Kuolemattomuuden suuri illuusio

F-Securen vieraskynä

”Ei kukaan kumminkaan ole meistä kiinnostunut. Mitä sitten, jos joku murtautuu meidän organisaatioon. Ei meillä ole muutenkaan mitään varastettavaa...”

”Varmasti on haavoittuvuuksia, enkä edes halua tietää kuinka paljon. Meillä on isompiakin ongelmia...”

Tapaan viikoittain pienten ja keskisuurten organisaatioiden johtoa ja IT-päättäjiä. Valitettavan usein törmään yllä kuvailtuun illuusioon. Illuusioon siitä, kuinka kyberhyökkäykset ovat vain isojen organisaatioiden ongelma, eikä kukaan kuitenkaan ole kiinnostunut meistä. Yhä useampi keskisuurikin organisaatio tuntuu nukkuvan ruususen unta, ilman realistista ymmärrystä kuinka vakavasta uhkasta on kysymys.

Uutisia lukiessa saa helposti väärän kuvan siitä, kuinka kaikki kyberhyökkäykset ovat aina kohdennettuja ja lähinnä isojen amerikkalaisten organisaatioiden ongelma. Tosiasia kuitenkin on, että suurin osa kyberhyökkäyksistä on opportunistisia. Nykypäivänä hyökkäyksiä tehdään pitkälti automatiikan avulla, olemassa olevia haavoittuvuuksia hyväksi käyttäen. Kun automatiikalla ammutaan joka suuntaan ei kohteella ole juurikaan väliä. Automatiikkaa ei kiinnosta organisaation koko tai toimiala tai liikevaihto. Sisään tullaan koska päästään. Kun sisään on päästy, alkaa selvitys, eli toimitaan niin sanotusti tilanteen mukaan. Kuvitelma siitä, että meillä ei ole mitään varastettavaa on lähinnä naiivia. Kaikilla meillä on ja rikollinen löytää aina tavan hyötyä tilanteessa. Jos varastettavaa ei löydy, voidaan ympäristön resursseja käyttää hyväksi monellakin tapaa. Jalansija voidaan aina myydä eteenpäin tai yksinkertaisesti vain kryptata koko ympäristö lunnaiden toivossa.

Tuoreen tutkimuksen mukaan lähes 70% pienistä ja keskisuurista yrityksistä ei usko olevansa kyberhyökkäyksen kohde, ja niistä 60% eivät ole varautuneet niihin mitenkään. Saman tutkimuksen mukaan vuonna 2018 tehdyistä kyberhyökkäyksistä lähes puolet kohdistui PK-sektorille. Todellisuuden ja illuusion välinen kuilu PK-sektorilla vaikuttaa olevan pelottavan iso. Valitettavan harva PK-yritys varautuu kyberhyökkäysten torjuntaan tavalla mitä nykyinen tilanne vaatisi ja rikolliset tiedostavat tämän. Kysymys ei ole enää siitä, voimmeko joutua hyökkäyksen kohteeksi, vaan koska joudumme sen kohteeksi.

Onko kyberhyökkäys liiketoimintariski?

Vaikuttaako asiakastietojen tai liiketoiminnalle arkaluonteisen tiedon menetys liiketoimintaasi? Millainen vaikutus tietomurrolla on asiakkaittesi tai yhteystyökumppaniesi luottamukseen? Entä kuinka liiketoimintaasi vaikuttaisi kyberhyökkäyksen aiheuttama tuotantokatkos ja kuinka pitkän katkoksen liiketoimintasi kestäisi?

Tutkimusten mukaan kyberhyökkäysten havainnointi kestää keskimäärin kuukausia. Mitä pidempään havaitseminen kestää sitä kalliimmaksi toipuminen tulee. Lähes aina puhutaan tuhansista tai jopa kymmenistä tuhansista euroista. Siksi ei ole yllätys, että tuoreen yhdysvaltalaisen tutkimuksen mukaan 60% kyberhyökkäyksen kohteeksi joutuneista PK-yrityksistä joutui lopettamaan toimintansa 6 kuukautta kyberhyökkäyksen jälkeen.

Onko peli jo menetetty?

Kuten jo aikaisemmin totesin suurin osa kyberhyökkäyksistä ovat opportunistisia. Ulkopuolelta on aina helppo kertoa miten asioita tulisi hoitaa. Valitettavan usein tietoturvaa kuitenkin rakennetaan taloudellinen ajattelu edellä, eikä tietoturva edellä. Usein kysytään mitä tämä maksaa, vaikka pitäisi kysyjä mitä se maksaa, jos tämä jätetään tekemättä.  ”Nyrkkisääntönä voi sanoa, että kyberuhkaan varautuminen on aina kymmenen kertaa halvempaa kuin jälkituhojen korjaaminen” https://yle.fi/uutiset/3-11182227

Tästä Lahden kaupungin tapaus on hyvä esimerkki https://yle.fi/uutiset/3-11121273

Jos kohteella ei ole hyökkääjälle suurta merkitystä, voidaan pienilläkin asioilla vaikuttaa positiivisesti omaan onnistumiseen. Hyvällä salasanapolitiikalla, verkon segmentoinnilla sekä haavoittuvuuksien hallinnalla ja kunnollisella päätelaitesuojauksella saadaan varmasti pienennettyä hyökkäyspinta-alaa ja mahdollisesti käännettyä hyökkääjien katse toiseen suuntaan. Mikään näistä ei kuitenkaan anna täydellistä suojaa. Mikäli organisaation koko on keskiverto R-kioskia isompi, päästään kalastelulla aina sisään. Siksi rinnalle tarvitaan kehittyneempiä ratkaisuja. EDR (Endpoint Detection and Response) -ratkaisujen avulla saadaan näkyvyys omaan ympäristöön ja pystytään reagoimaan tietoturvapoikkeamiin sekä havaitsemaan edistyneetkin kyberhyökkäykset ennen kuin on liian myöhäistä. 

 

Anssi Korpilaakso,
Senior Sales Engineer, Enterprise & Channel Sales Finland
F-Secure

Haluatko kuulla lisää?

Järjestimme aiheesta webinaarin, jonka tallenne on katsottavissa täällä. Mukana F-Securelta blogin kirjoittaja Anssi Korpilaakso sekä Lounealta kyberturvaliiketoiminnan päällikkö Ville Isotalo.
 

Lataa myös F-Securen tuore asiantuntija-artikkeli " Why you need EDR"

 

 

Jaa artikkeli:
Tagit:
tietoturva
tietoturvallisuus
kyberturvallisuus