Kuusi tapaa suojata yrityksesi toimitusketjuhyökkäyksiä vastaan – opas PK-yrityksille

Toimitusketjuhyökkäykset voivat kohdata kaiken kokoisia yrityksiä. Lue vinkkimme, kuinka turvata oma liiketoimintasi.

Illustration ransomware evolving

Olet saattanut lukea uutisia yritysten toimitusketjuihin kohdennetuista kyberhyökkäyksistä. Viime vuoden lopulla kansainvälinen infrastruktuurijärjestelmiä tarjoava SolarWinds joutui Sunburst-nimisen toimitusketjuhyökkäyksen kohteeksi, jossa vaarantui useita heidän asiakkaitaan.

Tämänkaltaiset toimitusketjuhyökkäykset voivat kohdata kaiken kokoisia yrityksiä, jonka vuoksi tietoturva-asiantuntijamme ovat koonneet kuusi tapaa, joiden avulla pienet- ja keskisuuret yritykset voivat madaltaa riskiä joutua tällaisten hyökkäysten kohteeksi ja minimoida niiden aiheuttamat vahingot, mikäli näin tapahtuu.

Mikä on toimitusketjuhyökkäys?

Toimitusketjuhyökkäys on kyberrikollisten käyttämä taktiikka, jonka avulla voidaan tunkeutua kohdeyritykseen sen tavaran- tai ohjelmistotoimittajien kautta. Hyökkääjät hyödyntävät jo valmiiksi olemassa olevaa luottamusta ja yhteyttä kumppaniyritysten välillä päästäkseen käsiksi kohteeseensa. Toimitusketjuhyökkäyksiä on kahdenlaisia:

  1. Useilla yrityksillä on käytössä edistyneet kyberturvaratkaisut. Tästä syystä rikolliset ovat havainneet, että tällaisiin kohteisiin on helpompaa hyökätä heidän toimitusketjunsa kautta. Tällaisissa tapauksissa hyökkääjä murtautuu kohdeyrityksen tavarantoimittajan järjestelmään hyväksikäyttäen tämän heikkoa suojausta, jonka ansiosta hyökkääjä pääsee levittämään hyökkäyksensä varsinaiseen kohteeseensa.
  2. Toisessa metodissa hyökkääjä hyödyntää skaalaetuja hyökkäämällä yritykseen, jolla on suuri määrä asiakkaita. Tavoitteena tällöin on käyttää hyväksi yrityksen järjestelmiä ja tätä kautta levittää haittaohjelmia edelleen heidän asiakkaisiinsa.

Miten tämä vaikuttaa PK-yrityksiin?

Suurin osa PK-yrityksistä eivät yleensä ole ensimmäisen kuvaillun hyökkäystavan kohteena (poikkeuksia lukuun ottamatta), mutta ne voivat joutua hyökkäyksen kohteeksi tilanteessa, jossa hyökkääjä tavoittelee pääsyä heidän asiakasyritykseensä. Yritykset voivat joutua hyökkäyksen kohteeksi myös omien tavarantoimittajiensa kautta.

Huomionarvoista on myös se, että vaikka yritys olisikin pieni, se ei tarkoita sitä, etteikö sitä voitaisi pitää korkean profiilin kohteena. Joillain PK-yrityksillä on hallussaan arvokasta aineetonta omaisuutta (kuten lähdekoodia ja asiakas- tai potilastietoja), joka tekee niistä hyökkäämisen arvoisen kohteen kyberrikollisille. Kuitenkin tällaiset tapaukset ovat vain pieni osa iskuista.

Kuusi tapaa suojata liiketoimintasi rajoitetulla budjetilla

Aloitetaan huonoilla uutisilla: mikäli joudut hienostuneen, valtion tukeman, hyökkääjän kohteeksi, edes kattavin puolustusjärjestelmä ei suojaa sinua täysin. Tämä johtuu siitä, että hyökkääjä käyttää hyväkseen olemassa olevia luottamussuhteita. Yleensä sinun on täytynyt antaa palveluntarjoajillesi kattavat oikeudet järjestelmiisi pystyäksesi hyödyntämään heidän palveluitaan täysivaltaisesti, ja tätä hyökkääjä voi käyttää hyväkseen.

Ainut tapa varmistaa infrastruktuuri-hallintajärjestelmäsi täydellinen suojaus on estää palveluntarjoajasi pääsy järjestelmiisi, mikä tietysti sotii tarkoitusta vastaan.

