Aiheet

Käyttäjätiedot

Käyttäjä:
Maksullinen sisältö:
Omat tiedot Kirjaudu ulos
Päijät-Häme

Lahdessa toivotaan tietoverkkoon hyökänneen jäävän kiinni – "Tällainen toiminta ei ole mitään askartelua ja puuhastelua, vaan raakaa ammattimaista rikollisuutta"

Tietoturva-asiantuntijat antavat Lahdelle kiitosta ripeästä toiminnasta kesäkuisen tietoverkkoon tehdyn hyökkäyksen alettua. "Toiminta oli erittäin asiantuntevaa", sanoo Kyberturvallisuuskeskuksen Kauto Huopio.

Kuva: Anssi Hietamaa

Lahden kaupungin tietoverkkoon kesäkuussa kohdistetussa hyökkäyksessä oli kyse merkittävästä, muttei kuitenkaan ainutkertaisen isosta tietoturvatapahtumasta.

– Merkittävän hyökkäyksestä tekee se, että hyökkääjä oli hyvin syvällä verkossa. Tekijä olisi voinut saada aikaan todella paljon koettua huomattavampia vahinkoja aikaiseksi, sanoo johtava asiantuntija Kauto Huopio Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta.

Keskusrikospoliisi tutkii tekoa törkeänä tietojärjestelmän häirintänä.

Poliisi on myös vahvistanut, että kyse oli nimenomaan ulkopuolisesta hyökkäyksestä, eikä esimerkiksi yksittäisen käyttäjän tekemästä virheestä.

Tietojärjestelmähyökkäys saastutti ainakin tuhat tietokonetta. Vielä tuntemattomat hyökkääjät toimivat järjestelmässä aktiivisesti ja aiheuttivat vahinkoa levittämällä haittaohjelmaa.

Sotkujen siivoaminen ja tietoturvan parantaminen maksaa kaupungille satoja tuhansia euroja, kertoo kaupunginjohtaja Pekka Timonen.

– Näissä asioissa ei todellakaan voi säästää tai välttää kuluja. Nämä ovat välttämättömiä ja pakollisia kustannuksia.

Timosen mukaan Lahden tietojärjestelmät on saatu miltei kaikilta osin takaisin toimintakykyisiksi.

"Voi perustellusti kysyä, onko kyseessä vain jännä yhteensattuma"

Onko kaksi lyhyen ajan sisään Lahteen osunutta hyökkäystä sattumaa vai onko kaupungin omassa toiminnassa ollut jotain pahasti vialla?

– En ole oikea henkilö ottamaan kantaa siihen, onko näillä kahdella tapauksella syy-yhteyttä. Voi toki ihan perustellusti kysyä, onko kyseessä vain jännä yhteensattuma ja onko kyse kahdesta täysin toisistaan irrallisesta tapauksesta. Yhtäläisyysmerkkiä ei voi suoraan vetää, Kyberturvallisuuskeskuksen Huopio sanoo.

Edellisen kerran Lahden tietoverkkoon kohdistui hyökkäys helmikuussa 2018. Tuolloin virtuaalivaluuttaa louhinut haittaohjelma saastutti kaupungin tietojärjestelmän.

Kaupunginjohtaja Timonen sanoo, ettei tällä hetkellä mikään viittaa siiten, että teot liittyisivät toisiinsa.

Kaupunginjohtaja Pekka Timosen mukaan tällä hetkellä mikään ei viittaa siiten, että puolentoista vuoden takainen hyökkäys ja kesäkuinen hyökkäys liittyisivät toisiinsa. Kuva: Sami Kuusivirta

Yksityiskohdat luottamuksellista tietoa

Kyberturvallisuuskeskus on ollut mukana selvittämässä Lahden tapausta. Johtava asiantuntija Huopio ei voi tutkinnallisista syistä kertoa kaikkea, mitä tietää tai arvioi tapahtuneen.

– Esitutkinta on päällä. Poliisi tekee hartiavoimin töitä. Sille pitää antaa oma rauhansa. Yksityiskohdat tapahtumista ovat muutenkin lähtökohtaisesti luottamuksellista tietoa Kyberturvallisuuskeskuksen ja tietoturvaloukkauksen kohteen välillä.

Kyberturvallisuuskeskuksen tehtävänä on Lahden tapauksen kaltaisissa tilanteissa tukea hyökkäyksen kohteiksi joutuneita organisaatioita ja saattaa hyökkäyksen kohde ja eri viranomaiset yhteen.

– Annamme toipumisvinkkejä, keskustelemme organisaation ja sen palveluntarjoajan kanssa sekä tarjoamme kaiken olemassa olevan tietomme ja taitomme tilanteen ratkaisemiseksi. Se on puolin ja toisin tapahtuvaa konsultointia, sanoo Huopio.

