Trace Id is missing

Kyberuhat kohdistuvat entistä useammin maailman suurimpiin tapahtumiin

Lataa
Jaa
Kuvassa on amerikkalaisen jalkapallon stadion ja paljon erilaisia kuvakkeita.

Cyber Signals, nro 5: paljon pelissä

Uhkaavat toimijat menevät sinne, missä on kohteita, ja hyödyntävät mahdollisuuksia käynnistää kohdennettuja tai laajoja opportunistisia hyökkäyksiä. Tämä koskee myös suuria urheilutapahtumia, etenkin entistä yhdistetymmissä ympäristöissä järjestettäviä tapahtumia. Tämä aiheuttaa riskejä järjestäjille, stadioneille ja muille tapahtumapaikoille sekä osallistujille. Yhdistyneen kuningaskunnan National Cyber Security Centre (kansallinen kyberturvallisuuskeskus NCSC) havaitsi, että urheiluorganisaatioihin kohdistuvat verkkohyökkäykset ovat yhä yleisempiä. 70 prosenttia kyselyyn vastanneista organisaatioista kokee vähintään yhden hyökkäyksen vuodessa, mikä on huomattavasti enemmän kuin Yhdistyneen kuningaskunnan yrityksissä keskimäärin.

Paineet tarjota sujuvia ja turvallisia tapahtumia koko maailmalle nostaa painoksia paikallisille isännille ja tapahtumapaikoille. Yksikin väärin määritetty laite, vuotanut salasana tai huomiotta jäänyt ulkopuolinen yhteys voi johtaa tietomurtoon tai verkkoon pääsyyn.

Microsoft tarjosi kyberturvallisuustukea kriittiselle infrastruktuurille Qatarin isännöimissä jalkapallon MM-kisoissa 2022. Tässä numerossa tarjoamme ensikäden kokemuksia siitä, miten uhkaavat toimijat arvioivat ja soluttautuvat näihin ympäristöihin tapahtumapaikoissa, joukkueissa ja kriittisessä infrastruktuurissa itse tapahtuman ympärillä.

Olemme kaikki vastuussa kyberturvallisuuden ylläpitämisestä.

Microsoft suoritti yli 634,6 miljoonaa todennusta tarjotessaan kyberturvallisuussuojausta Qatarin kisainfrastruktuurille ja organisaatioille 10. marraskuuta ja 20. joulukuuta 2022 välisenä aikana.

Opportunistiset uhkaavat toimijat hyödyntävät tapahtumia, joissa on paljon kohteita

Kyberturvallisuusuhat urheilutapahtumille ja tapahtumapaikoille ovat monipuolisia ja monimutkaisia. Ne edellyttävät jatkuvaa valppautta ja sidosryhmien välistä yhteistyötä, jotta voidaan estää ja lieventää ongelmien kärjistymistä. Maailmanlaajuiset urheilumarkkinat ovat yli 600 miljardin (USD) arvoiset, joten kohde on tuottoisa. Urheilujoukkueet, suurimmat urheiluliiga, seurat ja maailmanlaajuiset urheilujärjestöt sekä viihdepaikat ovat kyberrikollisille varsinainen arvokkaiden tietojen aarreaitta.

Urheilusuorituksia ja kilpailuetua koskevat tiedot sekä henkilötiedot ovat tuottoisa kohde. Valitettavasti nämä tiedot voivat olla haavoittuvia suuressa mittakaavassa, koska näissä ympäristöissä on paljon yhdistettyjä laitteita ja toisiinsa liitettyjä verkkoja. Usein tämä haavoittuvuus ulottuu useisiin tahoihin, kuten joukkueisiin, yrityssponsoreihin, kunnallisiin viranomaisiin ja ulkopuolisiin urakoitsijoihin. Valmentajat, urheilijat ja fanit voivat myös olla alttiita tietojen menetykselle ja kiristykselle.

Lisäksi tapahtumapaikoissa ja areenoilla on monia tunnettuja ja tuntemattomia haavoittuvuuksia, joiden avulla uhat voivat kohdistua kriittisiin liiketoimintapalveluihin, kuten myyntipisteiden laitteisiin, IT-infrastruktuureihin ja kävijöiden laitteisiin. Millään kahdella suurella urheilutapahtumalla ei ole samanlaista kyberriskiprofiilia, sillä se vaihtelee muun muassa sijainnin, osallistujien, koon ja kokoonpanon mukaan.

