Skip to main content
Yleinen

Bitcoinit tai digihenki! Voiko pilvipalveluun iskeä kiristäjä?

Kirjoittanut 29.3.202120 lokakuun, 2022One Comment6 min lukuaika

Missä datat, siellä uhka.

Myös pilvipalveluihin liittyy erilaisia tietoturvaa uhkaavia vitsauksia. Yksi liiketoiminnan kannalta tuhoisin uhka – ja myös melko yleinen – on kiristyshaittaohjelmat eli ransomware. Aiheesta on keskusteltu jo pitkään useilla foorumeilla, mutta miten tähän uhkaan pitäisi suhtautua pilvipalvelun käyttäjän näkökulmasta? Tai miten palautuminen pilvipalveluun osuneesta hyökkäyksestä ylipäätään on mahdollista? Voiko pienikin organisaatio kiinnostaa ilkeämielisiä toimijoita? Jos nämä kysymykset askarruttavat, ota kuppi käteen ja jatka lukemista. 

Miten se alkaa? 

Kuvittele herääväsi siihen aamuun, kun sinun tai jonkun muun läppäri ilmoittaa aamulla, että kaikki tietosi on kryptattu.  

Kuva: Wikipedia 

Vähitellen alatte huomata, että se ei ollut vain se yksi työasema. Tauti on levinnyt myös laajemmalle. Hyvin pitkälti organisaatiosta, sen IT-infrasta ja hyökkääjästä riippuu, miten tuo tauti leviää ja miten se vaikuttaa. Voin omastakin kokemuksesta kertoa, että se on monin tavoin herättävä kokemus. 😉 

Organisaation sisäverkossa riehuessaan kiristyshaittaohjelma pyrkii tietysti tekemään maksimaalista haittaa niin paikallisten kuin verkkolevyllä olevien tietojen osalta, ja tekee sen juuri niin hyvin, miten hyökkääjä on asian ajatellut. Näiden hyökkäysten alati kasvavaa määrää lisää se, että myös haittatoimijat harrastavat nykyään tuotteistusta sekä palvelumuotoilua, ja verkon pimeistä syövereistä voi mm. ostaa Ransomwarea as a Service -tyyppisesti. Tämän vuoksi pienemmänkään organisaation ei kannata ajatella että ”Ei kukaan ole meistä kiinnostunut”, koska hyökkääjä ei ajattele niin. 

Kaikilla organisaatioilla on rahaa vietäväksi. 

Ennen kuin käyttäjälle alkaa tulla epämiellyttäviä viestejä, on hyökkääjä jo päässyt tavalla tai toisella hiipimään jotain kautta sisään. Tapoja on juuri niin monta, kuin hyökkääjällä riittää mielikuvitusta, mutta yleisimmät ovat hyvin yksinkertaisia. Esimerkiksi sähköpostin liitetiedosto tai linkkien kautta ladattava haittasovellus toimii hyvin. Myös erinäisiä julkiseen verkkoon avoimia portteja löytyy edelleen yllättävän paljon, kunhan vain jaksaa yrittää. Jos hyökkääjällä on erityinen kiinnostus tiettyä organisaatiota kohtaan, mahdollisuuksien haitari revähtää moninkertaiseksi, koska silloin kaikki kuviteltavat keinot ovat käytössä. 

”Mepäs ollaan jo pilvessä turvassa!” 

Niin, pilvessä voitte olla, mutta oletteko turvassa?  

Yleisesti voidaan sanoa, että jos käyttäjän tiedostot ovat synkronoituna pilvessä, esimerkiksi OneDrivessa, edellytykset selvitä esim. kiristyshyökkäyksestä ovat olemassa. Jos yrityksen verkkolevyt on siirretty SharePointtiin ja versiointi on käytössä, on silloinkin mahdollisuuksia selvitä. Kaikki alkaa kuitenkin siitä, että eristetään saastuneet työasemat pois verkosta ja siivotaan ne mahdollisuuksien mukaan. Vasta sen jälkeen voidaan alkaa palautua. Seuraavassa on hieman avattu, mitä tämä käytännössä tarkoittaa.  

Huom! Tämä on vain suuntaa antavaa pohdintaa, toimet ja mahdollisuudet kannattaa miettiä etukäteen oman organisaation näkökulmasta. 

Ensitoimet 

On tärkeää, ettei vahinko pahene tai hyökkäyksen jälkeinen tutkinta vaikeudu äkkinäisillä väärillä liikkeillä. Kun lunnasvaatimus on lävähtänyt ruudulle, pitää ko. kone saada ensimmäiseksi eristettyä pois verkosta, ettei haitake leviä tai tee enempää temppujaan synkronoinnin kautta pilveen asti. Tämä pitää tehdä vähintään kaikille saastuneille koneille. Työaseman sammuttaminen voi tuhota kallisarvoisia muistijälkiä, joten sammuttamista kannattaa välttää jos vain mahdollista.  

Jos on syytä epäillä, että haitake on tullut sähköpostin kautta, kannattaa tästä varoittaa kaikkia käyttäjiä pikaisesti. Tarpeen tai mahdollisuuksien mukaan kannattaa myös harkita esimerkiksi tilapäistä sähköpostin käytön estoa, kunnes tilanne on selvitetty. 

Henkilökohtaiset tiedostot OneDrive-palvelussa 

Microsoft on jo hyvä tovi sitten kehittänyt OneDrive-palveluun tiedostojen palautustoiminnon. Tämä toiminto löytyy sekä kuluttajille tarkoitetusta OneDrive-palvelusta että yrityspuolen OneDrive for Business palvelusta. 

