Korona on aktivoinut infraan iskeviä kyberrikollisia toimintaan
Korona-aika on saanut julkisten toimijoiden kyberturvallisuutta haastavia liikkeelle. (Kuva: Helsingin kaupunki/Ari Leppä)
Kyberturva unohtuu helposti, kun koronahuolet painavat. Siitä on kuitenkin koko ajan muistutettava kuntien organisaatioissa, sillä muun muassa vesi- ja sähkölaitokset ovat hyökkäyskohteita samalla tavalla kuin yrityksetkin.
Kyberturvatilanteen jatkuvasta muutoksesta kertoo muun muassa se, että kevään koronatilanne on aktivoinut kyberrikollisia hyödyntämään sitä. Tietoturvan tutkimuskeskus Check Point Researchin haittaohjelmakatsauksen mukaan maailman yleisimpien haittaohjelmien kolmannelle sijalle noussut Agent Tesla -etäkäyttötroijalainen esiintyi huhtikuussa kolmessa prosentissa maailman yritysverkoista.
Virusta on levitetty useissa koronavirusaiheisissa roskapostikampanjoissa, jonka lähettäjäksi on väärennetty maailman terveysjärjestö WHO ja aiheeksi on väärennetty uusi koronavirusrokote.
– Kyberturvatilanteen kiihtyvä muutostahti ja tietoturvahavaintojen kasvava määrä on iso haaste, joka työllistää meitä koko ajan enemmän, Helsingin Seudun Ympäristöpalveluiden (HSY) tietohallinto- ja tietoturvapäällikkö Sirpa Joukainen kertoo.
Kun maailma muuttuu, kiihtyvässä vauhdissa pitää pysyä mukana.
– Olemme kehittäneet tietoturvaprosessejamme, nostaneet havainnointi- ja reagointikykyä sekä lisänneet henkilöstömme tietoisuutta. Olemme lisänneet sekä omia resurssejamme että yhteistyötä muiden organisaatioiden kanssa. Olemme mukana muun muassa VESI-ISAC-tiedonvaihtoryhmässä ja teemme tiiviisti yhteistyötä Kyberturvallisuuskeskuksen kanssa.
Kun kyberuhkat kasvavat, se tuntuu myös HSY:n porteilla.
– Koputtelu on lisääntynyt, mutta en nyt sano absoluuttisia määriä. Riskitaso ei ole noussut, mutta yrittäjiä riittää, Joukainen sanoo.
Ymmärrys ensin
Kyberturva ei ole enää pitkään aikaan ollut pelkkää virustorjuntaa ja palomuureja. Yhä kehittyneemmät hyökkäysmuodot kuten kohdennetut kiristyshaitta ovat kyberrikollisten arkista arsenaalia.
Enää ei riitä se, että uhkia pyritään torjumaan, vaan jokaisen organisaation on luotava toimintamallit sille, miten toimitaan, kun suojaus pettää. Siksi kyberturvan kehittämisessä korostuu kolme asiaa: havaitse hyökkäys, reagoi siihen ja palaudu hyökkäyksestä mahdollisimman nopeasti ja vähin vaurioin.
Aloitamme siis havainnoinnista.
– Kyberturvan tilanneymmärrys perustuu sekä kyberturvallisuuskeskuksen tuottamaan tekniseenkin tilannekuvaan, joka muodostuu havainnoimalla tietoverkkojen liikennettä, että yhteistyöverkostoista kerättyyn tietoon, Teknologiateollisuuden valmiuspäällikkö ja Huoltovarmuusorganisaation digipoolin poolisihteeri Antti Nyqvist kertoo.
– Tämän lisäksi teemme säännöllisesti eri toimialoja kattavia selvityksiä täydentämään ymmärrystä siitä, missä kyberturvallisuuden aiheissa mennään yrityksissä.
Digipooli on tehnyt 12 toimialaa kattavan syvähaastatteluihin perustuvan kyberturvallisuusselvityksen, jonka tiedot kerättiin 2019-2020 vuodenvaihteessa. Tiedot analysoitiin alkuvuodesta 2020 ja tulokset valmistuivat toukokuussa. Selvitykseen osallistui yli sata yritystä, joista vesilaitoksia oli 10 ja sähkölaitoksia 12.
Selvityksen kysymykset, jotka selvittivät organisaatioiden kyberturvan kypsyysastetta perustuvat Kyberturvallisuuskeskuksen laatimaan kansalliseen kyberturvan arviointimalliin eli Kybermittariin, joka julkistetaan vuoden 2020 lopulla.
