Kyberturvallisuuskeskuksen viikkokatsaus - 46/2024

Varautuminen ja ilmoittaminen kiristyshaittaohjelmien torjunnassa

Kiristyshaittaohjelmat ovat uhka organisaatioille kokoon ja toimialaan katsomatta. Taloudellisesti motivoituneet rikolliset (Ulkoinen linkki) toteuttavat hyökkäyksiä opportunistisesti ja siksi hyökkäyksiin varautuminen on tärkeää kaikille organisaatioille. Tietoturvan perustoimenpiteillä organisaatiot voivat ehkäistä ison osan kirityshaittaohjelmahyökkäyksistä.

Tärkeimmät suojautumistoimet kiristyshaittaohjelmahyökkäyksiin ovat järjestelmien ajantasaiset päivitykset, monivaiheisen tunnistautumisen käyttäminen sekä varmuuskopiointi. 

Oman ympäristön tuntemus tärkeää

Ajantasaisella ymmärryksellä omista käytössä olevista järjestelmistä mahdollistetaan niin päivitysprosessien rakentaminen, kuin käytössä olevien järjestelmien valvonta. Kriittisten päivitysten toteuttamisen nopeus korostuu nykyään entisestään. Esimerkiksi Microsoftin vuotuisen digitaalisen suojauksen raportissa (Ulkoinen linkki) mainitaan aikaikkunan kriittisille korjauksille pienentyneen vain 24-48 tuntiin, sillä haavoittuvuuksien hyväksikäyttöyritykset alkavat lähes heti haavoittuvuuden tullessa julkisuuteen.

Testaus ja harjoittelu keskiössä

Organisaatioiden varautumiseen kuuluu oleellisesti myös toiminnan testaus ja harjoittelu. Niin varmuuskopioista palauttaminen kuin toiminta ja viestintä kiristyshaittaohjelmahyökkäyksen kohteeksi jouduttaessa on järkevämpää suunnitella ja harjoitella etukäteen. Näin organisaatio on valmiimpi kohtaamaan potentiaalisen kriisin. Apua näihin löytyy muun muassa Kyberturvallisuuskeskuksen ohjeista (Ulkoinen linkki) ja harjoitustoiminta (Ulkoinen linkki) -palvelusta. Lue myös Kyberturvallisuuskeskuksen ohje johdolle (Ulkoinen linkki) aiheeseen liittyen.

Ilmoita myös Kyberturvallisuuskeskukselle

Kiristyshaittaohjelmatapauksista olisi myös tärkeää ilmoittaa Kyberturvallisuuskeskukselle. Me tuemme organisaatioita tilanteesta selviämisessä ja neuvomme tarvittavissa toimenpiteissä. Keräämme myös jatkuvasti ajantasaista tietoa Suomen kyberturvallisuustilanteesta ja iso osa tilannekuvastamme perustuu suomalaisilta organisaatioilta saatuihin ilmoituksiin. Saamamme tiedon avulla voimme varoittaa muita organisaatioita. On meidän kaikkien yhteinen etu, että kiristyshaittaohjelmahyökkäyksistä saataisiin mahdollisimman kattavasti tietoa. Kyberturvallinen Suomi rakennetaan yhteistyöllä.

Kyberturvallisuuskeskukselle ilmoittamisen muistilista:

• Ensi-ilmoitus mahdollisimman nopeasti. Lisätietoja voi toimittaa myöhemmin tilanteen selvitessä.
• Tilanteen kuvaus ja tapahtumien aikajana
• Vaikutukset oman organisaation toimintaan
• Tehdyt toimenpiteet ja tiedossa olevat ratkaisumenetelmät
• Tiedossa olevat uhkatunnistetiedot (IoC)
• Tiedon hyödynnettävyys (voiko tapauksesta keskustella palveluntarjoajan kanssa, onko rikosilmoitus tehty, voiko tietoa jakaa turvallisuusviranomaisten kesken)
   

Epäselvissä tilanteissa mieluummin jaa tieto kuin jätä jakamatta. Pienetkin tiedonmurut voivat olla merkittäviä koko Suomen kyberturvallisuustilanteen kannalta, kun ne yhdistetään kokonaisuuteen.

Ilmoituksia laidasta laitaan

Kyberturvallisuuskeskus vastaanottaa viikkotasolla noin 300-400 ilmoitusta erilaisista tietoturvaloukkaushavainnoista. Ilmoittajana voi olla vaikkapa huijausviestin vastaanottanut kansalainen tai yritys, joka kertoo haittaohjelmahavainnostaan. Joskus ilmoittaja ohjataan kertomaan havainnoista tai ongelmista esimerkiksi toiselle viranomaiselle. 

Välillä ilmoituksiin eksyy tapauksia, jotka eivät heti selviä niitä selvittäville asiantuntijoille. Kyberturvallisuuskeskus on vastaanottanut tämän vuoden aikana ilmoituksia teemalla "Facebook-tili on kaapattu" ilman yhteystietoja tai muita lisätietoja. Tämän kaltaisiin ilmoituksiin ei ole tarvetta käyttää valtavasti aikaa, mutta mielenkiintoiset ja toistuvat ilmoitukset jäävät mieleen.

Mysteeri alkoi avautumaan syksyllä 2024, kun eräässä vastaavanlaisessa ilmoituksessa mainittiin kyseessä olevan koulutehtävä. Oppilaitoksissa on siis ollut tehtävä, jossa kansalaisen, eli opiskelijan sometili on kaapattu ja käydään läpi mitä pitäisi tehdä vastaavassa tilanteessa. Luonnollisesti osa oppilaista teki ilmoituksen myös Kyberturvallisuuskeskukselle! Kyberturvallisuuskeskuksen muodostama kansallinen kybertilannekuva perustuu ilmoituksiin, joita tekevät kansalaiset ja organisaatiot. Vastaaviin koulutehtäviin toivomme jatkossa mainintaa harjoituksesta tai koulutehtävästä. Kiitos kaikista ilmoituksista jokaiselle ilmoittajalle. Vuositasolla Kyberturvallisuuskeskus vastaanottaa noin 20000 ilmoitusta. Tietoturvaloukkauksesta voit ilmoittaa täältä (Ulkoinen linkki)

Lokakuun Kybersää 2024

Lokakuussa Kybersäässä nähtiin harmaita pilviä, kun Kyberturvallisuuskeskukselle tehdyt poikkeamailmoitukset lisääntyivät alkusyksyn rauhallisemman säätilan jälkeen.

Palvelunestohyökkäykset etenkin pankkisektoria kohtaan jaktuivat lokakuussa edellisen kuukauden tapaan.

Kybersäässä käsitellään jälleen lyhyen aikavälin viisi merkittävintä uhkaa. Pitkän aikavälin uhkakentällä paneudutaan teollisuusautomaation kyberturvallisuuteen. Tällä kertaa raportissa julkaistaan poikkeuksellisesti kolmannen vuosineljänneksen palvelunestohyökkäystilastot.

Lue lokakuun Kybersää täältä (Ulkoinen linkki)!

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Haavoittuvuudet

CVE: Useita
CVSS: 9.8
Mikä: Useita korjauspäivityksiä Ivantin tuotteissa (Ulkoinen linkki)
Tuote: Useita
Korjaus: Päivitä tuotteet

CVE: Useita
CVSS: 9.8
Mikä: Useita korjauspäivityksiä Microsoftin tuotteissa (Ulkoinen linkki)
Tuote: Useita
Korjaus: Päivitä tuotteet