– Kyberturvallisuuskeskuksella on keskeinen rooli tietoturvallisuuden tilannekuvan muodostajana: jaamme tietoa tietoturvauhista julkisuuteen ja alan toimijoille, pidämme valtiojohdon ja muut viranomaiset informoituna ajankohtaisesta kyberturvallisuustilanteesta.

Kaksi vaihtoehtoista päämotiivia

Johtava tietoturva-asiantuntija Antti Nuopponen kyberturvallisuusyhtiö Nixusta puhuu kyberhyökkäyksistä yleisellä tasolla, koska ei tunne Lahden tapauksen yksityiskohtia.

Kyberhyökkäyksien tekijöillä on usein kaksi vaihtoehtoista päämotiivia. Joko tekijä hakee rikoshyötyä tai tekee kiusaa.

– Kansainväliset rikollisjärjestöt pyrkivät kiristysmielessä lukitsemaan tietojärjestelmiä. Harmittavan yleisiä tapauksia maailmalla ovat sellaiset, joissa on isketty poliisin ja sairaaloiden järjestelmiin. Rikollisten logiikka toimii niin, että jos tietojärjestelmien haltija ei suostu maksamaan lunnaita, organisaatio saadaan hyvin nopeasti toimintakyvyttömäksi ja kriittisetkin toiminnot vaarantuvat.

Nuopposen mukaan kiusanteon tai kostamisen motivoimana liikkeellä olevat tekijät saavat aikaiseksi huomattavasti vähemmän ”hienostuneempaa” jälkeä kuin ammattirikolliset.

– Kotikutoinen kiusanteko tai kosto jollekin organisaatiolle on usein harmittomampaa. Tällaisissa tapauksissa usein kyse on yksittäisten nettisivujen muokkauksista pilailumielessä tai muuten huomattavasti rajoittuneemmista vahingoista.

Lahti ei saanut hyökkäyksen yhteydessä kiristysviestiä, Timonen sanoo.

– Myöskään peruuttamatonta ja vakavaa tuhoa ei päässyt tapahtumaan. Hirvittävästi vaivaa, haittaa ja kiusaa tämä kuitenkin aiheutti.

Nuopposen arvion mukaan näyttää todennäköiseltä, että Lahden tapauksessa liikkeellä ovat olleet ammattimaiset rikolliset.

– Niin massiiviselta tuhot kuulostavat. Kokonaisten verkkojen ja satojen tai tuhansien laitteiden saastuttaminen viittaa voimakkaasti järjestäytyneen rikollisuuden puolelle.

Keskusrikospoliisilla ei ole tiedossa hyökkäyksen tekijää tai motiivia.

Nuopponen sanoo suoraan, että tekijän kiinnijääminen on kovin epätodennäköistä. Kaupungilla luonnollisesti toivotaan, että tekijä saadaan kiikkiin.

– Kannattaa ymmärtää, että tämä toiminta ei ole mitään askartelua ja puuhastelua, vaan raakaa ammattimaista rikollisuutta, Timonen sanoo.

"Poliisikin sai tutkintaan lentävän lähdön nopean toiminnan ansiosta"

Oli lopulta hyökkääjä ”vanha tuttu” tai ei, Huopio kiittelee kaupungin ja sen palveluntoimittajan rivakkaa toimintaa heti hyökkäyksen alkaessa.

– Toiminta oli erittäin asiantuntevaa. Palveluntarjoaja selvästi tiesi, mitä tällaisessa tilanteessa piti tehdä. Viranomaistoiminta pystyttiin käynnistämään niin ikään hyvin varhaisessa vaiheessa, mikä on ensiarvoisen oleellista tilanteen laukaisemiseksi. Poliisikin sai tutkintaan lentävän lähdön nopean toiminnan ansiosta.

Nopea toiminta oli mahdollista, koska Lahti oli harjoitellut palveluntuottajansa kanssa sitä, miten toimia, jos hyökkäys tapahtuu.

– Kun tilanne oli päällä, emme jääneet ihmettelemään. Ohjekirja otettiin esiin ja alettiin toimia, Timonen sanoo.

– Karuahan tuollaisessa tilanteessa on olla, kun järjestelmät kaatuvat ympärillä.

Hyökkääjällä "syvä pääsy" järjestelmiin

Huopion mukaan oli täysin perusteltua katkaista Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän väliset yhteydet, vaikka siitä onkin aiheutunut harmia yhtymän toiminnalle.

