Förstasidan: Cybersäkerhetscentret
Förstasidan: Cybersäkerhetscentret
Meny

Cybersäkerhetscentrets veckoöversikt – 48/2022

Informationssäkerhet Nu!

Det här är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 25.11–1.12.2022). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.

TLP:CLEAR

I denna veckas översikt behandlas följande

  • Man talar om de sociala medietjänsternas dataläckage
  • Samkommunen för utbildning Keuda drabbades av ett cyberangrepp
  • Överbelastningsangrepp rapporteras fortfarande flitigt
  • Se upp för nätfiskemeddelanden och hackning av e-postkonton
  • Ansökan om informationssäkerhetssedeln har börjat
  • Sårbarheter

Man talar om de sociala medietjänsternas dataläckage

Under veckan förmedlades nyheter om ett eventuellt WhatsApp-dataläckage, som skulle leda till att telefonnumren till fler än en miljon finländare skulle finnas till salu på webben. Enligt Cybernews nyhet (Extern länk) skulle telefonnummer till cirka 500 miljoner WhatsApp-användare ha läckt ut på webben för att säljas. Man vet dock inte hur aktuell den här informationen är. Meta, som äger WhatsApp, har inte kommenterat fallet. Uppgifter som finns hos de sociala mediejättarna har läckt ut och spridits på webben tidigare. I fjol berättade vi hur 1,2 miljoner finländares uppgifter på Facebook läckte ut. Om du misstänker att dina uppgifter är bland dem som läckt ut, kan du kontrollera saken med ditt telefonnummer i tjänsten Have I Been Pwned (Extern länk). Du kan också ställa in en varning åt dig själv i tjänsten ifall dina uppgifter skulle hittas i något färskt dataläckage. Juha Tretjakov, specialsakkunnig vid Cybersäkerhetscentret, kommenterade ett motsvarande dataläckage i Iltasanomat (Extern länk) i fjol.

Tidigare i år förmedlades nyheter om till exempel användaruppgifter i Twitter (Extern länk) som hade samlats in genom att skrapa Twitters API-gränssnitt, det vill säga samla in uppgifter. Dessa cirka 54 miljoner användares uppgifter har sålts och till och med publicerats på webben (Extern länk). Uppgifterna har mestadels varit offentliga, men bland dem har det även funnits telefonnummer och e-postadresser.

Samkommunen för utbildning Keuda drabbades av ett cyberangrepp

Keuda meddelade måndagen den 28 november på sin webbplats att de hade blivit utsatta för ett cyberangrepp. (Extern länk) De berättade att de som begränsande åtgärder stängt nätverks- och serveranslutningarna. På måndagen berättade Keuda att de omorganiserar undervisning som är beroende av datorer och internet. Ett informationssäkerhetsbolag hjälper till med utredningen av incidenten och anmälningar har gjorts till polisen, dataombudsmannen och Cybersäkerhetscentret. Anmälningar till Cybersäkerhetscentret är konfidentiella och i sådana här fall hjälper vi organisationer efter behov och kostnadsfritt.

Keuda berättar att situationen kommer att fortsätta under en ospecificerad tid och att man har kunnat inleda återhämtningsåtgärderna.  Trots angreppet mot Keuda avviker situationen inom utbildningssektorn för tillfället inte från den normala.

Organisationer, oavsett bransch, stöter på olika typer av cyberangrepp. Ibland kan angreppen vara riktade, men ofta är det dock inte så. Olika aktörer kartlägger till exempel tjänster som finns på webben, skickar skadliga bilagor, bedriver nätfiske per e-post eller riktar sig till organisationer med överbelastningsangrepp. Angriparna försöker hos organisationerna hitta svagheter som skulle göra att de lyckas med sina mål.

Även andra aktörer kan dra lärdom av cyberincidenter som blivit offentliga. Keuda publicerade på sin webbplats ett meddelande som informerar om utvecklingen av situationen på dagsnivå. När en avvikelse inträffar är sådan information viktig för personalens, kundernas och externa parters skull. Genom att själv ge information om frågan kan man berätta fakta, och det finns ingen anledning till att spekulera eller undra varför tjänsterna inte fungerar.

Cybersäkerhetscentret belönade STT med priset Vägvisare för informationssäkerheten vid seminariet Informationssäkerhet 2022. STT fick erkännande för öppen kommunikation i en cyberangreppssituation.

Cybersäkerhetscentret rekommenderar organisationer att kontinuerligt utveckla sin informationssäkerhet och även att beakta kommunikationsperspektivet. Olika cyberincidenter som man kan informera om är till exempel

  • ett cyberangrepp som tillfälligt förlamar organisationens verksamhet
  • ett överbelastningsangrepp mot webbplatsen och som påverkar tillgängligheten till tjänsten
  • nätfiskemeddelanden som skickats från organisationens kapade e-postkonto, vilket det finns skäl att varna alla mottagare av meddelandet för.
  • ett dataläckage som innehåller till exempel kunduppgifter.

Utbildning i fall av cyberavvikelser hjälper organisationer att klara situationerna ännu effektivare och gå igenom frågor som fortfarande borde utvecklas. Cybersäkerhet uppfattas ofta som en teknisk fråga, men fallen med Keuda och STT påminner oss också om vikten av kommunikation.

