Kyberturvallisuuskeskuksen viikkokatsaus - 48/2022

Tällä viikolla katsauksessa käsiteltäviä asioita

• Somepalveluiden tietovuodot puhuttavat
• Koulutuskuntayhtymä Keuda joutui kyberhyökkäyksen kohteeksi
• Palvelunestohyökkäyksistä ilmoitetaan edelleen ahkerasti
• Varo kalasteluviestejä ja sähköpostitilimurtoja
• Tietoturvasetelin haku on käynnistynyt
• Haavoittuvuudet 

Somepalveluiden tietovuodot puhuttavat

Viikolla uutisoitiin mahdollisesta WhatsAppin tietovuodosta, jonka seurauksena yli miljoonan suomalaisen puhelinnumerot olisivat kaupan verkossa. Cybernewsin uutisen (Ulkoinen linkki) mukaan noin 500 miljoonan WhatsApp-käyttäjän numerot olisivat vuotaneet verkkoon myytäväksi. Tiedossa ei kuitenkaan ole, kuinka tuoreita nämä tiedot ovat. WhatsAppin omistava Meta ei ole kommentoinut tapausta. Somejättien tietoja on aiemminkin vuodettu ja levitetty verkossa. Kerroimme viime vuonna, kuinka Facebookin tietoja pääsi vuotamaan noin 1,2 miljoonan suomalaisen osalta . Mikäli epäilet tietojesi olevan vuodettujen joukossa, voit tarkastaa asian puhelinnumerollasi Have I Been Pwned -palvelusta (Ulkoinen linkki). Palveluun voi myös asettaa itselleen hälytyksen, mikäli omat tiedot löytyisivät jostain tuoreesta tietovuodosta. Kyberturvallisuuskeskuksen erityisasiantuntija Juha Tretjakov kommentoi viime vuonna vastaavaa tietovuotoa Iltasanomissa (Ulkoinen linkki). 

Aiemmin tänä vuonna on uutisoitu esimerkiksi Twitterin käyttäjätiedoista (Ulkoinen linkki), joita on kerätty Twitterin API-rajapintaa raapimalla eli tietoja keräämällä. Näitä noin 54 miljoonan käyttäjän tietoja on kaupiteltu ja jopa julkaistu verkossa (Ulkoinen linkki). Tiedot ovat olleet enimmäkseen julkisia, mutta seassa on ollut myös puhelinnumeroita ja sähköpostiosoitteita.

Koulutuskuntayhtymä Keuda joutui kyberhyökkäyksen kohteeksi

Keuda tiedotti maanantaina 28.11. verkkosivuillaan joutuneensa kyberhyökkäyksen uhriksi. (Ulkoinen linkki) Rajoittavina toimenpiteinä he kertoivat sulkeneensa verkko- ja palvelinyhteyksiä. Maanantaina Keuda kertoi organisoivansa tietokoneista ja verkoista riippuvaista opetusta uudelleen. Poikkeaman selvityksessä on apuna tietoturvayhtiö ja ilmoitukset poliisille, tietosuojavaltuutetulle ja Kyberturvallisuuskeskukselle on tehty. Ilmoitukset Kyberturvallisuuskeskukselle ovat luottamuksellisia, ja autamme tämän kaltaisissa tapauksissa organisaatioita tarpeen mukaan ja maksutta.

Keuda kertoo, että tilanne tulee jatkumaan vielä määrittelemättömän ajan ja palautustoimenpiteet on saatu käyntiin.  Tällä hetkellä koulutussektorin tilanne ei Keudaan kohdistuneesta hyökkäyksestä huolimatta ole tavallisesta poikkeava. 

Organisaatiot kohtaavat erilaisia kyberhyökkäyksiä toimialasta riippumatta. Joskus hyökkäykset voivat olla kohdennettuja, mutta usein näin ei kuitenkaan ole. Eri toimijat kartoittavat esimerkiksi verkossa olevia palveluita, lähettävät haitallisia liitetiedostoja, kalastelevat tietoja sähköpostitse tai kohdistavat organisaatioihin palvelunestohyökkäyksiä. Hyökkääjät pyrkivät löytämään organisaatioista heikkouksia, joiden avulla he onnistuisivat tavoitteissaan.

