Mitä organisaatioiden tulisi tehdä juuri nyt, kun uhkakenttä vain kiristyy?

Kyberuhkien globaali kasvu – pilvi, identiteetit ja kalastelu etulinjassa 

Kyberhyökkäysten määrä kasvaa edelleen voimakkaasti. Check Pointin, Palo Alton ja Microsoftin raportit osoittavat, että hyökkäykset kohdistuvat yhä enemmän pilvipalveluihin ja käyttäjien identiteetteihin. Yli 90 % hyökkäyksistä alkaa tietojen kalastelulla – sähköpostien, linkkien tai QR-koodien kautta. Microsoft torjuu jopa 4000 kirjautumisyritystä sekunnissa, mikä kertoo ilmiön laajuudesta. Hyökkäykset eivät ole sattumanvaraisia. Ne ovat usein tarkoin suunniteltuja ja harkittuja, jopa hyvin ammattimaisia.

Atean teettämän  CIO Analytics -kyselyn mukaan 15% vastaajista on kokenut merkittävän kyberhyökkäyksen viimeisen 12 kuukauden aikana ja vain 27 % on harjoitellut suunnitelmaansa yllättävien tilanteiden varalle. Kysely toteutettiin IT-päätöksentekijöille, niin yksityiseltä kuin julkiselta sektorilta. Voit tutustua tutkimukseen sivuillamme. 

Mitä tapahtuu maailmalla, voi tapahtua kenelle tahansa

Kyberhyökkäysten määrä ja vaikutukset ovat globaalisti ennätystasolla. Hyökkäyksiä tapahtuu jatkuvasti, eivätkä kyberhyökkääjät tai -hyökkäyset noudata työaikoja. Useat vakavat tietomurrot ovat saaneet alkunsa yksittäisestä heikkoudesta, kuten suojaamattomasta käyttäjätunnuksesta tai toimitusketjun kautta syntyneestä pääsystä.

Esimerkiksi brittiläinen KMP Logistics joutui kiristyshaittaohjelmahyökkäyksen kohteeksi, kun hyökkääjät onnistuivat murtautumaan järjestelmiin yhden johtoryhmäläisen tunnuksilla, jotka oli suojattu vain yksivaiheisella kirjautumisella. Hyökkäyksen seurauksena kriittiset tiedot salattiin ja varmuuskopiot poistettiin. Yrityksen toiminta pysähtyi kokonaan, ja lopulta 158‑vuotias yritys joutui lopettamaan toimintansa.

Toinen merkittävä esimerkki on Jaguar Land Rover. Hyökkäys alkoi toimitusketjun kautta, kun hyökkääjät saivat alihankkijan järjestelmän avulla toimivia tunnuksia valmistajan sisäisiin verkkoihin. Ensimmäisessä vaiheessa varastettiin yrityssalaisuuksia ja henkilöstötietoja, ja myöhemmässä vaiheessa haittaohjelma levisi laajasti. Hyökkäys johti useiden tehtaiden sulkemiseen eri maissa ja pysäytti globaalin tuotannon. Taloudelliset tappiot olivat arviolta kymmeniä miljoonia puntia viikossa, ja tilanne vaati poikkeuksellisia valtiollisia tukitoimia.

Nämä tapaukset osoittavat, että yksi onnistunut murto voi lamauttaa koko liiketoiminnan ja laajat toimitusketjut.

Rahallisesta hyödystä strategiseen häirintään

Hyökkääjät ovat entistä organisoituneempia, ja mukana on myös valtiollisia toimijoita. Kaikki hyökkäykset eivät tähtää suoraan rahalliseen hyötyyn, vaan osa kohdistuu vakoiluun, kriittiseen infrastruktuuriin tai yhteiskunnalliseen häirintään.

Pohjoismaissa kehitys noudattaa samaa kaavaa. Alueella on nähty palvelunestohyökkäyksiä poliittisia järjestelmiä vastaan sekä laajoja tietovuotoja. Suomessa Vastaamon tapaus on esimerkki siitä, miten tietomurrolla voi olla pitkäkestoisia ja vakavia seurauksia sekä organisaatiolle että yksilöille.

Hyökkäykset hyödyntävät usein sosiaalista manipulointia ja vakoilua, toimitusketjuja, ohjelmistohaavoittuvuuksia ja yhä useammin myös tekoälyä, mikä vaikeuttaa havaitsemista ja torjuntaa.

Ennakoiva tietoturva

Perinteinen reaktiivinen tietoturva ei vastaa nykyistä uhkatasoa. Nykytilanteessa korostuu ennakoiva ja jatkuva toimintamalli, jossa hyökkäykset pyritään tunnistamaan ja estämään jo alkuvaiheessa.

Ympärivuorokautinen valvonta on keskeistä, koska hyökkäykset voivat tapahtua milloin tahansa. Jatkuva seuranta mahdollistaa poikkeavan käyttäytymisen havaitsemisen ajoissa, esimerkiksi epätavalliset kirjautumiset tai massiiviset tiedonsiirrot.

Valvonnan rinnalla aktiivinen uhanmetsästys ja viranomaistiedotteiden seuraaminen tukevat tilannekuvaa ja auttavat ennakoimaan uusia uhkia.