Keskittääksemme toimemme Qatarin MM-kisojen isännöinnin aikana toteutimme ennakoivan uhkien etsinnän, jonka avulla arvioimme riskejä Defender Experts for Hunting -palvelun avulla. Se on hallinnoitu uhkien etsintäpalvelu, joka etsii ennakoivasti uhkia päätelaitteista, sähköpostijärjestelmistä, digitaalisista käyttäjätiedoista ja pilvisovelluksista. Tässä tapauksessa tekijöihin kuuluivat muun muassa uhkaavien tekijöiden motivaatio, profiilin kehittäminen ja reagointistrategia. Otimme huomioon myös maailmanlaajuiset uhkatiedot geopoliittisesti motivoituneista uhkaavista toimijoista ja tietoverkkorikollisista.

Tärkeimpiä huolenaiheita olivat muun muassa tapahtumapalveluihin tai paikallisiin tapahtumapaikkoihin kohdistuvat kyberhäiriöriskit. Häiriöt, kuten kiristysohjelmahyökkäykset ja yritykset varastaa tietoja, voivat vaikuttaa kielteisesti tapahtumakokemukseen ja rutiinitoimintoihin.

Julkisoitujen hyökkäysten aikajana 2018–2023

  • NBA varoitti tammikuussa 2023 faneja tietomurrosta, jonka vuoksi fanien henkilötietoja vuoti ulkopuolisen uutiskirjepalvelun kautta.1
  • Manchester United vahvisti marraskuussa 2022, että sen järjestelmiin kohdistui kyberhyökkäys.2
  • San Francisco 49ers joutui helmikuussa 2022 merkittävän kiristysohjelmahyökkäyksen kohteeksi Super Bowl -sunnuntaina.3
  • Kiristysohjelmaryhmä väitti huhtikuussa 2021 varastaneensa 500 gigatavua Rocketsin tietoja, muun muassa sopimuksia, salassapitosopimuksia ja taloustietoja. Sisäiset tietoturvatyökalut estivät kiristysohjelmien asentamisen muutamaa järjestelmää lukuun ottamatta.4
  • Minnesotassa mies sai syytteen lokakuussa 2021 MLB:n tietokonejärjestelmien hakkeroinnista ja yrityksestä kiristää liigalta 150 000 USD.5
  • Vuoden 2018 talviolympialaiset Pyeongchangissa kokivat suuren määrän hyökkäyksiä. Venäläiset hakkerit hyökkäsivät olympialaisten verkkoihin ennen avajaisseremoniaa.6

Uhkien etsintätiimi tiimi toimi monitasoisen suojauksen filosofian mukaisesti ja tarkasti sekä suojasi asiakkaiden laitteet ja verkot. Toinen painopiste oli käyttäjätietojen, kirjautumisten ja tiedostojen käytön seuranta. Suojaus kattoi useita eri aloja, mukaan lukien kuljetusala, televiestintäala, terveydenhuoltoala ja muita keskeisiä toimintoja harjoittavat asiakkaat.

Kaiken kaikkiaan ihmisjohtoisen uhkien etsintä- ja reagointituen avulla valvottujen yksiköiden ja järjestelmien kokonaismäärä oli yli 100 000 päätepistettä, 144 000 käyttäjätietoa, yli 14,6 miljoonaa sähköpostikeskustelua, yli 634,6 miljoonaa todennusta ja miljardeja verkkoyhteyksiä.

Esimerkkinä mainittakoon, että jotkin terveydenhuoltolaitokset nimettiin tapahtumaa varten kiireellisen hoidon yksiköiksi, mukaan lukien sairaalat, jotka tarjoavat kriittisiä tuki- ja terveyspalveluja faneille sekä pelaajille. Koska terveydenhuoltolaitoksilla on hallussaan terveystietoja, ne ovat arvokkaita kohteita. Microsoftin kone- ja ihmisvoimin toteutettu uhkien etsintätoiminta hyödynsi uhkatietoja signaalien tarkistamiseksi, tartunnan saaneiden resurssien eristämiseksi ja näihin verkkoihin kohdistuvien hyökkäysten keskeyttämiseksi. Microsoft Security -tekniikan yhdistelmän avulla tiimi havaitsi ja asetti ennakoivasti karanteeniin kiristysohjelmatoiminnan, joka kohdistui terveydenhuoltoverkkoon. Useita epäonnistuneita kirjautumisyrityksiä kirjattiin, mutta lisätoiminta estettiin.

