Cybersäkerhetscentrets veckoöversikt – 46/2022

I denna veckas översikt behandlas följande:

• Man kan ansöka om stöd för utveckling av informationssäkerhet från och med 1.12.
• Polisbedrägeriernas påståenden är humbug och meddelandenas bilagor är ofarliga
• Administratör - kontrollera om det grundläggande i din egen nätverksmiljö är i skick

Man kan ansöka om stöd för utveckling av informationssäkerhet från och med 1.12

Stöd för utveckling av informationssäkerheten (s.k. informationssäkerhetssedel) kan beviljas till företag inom branscher som är kritiska med tanke på samhällets funktion, så kallade försörjningsberedskapskritiska företag. Målet med stödet är att lyfta på informationssäkerhetsnivån för dessa företag och därigenom förbättra hela samhällets förmåga att skydda sig mot cybersäkerhetshot. Ett anslag på 6 miljoner euro har reserverats för informationssäkerhetssedlar.

Man kan ansöka om stödet från och med den 1 december 2022 och stödet kan endast beviljas för kostnader som uppstått efter att stödansökan lämnats in och senast den 31 december 2024.

Företaget kan använda stödet för

• upphandling av verktyg, utrustning och servicelicenser som stöder utvecklingen av informationssäkerheten
• utveckling av informationssäkerhetskompetens genom utbildning
• forsknings-, utvecklings- och/eller innovationsverksamhet som stöder utvecklingen av informationssäkerhet och/eller
• upphandling av konsulttjänster som stöder utvecklingen av informationssäkerhet.

Traficom ordnar två Teams-webbinarier för företag om stödet och om hur det söks (11.1.2023 och 13.2.2023). Närmare uppgifter om evenemangen och anvisningar om hur man kan anmäla sig publiceras i december 2022 på vår webbplats.

Polisbedrägeriernas påståenden är humbug och meddelandenas bilagor är ofarliga

Olika bedrägerier fortsätter att fabriceras i både verkliga och fiktiva polismyndigheters namn där offren pressas med hjälp av påhittade brott. Gemensamt för bedrägerierna är ett PDF-dokument som bifogas till e-posten. I dokumentet med högtidligt utseende anklagas offren för grova brott, som de dock skulle kunna klara sig ur mot pengar.

Det är möjligt att gömma skadligt innehåll i dokumentbilagor, men hittills har inga skadeprogram uppdagats i de bilagor till polisbedrägerier som vi observerat. Dokumentet är rent och skärt bedrägeri, och det är i sig självt ofarligt att öppna och läsa dokumentet. Det här betyder inte att det inte kan vara annorlunda i framtiden, så det lönar sig att fortsättningsvis vara försiktig med att öppna okända bilagor.

Den ökade mängden bedrägerimeddelanden tyder på att åtminstone en del av dem är lönsamma för bedragarna varför det varit värt att fortsätta sprida dem till finska adresser. Förhoppningsvis kan vi genom att informera aktivt och lyfta fram bedrägerierna i offentligheten förbättra finländarnas medvetenhet och hindra dem från att falla offer för bedrägerier.

Administratör - kontrollera om det grundläggande i din egen nätverksmiljö är i skick

Det är viktigt för organisationer att kunna identifiera de objekt som måste skyddas i den egna nätverksmiljön. Det är också ett av de mest effektiva sätten att göra det möjligt att skydda sig. Genom att skydda oss, avgränsa tjänsternas synlighet eller ta onödiga tjänster ur bruk minskar vi på de metoder angriparen har tillgång till för att tränga sig in i nätet. Brottslingar kartlägger ständigt och automatiserat nya angreppsvektorer, så organisationens egen förmåga att göra observationer är en viktig del av att bekämpa angrepp.

