Kyberturvallisuuskeskuksen viikkokatsaus - 19/2023
Tietoturva Nyt!
Tällä viikolla kerromme turvapostiteemaisista kalasteluviesteistä ja vahvan sähköisen tunnistuksen uusista vaatimuksista. Tutustu myös huhtikuun kybersäähän ja päivitystiistain mukanaan tuomiin korjauspäivityksiin.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Turvapostiteemaiset kalasteluviestit ovat johtaneet sähköpostitilimurtoihin
- Sähköpostikalastelut ja huijauspuhelut tekivät huhtikuun kybersäästä epävakaan
- Vahvan sähköisen tunnistuksen uudet vaatimukset tekevät asioinnista entistä turvallisempaa
- Yhdysvaltojen viranomaiset ja kumppanimaat julkaisivat yhteisraportin Snake-haittaohjelmasta
- Tietoturvan kehittämisen tukea on hakenut jo 700 yritystä
- Päivitystiistai toi korjauksia lukuisiin haavoittuvuuksiin
Turvapostiteemaiset kalasteluviestit ovat johtaneet sähköpostitilimurtoihin
Tietojemme mukaan yli 10 organisaatiota on joutunut sähköpostitilimurron kohteeksi toukokuun aikana. Erityisesti kuntasektori, järjestöt ja julkishallinto korostuvat tilastoissa. Murrettuja tilejä käytetään tuhansien uusien tunnuskalasteluviestien lähettämiseen ja esimerkiksi laskutuspetosten yrityksiin.
Viime aikoina suurin osa sähköpostitilimurroista on tapahtunut turvapostiteemaisten kalasteluviestien avulla. Osassa tapauksista on esiintynyt myös DocuSign-teemaista kalastelua.
Tilastojen perusteella liki joka arkipäivä jokin kotimainen organisaatio kohtaa sähköpostitilimurron. Suomessa liikkuu viikkotasolla tuhansia kalasteluviestejä pelkästään tilimurtojen vuoksi.
Monivaiheinen tunnistautuminen pelastaa usein tietomurrolta, mutta käyttäjät saattavat silti syöttää tietojaan haitallisille sivustoille. Tämän vuoksi kalastelukampanjoista on syytä viestiä jokaisessa organisaatiossa sisäisesti.
Suosittelemme käyttämään monivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä. Käyttäjien tulisi käyttää eri käyttäjätunnuksia ja salasanoja eri palveluissa.
Mikäli kalastelusivulle syötetty käyttäjätunnus- ja salasanapari on käytössä muissakin palveluissa, on salasana syytä vaihtaa välittömästi. Käyttäjien tulee viestiä tapahtuneesta poikkeamasta organisaation tietoturvasta vastaavalle taholle. Kyberturvallisuuskeskukselle on hyvä ilmoittaa erilaisista tietoturvapoikkeamista, vaikka esimerkiksi tietomurtoa ei olisikaan sattunut. Kyberturvallisuuskeskus muodostaa ilmoitusten perusteella tilannekuvaa ja jakaa tietoa ajankohtaisista ilmiöistä.
Olemme kertoneet ilmiöstä myös Viikkokatsauksessa 16/2023 . Avoimuutta ei voi liikaa korostaa - tilimurrosta on syytä ilmoittaa välittömästi omalle organisaatiolle sekä sähköpostista löytyville yhteystiedoille. Tarvittaessa tapauksesta voi viestiä myös organisaation verkkosivuilla.
Sähköpostikalastelut ja huijauspuhelut tekivät huhtikuun kybersäästä epävakaan
Huhtikuussa kybersäässä havaittiin sekä keväisiä auringon pilkahduksia että sateita. Sähköpostikalastelut ja huijauspuhelut toivat kybersäähän epävakautta. Haittaohjelmien osalta mennyt kuukausi oli edellistä valoisampi ilmoitusmäärän ollessa hieman pienempi kuin maaliskuussa. Huhtikuun kybersäästä löydät myös neljä kertaa vuodessa päivitettävät TOP5-uhat.
Vahvan sähköisen tunnistuksen uudet vaatimukset tekevät asioinnista entistä turvallisempaa
Kesällä 2023 voimaan astuvat vahvan sähköisen tunnistuksen uudet vaatimukset tekevät sähköisestä asioinnista entistä turvallisempaa. Uusilla vaatimuksilla halutaan varmistaa, että käyttäjä pystyy entistä helpommin tarkistamaan, mihin palveluun hän on kirjautumassa.
