Viimeistään Ukrainan sodan alettua rivikansalainenkin tietää, mitä ovat palvelunestohyökkäykset. Hajautetut palvelunestohyökkäykset (Distributed Denial of Service, DDoS) kohdistuvat tiedon saatavuuteen (availability), usein pyrkiessään rajoittamaan tai estämään pääsyn tietoon kokonaan. Verkkosivuston luottamuksellisuutta (confidentiality) ovat hakkerit ja muut tahot koetelleet jo pitkään. Pääsy tietoon tulisi olla vain niillä kenelle se on tarkoitettu. Tiedon eheyteen (integrity) kohdistuvia hyökkäyksiä emme ole vielä nähneet, ainakaan suuremmassa mittakaavassa.
Vai miltä kuulostaisi hyökkäys, jota Finnish Information Security Clusterin järjestämässä kyberennuste -tapahtumassa kuvailtiin [1]:
- Confidentiality: Ensin tehdään tietomurto, ja vaaditaan lunnaita.
- Availability: Aletaan julkaista arkaluonteista tietoa, ja vaaditaan lunnaita.
- Integrity: Aletaan julkaista muokattua tietoa yritykselle haitallisella tavalla ja vaaditaan lunnaita.
Joutuessaan kiristyshaittaohjelman (ransomware) uhriksi, pahimmillaan organisaatio joutuu maksamaan kolmeen kertaan, jotta tilanne olisi ohi. Lisäksi valtava mainehaitta ja esitettyjen väärien tietojen toiseksi osoittamisen tuska. On sanomattakin selvää, että tuohon myllyyn joutuessaan organisaatio olisi nyrkkeilytermein ottamassa lukua kanveesissa.
Hybridivaikuttaminen: viranomaiset ja yritykset yhteistyöhön
Hybridivaikuttamisen käsite, johon luetaan muun muassa kyber- ja informaatiovaikuttaminen, on kasvanut ja arkipäiväistynyt kuluneen vuoden aikana siinä määrin, että maamme hallitus esittää valmiuslain (1552/2011) täydentämistä hybridiuhkien osalta, jotta poikkeustilanteessa hybridiuhkiin vastaaminen ja viranomaisten toimiminen olisi mahdollista juuri hybridivaikuttamiseen sopivin keinoin ja valtuuksin [2]. Tämä on erittäin tärkeää, koska viranomaistoiminta perustuu vain ja ainoastaan annettuun toimivaltaan. Valmiuslakiin kirjattavien muutosten myötä luodaan pohja ja mahdollisuudet Suomen kyberturvallisuuden kehittämiselle ja erityisesti yhteistyölle julkisen sektorin ja yritysten välille.
Omassa yrityksessämme tämä merkitsee konkreettisesti sitä, että tuotekehityksemme etsii jatkuvasti keinoja suojata asiakkaidemme verkkosivustoja haitallisilta ilmiöiltä ja suunnittelee yhdessä Asiakkuudet-yksikkömme kanssa hyökkäyksien torjumiseen ja normaalitilaan toipumiseen liittyviä askeleita verkkosivustokohtaisesti.
Kuka puolustaa tietoverkkojamme?
Puolustusvoimat puolustavat maatamme maalla, merellä ja ilmassa. Mutta kuka on vastuussa tietoverkkojen ja järjestelmien puolustamisesta?
Niiltä osin, kun se on tarpeellista sotilaallisen uhan mitigoimiseksi, kyberpuolustuksesta vastaa Puolustusvoimat. Asia ei kuitenkaan ole ihan näin yksiselitteinen. Tietoverkoissa se ”alue”, jonka koskemattomuutta puolustetaan, hämärtyy.[3] Myös ymmärrys, miten koskemattomuutta on loukattu, hämärtyy. Juuri tähän liittyy Martti J. Karin näkemys siitä, että ”Venäjä on jatkuvassa sodassa lännen kanssa”.[4] Asiat eivät ole tietoverkoissa niin mustavalkoisia, kuin analogisessa maailmassa.
Kyberturvallisuuden pelikentällä on korostunut aikavaade siinä, miten nopeasti tilanne alkaa ja muuttuu. Emme edes aina heti ymmärrä, että meitä vastaan on hyökätty. Sivustohan voi olla alhaalla ties mistä syystä, suunnitellusta huoltokatkosta DNS-konfiguraatio-ongelmiin.
