fbpx

Asiakastarinat Kiristysisku lukitsi Muuramen kunnan tiedostot – Backupin backup pelasti

Kiristysisku lukitsi Muuramen kunnan tiedostot – Backupin backup pelasti

Kun ransomware-hyökkäys iski Muuramen kuntaan, backupin ansiosta ensimmäisiä palveluita saatiin takaisin toimintaan jo kahden päivän kuluttua. Viiden päivän päästä kunnan työarki rullasi normaalisti.

Muuramen kunta

Toimiala
Julkishallinto

Ratkaisut
Tietoliikenne
Sisäverkko
Palomuuri
Varmistuspalvelu


Organisaation toipuminen kiristyshaittaohjelman tuhoista kestää yleensä vähintään useita viikkoja. Tilanteen selvittäminen ja tiedostojen palauttaminen on vaikeaa ja aikaa vievää – jos dataa ensinnäkään on mahdollista palauttaa. Kun ransomware-hyökkäys iski Muuramen kuntaan, ensimmäisiä palveluita saatiin takaisin toimintaan jo kahden päivän kuluttua. Viiden päivän päästä kunnan työarki rullasi kaikilta osin normaalisti. Kuinka näin nopea palautuminen oli mahdollista?

 ”Olisimme olleet aivan suossa ilman TNNetiä. Kyllä pienessäkin IT-talossa voi olla paljon osaamista. TNNetin vahvuus on ehdottomasti ketteryys.”

marko satosaari
ICT-pääsuunnittelija
Muuramen kunta

Ikävä yllätys

Maanantaiaamuna loppuvuonna 2022 Muuramen kunnan toimistolla havahduttiin ikävääkin ikävämpään yllätykseen: pääsy kunnan tiedostoihin oli estetty. ICT-pääsuunnittelija Marko Satosaari muistelee aamun tunnelmia:

”Saavuttuani töihin huomasin työkaverini Jarin ilmeestä, että kyse ei ole ihan normaalista setistä. Oli paljastunut, että melkein kaikki verkkolevyt sekä palvelinten tiedostot oli salattu.”

”Rupesin siinä melkein henkseleitä paukuttelemaan, että nyt vaan palautellaan kaikki tiedot varmuuskopioista, mutta pian selvisi, että myös varmistuspalvelimen kaikki tiedostot oli lukittu. Siinä kohtaa rupesi pukkaamaan hikeä pintaan.”

Pää kylmänä eteenpäin

Näin vakava tapahtuma oli ensimmäinen sekä Markon Satosaaren että ICT-suunnittelija Jari Hakalan kohdalla. Paniikinomaisissa tunnelmissa oli pystyttävä miettimään, missä järjestyksessä edetään. Alusta asti oli selvää, että kiristysviruksen lunnasvaatimuksiin ei missään nimessä lähdetä mukaan. Vaikka data palautettaisiinkin, ei siihen voisi luottaa.

”Infosin pikaisesti esihenkilöäni synkästä tilanteesta. Sitten otin yhteyttä IT-infratoimittajaamme TNNetiin ja pyysin aamuksi hätäpalaveria”, Marko muistelee.

Toiveena oli saada edes pieni valonpilkahdus mahdottomalta tuntuvaan tilanteeseen.

Muuramen kunta kiristysiskun kohteena, uutiskuva.

Odottamaton juonenkäänne

Puhelinpalaveri alkoi epätoivoisissa tunnelmissa. Yllättäen palaverin sävy kuitenkin vaihtui suunnattomaan helpotukseen – oli selvinnyt, että kaikki Muuramen kunnan data olikin tallessa TNNetin järjestelmissä!

”Siinä shokissa ja pyörimisessä emme muistaneet, että hiljattain käyttöön otettu palvelu siirtää kerran viikonlopussa kunnan datan talteen TNNetin järjestelmiin. Tuo backupin backup oli meidän pelastus”, Marko kiittelee.

”Varmistus oli tehty lauantaina, ja murto sattui sunnuntaina. Emme menettäneet hyökkäyksessä ainuttakaan tiedostoa, sillä viikonlopun aikana ei kunnan järjestelmiin tallennu mitään uutta.”

”Kyllä siinä kokonaistilanne rauhoittui kertaheitolla, kun selvisi, että varmistukset ovat olemassa. Sitten vain mietittiin toimintajärjestystä. Kun stepit olivat tiedossa, aikaa kuluisi enää lähinnä datan palauttamiseen”, muistelee Jari.

