Kyberturvallisuuskeskuksen viikkokatsaus - 50/2022
Tietoturva Nyt!
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 9.12. - 15.12.2022). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Suomeen poikkeuksellinen määrä lunta – ja palvelunestohyökkäyksiä
- Sosiaali- ja terveydenhuollon alalla aktiivista tietojen kalastelua
- Suomalaisten mieltämät vastuut ja luottamus digitaalisessa ympäristössä
- Loppusyksyiset tuulet pitivät marraskuun kybersään koleana
- Paljon korjattuja haavoittuvuuksia mm. etätyöpöytä- ja virtuaalikonetoteutuksissa
Suomeen poikkeuksellinen määrä lunta – ja palvelunestohyökkäyksiä
Yltyneen lumitilanteen lisäksi Kyberturvallisuuskeskukselle on ilmoitettu tällä viikolla poikkeuksellisen runsaasti palvelunestohyökkäyksiä. Palvelunestohyökkäyksissä verkkosivuille tai -palveluihin ohjataan suuria määriä liikennettä. Tämä näkyy käyttäjälle siten, että verkkosivuille ei pääse tai niiden käyttäminen on erittäin hidasta. Hyökkäysten kohteena ovat viime aikoina olleet erityisesti valtionhallinnon sekä finanssi- ja sotesektorin toimijat.
Suurin osa hyökkäyksistä ei ole aiheuttanut näkyvää haittaa. Niissäkin tapauksissa, joissa palveluiden väliaikaisia käyttökatkoksia on sattunut, organisaatiot ovat pystyneet ottamaan käyttöön suojaustoimenpiteitä ja palauttamaan palvelut asiakkaittensa saataville. Kohteina olleet organisaatiot ovat toteuttaneet aktiivisia suojaustoimia ja viestineet häiriötilanteista asiakkailleen.
Hyvin vähäiset vaikutukset hyökkäysten runsaasta määrästä huolimatta osoittavat, että hyökkäyksiin on osattu varautua oikeanlaisilla suojauksilla. Viimeistään nyt jokaisen organisaation tulisi tarkistaa varautumisensa ajantasaisuus. Palvelunestohyökkäykset ovat osa nykyaikaisen internetin arkipäivää ja kuuluvat siten myös osaksi jokaisen organisaation riskienhallintaa.
Palvelunestohyökkäysten määrä on ollut selvässä nousussa jo pidemmän aikaa, eikä muutosta tälle trendille ole näkyvissä. Organisaatioiden tulisi tarkastaa suojaustensa tilanne ja oikeat asetukset, sillä on hyvin todennäköistä, että palvelunestohyökkäykset koskevat yhä useampia organisaatioita tulevaisuudessa.
Julkaisimme tällä viikolla aihetta käsittelevän Tietoturva Nyt! -artikkelin . Lisäksi olemme laatineet toimintaohjeen palvelunestohyökkäyksiin varautumisesta ja niiden kohteeksi joutuneille:
Kyberturvallisuuskeskus on viikon aikana tukenut organisaatioita palvelunestohyökkäysten selvittämisessä, koordinoinut tiedonjakoa tapauksista ja toteuttanut teknistä analyysia hyökkäyksestä saadun datan avulla. Kiitämme kaikkia tapauksista meille ilmoittaneita. Kansallinen kyberturvallisuus luodaan yhdessä.
Sosiaali- ja terveydenhuollon alalla aktiivista tietojenkalastelua
Viime viikkoina sote-alan organisaatioihin kohdistuva tietojenkalastelu on ollut tavanomaista aktiivisempaa. Kyberrikolliset kalastelevat käyttäjätunnuksia ja salasanoja tyypillisesti massoittain sähköpostiviesteillä. Kalasteluviestien teemana on usein jokin ihmisiä yleisesti kiinnostava tai pelottava tapahtuma tai ilmiö kuten verotus tai ICT-palveluiden saatavuus. Rikollisten tavoitteena on manipuloida viestin vastaanottaja syöttämään käyttäjätunnuksensa rikollisten hallitsemalle verkkosivulle. Yleinen rikollisten käyttämä taktiikka on luoda vaikutelma kiireestä ja siitä, että viestin vastaanottaja menettää jotakin arvokasta, jos ei reagoi heti.
