Tietomurron anatomia

Tietomurto ei ole yksittäinen tapahtuma, vaan sarja huolellisesti suunniteltuja toimenpiteitä. Ennakointi, koulutus ja oikein valitut tekniset ratkaisut voivat suojata yritystä tietomurron eri vaiheissa ja tehdä kyberhyökkäyksen mahdottomaksi. Seuraavassa kuvitteellisessa esimerkkitarinassa havainnollistamme miten tietomurto etenee suomalaisessa teollisuusyrityksessä ja mikä tärkeintä; miten se olisi voitu estää.

Espoossa sijaitsevassa teollisuusyrityksessä tuotantolinjat pyörivät täydellä teholla. Tilaukset lähtevät ajallaan ja järjestelmät toimivat moitteettomasti. Kunnossapitoinsinööri Kari seuraa tuotantoketjua koneensa näytöltä tyytyväisenä kahvimuki kädessään. Tässä vaiheessa ei ole vielä mitään merkkejä siitä, että Internetin syövereissä joku valmistautuu iskemään yritykseen. Hyökkääjällä ei ole kiire, sillä hän tietää, että pieninkin virhe voi avata portit yrityksen tietojärjestelmiin.

Ensimmäiset askeleet

Hyökkääjä aloittaa kärsivällisen tiedustelutyön ja tietojen keräämisen etäältä. Hän selaa työntekijöiden profiileja sosiaalisessa mediassa ja huomaa mainintoja käytössä olevista automaatiojärjestelmistä. Yrityksen verkkosivuilta paljastuvat alihankkijoiden nimet ja yhteystiedot. Tietoja yhdistelemällä hyökkääjä hahmottaa, millaisia järjestelmiä yrityksellä on käytössä ja mistä voisi löytyä heikko lenkki.

Jos Karille ja muille työntekijöille olisi annettu selkeät ohjeet siitä, mitä tietoja ei ole viisasta julkaista sosiaalisessa mediassa, hyökkääjän työ olisi ollut paljon vaikeampaa. Myös laajennettu hyökkäyspinta-alan kartoitus olisi voinut paljastaa, mitä tietoja yrityksestä löytyy avoimista lähteistä, ja onko niissä kenties jotain, mitä ei kannattaisi olla julkisesti saatavilla.

Jalansijan saaminen

Kun tiedot on kerätty, hyökkääjä siirtyy seuraavaan vaiheeseen: jalansijan hankkimiseen. Hän lähettää kohdennetun sähköpostin kunnossapitoinsinööri Karille. Viesti näyttää tulevan tutulta alihankkijalta ja sisältää liitteen, joka liittyy huoltoaikatauluihin. Kiireen keskellä Kari avaa liitteen huomaamatta asiassa mitään outoa. Todellisuudessa liite asentaa haittaohjelman, joka avaa hyökkääjälle oven yrityksen verkkoon.

Tämän olisi voinut estää monella tavalla. Jos työntekijöille olisi järjestetty säännöllisiä tietoturvakoulutuksia ja phishing-harjoituksia, eli simuloituja huijausviestejä, Kari olisi ehkä pysähtynyt tarkistamaan viestin. Jos sähköpostijärjestelmä olisi suodattanut liitteet ja testannut ne erillisessä ympäristössä, haittaohjelma ei olisi koskaan päässyt läpi. Myös monivaiheinen tunnistautuminen olisi voinut estää hyökkääjää etenemästä silti, vaikka tunnukset olisivat joutuneet vääriin käsiin.

Hiljainen eteneminen

Kun jalansija on saatu, hyökkääjä ei tee vielä mitään näkyvää. Kaikessa hiljaisuudessa hyökkääjä kartoittaa yrityksen verkon ympäristöä ja siellä olevia järjestelmiä. Hyökkääjä luo uuden käyttäjätilin ja ajastetun tehtävän. Näin pääsy yrityksen verkkoon säilyy, vaikka alkuperäinen reitti sulkeutuisi. Yrityksen arki jatkuu normaalisti, kukaan ei huomaa tässä vaiheessa mitään tavallisuudesta poikkeavaa.

Tähänkin vaiheeseen olisi ollut mahdollista vaikuttaa ennalta. Mikäli päätelaitteiden valvonta olisi ollut kunnossa, poikkeavat komennot olisivat herättäneet hälytyksen. Lisäksi jos käyttöoikeuksien hallinta olisi ollut tiukempi, uuden tilin luonti olisi ollut mahdotonta ilman hyväksyntää. Mutta nyt hyökkääjä pääsee etenemään esteittä.