– Selvitimme 40 Kybermittarin kysymyksellä yritysten ja julkisten laitosten kyberturvan kypsyyttä. Tuloksia peilattiin kyseisen toimialan liiketoiminnan riskeihin. Kukin selvitykseen osallistunut yritys sai rakenteellista informaatiota siitä, mihin aiheeseen tulee panostaa eli miten sen tulisi kehittää kyberturvaansa vähentääkseen liiketoimintariskejä, Nyqvist sanoo.
Kehitettävää piisaa
Vesihuoltolaitosten kyberturva pärjää toimialavertailussa kohtuullisesti. Ne sijoittuvat kahdentoista toimialan vertailussa sijalle yhdeksän.
– Vesihuolto on kriittinen ala, jolla on paljon riippuvuuksia eri suuntiin. Selvityksemme mukaan näihin suhteisin liittyviä sopimuksiin kannattaa kiinnittää huomiota kyberturvan osalta. Parannettavaa on muun muassa identiteetin hallinnassa suhteessa henkilöstönhallintaan. Tunnusten luonti ja poisto eivät vaikuta kaikin puolin olevan varmalla pohjalla.
– Hyvällä tasolla olevia asioita selvityksen mukaan ovat muun muassa kriittisten palveluiden suojaaminen sekä suojattavien kohteiden sekä niihin liittyvien muutosten ja konfiguraatioiden hallinta, Nyqvist sanoo.
Teknisistä asioista vesilaitosten pitäisi selvityksen mukaan kehittää kyberturvallisuusriskien seurantaa ja hallintaa sekä tietoliikenteen teknistä lokitusta.
Osaaminen ylös
Tietoturvan parantaminen on tekniikan lisäksi toimintatapojen ja henkilöstön osaamisen jatkuvaa kehittämistä.
Niinä yhdeksänä vuotena, kun Joukainen on HSY:ssä työskennellyt, HSY on onnistunut kyberturvan kehittämisessä parhaiten käyttäjien tietoisuuden parantamisessa.
– Olemme kannustaneet työntekijöitä tietoturvahavaintojen tekemiseen ja niistä ilmoittamiseen. Jokaisella työntekijällä on helppokäyttöiset työkalut, joilla havainnoista voi ilmoittaa.
HSY perusti vuoden 2018 sisäisen tietoturvaryhmän, joka vastaa käyttäjien tietoturvaa koskeviin kysymyksiin, ottaa vastaan tietoturvahälytykset ja kouluttaa henkilökuntaa ajankohtaisiin kyberturvaa koskeviin suojautumiskeinoihin.
Varaudu ja harjoittele
Kun kyberturva kuitenkin joskus pettää ja se havaitaan, pitää jokaisella organisaatiolla olla suunnitelma, miten tilanteeseen reagoidaan ja lopulta palataan normaalitilanteeseen. Niin myös HSY:ssä
– Olemme varautuneet näihin tilanteisiin ja harjoitelleet palautumista. Tähän liittyy se, että automaatiojärjestelmämme on eristetty toimistoympäristöstä ja internetistä.
HSY:n automaatioympäristöön kuuluu muun muassa valvomotyökalut, kiinteistöhallinta ja laitoksen kriittiset automaatiojärjestelmät. Niihin ei ole mitään pääsyä esimerkiksi toimistosovelluksista, toimistotyöntekijöiden työasemilta tai internetin kautta.
Kriittisen automaatioympäristön turvaavat eristyksen lisäksi automaatioympäristön toimittajalle asetetut vaatimukset, omaisuudenhallintajärjestelmä, tarkoin määritellyt toimintatavat, niitä tukevat teknologiat sekä käyttäjäkoulutus.
Kyberturva kuin koronasuoja
Kyberturva on Vesilaitosyhdistyksen Riina Liikasen mukaan samanlaista kuin korona-ajan suositukset eli asiasta ja sen tärkeydestä pitää muistuttaa säännöllisesti. Turvallisuus tuo usein hieman lisää vaivaa elämään, esimerkiksi vaikeiden salasanojen muodossa, joten motivaation turvallisuuden ylläpitämiseen pitää olla korkea.
– Kyberturvallisuuteen liittyvät vaarat on vesihuoltolaitoksissa tunnistettu ja asia otetaan toiminnassa monella tavalla huomioon. Monet kyberturvallisuutta varmistavat toimenpiteet ovat jo vakiintuneita, mutta toki perusasioiden ylläpitämiseksi tarvitaan jatkuvaa työtä, Huoltovarmuuskeskuksen vesihuoltopoolin valmiuspäällikkö Riina Liikanen Vesilaitosyhdistyksestä sanoo.
