• Mitä tehdä, kun kyberhyökkäys osuu omalle kohdalle?

    Asiantuntijan vinkit kyberuhkan torjuntaan ja vahingon korjaamiseen

Blogi:

Poikkeuksellisen voimakas kyberhyökkäys

06 kesäkuu 2017

Sami Vainio-Palkeinen , Konsultti, senior |

Mitä sinun tulisi tietää WannaCry Ransomware -ohjelmasta?

Perjantaina 12.5.2017 kiristyshaittaohjelmisto nimeltään WannaCry teki tuhojaan eri puolilla maailmaa. Kyseessä oli kenties massiivisin tähän astisista kyberhyökkäyksistä. Kärsijöiden joukkoon mahtui Britannian terveydenhuolto-organisaatioiden lisäksi suuria teollisuusyrityksiä, eri valtioiden organisaatioita sekä keskeisiä logistiikkatoimijoita. Hyökkäys kohdistui yli 75 000 kohteeseen 153 eri maassa. Kiristyshaittaohjelma salaa tietokoneen tiedostoja ja vaatii noin 300 Yhdysvaltain dollarin lunnaan Bitcoineissa palauttaakseen käyttäjän käyttöoikeudet tietokoneella oleviin tietoihin.

Kyberhyökkäyksen laajuus & kohteiksi valittuja organisaatioita:
yli 75 000 kiristyshaittaohjelmaiskua
153 eri maata
mm. Venäjän Sisäasianministeriö, FedEx, Renault, Nissan, kiinalaisia yliopistoja ja kouluja sekä Britannian kansallinen terveydenhuoltojärjestelmä (NHS): kriittisiä sairaalatoimintoja jouduttiin ajamaan alas ja tietojärjestelmien hallinnan takaisin saaminen kesti useita päiviä.

WannaCryn nopea leviäminen on hidastunut kahdesta syystä: 1) Microsoft teki harvinaisen eleen antaessaan korjaustiedostoja Windows-käyttöjärjestelmien vanhentuneille versioille, joita se ei enää tue. Näin ollen jopa 14 vuotta vanhoja käyttöjärjestelmiä on voitu korjata; 2) Brittiläisen tietoturva-tutkijan löytämä ns. kill switch esti suurimmat vahingot Yhdysvalloissa. Kumpikaan "korjauskeinoista" ei kuitenkaan auta haittaohjelman saastuttaneita järjestelmiä eikä estä rikollisia luomasta uutta WannaCry-kantaa.

Salattujen tietojen palauttamiseksi ilmaantui viikon sisällä työkaluja, joista osa paljastui kuitenkin huijaksiksi. Minkälaisia seurauksia tai kustannuksia omalle organisaatiollesi aiheutuisi, jos toiminta ja palvelut pysähtyisivät viikoksi?

Entä jos seuraavassa kyberhyökkäyksessä salaustaso on kovempi ja sen purkamiseen menee kuukausia? Mitä jos tallennuslaitteesi rikkoutuvat tai esimerkiksi henkilö- tai tuotekehitystietoja vuotaa organisaatiosi ulkopuolelle?
 

Mitä voit tehdä lisätäksesi organisaatiosi turvallisuutta?

Suositeltuja ennaltaehkäiseviä toimenpiteitä ovat:

  • Asenna Microsoftin korjaustiedosto MS17-010 SMB-haavoittuvuudelle, julkaistu 14.3.2017 (Organisaatiot joiden järjestelmät eivät ole tuen piirissä - Windows XP, Windows 8 ja Windows Server 2003 - tulee noudattaa Microsoftin asiakastuen ohjeita)
  • Käytä roskapostisuodattimia estämään phishing-sähköpostien päätyminen loppukäyttäjille ja autentikoi sisääntulevat postit käyttämällä tekniikoita kuten SPF (Sender Policy Framework), DMARC (Domain Message Authentication Reporting and Conformance) ja DKIM (DomainKeys Identified Mail)
  • Skannaa kaikki saapuvat ja lähtevät sähköpostit uhkien havaitsemiseksi ja filtteröi pois kaikki executable -tiedostot
  • Varmista, että virustorjuntaohjelmat ja haittaohjelmien torjuntaratkaisut tekevät automaattisesti säännöllisiä tarkistuksia
  • Hallinnoi ja rajaa ylläpitäjän oikeuksilla toimivien tilien käyttöä. Anna hallinnoinnin oikeuttavat käyttöoikeudet vain, kun se on ehdottoman tarpeellista
  • Määritä käyttöoikeusasetukset, kuten tiedoston, hakemiston ja verkon jakamisoikeudet minimioikeus-periaatteella
  • Poista makro-skriptit Microsoft Office -tiedostoista, jotka lähetetään sähköpostitse. Harkitse Office Viewer -ohjelmiston käyttöä sähköpostin välityksellä saatujen Microsoft Office -tiedostojen avaamiseen
  • Kehitä, kouluta ja harjoittele työntekijöiden kanssa huijausten, haitallisten linkkien ja sosiaalisen hakkeroinnin havaitsemista
  • Skannaa verkkopalvelut ja laitteet säännöllisesti tunkeutumistestauksen avulla
  • Testaa varmuuskopiot varmistaaksesi, että ne toimivat oikein.
  • Mikäli mahdollista estä SMB:n käyttö ja estämä liikenne sen käyttöön liittyvissä TCP ja UDP porteissa.
     

