Voiko kiristyshyökkäyksestä toipua parissa päivässä? – Muuramen kunta ja TNNet tekivät ihmeitä
Organisaation toipuminen kiristyshaittaohjelman tuhoista kestää yleensä vähintään useita viikkoja. Tilanteen selvittäminen ja tiedostojen palauttaminen on vaikeaa ja aikaa vievää – jos dataa ensinnäkään on mahdollista palauttaa. Kun ransomware-hyökkäys iski Muuramen kuntaan, ensimmäisiä palveluita saatiin takaisin toimintaan jo kahden päivän kuluttua. Viiden päivän päästä kunnan työarki rullasi kaikilta osin normaalisti. Kuinka näin nopea palautuminen oli mahdollista?
Maanantaiaamuna loppuvuonna 2022 Muuramen kunnan toimistolla havahduttiin ikävääkin ikävämpään yllätykseen: pääsy kunnan tiedostoihin oli estetty. ICT-pääsuunnittelija Marko Satosaari muistelee aamun tunnelmia:
”Saavuttuani töihin huomasin työkaverini Jarin ilmeestä, että kyse ei ole ihan normaalista setistä. Oli paljastunut, että melkein kaikki verkkolevyt sekä palvelinten tiedostot oli salattu.”
”Rupesin siinä melkein henkseleitä paukuttelemaan, että nyt vaan palautellaan kaikki tiedot varmuuskopioista, mutta pian selvisi, että myös varmistuspalvelimen kaikki tiedostot oli lukittu. Siinä kohtaa rupesi pukkaamaan hikeä pintaan.”
Pää kylmänä eteenpäin
Näin vakava tapahtuma oli ensimmäinen sekä Markon Satosaaren että ICT-suunnittelija Jari Hakalan kohdalla. Paniikinomaisissa tunnelmissa oli pystyttävä miettimään, missä järjestyksessä edetään. Alusta asti oli selvää, että kiristysviruksen lunnasvaatimuksiin ei missään nimessä lähdetä mukaan. Vaikka data palautettaisiinkin, ei siihen voisi luottaa.
”Infosin pikaisesti esihenkilöäni synkästä tilanteesta. Sitten otin yhteyttä IT-infratoimittajaamme TNNetiin ja pyysin aamuksi hätäpalaveria”, Marko muistelee.
Toiveena oli saada edes pieni valonpilkahdus mahdottomalta tuntuvaan tilanteeseen.
Odottamaton juonenkäänne
Puhelinpalaveri TNNetin kanssa alkoi epätoivoisissa tunnelmissa. Palaverin sävy vaihtuikin kuitenkin yllättäen suunnattomaan helpotukseen – oli selvinnyt, että kaikki Muuramen kunnan data olikin tallessa TNNetin järjestelmissä!
”Siinä shokissa ja pyörimisessä ei muistettu, että hiljattain käyttöön otettu palvelu siirtää kerran viikonlopussa meidän datan talteen TNNetin järjestelmiin. Tuo backupin backup oli meidän pelastus”, Marko kiittelee.
”Varmistus oli tehty lauantaina, ja murto sattui sunnuntaina. Emme menettäneet hyökkäyksessä ainuttakaan tiedostoa, sillä viikonlopun aikana ei kunnan järjestelmiin tallennu mitään uutta.”
”Kyllä siinä kokonaistilanne rauhoittui kertaheitolla, kun selvisi, että varmistukset ovat olemassa. Sitten vain mietittiin toimintajärjestystä. Kun stepit olivat tiedossa, aikaa kuluisi enää lähinnä datan palauttamiseen”, muistelee Jari.
TNNetin varmistuspalvelu
Tietoturvataloilta ”ei oota”
Ensin lähdettiin ajamaan koko järjestelmää alas. Poliisille tehtiin rikosilmoitus, ja hyökkäyksestä oltiin yhteydessä myös kyberturvallisuuskeskukseen, josta kartoitettiin tilannetta muita samansuuntaisia iskuja silmällä pitäen.
Ensimmäisen päivän aikana etsittiin tietoturvatoimittajista tekijää, joka ottaisi hoitaakseen datan palauttamisen.
”Kysyimme apua useilta suurilta tietoturvan tarjoajilta, mutta joko riittävää osaamista ei löytynyt tai kaikki asiantuntijat oli sidottu muualle. Myöskään kyberturvallisuuskeskukselta ja poliisin puolelta ei ollut mitään konkreettisia apuja tilanteeseen antaa. Molemmilta tahoilta oltiin kuitenkin yhteydessä viikon aikana päivittäin”, kertoo Marko Satosaari.
Apu löytyi läheltä
Kun apua ei tietoturvataloilta laajan kartoituksen jälkeen löytynyt, päätettiin tarttua TNNetin tarjoukseen datan palauttamisesta. Tehtävä oli IT-infraan keskittyvälle yritykselle laatuaan ensimmäinen.