Osana Huoltovarmuuskeskuksen KYBER2020-ohjelmaa toteutetussa Kyber-Vesi -hankkeessa kartoitettiin vuosina 2016-2018 vesihuoltolaitosten kyberturvallisuutta ja laadittiin vesihuoltoalalle räätälöityjä ohjeita ja työkaluja kyberturvallisuuden kehittämiseen.
Kyberturva rakennetaan Liikasen mukaan vesihuollon tieto- ja automaatiojärjestelmiin lähtökohtaisesti niin, että otetaan huomioon vesihuollon merkitys yhteiskunnan kriittisenä palveluna. On tärkeää, että turvallisuustaso säilytetään myös järjestelmien muutos- ja ylläpitotoimenpiteissä.
– Digitalisaation myötä vesihuollon prosesseista ja järjestelmiä mitataan ja kerätään koko ajan enemmän tietoa ja tätä tietoa siirretään hyödynnettäväksi ja jalostettavaksi eri tietojärjestelmien välillä.
– Tässä sinänsä positiivisessa kehityksessä pitää ottaa huomioon kyberturvallisuus. Tämä tarkoittaa esimerkiksi huolellista pohdintaa sen suhteen, sallitaanko ylipäänsä yhteyksiä internetiin ja mistä sallitaan, Liikanen sanoo.
Energia-ala pärjää hyvin
Energia-ala pärjäsi selvityksessä vesilaitoksia paremmin ja sijoittui toimialavertailussa neljännelle sijalle finanssialan, teleliikenteen ja ict-ohjelmistoalan jälkeen.
– Energia-alan sopimuksissa tulisi kiinnittää nykyistä enemmän huomiota kyberturvallisuuteen, koska kyseessä on kaikille toimialoille kriittinen palveluntarjoaja. Kyberturvan hallintajärjestelmissä tilannekuvan muodostaminen nousevat selvityksessä kehityskohteiksi, Nyqvist sanoo.
Monissa energia-alan yrityksissä on mietityt mallit, mutta niitä ei ehkä ole dokumentoitu täysin. Teknisistä asioista ongelmana on muun muassa se, ettei eri ikäisten järjestelmien vaikutusta toisiinsa ole mietitty kyberturvan näkökulmasta. Yksi huolen aihe on energia-alan turvallinen ohjelmistokehitys, jota ei aina yrityksissä edes tiedosteta tehdyksi.
– Kun automaatiota lisätään tai tehdään skripti jonkun toiminnon tekemiseksi, siinä ei aina muisteta huomioida tietoturvan tarpeita, Nyqvist sanoo.
Selvityksen mukaan tapahtumien ja poikkeamien hallinnassa energia-ala on vesihuollon tavoin hoitanut asiansa suhteellisen hyvin. Myös kyberturvallisuustapahtumien havainnointi, tiedonjako ja viestintä vaikuttavat olevan hyvällä mallilla.
Etsi sopiva kumppani
Paikalliset vesihuoltolaitokset ovat usein hyvin pieniä ja niin myös niiden tietotekniikkakumppanit. Näiden laitosten on syytä haastaa kumppaninsa, vaatia osaamista ja mietittävä yhdessä, kuinka asia ratkaistaan sekä tarvittaessa haettava lisää tukea.
– Ala voisi hyötyä siitä, että olisi olemassa sopivan kokoinen ja vesihuollon erityistarpeisiin erikoistunut taho, joka tarjoaisi palveluita henkilöstön kehittämisestä teknisiin ratkaisuihin. Viranomaisilta kuten Kyberturvallisuuskeskukselta saa kuitenkin hyvää tukea nykyisten palvelusuhteiden kehittämiseen, Nyqvist sanoo.
Riskienhallintaa on syytä parantaa niin, että siinä huomioidaan entistä paremmin kyberturvallisuusriskit.
– Yksin ei tarvitse lähteä kehittämään, vaan viranomaisten, kumppaneiden ja alan konsulttien kanssa. Jos paikalliset kumppanit ovat pieniä, kannattaa tukea hakea esimerkiksi digipoolista ja Kyberturvallisuuskeskuksesta, Nyqvist sanoo.
Mikä neuvoksi niille vesilaitoksille, jotka vielä miettivät kyberturvansa kehittämistä?
– Yhteistyö muiden laitosten ja Kyberturvallisuuskeskuksen VESI-ISACin kanssa on hyvä lähtökohta. Toinen tärkeä asia on käyttäjien koulutus niin, että he ymmärtävät, miten he voivat omalla toiminnallaan vaikuttaa kyberturvallisuuden parantamiseen, Joukainen sanoo.
Teksti: Jukka Nortio
Artikkeli on julkaistu kokonaisuudessaan Kuntatekniikan numerossa 3/2020.