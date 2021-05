Kommentti: Mitä tieto­verkoissa oikein on meneillään? Kyber­uhkiin liittyvät uutiset ovat entistäkin huolestuttavampia

Kyberrikolliset ja verkkovakoilijat ovat viime kuukausina tehneet vakavia hyökkäyksiä, kirjoittaa erikoistoimittaja Jouko Juonala.

Vihamieliset toimivat voivat aiheuttaa merkittävää vahinkoa tietoverkkojen kautta. Kiinni jäämisen ja vastuuseen joutumisen riski on pieni.

Kyberturvallisuuskeskus KTK ennustaa: Suomessa nähdään yhä enemmän verkkohyökkäyksiä, joissa kymmenet tuhannet eurot ovat pikkuvaluuttaa.

KTK:n tuore kybersääennuste on uskottava, jos miettii mitä maailmalla on tapahtunut viime kuukausina.

Ohjelmistoyhtiö Microsoft varoitti perjantaina, että Venäjään mahdollisesti kytköksissä oleva Nobelium-ryhmä on taas aktiivinen. Sama ryhmä oli tiettävästi niin sanotun SolarWinds-hyökkäyksen takana Yhdysvalloissa viime vuonna.

Kuvakaappaus kalasteluviestistä, jonka Nobelium lähetti noin 3000 sähköpostitilille yli 150 organisaatiossa.

Tällä kertaa Nobelium naamioi kalastelusähköpostit näyttämään siltä, että ne olisivat peräisin Yhdysvaltain kehitysyhteistyövirastolta. Niissä väitettiin valheellisesti, että ex-presidentti Donald Trump olisi julkaissut uusia asiakirjoja vaalimanipulaatiosta. Houkuttelevaa! Jos vastaanottaja seurasi sähköpostin linkkejä, hänen tietokoneensa saastui.

Nobeliumin viime vuonna paljastunut SolarWinds-operaatio oli ilmeisesti hyvin haitallinen Yhdysvalloille. Tuhannet valtionhallinnon virastot ja yksityiset yritykset joutuivat tietomurron kohteeksi, ja niitä vakoiltiin pitkään. Yhdysvallat ja Britannia syyttävät hyökkäyksestä Venäjän ulkomaantiedustelua SVR:ää. Vastatoimeksi Yhdysvallat asetti Venäjälle pakotteita.

Toukokuussa tapahtui muutakin huolta aiheuttavaa.

Irlannin kansallinen terveydenhuoltopalvelu HSE joutui kiristyshaittaohjelman uhriksi. ContiLocker Teamiksi itseään nimittävä toimija on jo alkanut julkistaa terveystietoja, joita se varasti HSE:n tietokannoista pari viikkoa sitten.

HSE:n järjestelmää ei ole vieläkään pystytty palauttamaan toimintakuntoon. Sen korjaamisen ja päivittämisen arvioidaan maksavan 100 miljoonaa euroa, kertoi Irish Times.Samantapainen hyökkäys tehtiin hiljattain viiteen sairaalaan Uudessa-Seelannissa.

Rikollinen verkkotoimija nimeltään DarkSide on Nobeliumin tavoin kytketty Venäjään. Tämä toimija oli toukokuun alussa Colonial Pipeline -yhtiöön Yhdysvalloissa tehdyn kiristysohjelmaiskun taustalla.

Colonial Pipeline on kriittistä infrastruktuuria. Yhtiö toimittaa Meksikonlahden alueelta putkilinjoja myöten noin 45 prosenttia Yhdysvaltain itärannikolla myytävistä polttoaineista.

Bensiini on loppu. Colonial Pipelineen ujutettu kiristyshaittaohjelma sai aikaan ostopaniikkia ja pulaa polttaineista. Kuva Virginiasta 12. toukokuuta.

Colonial Pipelinen järjestelmään ujutetun kiristysohjelman vuoksi putkilinja jouduttiin sulkemaan vähäksi aikaa, ja polttoaineiden hintoihin tuli piikki. Mediatietojen mukaan Colonial maksoi verkkorikollisille ainakin neljän miljoonan euron lunnaat.