Hyvä uutinen on se, että monet toimitusketjuihin iskevistä hyökkääjistä eivät ole yhtä hienostuneita kuin Sunburst, ja on olemassa muutamia yleisiä sääntöjä, joita noudattamalla voit suojella liiketoimintaasi, tai ainakin minimoida mahdollisten hyökkäysten aiheuttamat vahingot, mikäli ne läpäisevät ensimmäisen suojaustason.
Näiden avulla kykenet reagoimaan uhkiin, ennen kuin ne aiheuttavat vahinkoa.

    1. Valitse toimittajasi huolella. Voit, ja sinun pitäisikin kysyä vaikeita kysymyksiä toimittajiltasi. Sertifikaatit kuten ISO27001 tai ISAE 3000 ovat tärkeitä, mutta eivät yksinään takaa mitään. Sinun tulisi kysyä toimittajasi turvallisuuskäytännöistä ja pyytää turvallisuusarviointiraportteja tai muita todistuksia siitä, miten turvallisuusasioista on huolehdittu. Ongelmaksi saattaa muodostua tilanne, jossa vakiintuneet tavarantoimittajat, joilla on vakiintuneet turvallisuuskäytännöt ja tiukemmat säännöt saattavat olla houkuttelevampia kohteita tällaisille hyökkäyksille. Tietenkin sitä, kuka joutuu hyökkäyksen kohteeksi, on mahdotonta ennustaa, joten sinun tulisi aina pyytää toimittajaltasi selvitys heidän turvallisuusprosessistansa. Hyvä merkki tiukasta prosessista on toimittajan avoimuus ja halukkuus tulla tarkastetuksi, joten voit ehdottaa tätä, vaikka et välttämättä kävisikään kaikkea läpi.

    2. Myönnä toimittajallesi ainoastaan välttämättömät oikeudet järjestelmääsi ja tarkista oikeuksien tason asianmukaisuus säännöllisesti. Luo ennakoiva suunnitelma vahinkojen minimoimiseksi siltä varalta, että kumppanisi joutuisi hyökkäyksen kohteeksi. Pidä annettujen oikeuksien määrä aina minimissään (koskee myös omaa henkilökuntaa). Jos esimerkiksi käytät ulkoista verkkojärjestelmän hallintaa, heidän tunnuksillaan ei tulisi olla pääsyä mihinkään muualle. Minimioikeuksien periaate kaikille käyttäjille tarkoittaa myös sitä, että hyökkäyksen tapahtuessa myös hyökkäys rajoittuu näihin oikeuksiin.

    3. Tee uhkasimulaatio harjoituksia (edes kevyitä). Tämä tarkoittaa kaikkien kolmannen osapuolen palveluiden oikeuksien tarkastelua ja miten näitä voitaisiin väärinkäyttää. Sen jälkeen tulisi käydä läpi tapoja, joilla sinä tai palveluntarjoajasi voisi estää tai rajata vahinkojen syntymisen hyökkäystilanteessa.

    4. Harkitse kolmannen osapuolen valvontamahdollisuuksia kuten EDR-ratkaisua (Endpoint Detection and Response). Kaikkien hyökkäysten estäminen ei ole mahdollista (varsinkin jos nämä tapahtuvat luotettujen kumppaniesi kautta), mutta mitä aikaisemmassa vaiheessa hyökkäys havaitaan, sitä parempi. EDR-ratkaisumme analysoivat liikennettä verkossasi ja järjestelmissäsi havaitakseen epäilyttäviä toimintoja. 

    5. Huolehdi, että sinulla on suunnitelma vastataksesi uhkaan. Näemme usein tapauksia, joissa yrityksillä ei ole valmiutta nopeaan reagointiin saadessaan hälytyksen tietomurrosta. Uhkaan vastaamista tulisi harjoitella etukäteen kaikilla osa-alueilla (tekninen, oikeudellinen ja viestinnällinen).

    6. Huolehdi perusasiat kuntoon. Sunburst alkoi yrityksellä hiljentää kohteen haittaohjelmasuoja, eli EPP-ohjelma. Päätelaitesuojauksen poiskytkentä on selkeä merkki siitä, että jotain on tapahtumassa ja tätä tulisi ehdottomasti tarkkailla. Se, että meillä on tänä päivänä käytössämme uuden sukupolven suojausratkaisut, ei tarkoita sitä, että voisimme unohtaa perusasiat, kuten haittaohjelmasuojauksen tai palomuurin kunnossapidon. Tietenkin pilviympäristössä toimintatavat ympäristön suojaamiseksi vaativat erilaisia työkaluja, mutta perusajatus kaiken taustalla on edelleen sama.

     

Ota yhteyttä

Täytä alla oleva lomake, niin olemme sinuun pian yhteydessä.

Käsittelemme meille jakamiasi henkilötietojasi yritysliiketoiminnan tietosuojakäytäntömme mukaisesti.

Featured Articles