Uutinen

Viruksen varjossa – kyberrikolliset saalistavat nyt haavoittuvia kohteita

04.05.2020 | 10:35

Teksti : ERJA ELO

Koronapandemia on saanut liikkeelle kyberrikolliset, jotka saalistavat aiempaa tarmokkaammin haavoittuvia kohteita internetissä. Terveydenhuolto on yksi merkittävimmistä hyökkäyskohteista.

”Kyberhyökkäys sairaalaan – kiristäjät iskivät koronan varjolla”. Näin raportoi iltapäivälehden otsikko maaliskuun puolivälissä, kun verkkorikolliset hyökkäsivät tsekkiläiseen Brnon yliopistosairaalaan.

Hyökkääjät pääsivät sairaalan tietojärjestelmiin lähettämällä koronavirusta koskevan sähköpostin työntekijöille. Nämä klikkasivat pahaa aavistamatta liitetiedostoa, johon oli piilotettu kiristysohjelma.

Motivaationa raha

Brnon tapaus on yksi monista kyberongelmista, joita koronapandemia on aiheuttanut. Uutistoimisto AFP:n mukaan hyökkäyksiä on sattunut ennenäkemätön määrä, ja rikolliset iskevät vimmalla nimenomaan terveydenhuoltoon.

Hyökkäys voi häiritä sairaalan toimintaa vakavasti, koska valtaosa hoitotyöstä kytkeytyy tietoverkkoihin ja tietojärjestelmiin. Fyysinen maailmamme on yhä enemmän riippuvainen digimaailman toimivuudesta.

Rikolliset sulkevat sairaaloiden tietojärjestelmiä ja kiristävät lunnaita niiden avaamiseksi. Vaatimuksiin on usein suostuttava, koska ajantasaiset potilas- ja lääkitystiedot ovat välttämättömiä hoidon jatkamiseksi. Hyökkäykset voivat vaikeuttaa myös lääkinnällisten laitteiden toimintaa sekä sairaalan tukitoimintoja, kuten hallintoa, ruokahuoltoa tai lääkkeiden toimittamista.

Osa verkkohyökkääjistä varastaa arkaluontoisia potilastietoja sekä henkilötietoja, jotka kiinnostavat identiteettivarkaita.

Brnon hyökkäyksessä verkkorikolliset hyödynsivät ajankohtaista pandemiaa, mutta Yhdysvalloissa vastaavat tietomurrot ovat olleet ongelma jo pitkään.

– Yhdysvalloissa sairaalat ovat nousseet merkittäväksi kyberhyökkäysten kohteeksi vuoden sisällä. Niihin tehdyistä tietomurroista uutisoidaan viikoittain, kertoo tietoturva-asiantuntija Perttu Halonen.

Halonen työskentelee Kybertuvallisuuskeskuksessa, osana Liikenne- ja viestintävirasto Traficomia. Hän on mukana Kyberterveys-hankkeessa, jossa parannetaan sairaaloiden ja koko sote-sektorin kyberturvallisuutta.

Alan toimijoita on opetettu varautumaan kyberuhkiin, tunnistamaan ja torjumaan niitä nykyistä paremmin, sillä hyökkäykset yleistyvät Suomessakin.

– Kyberrikolliset etsivät haavoittuvia kohteita internetissä pysähtymättä. Heille ei ole väliä, mihin maahan tai minkä alan organisaatioon he hyökkäävät, kunhan saavat rahaa.

Otollinen kohde

Kansainvälisten tutkimusten mukaan yli 80 prosenttia terveydenhuollon organisaatioista on joutunut viime vuosien aikana kyberhyökkäysten kohteiksi. Vain puolet niistä on ollut riittävän varautunut hyökkäyksiin.

Terveydenhuoltoalan nouseminen tietomurtojen ykköskohteeksi voi selittyä monella syyllä. Alan organisaatioissa työskentelee paljon ihmisiä, jotka käyttävät useita järjestelmiä ja laitteita, joten hyökkäystapoja on useita. Ala on heikommin suojassa kuin esimerkiksi finanssiala.

Kyberhyökkäysten taustalla on pääasiassa kansainvälinen järjestäytynyt rikollisuus. Jonkin verran hyökkäyksiä tehtailevat myös yksittäiset hakkerit tai hakkeriryhmät, kuten Anonymous, jotka toimivat huvin tai haasteen vuoksi.

Verkkorikolliset hyödyntävät roskaposteja, tietojenkalastelua ja haittaohjelmia, joilla voi toteuttaa esimerkiksi tietoverkkohuijauksia, petoksia tai kiristyksiä.

Kyberrikolliset saalistavat internetissä heikosti suojattuja koneita. He lähettävät kohdistamatonta verkkoliikennettä kaikkialle internetissä oleviin tietokoneisiin ja katsovat, millaisia vastauksia tulee takaisin. Niistä voi päätellä, onko vastassa haavoittuvainen tietokone, johon voi murtautua.

