Varautuminen kybersotaan on ajankohtaisempaa kuin koskaan. Virtuaalisten hyökkäysten rintamalla muutos on nopeaa. Suomessa viranomaiset ovat pyytäneet, että kaikki verkkopalvelujen ylläpitäjät huomioisivat kyberuhkatason selvän nousun. Nyt on juuri oikea hetki tarkastella IT-palveluntarjoajien kanssa tehtyjä sopimuksia ja varmistaa, että oma verkkosivusto on suojattu riittävän hyvin.

Kyberuhkien torjumisen ei tarvitse sitoa kohtuuttomasti organisaatiosi aikaa ja rahaa vaan tärkeintä on, että et ohita aihetta olankohautuksella. Kustannukset ja haittavaikutukset voivat sen sijaan kasvaa suuriksi, jos suojautumista lykkää tuonnemmaksi.

Mikä kybersota?

Viimeistään Venäjän hyökkäyssota Ukrainassa on nostanut poliittiset motiivit ja vaikuttamisyritykset valokeilaan, kun puhutaan organisaatioiden tietoturvasta. Kybersota ei ole tulevaisuuden skenaario, vaan totta juuri nyt. Kyberturvallisuuskeskuksen raportit kertovat, että Suomessakin havaittujen haittaohjelmien, tietojenkalastelukampanjoiden ja palvelunestohyökkäysten takana on ryhmittymiä, joiden jäljet ovat johdettavissa muun muassa Venäjän, Kiinan, Iranin ja Pohjois-Korean hallintojen lähelle.

Kybersota ei katso valtioiden rajoja

Kybersodassa hyökkääjä pyrkii vaikuttamaan kohteisiinsa verkon kautta useilla eri keinoilla. Tavoitteena voi olla vakoilu, tietojärjestelmien tai infrastruktuurin lamauttaminen tai disinformaation levittäminen.

Hyökkäyksillä pyritään myös kolhimaan kohteen mainetta. Tietomurrot tai palvelukatkokset rapauttavat kansalaisten luottamusta verkkopalveluihin ja kokonaisiin instituutioihin.

IT-palveluntarjoajat seuraavat säännöllisesti maailmalla havaittuja haittaohjelmia ja tietoturvahaavoittuvuuksia. Suomessa Liikenne- ja viestintävirasto Traficom julkaisee seurantadataa ja tilastoja esimerkiksi haittaohjelmahavainnoista. Raportit kertovat trendeistä, mutta niihin ei kannata tuudittautua liiaksi, sillä pinnan alle jää paljon:

  • Hyökkäystaktiikat ja haittaohjelmat kehittyvät niin nopeasti, että automaattiset skannerit eivät kykene tunnistamaan kaikkia tapauksia.
  • Suojauskeinot kehittyvät jatkuvasti. Raportoitujen tapausten määrä pysyy aisoissa, sillä organisaatiot osaavat varautua erilaisiin kyberuhkiin päivä päivältä paremmin.

Valtiot varautuvat tänä päivänä kybersotaan siinä missä perinteiseenkin sodankäyntiin – niin myös Suomessa. Ilmiö on kuitenkin kahdenvälisiä konflikteja ja varusmiesten kouluttamista laajempi. Se ulottuu valtioiden rajojen yli. Siksi myös kyberrikollisuudelta puolustautuminen kuuluu kaikille verkkosivustojen ja IT-järjestelmien ylläpitäjille.

Hyökkäysyritykset voivat olla tarkkaan kohdennettuja tai summittaista lukkojen kolistelua. Ne voivat kohdistua yhtä hyvin paikallislehtien, yritysten kuin julkisten instituutioiden verkkosivustoille. Tänään liikkeellä oleva haittaohjelma voi olla osa verkkohyökkäystä, jonka haitat näkyvät pitkällä viiveellä. Siksi suojautumistoimissa kannattaa olla ennakoiden liikkeellä.

Kyberturvallisuus koostuu neljästä peruspilarista: tietoturvasta, tietosuojasta, riskienhallinnasta ja toiminnan jatkuvuuden hallinnasta. Asiantuntevan sivustokumppanin kanssa pystyt varautumaan kaikkiin osa-alueisiin. Varautumatta jättäminen saattaa sen sijaan osoittautua sekä hintavaksi että työlääksi.

