Kaivetaanpa suoraan asiaan: kyberhyökkäysten määrä ja vakavuus räjähtävät vuonna 2020. Kybersodankäynti on nyt tasoittanut pelikentän teollisuudessa, hallinnossa ja maanpuolustuksessa: miksi käyttää kymmenen tai viisitoista miljardia dollaria lentotukialukseen, kun sen voi lamauttaa digitaalisesti? Miksi käyttää miljardeja uuteen tuotekehitykseen, kun voi murtautua kilpailijan strategisiin suunnitelmiin? Miksi ei vain kalastella kunnissa nopean 100 000 dollarin edestä?
Kybersodankäynti on kustannustehokas ratkaisu kaikenlaisiin ongelmiin – ja mahdollisuuksiin: kybersodankäynti on tulovirta, uusi liiketoimintamalli, digitaalinen transformaatio, jolla on oma ainutlaatuinen makunsa. Olen kirjoittanut tästä ennenkin monin eri tavoin, kaikenlaisin varoituksin. Ei sillä, että soittaisin hiljaista hälytystä. Koko maailma varoittaa kaikkia kuulijoita kybersodankäynnistä. Mutta selittämättömistä huomiotta jääneistä varoituksista huolimatta ennustan, että vuosi 2020 tulee olemaan erilainen – paljon pahempi kuin koskaan aiemmin. Miksi? Yksinkertaisesti siksi, että se on halvin, helpoin, nopein ja tehokkain sodankäynnin muoto, jota olemme koskaan nähneet, ja siksi, että kybersodankäynnin puolustukset ovat haavoittuvampia kuin koskaan ennen.
Kuunnelkaa, mitä Daniel Markuson NordVPN:stä ennustaa:
”Terveydenhuollosta on nyt vaarassa tulla sektori, johon murtaudutaan eniten. Nämä organisaatiot käsittelevät suuria määriä arkaluonteisia tietoja, mutta eivät useinkaan sovella uusimpia turvallisuusstandardeja. Väärin konfiguroidut tietokannat ja varmuuskopiot tulevat olemaan johtavia syitä onnistuneille hakkerihyökkäyksille. Hakkerit ovat entistä luovempia ja käyttävät monimutkaisia sosiaalisia tekniikoita mahdollisiin uhreihin. Myös yrityssähköpostin vaarantamisen ja lunnasohjelmien ennustetaan lisääntyvän merkittävästi.
”Uusia mobiilihaittaohjelmatrendejä ilmestyy. Viime vuonna Simjacker-hyökkäykset käyttivät hyväkseen SIM-korttien haavoittuvuutta. Vuonna 2020 tullaan varmasti soveltamaan uusia tekniikoita tietojen varastamiseksi kannettavista laitteista. Esimerkiksi Rich Communication Services (RCS), uusi viestistandardi, joka on suunniteltu korvaamaan tekstiviestit, on melko helppo hakkeroida. Verkkorikolliset voivat hyödyntää tekniikkaa käyttäjien seuraamiseen ja heidän sijaintitietojensa vaarantamiseen. Tänä vuonna kuulemme siis enemmän RCS-tekstiviestien ja puheluiden salakuuntelusta. Suuntaukset osoittavat myös, että mobiilimaksuhuijaukset ja -petokset lisääntyvät.
”Kyberrikolliset tulevat käyttämään tekoälyä hyökkäystensä skaalaamiseen. Esimerkiksi deepfake-teknologiaa tullaan hyödyntämään social engineering -huijauksissa. Tänä vuonna nähtiin ensimmäinen havaittu tapaus, jossa huijarit käyttivät tekoälyä äänen matkimiseen huijauksessa. Ääniväärennös oli tarpeeksi vakuuttava huijaamaan toimitusjohtajalta 243 000 dollaria. Syväväärennökset ovat talouspetosten, huijausten ja valeuutisten seuraava rajapyykki. Jälkimmäisten määrä kasvaa varmasti räjähdysmäisesti, kun valtiolliset vaalit lähestyvät. Ja tänä vuonna niitä on luvassa paljon.
”Vuonna 2020 järjestetään yli 80 vaalia eri puolilla maailmaa. Ei ole vaikea ennustaa, että sekä poliitikot että hakkerit yrittävät sekaantua äänestäjien valintoihin. Yhdysvaltain presidentinvaalit tulevat olemaan suurennuslasin alla, sillä olemme jo nähneet, kuinka amerikkalaisten luottamusta on käytetty hyväksi heidän ääniensä horjuttamiseksi. Odotettavissa on uusia tarinoita ulkomaisista ja paikallisista toimijoista, jotka sekaantuvat vaaleihin, ja muita temppuja, joiden tarkoituksena on horjuttaa kansalaisten luottamusta. Äänestäjien tulisi siis pysyä valppaina ja tarkistaa kaikki heille tulevat uutiset.”