Pian menestyksensä jälkeen DarkSide joutui itse kyberiskun kohteeksi. Ryhmän serverit pimenivät toukokuun puolivälissä, ja sen lompakoista vietiin kryptovaluuttoja. Kuka vastaiskun takana oli, sitä ei ole kerrottu julkisuudessa. DarkSide katosi, mutta sen uskotaan palaavan takaisin uudella nimellä.

DarkSide ei ole ”hakkeriryhmä” vaan palveluntarjoaja, joka ilmestyi venäjänkielisiin pimeän verkon keskusteluryhmiin viime elokuussa. DarkSide ei toteuta hyökkäysiä itse vaan tarjoaa hakkereille ohjelmistoa ja palveluja: se käy neuvotteluja uhriksi joutuneiden kanssa ja järjestelee lunnasrahojen maksuliikennettä. Kun hakkerit ovat onnistuneet tunkeutumaan johonkin järjestelmään, he ottavat yhteyttä DarkSiden kaltaisiin toimijoihin. DarkSide kuittaa avustaan paksun siivun lunnasrahoja.

DarkSideen liittyy laajaa rikollista toimintaa. Yhdysvaltain viranomaisten mukaan DarkSidella on Colonial Pipelinen lisäksi kymmeniä muitakin uhreja. Elliptic-tietoturvayhtiö kertoi CNBC-uutiskanavalle, että DarkSide olisi kerännyt kryptovaluuttalompakkoihinsa yhdeksän kuukauden aikana ainakin 90 miljoonaa dollaria (74 milj.euroa) lunnasrahoja 47:ltä eri uhrilta. Keskimääräinen kiristyksestä maksettu lunnassumma oli 1,56 miljoonaa euroa.

Tarinaan liittyy kiinnostava sivujuonne. Tietoturvafirma Bitdefender julkaisi jo tammikuussa sivustollaan ilmaisen ohjelman, joka pystyi purkamaan DarkSiden haittaohjelmaa. Vain vuorokauden kuluttua salauksenpurkuohjelman julkaisusta DarkSide kertoi muuttaneensa haittaohjelmaansa siten, ettei Bitdefenderin ohjelma enää toiminut. Jos Bitdefender ei olisi julkaissut purkuohjelmaansa, olisi Colonial Pipelinen hyökkäys ehkä epäonnistunut.

SolarWindsin kehittämä it-infrastruktuurin hallintatyökalu Orion osoittautui haavoittuvaksi. Siitä löytyi tunkeutumisen mahdollistava takaovi, josta vihamielinen toimija pääsi sisään yhtiön asiakkaiden järjestelmiin. Yhdysvallat syyttää hyökkäyksestä Venäjän sotilastiedustelua.

Venäjän valtio kiistää yhteytensä DarkSiden kaltaisiin toimijoihin ja Venäjältä operoiviin hakkeriryhmiin. Asiantuntijoiden mukaan valtion ja rikollisten välillä on kuitenkin molempia hyödyttävä suhde.

Venäjän turvallisuuspalvelut pitävät länsimaiden tietojärjestelmiin tunkeutuvia ryhmiä pikemminkin voimavarana kuin uhkana. Toisin sanoen: Venäjä voi teettää ulkopuolisilla ryhmillä verkkotiedustelu- ja vakoiluoperaatioita tarvitsematta itse ryhtyä likaiseen työhön. Näin virallinen Venäjä voisi kiistää osallisuutensa, vaikka toimeksiannot tulisivat suoraan tiedustelupalveluilta.