Hyökkäysyrityksiin varautuminen

Kyberhyökkäysten näkyvät haitat ovat vain jäävuoren huippu. Suurin osa työstä tehdään ennaltaehkäisyn ja suojautumisen parissa. Millaisia verkkosivustoihin kohdistuvat hyökkäysyritykset ovat?

Palvelunestohyökkäykset (DoS ja DDoS)

Perinteinen tapa palvelunestohyökkäyksen (DoS) tekemiseen on tämä: rikolliset käyttävät muutamaa IP-osoitetta, joista käsin he pyrkivät kuormittamaan kohteensa palvelinta lähettämällä sille lukuisia pyyntöjä yhtä aikaa. Kyseessä ei ole murtautuminen tai tietojen urkkiminen, vaan tavoitteena on estää tavallisten kävijöiden pääsy verkkosivustolle. Jos sivustosi olisi tosielämän pankkisali, palvelunestohyökkäys olisi kuin yritys ruuhkauttaa pankin eteinen.

Palvelunestohyökkäyksiin on mahdollista varautua pyyntömäärien rajoituksilla: kun tietty IP-osoite lähettää tietyn määrän pyyntöjä, se joutuu automaattisesti estetyksi.

Hajautetussa DDoS-palvelunestohyökkäyksessä hyödynnetään bottiverkkoja ja edistynyttä automatiikkaa.

Volumetrisessa DDoS-hyökkäyksessä massiivinen määrä haitallista tietoliikennettä kohdistuu palvelimelle ja sitä satelee jopa tuhansista eri IP-osoitteista yhtä aikaa. Hyökkääjä voi myös jättää yhteydenmuodostuksen viimeistelemättä, jolloin kertyy nopeasti puoliksi auki olevia yhteyksiä jonka takia tietoliikenneinfrastruktuurin eri komponentit ruuhkautuvat ja palvelu lopulta estyy. Tällaiset hyökkäykset ovat hyvä esimerkki teknologian nopeasta kehityksestä, mikä näkyy myös kyberrikollisten taktiikoissa. Perinteinen monitorointi ja IP-osoitteiden estäminen ei riitä tällaisen hyökkäyksen torjumiseen, mutta esimerkiksi Valu Muuri ja Headup-ratkaisut sen sijaan huomioivat DDoS-hyökkäysten estämisen jo teknisissä rakenteissaan.

Aiemmin palvelunestohyökkäykset kaatoivat sivustoja nykyistä herkemmin. Skaalautuvien palvelinten myötä sivusto saattaa pysyä pystyssä erittäin suurista pyyntömääristä huolimatta. Jatkuva pyyntöjen pommitus voi kuitenkin nostaa tarvittavan palvelinkapasiteetin ja sen kustannukset äkisti suuriksi.

Käyttäjätunnusten kalastelu ja salasanojen arvausyritykset

Salasanojen arvailu (väsytyshyökkäys, brute-force -hyökkäys) tarkoittaa tilannetta, jossa rikollinen ikään kuin kokeilee kepillä jäätä – automaattisesti ja väsymättä. Tavoitteena voi olla esimerkiksi tietomurto, väärän tiedon levittäminen tai haittaohjelmien levittäminen.

Botit pommittavat verkkosivuston ylläpidon kirjautumissivua eri tunnusten ja salasanojen yhdistelmillä. Kun sivustoa ylläpidetään ja monitoroidaan asiantuntevasti, tällainen käyttäytyminen voidaan tunnistaa ja estää hyökkääjien IP-osoitteet saman tien.

Tietojenkalastelu eli phishing tarkoittaa tilannetta, jossa huijari yrittää saada kohdehenkilöiden käyttäjätunnuksia ja salasanoja tietoonsa huijaussähköpostien tai -tekstiviestien avulla. Tunnusten avulla pyritään pääsemään käsiksi verkkosivustojen hallintaan. Tietojenkalasteluyrityksen onnistumiseen riittää yksikin inhimillinen virhe.