Huomioi myös nämä:

Älä unohda työntekijöiden roolia osana tietotuvaa

WannaCry-hyökkäys olisi ollut estettävissä. Se onnistui saastuttamaan tietokoneita, koska näiden käyttäjien koneille ei oltu asennettu tarvittavia päivityksiä - sekä tiedon puute että päivitysten laiminlyönti mahdollistivat haittaohjelmiston leviämisen. Pyri vaikuttamaan työntekijöiden toimintaan kouluttamalla ja perehdyttämällä "verkkohygienian" parhaisiin käytäntöihin ja kehitä osaamistasoa jatkuvasti.
 

Ylläpito riskeihin perustuen ja uhkakuvat huomioiden

Ylläpidon tulisi olla dynaaminen, riskiin perustuva prosessi – ei pelkkää tarkistuslistan läpikäyntiä. Organisaatioiden on kyettävä tunnistamaan järjestelmien haavoittuvuudet ja asiaan kuuluvat korjaukset oikea-aikaisesti, ymmärtämään haavoittuvuuksien riskitasot ja työskentelemään järjestelmistä vastaavien liiketoiminnan omistajien kanssa päivitysten käyttöönottamiseksi ilman tarpeetonta viiveettä.
 

Valvonta, valvonta, valvonta

Kyber-resilienssin varmistamiseksi organisaatioilla on oltava uhkien seuranta- ja analyysityökaluja hyökkäyksien havaitsemiseen, jotta voidaan tutkia ja arvioida vahinkojen laajuutta sekä selvittää mikä meni vikaan. Mitä nopeammin kyberhyökkäys havaitaan, sitä nopeammin reagointi ja mahdolliset ongelman lieventämisstrategiat voidaan panna täytäntöön. Kun on kyse kiristyshaittaohjelmista, varhainen havaitseminen voi olla merkittävä tekijä, joka erottaa haitallisen poikkeaman ja katastrofin.

 

Entä sitten, kun tapahtuu? Mitä pitäisi tehdä, kun ennaltaehkäisevät toimenpiteet eivät riitäkään?

 
Rajaa ongelma
. Hanki lisää aikaa poistamalla tartunnan saaneet järjestelmät ja laitteet verkosta ja katkaisemalla pääsy verkon saastumattomiin osiin. Jos mahdollista, muuta salasanoja kyseisiin eristettyihin segmentteihin.


Turvaa varmuuskopiotiedot tai järjestelmät ottamalla ne offline-tilaan.
Varmista, että varmuuskopiot ovat puhtaita.


Ota välittömästi yhteyttä asiantuntijoihin ja/tai poliisiin. Tutkinta kannattaa antaa asiantuntijoiden tehtäväksi, jotta voidaan minimoida tietojen hävikki ja muu haitta. Kun epäillään, että on tapahtunut rikos, asia kuuluu myös poliisille.


Ota käyttöön reagointisuunnitelmasi. Tunnista sidosryhmät, järjestä viestintä ja varmista että kaikki ymmärrettävät omat roolinsa sekä velvollisuutensa.


Vaihda kaikki salasanat. Kun toiminta on palautettu, vaihda kaikki online- ja verkko-salasanat.

 



Mikä on ransomware eli kiristyshaittaohjelmisto?

