Julkisen sektorin lunnasohjelmahyökkäykset ovat yleistyneet viime vuosina, ja niiden kohteena ovat usein valtion virastot, terveydenhuolto-organisaatiot ja oppilaitokset. Julkinen sektori on kuitenkin aina ollut tietovarkauksiin ja rikolliseen vahingontekoon pyrkivien tietoverkkorikollisten kohde. Tämän vahvistaa Verizon Data Breach Investigations Report 2020 (DBIR) -raportissaan, jonka mukaan julkishallinto on yksi eniten kohteeksi joutuneista toimialoista ja lunnasohjelmat ovat yleisin hyökkäystyyppi. Darktracen raportti on samaa mieltä ja toteaa, että vuonna 2020 "paikallishallinnot olivat suurin kiristysohjelmahyökkäysten kohde".
Ransomware on vaarallinen ja salakavala haittaohjelmatyyppi, joka on yleistymässä kaikilla toimialoilla. Haittaohjelmien takana olevat pahansuovat toimijat ovat myös yhä taitavampia saamaan lunnaita paitsi salaamalla tietoja myös varastamalla niitä. Seuraavassa tarkastelemme lunnasohjelmien vaikutusta julkiseen sektoriin ja sitä, miten niitä voidaan lieventää.
Miksi julkinen sektori on vaarassa joutua Ransomware-hyökkäysten kohteeksi?
Julkisiin virastoihin kohdistuvien verkkohyökkäysten todellisesta laajuudesta voi olla vaikea saada tietoa. Vuonna 2019 tietoturvatoimittaja SolarWinds teki kuitenkin tiedonvapauspyynnön. Palautetuissa tiedoissa oli mielenkiintoisia oivalluksia: vaikka noin kolmannes vastaajista ei ollut kokenut yhtään verkkohyökkäystä, yhä useampi koki yli 1000 kohdennettua hyökkäystä.
Suurin osa näistä hyökkäyksistä oli phishing-hyökkäyksiä ja haittaohjelmia. Tämä tapahtui siitä huolimatta, että käytössä oli perinteisiä tietoturvatoimenpiteitä, kuten palomuureja ja virustorjuntaohjelmia. Tutkimus osoittaa selvästi, että julkinen sektori on verkkorikollisten tutkassa, ja kiristyshaittaohjelmat, jotka ovat nykyisin suosituimpia haittaohjelmia, ovat vakava uhka sektorille.
Viimeaikaiset korkean profiilin hyökkäykset, kuten lunnasohjelmahyökkäys Colonial Pipeline -yhtiötä vastaan Yhdysvalloissa, osoittavat, kuinka pitkälle lunnasohjelmaryhmät menevät. Tässä verkkohyökkäyksessä tietoja ei ainoastaan poistettu salauksen avulla, mikä häiritsi toimintaa, vaan ne myös varastettiin ja niitä käytettiin painostuskeinona lunnaiden maksamiseksi.
IBM X-Forcen raportissa todettiin, että 59 prosentissa lunnasohjelmatapauksista tiedot poistettiin ennen salaustapahtumaa. Colonial Pipeline oli hyvä kohde lunnasohjelmille, koska se toimii kriittisessä infrastruktuurissa. Samoin julkiset palvelualat ovat kriittisiä infrastruktuureja, jotka tarjoavat tärkeitä kansalaisille tarkoitettuja palveluja, jotka ovat riippuvaisia tiedoista: tämä seikka ei ole kadonnut lunnasohjelmaryhmiltä.
Julkiset palvelut, kuten koulupiirit, terveydenhuoltolaitokset ja jopa paikallishallinnot, ovat kaikki lunnasohjelmahyökkääjien kohteita. Äskettäinen hyökkäys kohdistui Irlannin terveydenhuoltojärjestelmään. Hyökkäyksen tekijäksi epäillään Wizard Spider -nimellä tunnettua hakkerijengiä, joka jätti sairaalat ilman tietokoneita yli viikoksi.
Samalla tavalla kuin Colonial Pipeline -hyökkäyksessä hakkerit salasivat tietoja ja varastivat suuria määriä tietoa lisätäkseen painetta maksaa 20 miljoonan dollarin (14 miljoonan punnan) lunnaat. Vuonna 2020 Redcarin ja Clevelandin neuvostoon kohdistunut lunnasohjelmahyökkäys maksoi neuvostolle arviolta 10 miljoonaa puntaa: aiheutuneisiin kustannuksiin sisältyi muun muassa käyttökatkoksia ja täytäntöönpanotulojen vähenemistä.
