Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietomurrot - mitä ne ovat?

Tietoturva Nyt!

Helsingin kaupunki kertoi joutuneensa tietomurron kohteeksi toukokuun alussa. Tietomurto tarkoittaa luvatonta tietojärjestelmään, palveluun tai laitteeseen tunkeutumista tai sovelluksen, kuten esimerkiksi sähköpostitilin luvatonta käyttöä haltuun saatujen tunnusten avulla. Tietomurto on rikoslaissa määritelty rangaistava teko ja myös tietomurron yritys on rangaistavaa. Tässä artikkelissa kerromme tietomurroista yleisesti.

Helsingin kaupungin kasvatuksen ja koulutuksen toimiala on kertonut joutuneensa vakavan tietomurron kohteeksi toukokuun alussa. Kaupunki on järjestänyt tapauksesta tänään 13.5.2024 tiedostustilaisuuden. Kaupunki on tehnyt tapauksesta ilmoituksen tietosuojavaltuutetulle ja Kyberturvallisuuskeskukselle sekä rikosilmoituksen poliisille. Poliisi tutkii tietomurron laajuutta ja vaikutuksia yhdessä Helsingin kaupungin kanssa. 

Helsingin kaupungin mukaan murtautuminen toimialan tietoverkkoon on tapahtunut etäyhteyspalvelimen kautta. Hyökkääjä on saanut pääsyn järjestelmään palvelimessa ollutta haavoittuvuutta hyväksikäyttämällä. Tapauksen tutkinta on kesken.

Kyberturvallisuuskeskus tukee Helsingin kaupunkia tapauksen selvittämisessä.

Mikä on tietomurto?

Tietomurto tarkoittaa luvatonta tunkeutumista:

  • tietojärjestelmään
  • palveluun
  • laitteeseen tai 
  • sovelluksen luvatonta käyttöä haltuun saatujen tunnusten avulla. 

Tietomurtoja tehdään myös tunkeutumalla eri tavoilla turvajärjestelmien ohi, esimerkiksi haavoittuvuuksia hyväksikäyttämällä. Viimeisen puolen vuoden aikana monien merkittävien laitevalmistajien verkon reunalaitteissa, kuten VPN-yhdyskäytävissä, on havaittu vakavia ja helposti hyödynnettäviä haavoittuvuuksia, joiden hyväksikäyttöä on havaittu laajasti eri kyberhyökkäyksissä. Kriittiset haavoittuvuudet tämänkaltaisissa verkon reunalaitteissa muodostavat riskin organisaatioiden kyberturvallisuudelle. Esimerkiksi turvallisiin etäyhteyksien muodostamiseen tarkoitettujen VPN-tuotteiden haavoittuvuuksia hyväksikäyttämällä myös organisaation ulkopuolisten tahojen on mahdollista saada pääsy organisaation verkkoon, etenkin jos muita hyökkäystä rajaavia toimia ei ole käytössä. Tarvittavista tietoturvapäivityksistä huolehtiminen on erittäin tärkeää. 

Tietomurroilla monenlaisia seurauksia

Tietomurrosta voi seurata organisaatiolle esimerkiksi taloudellisia vahinkoja, katkoksia toiminnassa sekä mainehaittaa. Anastettuja tietoja voidaan esimerkiksi julkaista luvattomasti tai niiden haltija voi kiristää uhria vaatimalla lunnaita.

Tietomurto voi johtaa tietovuotoon, jos murtautuja pääsee käsiksi tietojärjestelmässä olevaan arkaluonteiseen tietoon. Tietovuodossa hyökkääjä voi saada käsiinsä henkilötietoja, laskutustietoja, tilitietoja, maksukortteja, yrityssalaisuuksia, tai muuta salassapidettävää tai rahan arvoista. Tietovuodosta on syytä tehdä ilmoitus tietosuojavaltuutetun toimistolle.

Yksityiseen henkilöön kohdistuvia tietomurtoja voidaan käyttää esimerkiksi identiteettivarkauksissa, jolloin toinen henkilö pyrkii esiintymään tietomurron kohteena olleena henkilönä. Tietomurrossa voi olla kyse myös puhtaasti kiusanteosta. Yksityishenkilön joutuessa tietomurron kohteeksi voi hänelle koitua harmia toimimattomista järjestelmistä sekä vääriin käsiin päätyneistä henkilökohtaisista tiedoista.

Tekijän motiivina on voi olla esimerkiksi haitanteko, kiristäminen tai jopa valtiollisen toimijan vakoilu. Tietomurtoja tekevät rikolliset, valtiolliset toimijat tai jopa yksittäiset ihmiset.

Tietomurtojen selvittäminen

Tietomurron tekijän selvittäminen on usein haastavaa, eikä esimerkiksi suoraan IP-osoitteen sijainnin perusteella voida usein suoraan päätellä, mistä tietomurto on tehty. Tutkinta saattaa olla haastavaa ja aikaa vievää, jonka vuoksi tilanteen vakavuus tai vaikutukset tarkentuvat usein vasta tapausta tutkittaessa.

Tietomurto edellyttää tutkintaa kohdejärjestelmässä sekä usein tiivistä yhteistyötä uhriorganisaation, viranomaisten ja poikkeamasta palautumisessa auttavien tahojen välillä.

Tietomurroilta suojautuminen

Yksityisellä henkilöllä tehokkain tapa on monivaiheinen tunnistautuminen ja yleinen tietoturvatietous. Organisaatioilla on käytössään erilaisia pääsyä rajoittavia tekijöitä.

Rikolliset etsivät ahkerasti verkosta päivittämättömiä järjestelmiä kohteikseen. Rikolliset pyrkivät hyväksikäyttämään haavoittuvuuksia jo ennen kuin niitä on ehditty korjata. Haavoittuvuuden aktiivista hyväksikäyttöä aletaan yrittää viimeistään siinä vaiheessa, kun haavoittuvuudesta on tullut julkinen. Järjestelmien nopea päivittäminen onkin erityisen tärkeää ja valmius päivittämiseen pitäisi olla jatkuvasti, myös yleisinä loma-aikoina. Valitettavasti pelkkä järjestelmien päivittäminen ei usein kuitenkaan riitä niiden turvaamiseksi, vaan järjestelmissä tulisi aina tehdä tutkintaa haavoittuvuuden tultua julki. Näin voidaan varmistua, ettei haavoittuvuutta ole jo ehditty hyväksikäyttää, eikä järjestelmään ole luotu takaovia, eli piilotettuja sisäänpääsyreittejä.

"Monien merkittävien laitevalmistajien verkon reunalaitteissa, kuten VPN-yhdyskäytävissä, on havaittu vakavia ja helposti hyödynnettäviä haavoittuvuuksia viimeisen puolen vuoden aikana. Siksi on tärkeää, että resursseihin ja osaamiseen kiinnitetään erityistä huomiota organisaatioissa", muistuttaa johtaja Samuli Bergström Kyberturvallisuuskeskuksesta.

Kyberturvallisuuskeskuksen CERT-toiminnon eli tilannekeskuksen tehtävänä on selvittää tietoturvaloukkauksia ja tiedottaa tietoturva-asioista. CERT käsittelee tietoturvaloukkauksiin liittyviä ilmoituksia, ja tukee ilmoituksen tehneitä organisaatioita tietoturvaloukkauksen selvittämisessä. Kyberturvallisuuskeskus jakaa myös tietoa kansalaisille sekä antaa omalta osaltaan neuvoja, mitä yksilö voi tehdä, mikäli hänen tietonsa ovat olleet tietomurron tai -vuodon kohteena.