Venäjällä toimivilla verkkorikollisilla on kultainen sääntö, kertoo Kaspersky Lab -tietoturvallisuusyhtiön asiantuntija Sergei Golovanov tuoreessa The New Yorker -lehden artikkelissa. Se kuuluu näin: älkää hyökätkö Venäjälle rekisteröityihin verkko-osoitteisiin. Se saisi Venäjän viranomaiset ärsyyntymään. Sääntö suojaa Venäjää omilta verkkorikollisilta, ja se suojaa myös hakkereita. Koska näiden tekemien hyökkäysten uhrit ovat Venäjän rajojen ulkopuolella, eivät Venäjän viranomaiset tutki verkkorikoksia.

Golovanovin mukaan DarkSiden kehittämissä haittaohjelmissa on ominaisuus, joka auttaa niitä välttämään riskit kotimaan viranomaisten ärsyttämisestä. Ohjelmat tunnistavat kohteeksi joutuneessa tietokoneessa käytetyt kielet. Jos niiden joukossa on venäjä tai jonkin Venäjän liittolaismaan kieli, haittaohjelma tuhoaa itsensä.

Yhteiskunnan nopea digitalisointi korostaa tietoisuutta ja kykyä vastata tietoverkkoihin liittyviin uhkiin.

Suomi sijoittuu kahdeksanneksi virolaisen eGovernance Academyn ylläpitämässä maailman kyberturvallisuuden tilaa arvioivassa NCSI-vertailussa. Listalla on 160 valtiota. Sijoitus ei ole hassumpi, mutta yhteiskunta digitalisoituu nopeasti. Pysyvätkö suojaustoimet perässä?

Psykoterapiakeskus Vastaamon tietomurto, eduskunnassa viime joulukuussa paljastunut verkkohyökkäys ja ulkoministeriön laaja, vuonna 2013 julkisuuteen noussut verkkovakoilu kertovat, että Suomi kiinnostaa sekä rikollisia että valtiollisia toimijoita. Ensin mainittuja kiinnostavat mitkä tahansa kohteet, joista voi saada taloudellista hyötyä. Jälkimmäiset yrittävät päästä sisään järjestelmiin, joissa on niille kiinnostavaa tietoa.

Suomen viranomaisten tiedossa on kaksi valtiota, jotka vakoilevat aktiivisesti verkossa sekä valtiollisia kohteita että yksityisiä yrityksiä. Ne ovat Venäjä ja Kiina. Joillakin niitä pienemmillä valtioilla on kykyjä verkkovakoiluun, mutta ei juuri kiinnostusta Suomea kohtaan.

Kyberturvallisuus on kansallista turvallisuutta. Kuvassa ranskalainen sotilas DEFNET 2021 -kyberpuolustusharjoituksessa maaliskuussa Rennesissä.

Venäjän tiedustelupalvelut tekevät asiantuntijoiden mukaan Suomessa poliittista tiedonhankintaa. Niitä kiinnostavat muun muassa Suomen kansainväliset yhteydet, erityisesti Euroopan unionin päätöksenteko ja kannanmuodostus, sekä sotilaalliset asiat: yhteistyö puolustusliitto Naton kanssa. Uusien monitoimihävittäjien hankinta lienee sekin Venäjän tiedustelulle kiinnostavaa.

Kiina puolestaan vakoilee lähinnä yrityksiä, tavoitteenaan muun muassa hankkia tietoa huipputeknologiasta. Se on arvokasta tietopääomaa. Kyllä politiikkakin kiinnostaa Kiinaa. Suojelupoliisi nimesi eduskuntaan tunkeutuneen tahon APT31:ksi. Tämä koodinimi ei tarkoita yksittäistä hakkeriryhmää, vaan tunnistettujen tietoteknisten jälkien joukkoa. Nämä digitaaliset jäljet kertovat tutkijoille, mistä hyökkäys tuli.

Presidentti Vladimir Putin ja puolustusministeri Sergei Ivanov vierailivat Venäjän sotilastiedustelun GRU:n uudessa päämajassa vuonna 2006.

