Viime vuosina on nähty useita korkean profiilin kyberhyökkäyksiä toimitusketjuhyökkäyksistä nollapäivähaavoittuvuuksiin, kiristysohjelmista syvähuijauksiin. Uhkatoimijat kehittävät yrityksiään päästä käsiksi yritysten verkkoihin, varastaa arkaluonteisia tietoja ja huijata organisaatioita.
Tässä halloween-blogikirjoituksessa IO:n johtotiimi jakaa tapahtumia, jotka saivat heidät kylmille väreille.
Lasten koulut – toimitusketjun hyökkäys
Talousjohtajamme Jon Orpen sanoo:
Syyskuussa hakkerit pääsivät käsiksi tuhansien lasten tietoihin päiväkotiketjussa. Lasten koulutHe saivat alun perin pääsyn tietoihin lastenhoidon hallintaohjelmiston, Famlyn, kautta. Hyökkääjät julkaisivat verkossa 20 lapsen profiilit ja uhkasivat julkaista lisää, ellei heille maksettaisi Bitcoineilla. He uhkasivat myös vanhempia suoraan puhelinsoiton kautta. Minulla on pieniä lapsia ja olen käynyt läpi "päiväkotijärjestelmän", joten tämä hyökkäys todella resonoi minussa.
Pian uhkausten esittämisen jälkeen julkinen vastareaktio oli voimakas. Hyökkääjät poistivat julkaisut ja väittivät poistaneensa tiedot. Hyökkäystä tuomittiin kyberrikollisten "uudeksi pohjanoteeraukseksi". Hyökkäys kuitenkin osoittaa, että kyberrikolliset ovat hyökkäyksissään valikoimattomia ja valmiita jopa lapsiin kohdistamaan iskujaan tavoitteidensa saavuttamiseksi.
Kido Schoolsin kyberhyökkäys on vain yksi monista viimeaikaisista korkean profiilin hyökkäyksistä, joissa uhkatoimijat kohdistivat toimintansa toimittajiin päästäkseen käsiksi organisaatioiden arkaluonteisiin tietoihin. Tietoturvan tilaraportti 2025 havaitsi, että kolme viidestä (61 %) vastaajista oli kokenut kolmannen osapuolen toimittajan tai toimitusketjukumppanin aiheuttaman kyberturvallisuus- tai tietoturvapoikkeaman ja yli neljännes (27 %) oli kokenut sen useammin kuin kerran.
Toimittajien tietoturvatoimenpiteiden tarkistaminen on välttämätöntä nykyisessä uhkakuvassa.
Oracle E-Business Suite – nollapäivähaavoittuvuus
Tietosuojavastaavamme Sam Peters sanoo:
Oracle korjasi hiljattain E-Business Suiten haavoittuvuuden. CVE-2025-61884, jota uhkatoimijat ovat saattaneet käyttää arkaluonteisten yritystietojen vuotamiseen useista yrityksistä. Oraclen päivityksessä haavoittuvuutta kuvailtiin "etänä hyödynnettäväksi ilman todennusta, eli sitä voidaan hyödyntää verkon kautta ilman käyttäjätunnusta ja salasanaa. Jos sitä hyödynnetään onnistuneesti, tämä haavoittuvuus voi sallia pääsyn arkaluonteisiin resursseihin".
Yritys korosti, että se suosittelee asiakkaille pysymistä aktiivisesti tuetuissa versioissa ja tietoturvahälytysten ja kriittisten päivitysten asentamista viipymättä.
Vaikka nollapäivähyökkäykset ovat luonteeltaan arvaamattomia, yritykset voivat vahvistaa puolustustaan varmistamalla, että ohjelmistot ovat ajan tasalla, että korjauspäivitykset on asennettu, ja omaksumalla kokonaisvaltaisen lähestymistavan riskienhallintaan. ISO 27001 -standarditarjoaa esimerkiksi kehyksen, joka tukee yrityksiä vankan tietoturvallisuuden hallintajärjestelmän rakentamisessa ja ylläpidossa sekä operatiivisen sietokyvyn vahvistamisessa hyökkäyksen sattuessa.
