nahel-abdul-hadi-1226210-unsplash

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus

Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei pidetä ajan tasalla päivityksien avulla, niiden laatu heikkenee ohjelmien vanhentuessa. Yrityksien hallussa on nykyään valtavia määriä tietoa, jonka johdosta yrityksistä voi helposti tulla alttiita verkkohyökkäyksille.

Tech Republicin mukaan vuonna 2018 kaikista verkkohyökkäyksistä yleisin oli erilaiset haittaohjelmat. Haittaohjelmiin liittyvissä hyökkäyksissä, kyberrikolliset varastavat uhrin henkilökohtaisia tietoja tämän tietokoneelta, käyttäen vakoiluohjelmia sekä etäältä hallittavia haittaohjelmia.

Seuraavaksi yleisin verkkohyökkäyksen muoto on hakkerointi. Hakkeroinnissa hyökkääjää käyttää hyväkseen kohteensa  ohjelmistojen ja laitteistojen heikkouksia. Hakkerit aiheuttavat eniten haittaa hallituksille, pankeille sekä kryptovaluutta alustoille. Viimeisimmässä tapauksessa, Saksan liittokansleri Angela Merkelin Twitter tili hakkeroitiin ja henkilökohtaisia tietoja vuodettiin tililtä julkisuuteen. Tapaus kertoo siitä, että korkeassa virassa olevat valtion työntekijätkään eivät ole suojattuja tietoturvaloukkauksilta.

Muita verkkohyökkäyksen muotoja:

  • Verkkohyökkäykset, joissa kohteina ovat yrityksien avainasemissa työskentelevät henkilöt. Hyökkääjät valikoivat kohteikseen henkilöitä, joiden kautta on helppo päästä käsiksi yrityksen kannalta tärkeisiin tietoihin ja tietojärjestelmiin. Hyökkääjät käyttävät hyväkseen erilaisia sosiaalisen median kanavia, kuten LinkedIn palvelua. Verkkohyökkäyksen tehokkuus perustuu ihmisten välisiin vuorovaikutuksiin ja ideana on päästä käsiksi yritykselle tärkeisiin tietoihin sen työntekijöiden kautta.
  • Web sivustojen hyökkäykset. Kyberrikolliset voivat käyttää verkkosivujen asiakastietokantoja ja muuta dataa kiristysvälineenä uhaten yrityksiä verkkosivujen sulkemisella tai tietovuodolla.
  • DDoS –(Denial of Service attack) Palvelunestohyökkäys on verkkohyökkäyksen muoto, jota käyttävät lähinnä kilpailijat, tyytymättömät asiakkaat sekä erilaiset hakkerointi aktivistit. Palvelunestohyökkäykset kohdistuvat yleensä valtion toimielimiin. Palvelunestohyökkäys lamauttaa järjestelmän toiminnan, jolloin se ei voi vastata palvelupyyntöihin. Palvelunestohyökkäys on myös hyökkäys järjestelmän resursseja vastaan, mutta se käynnistetään useammalta isäntäkoneelta, johon hyökkääjien haittaohjelma on jo tarttunut.

Terveydenhuoltoala on erityisen riskialtis verkkohyökkäyksille, tietojen arkaluonteisuuden vuoksi. Erityisesti kiristyshaittaohjelmat ovat yleinen verkkohyökkäyksen muoto. Vuonna 2017 terveydenhuoltoala kärsi 45% kaikista kiristyshaittaohjelmiin liittyvistä hyökkäyksistä. Rahoitusalan yritykset kärsivät 12%, teollisuus 7%, koulutus ja vähittäiskauppa molemmat 6% sekä matkailuala 7%. Muut alat kuten, julkinen sektori sekä kiinteistöala saivat osuudekseen yhteensä 8% kaikista kiristyshaittaohjelma hyökkäyksistä. Europolin tekemän raportin mukaan kirityshaittaohjelmat vähenivät 30% vuonna 2018 verrattuna vuoteen 2017. Kiristyshaittaohjelmat ovat kuitenkin edelleen suurin uhka kaikista haittaohjelmien eri tyypeistä. Kiristyshaittaohjelmien koodaukset ovat muihin verrattuna paljon kehittyneempiä, mikä tekee uhkien tunnistamisesta huomattavasti haastavampaa.

Kuinka kiristyshaittaohjelmat liittyvät Yleiseen tietosuoja-asetukseen?

Kiristyshaittaohjelmat ovat haittaohjelmia, jotka uhkaavat julkaista arkaluonteisia tietoja uhristaan tai vastaavasti estää kiristyksen kohteensa pääsyn omiin tietoihinsa. Kiristyshaittaohjelmat ovat yksi yleisimmistä haittaohjelmatyypeistä sekä Suomessa että maailmalla. Kiristyshaittaohjelmaksi luokitellaan sellaiset haittaohjelmat tai verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila ja saada käyttäjä maksamaan tietty summa rahaa tietokoneen toimintakyvyn palauttamiseksi.