Tietoturvataloilta ”ei oota”

Ensin lähdettiin ajamaan koko järjestelmää alas. Poliisille tehtiin rikosilmoitus, ja hyökkäyksestä oltiin yhteydessä myös kyberturvallisuuskeskukseen, josta kartoitettiin tilannetta muita samansuuntaisia iskuja silmällä pitäen.

Ensimmäisen päivän aikana etsittiin tietoturvatoimittajista tekijää, joka ottaisi hoitaakseen datan palauttamisen.

”Kysyimme apua useilta suurilta tietoturvan tarjoajilta, mutta joko riittävää osaamista ei löytynyt tai kaikki asiantuntijat oli sidottu muualle. Myöskään kyberturvallisuuskeskukselta ja poliisin puolelta ei ollut mitään konkreettisia apuja tilanteeseen antaa. Molemmilta tahoilta oltiin kuitenkin yhteydessä viikon aikana päivittäin”, kertoo Marko Satosaari.

Apu löytyikin läheltä

Kun apua ei tietoturvataloilta laajan kartoituksen jälkeen löytynyt, päätettiin tarttua TNNetin tarjoukseen datan palauttamisesta. Tehtävä oli IT-infraan keskittyvälle yritykselle laatuaan ensimmäinen.

”Koska olimme jo valmiiksi integroituneet TNNetin kanssa, ja meillä on heiltä konesalipalvelut käytössä, oli sieltä nopea siirtää dataa TNNetin verkkoon. Varmuuden vuoksi pöpöjen varalta mitään tiedostoja ei palautettu suoraan, vaan kaikki data tarkastettiin ajamalla se TNNetin rakentaman skanneri-palvelimen läpi”, Jari kertoo.

Ensimmäisiä palveluita saatiin toimintaan jo keskiviikkona, jolloin työskentely Muuramen kunnassa palautui monen henkilön osalta normaaliksi. Perjantaina puolen yön aikaan oli viimeisetkin varmistukset saatu palautettua, ja kunnan työarki pääsi rullaamaan kaikilta osin vanhaan malliin.

Yhteistyö kantoi kriisitilanteessa.

Yhteistyö kantoi myös kriisitilanteessa

”Näin jälkikäteen ajatellen olisimme olleet aivan suossa ilman TNNetiä. Tilanteesta olisi muodostunut täysin katastrofaalinen esimerkiksi kirjanpidon osalta. Hyökkäyksestä selviäminen olisi venynyt viikkojen prosessiksi, ja lopputulokseen ei varmasti olisi oltu näin tyytyväisiä. Hintalappua prosessille olisi myös tullut paljon enemmän, mutta nyt saatiin säästöjäkin aikaan”, summailee Marko Satosaari.

”Kyllä pienessäkin IT-talossa voi olla paljon osaamista. TNNetin vahvuus on ehdottomasti ketteryys. Palvelu on ensiluokkaista, ei siitä pääse mihinkään. Asiat tapahtuvat usein jo ennen kuin tajuamme edes pyytää niitä, ja ratkaisuja etsitään luovasti tilanteen mukaan. Tuttujen asiantuntijoiden kanssa toimiminen on jouhevaa”, Jari Hakala pohtii.

”Kiristysviruksen parissa painiessa oli hienoa havaita, että kaikille löytyi omat roolit, ja työskentely yhdessä eteni luontevasti. Tilanteen normalisoiduttua pidettiin vielä purkupalaveri, jossa koottiin raporttiin kaikki, mitä hyökkäyksen seurauksena tapahtui”, lisää Marko.

Tietoturvahyökkäys opetti paljon

Jos tietoturvahyökkäyksestä haluaa etsiä jotain hyvää, antoi se Muuramen kunnan ICT-osastolle mahdollisuuden keskittyä viikon ajan täysipainoisesti tietoturvaan.

”Se viikko oli huikea kehityssteppi tietoturvan osalta”, muistelee Marko.

”Hyökkäyksen kohteeksi joutuminen oli hyvä ja kova koulu. Tämmöisessä saa nopeasti käytännön oppia, miten kannattaa tehdä asioita jatkossa. Meillä kehitettävää ilmeni ainakin tiedottamisessa sisäisesti sekä yhteistyökumppaneiden suuntaan.”

