Juuri ennen pääsiäisviikonloppua Marks & Spencer joutui yhteen maan pahimmista kiristysohjelmahyökkäyksistä viime vuosina. Muut suuret jälleenmyyjät, kuten Co-op, seurasivat pian perässä. Pelkästään näiden kahden tapauksen kokonaistaloudellinen vaikutus arvioidaan jopa 440 miljoonaan puntaan.
Totuus kuitenkin on, että suurin osa kiristysohjelmista ei kohdistu tällaisiin korkean profiilin organisaatioihin. Sen sijaan uhkatoimijat hyökkäävät suuremman määrän pienempiä yrityksiä vastaan, joista monilla ei ole resursseja tai osaamista puolustautuakseen riittävästi. Kuten uusi tutkimus osoittaa, tämä tulee heille kalliiksi. Uuden kyberturvallisuuslainsäädännön tullessa kriisinsietokyvyn rakentamisen tulisi olla kiireellinen prioriteetti.
Maksaminen nenän kautta
Iso-Britannia on pitkään ollut kiristyshaittaohjelmien toimijoiden kärkikohde suhteellisen vaurautensa ja pitkälle digitalisoituneen taloutensa ansiosta. Mutta kiristyshaittaohjelmien hyökkäyksen ja tietojen varastamisen ja/tai salaamisen välillä on valtava ero. Parempi kyberhygienia sekä tehokkaampi havaitseminen ja reagointi voivat molemmat lieventää merkittävästi vaikutusta. Valitettavasti näin ei näytä tapahtuvan Sophosin tutkimuksen mukaan.
RFID lukija NFC lukija turvallisuustoimittajalle tehty kysely yli 200 IT- ja kyberturvallisuusjohtajaa Isossa-Britanniassa osana laajempaa tutkimusta, joka kattoi 3400 kiristysohjelmien uhrin vastaukset. Kiristysohjelmien tila Isossa-Britanniassa vuonna 2025 paljastaa, että hämmästyttävät 70 prosentilla Yhdistyneen kuningaskunnan uhreista tiedot oli salattu, mikä on paljon enemmän kuin maailmanlaajuinen 50 prosentin keskiarvo ja Yhdistyneen kuningaskunnan uhrien vuonna 46 ilmoittama 2024 prosentin luku.
Molemmilla mittareilla tarkasteltuna tämä on huolestuttavaa. Näyttää siltä, että harvemmilla kiristysohjelmien uhreilla on tarvittava käsitys IT-ympäristöstään ymmärtääkseen, että he ovat joutuneet hyökkäyksen kohteeksi. Co-opin ja M&S:n välinen ero oli se, että ensin mainittu investoi tietomurtoihin reagointikykyyn, joka merkitsi epäiltyjä tunkeutumisia ja mahdollisti järjestelmien sulkemisen ennen niiden salaamista. Seurauksena olevan tietomurron vaikutukset olivat myöhemmin lievempiä.
Ehkäpä tämän seurauksena Yhdistyneen kuningaskunnan uhrit kokivat, ettei heillä ollut muuta vaihtoehtoa kuin maksaa kiristäjälleen keskimäärin 103 % lunnasvaatimuksista, mikä on huomattavasti korkeampi kuin maailmanlaajuinen keskiarvo, joka on 85 %. Tällä on vielä suurempi merkitys, koska Yhdistyneen kuningaskunnan lunnasvaatimusten mediaani oli viime vuonna 5.4 miljoonaa dollaria (3.9 miljoonaa puntaa) – se on yli kaksinkertainen edellisessä tutkimuksessa raportoituun 2.5 miljoonaan dollariin (1.9 miljoonaan puntaa) verrattuna. Noin 89 % lunnasvaatimuksista oli yli miljoonan dollarin suuruisia, kun vuonna 1 vastaava luku oli 71 %.
”Kokemukseni mukaan salausnopeus on hyvin läheisesti kytköksissä siihen, kuinka nopeasti hyökkäys havaitaan, ja usein siihen, otettiinko ulkoista apua mukaan hyökkäyksen varhaisessa vaiheessa”, Sophosin globaali tietoturvajohtaja Chester Wisniewski kertoo ISMS.online-sivustolle. ”Organisaatiot, joilla on käytössään ympärivuorokautinen valvonta ja EDR/XDR-työkalut, onnistuvat tyypillisesti paremmin pysäyttämään käynnissä olevat hyökkäykset. Liian usein uhrit havaitsevat hyökkäyksen vasta, kun he saavat lunnasvaatimuksen, mikä on aivan liian myöhäistä.”
Missä he menevät pieleen?
