Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Tositarina taistelusta haittaohjelmaa vastaan

15. maaliskuuta 2018

Esimerkki: Haittaohjelmien havainnointi

Tietoturvatason ajantasaisuudesta huolehtiminen on tietojärjestelmiin perustuvassa tietoyhteiskunnassa merkittävässä roolissa. Tästä saimme esimerkin, kun Lahden kaupungin palveluihin iski haittaohjelma. PHHYKY:n kumppanina asiantuntijamme olivat mukana auttamassa heitä kriisinhallinnassa. Seuraavassa avaamme hieman, kuinka tapahtumat etenivät.     

 

TAUSTAA

Ymon on toiminut pitkään PHHYKY:n luotettuna kumppanina tietoturva ja ICT-arkkitehtuuri-asioissa. Lahden kaupungilla ja PHHYKY:llä on yhteisiä palveluita ja osittain myös yhteisiä palveluntarjoajia.

HAITTAOHJELMA

Keskiviikkona 8.2. havaittiin, että Lahden kaupungin palveluihin oli iskenyt haittaohjelma.

Rikolliset tunkeutuivat haittaohjelman avulla Lahden kaupungin järjestelmiin. Haittaohjelma oli WannaMine B, joka louhi tai pyrki louhimaan virtuaalirahaa ja aiheutti tietojärjestelmäkriisin.  Haittaohjelman seurauksena Lahden palveluita kaatui. Leviämisen estämiseksi PHHYKY:n kriittiseen toimintaympäristöön, yhteys Lahden ja PHHYKY:n väliltä katkaistiin, jolloin mm. terveyspalvelut eivät toimineet kaikkialta.

Luonnollisesti nämä asiat muodostuivat uhkaksi myös potilasturvallisuudelle.

TOIMENPITEET

Kun ongelmatilanne havaittiin, aloitettiin selvitystyö ja korjaavat toimenpiteet. Ymonin asiantuntijat liittyivät osaksi kriisinhallintatiimiä ja aloittivat olennaisen tiedon keräämisen tilannetiedon muodostamiseksi nykyhetkestä. Tähän tietoon kuuluivat mm. laitemäärät, patch-tilanne ja AntiVirus-signaturet. Tilannetiedoista muodostettiin riskiarvio, jossa huomioitiin kerätty tieto, sen luotettavuus ja tila. Nämä tiedot toimitettiin PHHYKY:n päättäjille, jotka tekivät päätöksen kriisitilanteen toimenpiteistä riskiarvioon ja muihin osatekijöihin perustuen. Päätöksen seurauksena yhteydet avattiin Lahden ja PHHYKY:n välille ja siten palvelut saatiin täysimääräisesti käyttöön.

Näiden toimien lisäksi Ymonin asiantuntijat alkoivat ”koventamaan” PHHYKY:n verkkotason suojausta sekä parantamaan näkyvyyttä tietoturvatapahtumiin. Parannukset toteutettiin pääosin olemassa olevilla välineillä.

YHTEENVETO JA MITÄ OPIMME TÄSTÄ?

Hyökkäysten estämiseksi haavoittuvuuksien patchaaminen on tärkeää kaikkien laitteiden ja järjestelmien osalta – välttämätöntä ja nopealla aikataululla se on tehtävä erityisesti Internetiin avoinna oleviin. Patchaamisen lisäksi haavoittuvuuksia tulee havainnoida säännöllisten skannausten avulla. Skannauksilla löydetään ne kohteet, jotka eivät ole syystä tai toisesta päivittyneet.

Aktiivinen ja avoin yhteistyö eri toimijoiden kesken Lahdessa mahdollisti ongelmien tunnistamisen, rajaamisen, korjaamisen sekä palautumisen normaaliin palvelutasoon. Avoin kommunikointi osoittautui, niin kuin monessa muussakin elämän ongelmatilanteessa, jälleen tärkeäksi tilanteen selvittämiseksi. Tapahtuneesta jaettiin ahkerasti tietoa myös organisaation ulkopuolelle, jonka ansiosta myös muut organisaatiot pystyivät hyödyntämään tietoa. 

Suomalaiseen tapaan, asiat saavat ansaitsemansa huomion yleensä vasta kun jotain on sattunut omalle kohdalle. Muistathan, ettei tietoturvan kehittämisen aina tarvitse merkitä kalliita investointeja, vaan usein hyödyntämällä paremmin olemassa olevia välineitä päästään jo pitkälle – tarvitset vain osaavan kumppanin!


Kaipaatko ketterää tietoturvakumppania? Täytä yhteydenottolomakkeemme ja kerro mikä tietoturvan osa-alue mietityttää, niin keskustelemme mielellämme aiheesta kanssasi!