Terveydenhuoltopalveluiden kiireellinen luonne edellyttää, että laitteiden ja järjestelmien suorituskyky pysyy huipputasolla. Sairaaloilla ja terveydenhuollon laitoksilla on haastava tehtävä tasapainottaa palvelujen saatavuus ja ylläpitää samalla kyberturvallisuutta. Onnistunut hyökkäys olisi voinut lähitulevaisuudessa lamauttaa terveydenhuoltolaitokset tietojen ja tietotekniikan näkökulmasta, jolloin terveydenhuoltolaitokset olisivat joutuneet käyttämään kynää ja paperia päivittäessään potilastietoja. Tämä olisi myös heikentänyt niiden kykyä tarjota kriittistä hoitoa hätätilanteessa tai suuressa potilaspriorisointia edellyttävässä hätätilanteessa. Pitkällä aikavälillä haitallista koodia, joka tarjoaa näkyvyyden koko verkkoon, olisi voitu hyödyntää laajemmassa kiristysohjelmahyökkäyksessä, jonka tarkoituksena on aiheuttaa lisähäiriöitä. Tällainen tapaus olisi voinut johtaa tietovarkauksiin ja kiristykseen.

Koska suuret maailmanlaajuiset tapahtumat ovat edelleen haluttuja kohteita uhkaaville toimijoille, kansallisvaltioilla  on erilaisia motiiveja, ja ne näyttävät olevan halukkaita hyväksymään iskuista aiheutuvat muut vahingot, jos isku tukee laajempia geopoliittisia etuja. Lisäksi kyberrikollisryhmät, jotka pyrkivät hyödyntämään urheiluun ja tapahtumapaikkoihin liittyvissä IT-ympäristöissä olevia valtavia taloudellisia mahdollisuuksia, pitävät niitä edelleen haluttuina kohteina.

Suositukset

  • Täydennä tietoturvakeskuksen tiimiä: Hanki ylimääräinen silmäpari valvomaan tapahtumaa ympäri vuorokauden, jotta uhat voidaan havaita ennakoivasti ja niistä voidaan lähettää ilmoituksia. Tämä auttaa korreloimaan enemmän etsintätietoja ja havaitsemaan varhaisia merkkejä tunkeutumisesta. Tämän tulisi sisältää muitakin uhkia kuin päätepisteet, esimerkiksi käyttäjätietojen vaarantuminen tai laitteesta pilveen siirtyminen.
  • Suorita kohdistettu kyberriskiarviointi: Tunnista mahdolliset tapahtuman, tapahtumapaikan tai järjestämismaan erityiset uhat. Arviointiin tulisi sisällyttää toimittajat, myyjät, joukkueiden ja tapahtumapaikkojen IT-ammattilaiset, sponsorit ja tapahtuman keskeiset sidosryhmät.
  • Harkitse vähimpien oikeuksien periaatetta parhaana käytäntönä: myönnä käyttöoikeuksia järjestelmiin ja palveluihin vain niille, jotka niitä tarvitsevat, ja kouluta henkilökuntaa ymmärtämään käyttöoikeustasot.

Laajat hyökkäyspinnat edellyttävät lisäsuunnittelua ja -valvontaa

Jalkapallon MM-kisojen ja olympialaisten kaltaisissa tapahtumissa ja urheilutapahtumissa yleensä tunnetut kyberriskit nousevat esiin ainutlaatuisilla tavoilla, jotka ovat usein vähemmän havaittavissa kuin muissa yritysympäristöissä. Näitä tapahtumia voidaan järjestää nopeasti, ja uudet kumppanit ja toimittajat saavat pääsyn yritysverkkoihin ja jaettuihin verkkoihin tietyksi ajaksi. Joidenkin tapahtumien yhteyksien pop-up-luonne voi vaikeuttaa laitteiden ja tietovirtojen näkyvyyden sekä hallinnan kehittämistä. Se edistää myös väärää turvallisuudentunnetta siitä, että niin sanotusti tilapäiset yhteydet ovat riskittömämpiä.

Tapahtumajärjestelmiin voivat kuulua joukkueen tai tapahtumapaikan verkko- ja somenäkyvyys, rekisteröinti- tai lipunmyyntijärjestelmät, pelien aikataulu- ja pisteytysjärjestelmät, logistiikka, lääkintähuolto ja potilaiden seuranta, vaaratilanteiden seuranta, joukkoilmoitusjärjestelmät ja sähköiset opasteet.

