You are currently viewing GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

  • Artikkelin kirjoittaja:
  • Artikkelin kategoria:GDPR

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus

Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei pidetä ajan tasalla päivityksien avulla, niiden laatu heikkenee ohjelmien vanhentuessa. Yrityksien hallussa on nykyään valtavia määriä tietoa, jonka johdosta yrityksistä voi helposti tulla alttiita verkkohyökkäyksille.

Tech Republicin mukaan vuonna 2018 kaikista verkkohyökkäyksistä yleisin oli erilaiset haittaohjelmat. Haittaohjelmiin liittyvissä hyökkäyksissä, kyberrikolliset varastavat uhrin henkilökohtaisia tietoja tämän tietokoneelta, käyttäen vakoiluohjelmia sekä etäältä hallittavia haittaohjelmia.

Seuraavaksi yleisin verkkohyökkäyksen muoto on hakkerointi. Hakkeroinnissa hyökkääjää käyttää hyväkseen kohteensa  ohjelmistojen ja laitteistojen heikkouksia. Hakkerit aiheuttavat eniten haittaa hallituksille, pankeille sekä kryptovaluutta alustoille. Viimeisimmässä tapauksessa, Saksan liittokansleri Angela Merkelin Twitter tili hakkeroitiin ja henkilökohtaisia tietoja vuodettiin tililtä julkisuuteen. Tapaus kertoo siitä, että korkeassa virassa olevat valtion työntekijätkään eivät ole suojattuja tietoturvaloukkauksilta.

Muita verkkohyökkäyksen muotoja:

  • Verkkohyökkäykset, joissa kohteina ovat yrityksien avainasemissa työskentelevät henkilöt. Hyökkääjät valikoivat kohteikseen henkilöitä, joiden kautta on helppo päästä käsiksi yrityksen kannalta tärkeisiin tietoihin ja tietojärjestelmiin. Hyökkääjät käyttävät hyväkseen erilaisia sosiaalisen median kanavia, kuten LinkedIn palvelua. Verkkohyökkäyksen tehokkuus perustuu ihmisten välisiin vuorovaikutuksiin ja ideana on päästä käsiksi yritykselle tärkeisiin tietoihin sen työntekijöiden kautta.
  • Web sivustojen hyökkäykset. Kyberrikolliset voivat käyttää verkkosivujen asiakastietokantoja ja muuta dataa kiristysvälineenä uhaten yrityksiä verkkosivujen sulkemisella tai tietovuodolla.
  • DDoS –(Denial of Service attack) Palvelunestohyökkäys on verkkohyökkäyksen muoto, jota käyttävät lähinnä kilpailijat, tyytymättömät asiakkaat sekä erilaiset hakkerointi aktivistit. Palvelunestohyökkäykset kohdistuvat yleensä valtion toimielimiin. Palvelunestohyökkäys lamauttaa järjestelmän toiminnan, jolloin se ei voi vastata palvelupyyntöihin. Palvelunestohyökkäys on myös hyökkäys järjestelmän resursseja vastaan, mutta se käynnistetään useammalta isäntäkoneelta, johon hyökkääjien haittaohjelma on jo tarttunut.

Terveydenhuoltoala on erityisen riskialtis verkkohyökkäyksille, tietojen arkaluonteisuuden vuoksi. Erityisesti kiristyshaittaohjelmat ovat yleinen verkkohyökkäyksen muoto. Vuonna 2017 terveydenhuoltoala kärsi 45% kaikista kiristyshaittaohjelmiin liittyvistä hyökkäyksistä. Rahoitusalan yritykset kärsivät 12%, teollisuus 7%, koulutus ja vähittäiskauppa molemmat 6% sekä matkailuala 7%. Muut alat kuten, julkinen sektori sekä kiinteistöala saivat osuudekseen yhteensä 8% kaikista kiristyshaittaohjelma hyökkäyksistä. Europolin tekemän raportin mukaan kirityshaittaohjelmat vähenivät 30% vuonna 2018 verrattuna vuoteen 2017. Kiristyshaittaohjelmat ovat kuitenkin edelleen suurin uhka kaikista haittaohjelmien eri tyypeistä. Kiristyshaittaohjelmien koodaukset ovat muihin verrattuna paljon kehittyneempiä, mikä tekee uhkien tunnistamisesta huomattavasti haastavampaa.

Kuinka kiristyshaittaohjelmat liittyvät Yleiseen tietosuoja-asetukseen?

Kiristyshaittaohjelmat ovat haittaohjelmia, jotka uhkaavat julkaista arkaluonteisia tietoja uhristaan tai vastaavasti estää kiristyksen kohteensa pääsyn omiin tietoihinsa. Kiristyshaittaohjelmat ovat yksi yleisimmistä haittaohjelmatyypeistä sekä Suomessa että maailmalla. Kiristyshaittaohjelmaksi luokitellaan sellaiset haittaohjelmat tai verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila ja saada käyttäjä maksamaan tietty summa rahaa tietokoneen toimintakyvyn palauttamiseksi.