Verkon vahtikoiria on Suomessa useita. Puolustusvoimat ja suojelupoliisi valvovat kansallista turvallisuutta, edellinen erityisesti omien sotilaallisten verkkojensa osalta. Kyberturvallisuuskeskus auttaa muun muassa yhteiskunnan toiminnan kannalta kriittisiä tele- ja energiayhtiöitä sekä valtionhallintoa ymmärtämään, havaitsemaan ja ennakoimaan uhkia, ja myös reagoimaan niihin. Lisäksi on vielä yksityinen tietoturvayhteisö, joka myy turvallisuutta asiakkailleen mutta toimii samalla yhteistyössä viranomaisten kanssa.

Muutkin kuin me itse valvovat Suomen turvallisuutta verkossa.

Supo, puolustusvoimat ja Kyberturvallisuuskeskus vaihtavat jatkuvasti tietoja uhkista Suomen kumppanimaiden kanssa. Toiminnan hyvin tunteva lähde vakuutti IS:lle hiljattain, ettei tiedonvaihdossa ole kyse kaupankäynnistä ja oman hyödyn tavoittelusta. Tavoitteena on suojata kaikkia kumppanimaita vihamielisiltä valtioilta ja verkkorikollisilta. Se on kaikkien etu.

Yhteistyö on jatkuvaa, ja se toimii. Ulkoministeriötä vakoiltiin vuosikausia 2010-luvun alussa. Vihje vihamielisestä toiminnasta tuli tiettävästi vuoden 2013 alussa Ruotsista, länsinaapurin signaalitiedustelulaitokselta. Tämän tutkinnan aikana paljastui toinen, vakavampi tietomurto, jota suojelupoliisi kuvasi erittäin edistyksellisiksi ja vaikeasti havaittavaksi. Julkisuuteen kerrottiin, etteivät murtautujat päässeet käsiksi kaikkein arkaluontoisimpaan tietoon.

Tutkinnassa paljastunut vakava tietomurto tehtiin laajalla ja erilaisia haavoittuvuuksia hyväksikäyttävällä Uroburos-haittaohjelmalla. Tietoturvayhteisö on liittänyt tämän haittaohjelman Venäjän valtiollisiin tahoihin.

Yhdysvaltain kansallisen turvallisuusviraston NSA:n johtaja Paul Nakasone oli edustajainhuoneen kuultavana Colonial Pipeline -yhtiön verkkokiristyksen vuoksi 14. toukokuuta.

Venäjän ja Kiinan verkkohyökkäyksiä ja -vakoilua pohdittaessa nousee väkisin esille suurvalta, jolla on elektronisia korvia kaikkialla: Yhdysvallat. Vakoilevatko amerikkalaiset ystävämme Suomea?

Tiedusteluyhteistyön hyvin tuntevan tahon mukaan Yhdysvaltain vihamielisestä toiminnasta verkkomaailmassa ei ole merkkejä Suomessa. Jos amerikkalaiset tarvitsevat Suomelta jotakin tietoa, he saavat sen kysymällä, IS:lle vakuutetaan. Tietojenvaihtoa on molempiin suuntiin.

Pitäisikö tämä uskoa valtiosta, joka jäi kiinni Angela Merkelin telekuuntelusta ja EU:n kauppaneuvottelijoiden toimistojen urkinnasta Brysselissä? Onko naiivia uskoa Yhdysvalloista hyvää Edward Snowdenin paljastusten jälkeen?

Onhan se. Tanskan yleisradioyhtiö DR kertoi viime marraskuussa, että Yhdysvaltain kansallinen tiedustelulaitos NSA on vakoillut Tanskaa ja ruotsalaista Saabia samoihin aikoihin, kun Tanska oli hankkimassa uusia monitoimihävittäjiä. Suomi on nyt samassa tilanteessa, ja Saab on mukana meikäisessä HX-tarjouskilpailuissa.

Tiedustelun ja vakoilun maailmassa kehenkään ei voi luottaa täysin. Omien suojausten täytyy siksi olla aina kunnossa. Vastuu kyberturvallisuudesta kuuluu kaikille. Myös tavallisten verkon käyttäjien kannattaa olla hereillä.