Lahden troijalaishyökkäys ei tullut yllätyksenä, sillä kuntien tietoturvassa on puutteita – "Joissain kunnissa piilee vakava peiliin katsomisen paikka"

Lahden tapausta pidetään silti poikkeuksellisena, sillä yhtä laajoja hyökkäyksiä ei yleensä nähdä.

tietoturva
Tietokoneen näppäimistö ja koodia.
Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän väliset tietoliikenneyhteydet katkaistiin tiistaina iltapäivällä, kun verkossa havaittiin kyberhyökkäys. Kuvituskuva.Ismo Pekkarinen / AOP

Lahden kyberhyökkäyksen kaltaista tapahtumaa oli osattu odottaa, toteaa Liikenne- ja viestintäviraston Traficomin johtava asiantuntija Kauto Huopio. Rikolliset etsivät jatkuvasti verkon haavoittuvuuksia ja iskevät heikkoon kohtaan heti sellaisen havaittuaan. Kyse voi olla tunneista.

– On todennäköistä, että osa kunnista on varautunut tietoverkkohyökkäykseen paremmin ja osa huonommin kuin Lahti. Joissain kunnissa on vakava peiliin katsomisen paikka, mutta aivan kaikilla kunnilla on tässä tehtävää, Huopio sanoo.

Merkittävyydessään Lahden tapaus oli silti erityinen, sillä vastaavan laajuinen verkkohyökkäys toteutuu harvemmin.

Tästä on kyse: Lahden kaupungin tietoverkkoon hyökättiin tiistaina iltapäivällä. Se aiheutti merkittäviä häiriöitä terveysasemien ja hammashoitoloiden toiminnassa.

Keskusrikospoliisi (KRP) kertoi keskiviikkona, että se on aloittanut esitutkinnan Lahden kaupungin tietojärjestelmiin tiistaina kohdistetusta hyökkäyksestä. KRP:n mukaan tietojärjestelmän saastuttanut haittaohjelma on niin kutsuttu troijalainen.

Tutkinnanjohtaja, rikoskomisario Sami Siurola on kertonut, että ainakin tuhat tietokonetta saastui. Tekijätaho ei ole tiedossa.

Tietojenkalastelu arkipäivää

Kyberkeskukselle tulee päivittäin ilmoituksia organisaatioilta niin kutsutuista tietojenkalasteluyrityksistä vähintäänkin jonkun käyttäjän osalta. Hieman harvinaisempia ovat ilmoitukset organisaatioiden tietojärjestelmiin pääsystä – silti useita sellaisia tulee kuukausittain, joskus jopa viikoittain.

– Hyökkääjän tarvitsee onnistua vain kerran. Vastapuolen haasteena on onnistua torjumaan hyökkäys joka kerta, Huopio vertaa.

Huopio muistuttaa, että yhteiskunnassa ollaan riippuvaisia sähköisistä toiminnoista, ja digitaalisen yhteiskunnan rakentaminen vaatii valveilla oloa.

Tapaus Lahti

Tietoturvaongelma näkyi Lahden kohdalla reaalimaailmassa, koska se aiheutti häiriötä terveyskeskusten toiminnassa ja pysäytti esimerkiksi verinäytteiden ottamisen laboratoriossa. Tässä yhteydessä oli kuitenkin kyse suojaustoimenpiteestä. Tietoliikenneyhteydet kaupungin ja hyvinvointiyhtymän välillä katkaistiin hyökkäyksen laajenemisen estämiseksi.

– Lahden tapauksessa oli mukana myös myönteistä huomattavaa: palveluntarjoajapuoli pystyi reagoimaan havaittuun hyökkäykseen hyvin nopeasti, Huopio kiittää.

Lahden kaupunki myös informoi tilanteesta terveyskeskuksen asiakkaita. Huopio ei näe tapahtuneen jälkeen tarvetta liialliseen huoleen.

– Sanoisin, että sosiaali- ja terveysalalla tehdään hyvää yhteistyötä tietoturva-asioiden osalta. Minä ainakin nukun kohtalaisen levollisin mielin tältä osin.

Tietoturvaongelmia tulee esille yhteiskunnassa eri tasoilla. Periaatteessa kenelle tahansa sähköpostiosoitetta käyttävälle ihmiselle voi aueta eteen viesti, jossa kerrotaan arpajaisvoitosta tai pyydetään rahaa jollekulle kaukaiselle ystävälle, jolla on terveysongelmia. Näissä tapauksissa verkkorikollinen voi pyrkiä identiteettivarkauteen ja taloudellisen hyödyn saavuttamiseen.

Tavallinen netin käyttäjä voi ylläpitää omaa valppauttaan ja tehdä päivityksiä aina kun niitä on saatavilla.

Kuntien tietoturvasta huolehtiminen on tärkeää, koska ne tarjoavat suuremmalle joukolle ihmisiä muun muassa terveys- ja sosiaalipalveluita, vesi- ja viemäripalveluita sekä liikenteenohjausta. Tietojenkäsittelyn tulisi voida sujua luotettavasti.

Hyökkääjät etsivät helppoja kohteita

Huopio ei erottelisi lähtökohtaisesti yksityisiä ja julkisia organisaatioita toisistaan kiinnostavuudessa verkkohyökkääjälle. Maalitauluna kyberrikolliselle on internet sekä siihen liitettyjen järjestelmien heikkoudet.

– Yleisesti ottaen keskivertohyökkääjät eivät erityisesti valitse kohteitaan. Etsitään vain verkosta haavoittuvia järjestelmiä tai käyttäjiä, joiden hyväuskoisuutta voidaan hyödyntää erityyppisiin rikollisiin tarkoituksiin.

Kunnat ovat Huopion mukaan ehkä jossain määrin "pehmeä" kohde, sillä kuntien tietotekniset järjestelmät on toteutettu tyypillisesti pitkän ajan kuluessa. Palvelimissa voi olla tällöin hyvinkin perustavanlaatuisia ongelmia esimerkiksi puutteellisen tietoturvatason noston osalta. Kuntien tietotekniikkaa on voitu päivittää rakentamalla uusi kerros vanhan järjestelmän päälle. Lisäksi palveluita on voitu hankkia eri toimijoilta.

– Usein voi olla, ettei hyökkääjä tarkkaan tiedä tai ymmärrä mihin on päässyt sisään – onneksi. Tiedostava hyökkääjä voisi saada aikaan merkittävääkin tuhoa jakamalla arkaluonteisia tietoja eteenpäin tai tuhoamalla avainjärjestelmiä, Huopio sanoo.

Hän korostaa, että kuntien tulisi ensinnäkin kiinnittää huomiota tietoturvan perusteista huolehtimiseen ja toisaalta loppukäyttäjien kouluttamiseen.

– Kun talon sokkeli on kunnossa, voidaan miettiä monimutkaisempia valvontajärjestelmiä. Lopulta pitkän ketjun heikoin lenkki ratkaisee kokonaisuuden turvatason.

Lue lisää:

KRP vahvistaa: Lahden tietojärjestelmän saastuttanut ohjelma on troijalainen, tekijä vielä epäselvä

Lahden kyberhyökkäystutkinta: livahtiko haittaohjelma tuhanteen tietokoneeseen yksittäisen käyttäjän toiminnan vuoksi?