Pahimmassa tapauksessa tilanne ei juurikaan pahene kuin kaikkien yrityksen sisäisten laitteiden tyhjennys. Silti tämä on todellisuus, jonka kanssa yhdysvaltalainen lääketieteellisen teknologian yritys Stryker joutuu kohtaamaan sen jälkeen, kun Iranin-mielisten hakkereiden isku 11. maaliskuuta. Handala-ryhmä väitti pyyhkineensä 200 000 päätepistettä ja varastaneensa 50 Tt dataa. Aika näyttää, onko tämä totta vai ei, mutta kirjoitushetkellä Stryker myönsi että hyökkäys "aiheutti maailmanlaajuisen häiriön yrityksen Microsoft-ympäristössä".
Kysymys kuuluu, missä määrin brittiläiset organisaatiot altistuvat kybersodan kiihtyessä. Jos nykyinen hallinto varautuu pitkälle pelille ja alkaa iskeä verkkoon, se voi enteillä vaarallisen uuden aikakauden alkua.
Onko aika huolestua?
National Cyber Security Center (NCSC) antoi ohjeita 2. maaliskuuta, pian sen jälkeen, kun Yhdysvaltojen ja Israelin pommit alkoivat pudota Iraniin. Se ei usko, että Iranin suorassa kyberuhkassa on tapahtunut merkittävää muutosta. Vaikka Strykerin hyökkäys ei näytä muuttaneen tätä laskelmaa, tämä arvio voi muuttua tulevaisuudessa. Drooneja on jo ammuttu RAF:n lentotukikohtaan Kyproksella. Joten ei ole mahdotonta, että kyberhyökkäyksiä voitaisiin kohdistaa myös brittiläisiin yrityksiin, erityisesti sellaisiin, joilla on kytköksiä Israeliin (kuten Stryker on tehnyt).
Organisaatioiden, joiden on syytä olla huolissaan, ovat ne, joilla on läsnäolo (eli sivukonttorit) tai toimitusketjuja Lähi-idässä. Riski voi johtua fyysisistä tai digitaalisista hyökkäyksistä. Kolme AWS-datakeskusta Arabiemiirikunnissa ja Bahrainissa droonien iskujen kohteeksi on jo osuttu mikä voi johtaa esimerkiksi käyttökatkoihin. Samaan aikaan sivukonttoreihin tai alueellisiin toimitusketjuihin kohdistuvat kyberhyökkäykset voisivat teoriassa antaa tunkeilijoille mahdollisuuden saada jalansijaa järjestelmiin ja siirtyä sitten muualle yhdistettyihin verkkoihin.
Huolta lisää se, että Iranin vallankumouskaarti (IRGC) on Flashpointin mukaan nimennyt useita yhdysvaltalaisia teknologiayrityksiä kohteiksi Israelin-kytkösten tai pilvipalveluiden vuoksi. Nämä ovat AWS, Google, Microsoft, Oracle ja IBM sekä Nvidia ja Palantir. Hallinto on myös nimennyt kohteekseen Yhdysvaltoihin ja Israeliin kytköksissä olevia alueellisia pankkikeskuksia.
Mitä odottaa
Jos iranilaiset hakkerit valitsevat brittiläiset yritykset ja/tai niiden kumppanit, mitä he voivat odottaa? Halcyonin analyysi, uhka tulee mahdollisesti valtion tukemilta hakkereilta ja niihin kytköksissä olevilta haktivistiryhmiltä:
"Odotamme, että Iran saattaa käyttää hämäysyrityksiä, välityspalvelimia ja tuhoisia työkaluja Yhdysvaltain verkkoja vastaan tulevina viikkoina."
- Hajautetun palvelunestohyökkäyksen (DDoS) käyttö hosting-palveluntarjoajia vastaan.
- Kiristysohjelmien käyttöönotto ennen organisaation tietojen pyyhkimistä ja/tai tuhoavien haittaohjelmien eli tuhoisien haittaohjelmien käyttö, jotka estävät järjestelmän palauttamisen
- Pitkäaikaisen käyttöoikeuden hyödyntäminen vakoiluun ja tiedonvuotoon tuhoisia hyökkäyksiä varten ja/tai toisinajattelijoiden paikantamiseksi lisähyökkäyksiä varten.”
On syytä olla huolestuttavaa, että iranilaiset uhkatoimijat saattavat jo olla ennalta sijoitettuina joihinkin yritysverkkoihin, kuten ... Tämän raportinAjatushautomo, Strategisten ja kansainvälisten tutkimusten keskus (CSIS) sanoo”Rahoituspalvelut, vesilaitokset ja liikenneinfrastruktuuri, joista monet perustuvat vanhentuneisiin valvontajärjestelmiin, ovat edelleen houkuttelevia kohteita iranilaisille toimijoille kineettisen konfliktin kärjistyessä.”
SonicWallin hallinnoitujen palveluiden johtaja Michael Crean kertoo IO:lle (entinen ISMS.online), että uhkatoimijat ovat siirtymässä pois "laajamittaisesta skannauksesta ja DDoS-toiminnasta" kohti haavoittuvuuksien hyödyntämistä.
”Hyökkääjät kohdistavat hyökkäyksiään yhä useammin verkkosovelluksiin, tietokantoihin ja palvelimiin käyttämällä tekniikoita, kuten SQL-injektiota, polun läpikäymistä ja etäkoodin suorittamista. Tällaiset hyökkäykset on usein suunniteltu siten, että ne saavat alustavan pääsyn järjestelmiin ennen kuin ne siirtyvät syvemmälle verkkoon”, hän jatkaa.