– Hyökkääjällä oli niin sanottu ”syvä pääsy” organisaation järjestelmiin, joka tarkoittaa käytännössä sitä, että hyökkääjällä oli mahdollisuus päästä tekemään ylläpitotason radikaalejakin toimenpiteitä. Kaikki ne verkot, joihin hyökkäyksen kohteena olevasta verkosta oli yhteyksiä, olivat myös riskivyöhykkeessä. Ilman katkaisua tilanne olisi voinut mennä huomattavasti nähtyä pahemmaksi, Huopio sanoo.

Kyberhyökkäyksessä saastui noin tuhat tietokonetta. Lähes kaikki laitteet saatiin palautettua käyttökuntoon. Kuva: Markku Ulander

Asiantuntija kehottaa avoimuuteen

Ovatko kunnat, kaupungit ja muut julkisen sektorin toimijat jotenkin erityisen haavoittuvia?

Eivät, jopa päinvastoin, sanoo Nixun Nuopponen.

– Valtio, kunnat, kaupungit ja sairaanhoitopiirit satsaavat paljon tietoturvaan. Monessa yrityksessä asiat voivat olla huomattavasti huonommin kuin julkisella puolella, Nuopponen arvioi.

Oli organisaatio sitten julkinen tai yksityinen, vaarallisin kombinaatio on massiivinen tietojärjestelmä yhdistettynä teknisesti jälkeenjääneisiin suojauksiin ja tietoteknisiltä taidoiltaan heikkoon käyttäjäkuntaan, Nuopponen luettelee.

Julkisen puolen organisaatioihin kohdistuvat hyökkäykset tulevat julki useammin kuin yrityksiin kohdistuneet iskut.

– Jos hyökkäys tehdään esimerkiksi sairaanhoito-organisaatioon, haitat koskettavat heti tavallisen potilaan arkea. Siksi tiedottamisintressi on korkea, Nuopponen sanoo.

Nuopponen on ollut selvittelemässä lukuisiin yrityksiin kohdistuneita hyökkäyksiä, mutta vain ani harvasta on kerrottu ulospäin – etenkin jos se ei aiheuta välitöntä haittaa yrityksen asiakkaille.

Nuopposen mukaan hyökkäyksen kohteeksi joutumisesta voi kertoa ilman, että siitä on haittaa. Hän kehottaa niin yksityisen kuin julkisen puolen toimijoita avoimuuteen ja mahdollisimman yksityiskohtaiseen tiedottamiseen kyberhyökkäysten osuessa kohdalle.

– On vähän tyhmää, jos kukaan ei kerro, mitä ja miten on tapahtunut, ja rikolliset pääsevät kerta toisensa jälkeen samoista rei’istä sisään eri firmoihin ja organisaatioihin.

Kaupunginjohtaja Timosen mielestä Lahdella on suorastaan velvollisuus kertoa tapahtumista muille julkisille toimijoille, jotta muualla voidaan välttää Lahdessa kohdatut sudenkuopat.

"Lahti ei ole heikko kohta"

Voisiko vastaavanlaista tapahtua jossain muussa suomalaisessa kaupungissa? Ilman muuta voisi, sanoo Huopio.

– Suomessa on varmaankin Lahtea paremmin varautuneita kuntia ja kaupunkeja, mutta taatusti myös sellaisia paikkakuntia, jossa on varauduttu tällaisiin hyökkäyksiin heikommin.

– Tämän hyökkäyksen jälkeen Lahti laittaa asiansa varmaankin niin hyvään kuntoon, että se on aivan maan kärkeä.

Kaupunginjohtaja Timosen mielestä on selvää, ettei tietoturvan taso ole ollut riittävä.

– Lahti ei kuitenkaan missään tapauksessa ole heikko kohta koko maan järjestelmässä. Voi olla niin, että salama vain sattui iskemään kaksi kertaa samaan paikkaan. Tietoturvan tasoa on nostettu ja nostetaan koko ajan.

Ei syytä häpeään

Lahdessa ei tarvitse hävetä, vaikka suhteellisen lyhyen ajan sisällä kaupunkia on riivannut kaksi vakavaa tunkeutumista, Nuopponen sanoo.

Mikään ei viittaa siihen, että Lahdessa olisi toimittu erityisen välinpitämättömästi tai huolimattomasti tietoturvan saralla.

– Näin voi käydä mille tahansa organisaatiolle, sanoo Nuopponen.

Kyberhyökkäykset eivät lopu

Kyberhyökkäyksistä ole mahdollista päästä kokonaan eroon. Tärkeintä onkin järjestää organisaation tietoturva-asiat ja toimintamallit niin, että jos hyökkäys tapahtuu, niin se ei pysty helposti lamauttamaan koko toimintaa, Nuopponen sanoo.