Muutkin toimijat voivat ottaa oppeja julkisuuteen nousseista kyberpoikkeamista. Keuda julkaisi verkkosivuilleen tiedotteen, jossa kerrotaan päivätasolla tilanteen kehittymisestä. Tällainen tiedottaminen on tärkeää poikkeaman tapahtuessa henkilökunnan, asiakkaiden ja ulkopuolisten tahojen vuoksi. Asiasta itse tiedottamalla saadaan kerrottua faktat eikä palveluiden toimimattomuutta tarvitse spekuloida tai ihmetellä.

Kyberturvallisuuskeskus palkitsi STT:n Tietoturvan suunnannäyttäjä -palkinnolla Tietoturva 2022 -seminaarissa. STT sai tunnustuksen avoimesta viestinnästä kyberhyökkäystilanteessa. 

Kyberturvallisuuskeskus suosittelee organisaatioita kehittämään jatkuvasti tietoturvaansa ja ottamaan huomioon myös viestinnällisen kulman. Erilaisia viestittäviä kyberpoikkeamia voivat olla esimerkiksi:

• Kyberhyökkäys, joka lamauttaa organisaation toimintaa hetkellisesti.
• Verkkosivuille tehty palvelunestohyökkäys, joka vaikuttaa palvelun saatavuuteen.
• Organisaation murretulta sähköpostitililtä lähetetyt kalasteluviestit, joista on syytä varoittaa kaikkia viestin vastaanottajia.
• Tietovuoto, joka sisältää esimerkiksi asiakastietoja.

Kyberpoikkeamien varalta tehty harjoittelu auttaa organsaatioita selviytymään tilanteista entistä tehokkaammin ja käymään lävitse asioita, joita tulisi vielä kehittää. Usein kyberturvallisuus käsitetään teknisenä asiana, mutta Keudan ja STT:n tapaukset muistuttavat myös viestinnän tärkeydestä.

Organisaatiot voivat hyödyntää Kyberturvallisuuskeskuksen tekemiä harjoitusskenaarioita eri tilanteiden harjoittelemiseksi.

Palvelunestohyökkäyksistä ilmoitetaan edelleen ahkerasti

Kyberturvallisuuskeskus on vastaanottanut syksyllä kasvavissa määrin ilmoituksia palvelunestohyökkäyksistä. Kerroimme ilmiöstä tarkemmin viikkokatsauksessa 44/2022 .

Marraskuun tilanne on rauhoittunut lokakuulta, mutta määrällisesti marraskuussa ilmoitettiin kolmanneksi eniten palvelunestohyökkäyksistä vuonna 2022. Marraskuun ilmoitukset ovat noin 14 % koko vuoden määrästä. Palvelunestohyökkäyksiä ilmoitettiin usealta eri sektorilta ja osalla hyökkäyksistä oli vaikutuksia palveluihin.

Ilmoitetut hyökkäykset ovat olleet pääasiassa sovellustason hyökkäyksiä, jotka pyrkivät erilaisin pyynnöin kuormittamaan kohteen palveluita. Yleisesti voidaan puhua miljoonista pyynnöistä muutamien minuuttien aikana. Tämän kaltaiset hyökkäykset ovat lokakuussa vaikuttaneet hetkellisesti muutamien sivustojen saatavuuteen. Hyökkäyksiin voi varautua teknisin toimenpitein, mutta myös tekemällä etukäteen suunnitelman esimerkiksi liikenteen suodattamisesta poikkeaman sattuessa. Tällöin voidaan esimerkiksi hetkellisesti estää ulkomailta tulevaa liikennettä tilanteen helpottamiseksi.