Molemmissa palveluissa palautus onnistuu kirjautumalla omaan OneDriveen selaimella, ja etsimällä asetuksista Palauta OneDrive -toiminto. Yrityspuolella tämä löytyy OneDrive for Business portaalista asetusrattaan takaa: 

Voit valita valikosta palautuksen suoraan esim. viikon tai kolme viikkoa taaksepäin tai määrittää mukautetun palautusajankohdan. Käyttöliittymän logiikka on se, että listalta valitaan kaikki ne toimet, jotka halutaan peruuttaa. Eli kun valitset listalta tietyn toimen, se ja kaikki sen jälkeen tapahtuneet toimet peruutetaan, palaten niitä edeltäneeseen hetkeen. Hyökkäyksestä palautumisessa oleellista on tunnistaa missä kohtaa haittatoimet alkoivat, valita listalta vain ne toimet. Kun palautettavat toimet on valittu, palautus käynnistetään Palauta-painikkeella. 

Palautustoiminto mahdollistaa myös palautustoimintojen palauttamisen. ”I heard you like restore..” 😉 

Yhteiset tiedostot SharePointissa tai Teamsissa 

Jos yhteisiä tiedostoja SharePointista tai Teamsista on synkronoitu työasemille, haitake voi päästä tärvelemään myös ne.  Tässä kohtaa palautuminen voi mennä pykälää haastavammaksi, jos vahinkoa on tapahtunut laajalti useisiin sivustoihin tai tiimeihin. 

Sivustokohtaisesti on käytettävissä OneDriven kaltainen palautustoiminto, jolla voidaan palauttaa SharePoint sivuston tilanne haluttuun ajankohtaan 30 päivää taaksepäin. Palauta tämä kirjasto -toiminto löytyy asetusrattaan takaa sivustolta: 

Toiminto on varsin kätevä ja auttaa varmasti pahimman yli, kunhan toimet ymmärretään tehdä ajoissa. Jos palautettavaa on paljon, tilanne on ns. sekava tai tuhoa on tehty pitkäjänteisesti ja suunnitelmallisesti, voi tämänkin ominaisuuden kanssa loppua aika kesken. Joskus etenkin vanhempaa tietoa voi päästä katoamaan myös huomaamatta ja pitkän ajan kuluessa pysyvästi.  

Mutta meillähän on säilytyskäytännöt! 

Organisaation laajuiset säilytyskäytännöt, jotka estävät tiedon poistamista, hoitavat kyllä hommansa säilytyksen näkökulmasta. Niiden avulla laajasta ongelmatilanteesta kattavasti palautuminen ei vain ole kovin helppoa, koska niitä ei ole siihen tarkoitettu. 

Pitäisikö harkita varmistuspalvelun käyttöä? 

Yksittäisen käyttäjän virhetoimilta pilvipalvelut suojaavat kyllä kohtalaisen hyvin omilla toiminnoillaan, jos ongelmat havaitaan tietyn ajan sisällä. Toki tässäkin erillinen varmistusratkaisu voi helpottaa ylläpidon työtä löytää ja palauttaa asioita käyttäjän puolesta.

Liiketoiminnan jatkumisen, sekä nopean ja varman palautumisen kannalta erillinen varmistuspalvelu on suositeltava ratkaisu. Vaikka tällä hetkellä valloillaan olevista uhkakuvista pystyttäisiinkin palautumaan pilvipalvelun omin eväin, varautuminen tuntemattomaan on yksi tärkeä näkökulma, jota ei kannata sivuuttaa. Pilvipalvelun omien palautumismenetelmien käyttö myös edellyttää, että pilvipalvelu on ylipäätään olemassa. Entäpä jos ei ole tai sinne ei pääse? 

Jos asiaa kysytään Microsoftilta, vastaus löytyy palveluehdoista: 

Lähde: https://www.microsoft.com/en-us/servicesagreement 

Mitä tässä siis pitäisi tehdä? 

Varautua. Ajatella tietoturvaa laajasti, kokonaisuutena. Uhrata hetki mitä jossittelulle, vaikka aihe onkin ikävä. Joskus se saattaa pelastaa pahemmalta.  

Mahdolliset toimet ja työkalut riippuvat mm. siitä, mitä organisaatiossa on käytettävissä ja mitkä toimet ovat liiketoiminnan osalta tehtävissä. Vaikeita, mutta tärkeitä valintoja pitää tehdä nopeasti, ja siksi näitä kannattaa miettiä etukäteen. Jokaisessa organisaatiossa voidaan kuitenkin varautua jotenkin erilaisiin uhkiin ilman suuria investointeja. Monesti pelkkä ajan ja ajatuksen panostaminen riittää alkuun pääsemiseksi.  

Perustasolla pilvipalvelu tarjoaa kohtalaista, mutta ei täyttä suojaa tiedon menettämistä vastaan erilaisissa tilanteissa. Pitää vain varmistaa, että se toimii kuten oletetaan, ja asetukset ovat tältä osin kunnossa. Toimintojen olemassaolo ja niiden käyttäminen on hyvä tiedostaa ja opetella etukäteen, koska rosvosektorin sattuessa kohdalle on yleensä jo sekä kiire että paniikki valloillaan.  

Muuttuvassa maailmassa mikään yksittäinen ratkaisu on harvoin täydellisen riittävä, joten kannattaa miettiä erilaisia skenaarioita ja vaihtoehtoja niiden torjumiseksi ja niistä selviämiseksi hieman pidemmälle. Täydellisyyttä ei tässäkään kannata tavoitella. Tärkeintä on varautua edes jotenkin.  

Pilvikuiskaaja Riku Mustila