Sekä väsytyshyökkäyksen että tietojenkalastelun haittoja voi ehkäistä esimerkiksi:

  • käyttäjätunnusten AD-integraatiolla, johon liittyy kaksivaiheinen tunnistautuminen
  • IP-osoitteiden rajauksella, jossa verkkosivuston hallintaan pääsee käsiksi vain oman organisaation IP-osoitteista käsin
  • Headup-sivustototeutuksella

Lisäosien haavoittuvuuksien hyödyntäminen

Lisäosat tekevät WordPress-sivustoista erittäin taipuisia ja ketteriä suurtenkin organisaatioiden tarpeisiin. On kuitenkin tärkeää, että WordPress-sivuston toteuttaja- ja ylläpitokumppani tuntee lisäosien tietoturvaan liittyvät riskit ja seuraa ajankohtaisia haavoittuvuuksia huolellisesti. Yksikin päivittämätön lisäosa voi antaa kyberrikollisille keinon päästä käsiksi sivuston ylläpitoon.

Lisäosiin liittyvien ongelmien ehkäisy alkaa jo verkkosivuston rakentamisvaiheessa luotettavien lisäosien valinnasta. Ylläpitovaiheessa jokainen lisäosa on pidettävä jatkuvasti ajan tasalle päivitettynä, aivan kuten WordPressin ydinkin.

Automaattisella skannauksella pystytään tunnistamaan ja estämään haitalliset IP-osoitteet, jotka yrittävät kerätä tietoa tietyn sivuston lisäosista vahingoittamistarkoituksessa.

Palvelinohjelmistoihin liittyvät hyökkäysyritykset

Yleiset verkkohaavoittuvuudet, kuten palvelinohjelmistoihin liittyvät haavoittuvuudet, ovat minkä tahansa verkkosivuston ylläpitoon liittyvä riski. Verkkosivustoilla näihin varaudutaan palomuureilla sekä säännöllisiä palvelinpäivityksiä tekemällä.

Samoin kuin muidenkin hyökkäysyritysten kohdalla, myös palvelinohjelmistoihin murtautumisyritysten kohdalla hyökkäävät IP-osoitteet on mahdollista estää automaattisesti.

Miten Valulla varaudumme kyberhyökkäyksiin?

Tietoturva on omassa yrityksessämme yksi toiminnan peruspilareista. Olemme tehneet vuosien ajan säännönmukaista tietoturvatyötä WordPress-kentässä.

Näin varmistamme verkkosivustojen tietoturvaa:

  1. Tiedon saatavuuden varmistaminen: Markkinoiden nopein palvelininfrastruktuuri, jossa suorituskyky on helposti skaalattavissa.
  2. Hyökkäysmahdollisuuksien minimointi: Käyttöjärjestelmien, ohjelmistojen, julkaisujärjestelmien ja lisäosien säännöllinen päivittäminen, lisäosien auditointi ja haavoittuvuuksien seuranta, arkaluontoisen tiedon tallentamisen minimointi.
  3. Tunkeutumisen vaikeuttaminen: Huolehdimme, että järjestelmästä ja sen käyttäjistä on saatavilla mahdollisimman vähän tietoa. Hämäämme hyökkääjiä väärillä käyttäjätiedoilla ja pysäytämme haitallisen toiminnan ajoissa. Käytämme kaikilla sivustoilla kaksinkertaista palomuuria ja tunkeutumisenestojärjestelmää.
  4. Vahinkojen minimointi: Ehkäisemme tilanteita, jossa yksi vahinko johtaisi toiseen – esimerkiksi vuotaneen ylläpitotunnuksen avulla ei voi asentaa ylläpidosta haittakoodia, päästä käsiksi palvelimeen tai tyhjentää tietokantaa.
  5. Vahingoista palautuminen: Varmuuskopioimme automaattisesti tuplana ja käytämme konfiguraationhallintaa, jolla vastaavan ympäristön saa nopeasti pystyyn puhtaalta pöydältä.
  6. Turvallinen kehittäminen: Hallitsemme SSH-avaimia keskitetysti, jotta pääsyoikeuksien myöntäminen ja poistaminen on mahdollisimman helppoa. Toimistomme verkko on suojattu palomuurilla ja etätyöskentely tapahtuu VPN:n yli. Versioimme koodimuutokset, jotta niitä on mahdollista seurata ja palauttaa. Salaamme työasemat ja varmuuskopiointilevyt vahvalla salauksella.
  7. Käyttäjästä johtuvien virheiden välttäminen: Käytämme palvelinten hallintaan keskitettyä konfiguraationhallintaa. Käytämme toimintaa automatisoivia ohjelmaskriptejä.
  8. Kehitämme jatkuvasti tietoturvallisempia ratkaisuja: Valu Muuri ja Headup ovat esimerkkejä teknologioista, jotka suojaavat asiakkaidemme verkkosivustoja.