Urheiluorganisaatioiden, sponsoreiden, isäntien ja tapahtumapaikkojen on tehtävä yhteistyötä näissä järjestelmissä ja kehitettävä älykkäitä verkkokokemuksia faneille. Lisäksi valtava määrä osallistujia ja henkilökuntaa, jotka tuovat tietoja mukanaan omilla laitteillaan, lisää hyökkäyspintaa.

Suurtapahtumien neljä kyberriskiä

  • Poista kaikki tarpeettomat portit käytöstä ja varmista, että verkon tarkistus on asianmukaista, jotta löydät laittomat tai tilapäiset langattomat yhteyspisteet, päivitä ja korjaa ohjelmistoja sekä valitse sovelluksia, joissa kaikki tiedot on salattu.
  • Kannusta osallistujia (1) suojaamaan sovelluksensa ja laitteensa uusimmilla päivityksillä ja korjauksilla, (2) välttämään arkaluonteisten tietojen käyttöä julkisessa Wi-Fi-verkossa sekä (3) välttämään epävirallisista lähteistä peräisin olevia linkkejä, liitetiedostoja ja QR-koodeja.
  • Varmista, että myyntipistelaitteet on päivitetty, että niihin asennettu tarvittavat korjaustiedostot ja että ne ovat yhteydessä erilliseen verkkoon. Lisäksi osallistujien tulisi välttää tuntemattomia kioskeja ja pankkiautomaatteja sekä ostaa vain tapahtumajärjestäjän suosittelemista paikoista.
  • Kehitä loogisia verkon segmentointeja, jotta IT- ja OT-järjestelmät voidaan erottaa toisistaan ja rajoita laitteiden sekä tietojen ristikäyttöä verkkohyökkäysten seurausten lieventämiseksi.

Kun tietoturvatiimit saavat etukäteen tarvitsemansa tiedot, mukaan lukien kriittiset palvelut, joiden on pysyttävä toimintakykyisinä tapahtuman aikana, reagointisuunnitelmat voidaan laatia paremmin. Tämä on olennaista IT- ja OT-ympäristöissä, jotka tukevat tapahtumapaikan infrastruktuuria, ja osallistujien fyysisen turvallisuuden takaamiseksi. Ihannetapauksessa organisaatiot ja tietoturvatiimit voisivat määrittää järjestelmänsä ennen tapahtumaa testauksen loppuunsaattamiseksi, ottaa järjestelmästä ja laitteista tilannekuvan ja tarjota ne helposti IT-tiimien käyttöön, jotta järjestelmät ja laitteet voidaan ottaa nopeasti uudelleen käyttöön tarvittaessa. Näillä toimilla voidaan pitkälti estää hyökkääjiä hyödyntämästä huonosti määritettyjä ad hoc -verkkoja suurten urheilutapahtumien erittäin halutuissa ja runsaasti kohteita sisältävissä ympäristöissä.

Lisäksi jonkun olisi pohdittava tietosuojariskejä ja sitä, lisäävätkö määritykset uusia riskejä tai haavoittuvuuksia osallistujien henkilötietoihin tai joukkueiden omiin tietoihin. Tämä henkilö voi ottaa käyttöön yksinkertaisia kyberälykkäitä käytäntöjä faneja varten ja ohjata heitä esimerkiksi skannaamaan vain QR-koodeja, joissa on virallinen logo, suhtautumaan kriittisesti tekstiviesteihin tai tekstiviestipyyntöihin, joita he eivät ole tilanneet, ja välttämään ilmaisen julkisen Wi-Fi-verkon käyttöä.

Nämä ja muut käytännöt voivat auttaa yleisöä ymmärtämään paremmin erityisesti suurten tapahtumien kyberriskejä ja omaa altistumistaan tietojen keräämiselle ja varastamiselle. Turvallisten käytäntöjen tunteminen voi auttaa faneja ja osallistujia välttämään joutumasta käyttäjämanipulointihyökkäysten uhreiksi. Kyberrikolliset voivat tehdä tällaisia hyökkäyksiä saatuaan murretuissa tapahtumapaikkojen ja tapahtumien verkoissa.

Alla olevien suositusten lisäksi National Center for Spectator Sports Safety and Security tarjoaa nämä yhdistettyjen laitteiden ja integroidun tietoturvan ohjeet suurille tapahtumapaikoille.