Efter att angriparen tagit sig in i det interna nätverket kan angriparen gissa lösenord och utnyttja sårbarheter som inte har lappats med uppdateringar. Inte heller distansarbetsarrangemangen skulle få äventyra en enda organisations informationssäkerhet. Undantagslösningar, om sådana används, borde hävas då man återgår till det normala. Om lösningarna inte dokumenterats är det osannolikt att man kan häva dem grundligt och omsorgsfullt. Det är särskilt viktigt att se till att oanvända fjärranslutningstjänster inte glöms kvar på det öppna internet.

Med en öppen fjärranslutningstjänst avses i det här sammanhanget att det på datorn finns aktiva egenskaper och tjänster som gör det möjligt att komma in på enheten från det övriga nätet. Sådana är till exempel RDP-protokollet (Remote Desktop Protocol) och till den hörande tjänster och SMB-protokollet (Server Message Block). Dylika tjänster och uppkopplingsmetoder är typiskt avsedda för tjänster inom ett intranät, till exempel inom ett skyddat kontorsnät. Om de är synliga för internet innebär det att enheten är sårbar för dataintrång och missbruk.

Organisationer kan ha öppnat fjärranslutningar till sina tjänster på osäkra sätt för att göra det möjligt att använda dem utanför kontorsnätet, eller startat nya tjänster som lämnats öppna. Det rekommenderas att administratörerna granskar brandväggarnas inställningar och funktion även för andra nätanslutningar än de som används i organisationens intranät. Om det är nödvändigt att skapa fjärranslutningar till en enhet, bör det göras med till exempel en VPN. Självfallet måste man också säkerställa att VPN-lösningen fungerar på önskat sätt även i lokala miljöer. Användning av VPN och konfigurering av brandväggen kan leda till att enheten felaktigt tolkas som en del av intranätet efter att VPN-anslutningen skapats, och därmed använder sig av intranätets brandväggsinställningar.

Svårigheter med att få rätt konfiguration till stånd kan också ha att göra med oklarheter i ansvarsfördelningen i fall där brandväggar, enheter och ibruktagnings- och administrationsarbetet har anskaffats från olika leverantörer. Därför är det viktigt att organisationen själv kontrollerar att saken har skötts i något skede av kedjan, och att man övervakar hur organisationens enheter utsätts för nätet. Även vid användningen av molntjänster ska organisationen sörja för en klar fördelning av säkerhetsansvar mellan tjänsternas leverantör eller leverantörer.

Kontrollerad nedkörning är en väsentlig del av hanteringen av en tjänsts livscykel. Det här gäller såväl den tekniska avstängningen, raderingen och förstörelsen av tekniska miljöer som avlägsnande av konfigurationer som hör till dem. Om nedkörningen inte genomförs konsekvent ända till slutet kan tjänster som inte används förbli aktiva i bakgrunden och orsaka allvarliga informationssäkerhetsrisker för organisationen.

Hantering av livscykeln berör inte enbart tjänster som producerats med traditionella metoder och som erbjuds i en lokal teknisk miljö, utan också molntjänster eller andra dylika utkontrakterade tjänster. Under kundförhållandet lönar det sig att redan på förhand försäkra sig om att serviceleverantören också har planerat nedkörningen rätt. Oberoende av hur tjänsten levereras (egen produktion, utkontrakterad, molntjänster) lönar det sig att skilt se till att tjänsten kan köras ned kontrollerat.

Man ska förstå och kunna skydda den egna miljön och uppgifter i den på ett ändamålsenligt vis. Förutom skyddsåtgärderna lönar det sig för nätets ägare att själv aktivt kartlägga de angreppsytor som finns från internet mot det egna nätet, och skapa planer för hur man kan klara av ett dataintrång. Cybersäkerhetscentret rekommenderar att de som ansvarar för upphandling och beslutsfattande i organisationerna samt administratörerna går igenom processen för hanteringen av tjänsternas livscykel och tillhörande förteckningar över praktiska åtgärder under olika skeden av livscykeln. Dessutom lönar det sig att regelbundet granska tjänsternas konfigurationer, till exempel vad beträffar nätet, brandväggen och domännamn, för att undvika att eventuella skuggområden uppstår.