Tietoturva tulee olla ennakoivaa, ei reagoivaa
- Teemu Ollilainen
- 4 päivää sitten
- 2 min käytetty lukemiseen
1. Hiljaiset tunkeutujat: mitä Aeroflot kertoo meille ?
Venäjän valtion lentoyhtiö Aeroflot joutui 28. heinäkuuta massiivisen kyberhyökkäyksen kohteeksi. Yli 100 lentovuoroa peruttiin, 7 000 palvelinta tuhottiin ja 12 teratavua dataa vietiin. Vielä pysäyttävämpää on hyökkääjien oma väite: he olivat olleet sisällä Aeroflotin verkossa vuoden päivät ennen kuin painoivat ”laukaise”-nappia .
Tapaus todistaa, että kun hälytyskellot viimein soivat, tunkeutuja on voinut elellä järjestelmissäsi kuukausia – tai vuosia – ja valita itselleen parhaan hetken iskeä .
Kysymys ei ole enää “joudunko hyökkäyksen kohteeksi?”, vaan “onko minua jo hakkeroitu – ja tiedänkö siitä?”
2. Sama uhka piilee kiinteistöjen automaatiossa
Rakennusten automaatiojärjestelmät (Building Management/Automation Systems, BMS/BAS) ovat nykyajan yrityksen ”digitaalinen hermosto”: niillä ohjataan lämmitystä, jäähdytystä, valoja, kulunvalvontaa ja jopa hissiliikennettä. Uusin Clarotyn maailmanlaajuinen tutkimus kertoo, että
75 % organisaatioista käyttää BMS-laitteita, joissa on jo tiedossa olevia, aktiivisesti hyödynnettyjä haavoittuvuuksia (KEV).
69 % näistä laitteista on liitetty tapauksissa, joissa ransomware on jo iskenyt muihin ympäristöihin .
Jos laitteesi ovat julkisesti Internetissä tai eristämättä yritysverkosta, hyökkääjä voi rauhassa rakentaa jalansijaa – aivan kuten Aeroflotissa. Todellisia esimerkkejä on jo nähty: Saksassa rakennuksen KNX-valaistusjärjestelmä lukittiin hyökkääjän hallintaan, kunnes laitteet oli ”tiilitetty” ja koko talo pimen
3. Ennakoiva kyberturva = jatkuva näkyvyys + valmius
Näe — inventoi varat ja polut
Kartoita ja dokumentoi mitä laitteita ja palveluita on käytössä.
Selkeä topologia: mitkä järjestelmät eivät koskaan saa näkyä Internetiin? Minkä tulee nähdä toisensa.
Pysy valppaana — 24/7-valvonta
Lokitus, IDS/IPS myös kiinteistöverkon segmenteissä.
Jos järjestelmäsi ovat kriittisiä, niin relevanttia myös Threat Hunting-säännöllisyys: etsi hiljaisia C2-yhteyksiä ja epäilyttäviä skriptejä.
Rajoita — segmentointi & least-privilege
Mikrosegmentoi BAS-verkot, käytä erillisiä palomuureja ja VLAN-alueita.
Poista oletussalasanat, ota käyttöön MFA (myös etäylläpidossa).
Päivitä ja testaa
Korjaa tiedossa olevat haavoittuvuudet ajoissa; tue elinkaaren lopussa olevien laitteiden vaihtosuunnitelmia.
Harjoittele ja mieti mitä teet, kun jotain tapahtuu - tämä tärkeää erityisesti teollisuuden ja yritysten kontekstissa.
4. WeSecuren apukeinot ihan tavallisille kiinteistöille tai teollisuuden kiinteistön järjestelmille
Dokumentointipalvelu
lue tästä lisää meidän verkkokaupasta: https://www.wesecure.fi/category/dokumentointityöt
Me dokumentoimme, sinä avaat ovet
Dokumentoinnin perusteella saat tiedon mitä laitteita ja miten ne on nyt kytketty internettiin, jos on ollenkaan
Dokumentissa on kerrottu mahdolliset riskit ja suositukset miten niihin tulisi suhtautua
Kiinteistöverkko
Lue lisää: Kiinteistöverkko
Perustyökalu mille tahansa kiinteistölle
Kaikki toimijat omissa verkoissa = segmentointi
Palomuuri estää ulkoa tulevat yhteydet
Turvallinen etäkäyttö (VPN)
5. Yhteenveto
Aeroflotin tapaus osoittaa, että ”kytkin” voi kääntyä koska tahansa, jos vihamielinen toimija on saanut rakentaa asemaansa rauhassa. Rakennusten automaatiojärjestelmissä tilanne on yhtä kriittinen – ja usein vähemmän valvottu. Proaktiivinen, jatkuva suojaus on ainoa rationaalinen strategia.
”Oletko jo hakkeroitu ja tiedät siitä, vai joudutko hakkeroiduksi ensi kuussa?”
Jos et pysty vastaamaan tähän itseluottamuksella, nyt on aika toimia. Ota meihin yhteyttä – WeSecure auttaa muuttamaan kyberturvan reagoinnista ennakointiin.