Haavoittuvuuksien hallinta

Haavoittuvuuksia syntyy jatkuvasti, ja hyökkääjät hyödyntävät niitä yhä nopeammin. Harvoin tehtävät skannaukset eivät enää riitä, eikä pitkien haavoittuvuuslistojen priorisointi ilman liiketoimintakontekstia ole tehokasta.

Jatkuva ja autonominen hyökkäystestaus tuo näkyvyyttä siihen, mitkä haavoittuvuudet ovat aidosti hyödynnettävissä. Kun korjaustoimenpiteet voidaan validoida uudella testauksella, poistuu epävarmuus siitä, onko riski todella pienentynyt.

Nopeus on keskeistä. Kriittiset päivitykset on kyettävä ajamaan viiveettä, samalla varmistaen tuotantoympäristön vakaus.

Identiteetit ja hyökkäyspinnan hallinta

Käyttäjäidentiteetit ovat keskeinen hyökkäysvektori. Yksi heikosti suojattu tunnus voi mahdollistaa laajan pääsyn järjestelmiin, kuten KMP Logisticsin tapaus osoitti.

Monivaiheinen tunnistautuminen, vahvat salasanakäytännöt ja käyttöoikeuksien minimointi rajoittavat vahinkoja, jos tunnus vaarantuu. Hyökkäyspinnan pienentäminen, kuten tarpeettomien palveluiden ja tunnusten poistaminen sekä verkon segmentointi, vähentää hyökkäysten onnistumismahdollisuuksia rakenteellisesti.

Resilienssi ja toipumiskyky

Koska täydellistä suojaa ei ole, organisaation on varauduttava siihen, että jokin hyökkäys onnistuu. Resilienssi tarkoittaa vahinkojen rajaamista ja toimintakyvyn nopeaa palauttamista.

Selkeä Incident Response ‑suunnitelma määrittää vastuut ja toimintamallit kriisitilanteessa. Suunnitelmaa on testattava säännöllisesti, jotta se toimii myös paineen alla.

Varmuuskopioiden eristys, palautuksen testaus ja verkon segmentointi ovat keskeisiä toipumiskyvyn elementtejä. Jaguar Land Roverin ja KMP Logisticsin tapaukset osoittavat, että ilman toimivia palautusmekanismeja vaikutukset liiketoimintaan voivat olla hyvin vakavia.

Kyberuhat ovat kehittyneet teknisestä riskistä laajaksi liiketoimintariskiksi. Jo yksittäinen haavoittuvuus, tunnus tai toimitusketjun heikkous voi johtaa tuotannon pysähtymiseen, merkittäviin taloudellisiin tappioihin ja laajoihin yhteiskunnallisiin vaikutuksiin.

Ennakoiva tietoturva, jatkuva haavoittuvuuksien hallinta ja testattu toipumiskyky ovat keskeisiä edellytyksiä organisaation toimintavarmuudelle muuttuvassa uhkaympäristössä.

Miten suojautua? – teknologia, koulutus ja prosessit yhdessä 

Tietoturvan parantaminen vaatii kokonaisvaltaista lähestymistapaa: 

2. Tietoturvatietoisuuden lisääminen
   Koulutus on avainasemassa. Kun loppukäyttäjät ymmärtävät, miten hyökkäykset toimivat ja miten niitä voi tunnistaa, organisaation puolustus paranee merkittävästi.  
   
   
3. Tekninen näkyvyys ja havainnointikyky
   Modernit tunnistusjärjestelmät, kuten tokenin uudelleenkäytön havainnointi, ovat keskeisiä. Ilman teknologista näkyvyyttä jää organisaatio sokeaksi uhkille.
    
4. Käyttöoikeuksien hallinta
   Vain tarvittavat oikeudet, vain tarvittavaksi ajaksi – Just-in-Time Access. Tämä vähentää riskiä, että hyökkääjä pääsee käsiksi kriittisiin tietoihin.
   
   
5. Harjoittelu ja toimintaohjeet
   Selkeät prosessit kriisitilanteisiin ovat elintärkeitä. Kun tiedetään, mitä tehdä ja kuka tekee, voidaan reagoida nopeasti ja tehokkaasti.
   
   
6. Jatkuva proaktiivinen kehitys
   Teknologia vanhenee nopeasti. Siksi tietoturvaa on kehitettävä jatkuvasti – skannaamalla hyökkäyspinta-alaa, validoimalla kontrollit ja päivittämällä konfiguraatiot. 

Yhteistyö ja tuki – ratkaisut saman katon alta 

Tietoturvan kehittämisessä yhteistyö on avainasemassa. Yhteistyö Atean kanssa mahdollistaa laajan tuen – aina päätelaitteiden suojauksesta tilannekuvan rakentamiseen ja jatkuvuuden hallintaan. Tietoturva ei ole enää valinta – se on välttämättömyys. Organisaatioiden on aika nostaa tietoturva strategiseksi painopisteeksi, joka ulottuu johdosta jokaisen työntekijän arkeen. Vain näin voimme suojata tärkeät ja kriittiset tiedot ja järjestelmät sekä varmistaa palveluiden sekä liiktoiminnan jatkuvuuden.