Colonial Pipelinen kyberhyökkäys kuvaa yhteiskuntaamme

Viime viikolla Yhdysvalloista kantautunut kyberturvallisuusuutinen nousi otsikoihin ympäri maailmaa. Yhdysvaltain Itärannikon suurin öljynjakelija Colonial Pipeline oli joutunut kyberhyökkäyksen kohteeksi, ja öljynjakelu yhtiön putkissa jouduttiin keskeyttämään varotoimenpiteenä. Tilanne vaikutti esimerkiksi Colonial Pipelinen asiakkaisiin, öljyntoimittajiin ja niin edelleen. Hyökkäys tehtiin DarkSiden palveluna myymällä kiristyshaittaohjelmalla, ja hyökkäysvektorina toimi kalastelusähköposti

Hyökkäys nousi otsikoihin pitkälti vaikutustensa takia, vaikka öljyputkiston sulkeminen ei ollutkaan ilmeisesti aivan suoraa seurausta hyökkäyksestä. Hyökkäystä on pidetty shokeeraavana ja jopa Yhdysvaltain presidentti Joe Biden julisti sen perusteella hätätilan ja antoi presidentin määräyksen kansallisen kyberturvallisuuden parantamiseksi. Torstaihin mennessä useilta etelän huoltoasemilta oli loppunut polttoaine hamstrauksen seurauksena.

Mielestäni tämä hyökkäys ei ole juurikaan yllättävä tai shokeeraava. Kriittiseen infrastruktuuriin vaikuttavista kyberhyökkäyksistä on varoiteltu vuosikaudet. Sen sijaan tämä hyökkäys kertoo pitkälti siitä digitalisoituneesta yhteiskunnasta jossa elämme. Alla listaan muutamia esimerkkejä:

Kaikki on kytköksissä verkkoon

Hyökkäys kohdistui Colonial Pipelinen IT-verkkoon, eikä ICS-järjestelmiin (industrial control systems) / OT-verkkoon (operational technology). Silti myös koko öljynjakelujärjestelmä ajettiin alas. Miksi? Tähän löytyy ainakin yksi virallinen syy, ja mahdollisesti myös muita syitä.

Colonial Pipeline ajoi kertomansa mukaan öljynjakelujärjestelmänsä alas varovaisuuden takia, jotta hyökkäys ei aiheuttaisi lisävahinkoa ICS / OT-puolella. Tämä oli varmaankin perusteltu päätös, sillä hallittu alasajo on tämäntyyppisissä verkoissa erittäin tärkeää. Hallitsematon alasajo voi aiheuttaa esimerkiksi fyysistä vahinkoa, joka puolestaan öljynjakelun ollessa kyseessä voi pahimmillaan tarkoittaa esimerkiksi ympäristövahinkoja. Myös moni Colonial Pipelinen jakeluverkkokumppani joutui ajamaan järjestelmiään alas varovaisuuden vuoksi, peläten hyökkäyksen leviävän myös heidän verkkoonsa.

Toinen syy voi olla se, että vaikka OT-verkko olisi voitu pitää toiminnassa, IT-verkon ongelmat tekevät öljyntoimittamisen käytännön kannalta mahdottomaksi. Esimerkiksi laskutus tapahtuu Colonial Pipelinella väitetysti niin, että OT-verkon data syötetään suoraan laskutusjärjestelmään joka laskuttaa automaattisesti toimitetun öljymäärän perusteella. Samoin erinäiset varaston ja toimitusten hallintaan liittyvät toiminnot hoituvat yleensä IT-verkon puolella. Näiden poistuminen toiminnasta saattoi olla syy sille miksi öljynkuljetus katkaistiin: vaikka se olisi ehkä ollut teknisesti mahdollista, varsinaisen liiketoiminnan harjoittaminen saattoi muuttua epäkäytännölliseksi tai mahdottomaksi.

On siis huomioitava, että kaikki prosessimme jotka ovat tavalla tai toisella kytköksissä verkkoon ovat alttiita kyberhyökkäyksille. Vaikka OT-verkkojen suojaaminen hyökkäyksiltä on täysin oma haasteensa ja niiden eristäminen verkosta on ensiarvoisen tärkeää, tämä ei yksistään riitä. Myös IT-verkkoihin kohdistuvat hyökkäykset voivat ajaa tilanteisiin joissa teolliset prosessit tai infrastuktuurin toiminta joudutaan ajamaan osittain alas.