Cyberturvayhtiö Trend Microlla on lisää ennusteita:
- ”Hyökkääjät ohittavat epätäydelliset ja hätäiset korjaukset.
- Cyberrikolliset tulevat kääntymään lohkoketjualustojen puoleen maanalaisissa liiketoimissaan.
- Pankkijärjestelmät tulevat olemaan avoimen pankkitoiminnan ja pankkiautomaattien haittaohjelmien tähtäimessä.
- Deepfakes tulee olemaan yritysten petosten seuraava rajapyykki.
- Hallitut palveluntarjoajat joutuvat vaaraan haittaohjelmien levittämistä ja toimitusketjun hyökkäyksiä varten.
- Hyökkääjät hyödyntävät ”madotettavia” virheitä ja deserialisaatiovirheitä.
- Verkkorikolliset keskittyvät IoT-laitteisiin vakoilua ja kiristystä varten.
- 5G:n käyttöönottajat kamppailevat ohjelmistomääriteltyihin verkkoihin siirtymisen turvallisuusvaikutusten kanssa.
- Kriittisiä infrastruktuureja vaivaavat yhä useammat hyökkäykset ja tuotantokatkokset.
- Kotitoimistot ja muut etätyöjärjestelyt määrittelevät toimitusketjun hyökkäykset uudelleen, mikä korostaa tietoturvan tarvetta koko käyttöönottoputken ajan.
- Säiliökomponenttien haavoittuvuudet tulevat olemaan DevOps-tiimien tärkeimpiä tietoturvaongelmia.
- Palvelimettomat alustat luovat hyökkäyspinnan virheellisille konfiguraatioille ja haavoittuville koodeille.
- Käyttäjien virheelliset konfiguraatiot ja kolmansien osapuolten epävarma osallistuminen lisäävät pilvialustojen riskejä.
- Pilvialustat joutuvat kolmansien osapuolten kirjastojen kautta tapahtuvien koodin injektiohyökkäysten uhriksi.
- Prediktiivinen ja käyttäytymiseen perustuva havaitseminen on ratkaisevan tärkeää pysyviä ja tiedostottomia uhkia vastaan.
- MITRE ATT&CK Frameworkilla tulee olemaan suurempi rooli siinä, miten yritykset arvioivat tietoturvaa.
- Uhka-analytiikkaa on täydennettävä tietoturva-analytiikan asiantuntemuksella, jotta voidaan suojautua kaikilla tietoturvatasoilla.”
Tom Steinkopf, joka kirjoittaa täällä, tarjoaa viisi muuta ennustetta:
1. Onnistuneet lunnasohjelmahyökkäykset kaksinkertaistuvat. Vuoden 2019 raportti osoitti, että yritysten lunnasohjelmahyökkäykset kasvoivat jyrkästi vuoden ensimmäisellä neljänneksellä. Tämä suuntaus jatkuu vuonna 2020, ja kun FBI pehmentää suhtautumistaan yritysten lunnaiden maksamiseen, ”onnistuneiden” lunnasohjelmahyökkäysten (eli niiden, joissa lunnaat maksetaan) määrä kaksinkertaistuu ja kaikkien raportoitujen hyökkäysten kokonaistappiot kasvavat merkittävästi.
2. Väärä ymmärrys pilvipalveluiden tietoturvasta lisää riskejä. Eräässä toisessa tuoreessa tutkimuksessamme todettiin, että 60 prosenttia organisaatioista ei ymmärrä jaetun vastuun mallia, kun on kyse siitä, kuka turvaa työmäärät pilvessä. Tämä luo asiakkaille vääränlaisen turvallisuuden tunteen pilvipalveluntarjoajien turvallisuudesta, sillä jälkimmäiset ovat vastuussa pilvipalvelun hallintatiliensä ja työtehtäviensä etuoikeutettujen käyttöoikeuksien turvaamisesta. Siksi näen, että pilviympäristöistä tulee kyberhyökkäysten tärkein kohde vuonna 2020, kun pahantekijät käyttävät tätä väärää luottamuksen tunnetta hyväkseen.
3. Enemmän Yhdysvaltojen osavaltioiden vaalilautakuntia hakkeroidaan. Uskon, että liittovaltion tuki osavaltioiden vaaliturvallisuuden vahvistamiseksi jää vajaaksi vuonna 2020. Tämän seurauksena jokainen osavaltion vaalilautakunta joutuu jälleen hakkerien kohteeksi vuonna 2020 (kuten näimme vuonna 2016), ja ennustan, että useampaan murtaudutaan onnistuneesti näissä vaaleissa. Vaalilautakunnilla on usein hallussaan äänestäjien nimiä, osoitteita, osittaisia sosiaaliturvatunnuksia, syntymäaikoja, ajokorttinumeroita ja monia muita henkilökohtaisia tietoja, joita hakkerit voivat käyttää hyväkseen saadakseen taloudellista hyötyä. Näitä arkaluonteisia tietoja voidaan käyttää myös äänestäjiksi tekeytymiseen.
