HUPS – Tiedot vuotivat nettiin
Viime aikoina olemme saaneet lukea Helsingin kaupungin tietomurrosta. Helsingin Sanomissa WithSecuren tutkimusjohtaja Mikko Hyppönen arveli, että Helsingin kaupunki olisi valikoitunut sattumalta uhriksi. Harvoin olen eri mieltä Hyppösen kanssa, mutta nyt epäilen, että sattumalla oli pienempi merkitys kuin voisi olettaa. Oma oletukseni on, että Helsingin kaupunki valikoitui uhriksi automaattisen haavoittuvuusskannauksen avulla eli tekijä on tietoisesti etsinyt tiettyä haavoittuvuutta verkosta ja löytänyt sen Helsingin kaupungin palvelimelta.
Kyberturvallisuuden ja tietoturvan yksi tärkeimmistä tehtävistä on huolehtia järjestelmän päivityksistä ja siitä, että mahdolliset aukot ovat tukittu. Nyt vuodon todellisiksi uhreiksi joutuivat kaupungin työntekijät ja opiskelijat. Uutisissa on kerrottu, että vuodettujen tietojen joukossa on ollut myös sensitiivistä tietoa, kuten henkilötunnuksia, sähköpostiosoitteita ja salasanoja.
Miten uhri voi nyt suojata oman digitaalisen identiteettinsä muualla ja samalla pienentää riskiä tulevien tietovuotojen kohdalla? Kyllä, tietovuotoja tulee vielä lisää. Suosittelen lämpimästi kaikille uhreille FIDO2-tuotteen käyttöön ottamista. Se ei vuoda netin hämärille sivuille, jos ja kun tietovuoto tapahtuu. FIDO2 on monivaiheinen tunniste, jolla kuka tahansa voi parantaa oman digitaalisen identiteettinsä suojaa helposti ja edullisesti.
Mitkä sitten ovat vuodon vaikutukset? Vastaamon tapauksessa huomasimme, että uhreja alettiin kiristää vasta noin 7–12 kuukauden jälkeen tapahtuneesta. Tutkimusten mukaan vuodon jälkeen tulee hiljainen hetki, jolloin mitään ei tapahdu, ja vasta 7 kuukauden jälkeen hyökkääjä alkaa kiristää uhria tai uhrejaan.
Suosittelen lämpimästi myös Helsingin kaupungille paremman ja tehokkaamman menetelmän käyttöönottoa tilien suojaamiseksi, esimerkiksi mahdollistamalla FIDO2-tuotteiden käytön omassa ympäristössään. Tämä ei kuitenkaan suojaa, jos hyökkääjä pääsee sisään haavoittuvuuden kautta. Aktiivinen seuranta ja haavoittuvuuksien päivitys ovat välttämättömiä. Jatkuva tietoturvariskien arviointi ja aktiivinen riskien analysointi auttaa päättäjiä arvioimaan mahdollisen riskin ja toimimaan sen mukaan.
Mitä neuvoja sitten antaisin uhreille? Älkää maksako lunnaita, jos teitä kiristetään. Se takaa vain sen, että teitä kiristetään myöhemmin lisää. Ensimmäinen kiristysviesti tulee todennäköisesti teille “joululahjana”. Vaihtakaa salasanat ja ottakaa FIDO2-tikku käyttöön. (Lisää tietoa FIDO2:sta löytyy sivulta https://fido2.fi/)
Mistäkö tiedän, että kiristys tulee? Tiedän sen siitä, että nopea ja yksinkertainen haku netin pimeälle puolelle paljasti, että merkittävä osa tietovuodon uhreista ja heidän tiedoistaan oli löydettävissä näytteenä. Nyt on tärkeää, että uhrit saisivat estettyä ja rajoitettua tapahtunutta vahinkoa, esimerkiksi estämällä heidän identiteettinsä väärinkäytön.
Tutustukaa myös tietosuoja.fi:n ohjeistukseen.
https://tietosuoja.fi/jos-joudut-tietoturvaloukkauksen-kohteeksi