Ransomware on eräs haittaohjelmien laji, joka kohdistuu kriittisiin tietojärjestelmiin tarkoituksenaan kiristää ja estää käyttäjien pääsy tiedostoihinsa, kunnes vaaditut lunnaat maksetaan. Haittaohjelma tarttuu tietokoneisiin usein spear-phishing-kohdennetulla hyökkäyksellä haitallisen linkin tai sähköpostin liitetiedoston kautta. Lunastusvaatimukset tehdään useimmiten vaikeasti jäljitettävässä Bitcoin virtuaalivaluutassa.

Mitä erityistä WannaCryssa on?

Huhtikuussa "Shadow Brokers" -niminen ryhmä hakkereita jakoi internetissä NSA:n (Yhdysvaltain kansallinen turvallisuusvirasto) kehittyneitä hakkerointityökaluja, joilla saattoi hyödyntää ohjelmistoissa olevia haavoittuvuuksia. WannaCryn oletetaan perustuvan yhteen tai useampaan näistä hyödyntäen Microsoft Windowsissa olevia nollapäivä haavoittuvuuksia (joille ei ole julkaistu korjauksia tai joita ei yleisesti tunneta), joka näin ollen mahdollistaa sen leviämisen. Microsoft julkaisi tietoturvapäivityksen ongelman ratkaisemiseksi maaliskuussa, mutta käyttäjät jotka eivät ole asentaneet päivitystä, ovat edelleen haavoittuvia.

On myös havaittu, että viruksesta on liikkeellä muutamia eri versioita. Virus tuskin muuttaa muotoaan itse, vaan sitä muunnellaan eri tekijöiden toimesta. Tällöin myös tarkoitusperät ja uhkataso muuttuvat. Myös esim. sähköpostijärjestelmissä virusten tunnistamiseen käytettävät ns. sormenjälkitunnisteet muuttuvat.

WannaCry on ensimmäinen internet-ohjelma, jossa käytetään vuotaneita NSA-työkaluja - todennäköisesti ei kuitenkaan viimeinen. Valtiollisen toimijan kehittämä kybertyökalu, joka jossain yhteyksissä voidaan tulkita kyberaseeksi, oli tässä toteutettu lähinnä epäonnistuneesti aiheuttaen silti melkoista tuhoa. Osaavissa käsissä nämä työkalut/aseet voivat muuttua kirurginveitsiksi tai vetypommeiksi. On siis olemassa uhka, että #kybersää-ennusteet voivat muuttua suomalaista kesäsäätä hyytävämmäksi. Toivotaanko siis vain parasta pahinta pelkäämättä?

Miksi erityisesti terveydenhuollon organisaatiot ovat uhattuina?

Terveydenhuollon riskialttius kyberturvallisuuden näkökulmasta on useammasta syystä ainutlaatuinen. Verkot ovat monimutkaisia, käytettävissä olevat resurssit ovat verrattain rajallisia ja verkkoihin kytkeytyvä laitekirjo on hyvin monimuotoinen. Monet terveydenhuollon laitteista ovat elinkaaren kypsyysvaiheen ohittaneita, jolloin niiden päivitettävyys ei enää ole kovin helppoa. Myös niiden suunnittelussa on painotettu enemmän dataan pääsyä kuin sen suojaamista. Näistä syistä kyberrikoksiin syyllistyville tahoille terveydenhuollon laitteet ovat verrattain helppoja tunkeutumiskohteita.

Terveydenhuoltoala on myös yksi tietokonerikollisten ja valtiollisten toimijoiden kohteista, koska se on ainoa toimiala, jossa yhdistyvät erittäin arvokkaat tietojoukot. Nämä ovat yhdistelmä henkilöiden terveystietoja, henkilötietoja, maksutietoja, lääketieteellistä tutkimusta ja immateriaalista omaisuutta. Sairaalaloilla ja muilla terveydenhuollon organisaatioilla ei myöskään aikaperspektiivin näkökulmasta ole liikkumavaraa: kiristyshaittaohjelma-tartunta, joka estää pääsyn kriittisiin lääketieteellisiin tietoihin, vaarantaa potilasturvallisuuden. Terveydenhuollon organisaatioiden tulisi siis valmistautua kyberuhkiin ennaltaehkäisevin toimenpitein. Vaikka tässä on kiinnitetty erityistä huomiota terveydenhuollon järjestelmiin, on uhka aivan yhtä todellinen muillakin aloilla.