Viime aikoina meille ilmoitettujen kalasteluviestien kieli on ollut hyvää suomea. Tässä eräs esimerkki:
Esimerkki kalasteluviestistä
Suljemme kaikki vanhat postilaatikkomme versiot 6.12.2022 alkaen.
Päivitä tilisi seuraamalla alla olevaa sivua:
Uusi versio [linkki rikollisten hallitsemalle verkkosivulle, joka on HTML-muotoisessa sähköpostiviestissä naamioitu näyttämään tutulta sivustolta]
Kiitos,
[palvelua tarjoava organisaatio]
Viestit voivat tulla aitojen ihmisten aidoilta sähköpostitileiltä, sillä rikolliset murtautuvat kalastelemillaan tunnuksilla organisaatioiden webbisähköpostipalveluihin ja lähettävät lisää kalasteluviestejä. Vastaanottajalle näkyvä lähettäjän nimi ja sähköpostiosoite on myös helppo väärentää. Viestejä myös kohdennetaan toimialakohtaisesti, esimerkiksi sote-teemaisia kalasteluviestejä lähetetään sote-organisaatioille kuuluviin sähköpostiosoitteisiin.
Rikolliset käyttävät tietojenkalastelulla saamiaan käyttäjätunnuksia myös vakavampien tietoturvaloukkausten tekemiseen, kuten tietojen varastamiseen sähköpostitileiltä ja kohdeorganisaation muihin tietojärjestelmiin murtautumiseen. Vakavimmillaan onnistunut tietojenkalastelu voi johtaa siihen, että rikolliset kaappaavat hallintaansa merkittävän osan organisaation tietojärjestelmiä ja alkavat kiristää organisaatiota tietovuodolla ja tietojen salaamisella. Tällainen vakava kyberrikollisuus on yleistynyt myös Suomessa.
Tietojenkalastelulta ja kalastelluilla tunnuksilla tehtäviltä tietomurroilta suojautuminen edellyttää jatkuvaa henkilöstön kouluttamista ja teknisiä suojaustoimenpiteitä.
Opasta työpaikkasi henkilöstöä jatkuvasti kalasteluviesteistä, niiden käsittelystä sekä siitä miten toimia, jos epäilee tunnuksensa joutuneen rikollisten käsiin. Kaikista teknisistä suojauskeinoista huolimatta kalasteluviestejä pääsee ajoittain käyttäjien sähköpostilaatikoihin asti. Kerää henkilöstöltä ilmoituksia kalasteluviesteistä ja käytä niitä esimerkkeinä koulutuksessa. Ilmoita kalasteluista myös meille , varsinkin, jos arvioit tietomurron tapahtuneen tai sen tapahtumisen riskin merkittäväksi.
- Käyttäkää monivaiheista tunnistamista kaikissa internetiin näkyvissä palveluissa, joissa se on mahdollista. Kiinnitä erityistä huomiota käyttäjien opastamiseen ja käyttäjätilien valvontaan niissä tilanteissa, joissa monivaiheista tunnistamista ei pystytä käyttämään.
Lue lisää monivaiheisesta tunnistamisesta Käytä muitakin saatavilla olevia teknisiä tietoturvakontrolleita. Ne ovat usein erilaisia omissa palvelimissa toimivissa ohjelmistoissa ja pilvipalveluna tuotetuissa ohjelmistoissa. Tunne ylläpitämäsi tietojärjestelmät.
Valvo turvallisuuspoikkeamia ja reagoi niihin.
Lisätietoja
Suomalaisten mieltämät vastuut ja luottamus digitaalisessa ympäristössä
Suomalaisten luotto viranomaisiin digimaailmassa on säilynyt korkeana, kertoo Tietoevryn jo kolmannen kerran teettämä kysely. Kansalaisista jopa 87 % pitää viranomaisia erittäin tai melko luotettavana henkilötietojen käsittelijänä ja viidennes erittäin luotettavana. Vuoden 2020 kyselyyn verrattuna on luottamus kokonaisuudessaan säilynyt samana. Pohjoismaissa vallitsee kauttaaltaan korkea luottamus viranomaisiin henkilötietojen käsittelijöinä. Vastaava prosentti on Ruotsissa 78 % ja Norjassa 69 %.
Yrityksiin kohdistuva luottamus on myös pysynyt ennallaan, mutta verrattaen alhaisena. Suomalaisista 50% pitää yrityksiä erittäin tai melko luotettavina henkilötietojen käsittelijöinä, mutta 57 % pelkää tietojensa vuotavan verkko-ostamisen yhteydessä. Vain 3% suomalaisista vastaajista pitää yrityksiä erittäin luotettavina henkilötietojen käsittelijöinä.