Iso vahinko lähellä Lahdessa

Suomalaisissa sairaaloissa ei toistaiseksi ole ollut lunnasvaatimuksia tai tietovarkauksia, mutta rikolliset yrittävät sinnikkäästi.

Viime kesäkuussa Päijät-Hämeen hyvinvointiyhtymässä oli vakava läheltä piti -tilanne. Yhdelle Lahden kaupungin tietokoneista murtauduttiin. Hyökkääjä tartutti siihen haittaohjelman, joka ehti levitä kaikessa hiljaisuudessa noin tuhanteen muuhun tietoasemaan.

Kun ongelma huomattiin, laajempien vahinkojen estämiseksi oli katkaistava tietoyhteydet Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän välillä.

Yhteyksien sulkeminen haittasi kaupunginsairaalan, terveysasemien, hammashoitoloiden ja sosiaalipalveluiden toiminta. Ongelmia oli esimerkiksi puhelinpalveluissa, eikä laboratoriovastausten tai röntgenkuvien siirto onnistunut. Myös reseptiliikenteen tarvitsemat yhteydet Kanta-palveluun olivat poikki.

Potilasturvallisuus ei silti vaarantunut, sillä ensiapu ja erikoissairaanhoito saatiin pidettyä toiminnassa.

Tapauksessa on merkittävää se, että puolustusreaktio aiheutti suuremman vahingon kuin itse haittaohjelma oli siihen mennessä ehtinyt.

– Hyökkääjä oli saanut Lahden kaupungin tietoverkosta aika vahvan jalansijan, ja tilanne oli vakava. Kaupungilla ja sairaanhoitopiirillä oli hyvä syy uskoa, että hyökkääjä voisi halutessaan aiheuttaa mittavaa vahinkoa. Siksi rajut puolustustoimenpiteet olivat perusteltuja, Halonen sanoo.

Vaikka hyökkääjä saatiin pois verkosta, vahinkoja korjattiin ja tietosuojaa parannettiin koko kesä. Samalla selvisi, että tietojärjestelmissä oli jo ennen hyökkäystä monenlaista korjausvelkaa.

– Tietojärjestelmien huolellinen kehittäminen, ylläpito, suojaaminen ja valvonta ovat olennaisia tietoturvalle, Halonen painottaa.

Suurin riski on huolimaton ihminen

Koronapandemia on lyhyessä ajassa mullistanut työn tekemisen tavat. Lukuisat terveydenhuollon ammattilaiset ovat etätöissä karanteenien vuoksi, ja tämä on erityinen vaaranpaikka. Etätyössä ei saa unohtaa kyberhygieniaa.

– Etätöitä tehdään ainoastaan työnantajan osoittamilla välineillä, eikä niitä saa käyttää muuhun. Edes tauon aikana ei saa mennä Facebookiin työnantajan koneella, Halonen varoittaa.

Tämän ymmärtäminen on olennaista, sillä terveydenhuollon tietoturvan vaarantumiseen ei välttämättä tarvita kyberrikollisia. Todennäköisin tietoturvariski on huolimaton ihminen.

Tulee klikattua väärä sähköpostia tai Facebook-linkkiä tai syötettyä henkilötiedot väärälle verkkosivulle.

Halonen kehottaa internetin käyttäjiä valppauteen, koska ihmisten höynäyttäminen on yleinen keino rikollisille. Jos klikkaa viestiä euron iPhonesta ja sallii ohjelman suorittamisen, on tietokoneen suojaus ohitettu.

Sairaalan tietoturvallisuuden heikko lenkki voi olla myös etätyössä oleva lääkäri, joka lähettää omalta kotikoneeltaan tietoa sairaalan sisäverkkoon. Jos tietoturvapäivitykset ovat jääneet tekemättä, hyökkääjä pääsee avoimesta portista työpaikan tietoverkkoon.

– Hyökkäyksiä voi estää pitämällä tietojärjestelmät jatkuvasti päivitettyinä. Jos uusia tietoturvapäivityksiä ei asenna nopeasti, ja järjestelmä on internetissä, rikolliset kyllä löytävät sen ennen pitkää, Halonen sanoo.

Rikolliset sulkevat sairaaloiden tietojärjestelmiä ja kiristävät lunnaita niiden avaamiseksi.

Apteekkien tiedot suojataan keskitetysti

Jos hyökkääjät pääsevät hakkeroitumaan suurten yhdysvaltalaissairaaloiden tietoverkkoihin, mikä on tietoturvan taso pienissä suomalaisissa apteekeissa?

Paitsi sairaaloissa, myös apteekeissa on tietoa, joka kiinnostaa verkkorikollisia. Tuotejohtaja Jukka Nurmi Pharmadatasta kertoo, että Apteekkiverkon konesalin keskuspalomuurissa näkyy hyökkäysyrityksiä viikoittain.