Valta verkossa

Seuraavaksi hyökkääjä etsii keinoja laajentaa oikeuksiaan. Palvelintunnukset löytyvät helposti huolimattomasti tallennetusta skriptistä ja näin hyökkääjä saa pääkäyttäjän oikeudet. Nyt hän voi liikkua vapaasti yrityksen verkossa. Hyökkääjä siirtyy vaivattomasti tuotantoverkkoon ja kriittisiin ohjausjärjestelmiin. Tästä voimme jo arvata, että pian Karilla ei ole enää aikaa kahvitella.

Tässä vaiheessa verkkojen huolellinen segmentointi olisi voinut pysäyttää hyökkääjän, mutta sen toteutus oli jäänyt puolitiehen. Lisäksi poikkeamien tunnistus olisi voinut hälyttää epätavallisista etäyhteyksistä, mutta järjestelmä ei ollut käytössä.

Tietojen varastaminen

Kun hyökkääjä hallitsee verkkoa, hän alkaa kerätä tietoa; tuotantodataa, asiakastietoja, suunnitelmia. Kaikki pakataan ja siirretään salattuna liikenteenä ulkomaiselle palvelimelle. 

Ulospäin lähtevän liikenteen valvonta olisi voinut paljastaa poikkeavan datavirran, mutta sitä ei ollut. Myöskään tietovuotosuojausta ei ollut käytössä.

Viimeinen isku

Kun hyökkääjä on saanut kaiken haluamansa, hän käynnistää kiristyshaittaohjelman. Tuotanto pysähtyy. Näytöille ilmestyy viesti: Maksa miljoonia euroja, tai tiedot julkaistaan ja järjestelmät pysyvät lukittuina. Nyt menee Karilla kahvi väärään kurkkuun. Pelkkä tuotannon pysähtyminen tarkoittaa valtavia tappioita yritykselle, tietomurron aiheuttamasta mainehaitasta puhumattakaan.  

Tästä hyökkäyksestä oltaisiin voitu toipua helpommin, mikäli varmuuskopiot olisi säilytetty offline-tilassa. Lisäksi jos kriisitilanteita olisi harjoiteltu etukäteen, henkilökunta tietäisi heti, mitä tehdä ja tuotannon palauttaminen normaaliin olisi mahdollista nopeammin. Nyt koko yrityksen toiminta on lamaantunut.

Tarinan opetus

Tietomurto ei ole yksittäinen tapahtuma, vaan sarja huolellisesti suunniteltuja rikollisia toimenpiteitä. Hyökkäys on mahdollista pysäyttää jokaisessa vaiheessa, mutta se vaatii yritykseltä hyvää ennakointia. Henkilökunnan koulutus ja ohjeistus ovat yhtä tärkeitä asioita kuin tekniset ratkaisut. Laajennettu hyökkäyspinta-alan kartoitus auttaa yritystä ymmärtämään, mitä tietoja on julkisesti saatavilla ja mistä mahdollinen hyökkääjä voi aloittaa. Kun nämä asiat ovat kunnossa, yritys voi estää hyökkääjän jalansijan syntymisen ja minimoida vahingot.

Cyber Audit Company voi auttaa

Me Cyber Audit Companyssa tarjoamme kybertarkastuksia eli hyökkäyspinta-alan kartoituksia sekä henkilöstön koulutuksia juuri näihin haasteisiin. Koulutuksissamme keskitytään käytännön harjoitteluun. 

Esimerkkejä tietoturvakoulutuksistamme:

  • Phishing-harjoitukset: Aidon kaltaisia huijausviestejä turvallisessa ympäristössä
  • Pelillistetyt oppimistuokiot: Lyhyitä ja motivoivia koulutushetkiä
  • Sosiaalisen manipuloinnin tunnistaminen: Miten huijarit ajattelevat?
  • Toimintaohjeet poikkeustilanteissa: Mitä tehdä, kun epäilee tietomurtoa?
  • Ajankohtaiset case-esimerkit

Koulutukset ovat nopeita, vuorovaikutteisia ja helposti omaksuttavia. Koulutuksemme myös päivittyvät jatkuvasti, jotta ne pysyvät alati muuttuvien kyberhaasteiden tasalla.

Tietoturva asioissa ei kannata aikailla

Onko huijausviesti jo eksynyt sähköpostiisi? Millaisia koulutuksia kaipaisit työpaikallesi?Me Cyber Audit Companylla autamme sinua. Ota yhteyttä ja jatketaan keskustelua yrityksesi henkilöstön koulutuksesta. Rakennetaan yhdessä tietoturvallisempi arki!

Takaisin
Cyber Audit Company

Tilaa kybertarkastus yrityksellesi jo tänään!

Yrityksen tietoturva-asioissa ei kannata aikailla. Ota yhteyttä, niin kartoitetaan yrityksenne tilanne!

Ota yhteyttä ja tilaa!