Miten penetraatiotestaus ja haavoittuvuusskannaus eroavat toisistaan? Entä mitä palveluiden ostajan...
On harhakäsitys, jonka mukaan yrityksesi ei kiinnosta ketään eikä teitä voi hakkeroida. Tämä ei tietenkään ole se lause eikä se todellisuus, jota haluaisin kertoa, mutta niin se vain on. Kaikissa järjestelmissä on heikkouksia ja aukkoja – täysin murtamatonta systeemiä ei ole olemassakaan. Eikä ole yritystä, joka ei missään nimessä kiinnostaisi yhtäkään hakkeria.
Mutta jos on ihan pieni ja viaton yritys, jolla on tietoturva hyvällä tolalla ja joka ei pidä itsestään meteliä, miksi silloin saattaa joutua hakkeroinnin kohteeksi? Tässä viisi syytä, miksi joku voi haluta hakkeroida yrityksesi.
For the lulz – eli huvin ja urheilun vuoksi
Osalle hakkereista järjestelmiin tunkeutuminen ja hyökkääminen on hupia ja keino hakea sisäpiireissä mainetta ja kunniaa. Näissä hyökkäyksissä on harvoin taustalla sen suurempaa agendaa, vaan tarkoitus on vain esitellä hyökkääjien kykyjä. Näitä ”for the lulz” -hakkerointeja tehdään hyvin eri taitotasoilla, aina niin kutsutuista scriptkiddieistä vähän kokeneempiin hakkereihin.
Huvin vuoksi hyökkääjät pyrkivät yleensä tekoon, joka nähdään, mutta josta ei jää kiinni. Yritykset joutuvat tällaisten kohteeksi joko sattumalta ja vahingossa tai sitten yritys on niin sanottu low hanging fruit, eli siis todella helppo kohde.
Ilkivalta ja kiusanteko
Ilkivalta ja kiusanteko on tuttua fyysisestäkin maailmasta. Internetin puolella ilkivaltaa tehdään esimerkiksi palvelunestohyökkäyksillä. Kiusanteossa pyritään siis rikkomaan jotain tai tekemään mainehaittaa, joskus tavoitteena on myös liiketoiminnallinen vahingonteko.
Näitä hyökkäyksiä tekevät tai teettävät esimerkiksi tahot, jotka ovat yritykselle vihaisia: entiset työntekijät, suuttuneet asiakkaat, muuten vain yritykselle vihastuneet ihmiset. Yhä enenevässä motiivina toimivat myös eettiset syyt.
Eettiset syyt
Selkein ja suurin etiikkaan liittyvä ilmiö on Anonymous-liike tai -ajatusmalli. Anonymous on kuin kansanliike, jonka alla toimivat ryhmät pyrkivät käyttämään rikollisia keinoja eettisiin tarkoituksiin. Nämä tahot hyökkäävät sellaisten yritysten ja organisaatioiden kimppuun, joiden toiminnassa he kokevat olevan jotain epäeettistä. Tällaisia syitä voivat olla esimerkiksi yritysten aiheuttamat ympäristöhaitat, lapsityövoima tai poliittiset epäeettiset toimet kuten diktatuuri ja kiduttaminen.
Yrityksellä on riski joutua tällaisen hyökkäyksen kohteeksi, jos jauhot pussissa eivät ole puhtaat. Tärkeää on huomata, että tässä ei ratkaise yrityksen itsensä arvio omasta toiminnastaan, vaan näiden ryhmien oma arvio toiminnan eettisyydestä. Yleensä hyökkäysten tavoitteena on sekä mainehaitta että operatiivisen toiminnan estäminen tai hankaloittaminen.
Rikos ja raha
Kansainvälisesti kyberrikollisuus kasvaa nopeimmin kaikista rikollisuuden aloista. Jo vuonna 2013 arvioitiin, että kriminaalien käsien kautta liikkuu vuosittain 400 miljardia dollaria eli 290 miljardia euroa – suunnilleen saman verran kuin globaalissa huumekaupassa. Yleisimmin rikollisten kyberhyökkäysten takana ovat ammattilaiset, mutta joskus rahan puutteessa rikoksiin sortuvat myös amatöörimäisemmät toimijat. Näissä hyökkäyksissä ei haluta jättää näkyviä jälkiä, tehdä operatiivista harmia eikä mainehaittaa, vaan hyötyä hyökkäyksestä taloudellisesti.
Rikollisten hyökkäysten tarkoituksena on varastaa rahaa tai rahaksi vaihdettavaa tietoa, jota myydään deeper & dark webissä siitä kiinnostuneille. Myös yritys- ja teollisuusvakoilu kuuluvat tähän ryhmään. Näiden hyökkäysten kohteeksi joutuvat muun muassa yritykset, joissa on paljon arvokasta dataa tai joita on helppo huijata/joihin on helppo päästä käsiksi.
Valtiollinen häirintä eli keltaisen valtion hyökkäykset
Rajaloukkaus on selkeä sotilaallinen toimenpide, sen sijaan kyberhyökkäyksestä ei jää lähellekään niin helposti kiinni. Näillä hyökkäyksillä vaikutetaan maailmanpolitiikkaan ilman, että siitä jää jälkiä. Viimeisimmäksi otsikoissa pyörivät USA:n ja Ranskan vaalit, mutta on paljon muitakin spekulaatioita, joissa hakkeroinnin epäillään kytkeytyneen politiikkaan. Tällaisia ovat esimerkiksi Ukrainan sähköverkot, Pohjois-Korean toiminnan rahoitus sekä Stuxnet-madot.
Keltaisen valtion hyökkäykset ovat kaikista harvinaisimpia, mutta strategisesti myös selkeästi vakavimpia ja hyökkääjien resurssit ovat yleensä mittavat. Tällaisen hyökkäyksen kohteeksi voi joutua joku kotimainenkin yritys, jos on tekemissä esimerkiksi aseteollisuuden tai kriittisen infrastruktuurin, kuten sähkön, veden tai julkisen joukkoliikenteen kanssa.
Ymmärrys on osa turvallisuutta
Lista ei ole kattava eikä yksiselitteinen. On esimerkiksi tapauksia, joissa kategoriat sekoittuvat iloisesti. Yksi tapaus on uuden vuoden 2015 verkkohyökkäys OP:n verkkopankkiin, jossa tekijöillä näyttäisi olleen monenlaisia motiiveja maineesta talouteen. Ylipäätään on tärkeää tunnistaa erilaiset syyt ja miettiä, mitkä niistä voivat koskea omaa yritystä.
Koska täysin varmaa puolustuskeinoa ei ole, on syytä tehdä sekä uhkakartoitus että laatia varasuunnitelma ”mitä jos” –tilanteen varalle. Pitkälle pääsee jo riskienhallinnalla, oman infrastruktuurin tuntemisella, uhkien ja hyökkäysvektoreiden tunnistamisella ja riskien minimoimisessa hyväksyttävälle tasolle.
Kerroksittain rakennetun puolustuksen ohittaminen on jo selvästi haastavampi temppu, olipa hyökkääjällä motiivi mikä hyvänsä.