Kiristyshaittaohjelmat ovat tulleet jäädäkseen

Kiristyshaittaohjelmahyökkäykset ovat lisääntyneet ja muuttuneet ammattimaisemmiksi erityisesti viimeisten vuosien aikana. Tämä on trendi joka ei varmasti tule laantumaan lähiaikoina. Colonial Pipelinen tapauksessa kyseessä oli DarkSide-ryhmän kehittämä haittaohjelma, jota tarjotaan palveluna muille rikollisryhmille. Varsinainen hyökkääjä ei siis luultavasti ollut DarkSide-ryhmä, joka puolestaan toimii palveluntarjoajana. Tällainen erikoistuminen kertoo osaltaan siitä, että kiristyshaittaohjelmahyökkäyksistä on tullut ammattimaista, rikollista liiketoimintaa.

DarkSide kiiruhtikin julkaisemaan lausunnon, jossa se totesti pyrkivänsä vain tekemään rahaa eikä vahingoittamaan yhteiskuntaa. Tämä oli luultavasti reaktio yllättävän suureen media- ja viranomaishuomioon. Normaalisti nämä rikollisryhmät voivat operoida melko vähäisellä huomiolla. Hyökkäyksen seuraukset olivat mahdollisesti yllätys rikollisille itselleenkin.

Infrastuktuuriin vaikuttavia rikollisten toimia voidaan kuitenkin odottaa jatkossa lisää. Hyökkääjät muuttuvat yhä osaavammiksi ja häikäilemättömämmiksi. Lisäksi kuten yllä on todettu, yhdessä verkossa tapahtuva hyökkäys voi vaikuttaa moniin muihinkin verkkoihin ja niille rakennettuihin prosesseihin. Ei ole millään lailla poissuljettua että rikolliset aiheuttavat vastaavanlaisia ongelmia jatkossa myös puhtaasti tietämättömyyttään tai vahingossa.

Hyökkäysten yleistyminen ja ammattimaistuminen vaatii organisaatioita muuttamaan ajatteluaan. Näyttää yhä enemmän siltä että enää ei ole kysymys siitä joutuuko organisaatio vastaavan hyökkäyksen kohteeksi, vaan milloin se joutuu. Vaikka ennaltaehkäisy on tärkeää, hyökkäykseen reagointiin ja poikkeustilanteen hallintaan on pakko alkaa varautua.

Sidosryhmäajattelu ja laajempi yhteiskunnallinen näkökulma

Digitalisoitunut yhteiskuntamme johtaa siihen, että yhden toimijan kohtaama hyökkäys vaikuttaa yhä useampiin tahoihin. Monet Colonial Pipelinen toimittajat, kumppanit ja asiakkaat joutuivat muuttamaan omaa toimintaansa ja sulkemaan verkkoyhteyksiä hyökkäyksen takia. Polttoaine on hamstrauksen seurauksena loppunut todella monilta huoltoasemilta. Kyberhyökkäys ei ole enää vain oman organisaation ongelma.

Tämä asettaa myös paineita varautumiselle: vaikka omaan organisaatioon kohdistuva hyökkäys voitaisiin välttää, sidosryhmiin kohdistuva hyökkäys voi aiheuttaa yhtä lailla poikkeustilanteita joihin pitää reagoida.

Yhteiskunnan kannalta ongelma on siinä, että päivittäisen normaalin elämämme mahdollistavat lukemattomat prosessit joista suuri osa on digitalisoitu ja kytköksissä verkkoon. Olemme yhä alttiimpia sille, että jokin näistä prosesseista häiriintyy kyberrikosten tai valtiollisen kybervaikuttamisen seurauksena. Aiemmin on totuttu siihen että viranomaiset pitävät huolta kokonaisturvallisuudesta ja yhteiskunnan rattaiden pyörimisestä: digitalisoituva yhteiskunta pakottaa meidät muuttamaan tätä ajattelua.

Olemmeko yhteiskuntana ajan tasalla?

