Digiturvavahti 4/2019

Yksi maailman johtavista alumiininvalmistajista kyberhyökkäyksen kohteena

• Hyökkäys alkoi USA:n tehtaasta ja levisi nopeasti muihin n.50 toimintamaasta
• Osa tuotannosta jouduttu sulkemaan, osassa käyttämään enemmän työvoimaa / manuaalista operointia

LockerGoga on valittuihin kohteisiin käytettävä kiristysohjelma

• Ei suunniteltu leviämään samoin, kuten jotkin aiemmat (WannaCry, NotPetya)
• Admin-tunnukset -> jakelu -> tiedostojen salaus

Arvio hyökkäyksestä koituneista kustannuksista 35-40M€

• Reilu viikko hyökkäyksen jälkeen edelleen käytetään osin manuaalista operointia ja yksi viidestä tuotantoalueesta pahasti rampautunut

‍

‍Hyökkäyksen anatomia

1. Hyökkääjällä tunnukset jotain kautta verkkoon (phishing, ostetaan muista vuodoista, jne.)
2. Yleisten työkalujen (esim. Cobalt Strike) avulla siirrytään verkossa eteenpäin seuraaviin koneisiin, kunnes saadaan admin-oikeudet
3. Admin-tunnuksilla AD:n kautta ransomware jakoon kohteille ja antivirus-puolen prosessien lopettaminen
4. Sitten ajetaan tiedostojen salaus, jossa kestää muutama minuutti
5. Sitten lunnasterveiset uhrille

Erityistä huomioitavaa

• Vaarallista ja hyökkääjälle houkuttelevaa, kun hyökätyt tietokoneet kontrolloivat fyysistä tuotantoa
• “Firsttime a cyberattack impacting the spot price of a global commodity like aluminum”
• Verkon segmentointi ja muut toimet keinoina, joilla sisäisiä uhkia vastaan varautudaan?

IAPP (International Association of Privacy Professionals) järjesti paneelikeskustelun, jossa mielipiteitä GDPR:n taipaleesta tähän asti jakoi tietosuojaviranomaisten (mm. ICO) sekä yritysten edustajia.

Onnistuminen ilmoituslakina

• Monessa paikassa loukkausilmoitusmäärät tuplaantuneet
• Esim. UK:ssa ilmoitusmäärä 18 000 -> 36 000 ja Suomen TSV sanonut työmäärän"tuplaantuneen"

Tämä on tärkeää ja merkittävää, jotta

• ihmiset tietävät, mitä heidän datalleen käy ja osaavat reagoida asianmukaisesti
• valvojat / tietoturvatekijät voi selvittää juurisyitä loukkauksille
• tutkijat voi selvittää tarkemmin esim. loukkauksista aiheutuvia kustannuksia

Ennen GDPR-aikaa joka maissa oli oma käytäntö, joka teki tietoturvaloukkausten hahmottamisesta hankalaa

• Tietyt maat vaativat ilmoitusta (mm. Norja, Saksa) vaihtelevasti joko viranomiselle ja / tai niille, joiden data oli vaarantunut. Monissa ilmoittaminen oli vapaaehtoista.

Epäonnistuminen (ainakin toistaiseksi) sakkolakina

EDPB raportti 02/2019 kertoi, että sakkoja on ensimmäisen 9 kk aikana annettu yhteensä 55,95M€ (Google sai yksin 50M€ sakot)

• Onko Google siis ainoa paha? Ei varmasti, vaan isointa osaa ei vaan rankaista siitä, että asetusta rikotaan.
• Oliko tämä iso sakko Googlelle? Ei todellakaan - 0,04 % heidän liikevaihdostaan

Yleisenä selityksenä viranomaisilta: Ensimmäinen vuosi on ns. "transition year”, jossa yhteisiä toimintatapoja vasta suunnitellaan

• Eckersley (ICO): several EU countries are working to define a matrix for calculating fines under the GDPR that may help the various countries’ data protection authorities harmonize their penalties…

IAPP tutki oman toimintansa kautta suostumuksen käyttöä ja toimivuutta oikeusperusteena kahdessa eri tarkoituksessa: evästeiden käytössä sekä sähköpostimarkkinoinnissa.