Suomalaisten suhtautuminen viranomaisten toteuttamaan datan keräämiseen on entistä suopeampaa. Tietoevryn barometrin mukaan vuonna 2018 63 % suhtautui kielteisesti datan keräämiseen ja tämän vuoden kyselyssä tämä osuus oli 34 %. Datan keräämiseen myönteisesti suhtautuvien määrä on tippunut tänä vuonna 20 %:iin vuoden 2018 30 %:sta, lasku on kuitenkin loiva.
Kyberturvallisuuden vastuut näyttäytyvät epäselvinä suomalaisille. Tietoevryn selvityksessä 68 % mielestä digipalvelujen turvallisuudesta vastaa “joku muu” ja vain 23 % kokee olevansa itse vastuussa. Vastaajista 32 % pitää verkkopalveluja tarjoavia yrityksiä ja organisaatioita pidetään suurimpana vastuunkantajana.
Salasanojen hallinnalla ja sovellusten päivittämisellä kansalaiset voivat antaa oman panoksensa tietoturvan ylläpitämiseen. Vallitsevassa maailmantilanteessa digiluottamus ja -turvallisuus ovat yhteispeliä ja kaikilla on oma vastuunsa turvallisen digitaalisen ympäristön varmistamisessa. Viranomaiset työskentelevät kaikkien yhteisen turvallisuuden eteen, ja on hienoa, että heihin luotetaan.
Loppusyksyiset tuulet pitivät marraskuun kybersään koleana
Marraskuun tuomat kyberilmiöt pitivät loppusyksyn kybersään koleana. Kiristyshaittaohjelmien määrän on havaittu lisääntyneen syksyllä niin Suomessa kuin maailmalla. Kiristyshuijauksissa puolestaan on näkynyt uudenlaisia teemoja. Auringonpilkahduksena Euroopan neuvosto hyväksyi uuden NIS2-direktiivin, joka tulee parantamaan EU:n kyberturvallisuutta tulevina vuosina.
Haavoittuvuudet
CVE: CVE-2022-23468, CVE-2022-23477, CVE-2022-23478, CVE-2022-23479, CVE-2022-23480, CVE-2022-23481, CVE-2022-23483, CVE-2022-23482, CVE-2022-23484, CVE-2022-23493
CVSS: -
Mikä: Useita kriittisiä haavoittuvuuksia etätyöpöytäprotokollan toteutuksessa
Tuote: Neutrinolabs xrdp versiot 0.9.20 ja aiemmat
Korjaus: Korjaava päivitys 0.9.21
CVE: CVE-2022-0730, CVE-2022-46169
CVSS: -
Mikä: Mielivaltaisen koodin suorittamisen mahdollistavia haavoittuvuuksia Cacti ohjelmistossa
Tuote: Linux Debian Cacti web-rajapinnan palvelu
Korjaus: Päivittämällä Cacti paketit versioihin 1.2.x ja 1.3.x
CVE: CVE-2022-42475
CVSS: 9.3
Mikä: Mielivaltaisen koodin suorittamisen mahdollistava haavoittuvuus
Tuote: Fortinetin FortiOS-ohjelmisto
Korjaus: Korjaavat päivitykset
CVE: CVE-2022-27518
CVSS: 9.8
Mikä: Mielivaltaisen koodin suorittamisen mahdollistavia haavoittuvuuksia
Tuote: Citrix Gateway ja Citrix ADC -ohjelmistot
Korjaus: Korjaavat päivitykset
CVE: CVE-2022-31702, CVE-2022-31703, CVE-2022-31705.
CVSS: 9.8
Mikä: Useita kriittisiä haavoittuvuuksia VMwaren virtualisointiohjelmistoissa
Tuote: VMware vRealize Network Insight (vRNI), ESXi, Workstation Pro / Player (Workstation), Fusion Pro / Fusion (Fusion) ja Cloud Foundation
Korjaus: Korjaavat päivitykset
CVE: -
CVSS: -
Mikä: Useita haavoittuvuuksia korjaavia päivityksiä Applen tuotteisiin
Tuote: Safari-selain ja iOS, iPadOS, macOS sekä tvOS-käyttöjärjestelmät
Korjaus: Päivitä tuotteet
Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.