Kyberturvallisuuskeskuksen viikkokatsaus - 50/2025

Huolehdi BitLockerin palautusavaimesta

BitLocker on Microsoftin tekemä koko levyaseman salausominaisuus, joka sisältyy Windows-käyttöjärjestelmän tiettyihin versioihin (kuten Pro, Enterprise ja Education). Se on suunniteltu suojaamaan tietoja luvattomalta käytöltä salaamalla kokonaisia tallennusvälineitä. BitLockeria voidaan käyttää tietokoneiden levyasemien, USB-muistitikkujen ja ulkoisten kovalevyjen salaamiseen.
BitLockerin ensisijainen käyttötarkoitus on tietoturvan parantaminen ja tietovarkauksien ehkäiseminen. [Tämä lause on ehkä tarpeeton? aihe tulee hyvin alustettua ensimmäisessä kappaleessa]

Organisaatioiden suositellaan tarkistavan BitLockerin palautusprosessinsa. Tarkastuksessa on huomioitava, voivatko organisaation käyttäjät nähdä BitLockerin palautusavaimet ja tehdä BitLocker-palautuksen itse vai tulisiko IT-tuen auttaa käyttäjää palautusprosessissa luovuttamalla käyttäjälle BitLockerin palautusavaimen.

BitLockerin palautusavaimelle tulee tarve, esimerkiksi jos 

• PIN-koodi on syötetty liian monta kertaa väärin
• On tarve tehdä muutoksia käynnistyksen hallintaan (boot manager)
• TPM-turvapiirin poistaminen käytöstä, estäminen tai tyhjentäminen

BitLockerin palautusavaimien näkyvyyden voi estää käyttäjiltä. IT-tuen henkilöille voidaan myöntää ylläpitäjän BitLocker Reader -niminen rooli,  jonka avulla vain he voivat antaa BitLockerin palautuskoodin käyttäjälle. BitLocker-palautuskoodin eston voit tehdä Microsoft Entra ID:n admin centerin tai Microsoft Graphin kautta.

Organisaation on hyvä suunnitella prosessit seuraavia tilanteita varten:

• Miten käsittelemme kadonneita tai unohtuneita salasanoja?
• Miten teemme älykortin PIN-koodin nollaukset?
• Voiko käyttäjät tallentaa tai hakea omistamiensa laitteiden palautustietoja?
• Mihin haluatte tallentaa BitLocker-palautusavaimet ja mikä on palautusavaimen käyttööonotto-ohjeistus käyttäjälle?
• Haluatteko ottaa käyttöön palautussalasanan kierron?

Organisaatiota suositellaan tarkistavan ja määrittävän käytäntöasetukset ja prosessit BitLocker-suojattujen asemien palauttamiseksi. Samalla on varmistettava, että palautustiedot tallennetaan turvallisesti ja erillään niistä laitteista, joita ne suojaavat.

Pilvipalveluiden pääkäyttäjätunnusten hallinta – parhaat käytännöt

Pilvipalveluista on tullut osa lähes jokaisen organisaation IT-infrastruktuuria. Niitä hyödynnetään kriittisissäkin organisaation toiminnoissa, joten pilvipalveluiden pääkäyttäjätunnusten turvallinen hallinta on erittäin tärkeää. Yhdenkin pääkäyttäjätunnuksen väärinkäyttö voi vaarantaa koko organisaation pilviympäristön ja pysäyttää liiketoiminnan.

KTK:n tuoreessa artikkelissa käydään läpi kolme yleisintä pilvipalvelua – Amazon Web Services (AWS), Microsoft Azure ja Google Cloud Platform (GCP). Lue lisää siitä, miten niiden pääkäyttäjätunnuksia tulisi suojata ja ylläpitää.
 

Marraskuun Kybersää on julkaistu

Marraskuun kybersäätila oli yleiskuvaltaan sateinen, mutta samalla melko rauhallinen. Kuukauden aikana havaittiin muutamia huomionarvoisia ilmiöitä Suomessa ja maailmalla. Merkittävinä uusina havaintoina näkyivät ClickFix-tekniikalla tehdyt hyökkäykset ja Shai-Hulud 2.0 haittaohjelma. 

Kyberala murroksessa -webinaarin tallenne katsottavissa

Vuoden viimeisessä Kyberala murroksessa -webinaarissa keskusteltiin sekä menneestä että tulevasta vuodesta. Millainen kulunut vuosi on ollut kyberturvallisuuden näkökulmasta? Millaisia kehityskaaria on vuonna 2026 odotettavissa ja miten voimme yhteistyöllä varautua sekä odotettuihin että odottamattomiin kyberuhkiin? 

Tallenne webinaarista löytyy niin Videosync-palvelusta, kuin ensi viikon alussa tekstitettynä Traficomin Youtube-kanavalta.

Kyberturvallisuuden EU-rahoituksen hakuinfotilaisuuden tallenne katsottavissa

Kyberturvallisuuskeskuksen kansallinen koordinointikeskus järjesti yleisen hakuinfotilaisuuden tiistaina 25.11.2025. Tilaisuudessa esiteltiin Digitaalinen Eurooppa -ohjelman CYBER-09-hakukierroksen avoimet haut ja annettiin käytännön vinkkejä hakemusten valmisteluun. Tilaisuuden tallenne on nyt katsottavissa Traficomin YouTube-kanavalta. 

Viikon haittaohjelmakatsaus: Shai-Hulud

Shai-Hulud on viime kuukausina aktivoitunut modulaarinen haittaohjelmakokonaisuus, jonka nimi viittaa Dyyni-kirjojen hiekkamatoihin ja kuvaa osuvasti haittaohjelman tapaa ”kaivaa” järjestelmäänsä syvälle ja laajentua ympäristöönsä huomaamatta.

Shai-Hulud 2.0 on NPM-ympäristössä (Node Package Manager) leviävä mato, joka on suunniteltu leviämään nopeasti itsestään ohjelmistokehittäjien kehitysympäristöjen kautta. Mato asentuu kehitysympäristöön, kun käyttäjä ottaa käyttöön saastuneen npm-paketin.

Jalansijan saatuaan mato etsii kohteesta salaisuuksia kuten API-avaimia ja tunnisteita, GitHub- ja npm-tunnuksia, pilvitunnuksia sekä ympäristömuuttujia. Löytämänsä tiedot se julkaisee julkiseen GitHub-repositorioon. Tämän jälkeen mato julkaisee uusia kopioita itsestään saataville npm-pakettikokoelmaan varastamillaan käyttäjätunnuksilla levitäkseen edelleen. Samalla se siirtää varastetut tiedot hyökkääjälle.

Tartuntojen havaitsemiseksi ja estämiseksi organisaatioiden tulisi ensin tarkistaa koko kehitysinfrastruktuurinsa epäilyttävien merkkien varalta. Erityisesti tulisi etsiä tunnettuja tartunnan saaneita paketteja. Tartunnan saaneet paketit tulisi poistaa välittömästi ja automaattiset pakettipäivitykset kytkeä tilapäisesti pois päältä. Tartuntaepäilyn sattuessa ylläpitäjien tulisi kierrättää kaikki käyttöoikeustiedot.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.