Suositukset

  • Priorisoi kattavan ja monitasoisen turvallisuuskehyksen toteuttaminen: tähän kuuluu palomuurien, tunkeutumisen havaitsemis- ja estojärjestelmien sekä vahvojen salausprotokollien käyttöönotto verkon suojaamiseksi luvattomalta käytöltä ja tietomurroilta.
  • Käyttäjien valistus- ja koulutusohjelmat: kouluta työntekijöitä ja sidosryhmiä kyberturvallisuuden parhaista käytännöistä, kuten tietojenkalastelusähköpostien tunnistamisesta, usean tekijän todennuksen tai salasanattoman suojauksen käytöstä ja epäilyttävien linkkien tai latausten välttämisestä.
  • Tee yhteistyötä hyvämaineisten kyberturvallisuusyritysten kanssa: Seuraa jatkuvasti verkkoliikennettä, havaitse mahdolliset uhat reaaliajassa ja reagoi nopeasti kaikkiin tietoturvaloukkauksiin. Suorita säännöllisiä tietoturvatarkastuksia ja haavoittuvuusarviointeja verkkoinfrastruktuurin heikkouksien tunnistamiseksi sekä korjaamiseksi.

Lue lisää neuvoja yleisiin tietoturvahaasteisiin Microsoft Security Researchin Principal Group Managerilta Justin Turnerilta.

Tilannekuvatiedot edustavat 10. marraskuuta ja 20. joulukuuta 2022 välisenä aikana valvottujen yksiköiden ja tapahtumien kokonaismäärää. Tähän kuuluvat organisaatiot, jotka joko osallistuvat suoraan turnauksen infrastruktuuriin tai ovat siihen yhteydessä. Toimintaan kuuluu ihmisten johtamia ennakoivia uhkaetsintöjä, joilla tunnistetaan uusia uhkia ja seurataan merkittäviä kampanjoita.

Tärkeimmät havainnot:
 

45 suojattua organisaatiota                                 100 000 suojattua päätepistettä

 

144 000 suojattuja käyttäjätietoa                               14,6 miljoonaa sähköpostikeskustelua

 

634,6 miljoonaa todennusyritystä                4,35 miljardia verkkoyhteyttä

Metodologia: Tilannekuvatiedoissa Microsoftin ympäristöt ja palvelut, esimerkiksi Microsoft Extended Detections and Response, Microsoft Defender, Defender Experts for Hunting ja Azure Active Directory, tarjosivat anonymisoitua tietoa uhkatoiminnasta, kuten haitallisista sähköpostitileistä, tietojenkalastelusähköposteista ja hyökkääjien liikkumisesta verkoissa. Lisätietoa saatiin 65 biljoonasta päivittäisestä turvallisuussignaalista, jotka on kerätty kaikesta Microsoftin toiminnasta, mukaan lukien pilvi, päätepisteet, älykäs reuna sekä Compromise Security Recovery Practice- ja Detection and Response -tiimit. Kansikuva ei kuvaa todellista jalkapallopeliä, turnausta tai yksittäistä urheilulajia. Kaikki urheiluseurat- ja järjestöt, joihin viitataan, ovat erikseen omistettuja tavaramerkkejä.

Aiheeseen liittyviä artikkeleita

Asiantuntijaneuvoja kyberturvallisuuden kolmeen pysyvimpään haasteeseen

Microsoft Security Researchin Principal Group Manager Justin Turner kuvailee kolmea pysyvää haastetta, joita hän on nähnyt koko kyberturvauransa ajan: määritysten hallinta, korjaustiedostojen asentaminen ja laitteiden näkyvyys.
Lue lisää

61 prosentin kasvu tietojenkalasteluhyökkäyksissä Tunne moderni hyökkäyspinta

Monimutkaisen hyökkäyspinnan hallitsemiseksi organisaatioiden tulee muodostaa kattava suojaustaso. Tämä raportti näyttää kuuden olennaisen hyökkäyspinnan avulla, miten soveltuvat uhkatiedot voivat auttaa kääntämään pelin puolustautujien hyväksi.
Lue lisää

IT:n ja OT:n lähentyminen

Esineiden internetin lisääntyvä käyttö asettaa OT:n vaaraan, sillä se tuo mukanaan monia mahdollisia haavoittuvuuksia ja altistaa uhkaaville toimijoille. Selvitä, miten voit pitää organisaatiosi suojattuna.
Lue lisää

Seuraa Microsoftia