Apteekkiverkko on suljettu yritysverkko, jota käyttää noin puolet Suomen apteekeista. Sen kautta apteekeilla on suorat ja suojatut yhteydet viranomaisiin, esimerkiksi Kelan reseptikeskukseen.

– Kaikki Apteekkiverkon tietoliikenne kulkee keskitetyn konesalin kautta, joten se on ainoa piste mahdolliselle kyberhyökkäykselle. Olemme keskittäneet resursseja tämän paikan vahvaan suojaamiseen ja valvontaan, sen sijaan, että liikenne olisi hajautettu yksittäisiin apteekkipisteisiin, Nurmi sanoo.

Apteekkiverkko joutui koetukselle muutama vuosi sitten, kun Kelan reseptikeskukseen tehtiin palvelunestohyökkäyksiä, jotka kohdistuivat keskuksen ulkoiseen liityntäpisteeseen. Hyökkäysten aikana Kelan palomuuri sulki ulkoa tulevan liikenteen ja liityntäpiste oli pitkään poissa käytöstä.

– Nämä hyökkäykset eivät vaikuttaneet mitenkään Apteekkiverkossa toimivien apteekkien toimintaan, Nurmi sanoo.

Suojausten keskittäminen yhteen konesaliin mahdollistaa myös sen, että jos apteekin työasema haavoittuu, Pharmadata pystyy rajaamaan ongelman apteekin sisäverkkoon, eikä vahinko leviä.

Apteekkien tietoturva on hyvin vahva, ja sitä edellyttää myös valvova viranomainen eli Valvira. Suojaus näkyy käytännön työssä esimerkiksi niin, että lääkkeitä toimittavan farmaseutin on kirjauduttava pd3-apteekkijärjestelmään vahvalla tunnistautumisella, henkilökohtaisilla käyttäjätunnuksilla ja toimikortilla.

Nurmen mukaan parasta, mitä yksittäiset apteekit voivat tehdä kyberturvallisuuden parantamiseksi, on käyttää apteekin päätteitä vastuullisesti ja tietoturvallisesti.

– Apteekin päätteille ei ladata mitään omia ohjelmistoja tai sovelluksia, eikä niillä käydä epämääräisillä verkkosivuilla. Pidetään huolta henkilökohtaisista käyttäjätunnuksista ja omasta toimikortista, hän ohjeistaa.

Kyberhyökkäys ei pysäytä robottia

Noin joka neljännessä Apteekkariliiton jäsenapteekissa on apteekkirobotti eli varastoautomaatti, joka toimii nimensä mukaisesti varastona lääkkeille. Vain laite itse tietää, millä hyllypaikalla lääkkeet sijaitsevat.

Voisiko hakkeri sekoittaa tai pysäyttää apteekkirobotin? Miten lääkejakelun kävisi esimerkiksi HUS Apteekissa, jossa sijaitsevaan Suomen suurimpaan lääkevarastoautomaattiin mahtuu kerrallaan 150 000 lääkepakettia.

Automaatin valmistaneesta kuopiolaisesta Newiconista vakuutetaan, että valtava robotti kestää hyökkäykset, koska se on monen suojauksen takana.

Laite on liitetty osaksi sairaala-apteekin toiminnanohjausjärjestelmää ja sairaalan tietoverkkoa, jossa on virustorjuntaohjelmistot, palomuurit, salasanat ja erilaiset varmennukset.

– Tietoliikenne lääkerobottiin on sallittu vain tietyistä osoitteista. Jokainen viesti, kuten saldotietojen kysely tai lääketilaus, varmistetaan ja todennetaan, kertoo Newiconin markkinointijohtaja Jori-Matti Savolainen.

Laajakaan kyberhyökkäys ei siis pysäyttäisi lääkerobottia, ei ainakaan pitkäksi aikaa. Vaikka robotin tietokone hajoaisi täysin toimintakyvyttömäksi, kaikki tieto voidaan palauttaa käyttämällä tietokannan täydellistä varmuuskopiota. Kopio on turvassa HUS:n palvelinkonesalissa, jossa säilytetään muitakin sairaalan toiminnan kannalta kriittisiä tietoja, kuten potilastietojärjestelmiä.

Lääkkeet eivät missään tilanteessa jää robotin sisään.

Suojaus toimii samaan tyyliin myös yksityisten apteekkien pienemmissä varastoroboteissa. Robotti on kiinni apteekin sisäverkossa, jossa palomuuri suojaa sitä ulkopuolelta tulevilta hyökkäyksiltä.

– Vaikka joku murtautuisi apteekin sisäverkkoon, hän ei voi käytännössä mitenkään saada yhteyttä robottiin, koska liikenne on sallittu vain tietyistä osoitteista suojatulla yhteydellä. Robotti hylkää kaikki muut yhteydenotot automaattisesti, Savolainen kertoo.

Mahdollisen häiriötilan jälkeen apteekin robotti jatkaa toimintaansa nopeasti siitä mihin se jäi, sillä lääkkeiden hyllypaikat varmuuskopioituvat ulkoisille palvelimille.