Haittaohjelmatyypit:

  • Arkaluonteisten tietojen tilapäinen tai pysyvä hävittäminen
  • Toimintojen häiritseminen verkon kaatamisen avulla
  • Lunnasmaksu vaatimus: Jotta järjestelmä palautuu toimintakykyiseksi tai varastetut tiedot palautetaan.

Kun kiristyshaittaohjelmat saavat haltuunsa yrityksen tietoja yksityishenkilöistä, voivat yksityishenkilöiden oikeudet vaarantua. Tämän vuoksi kiristyshaittaohjelmien tuomat ongelmat liittyvät myös Yleiseen Tietosuoja-asetukseen, sillä haittaohjelmat uhkaavat myös henkilöiden yksityisyyttä.

Useimmiten yritykset ovat valmistautuneet hyvin GDPR:n asettamiin vaatimuksiin, mutta aliarvioivat haittaohjelmien mahdollisia vaikutuksia. Haittaohjelmat voivat vaarantaa yrityksen hallussa olevia henkilötietoja, jonka vuoksi on tärkeää, että yritykset arvioivat huolellisesti haittaohjelmien ja verkkohyökkäyksien vaikutuksia tietosuojaan.

Jos henkilötietoja vaarantuu verkkohyökkäyksen johdosta, tulee viranomaisille ilmoittaa asiasta 72 tunnin kuluessa. Ilmoituksen tulee sisältää tietoja tietoturvaloukkauksen tyypistä, vaarantuneista henkilötiedoista sekä toimenpiteet joita tullaan tekemään haitallisten vaikutusten vähentämiseksi. Jos tietoturvaloukkaus on laadultaan vakava ja vaarantuneet henkilötiedot ovat erityisen arkaluonteisia, tulee kyseisille henkilöille kertoa tietoturvaloukkauksesta. Viranomaisille pitää ilmoittaa aina, jos arkaluonteisia henkilötietoja vaarantuu tietoturvaloukkauksen aikana.  Jos yritys ei pysty osoittamaan, että GDPR:n asettamia vaatimuksia on noudatettu, on mahdollista että yritykselle määrätään viranomaisen toimesta sanktioita.

Onko Kiristyshaittaohjelma automaattisesti myös tietovuoto?

Useat kiristyshaittaohjelmien laatijat pyrkivät arvioimaan mahdollisen sakon suuruuden, jonka yritys joutuisi maksamaan jos GDPR:n asettamia vaatimuksia rikotaan. Tällöin lunnasvaatimukset vastaavat mahdollisen sakon suuruutta. Hyökkääjät olettavat yrityksen maksavan mieluummin lunnasrahan, kuin ilmoittavan hyökkäyksestä paikallisille viranomaisille, joka johtaisi automaattisesti asian viralliseen tutkintaan. Tutkinnan yhteydessä voitaisiin löytää lisää todisteita tietosuoja rikkomuksista.

Suurin osa yrityksistä kuitenkin ymmärtää, että sanktioista tulee huomattavasti todennäköisempi vaihtoehto jos kiristyshaittaohjelman aiheuttamasta tietovuodosta jättää ilmoittamatta viranomaisille. On nimittäin myös mahdollista, että kiristyshaittaohjelmaa ei lasketa tietoturvaloukkaukseksi lainkaan, varsinkin jos haittaohjelma lamaannuttaa vain ohjelmien toiminnan eikä aiheuta vaaraa henkilötietojen osalta.

Kuinka kirityshaittaohjelmia voidaan välttää?

Tietosuoja-asiantuntijat odottavat kiristyshaittaohjelmien lisääntymistä tulevaisuudessa. Mikä tahansa yritys, koosta riippumatta voi joutua hyökkäyksen kohteeksi. Hyökkääjät ovat tietoisia siitä, että viranomaisen määräämä sanktio voi olla kohtalokas yrityksen liiketoiminnan kannalta. Tämän vuoksi on erityisen tärkeää varmistaa, että verkko on suojattu tietoturvahyökkäyksiä vastaan.

Tärkeimmät kiristyshaittaohjelmien torjuntatavat:

  • Päivitä ohjelmisto
  • Hanki virustorjuntaohjelma, jolla on lisenssi. Oikeanlaisen työkalun avulla hyökkäyksiä voidaan ehkäistä ja järjestelmää pystytään suojaamaan.
  • Siirrä tiedostaja pilvipalveluihin. Pilvipalveluilla on usein asianmukaiset ja riittävät turvatoimenpiteet, joiden avulla tiedostaja pystytään suojaamaan.
  • Salasanojen käyttö. Vaadi salasanoja mahdollisimman usean ohjelman kohdalla, hyökkääjän on vaikeampi päästä käsiksi tiedostoihin salasanan ollessa vahva.
  • Tarkista sähköpostit haittaohjelmien ja spam-sähköpostien varalta.
  • Pidä varmuuskopioita offline-tiedostoissa ja pidä tiedostot ajan tasalla.
  • Poista käyttämättömät palvelutilit.
  • Henkilöstökoulutus – Henkilöstön tulee ymmärtää kiristyshaittaohjelmien pääpiirteet sekä toimintamallit hyökkäyksen sattuessa.