Minkälainen suojaustaso sopii sivustollesi?

Tietoturvaa ei kannata koskaan laiminlyödä. Kun suojaat verkkosivustosi, siirrät samalla hyökkääjän huomion muualle, heikommin varautuneisiin kohteisiin. Se, kuinka järeän varustelun valitset puolustuksellesi kybersodassa, riippuu siitä, millaisia riskejä organisaatiosi on valmis ottamaan.

Suojaustasot-WordPress

Tietoturvakovennettu WordPress-sivusto

Jokaisen asiakkaamme perustason WordPress-sivusto on jo tietoturvakovennettu WordPress-sivusto. Olemme vahvistaneet tietoturvaa useilla eri käytännöillä. Tilastot kertovat, että nämä sivustot ovat erittäin toimintavarmoja. Tavanomaisiin sivustoihin liittyy kuitenkin tiettyjä kustannusriskejä. Verkkosivustojen ylläpitäjinä torjumme suppeampia palvelunestohyökkäyksiä ja erilaisia murtautumisyrityksiä päivittäin. Kyberhyökkäysten yleistyessä yleistyvät myös yksittäiseen sivustoon kohdistuvat poikkeustilanteet. Niiden selvittely ja raportointi asiantuntijoiden tuntityönä voi tuoda ylimääräisiä kuluja normaalin ylläpidon kustannuksen päälle.

Toinen odottamaton kuluerä voi liittyä tiedonsiirtoon. Kovennettu sivusto on rakennettu siten, että se kestää korkeitakin kävijäpiikkejä kaatumatta. Sivuston palvelinkapasiteetti mitoitetaan hieman normaalikäyttöä korkeammaksi, ja piikkitilanteista maksetaan erikseen. Jos keskikokoinen palvelunestohyökkäys ajoittuu sovitun palveluajan ulkopuolelle, puhutaan piikin sijaan tuntien tai koko viikonlopun mittaisesta ruuhkatilanteesta. Sivusto kestää ja kestää kaatumatta, mutta massiivisesta tietoliikenteestä voi kertyä asiakkaalle tuhansien eurojen ylimääräinen lasku.

Älykkäällä Valu Muurilla vahvistettu sivusto

Viime aikoina hajautetut palvelunestohyökkäykset (DDoS) ovat olleet laajuudeltaan ja voimaltaan jopa 500-kertaisia aikaisempaan hyökkäyksiin verrattuna. Näin laajoihin hyökkäyksiin ei olisi järkevää varautua tavanomaisten WordPress-verkkosivustojen ylläpitosopimuksissa. Modernien palvelunestohyökkäysten aiheuttamat ylläpitokulut voisivat nostaa asiakkaan kuukausikustannukset moninkertaisiksi. Tästä syystä olemme kehittäneet Valu Muurin.

Valu Muuri on verkkosivuston ympärille rakennettu lisäkerros. Se on suodatin, jonka läpi kaikki sivuston verkkotunnukseen liittyvä liikenne kulkee. Muuri estää 99% hyökkäyksistä sekunnin sisällä eli reagoi erittäin nopeasti haitalliseen verkkoliikenteeseen. Jäljelle jäävä 1 % mitigoituu sekin yleensä seuraavien sekuntien kuluessa.