Mielestäni yllättyneet reaktiot tähän tapahtumaan kertovat siitä että ymmärrys nyky-yhteiskunnan ja kyberrikollisuuden lainalaisuuksista ei ole ajan tasalla. Tämä koskee sekä yksityistä sektoria, mediaa että viranomaisia ja poliitikkoja. Ajattelu on pitkään rakentunut sille pohjalle että varautumisessa huomioidaan vain asioita joita on jo tapahtunut. Vaikka kyky vaikuttaa fyysiseen infrastruktuuriin on osoitettu jo viimeistään Stuxnetin kohdalla ja lisääntynyt kyberrikollisuus on julkista tietoa, ei varautuminen ole edelleenkään tarvittavalla tasolla.

Se, että jokin taho reagoi tähän uutiseen yllättyneesti kertoo lähinnä siitä että tällainen ei ole ollut osa heidän aiempaa analyysiään ja varautumistaan. Tämän takia olen myös hiukan skeptinen sen suhteen että nyt vaaditaan lisää regulaatiota: jos regulaatiota rakennetaan reaktiivisesti jo tapahtuneiden asioiden perusteella, eikä proaktiivisesti tulevaisuutta ennakoiden, se tulee jatkuvasti laahaamaan jäljessä. Lisäksi regulaation keinot rajoittuvat useimmiten rankaisemaan kyberrikollisten uhreja puutteellisesta varautumisesta. Rikolliset puolestaan eivät määritelmällisesti välitä laeista ja regulaatiosta.

Hyökkäykset onnistuvat myös monesti parhaimpienkin kontrollien läpi: mikään määrä auditointeja ei lopulta ole tae siitä etteikö organisaatio voi joutua vastaavanlaiseen tilanteeseen kuin Colonial Pipeline. Emme voi tuudittautua siihen ajatukseen että voisimme päästä eroon tästä ongelmasta.

Mielestäni meidän tulee yhteiskuntana hyväksyä seuraavat lainalaisuudet ja rakentaa analyysimme niiden varaan:

  1. Yhteiskuntamme digitalisoituminen tarkoittaa sitä että yhä suurempi osa prosesseista ja infrastruktuurista on kytköksissä verkkoon tavalla tai toisella
  2. Näiden keskinäisriippuvuus johtaa siihen että ongelma yhdessä verkossa voi johtaa ongelmiin monissa muissa verkoissa, ja sitä kautta niihin kytköksissä olevissa prosesseissa ja infrastruktuurissa
  3. Kyberrikollisuus ja valtiollinen kybervaikuttaminen lisääntyvät ja ovat tulleet jäädäkseen

Jos hyväksymme sen, että parhaasta ennaltaehkäisevästä toiminnasta huolimatta rikolliset ja vihamieliset valtiot voivat vaikuttaa yhteiskuntaamme, resilienssin tärkeys korostuu niin yksittäisten organisaatioiden kuin laajemminkin yhteiskunnan kohdalla.

Lyhyesti resilienssi tarkoittaa sitä, että sen sijaan että kuvittelemme kykenevämme estämään organisaation toimintaan tai yhteiskuntaan laajemmin vaikuttavat hyökkäykset, meidän tulee rakentaa kyvykkyydet selvitä ja palautua niistä tehokkaasti. Tämä tarkoittaa poikkeustilanteisiin varautumista, harjoittelua, varajärjestelmiä ja -prosesseja, tehokkaampaa viranomaistyöskentelyä ja monia muita keinoja. Tärkeintä on kuitenkin hyväksyä tosiasiat: vain niiden pohjalta voimme varautua tehokkaasti.

Mielestäni meidän tulee pyrkiä tilanteeseen, jossa Suomeen kohdistuva infrastruktuuriin vaikuttava kyberhyökkäys ei ole meille yllätys, vaan olemme varautuneet siihen sekä yksityisen että julkisen sektorin voimin. Oikea kysymyksenasettelu ei nimittäin ikävä kyllä luultavasti enää ole mallia “entä jos” vaan “milloin”. Jos Colonial Pipeline yllätti, analyysin muuttamiseen ja sen pohjalta toimintaan alkaa olla kiire.

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi, Näkökulma