Vaikka olisi kuinka hyvin muodostetut prosessit ja vasteet suunniteltuna eri skenaarioiden varalle, tilanne voi eskaloitua niin nopeasti, että ihminen ei ehdi asiaan reagoida. Ei ehditä valita tapaukseen sopivaa vastetta, koota kriisiryhmää, tehdä oikeaa päätöstä tai ylipäänsä mitään päätöstä. Siispä, niin paljon kuin tietoturvauhkiin varaudutaan, on syytä keskittyä myös normaalitilaan toipumiseen ja sen harjoitteluun. Tähän saakka Suomessa nähdyistä julkisten sivustojen pidemmistä katkoista vain pieni osa on ollut tahallisesti aiheutettua, mutta tahallisuus on selkeästi lisääntymässä.
Kenellä on vastuu kyberturvallisuudestamme kokonaisuutena?
Julkisuudessa on korostettu yksityisen ja julkisen sektorin yhteistyötä kyberturvallisuuteen liittyen. Helposti voisi todeta, että ”ei se minuun liity” tai ”kyllä joku hoitaa näitä asioita”. Näin ei pidä ajatella. Jokainen yksilö ja yritys voi kantaa oman vastuunsa. Kyberturvallisuus ei ole pelkästään tekniikan ja teknologian varassa, eikä kuulu vain yrityksen IT- tai Security -tiimeille. Kuvioon kuuluvat saumattomasti myös ihmiset.
Itse asiassa jokainen internetiä käyttävä ja jokainen julkinen verkkosivusto on mukana yhteisessä kyberpuolustuksessamme – puolustuksen vahvuus riippuu siitä, miten yksilönä huolehdit omasta tietoturvasta -ja suojastasi, esimerkiksi pitämällä laitteesi päivitettynä, käyttämällä riittävän vahvoja salasanoja järjestelmäkohtaisesti, varmuuskopioimalla ja olemalla harkitseva, kun luovutat tietojasi eri palveluihin.
Verkkosivustojen kyberturvallisuus
Verkkosivustojen toimittajat ovat tietoturva-asioissa myös todella tärkeällä paikalla. Omassa toiminnassamme huolehdimme tietoturvasta muun muassa huomioimalla tietoturvan verkkosivuston suunnittelussa ja kehityksessä DevSecOps-tyyliin, pitämällä huolta automaattisista varmuuskopioista, päivittämällä säännöllisesti palvelimet, julkaisujärjestelmät ja sen lisäosat. Tällä vältetään jo suuri osa tavallisimmista haavoittuvuuksista. Torjumme päivittäin tuhansia automaattisia kyberhyökkäyksiä ja pienempiä palvelunestohyökkäyksiä.
Tietoturvallisuutta lisääviä ”kovennuksia” lisäämme sivustoille oman näkemyksemme ja asiakkaidemme kanssa käydyn keskustelun pohjalta. Viime viikkoina olemme tuotekehityksessämme ottaneet isoja askeleita eteenpäin ja löytäneet uusia ratkaisuja jopa valtiollisen kokoluokan DDoS -hyökkäyksien mitigoimiseksi. Oma ratkaisumme tässä on Valu Muuri, joka on otettavissa asiakkaillamme käyttöön minkä tahansa WordPress-sivuston yhteyteen. Toinen tärkeistä ratkaisuistamme on Headup. Web-konsulttimme Jussi Mäkinen kirjoittaa palvelunestohyökkäysten luonteesta ja vaihtoehdoista niiden torjumiseen omassa artikkelissaan.
Vuoropuhelu on tärkeää
Saamamme palaute asiakkailtamme kyberasioihin liittyen on ollut meille arvokasta ja auttanut meitä suuntaamaan panoksemme oikeisiin asioihin. Pidämme yllä jatkuvaa keskustelua tietoturvasta ja -suojasta asiakkaidemme kanssa, päivitämme tilannekuvaa aktiivisesti ja valjastamme tuotekehitystämme suuntaamaan resursseja oikeisiin asioihin. Se on oma osuutemme yhteiseen haasteeseen.
[1] Tallenne 01.04.2022 Kyberennusteet-striimistä. Loihde Trust, Benjamin Särkkä
[https://www.fisc.fi/kyberennusteet-2022-tilaisuuden-tallenteet/]
[2] Hallituksen esitys eduskunnalle laeiksi valmiuslain ja asevelvollisuuslain 79 §:n muuttamisesta
[https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_63+2022.aspx]
[3] Mitä on kyberpuolustus ja kuka siitä vastaa? Martti Lehto, Jyväskylän yliopisto
[https://m3.jyu.fi/jyumv/ohjelmat/it/panu/kansalaisen-kyberturvallisuus-1/martti-lehto/recording-15-09-2021-16.15]
[4] Venäjä hybridivaikuttajana -yleisöluento, Martti J. Kari, Jyväskylän yliopisto
[https://www.youtube.com/watch?v=uEmPgyA0QWU]