Älykkyys erottaa Valu Muurin perinteisistä palomuureista. Kaikki Valun toteuttamat verkkosivustot on vahvistettu kaksinkertaisen palomuurin lisäksi tunkeutumisenestolla. Vaikka yhdistelmä torjuu monen tyyppisiä hyökkäyksiä tehokkaasti, se ei ehdi reagoida hajautettujen palvelunestohyökkäysten massaan Valu Muurin kaltaisella nopeudella.

Valu Muuri tuo sivuston ylläpitoon kustannussuojan. Kun haitallinen liikenne pysähtyy lisäsuojauskerrokseen, tiedonsiirtokuluja ei muodostu muusta kuin sallitusta, oikeasta kävijäliikenteestä. Näin kuukausittaiset kustannukset ovat tarkasti ennakoitavissa.

Verkkosivuston kotivara: Valmiussivusto

Valmiussivusto on tavanomaisen sekä Valu Muurilla vahvistetun sivuston “Plan B”. Se varmistaa, että esimerkiksi tiedotus jatkuu katkeamattomana, vaikka sivustoon kohdistuisi täysin uudenlainen ja yllättävä kyberhyökkäys.

Valmiussivusto on varastoon tehty, yksinkertaistettu kopio alkuperäisestä sivustosta. Jos normaali sivusto on kriisitilanteessa pois käytössä, valmiussivusto aktivoidaan ja liikenne ohjataan sinne.

Valmiussivusto on saatavilla erillisenä lisätuotteena pääsivuston kylkeen.

Kybersodan kestävä Headup-sivusto

Headup-sivuston tekninen arkkitehtuuri on kybersodan kestävä. Siihen sovelletaan kovennetun WordPress-sivuston tietoturvakäytäntöjä, sitä suojaa Valu Muuri, mutta ennen kaikkea Headup on perustuksiaan myöten erilainen kuin perinteiset WordPress-sivustot.

Headup-sivusto koostuu staattisista html-sivuista, jotka voidaan sijoittaa samankaltaisina rajattomalle määrälle palvelimia. Käyttäjä näkee aina häntä lähimmällä palvelimella sijaitsevan sivun. Näin mikään palvelimelle kohdistuva hyökkäys ei pysty estämään sivun näyttämistä.

Headup-sivuston julkisesti näkyvä sivusto on kokonaan erillään WordPressin sisällöntuotantoympäristöstä. Rikolliset eivät pysty etsimään julkaisujärjestelmästä haavoittuvuuksia, sillä se ei ole saavutettavissa julkisen verkon kautta, vaan ainoastaan organisaation omista IP-osoitteista. Ja vaikka julkiselle sivustolle kohdistuisi kuinka paljon kuormaa tahansa, sisällöntuotantoympäristö ei kuormitu vaan pysyy toiminnassa.

Kriisitilanteiden uhatessa sivustosta saadaan julkaistua sisällöntuotantoympäristöstä aina uusi versio, joka yksinkertaisesti siirretään aikaisemman version sivulle.

Palvelintason lisäksi muitakaan takaportteja ei kannata jättää auki. Suosittelemmekin kaikille Headup-asiakkaillemme esimerkiksi vahvasti hajautettua nimipalvelinta omalle domainille. Tällöin domain on suojassa kaappauksilta, ja myös maantieteellisesti hajautettu eri palvelinsaleihin.

Valu Muuri vai Headup?

Headup on paras vaihtoehto organisaatioille, joilla on ehdoton vaatimus siitä, ettei verkkosivusto saa kaatua. Organisaation toiminta voi olla yhteiskunnan perustoimintojen kannalta kriittistä tai sivuston kaatumisella olisi suoria seurauksia reaalimaailmassa. Esimerkkejä erityisen kriittisistä organisaatioista ovat: energiayhtiöt, pankit, terveys- ja turvallisuusviranomaiset, hyvinvointialueet sekä suuret kunnat ja kaupungit.

Jos käytössäsi on tällä hetkellä Valun ylläpitämä WordPress-sivusto, Valu Muurin lisääminen on noin yhden työpäivän mittainen työ. Headup-sivusto sen sijaan edellyttää projektia, jossa sivusto uudistetaan teknisesti.

Tilaa Statement-uutiskirje

Share This