ISO 27001 -standardin vaatimustenmukaisuuden edellyttämien kattavien ja harkittujen tapausten hallinta- ja liiketoiminnan jatkuvuussuunnitelmien toteuttaminen antaa organisaatioille mahdollisuuden reagoida nopeasti nollapäiväisiin hyökkäyksiin ja minimoida vahingot.
Marks & Spencer – Toimitusketju ja kiristysohjelmahyökkäys
Toimitusjohtajamme Chris Newton-Smith sanoo:
Hyökkäys Brittiläinen vähittäiskaupan jättiläinen Marks & Spencer (M&S) nousi otsikoihin tämän vuoden huhtikuussa. Uhkatoimijat keräsivät asiakastietoja ja käyttivät kiristysohjelmia, jotka häiritsivät yrityksen IT-järjestelmiä sekä verkko- ja myymälätoimintoja, mikä johti arviolta 700 miljoonan punnan taloudellisiin tappioihin.
Hyökkääjien kerrottiin käyttäneen sosiaalista manipulointia ja kohdistaneen hyökkäyksensä M&S:n ICT-toimittajaan saadakseen pääsyn järjestelmään. He esiintyivät M&S:n työntekijänä ja suostuttelivat kolmannen osapuolen palveluntarjoajan nollaamaan sisäisen käyttäjän salasanan. Päästyään verkkoon he keräsivät myös arkaluonteisia asiakastietoja ennen kuin käyttivät kiristysohjelmaa M&S:n järjestelmien salaamiseksi.
Yritys sulki nopeasti verkkotilausjärjestelmät ja keskeytti kontaktittomat maksut estääkseen lisävahingot ja palautti fyysisen myynnin manuaalisiin prosesseihin. Se osallistui myös lainvalvontaviranomaisiin, palkkasi ulkopuolisia kyberturvallisuusasiantuntijoita ja tiedotti tapahtumasta ja sen jatkuvasta vaikutuksesta asiakkaille. Vaikka joissakin raporteissa arvosteltiin jälleenmyyjää liiketoiminnan jatkuvuussuunnitelmien ja tapahtumatilanteisiin reagointisuunnitelmien puutteesta, on selvää, että M&S ryhtyi välittömästi toimiin lisäriskien lieventämiseksi.
Tämä monikerroksinen hyökkäys osoittaa jatkuvan kolmannen osapuolen riskienhallinnan tärkeyden yrityksille; se korostaa myös verkon segmentoinnin tarvetta hyökkäyksen sattuessa aiheutuvien vahinkojen laajuuden rajoittamiseksi.
ISO 27001 -standardi voi jälleen tukea organisaatioita tässä. Standardin noudattaminen ja sertifiointi edellyttävät organisaatioilta tarvittavien tietoturvatoimenpiteiden arviointia ja käyttöönottoa, mukaan lukien säännölliset varmuuskopiot, laajempiin liiketoiminnan jatkuvuussuunnitelmiin kuuluvat tietoturvatoimenpiteet sekä toimintasuunnitelmalliset toimenpiteet poikkeamien tunnistamiseksi, arvioimiseksi, niihin reagoimiseksi ja hallitsemiseksi.
Arup – tekoälyn syväväärennös
Markkinointijohtajamme Dave Holloway sanoo:
Tämän vuoden Tietoturvan tilaraportti osoittaa syvähuijaustapausten määrän laskua vuoden 2024 raporttiimme verrattuna (20 % vs. 30 %), mutta tekoälyyn perustuvat uhat ovat edelleen organisaatioiden mielessä. Yksi merkittävä ja erittäin hienostunut syvähuijaushyökkäys viime vuonna aiheutti insinööritoimisto Arupille 25 miljoonan dollarin tappiot kyberrikollisille.
Raportin mukaan Arupin työntekijää manipuloitiin suorittamaan maksutapahtuma, kun tekijät esiintyivät yrityksen johtajina huijausvideoneuvottelussa. Työntekijä epäili aluksi saaneensa tietojenkalasteluviestin, koska siinä ilmoitettiin maksutapahtuman suorittamisen tarpeellisuudesta. Hyökkääjät kuitenkin käyttivät tekoälyn luomia syvähuijauksia esiintyäkseen virkailijoina, mikä vakuutti työntekijän puhelun aitoudesta; he suorittivat sitten maksutapahtumat.
