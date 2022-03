Kyberhyökkäykset ovat yli 90-prosenttisesti ammatti­rikollisten tekemiä, arvioi IBM:n kybervastaava Antti Pirinen. Valtiollisten ja aktivisti­ryhmien iskut jäävät vain muutamiin prosentteihin.

Kyberhyökkäykset ovat siirtyneet pankeista entistä useammin teollisuusyhtiöihin kohdistuviksi, kertoo yhdysvaltalaisen teknologiayhtiö IBM:n tuore globaaleja kyber­tuvallisuus­trendejä käsittelevä raportti.

IBM:n X-Force- eli tietoturvahäiriöiden hallintapalveluista Pohjoismaissa vastaava Antti Pirinen kertoo, että selvityksen mukaan viime vuonna globaalisti eniten hyökkäyksiä kohdistui teollisuuteen ja teollisuuden toimitusketjuihin – jopa suoraan tuotantoa pyörittäviin koneisiin.

”Pankkeihin ja vakuutusyhtiöihin on perinteisesti kohdistettu eniten hyökkäyksiä, koska niissä on rahaa ja ammattirikollisten tehtävänä on tehdä rahaa”, Pirinen selittää.

Pankkikonserni Nordeaan kohdistui maaliskuun 1. päivänä poikkeuksellinen ja pitkäaikainen palvelunestohyökkäys, joka esti monilta asiakkailta kirjautumisen palveluun. Hyökkäyksen tekijä ei ole selvinnyt.

Lue lisää: Finanssivalvonta: Palvelunesto­hyökkäys Nordeaan oli ”poikkeuksellinen ja pitkäkestoinen”

Nyt pankkien ja vakuutusyhtiöiden tietoturva ja suojauskeinot ovat parantuneet jo niin paljon, että rikolliset ovat vaihtaneet kohteita.

”Teollisuudessa on isoja koneita, joita ei voi päivittää yhtä ketterästi.”

Erilaisten tuotannonohjausjärjestelmien tai koneiden seisonta-ajalle on myös usein yksinkertaisesti ja nopeasti laskettavissa se haitta ja kustannus, jonka koneen seisahtuminen aiheuttaa.

Näin kiristäjän vaatimukselle voi laskea helposti vaihto­ehtois­kustannuksen.

IBM:n raportin arvion mukaan noin 97 prosenttia vihamielisistä toimijoista on rikollisuutta, kaksi prosenttia valtiollisia toimijoita ja prosentti netti­aktivisteja.

Viime vuonna eniten julkisuutta sai texasilaiseen polttoaineen jakeluyhtiö Colonial Pipelineen kohdistunut ransomware- eli kiristys­haitta­ohjelma­hyökkäys, joka keskeytti tuotantoketjun toiminnan ja aiheutti huolta siitä, riittääkö polttoaine erilaisiin kriittisiin toimintoihin.

Colonial Pipeline taipui maksamaan rikollisille lunnaita noin viisi miljoonaa dollaria. Yhdysvaltain viranomaiset kertoivat sittemmin, että bitcoineina maksettuja lunnaita pystyttiin palauttamaan 2,3 miljoonan dollarin arvosta.

Yhtiön pääjohtaja perusteli myöhemmin Yhdysvaltain kongressissa lunnaiden maksua yhteiskunnan toimivuudella ja ihmishenkien pelastamisella.

Suomessa ei Pirisen tietojen mukaan ole maksettu kyberhyökkääjille.

Vuonna 2020 psykoterapiakeskus Vastaamoon tehtiin hyökkäys, jossa yhtiöltä vaadittiin rahaa uhkaamalla sillä, että muutoin arka­luonteisia asiakas­salaisuuksia paljastetaan.

Psykoterapiakeskus ei kuitenkaan suostunut maksamaan kiristäjälle, jolloin tämä vaihtoi kohdetta ja ryhtyi lähettämään kiristyspyyntöjä yksittäisille asiakkaille uhkaamalla heitä potilastietojen julkistamisella.

”Siten kiristäjä teki virheen”, Pirinen sanoi. ”Kun varastettu tietomassa julkistettiin dark webissä, kaupallistaminen meni siinä.”

Vuosikausien ajan Eurooppaan on kohdistunut eniten iskuja, Pirinen kertoo. Viime vuonna Aasia meni kuitenkin Euroopan ohi iskujen määrällä laskettuna.

Iskujen avulla pyritään etsimään erilaisia heikkouksia järjestelmässä.

IBM:n raportin mukaan tietojen­kalastelu­yritykset olivat yleisin hyökkäysten aloituskeino. Tutkimusdatan mukaan peräti kolme viidestä hyökkäyksestä alkoi tietojenkalastelulla.

Tyypillistä näille kalasteluyrityksille oli, että hyökkääjät esittivät viesteissään olevansa jonkin suuren teknologiayhtiön, kuten Microsoftin, Applen tai Googlen, asialla.

”Vaikka tietojenkalasteluhyökkäykset ovat merkittävin hyökkäyksen aloituspiste, järjestelmistä löytyvät haavoittuvuudet tulevat heti toisena hyökkääjien arsenaalissa”, Pirinen sanoo.

”Hyökkäyksien suhteen korostan aina asiakkaille sitä, että organisaatio ei itse pysty arvioimaan, onko se mielenkiintoinen kohde. Hyökkääjä määrittelee, oletko kiinnostava kohde vai et.”

Usein kyberiskujen tekijät etsivät haavoittuvia järjestelmiä välittämättä siitä, missä maassa laitteet sijaitsevat.

”Se on täyttä hakuammuntaa, jossa Suomeenkin voi osua.”

IBM:n raportti pohjautuu tietoon, joka on kerätty maailman­laajuisesti yhtiön jatkuvien tietoturva­palveluiden hälytys­tiedoista, uhkatiedon keräämiseen erikoistuneen yksikön analyyseista, tietomurtojen selvitys­yksikön raporteista sekä haavoittuvuuksien havaitsemis­yksikön havainnoista, Pirinen kertoo.