Haittaohjelmahyökkäyksistä myös vaietaan – Lahden kriisistä avoimesti jaettu tieto auttoi muita pysäyttämään WannaMinen

WannaMine-haittaohjelma sai aikaan tietojärjestelmäkriisin Lahden kaupungissa. Kriisistä syntyi myös hyvää, sillä avoimesti ulospäin jaettu tieto haittaohjelmasta auttoi muita suojautumaan siltä.

haittaohjelmat
Tietokoneen näppäimet
Henrietta Hassinen / Yle

Virtuaalivaluuttaa louhiva haittaohjelma iski kuukausi sitten Lahden kaupungin lisäksi myös muihin organisaatioihin Suomessa. Viestintävirasto sai samoihin aikoihin ilmoituksia muualtakin palvelimille tunkeutuneesta haittaohjelmasta.

Viestintävirasto ei kerro, mistä yrityksistä tai julkisista organisaatioista on kyse, sillä ne eivät välttämättä halua nimeään julkisuuteen. Muualla haittaohjelma ei kuitenkaan päässyt aiheuttamaan yhtä laajasti haittaa kuin Lahden kaupungilla.

Viestintävirasto kiittelee Lahden kaupungin tietojärjestelmistä vastaavaa Provinciaa siitä, että yhtiö keräsi ja jakoi ahkerasti tietoa haittaohjelmasta, vaikka tilanne oli tiukka.

– Heidän avullaan pystyimme varoittamaan myös muita. Yhteisen puolustuksen idea on juuri tiedon jakamisessa, ja se vaatii rohkean päänavaajan, sanoo tietoturva-asiantuntija Perttu Halonen Viestintäviraston kyberturvallisuuskeskuksesta.

Halosen mukaan ei ole itsestäänselvää, että Viestintävirastolle edes ilmoitetaan vastaavista hyökkäyksistä, koska moni organisaatio pelkää maineensa puolesta ja tietoturvaongelmat pyritään pitämään piilossa.

Lahden kaupunginsairaalan päivystys
Juha-Petri Koponen/Yle

Lahdessa hyökkäyksen vaikutukset näkyivät myös ulospäin. WannaMine-haittaohjelman vuoksi kaupungin verkkopalveluita kaatui, ja yhteydet Lahden terveysasemilta maakunnallisen sosiaali- ja terveysyhtymän järjestelmiin jouduttiin katkaisemaan päiviksi.

WannaMinen tarkoituksena on ottaa käyttöönsä koneita ja hyödyntää niitä kryptovaluutta Moneron louhimisessa. Haittaohjelman aiheuttamista ongelmista ei ole tullut Viestintävirastolle uusia ilmoituksia kuukauden takaisten tapahtumien jälkeen.

Tilanne haltuun puolessa vuorokaudessa

Lahden kaupungin tietojärjestelmistä vastaava, kuntaomisteinen Provincia joutui myrskyn silmään, kun se havaitsi haittaohjelman tunkeutuneen järjestelmiin. Haittaohjelma vaikutti laajasti kaupungin palveluihin, ja herätti myös kysymyksiä siitä, olisiko Provincia voinut toimia tilanteessa paremmin.

Koko seuraava yö työskenneltiin läpi ja seuraavana aamuna noin kello 10 kyettiin pysäyttämään leviäminen.

jarmo Tuovinen

Provincian ICT-liiketoimintajohtaja Jarmo Tuovinen näkee, että kaikki toimi niin kuin pitikin.

– Keskiviikkona kello 16 tuli puhelu tuotantopäälliköltä. Hän kertoi, että nyt on jotain isoa. Meillä oli silloin jo tiimi koossa ja he tutkivat, mitä tapahtuu. Koko seuraava yö työskenneltiin läpi ja seuraavana aamuna noin kello 10 kyettiin pysäyttämään leviäminen, Tuovinen kertaa tapahtumia.

Tuovisen mukaan Provinciassa keksittiin myös mekanismi, jolla haittaohjelma voitaisiin poistaa, jo ennen kuin poisto-ohjelma saatiin valmistajalta. Näitä ratkaisuja Provincia ja Viestintävirasto jakoivat muille pulaan joutuneille.

"Huonoa tuuria"

Tietoturva-asiantuntija Perttu Halonen Viestintäviraston Kyberturvallisuuskeskuksesta vahvistaa, ettei Provinciaa voi suoralta kädeltä syyttää tapahtuneesta, sillä suojassa pysyminen riippuu lukuisista seikoista. Provincian järjestelmässä vain sattui olemaan heikkous, ja samanlainen voi olla myös muilla organisaatioilla.

Julkisuudessahan löytyy aina arvostelijoita, että tähän voisi valmistautua, mutta sehän tarkoittaisi sitä, että otettaisiin piuhat irti.

Jarmo Tuovinen

– Sitten tässä oli aika räväkkä leviämistapa mitä [haittaohjelma] WannaCrykin käytti aikoinaan. Se sattui tepsimään Lahden tapauksessa. Siinä oli vähän huonoa tuuria, että suojaus yhdestä kohdasta petti, Halonen selittää.

Provinciassa pidetään ymmärrettävänä, että käyttäjää harmittaa, kun arkea helpottamaan tehdyt palvelut eivät toimi.

– Julkisuudessahan löytyy aina arvostelijoita, että tähän voisi valmistautua, mutta sehän tarkoittaisi sitä, että otettaisiin piuhat irti, ICT-liiketoimintajohtaja Jarmo Tuovinen kärjistää.

Provincian mukaan vielä ei ole varmaa, kuinka suuri osa kriisin kustannuksista lankeaa Provincialle eli käytännössä veronmaksajille ja millaisia korvauksia vakuutuksesta saadaan. Hyökkäyksestä on tehty KRP:lle rikosilmoitus.