”Jos jännitteet jatkuvat, voimme nähdä häiritsevää toimintaa, kuten verkkosivustojen turmeltumista, tietovarkauksia ja -vuotoja tai DDoS-hyökkäyksiä julkisiin palveluihin. Tuhoisat haittaohjelmat, kuten pyyhkijät, ovat mahdollisia eskaloitumisen aikana, vaikka nykyiset tiedot viittaavat pääasiassa luotaukseen ja hyväksikäyttöön pikemminkin kuin laajalle levinneisiin tuhoisiin hyökkäyksiin.”
Aika rakentaa selviytymiskykyä
Tuho oli Strykerin pelin henki, ja sen mukaan raportit Se ei edes vaatinut haittaohjelman toimittamista – vain Intune-järjestelmänvalvojan tilin murtautumisen. Tämä osoittaa, miksi kokonaisvaltaisten ongelmien sietokyvyn parantamiseen tähtäävien toimien on oltava etusijalla.
NCSC kehottaa Yhdistyneen kuningaskunnan tietoturvaviranomaisia tutustumaan aiemmin annettuihin ohjeisiin DDoS-hyökkäykset, tietojenkalastelutoiminta ja teollisuuden ohjausjärjestelmien kohdentaminen (ICS). Niille, joilla on toimitusketjuja tai toimistoja alueella, se suosittelee sen opas resilienssiin lisääntyneiden uhkien aikana. Kriittisen infrastruktuurin (CNI) tarjoajat ovat kehotettu valmistautumaan nyt.
SonicWallin Creanin mukaan tietoturvajohtajien tulisi keskittyä näkyvyyteen, korjauksiin ja valmistautumiseen.
”Yritysten tulisi myös tarkastella toimitusketjunsa altistumista ja arvioida keskeisten toimittajien ja kumppaneiden kyberturvallisuustilannetta. Tehostettu valvonta epätavallisen todennustoiminnan, verkkosovellusten poikkeavuuksien ja sivuttaisliikkeen varalta voi auttaa havaitsemaan varhaisia merkkejä tietomurroista”, hän lisää.
”Lopuksi, tietoturvaloukkauksiin reagointisuunnitelmien tulisi olla testattuja ja valmiita, jotta organisaatiot voivat reagoida nopeasti, jos geopoliittisiin jännitteisiin liittyvä kybertoiminta alkaa levitä.”
Expelin uhkatoimintojen johtaja James Shank kehottaa turvallisuusjohtajia pysymään rauhallisena ja keskittymään "perusasioihin" turvallisuustilanteen parantamiseksi.
”Painota viestinnän epäluuloisuuden tärkeyttä ja sovella tätä myös palvelupisteeseesi. Harkitse lisätarkastusten lisäämistä esimerkiksi salasanan vaihtojen tai monityhjennyksen muutosten varalta”, hän kertoo IO:lle. ”Tiukenta todennusta lisäämällä haasteiden tiheyttä, lyhentämällä istuntojen aikakatkaisuja ja valvomalla tiukemmin käyttöoikeuskäytäntöjä. Painota vähimmäisoikeuksien käyttöä ja lukitse käyttöoikeuksien hallinta.”
Tietoturvajohtajien tulisi myös auditoida lokitietoja epäilyttävien kirjautumisten, sivuttaisliikkeen ja oikeuksien eskaloitumisen varalta ottaen huomioon ennalta määrättyjen käyttöoikeuksien mahdollisuuden. Myös OT-havaittavuus on tärkeää, joten toimintaterapia/ICS tulisi sisällyttää näihin auditointeihin.
”Lopuksi, lisää tiimiesi välistä viestintää”, Shank neuvoo. ”Kontekstin jakaminen tietoturvan, IT:n, operatiivisen teknologian ja yrityksen välillä hidastaa hyökkääjiä odotettua enemmän.”
Kuri kaaoksen keskellä
Shank jatkaa, että standardit, kuten ISO 27001, voivat olla tällaisina aikoina tärkeässä roolissa kurinpidon valvonnassa. ”Kriisihetket voivat johtaa kaaokseen, ylivirittäytymiseen ja prioriteettien epäselvyyteen”, hän sanoo. ”Viitekehykset tarjoavat ohjeita selkeän ja johdonmukaisen vastuuvelvollisuuden ylläpitämiseksi, mikä tarkoittaa, että kaaos hallitaan ja huolellisuus voittaa.”
SonicWallin Crean on samaa mieltä ja väittää, että parhaiden käytäntöjen viitekehykset tarjoavat kyberriskien hallintaan kipeästi tarvittavaa rakennetta.
”ISO 27001 on maailmanlaajuinen viitekehys tietoturvallisuuden hallintajärjestelmän rakentamiseksi, joka auttaa organisaatioita tunnistamaan kriittiset resurssit, arvioimaan riskejä ja toteuttamaan asianmukaisia valvontatoimia. Se kattaa muun muassa käyttöoikeuksien hallinnan, tietoturvaloukkauksiin reagoinnin, toimittajien turvallisuuden ja liiketoiminnan jatkuvuuden”, hän päättelee.
”Vaikka standardit eivät yksinään pysty estämään kyberhyökkäyksiä, ne auttavat varmistamaan, että organisaatioilla on hallintotapa, prosessit ja selviytymiskyky, joita tarvitaan tehokkaaseen reagointiin uhkien kasvaessa geopoliittisen jännitteen aikana.”