”Myös omassa toiminnassa on tapahtunut muutosta. Olen nykyään ottanut tavaksi lukea kyberturvallisuuskeskuksen tiedotteet entistä huolellisemmin läpi, ja pyrin reagoimaan nopeasti heti tiedon saatuani”, Marko kertoo.

 ”Saimme ranskalaisilla viivoilla selkeät ohjeet, kuinka toimia hälytyksen sattuessa. Tämä on kokonaisuudessaan älyttömän kätevä systeemi.”

Parannuksia tietoturvaan

Datan palautuksen yhteydessä otettiin TNNetin suosittelusta käyttöön Sophoksen MDR -palvelu, joka asennettiin kaikkiin palvelimiin.

”Sophoksen MDR:ssä oikeat elävät ihmiset valvovat dataa ja hälytyksiä, ja se tekee siitä poikkeuksellisen perinteisiin valvontajärjestelmiin verrattuna. Sophoksen avulla meni vajaa 30 minuuttia löytää haavoittuvuus, jota pitkin hyökkäyksen arvellaan alun perin alkaneen.”

”Saimme ranskalaisilla viivoilla selkeät ohjeet, kuinka toimia hälytyksen sattuessa ja näin välttyä uudelta hyökkäykseltä. Tämä on kokonaisuudessaan älyttömän kätevä systeemi”, Marko summailee.

”Tietoturvahyökkäys tuo tietysti ilmi myös tietojärjestelmien haavoittuvuudet, ja TNNetin kanssa onkin vuoden aikana kehitelty kunnan järjestelmiin useita parannuksia. Esimerkiksi verkkoon on tehty monia kovennuksia, ja jokaisella ICT-järjestelmävalvojalla on nykyään erilliset pääkäyttäjätunnukset. Uusia muutoksia on jatkuvasti työn alla”, lisää puolestaan Jari.

IT:n ulkoistaminen kannattaa

”Uusia uhkia ilmestyy koko ajan. Palvelu, joka näkyy internetin suuntaan, tuottaa hyökkäyspintaa, ja semmoisen palvelun oma ylläpito on riski. On huomattavasti helpompaa, kun ulkopuolinen kumppani vastaa varmistuksista sekä tietoturvapäivityksistä. Se on heidän ydinosaamistaan, ja he tuntevat omat tuotteensa”, toteaa ICT-pääsuunnittelija Marko Satosaari lopuksi.

Katso myös webinaaritallenne:

Logo Muuramen kunta.

Ratkaisun komponentit

Asiakkaalla on käytössä seuraavat TNNet-tuotteet:

Tietoliikenne

Bitti on vain puolet tietoliikenteestä. Kokonaisiin ja toimiviin yhteyksiin tarvitaan lisäksi aitoa välittämistä ja täyden kympin palvelua. Kun yhtälöön lisätään korkealaatuinen tekniikka ja IT-budjettia hyväilevä hinta, ovat TNNetin voittajaluokan tietoliikenne valmiina!

Palomuuri

Palomuuri on yrityksen tietoturvassa kriittisen tärkeässä asemassa. Verkkohyökkäyksen sattuessa tunkeutuja törmää ensimmäiseksi palomuuriin, ja oikein toteutettu muuri torjuu hyökkäyksen ennen suuria tuhoja. Luodaan yhdessä yrityksellesi palomuuri, joka kestää ovelimmankin hyökkäyksen edessä!

Sisäverkko

Pätkivä WLAN, kytkimet sekaisin, sisäverkko solmussa. Nämä asiat ovat arkipäivää monelle yritykselle. TNNetin sisäverkoissa kaikki pelaa niin kuin pitää, ja mikä helpointa – verkon voi ostaa palveluna ilman turhia piilokuluja!

Varmistuspalvelu

Varmuuskopiointi on hurjan tärkeä osa yrityksen riskienhallintaa, sillä tietoturvahyökkäyksen sattuessa kunnossa oleva varmuuskopiointi voi pelastaa koko liiketoiminnan. TNNetin varmistuspalvelu tallettaa datasi syvälle keskisuomalaisen kallion uumeniin, josta tietojen palauttaminen onnistuu nopeasti milloin vain.

Muuramen kunta selvisi kiristyshaittaohjelman iskusta.

Onko backupit kunnossa?

Me toteutamme tiukassakin tilanteessa toimivat varmistusratkaisut yrityksen kaikelle datalle. Kysy lisää!

0103091301
myynti@tnnet.fi

Varaa aika tapaamiseen tästä

Lisää asiakkaistamme