”Koska olimme jo valmiiksi integroituneet TNNetin kanssa, ja meillä on heiltä konesalipalvelut käytössä, oli sieltä nopea siirtää dataa TNNetin verkkoon. Varmuuden vuoksi pöpöjen varalta mitään tiedostoja ei palautettu suoraan, vaan kaikki data tarkastettiin ajamalla se TNNetin rakentaman skanneri-palvelimen läpi”, Jari kertoo.
Ensimmäisiä palveluita saatiin toimintaan jo keskiviikkona, jolloin työskentely Muuramen kunnassa palautui monen henkilön osalta normaaliksi. Perjantaina puolen yön aikaan oli viimeisetkin varmistukset saatu palautettua, ja kunnan työarki pääsi rullaamaan kaikilta osin vanhaan malliin.
Vahvaa yhteistyötä myös kriisitilanteessa
”Näin jälkikäteen ajatellen olisimme olleet aivan suossa ilman TNNetiä. Tilanteesta olisi muodostunut täysin katastrofaalinen esimerkiksi kirjanpidon osalta. Hyökkäyksestä selviäminen olisi venynyt viikkojen prosessiksi, ja lopputulokseen ei varmasti olisi oltu näin tyytyväisiä. Hintalappua prosessille olisi myös tullut paljon enemmän, mutta nyt saatiin säästöjäkin aikaan”, summailee Marko Satosaari.
”Kyllä pienessäkin IT-talossa voi olla paljon osaamista. TNNetin vahvuus on ehdottomasti ketteryys. Palvelu on ensiluokkaista, ei siitä pääse mihinkään. Asiat tapahtuvat usein jo ennen kuin tajuamme edes pyytää niitä, ja ratkaisuja etsitään luovasti tilanteen mukaan. Tuttujen asiantuntijoiden kanssa toimiminen on jouhevaa”, Jari Hakala pohtii.
”Kiristysviruksen parissa painiessa oli hienoa havaita, että kaikille löytyi omat roolit, ja työskentely yhdessä eteni luontevasti. Tilanteen normalisoiduttua pidettiin vielä purkupalaveri, jossa koottiin raporttiin kaikki, mitä hyökkäyksen seurauksena tapahtui”, lisää Marko.
Ransomware-hyökkäys opetti paljon
Jos tietoturvahyökkäyksestä haluaa etsiä jotain hyvää, antoi se Muuramen kunnan ICT-osastolle mahdollisuuden keskittyä viikon ajan täysipainoisesti tietoturvaan.
”Se viikko oli huikea kehityssteppi tietoturvan osalta”, muistelee Marko.
”Hyökkäyksen kohteeksi joutuminen oli hyvä ja kova koulu. Tämmöisessä saa nopeasti käytännön oppia, miten kannattaa tehdä asioita jatkossa. Meillä kehitettävää ilmeni ainakin tiedottamisessa sisäisesti sekä yhteistyökumppaneiden suuntaan.”
”Tietoturvahyökkäys tuo tietysti ilmi myös tietojärjestelmien haavoittuvuudet, ja TNNetin kanssa onkin vuoden aikana kehitelty kunnan järjestelmiin useita parannuksia. Esimerkiksi verkkoon on tehty monia kovennuksia, ja jokaisella ICT-järjestelmävalvojalla on nykyään erilliset pääkäyttäjätunnukset. Uusia muutoksia on jatkuvasti työn alla”, lisää puolestaan Jari.
”Myös omassa toiminnassa on tapahtunut muutosta. Olen nykyään ottanut tavaksi lukea kyberturvallisuuskeskuksen tiedotteet entistä huolellisemmin läpi, ja pyrin reagoimaan nopeasti heti tiedon saatuani”, Marko kertoo.
Ulkoistaminen on järkevää
Datan palautuksen yhteydessä otettiin TNNetin suosittelusta käyttöön Sophoksen MDR -palvelu, joka asennettiin kaikkiin palvelimiin.
”Sophoksen MDR:ssä oikeat elävät ihmiset valvovat dataa ja hälytyksiä, ja se tekee siitä poikkeuksellisen perinteisiin valvontajärjestelmiin verrattuna. Sophoksen avulla meni vajaa 30 minuuttia löytää haavoittuvuus, jota pitkin hyökkäyksen arvellaan alun perin alkaneen.”
”Saimme ranskalaisilla viivoilla selkeät ohjeet, kuinka toimia hälytyksen sattuessa ja näin välttyä uudelta hyökkäykseltä. Tämä on kokonaisuudessaan älyttömän kätevä systeemi”, Marko summailee.
”Uusia uhkia ilmestyy koko ajan. Palvelu, joka näkyy internetin suuntaan, tuottaa hyökkäyspintaa, ja semmoisen palvelun oma ylläpito on riski. On huomattavasti helpompaa, kun ulkopuolinen kumppani vastaa varmistuksista sekä tietoturvapäivityksistä. Se on heidän ydinosaamistaan, ja he tuntevat omat tuotteensa”, toteaa ICT-pääsuunnittelija Marko Satosaari lopuksi.