Organisationer kan använda de utbildningsscenarier som skapats av Cybersäkerhetscentret för att öva på olika situationer.

Överbelastningsangrepp rapporteras fortfarande flitigt

Cybersäkerhetscentret har tagit emot en ökande mängd anmälningar om överbelastningsangrepp under hösten. Vi berättade närmare om fenomenen i veckoöversikten 44/2022 .

Situationen i november är lugnare än i oktober, men kvantitetsmässigt rapporterades i november det tredje högsta antalet överbelastningsangrepp år 2022. Anmälningarna i november utgör cirka 14 procent av hela årets antal. Överbelastningsangreppen anmäldes från flera olika sektorer och en del av angreppen inverkade på tjänsterna.

De anmälda angreppen har främst varit angrepp på applikationsnivå som försöker överbelasta målets tjänster med olika förfrågningar. I allmänhet talar man om miljontals förfrågningar på några minuter. Dylika angrepp har påverkat några webbplatsers tillgänglighet tillfälligt i oktober. Man kan förbereda sig för angrepp med tekniska åtgärder, men också genom att göra en plan i förväg för till exempel filtrering av trafiken när en incident inträffar. Då kan till exempel trafik som kommer från utlandet blockeras tillfälligt för att underlätta situationen.

OP berättade på Twitter (Extern länk) fredagen den 25 november att de blivit mål för ett överbelastningsangrepp. Även om avbrottet var kort eller inte hade någon inverkan för användarna, togs det upp i medierna i och med OP:s aktiva kommunikation. När den egna organisationen utsätts för ett angrepp är det bra att genast eller i förväg fundera på hur man ska informera om frågan. Om tjänsten har ett stort antal användare och effekten snabbt märks bland användarna, finns det skäl för att informera om detta så snart som möjligt. Om det är tydligt att det gäller ett överbelastningsangrepp, kan man berätta om detta offentligt. Då är orsaken till avbrottet förståelig och kunderna förväntar sig att organisationen vidtar åtgärder för att avlägsna problemet. Överbelastningsangrepp är vanliga och de kan riktas mot vilken organisation eller sektor som helst.

Se upp för nätfiskemeddelanden och hackning av e-postkonton

Den här veckan har Cybersäkerhetscentret fått anmälningar om nätfiskemeddelanden som skickats från hackade e-postkonton. E-postmeddelandena har till exempel haft rubriker med teman rörande betalningspåminnelser, och innehållet har varit en länk till Sharepoint med en underskrift av det hackade kontots användare. Om användaren anger sina inloggningsuppgifter i länken lyckas nätfisket och användarnamnet och lösenordet är i brottslingens besittning.

Cybersäkerhetscentret kontaktar de organisationer som blivit drabbade utgående från anmälningarna och hjälper med utredningen av situationen. Det viktigaste är att omedelbart ändra lösenordet för det hackade kontot och meddela mottagarna om nätfiskemeddelandet både internt och externt för att stoppa nätfiskekampanjen. Efter att ha vidtagit de första åtgärderna kan organisationen undersöka angriparens agerande mer i detalj utifrån historikuppgifterna och ta reda på om något annat hänt än att nätfiskemeddelanden skickats.

Cybersäkerhetscentret rekommenderar varje organisation att ta i bruk flerfaktorsautentisering i e-post och olika tjänster. De flesta kontohackningarna kunde ha förhindrats med detta viktiga verktyg. Om flerfaktorsautentisering inte används kan man anta att kontohackningen har skett under samma dag.

Ansökan om informationssäkerhetssedeln har börjat

Stöd för utveckling av informationssäkerheten (s.k. informationssäkerhetssedel) kan endast beviljas till företag registrerade i Finland inom branscher som är kritiska med tanke på samhällets funktion, för verksamhet som förbättrar informationssäkerheten i Finland. Stödet kan sökas från och med den 1 december 2022. Stödet kan endast beviljas för kostnader som uppstått efter att stödansökan lämnats in och senast den 31 december 2024.

Stödet beviljas så länge som den budgeterade finansieringen för beviljandet av stödet finns tillgänglig. Den 1 december kl. 16.15 hade 60 procent av den totala finansieringen som kan beviljas redan reserverats. Det finns gott om finansiering för utbetalning av stöd på maximalt 15 000 euro som ännu inte reserverats. 128 procent av finansieringen som beviljats ​​för utbetalning av stöd på upp till 100 000 euro hade redan reserverats, vilket i praktiken innebär att det ansökta eurobeloppet redan har överskridit finansieringen som kan beviljas. Man kan fortfarande ansöka om stödet om man vill, men finansieringen för att bevilja stödet räcker nödvändigtvis inte.

Sårbarheter

CVE:CVE-2022-4135
CVSS: 9.6
Vad: Sårbarhet i webbläsaren Chrome
Produkt: Webbläsaren Google Chrome
Korrigering: Uppdatera Chrome snabbt, utnyttjandet av sårbarheten har redan upptäckts i världen
CVE:CVE-2021-35587
CVSS: 9.8

Vad: Utnyttjande av Oracles gamla sårbarhet
Produkt: Oracle Fusion Middleware
Korrigering: Uppdatera produkten – utnyttjande av den ett år gamla sårbarheten har upptäckts enligt CISA.

Prenumerera på Cybersäkerhetscentrets nyhetsbrev eller RSS-flöden för att få information genast när den publiceras.