Vuonna haastattelu Maailman talousfoorumin kanssaArupin tietohallintojohtaja Rob Grieg kuvaili tapausta "teknologialla tehostetuksi sosiaaliseksi manipuloinniksi" ja epäilee, että "tätä tapahtuu useammin kuin monet ihmiset ymmärtävät".
Tekoälyyn perustuvien uhkien torjunta on jatkuva ja kehittyvä haaste yrityksille. Työntekijöiden koulutus voi varmistaa, että henkilöstö on tietoinen varoitusmerkeistä, joihin kannattaa kiinnittää huomiota, ja roolipohjaiset käyttöoikeuksien hallintajärjestelmät varmistavat, että vain tietyt työntekijät voivat käyttää tiettyjä verkkoja tai luottamuksellisia tietoja, kuten taloudellisia tietoja. Vankka ja hyvin harjoiteltu reagointisuunnitelma on kuitenkin edelleen elintärkeä, jos hyökkäys onnistuu.
Salesforce – Kiristysohjelmahyökkäys
CRO:mme Ross Down sanoo:
Focus-patjan hyökkäys CRM-palveluntarjoaja Salesforcea vastaan noudattaa samanlaista kaavaa kuin M&S:ään kohdistunut hyökkäys. Hakkerit kohdistivat hyökkäyksensä työntekijöihin ja kolmansien osapuolten sovelluksiin päästäkseen yrityksen verkkoihin ja vaaransivat väitetysti kolmannen osapuolen integraation, Salesloft Driftin, käyttämällä varastettuja OAuth-tokeneja luvattoman pääsyn saamiseksi.
Saatuaan pääsyn tietoihin uhkatoimijat pystyivät viemään merkittäviä määriä arkaluonteisia tietoja ja väittävät varastaneensa lähes miljardin tietueen kymmeniltä Salesforcen asiakkailta, mukaan lukien Fujifilm, Qantas, The Gap ja muut.
Ryhmä vaati Salesforcelta lunnaita, mutta se myös määräsi lunnaita uhrien asiakkailta ja alkoi vuotaa uhrien tietoja verkkoon. Salesforcen on kuitenkin raportoitu kieltäytyneen maksamasta lunnaita, eikä ole näyttöä siitä, että kukaan uhreista olisi maksanut lunnaita. Sen sijaan Salesforce on sittemmin poistanut Driftin yhteyden järjestelmiinsä.
Kirjoitushetkellä tapaus on edelleen käynnissä, ja hyökkääjät uhkaavat edelleen vuotaa lisää Salesforce-asiakastietoja. Tämä tapaus on jälleen yksi muistutus kolmannen osapuolen riskienhallinnan, liiketoiminnan jatkuvuussuunnittelun ja tapauksiin reagoinnin suunnittelun tärkeydestä hyökkäyksen vaikutusten vähentämiseksi ja lieventämiseksi.
Hyvä uutinen on, että organisaatiot varautuvat näihin tilanteisiin. 80 % vuoden 2025 tietoturvaraporttiimme vastanneista kertoi ottaneensa käyttöön parannettuja tietoturvaloukkauksiin varautumis- ja palautumisvalmiuksia, kun taas 18 % aikoo tehdä niin seuraavan 12 kuukauden aikana.
Riskienhallinta: Ennakointi on avainasemassa
Tekoälyn kehittyessä, toimitusketjujen kasvaessa ja hyökkäyspinnan laajentuessa kyberhyökkäykset, kuten IO:n johtoryhmän esiin tuomat tapaukset, vain monimutkaistuvat ja kehittyvät. Tietoturvallisuuden hallinnan parhaiden käytäntöjen standardien, kuten ISO 27001:n, käyttöönotto ja ISO 42001 -standardin tekoälyn hallinta antaa organisaatioille mahdollisuuden lieventää kyberriskejä sekä parantaa tapahtumien tunnistamista ja niihin reagointia.
Valmis toimimaan? Kyberhygienian tarkistuslistamme tarjoaa kymmenen parasta käytäntöä, joita yritykset voivat ottaa käyttöön kyberpuolustuksensa vahvistamiseksi.
