohteen vakuuttamiseen

Usein ihmiselle tulee yllätyksenä, miten paljon hänestä löytyy tietoa, jonka rikolliset voivat kääntää hyödykseen. Huomaamme tämän, kun teemme hyökkäyspinta-alan kartoituksia yritysten avainhenkilöistä. Tulokset saattavat säikäyttää sellaisenkin henkilön, joka käyttää esimerkiksi sosiaalista mediaa vapaa-ajallaan hyvin rajatusti, tai ajattelee piiloutuneensa anonyymien nimimerkkien taakse.

Huijaukseen haksahtamisen perusidea on yksinkertainen: rikollinen on pystynyt tekemään valesivustosta tai tietopyynnöstä riittävän uskottavan. Se onnistuu vain, jos hyökkääjä arvaa riittävän oikein, millaisilta sidosryhmiltä – kuten tuttavilta tai tavarantoimittajilta – kohdehenkilö saattaisi samaan aikaan saada yhteydenottoja töissä tai vapaa-ajalla.

Jo pelkkä LinkedIn-tili antaa uhkatoimijoille paljon informaatiota, kuten nimiä lähipiiristä ja linkityksiä muihin sosiaalisen median palveluihin. Johtolankojen kautta voi edelleen selvittää, millä alueella kohdehenkilö tai hänen puolisonsa ulkoilevat vapaa-ajallaan ja mitä heidän lapsensa harrastavat. Julkisista rekistereistä saattaa löytyä tieto esimerkiksi taloyhtiön hallitukseen kuulumisesta.

Sosiaalisessa mediassa kiertää tälläkin hetkellä haasteita, joissa kysytään ikää, lemmikin nimeä, syntymävuotta ja monenlaisia mieltymyksiä. Viranomaiset varoittavat näihin osallistumisesta painokkaasti. Jos haluaa pienentää henkilökohtaista hyökkäyspinta-alaansa eli ulospäin näkyvien tietojen määrää, ei riitä, että ohittaa itse tällaiset haastesisällöt. Perheenjäsenet, ystävät tai muut läheiset saattavat kertoa erehdyksessä auliisti tietoja, jotka kertovat myös kyberrikollisten tähtäimessä olevasta avainhenkilöstä.

Kerättyjen tietojen perusteella rikolliset voivat lähettää vastaanottajalle uskottavia, oikean näköisillä tiedoilla täydennettyjä linkkejä vaikkapa “urheiluseuran ilmoittautumisjärjestelmään” tai “taloyhtiön asiakirjojen hoitamiseen”. Mitä luotettavammalta yhteydenottaja tuntuu, sitä helpommin pienet kömpelyydet linkin URL-kentässä tai kirjoitusasussa jäävät huomaamatta.

Henkilökohtainen hyökkäyspinta-ala tarkoittaa kaikkea sitä, mikä yksilöstä näkyy ulospäin avoimesti verkossa. Pinta-alaa ei voi kutistaa olemattomiin, mutta sen laajuudesta ja siihen liittyvistä riskeistä on hyvä olla tietoinen. Silloin yhteydenottoihin osaa suhtautua suuremmalla varauksella.

Vastaavasti organisaation hyökkäyspinta-ala tarkoittaa kaikkea organisaatiosta julkisesti saatavilla olevaa tietoa. Näitä kahta ei voi tämän päivän maailmassa erottaa toisistaan. Yksi väärä klikkaus riittää avaamaan aukon, jolla ransomware-ohjelmaa levittävä rikollinen voi päästä kiinni yhteisiin järjestelmiin.

Yleisiä väärinkäsityksiä, jotka luovat valheellista turvallisuuden tunnetta:

• “Ei minun takanani ole kriittistä dataa.” Oman organisaatiosi toiminnan jatkuvuuden kannalta takanasi oleva data on aina kriittistä. Saatat olla myös osa huoltovarmuuden kannalta kriittisiä palveluketjuja.
• “Olen todella varovainen, enkä kerro vapaa-ajastani mitään somessa.” Rikolliset löytävät onnistuneen phishing-kampanjan taustatiedoksi yllättävän paljon materiaalia pelkästään julkisista lähteistä tai LinkedIn-profiilista. He kykenevät yhdistämään kokonaiskuvaansa myös tietoja, joita läheisesi jakavat verkossa itsestään.
• “Meillä on käytössä markkinoiden parhaat antivirustyökalut ja palomuurit.”  Aina työkaluja ei ole konfiguroitu toimimaan organisaatiota parhaiten palvelevalla tavalla. Ne eivät esimerkiksi kerää lokitietoja.
• “Olemme iso organisaatio, joten järjestelmämme ovat hyvin suojattuja.” Pienemmissä organisaatioissa suojautumisen taso saattaa olla jopa parempi kuin suurissa, joissa käytössä on paljon legacy-teknologiaa. Vuosien varrella kyberuhkiin varautumiseksi on jouduttu rakentamaan vippaskonsteja, jotka saattavat avata hyökkäyspinta-alaa näkyviin yllättävistä paikoista.
• “Meillä on käytössä SOC-palvelu eli kyberturvallisuutta valvotaan reaaliaikaisesti.” Kiristyshaittaohjelmia asentavat rikolliset toimivat entistä nopeammin. Aiemmin järjestelmissä saatettiin lymyillä hetki ennen ohjelman asentamista, nyt data pyritään kryptaamaan tai kaappaamaan mahdollisimman nopeasti. Reaaliaikaisen valvonnan lisäksi tarvitaan uhkien kartoittamista ja proaktiivista ennakointia.
• “Omat ympäristömme on auditoitu perusteellisesti, ja satsaamme paljon tietoturvaan sekä henkilöstön kouluttamiseen.” Palveluketjuhyökkäysten yleistyminen lisää painetta kyberturvan ennakoivaan vahvistamiseen koko toimittajaverkoston kanssa.
  
  

Riski ei tarkoita samaa kuin haavoittuvuus

Organisaation hyökkäyspinta-ala kattaa yksilön pinta-alan tavoin kaikki asiat, jotka ovat ulospäin näkyviä ja kenen tahansa löydettävissä. Ne voivat olla ip-osoitteita, avoimia portteja tai kirjautumisikkunoita. 

Osa näistä on tietoisesti julkisessa verkossa näkyviä, mutta osan pitäisi olla salattuja ja näkyvissä ainoastaan tietyille käyttäjille yrityksen omassa verkossa. Ennakoivassa hyökkäyspinta-alan monitoroinnissa huomataan, jos tällaisia tietoja on epähuomiossa jäänyt näkyviin. 

Tässä kohtaa on tärkeää huomata, että kyse ei ole välttämättä haavoittuvuudesta. Sovellukset ja laitteet voivat olla päivitysten puolesta kunnossa, eikä rikollinen löydä takaportteja tietomurron tekoon. Siitä huolimatta puhutaan hyökkäyspinta-alaa kasvattavista riskeistä.

Esimerkki riskistä, joka ei ole haavoittuvuus: Pilvisiirtymähankkeessa siirretään olemassaolevia resursseja on-premises -palvelimilta pilveen. Konfigurointivirheen vuoksi intranetin kirjautumisikkuna on jäänyt näkyviin julkiseen internetiin, vaikka sen olisi tarkoitus näkyä vain yrityksen lähiverkossa toimiville. Jos rikolliset paikantavat tällaisen kirjautumisikkunan, he pystyvät ostamaan verkosta kalasteltuja käyttäjätunnuksia ja pommittamaan kirjautumisikkunaa näillä.

Haavoittuvuuksien seuraaminen on todella tärkeää, kun halutaan suojata yritysten ja yhteiskunnan kannalta kriittistä dataa ja infrastruktuuria. Riittää, että yksinkertaisista tietoliikennelaitteista löytyy heikko kohta, ja kriittiset järjestelmät ovat vaarassa. Näin tapahtui esimerkiksi Tanskassa vuonna 2023, kun kaikkiaan 22 energiayhtiötä joutui hakkeriryhmän hyökkäyksen kohteeksi palomuureista löytyneen haavoittuvuuden vuoksi (Lähde: The Record).

Lisäksi tarvitaan kuitenkin jatkuvaa hyökkäyspinta-alan monitorointia. Näin pystytään puuttumaan hyvissä ajoin myös riskeihin, jotka eivät johdu suoraan haavoittuvuuksista.

Palveluketjuissa mahdollisuuksia useille eri hyökkäystyypeille

Palveluketjuhyökkäys on kyberhyökkäyksen muoto, jossa rikollinen yrittää päästä kohdeorganisaation dataan kiinni kumppanien, kuten tavarantoimittajien, verkoston kautta. 

