Yli 600 punaista hälytystä verkkohyökkäyksistä – kohteena tärkeimmät yritykset

Kyberturvallisuuskeskuksen havainnointi- ja varoitusjärjestelmä antoi viime vuonna yli 600 hälytystä haittaohjelmista, jotka olivat päässeet läpi muista tietoturvaohjelmistoista. Havaro-järjestelmää hyödyntävät mm. kantaverkkoyhtiö Fingrid ja energiayhtiö Fortum.

internet
Ilkka Mattila
Tietoturva-asiantuntija Ilkka Mattila Kyberturvallisuuskeskuksesta tutkii Havaro-järjestelmästä tulleita ilmoituksia mahdollisista tietoturvaloukkauksista.Yle

Suomen huoltovarmuuden kannalta kriittisimmät yritykset ovat kahden viime vuoden aikana saaneet uudenlaista suojaa verkkohyökkäysten varalta. Kyberturvallisuuskeskuksen havainnointi- ja varoitusjärjestelmä Havaro tarkkailee yritysten tietoliikennettä yritysverkon ja internetin välissä ja hälyttää, jos liikenteessä huomataan tietoturvaloukkauksiin viittaavia poikkeamia.

Jos yrityksen työntekijä vaikkapa lataa vahingossa haittaohjelman, joka alkaa varastaa tietoja, tämä havaitaan Kyberturvallisuuskeskuksessa. Keskuksen päivystäjä seuraa ohjelmiston havaintoja tietoliikenteestä ja luokittelee ne vakavuuden mukaan.

– Keltainen havainto voi edellyttää asiakkaalta lisätoimia. Jos kyseessä on päivänselvästi asiakasta vaarantava juttu, havainto merkitään punaiseksi ja se viedään välittömästi tiedoksi asiakkaalle, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Erka Koivunen.

A-studion tietojen mukaan järjestelmä on asennettu pariinkymmeneen kohteeseen pankeissa, ICT-yrityksissä, energia-alan yrityksissä, Ylessä, terveydenhuollossa ja kriittisimmissä teollisuusyrityksissä. Järjestelmä asennetaan vain asiakkaiden suostumuksella. Koivunen korostaakin, että kenenkään tietoliikennettä ei seurata hänen itsensä tietämättä.

Järjestelmän kustannuksista yrityksissä vastaa Huoltovarmuuskeskus, joka määrittelee myös mihin yrityksiin järjestelmää tarjotaan.

Huoltovarmuuskeskuksen toimitusjohtaja Ilkka Kananen kertoo, että havainnointiverkkoa aiotaan suurentaa.

– Asiakkaiden määrä tulisi kaksin-kolminkertaistaa, että se kattaa riittävällä laajuudella kyberturvallisuusympäristön, hän tiivistää.

Yli 600 punaista hälytystä

Järjestelmä teki viime vuonna 15 miljoonaa havaintoa, joista Kyberturvallisuuskeskuksen päivystäjät tutkivat tarkemmin noin 20 000. Asiakkaille annettiin 622 punaista hälytystä.

– Tyypillisimpiä tapauksia olivat Java-ohjelmistoalustan kautta asentuneet haittaohjelmat, jotka alkoivat varastaa tietoa. Asiakkaiden kannalta huolestuttavinta oli, että nämä tapaukset jäivät huomaamatta kaikilta muilta tietoturvaohjelmistoilta, toteaa Erka Koivunen.

Koivusen mukaan Havaron tehokkuus perustuu siihen, että järjestelmään tallennetaan jatkuvasti uusia hyökkäysten tunnusmerkistöjä.

Osa tunnisteista on vapaassa kaupallisessa käytössä, mutta osan Kyberturvallisuuskeskus on saanut muiden maiden viranomaisilta ainoastaan viranomaiskäyttöä varten. Tämän vuoksi järjestelmä tunnistaa sellaisiakin hyökkäyksiä, joita kaupalliset tietoturvaohjelmistot eivät havaitse.

Järjestelmä ei tietenkään ole aukoton. Jos verkkohyökkäys on räätälöity tiettyä kohdetta varten, eikä siitä ole voitu kerätä tunnisteita, jää se Havaroltakin huomaamatta.

Yhtiöt harjoittelevat kyberhyökkäysten varalta

Kantaverkkoyhtiö Fingrid on Havaro-järjestelmän ensimmäisiä käyttäjiä. Yrityksen ICT-johtaja Kari Suominen kertoo, että Fingrid on saanut järjestelmän kautta muutaman punaisen hälytyksen.

– Pahimmassa tapauksessa meidän verkkoon on päässyt haittaohjelma, joka on pystynyt lähettämään ulos käyttäjätunnuksia.

Hyökkäys havaittiin nimenomaan Havaron ansiosta, ja saastunut kone päästiin puhdistamaan.

– Totesimme, että tämän vakavampaa uhkaa meille ei tullut. Kone ei ollut sidoksissa meidän kriittisiin järjestelmiin.

Myös energiayhtiö Fortum hyödyntää Havaron tuottamaa tietoa yhdessä muiden tietoliikennettä havainnoivien järjestelmiensä kanssa. Fortumin tietoturvapäällikkö Jarmo Huhta kertoo, että yritys on eri tietoturvajärjestelmien kautta huomannut muutamia kertoja vuodessa haittaohjelmien päässeen yrityksen verkkoon, mutta toistaiseksi tietoa ei ole vuotanut ulos.

Kriittiset järjestelmät omissa verkoissaan

Molemmat yhtiöt korostavat, että sähköverkkoja ja voimaloita ohjaavat automaatiojärjestelmät pyörivät omissa verkoissaan, jotka eivät ole suoraan yhteydessä toimistokäytössä oleviin tietoverkkoihin. Automaatiota ohjaaviin järjestelmiin asti päässeistä hyökkäyksistä yrityksillä ei ole havaintoja.

Kari Suominen kuitenkin kertoo, että yrityksessä on harjoiteltu myös tilanteita, joissa tuotannonohjausjärjestelmiin on tullut hyökkäys tai häiriö.

– On tehty harjoitushyökkäyksiä ja erilaisia skenaarioita siitä, miten meidän järjestelmiin pääsee hyökkäämään. Tästä on tullut organisaatioomme erinomaista kokemusta.

Suomisen mukaan harjoitus eteni Fingridin kannalta suotuisasti, sillä harjoitushyökkäys havaittiin, eikä verkko pimentynyt. Huhta ja Suominen muistuttavat myös, että sähkö saadaan kulkemaan vaikka tuotannonohjausjärjestelmä olisi tilapäisesti poissa käytöstä.

– Sähkö ja bitti eivät nykyäänkään kulje aivan käsi kädessä. Häiriötilanteessa meidän sähköasemat miehitetään välittömästi ja verkkoa ohjataan manuaalisesti, Suominen kuvaa.

Suominen ja Huhta arvioivat, että tähän asti yrityksiin kohdistuneita hyökkäyksiä ei ole räätälöity yksin Fingridiä tai Fortumia vastaan, vaan haittaohjelmia on yritetty tartuttaa samaan aikaan lukuisiin yrityksiin.

He kuitenkin arvioivat, että yritysten on varauduttava myös yksin niitä vastaan kohdistettuihin, kehittyneisiin hyökkäyksiin.

– Kyse ei ole siitä, tapahtuuko näin vaan milloin näin tapahtuu, toteaa Suominen.

Aiheesta lisää illan A-studiossa TV1 kello 21.