Las Vegasin kasinojättiin kohdistunut kyberhyökkäys on julma muistutus siitä, että joskus vanha kikka on tehokkaampi kuin pussillinen uusia.
Syyskuussa 2023 maailma seurasi jännityksellä massiivisen kyberhyökkäyksen etenemistä MGM Resortsin kasinoilla Las Vegasissa.
Hyökkäys lamautti Bellagion, Mandalay Bayn ja Arian pelijärjestelmät. Käteisautomaatit ja hotellien avainkortit lakkasivat toimimasta. Varauksia ei voinut tehdä ja ravintoloissa ei voinut maksaa kuin käteisellä. Lopulta MGM Resortsin verkkosivut pimenivät kokonaan.
Hyökkäyksen tekijäksi paljastui pian Scattered Spider -niminen hakkeriryhmä. Hakkeri oli soittanut kasinojätin palvelupisteeseen esiintyen LinkedInistä löydettynä IT-tukihenkilönä, joka pyysi salasanansa resetoimista. Päästyään sisään järjestelmään, hakkerit asettivat kiristyshaittaohjelman ja vaativat yli 30 miljoonan dollarin lunnaat.
Teknologia ei suojaa, jos ihminen avaa oven
Jaksossa vierailevien asiantuntijoiden mukaan Las Vegasin tapaus on julma muistutus siitä, että virhe on mahdollinen silloinkin, kun järjestelmät ovat huippuluokkaa.
”Tässä mentiin niin sanotusti ihan vanhanaikaisella sisään: soitettiin helppariin, saatiin salasana ja sitä kautta päästiin järjestelmiin kiinni. Alkuun pääseminen ei vaatinut edes teknistä osaamista”, valkohattuhakkeri Benjamin Särkkä sanoo.
Hän kertoo hämmästelevänsä sitä, ettei kasinojätillä ollut käytössä identiteetin verifiointia, vaikka lähtökohtaisesti kasinoiden tietoturvaosaaminen on korkealla tasolla.
”Tietoturvaa oli ajateltu niinkin pitkälle, että ympäristöjen käytettävyyttä oli parannettu kolmannen osapuolen Single Sign-On -palvelulla. Mutta sitten juuri ne toiminnot, jotka mahdollistavat turvallisemman käytettävyyden, tarjosivat rikolliselle laajemman pääsyn organisaatioon”, Särkkä sanoo.
Olisiko hyökkäys voitu estää?
Särkän mukaan ei välttämättä, mutta puolustus olisi voinut ostaa itselleen lisää aikaa esimerkiksi siten, että tunnushallinnan järjestelmään saa yhteyden ainoastaan MGM Resortin IP-avaruudesta. Muitakin vastaavia toimenpiteitä on – esimerkiksi lokaatioon tai käyttäytymiseen perustuvien poikkeamien havainnointi.
”Näin hyökkääjän tulee onnistua tosi monta kertaa ja joka kerta kun se onnistuu, niin sen pitää myös onnistua pysymään piilossa. Ainoastaan silloin, kun puolustus epäonnistuu monta kertaa putkeen, niin se hyökkääjä onnistuu lopullisessa tavoitteessaan”, Särkkä valottaa.
Benjamin Särkkä (keskellä) ja DNA:n kyberturvallisuusliiketoiminnan johtaja Toni Vartiainen (oikealla) käyvät podcastissa läpi Las Vegasin tapausta ja sen oppeja Peter Nymanin kanssa.
Miten yritykset voivat varautua?
DNA:n n kyberturvallisuusliiketoiminnan johtaja Toni Vartiainen muistuttaa, että ympäristö, jossa liikkuu valtavia summia rahaa, on omiaan houkuttelemaan rikollisia.
“Mitä isompi ja monikerroksisempi ympäristö, sitä todennäköisemmin jossain on joku porsaanreikä”, hän huomauttaa.
Siksi sekä Särkkä että Vartiainen alleviivaavat varautumismekanismien tärkeyttä. Kun jotain sattuu, varautuminen auttaa välttämään vakavat ja pysyvät vahingot. Vartiaisen mukaan sillä ei lopulta ole isoa eroa, puhutaanko isosta vai pienestä yrityksestä. Tavallaan vain uhkapinta-alan koko vaihtelee.
“Mitä isompi liiketoiminta, sitä kompleksisempi ympäristö. Ja mitä enemmän riskejä, sitä enemmän pitää varautua. Mutta oman osaamisen ja oman toiminnan jatkuvuuden varmistaminen koskee yhtälailla kaikkia yrityksiä”, Vartiainen sanoo.
Yksi varautumisen tapa on rakentaa kumppaniverkosto, joka pystyy tarjoamaan sitä osaamista, jota yrityksellä itsellä ei ole.
Opit talteen, ole hyvä!
Vartiaisen mukaan Las Vegasin tapauksessa on monta hyvää oppia suomalaisten yritysten arkeen. Ensimmäisenä hän nostaa esiin liiketoiminnan tietoturvariskien tunnistamisen ja hallinnan.
”Jos esimerkiksi suurin tulonlähde on digitaalinen verkkokauppa-alusta, todennäköisesti suurimmat riskit liittyvät siihen”, hän sanoo.
Toinen oppi on ihmisten tietoturvatietoisuuden kasvattaminen. Siitä on Vartiaisen mukaan tullut jo eräänlainen kansalaistaito. Hän antaa esimerkin säännöllisyyden merkityksestä:
”Pelkkä tauko tietoturvakoulutusten järjestämisessä nostaa kalasteluviestien klikkaamisen organisaatiossa moninkertaiseksi.”
Oppi numero kolme palaa varautumiseen.
”Harjoittelu on vietävä paperilta konkreettisille tasoille. Yksinkertaisemmillaan kyse on kriisiryhmän perustamisesta ja sen toiminnan harjoittelusta. Ehkä se ei olekaan varautumista siihen, jos jotain sattuu vaan, kun jotain sattuu”, hän päättää.
Jos Benjamin Särkkä saisi päättää yhden asian, joka muuttaisi kyberturvan pelikenttää pysyvästi, mikä se olisi? Miksi DNA:n Toni Vartiainen on tästä eri mieltä? Mitä itse ajattelet?
Kuuntele pysäyttävä tositarina ja koko keskustelu alta!
Tutustu Kyberrosvot-podcastin kaikkiin jaksoihin ja tallenna suosikiksi!