Tämän riskin tunnistaminen on erityisen tärkeää huoltovarmuuskriittisen tai kansallisen turvallisuuden parissa työskenteleville tahoille, kuten maanpuolustusorganisaatioille. Talon omat asiantuntijat saattavat olla tietoturva-asioissa erittäin valveutuneita, mutta satojen tai jopa tuhansien sidosryhmien verkostoa on vaikeampaa kontrolloida.

Palveluketjuihin kohdistuvat hyökkäykset voidaan jakaa kolmeen tyyppiin:

1. Rikollinen uhkatoimija varastaa toimittajalta dataa, jonka avulla on mahdollista räätälöidä entistä vaarallisempi hyökkäys alkuperäistä kohdeorganisaatiota vastaan. Esimerkiksi insinööritoimistolta varastetaan suunnitelmia, jotka on tehty puolustushallinnon tilauksesta.
2. Uhkatoimija hyödyntää kohdeorganisaation ja tämän toimittajakumppanin välistä, luotettavana pidettyä kanavaa sivusuuntaisesti.
3. Uhkatoimija löytää toimittajaketjun asiointikanavista tai integraatioista haavoittuvuuden tai riskialttiin kohdan, ja hyökkää kohdeorganisaation järjestelmiin sen kautta (ns. watering hole attack). Ilman riittäviä suojauksia ulkopuolinen, pahantahtoinen toimija voi esimerkiksi identifioida halutun organisaation liikenteen IP-osoitteiden mukaan ja kerätä tietoa kohdeorganisaation toiminnasta ja tätä kautta on myös mahdollista tarjota saastutettuja tiedostoja kohdeorganisaatiolle.

Vuonna 2023 suuri insinööritoimisto Black&McDonald joutui ransomware-hyökkäyksen kohteeksi. Yritys on toiminut sopimuskumppanina sekä Kanadan puolustusvoimille että kriittisen infrastruktuurin liikenne- ja energiayhtiöille Torontossa ja Ontariossa. Hyökkääjä ei päässyt käsiksi Kanadan puolustusvoimien järjestelmiin, mutta Black&McDonaldin asiakasprojekteja ja niihin liittyviä suunnitelmia voi hyvällä syyllä pitää itsessään kriittisen tärkeänä datana, joka ei saisi vuotaa rikollisille. (Lähde: The Record)

Kyberrikollisten teknologiat ja taktiikat kehittyvät ripeästi. EU:n NIS2-direktiivi edellyttää, että tietyt, huoltovarmuuden kannalta kriittiset organisaatiot ovat entistä paremmin perillä toimitusketjujensa kyberturvallisuudesta. Paine toimitusketjujen tietoturvan entistä huolellisempaan auditointiin kasvaa useista suunnista yhtä aikaa.
Rikolliset toimivat nopeammin kuin ennen

Aika, jonka uhkatoimijat viettävät kohdeympäristöissään, on lyhentynyt selvästi. Aiemmin rikolliset lymyilivät järjestelmissä tyypillisesti jonkin aikaa ennen kuin asensivat ransomware-ohjelman ja kaappasivat tai kryptasivat datan. Nyt tämä “dwell time” on pienentynyt merkittävästi.

Kriittisenä pidetyn infrastruktuurin ja datan suojaamiseen käytetään usein SOC-palvelua (Security Operations Center), jonka toimintaperiaate on perinteisesti tämä: IT-ympäristöjä seurataan reaaliajassa, ja havaittuihin poikkeamiin ja haitantekoon isketään nopeasti vastatoimilla. Mutta sitä mukaa kun rikollisten kohdeympäristöissä viettämä aika lyhenee, tulee proaktiivisista palveluista ja poikkeamien ennaltaehkäisystä – jo ennen kuin omissa ympäristöissä tapahtuu jotakin – jatkuvasti tärkeämpiä liiketoiminnan turvaamisessa ja kansallisen turvallisuuden vahvistamisessa.

Uhkaympäristön tarkkailuun kannattaa ehdottomasti sisällyttää ajatus jatkuvasta, ennakoivasta riskien havainnoinnista. Pelkkä haavoittuvuuksien monitorointi ja tietoturva-aukkojen sulkeminen ei riitä. 

Nopeasti muuttuvassa uhkamaisemassa henkilökohtaisten, organisaatiotason ja toimitusketjujen hyökkäyspinta-alojen tunteminen ja riskien ennakointi tulee päivä päivältä tärkeämmäksi.