Haittaohjelmatyypit:

  • Arkaluonteisten tietojen tilapäinen tai pysyvä hävittäminen
  • Toimintojen häiritseminen verkon kaatamisen avulla
  • Lunnasmaksu vaatimus: Jotta järjestelmä palautuu toimintakykyiseksi tai varastetut tiedot palautetaan.

Kun kiristyshaittaohjelmat saavat haltuunsa yrityksen tietoja yksityishenkilöistä, voivat yksityishenkilöiden oikeudet vaarantua. Tämän vuoksi kiristyshaittaohjelmien tuomat ongelmat liittyvät myös Yleiseen Tietosuoja-asetukseen, sillä haittaohjelmat uhkaavat myös henkilöiden yksityisyyttä.

Useimmiten yritykset ovat valmistautuneet hyvin GDPR:n asettamiin vaatimuksiin, mutta aliarvioivat haittaohjelmien mahdollisia vaikutuksia. Haittaohjelmat voivat vaarantaa yrityksen hallussa olevia henkilötietoja, jonka vuoksi on tärkeää, että yritykset arvioivat huolellisesti haittaohjelmien ja verkkohyökkäyksien vaikutuksia tietosuojaan.

Jos henkilötietoja vaarantuu verkkohyökkäyksen johdosta, tulee viranomaisille ilmoittaa asiasta 72 tunnin kuluessa. Ilmoituksen tulee sisältää tietoja tietoturvaloukkauksen tyypistä, vaarantuneista henkilötiedoista sekä toimenpiteet joita tullaan tekemään haitallisten vaikutusten vähentämiseksi. Jos tietoturvaloukkaus on laadultaan vakava ja vaarantuneet henkilötiedot ovat erityisen arkaluonteisia, tulee kyseisille henkilöille kertoa tietoturvaloukkauksesta. Viranomaisille pitää ilmoittaa aina, jos arkaluonteisia henkilötietoja vaarantuu tietoturvaloukkauksen aikana.  Jos yritys ei pysty osoittamaan, että GDPR:n asettamia vaatimuksia on noudatettu, on mahdollista että yritykselle määrätään viranomaisen toimesta sanktioita.

Onko Kiristyshaittaohjelma automaattisesti myös tietovuoto?

Useat kiristyshaittaohjelmien laatijat pyrkivät arvioimaan mahdollisen sakon suuruuden, jonka yritys joutuisi maksamaan jos GDPR:n asettamia vaatimuksia rikotaan. Tällöin lunnasvaatimukset vastaavat mahdollisen sakon suuruutta. Hyökkääjät olettavat yrityksen maksavan mieluummin lunnasrahan, kuin ilmoittavan hyökkäyksestä paikallisille viranomaisille, joka johtaisi automaattisesti asian viralliseen tutkintaan. Tutkinnan yhteydessä voitaisiin löytää lisää todisteita tietosuoja rikkomuksista.

Suurin osa yrityksistä kuitenkin ymmärtää, että sanktioista tulee huomattavasti todennäköisempi vaihtoehto jos kiristyshaittaohjelman aiheuttamasta tietovuodosta jättää ilmoittamatta viranomaisille. On nimittäin myös mahdollista, että kiristyshaittaohjelmaa ei lasketa tietoturvaloukkaukseksi lainkaan, varsinkin jos haittaohjelma lamaannuttaa vain ohjelmien toiminnan eikä aiheuta vaaraa henkilötietojen osalta.

Kuinka kirityshaittaohjelmia voidaan välttää?

Tietosuoja-asiantuntijat odottavat kiristyshaittaohjelmien lisääntymistä tulevaisuudessa. Mikä tahansa yritys, koosta riippumatta voi joutua hyökkäyksen kohteeksi. Hyökkääjät ovat tietoisia siitä, että viranomaisen määräämä sanktio voi olla kohtalokas yrityksen liiketoiminnan kannalta. Tämän vuoksi on erityisen tärkeää varmistaa, että verkko on suojattu tietoturvahyökkäyksiä vastaan.

Tärkeimmät kiristyshaittaohjelmien torjuntatavat:

  • Päivitä ohjelmisto
  • Hanki virustorjuntaohjelma, jolla on lisenssi. Oikeanlaisen työkalun avulla hyökkäyksiä voidaan ehkäistä ja järjestelmää pystytään suojaamaan.
  • Siirrä tiedostaja pilvipalveluihin. Pilvipalveluilla on usein asianmukaiset ja riittävät turvatoimenpiteet, joiden avulla tiedostaja pystytään suojaamaan.
  • Salasanojen käyttö. Vaadi salasanoja mahdollisimman usean ohjelman kohdalla, hyökkääjän on vaikeampi päästä käsiksi tiedostoihin salasanan ollessa vahva.
  • Tarkista sähköpostit haittaohjelmien ja spam-sähköpostien varalta.
  • Pidä varmuuskopioita offline-tiedostoissa ja pidä tiedostot ajan tasalla.
  • Poista käyttämättömät palvelutilit.
  • Henkilöstökoulutus – Henkilöstön tulee ymmärtää kiristyshaittaohjelmien pääpiirteet sekä toimintamallit hyökkäyksen sattuessa.

 

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu etu on...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja,...