OP kertoi Twitterissä (Ulkoinen linkki) perjantaina 25.11. joutuneensa palvelunestohyökkäyksen kohteeksi. Vaikka käyttäjille katko oli lyhyt tai ei aiheuttanut vaikutuksia, nousi se OP:n aktiivisen tiedottamisen myötä mediaan. Hyökkäyksen sattuessa oman organisaation kohdalle on hyvä pohtia heti tai jo etukäteen sitä, miten aiheesta viestitään. Mikäli palvelulla on runsaasti käyttäjiä ja vaikutus havaitaan nopeasti käyttäjäkunnassa, on asiasta syytä tiedottaa mahdollisimman pian. Jos kyseessä on selvästi palvelunestohyökkäys, voi sen kertoa julkisesti. Tällöin katkoksen syy on ymmärrettävä ja asiakkaat odottavat organisaation toimia ongelman poistamiseksi. Palvelunestohyökkäykset ovat arkipäivää ja ne voivat kohdistua mihin tahansa organisaatioon tai sektoriin.

Varo kalasteluviestejä ja sähköpostitilimurtoja

Kuluvalla viikolla Kyberturvallisuuskeskus on vastaanottanut ilmoituksia kalasteluviesteistä, jotka on lähetetty murretuilta sähköpostitileiltä. Sähköpostit on otsikoitu esimerkiksi maksumuistutus-teemalla ja sisältönä on ollut linkki Sharepointiin murretun tilin käyttäjän allekirjoituksella. Mikäli käyttäjä syöttää kirjautumistietonsa linkkiin, on kalastelu onnistunut ja käyttäjätunnus salasanoineen rikollisen hallussa.

Kyberturvallisuuskeskus ottaa yhteyttä uhriorganisaatioihin ilmoitusten perusteella ja auttaa tilanteen selvittelyssä. Tärkeintä on vaihtaa heti murretun tilin salasana ja viestiä asiasta kalasteluviestin vastaanottajille, niin sisäisesti kuin ulkoisesti kalastelukampanjan pysäyttämiseksi. Ensitoimien jälkeen organisaatio voi tutkia historiatiedoista tarkemmin hyökkääjän toimia ja selvittää tapahtuiko muutakin, kuin kalasteluviestien lähetystä.

Kyberturvallisuuskeskus suosittelee jokaista organisaatiota ottamaan käyttöön monivaiheisen tunnistaumisen sähköpostissa ja eri palveluissa. Suurin osa tilimurroista olisi ollut estettävissä tämän tärkeän työkalun avulla. Mikäli monivaiheinen tunnistautuminen ei ole käytössä, voidaan tilimurron olettaa tapahtuvan saman päivän aikana.

Tietoturvasetelin haku on käynnistynyt

Tietoturvan kehittämisen tukea (nk. tietoturvaseteli) voidaan myöntää vain Suomeen rekisteröityneille yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille tietoturvaa parantaviin toimiin Suomessa. Tukea voi hakea 1.12.2022 alkaen. Tukea voidaan myöntää vain kustannuksiin, jotka ovat syntyneet tukihakemuksen jättämisen jälkeen ja viimeistään 31.12.2024.

Tukea myönnetään niin kauan kuin tuen myöntämiseksi budjetoitua rahoitusta on käytettävissä. 1.12. klo 16.15 mennessä myönnettävästä rahoituksesta kokonaisuudessaan jo 60 prosenttia oli varattu. Enintään 15 000 euron tuen maksamiseen myönnettävää rahoitusta on vielä varaamatta reilusti. Enintään 100 000 euron tuen maksamiseksi myönnettävästä rahoituksesta jo 128 prosenttia oli varattu, eli käytännössä hakemuksissa haettu euromäärä on jo ylittänyt myönnettävissä olevan rahoituksen. Tukea voi silti halutessaan edelleen hakea, mutta rahoitus tuen myöntämiseksi ei välttämättä riitä.

Haavoittuvuudet 

CVE:CVE-2022-4135
CVSS: 9.6
Mikä: Chrome-selaimen haavoittuvuus
Tuote: Google Chrome -selain
Korjaus: Päivitä Chrome pikaisesti, haavoittuvuuden hyväksikäyttöä on havaittu jo maailmalla

CVE:CVE-2021-35587
CVSS: 9.8
Mikä: Oraclen vanhan haavan hyväksikäyttö
Tuote: Oracle Fusion Middleware
Korjaus: Päivitä tuote - vuoden vanhan haavoittuvuuden hyväksikäyttöä havaittu CISA:n mukaan (Ulkoinen linkki). 

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.