Menu
Asiakasportaali 24h

Uutiset

30.10.2020

Ajankohtaisia asioita kyberrintamalta

Tällä hetkellä Kyberturvallisuuskeskuksella on voimassa varoitus Emotet-haittaohjelman levityksestä sähköpostitse suomalaisten organisaatioiden nimissä. Emotet on haittaohjelma, joka varastaa kaikkia mahdollisia koneella olevia tietoja; sähköposteja, yhteystietoja, salasanoja, jne. Lisäksi haittaohjelma voi ladata koneelle muita haittaohjelmia. Emotet-haittaohjelmaa levitetään haitallisen sähköpostin liitetiedostona, joka voi olla office- tai pdf-dokumentti. Haitallista liitettä levitetään myös salatun zip-tiedoston sisällä ja linkkinä murretulla verkkosivulla olevaan tiedostoon.


Viimeisen viikon aikana otsikoissa on ollut psykoterapiakeskus Vastaamon tietomurto, jossa on varastettu asiakastietokannassa olleita asiakkaiden tietoja. Ilmeistä on, että Vastaamon tietoturvan toteutuksissa on ollut puutteita, koska asiakastietokantaan on päästy käsiksi internetistä. Sitä ei tarina kerro miten tuohon tietokantaan/tietoihin on päästy kiinni. Onko tietokantapalvelun käyttämä verkkoportti ollut auki internetiin vai onko mahdollisessa edusta-/sovelluspalvelimessa ollut sql-injektion mentävä reikä? Olipa tuo tietomurto toteutettu miten hyvänsä, niin joka tapauksessa mm. teknisissä suojaustoimissa vaikuttaa olleen vakavia puutteita.


Voisiko vastaavia sensitiivisiä tietoja vuotaa jonkun toisen organisaation ympäristössä olevista tietojärjestelmistä? Kaikki on mahdollista, jos vain motiivia ja resursseja on riittävästi toteuttamaan tällainen operaatio. Vastaamon tietomurto voi herättää enenevissä määrin rikollisten kiinnostusta erilaisia potilastietoja kohtaan. On siis tärkeää huolehtia riittävästä ja monella tasolla toteutetusta tietoturvasta. Lisäksi tietoturvallisuuden tilan jatkuvaan valvontaan pitää kiinnittää huomiota, että mahdolliset väärinkäyttöyritykset kyetään havaitsemaan riittävän ajoissa. Mieluummin ennen kuin sitä edes yritetään. Tekniikka ei kuitenkaan ratkaise kaikkea vaan tarvitaan myös toiminta- ja ajattelutapojen muutosta.


Tässä Vastaamon tietomurtotapauksessa yhdessä roolissa on ollut TOR-verkko (The Onion Router). Varastettuja tietoja on levitetty TOR-verkon keskustelupalstoilla ja verkkoon pystytetyltä palvelimelta. TOR-verkossa käyttäjien verkkoliikenne on anonymisoitu ja salattu siten, että käyttäjän identiteettiä on vaikea selvittää. Myös TOR-verkossa toimivat piilopalvelut voidaan rakentaa siten, että niiden sijaintia on vaikea selvittää. TOR-verkon rakenteesta ja toimintatavasta johtuen se on myös monesti hidas eikä se ole hyvä suurten tietomassojen jakamiseen. Nyt on sitten jo ehditty vaatimaan TOR-verkon käytön kieltämistä. Tuntuu hieman oudolta tuollaiset vaatimukset. Ei TOR-verkko ole ollut tietomurtoon syyllinen vaan kohdeorganisaation tietoturvallisuuden laiminlyönnit ja piittaamattomuus. Vaikka TOR-verkossa on paljon kyseenalaista ja laitonta materiaalia ja sitä käytetään laittomiin toimiin, voidaan sitä myös käyttää ja käytetään hyviin asioihin. Kolikolla on aina kaksi puolta. Toisaalta, eipä tuo käytön kieltäminen taitaisi olla edes mahdollista teknisesti, muutoin kuin mittavilla isoveli valvoo -järjestelyillä.

Ja juuri tulleen tiedon mukaan Yhdysvaltain kriittisen infrastruktuurin ja kyberturvallisuuden virasto CISA on julkaissut varoituksen AA20-302A "Ransomware Activity Targeting the Healthcare and Public Health Sector". CISA:n raportista: ”CISA, FBI,and HHS assess malicious cyberactors are targeting the HPH Sector with Trickbot malware, often leading to ransomware attacks, data theft, and the disruption of healthcare services.” ja ”These issues will be particularly challenging for organizations within the COVID-19 pandemic; therefore, administrators will need to balance this risk when determining their cybersecurity investments. (https://us-cert.cisa.gov/ncas/alerts/aa20-302a).


Ollaan hereillä siellä tiedon valtateillä surffatessa.

X