Toimitusketjuhyökkäyksissä yritykseen tai julkiseen organisaatioon yritetään tunkeutua yhteistyökumppanin tai alihankkijan kautta. Suomalaistenkin organisaatioiden kannattaa varautua tähän kasvavaan kyberuhkaan, kirjoittaa Supon ylitarkastaja Sari Sarani.

Toimitusketjuhyökkäys voi kuulostaa etäiseltä ja hankalalta asialta. Se on kuitenkin hyvin konkreettinen nykypäivän kyberuhka, johon suomalaistenkin yritysten ja julkisten organisaatioiden on syytä varautua. Jos toimitusketjuhyökkäys kohdistuu kriittiseen toimijaan, sillä voi olla vaikutuksia isojenkin ihmisjoukkojen elämään myös Suomessa. 

Toimitusketjuhyökkäyksessä kohdeyritykseen pyritään tunkeutumaan yhteistyökumppanien kautta. Kohteena ovat varsinaisen kohdeyrityksen yhteistyökumppanit, kuten tavarantoimittajat tai huoltoyhtiö. 

Ensin murtaudutaan yhteistyökumppanin verkkoon, minkä jälkeen voidaan edetä kohdeyrityksen verkkoa kohti hyödyntämällä kohdeyrityksen ja yhteistyökumppanin välistä luottamussuhdetta.

Kyberturvallisuuden hallitsemisesta onkin tullut yrityksille ja julkisille organisaatioille yhä monimutkaisempi kokonaisuus. Yksittäisen organisaation toimintaan voivat vaikuttaa lukuisat alihankkijat ja yhteistyökumppanit. Kyberturvallisuus on harvemmin enää vain yhden organisaation sisäinen asia. On tärkeää varmistaa, että koko ketjun turvallisuus on kunnossa.

Myös Supon Kansallisen turvallisuuden katsaus 2021 nosti esille kyberuhat sekä ulkoistuksiin liittyvät mahdolliset haavoittuvuudet ja riskit. 

Kun ketju pettää, ongelma voi levitä laajallekin

Yksi tunnettu esimerkki toimitusketjuhyökkäyksestä oli heinäkuussa etähallintapalveluintarjoajiin kohdistunut tunkeutuminen, jossa hyödynnettiin yhdysvaltalaistaustaisen teknologiayritys Kaseyan etähallintaohjelmiston haavoittuvuutta. Ohjelmistoilla ohjataan miljoonia järjestelmiä eri puolilla maailmaa. Lukuisat palveluntarjoajat käyttävät Kaseyan tuottamia etähallintaohjelmistoilla omien asiakkaidensa järjestelmien etähallintaan. 

Tunkeutuja välitti Kaseyan ohjelmiston mahdollistaman etäpäivitystoiminnon kautta haitallista koodia joillekin Kaseyan asiakkaista. Vaikka kohteiden määrä ei ollut suuri, ne olivat palveluntarjoajia, joilla on edelleen suuri määrä asiakkaita. 

Kaseya irrotti palvelunsa verkosta, jotta tunkeutuja ei pystyisi vaikuttamaan muihin asiakkaisiin. Tällöin kaikkien palveluista riippuvaisten asiakasketjujen toiminta pysähtyi, vaikkeivat ne olleet tunkeutujan kohteena. Esimerkiksi Euroopassa suuren päivittäistavarakaupan kassajärjestelmä lakkasi toimimasta, ja kauppa joutui sulkemaan kaikki myymälänsä. 

Tapaus kuvaa hyvin, miksi kaikenkokoisten organisaatioiden tulisi kiinnittää huomiota oman toimitusketjunsa turvallisuuteen. 

Mitä yritys tai julkinen organisaatio voi tehdä suojautuakseen? 

Vaikka kyberuhkat ovat käyneet monimutkaisemmiksi, voi organisaatio myös tehdä paljon suojautuakseen. Turvallisuutta voi parantaa yksinkertaisin askelin. Tarkastelun voi aloittaa esimerkiksi kartoittamalla yhteistyökumppanit, joilla on pääsy organisaation järjestelmiin tai toimitiloihin. 

Yhteistyökumppanien kanssa voi olla tarpeen sopia turvallisuuskäytännöistä tekemällä sopimus, johon on kirjattu turvallisuuteen liittyvät käytännöt ja vaatimukset. Yhteistyökumppaneilta voi pyytää selvityksen heidän turvallisuusprosesseistaan ja arvioida, onko niissä parantamisen varaa. Esimerkiksi lokitietojen keräämisen ja tallettamisen merkitystä ei voi kyllin korostaa, sillä ne ovat avain poikkeaman selvittämiseen jälkikäteen. 

Yhteistyökumppanien osalta on syytä pohtia turvallisuuskäytäntöjen lisäksi myös käytännön työn tekemistä. Erilaisten käyttöoikeuksien suhteen on syytä varmistaa, että niitä on vain ihmisillä, jotka tarvitsevat niitä työnsä tekemiseen. Tämä koskee sekä digitaalisen että fyysisen ympäristön pääsy- ja käyttöoikeuksia. Oikeuksien ajantasaisuus tulisi tarkistaa säännöllisesti.

Harjoittele etukäteen, jotta asiat toimivat tositilanteessa

Harjoittelemalla tunkeutumistilanteita edes ajatuksen tasolla voidaan minimoida – ja parhaassa tapauksessa estää – vahingot kokonaan. Ajatustapa on sama kuin esimerkiksi poistumisharjoittelussa. Tositilanteen sattuessa ei ole aikaa miettiä, miten pitää toimia, vaan rajoittaviin toimenpiteisiin on ryhdyttävä viipymättä. 

Aikaa ei tulisi tuhlata sen miettimiseen, kenelle asiasta pitäisi ilmoittaa ja mihin toimenpiteisiin ryhtyä. Tämän tulisi olla kaikilla tiedossa. Oikeilla toimenpiteillä voidaan myös mahdollistaa tunkeutujan jäljittäminen, kun taas pahimmillaan voidaan tuhota hyödyllistä tietoa.

Kybermaailman uhkat monimutkaistuvat, eivätkä ne tule katoamaan lähitulevaisuudessa. Uhkien suhteen ei kannata kuitenkaan missään nimessä lannistua. Kyberturvallisuutta voidaan parantaa jokaisessa yrityksessä ja organisaatiossa yksinkertaisin askelin. Niiden laiminlyöntiin ei kenelläkään ole tänä päivänä varaa