Ransomware-as-a-Service -palvelu julkisella sektorilla
Julkinen sektori kattaa monenlaisia organisaatioita terveydenhuollosta paikallisneuvostoihin, poliittisiin päättäjiin ja kouluihin. Siksi julkinen sektori tarjoaa uhkaajille monenlaisia mahdollisuuksia paitsi häiritä ja kiristää myös varastaa tietoja.
Ison-Britannian kansallisen kyberturvallisuuskeskuksen (NCSC) toimitusjohtaja Lindy Cameron totesi hiljattain Royal United Services Institute (RUSI) Annual Security Lecture -tapahtumassa pitämässään puheessa, että lunnasohjelmien yleistyminen johtuu "kumulatiivisesta vaikutuksesta", kun organisaatiot eivät ole kyenneet vastaamaan yhä kehittyneempiin lunnasohjelmahyökkäyksiin.
Julkisen sektorin organisaatiot ovat vaarassa näiden kehittyneempien hyökkäysten, kuten Ransomware-as-a-Service (RaaS) -hyökkäysten vuoksi. Nämä kiristysohjelmapaketit helpottavat kiristysohjelmakampanjoiden luomista huomattavasti. Kuka tahansa, joka haluaa päästä mukaan lunnasohjelmiin, voi tehdä sen kuukausimaksua vastaan ja saada osuuden lunnaista.
Cameron toteaa puheessaan, että RaaS ruokkii lunnasohjelmahyökkäysten lisääntymistä. Näistä RaaS-paketeista osa on suunniteltu erityisesti kohdistumaan hallituksiin ja julkiseen sektoriin. Esimerkkinä tästä on Eking RaaS, jonka Darktrace on tunnistanut käytettävän APAC-alueen viranomaispalveluihin.
Miten julkista sektoria suojataan lunnasohjelmahyökkäyksiltä?
DBIR:ssä huomautetaan, että 85 prosentissa tietomurroista osallisena on ihminen. Inhimillinen tekijä on ilmeinen monissa tietoverkkohyökkäystyypeissä, kuten lunnasohjelmissa; usein lunnasohjelman painajainen alkaa vahingollisesta sähköpostiviestistä, jota klikataan vahingossa.
Koska lunnasohjelmahyökkääjät keskittyvät tietojen varastamiseen ja salaamiseen, "ihminen koneessa" on yhä tärkeämpi keino päästä organisaatioon. Phishing on hakkereiden suosima hyökkäysmuoto, koska se toimii. Viimeisimmässä DBIR:ssä vuodelle 2021 Verizon huomauttaa, että tietojenkalastelussa ja lunnasohjelmissa oli jälleen yleistä; julkishallinnon hyökkäysten osalta sosiaalinen manipulointi on suosituin vertikaali, jota käytettiin 69 prosentissa murroista.
Lunnasohjelmat leviävät ja tarttuvat useiden eri reittien kautta, mutta kuten mainittiin, tietojenkalastelu on yksi yleisimmistä. Hallinnoitujen palveluiden tietoja käyttävässä tutkimuksessa todettiin, että 54 prosenttia kiristysohjelmahyökkäyksistä alkoi phishing-sähköpostista: huonot käyttäjäkäytännöt (27 prosenttia) ja puutteellinen turvallisuuskoulutus (26 prosenttia) olivat seuraavaksi yleisimmät asiat, jotka johtivat kiristysohjelmatartuntoihin.
Ransomware-hyökkäysten estäminen julkisella sektorilla
Julkisen sektorin kiristyshaittaohjelmien torjunnassa on kyse riskien vähentämisestä. Tietoturvariskiä vähennetään sosioteknisen lähestymistavan avulla, samalla tavalla kuin hakkerit hyökkäävät julkiselle sektorille ja muille toimialoille käyttämällä sosiaalista suunnittelua ja teknisiä haavoittuvuuksia.
Lunnasohjelmatartuntojen keskeisten vektorien lievittäminen alkaa poikkeuksellisesta turvallisuuskulttuurista. Tätä edistetään antamalla tehokasta tietoturvatietoisuuskoulutusta koko henkilöstölle. Tätä täydennetään käyttämällä parhaita tietoturvatyökaluja, jotka täyttävät ISO27001:n kaltaisten turvallisuusstandardien ja -asetusten vaatimukset.
Julkisen sektorin lunnasohjelmahyökkäykset ovat tulleet jäädäkseen, kunnes organisaatiot lakkaavat saamasta tartuntoja ja maksamasta lunnaita. Julkishallinnon ja julkishallinnon kaltaisilla datasta riippuvaisilla aloilla jälkimmäinen voi olla vaikea valinta. Tämä tarkoittaa, että on luotava rakenteet, joilla vähennetään lunnasohjelmatartunnan onnistumisen mahdollisuuksia.
