– Ensimmäinen askel on aina kohteen ymmärtäminen. Tiimini työskentelee sekä hyökkäyksellisen että puolustuksellisen tietoturvan parissa, sanoo DNV Cyberilla tietoturvakonsulttina työskentelevä Johan Boström.
Boström on niin sanottu valkohattuhakkeri eli eettisesti toimiva hakkeri, joka kollegoineen yrittää säännöllisesti tunkeutua asiakkaidensa tietojärjestelmiin, eli simuloida hyökkäyksiä ja huijausyrityksiä, joita oikeatkin rikolliset voisivat tehdä.
Toiminta on sääntöjen ohjaamaa. Nämä tosielämän hyökkääjiä matkivat hyökkäykset noudattavat Euroopan keskuspankin (EKP) kehittämää TIBER-EU-viitekehystä, joka on luotu nimenomaan finanssialan arviointiin.
Pankit ovat verkkorikollisten suuren mielenkiinnon kohteena, koska tunkeutujan pääsy pankin järjestelmiin voisi pahimmillaan aiheuttaa katastrofaaliset seuraukset.
Niinpä Boström pyrkii tiiminsä kanssa paljastamaan tällaiset aukot jo ennalta. He voivat yrittää ujuttautua järjestelmiin esimerkiksi viattomalta vaikuttavalla yhteydenotolla yrityksen it-tukeen, tai lähestymällä jollakin verukkeella tietoturvasta vastaavaa henkilöä.
– Työni vaihtelee puolustuksellisesta turvallisuudesta, kuten tietoturva-arkkitehtuurien suunnittelusta ja syväpuolustuksen rakentamisesta, hyökkäykselliseen puoleen, Boström sanoo.
– Meillä on mahdollisuus olla yksi askel hyökkääjien edellä ja auttaa heitä, jotka tarvitsevat parannusta sietokykyynsä.
Jos Boström ja tämän ryhmä onnistuu pääsemään pankin järjestelmiin ja lopulta palvelimille asti, he lataavat sieltä ulos ennalta sovitun materiaalin. Tämän jälkeen pankin ja tietoturvasta vastaavan tahon kanssa käydään läpi, kuinka järjestelmiin oli mahdollista päästä sisään, ja missä kohtaa suojauksen olisi pitänyt toimia paremmin.
– Ei ole mitään yksittäistä vakiovastausta siihen, kuinka saatamme päästä sisälle järjestelmiin. Se vaihtelee toimijakohtaisesti ja riippuu täysin heidän IT-ympäristöstään, Boström sanoo.
Yhä uskottavampia huijauksia
DNV:n kyberturvallisuusratkaisujen johtaja Kim Westerlund vahvistaa, että usein erilaiset hyökkäykset yrityksiä kohtaan käynnistyvät etsimällä ihmiskontakti, jota huijaamalla päästään etenemään.
– Nykyään on helppo kloonata ääntä tai jopa videota, jotka voidaan kytkeä Teams-puheluihin tai WhatsApp-viesteihin. Rikolliset rekisteröivät suomalaisia numeroita, laittavat tunnetun henkilön kuvan ja nimen profiiliin hyökkäyksen käynnistämiseksi. Enää ei voi luottaa siihen, että uudelta kontaktilta tuleva viesti on oikeasti siltä ihmiseltä, kuka tämä väittää olevansa, Westerlund kuvailee yhä moninaisempia tietomurtoyrityksiä.
Kun aiemmin pienehköt kielialueet olivat paremmin turvassa, on tekoäly nyt muuttanut tilannetta.
– Tiedämme kokemuksesta – ja käytämme tätä itsekin puhelimitse tehdyissä huijausyrityksissä – että jos saamme jonkun puhumaan paikallista kieltä, onnistumismahdollisuudet ovat paljon suuremmat kuin englanniksi toimittaessa, Boström sanoo.
Tekoäly löytää haavoittuvuudet nopeasti
Westerlund kertoo, kuinka vuonna 2018 tietoturva-aukon löytymisestä sen hyödyntämiseen kului keskimäärin 2,3 vuotta, kun nykyisin siihen menee vain kymmenen tuntia.
– Tämä on 2000-kertainen nopeutuminen. Suomalaiset organisaatiot eivät ole vielä niin nopeita toimimaan, että haavoittuvuus saataisiin korjattua tässä ajassa. Siksi suojautumiseen on pakko rakentaa lisää automaatiota, Westerlund toteaa.
Hyökkäysten kiihtynyt tahti on huomattu myös Kyberturvallisuuskeskuksessa, sanoo ylijohtaja Anssi Kärkkäinen.
– Kyllä se on nopeutunut merkittävästi ihan muutamassa vuodessa. Jos aiemmin puhuttiin, että haavoittuvuutta pystytään käyttämään hyökkäyksissä, niin se vei kuukausia, tai viikkoja minimissään. Nyt puhutaan tunneista ja välillä jopa minuuteista.
Tämä kasvattaa tietoturvasta huolehtivien vaatimuksia
– Ensimmäinen konkreettinen asia on se, että pystytään päivittämään ohjelmistot. Voisi sanoa, että vaade on jopa reaaliajassa. Toki siihen ei tietenkään kaikilta osin pystytä, koska se on usein manuaalista työtä. Toivottavasti tekoäly ja muu automatiikka tulee korjaamaan sitä siten, että se tapahtuu automaattisesti eikä ihmistä tarvita siellä välissä, Kärkkäinen sanoo.
Uusi malli säikäytti
Huomiota varsinkin pankkien tietoturvaan on ohjannut tekoäly-yhtiö Anthropicin Mythokseksi nimetty kielimalli, joka kykenee yhtiön itsensä mukaan löytämään haavoittuvuuksia ennen näkemättömällä tehokkuudella.
Westerlundin mukaan jo kolme vuotta sitten varoiteltiin, kuinka tämäntapaiset suuret kielimallit tuovat hyökkääjille nopeutta ja syvyyttä.
– Mythoksen osalta mittaukset osoittavat, että kehitys on edelleen lineaarista, ei eksponentiaalista. Mythos parani aiemmista malleista vain muutamia prosenttiyksiköitä.
DNV julkaisi maanantaina raportin, jonka mukaan kaksi kolmasosaa (65 prosenttia) kriittisen infrastruktuurin johtajista kertoo yritykseensä kohdistuvien kyberhyökkäysten lisääntyneen viimeisen vuoden aikana.
Raportin taustalla olevassa kyselyssä lähes puolet Suomen kriittisen infrastruktuurin parissa toimivista johtajista sanoo olevansa valmis hidastamaan tai jopa pysäyttämään tärkeiden järjestelmien digitalisaation, jos se vähentäisi kyberriskejä.
Tulokset perustuvat DNV:n teettämään kyselyyn, jossa vastaajina oli 200 suomalaisen kriittisen infrastruktuurin johdon edustajaa. Vastaajat toimivat muun muassa energia-, liikenne-, vesi-, terveydenhuolto- ja rahoitusaloilla.