4. Vuonna 2020 koneidentiteettien turvaaminen nousee esiin. Arvioiden mukaan yli 20 miljardia esineiden internetiin kytkettyä laitetta ja yritysten kehittyvä uhkakuva, johon kuuluvat automaatio ja DevOps, tekevät koneidentiteeteistä suurimman kyberturvallisuuden altistumiskohdan vuonna 2020 ja ohittavat ihmiset. Automaatio, jos ihmiset tekevät sen oikein, voi kuitenkin pienentää suurta osaa riskistä, ja työntekijät ovat edelleen organisaatioiden suurin heikkous.
5. Phishing kehittyy edelleen sähköpostin lisäksi tekstiviesteihin ja videoihin. Useimmat ihmiset ajattelevat, että phishing (ja sen kohdennetumpi muoto, spearphishing) rajoittuu epäilyttäviin sähköpostiviesteihin. Hakkerit ovat osoittautuneet erittäin kyvykkäiksi kehittymään ja kiertämään lisääntynyttä tietoturvatietoisuutta, ja tietojenkalastelussa siirrytään jatkossakin pois sähköpostin käyttämisestä ensisijaisena välineenä ja keskitytään enemmän lyhytsanomapalveluihin (eli tekstiviesteihin). Odotan, että tekstiviestitse tehdyt phishing-hyökkäykset lisääntyvät yli 100 prosenttia vuonna 2020, ja näemme ensimmäisen onnistuneen videon välityksellä tapahtuvan spearphishing-hyökkäyksen, kun hakkerit hyödyntävät uusia työkaluja, kuten ”deep fake” -teknologiaa, jolla he voivat näyttää ja kuulostaa luotettavalta henkilöltä (esim. FaceTime-tilaisuus, jossa hyökkääjä esiintyy toimitusjohtajana).”
Listoja on muitakin, yhtä pitkiä ja uhkaavia. Miksi siis pitkät luettelot pätevistä uhkista jäävät huomiotta ja alirahoitetuiksi? Vuosia sitten arvioin erään valtavan yrityksen haavoittuvuutta verkkohyökkäyksille. Vastuualueeseeni teknologiajohtajana kuului turvallisuusarkkitehtuurin ja yrityksen digitaalisten haavoittuvuuksien kokonaisarviointi. Kun ryhmäni sai arvionsa valmiiksi, tulokset olivat pelottavia. Kun vein tulokset talousjohtajalle (jolle teknologia raportoi), hänen ensimmäinen ja ainoa kysymyksensä oli: ”Mitä tämä kaikki maksaa minulle?”, mikä oli tietenkin täysin väärä kysymys. Onko se ongelma?
Verkkosodankäynti on väistämätöntä myös siksi, että hallitukset ovat haluttomia valvomaan itseään. Kuunnelkaa, mitä Andy Greenberg kirjoittaa Wired-lehdessä siitä, miksi hallitukset ovat olleet haluttomia käsittelemään uhkia:
”Pohjimmiltaan hallitukset eivät ole olleet halukkaita allekirjoittamaan kybersodan rajoittamista koskevia sopimuksia, koska ne eivät halua rajoittaa omaa vapauttaan käynnistää kyberhyökkäyksiä vihollisiaan vastaan. Amerikka saattaa olla haavoittuvainen vihollistensa toteuttamille lamauttaville kyberhyökkäyksille, mutta Yhdysvaltain johtajat epäröivät edelleen vaikeuttaa Yhdysvaltain omaa NSA:ta ja kyberpäällystöä, jotka ovat todennäköisesti maailman lahjakkaimpia ja parhaiten resursoituja hakkereita. Trumpin hallinto on vain löysännyt Cyber Commandin talutushihnaa, nostanut sen arvovaltaa ja vapauttanut sen tekemään ennaltaehkäiseviä hyökkäyksiä vihollisen infrastruktuuria vastaan. Pelkästään tänä vuonna Cyber Command on tiettävästi käyttänyt näitä uusia valtuuksiaan kärventääkseen Internet Research Agency -nimisen venäläisen trollifarmin palvelimia, kohdistaakseen häiritseviä hyökkäyksiä iranilaisiin kyberpioneereihin ja asentaakseen potentiaalisesti häiritseviä haittaohjelmia syvälle Venäjän sähköverkkoon.
Muilla sanoilla Yhdysvallat ja muut maailmanvallat eivät ole vieläkään tajunneet, että niillä on enemmän menetettävää kuin voitettavaa kärventyneiden verkkohyökkäysten vaihdossa. Kunnes ne ymmärtävät, kybersotakoneisto rullaa eteenpäin, eikä sen tuhoisalla tiellä ole vähempää kuin modernin sivilisaation infrastruktuuri.”
Voiko kaikista näistä ennusteista olla mitään epäilystä?
Onko vuosi 2020 se vuosi?
Tutustu verkkosivuihini.