Jatkossa asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Esimerkiksi niin, että käyttäjä menee selaimellaan “Verkkokauppa Verho”:n verkkokauppaan. Tunnistuksen eri vaiheissa käyttäjän tulisi nähdä tämä sama tieto “Olet tunnistautumassa: Verkkokauppa Verho”.
Toinen loppukäyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään.
Molemmat käyttäjälle näkyvät parannukset pyrkivät vähentämään vahvaan sähköiseen tunnistukseen kohdistuvia uhkia. Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.
Kaikkia uhkia ja väärinkäytöksiä ei kuitenkaan koskaan voida sulkea pois. Sähköisessä asioinnissa on aina muistettava huolellisuus, sillä vahva sähköinen tunnistusväline on henkilöllisyystodistuksesi verkossa.
Yhdysvaltojen viranomaiset ja kumppanimaat julkaisivat yhteisraportin Snake-haittaohjelmasta
Yhdysvaltojen viranomaiset julkaisivat sen kumppanimaiden kanssa yhteistyössä raportin Turla-kyberuhkatoimijan käyttämästä haittaohjelmasta nimeltä “Snake”.
Viranomaisten yhteistyössä julkaisema tekninen raportti Snake-haittaohjelmasta kuvaa seikkaperäisesti haittaohjelman arkkitehtuuria ja toimintaa. Lisäksi raportissa ohjeistetaan, kuinka haittaohjelma voidaan havaita Snaken saastuttaneista järjestelmistä.
Yhdysvaltain oikeusministeriön päätöksellä FBI suoritti paikallisen operaation Yhdysvalloissa, jossa Snake-haittaohjelman saastuttamista kohteista poistettiin kyseinen haittaohjelma. Lisäksi FBI kertoo tiedottavansa globaalisti kansainvälisiä viranomaisia, joiden toiminta-alueella on havaittu Snake-haittaohjelman saastuttaneita kohteita.
Tietoturvan kehittämisen tukea on hakenut jo 700 yritystä
Tietoturvan kehittämisen tuki on yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille maksettavaa suoraa valtion tukea yrityksien tietoturvaa parantaviin toimiin.
Tukea on hakenut tähän mennessä 700 yritystä yhteensä yli 16 miljoonan euron edestä. Näistä 150 yrityksen hakemus on käsitelty loppuun saakka, ja 27 yrityksen hakemus on peruttu tai hylätty.
Tukea on myönnetty 123 yritykselle yhteensä noin kolme miljoonaa euroa. Enintään 15 000 euron tukina on myönnetty noin 1,5 miljoonaa euroa ja enintään 100 000 euron tukina noin 1,4 miljoonaa euroa.
Tuen maksamiseen on kokonaisuudessaan varattu 6 miljoonaa euroa, joista 2 miljoonaa euroa voidaan myöntää enintään 100 000 euron tukina.
Päivitystiistai toi korjauksia lukuisiin haavoittuvuuksiin
Vuodesta 2003 alkaen joka kuukauden toisena tiistai on ollut Patch Tuesday. Silloin esimerkiksi Microsoft julkaisee turvallisuuteen vaikuttavien haavojen korjauspäivitykset Windowsille, Officelle ja muille liitännäisille tuotteille. Päivitysaikataulu mahdollistaa paremman ennakoinnin ja suunnittelun, kun päivityksiä osataan odottaa tiettynä päivänä.
Myös muut toimijat kuten Adobe ja SAP ovat ottaneet käyttöönsä saman aikataulun. Viimeisin Patch Tuesday oli 9.5.2023, päivitysten joukossa tarjotaan korjaukset esimerkiksi kahteen jo hyväksikäytettyyn nollapäivähaavoittuvuuteen sekä yhteen, jonka hyväksikäytöstä ei ole vielä näyttöä.
Nollapäivähaavoittuvuudella tarkoitetaan sitä, että ohjelmiston toimittaja tai kehittäjä on aivan äskettäin havainnut vian. Ongelman korjaamiseen on siis aikaa “nolla päivää”, koska haavoittuvuus on jo julkisuudessa.
Pelkästään Microsoft on julkaissut melkein 40 korjausta, omat korjauksensa ovat julkaisseet myös esimerkiksi SAP, Adobe ja Siemens. Suosittelemme tutustumaan julkaistuihin korjauspäivityksiin ja asentamaan päivitykset.
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 5.5.-11.5.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.