Samlinkin valmius kiristyshaittaohjelmia vastaan

Vuoden 2023 alussa Samlinkin Riski- ja Turvallisuusosasto on suorittanut teknisen arvioinnin valmiudestaan kiristyshaittaohjelmahyökkäyksiin. Yleisesti ottaen ransomware-ohjelma salaa organisaation tietoa ja hyökkääjät vaativat salauksen purkukoodin vastineeksi rahaa. Hyökkääjät ovat ”kehittäneet” liiketoimintamalliaan ja nyt myös varastavat tietoja. Lisätäkseen painetta hyökkääjät ilmoittavat julkaisevansa varastetut tiedot, mikäli lunnaita ei makseta.

Ulkopuolisen kumppanin suorittamassa arvioinnissa on tarkasteltu kaikkea Active Directoryn (AD) käyttäjistä ja käyttäjäoikeuksista varmuuskopiointiin ja häirihallintaan. Tätä artikkelia kirjoitettaessa ensimmäinen luonnos arviointiraportista on valmistunut ja tulosten läpikäynti on meneillään. Raportin tarkoitus on tuoda esille, mitä voimme Samlinkissa tehdä minimoidaksemme kiristyshaittaohjelmien todennäköisyyttä ja mitä toimenpiteitä voidaan toteuttaa mahdollisten toteutuneiden hyökkäysten vaikutusten lieventämiseksi.

Syynä tämän arvioinnin tekemiseen on kiristyshaittaohjelmahyökkäysten lisääntyminen maailmanlaajuisesti, erityisesti Ukrainassa meneillään olevan sodan vuoksi. Sota on johtanut uudentyyppisten hyökkäysten syntymiseen, jossa vain salataan tietoja, mutta ei vaadita lunnaita. Sen ainoa tarkoitus on tuhota ja aiheuttaa kaaosta organisaatiossa.

Samanaikaisesti kiristyshaittaohjelma-arvioinnin kanssa olemme sisäisesti suorittaneet pöytätestausharjoituksen ransomware-pelikirjaamme pohjautuen. Pelikirja kuvaa hyökkäyksen eri vaiheita, kuten havaitseminen, analysointi, rajoittaminen, poistaminen ja palauttaminen, ja mitä toimenpiteitä Samlinkin eri sidosryhmien tulisi tehdä kussakin vaiheessa. Muutamien havaintoihin pohjautuvien parannusten jälkeen on maaliskuun lopussa aika suorittaa laajempi harjoitus yhdessä Kyndrylin kanssa, ja huhtikuussa on harjoitus, jossa ovat mukana myös asiakkaat.