Sophosin kyselyssä kiristysohjelmien uhrien keskuudessa yleisimmät alkuperäisen pääsyn syyt olivat hyväksikäytetyt haavoittuvuudet (36 %), haitalliset sähköpostit (20 %) ja vaarantuneet tunnistetiedot (19 %). Näiden ja muiden uhkien torjumiseksi tietoturvatoimittaja suosittelee neljän kohdan suunnitelmaa:
ennaltaehkäisy: Vähennä hyökkäyksen yleisimpiä teknisiä ja operatiivisia syitä rakentamalla sietokykyä.
suojaus: Puolusta kiristysohjelmien yleisimpiä sisäänpääsykohtia, kuten palvelimia ja muita päätepisteitä. Kiristysohjelmien torjuntatyökalut auttavat estämään ja kumoamaan haitallisen salauksen.
Tunnistus ja vastaus: Pysäytä ja eristä hyökkäys mahdollisimman nopeasti, ennen kuin se ehtii aiheuttaa merkittävää vahinkoa. Organisaatiot, jotka eivät pysty tähän itse, voivat käyttää hallittua havaitsemista ja reagointia (MDR).
Ennakointi: Laadi hyökkäyksestä toipumisen tehostamiseksi toimintasuunnitelma. Myös säännölliset varmuuskopiot etänä ja offline-tilassa nopeuttavat toipumista.
”Kyberrikolliset pyörittävät erittäin tehokkaita yrityksiä; he tavoittelevat minimaalista tuottoa ja maksimaalista käteistä, joten digitaalisten ovien tuplapulttaus toimii huomattavana pelotteena”, väittää Lauren Wilson, Splunkin teknologiajohtaja. ”Mutta pelkkä estäminen ei riitä – kiristysohjelmien laajemman vaikutuksen aidosti lieventämiseksi on kyettävä havaitsemaan, reagoimaan ja toipumaan.”
Aika tasata
Ison-Britannian IT- ja tietoturvajohtajien on ehkä tarkistettava kiristysohjelmien sietokykysuunnitelmiaan tulevan lainsäädännön valossa. uusi kyberturvallisuus- ja kyberturvallisuuslaki is asetettu kieltämään lunnaiden maksamista valtion ja kriittisen infrastruktuurin (CNI) tarjoajille. Se tuo uusia organisaatioita (kuten MSP:itä) soveltamisalaan. Ja se todennäköisesti myös edellyttää nopeampaa ja kattavampaa tapausten raportointia, kolmannen osapuolen riskienhallintaa ja vahvempaa toimitusketjun turvallisuutta. Se saattaa määrätä suurempia sakkoja ja antaa varmasti enemmän valtaa alan sääntelyviranomaisille. Se pyrkii myös yhdenmukaistamaan toimintansa paremmin NIS 2:n, ISO 27001:n, ISO 27002:n ja muiden turvallisuusstandardien ja -kehysten kanssa.
Tämä on loistava tilaisuus ISO 27001 -standardin parissa jo työskenteleville ennakoida näitä tulevia vaatimuksia ja vahvistaa kyberturvallisuusresilienssiä kustannustehokkaasti ja ajallisesti. Wilson kertoo ISMS.online-sivustolle, että tällaiset standardit on "suunniteltu lisäämään kyberkypsyyttä tavalla, joka hyödyttää kaikkia".
Hän lisää: ”Yksi asia, joka standardeilla, kuten NIST:llä tai ISO 27001:llä, on se, että ne auttavat organisaatioita keskittymään perusasioiden hoitamiseen oikein. Pääsyoikeuksien hallinta, säännöllinen korjauspäivitys, monivaiheisen todennuksen käyttö ja kaikkien työntekijöiden koulutus. Vaikka se on helpommin sanottu kuin tehty, näihin ’perusasioihin’ keskittyminen voi auttaa pitkälle torjumaan suurta osaa kyberhyökkäyksistä.”
Sophosin Wisniewski on samaa mieltä parhaiden käytäntöjen standardien arvosta.
”Suurin osa hyökkäyksistä olisi ehkäistävissä ottamalla perussuojatoimet johdonmukaisesti käyttöön koko järjestelmässä”, hän väittää. ”Viimeisin Active Adversary -raporttimme osoittaa, että useimmat kiristysohjelmatapaukset alkavat joko varastetuista tunnistetiedoista tai korjaamattomista haavoittuvuuksista, jotka molemmat kuuluvat vaatimustenmukaisuuskehysten piiriin.”
Wilsonin mukaan vaatimustenmukaisuutta ei kuitenkaan voida käsitellä erillään muista asioista.
”Sitä on tarkasteltava osana kokonaisvaltaista kyberturvallisuusstrategiaa, joka kattaa ihmiset, prosessit ja teknologian”, hän päättelee. ”Organisaatioiden on investoitava resilienssiin. Tämä tarkoittaa riskien ymmärtämistä, puolustusmekanismien rakentamista ja sen varmistamista, että jos toiminnot keskeytetään, seisokkiajat minimoidaan.”