Suostumuksen voi perua ja se pitää voida osoittaa, jonka takia moni välttää sen soveltamista

• Usein suostumus kuitenkin ainoa soveltuva oikeusperuste käsittelylle(esim. massana tapahtuva sähköpostimarkkinointi)

Suostumus sähköpostimarkkinointiin– ihmiset ymmärtävät ja siinä on järkeä

• Lataa e-kirja IAPP:lta, saat sen sähköpostiin (soft opt-in, jos tästä pääteltäisiin että voi related goodseista lähettää - OK joissain maissa)
• Päättivät itse (ja moni muukin on näin tehnyt), että saat itse päättää,haluatko muutakin viestiä
• Olivat erittäin tyytyväisiä eivätkänähneet mitään eroa postituslistan aktiivisuudessa
• Kokivat tämän toimintatavan hyväksi ja paremmaksi kokemukseksiasiakkaalle
• Tulokset - aiemmin 82% (soft opt-in)oli subscribed, nyt 69% - sama aktiivisuus postituslistoilla

Suostumus evästeiden käyttöön - vähemmän järkeä ja kirjavat käytännöt!

• Ymmärtääkö ihminen? Mitkä cookiettarpeellisia mitkä ei? Onko suostumus informed? Kuka jaksaa lukea ja miettiä jokaiselle saitille saapuessaan?
• Monissa cookie-systeemeissä itse valittavissa esimerkiksi laitetaanko tilastointi-cookiet (esim. Google Analytics) välttämättömiin (valittu jo ennalta) vai ei-välttämättömiin evästeisiin, vaikka näiden todellinen pakollisuus on kyllä todella vaikea nähdä
• IAPP - cookie hyväksyntä 34% (tilastoinnissa kävijämäärät on kokeneet aika kolauksen tästä)

Email: Selkeä opt-in tuottaa yhteyden. Ymmärrettävä valinta.

Eväste: Vastustus periaatesyistä, liikaa infoa, ihminen ei hyödy.

• Ratkaisu saattaa löytyä tilastointisysteemeistä, jotka tekevät analytiikkaa ilman3. osapuolia (mutta matka tänne on melko pitkä)

FB jatkuvasti osoittaa, ettei tietoturvan tai -suojan perusteet kiinnosta

• “Since 2012, Facebook has been storing the passwords of hundreds ofmillions of users unencrypted, in plaintext.“
• “Access logs have revealed that some 2,000 engineers and developersmade around nine million searches for data that contained plaintext userpasswords.”

Selitykset?

• Ei FB:n ulkopuolelta pääsyä (okei, öö, mutta 2 000 teidän työntekijää kuitenkin - miksi niin moni ja yleensäkin, miksi?!)
• Huomattiin ihan vasta (ilmoittamisessa aikailtiin 2kk toimittajan ilmoituksesta)
• Ei ole tietoa, että kukaan olisi käyttänyt väärin (ei varmaan ole, kun ei ollut tietoa tästäkään)

TSV saanut lisää tietoa loukkauksista sekä niiden syistä, ja korostaa nyt phishingiin varautumista

• Tietoturva-asiat ovat myös tietosuojasta vastaavien asioita.
• Phishing on yksi isoimmista tietosuojaongelmiin johtavista asioista
• Tietosuojaa ja tietoturvaa ei voi eikä kannata yrittää erottaa toisistaan

Esimerkkejä phishing-huijauksista (lisää esim. https://phishing.org)

Klassiset tietojen kalastelusähköpostit (esim. tutun toimijan teknisen tuen nimissä)

Haitalliset liitetiedostot (esim. html-liite, joka avaa tutulta näyttävän sivun)

Huijaus-kirjautuminen (esim. some-palvelun popup-kirjautuminen, joka ei olekaan oikea)