– Parempaan [kyberhyökkäysten] sietokykyyn ja normaalitilanteen mahdollisimman nopeaan palauttamiseen pystyy valmistautumaan ja varautumaan hyvinkin.

Tutkinta

Kyberhyökkäys

Lahden kaupungin tietoverkkoon kohdistunutta kyberhyökkäystä tutkitaan törkeänä tietojärjestelmän häirintänä.

Poliisilla ei ole toistaiseksi tietoa tekijästä tai teon motiivista.

Lahden kaupunki teki rikosilmoituksen tapauksesta heti sen tultua ilmi.

Törkeästä tietojärjestelmän häirinnästä voidaan tuomita vankeutta neljästä kuukaudesta seitsemään vuoteen.

Kaupungin tietojärjestelmät saastuttanut haittaohjelma oli niin kutsuttu troijalainen. Troijalaisella tarkoitetaan harmittomaksi naamioitua ohjelmaa, jonka avulla hakkeri pääsee käyttämään tartunnan saanutta tietokonetta.

Lahden tapauksessa saastuneita koneita oli noin tuhat.

Kyberhyökkäys

Näin kyberhyökkäyksen jälkeiset tapahtumat etenivät

Tiistai 11. kesäkuuta

14.36: Yksittäisen tietokoneen virustorjuntaohjelma alkaa hälyttää. Pian hälytyksiä raportoidaan lukuisissa muissakin tietokoneissa.

15.50: Ongelman selvittäminen alkaa.

18.12: Kyberturvallisuuskeskusta informoidaan ja poliisia heti tämän jälkeen. Rikosilmoitus tehdään.

19.00: Tietohallintojohtaja Marko Monni saa ensitiedon käynnissä olevasta hyökkäyksestä.

20.00: kaupungintalolle pystytetään tilannehuone, josta käsin kyberhyökkäyksen torjuntaa koordinoidaan. Paikalla on edustajia tietohallinnosta, kaupungin viestinnästä ja riskienhallintaosastolta. Myös kaupunginjohtaja Pekka Timosta informoidaan.

20.30: Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän välinen yhteys katkaistaan varotoimena, jotta keskussairaalan toiminta kyetään turvaamaan. Katkaisusta aiheutuneita haittoja ei ole toistaiseksi saatu yhtymän päässä korjatuksi.

23.30: Keskusrikospoliisi aloittaa tutkinnan.

Keskiviikko 12. kesäkuuta

03.00: Tilannehuoneessa tehdään päätös lisäresurssien hankkimisesta. Kaupunki ottaa yhteyden tietoturvayhtiö F-Secureen, joka lähettää asiantuntijatiimin Lahteen aamuksi.

9.30: Kaupunki tiedottaa tapahtuneesta ensimmäisen kerran.

13.30: Keskusrikospoliisi tiedottaa aloittaneensa esitutkinnan hyökkäyksestä.

Perjantai 14. kesäkuuta

10.00: Saastuneiden koneiden puhdistus aloitetaan.

18.00: Kaupungin internet-liittymä suljetaan.

Lauantai 15. kesäkuuta – torstai 27. kesäkuuta

Internet-yhteys avataan ja järjestelmiä aletaan palauttaa tärkeysjärjestyksessä.

Kyberhyökkäyksen jälkitöitä oli hoitamassa enimmillään kaupungin työntekijöiden lisäksi 40 Fujitsun työntekijää, kolme F-Securen asiantuntijaa ja kolme keskusrikospoliisin tutkijaa.

Perjantai 28. kesäkuuta

10.30: Internet-yhteys kaupungista ulospäin avataan. Kaupunki tiedottaa tietoverkon toiminnan palautumisesta normaaliksi.

Tiistai 9. heinäkuuta

9.00: Keskusrikospoliisi tiedottaa tutkinnan edenneen. Tässä vaiheessa tiedossa on, että kaupungin tietojärjestelmiin on tunkeuduttu laittomasti. Tekijä ja teon motiivi eivät ole tiedossa.

Erno Laisi
erno.laisi@ess.fi
@
Tämä sisältö on avoinna tilaajillemme.

Haluatko lukea koko artikkelin?

Tilaa ESS VerkkoPlus 1 kk 9,90 € ja pääset lukemaan kaikki Etelä-Suomen Sanomien sisällöt.

Tilaa tästä 1kk
9,90€

Oletko jo tilaaja?

Mitä tunnetta juttu sinussa herätti? Vastaamalla näet, millaisia tunteita juttu herätti muissa lukijoissa.

Kommentit comments

Suosittelemme

Näitä luetaan nyt

Paikallismediat

Lue seuraavaksi