Visman Joakim Tauren: hakkerien varkausyritys pakotti laittamaan tietoturvan kuntoon

Tietoturva Nyt!

Suomessakin toimiva norjalainen ohjelmistoyritys Visma joutui viime syksynä vakavan tietovarkauden uhriksi. Tietoturva 2019 -seminaarissa yhtiön sovellusturvallisuusarkkitehti Joakim Tauren kertoi, miten kaikki tapahtui ja mitä tapahtumista opittiin.

""
Visman sovellusturvallisuusarkkitehti Joakim Taurenin seminaariesityksessään.

Tauren vertasi esityksessään hyökkääjän ja Visman kanssakäymistä Imperiumin ja kapinaliiton taisteluun - Star Wars -elokuvien hengessä. Hyökkääjät käyttivät todennäköisesti kerättyjen käyttäjätunnusten ja heikon salasanan yhdistelmää päästäkseen sisään Visman järjestelmiin Citrix-etäkäyttöpalvelun kautta.

"Emme tiedä asiaa varmasti, mutta hyvin mahdollisesti murretun käyttäjätunnuksen salasana oli "September18!" eli kuluva kuukausi, vuosi ja pakollinen erikoismerkki. Salasana oli täysin salasanapolitiikkamme mukainen", Tauren paljasti. Tapaus osoittaa, ettei salasanojen tiuha vaihtamisvaatimus välttämättä edistä tietoturvaa.

Liikapainoa palvelimissa

Murron kohteeksi joutumiseen Tauren nimesi useita eri syitä. "Olimme organisaationa "ylipainoinen" – raskas ja hidasliikkeinen, koska meillä on valtava määrä työntekijöitä ja aivan liikaa palvelimia. Tunkeutujilla taas oli huomattavat resurssit ja sinnikkyyttä jatkaa yrittämistä pitkän aikaa", hän kertoi. 

Lisäksi henkilökunta sivuutti toistuvat ilmoitukset mahdollisista tunkeutujista virheellisinä pitkän aikaa. Koko tapaus huomattiin vasta useiden viikkojen jälkeen, jolloin tunkeutujat olivat ehtineet päästä käsiksi Visman sisäisiin järjestelmiin, mutta eivät asiakkaiden tietoihin.

Todennäköisesti hyökkääjiä houkuttelivat juuri Visman asiakkaiden tiedot, eivät yhtiön sisäiset asiat. Murtautumista pidetään osana APT10-hakkeriryhmittymän maailmanlaajuista Cloudhopper-vakoilukampanjaa, jonka uhreiksi ovat joutuneet lukuisat yritykset ja julkisyhteisöt ympäri maailmaa. 

Kun Vismalla murto lopulta havaittiin, sen torjumista ja selvittelyä varten perustettiin oma tilannehuoneensa. Kaikki salasanat nollattiin, vanhentuneita ohjelmistoja ajavat palvelimet poistettiin verkosta ja tämän jälkeen alkoi pitkällinen todisteiden keräys. Hyökkääjät jatkoivat sisäänpääsy-yrityksiään sinnikkäästi kuukauden ajan. 

Kerro itse, hallitse tarinaa

Taurenkin korosti  Tietoturva 2019 -seminaarissa esillä olleen avoimuuden tärkeyttä. "On parasta tulla asiassa itse mahdollisimman nopeasti ja rehellisesti julkisuuteen. Salailu ei sitä paitsi edes onnistuisi: meidän kokoisessamme organisaatiossa tieto vuotaa lähes varmasti ennemmin tai myöhemmin. Jos olisimme yrittäneet peitellä asiaa, ei saamamme vastaanotto varmasti olisi ollut niin kannustava kuin nyt", Tauren summasi.

Myös tietoturvan tekninen puoli on luonnollisesti tärkeä. "Kaksivaiheinen tunnistus, joka meillä on nyt käytössä, olisi todennäköisesti estänyt iskun onnistumisen. Myös salasanojen vahvuuteen on syytä aidosti kiinnittää huomiota", Tauren kertoi.

 

Teksti ja kuvat: Aleksi Vähimaa