Kyberhyökkäys voi pysäyttää hoidot ja leikkaukset katkaisemalla verihuollon. Se voi lukita ovet, valjastaa kodin älylaitteet palvelunestohyökkäysten työkaluksi tai lamauttaa maksuliikenteen. Tekoälyllä tuotettu ääni saattaa puolestaan riittää avaamaan yrityksen kassakaapin.
Nämä eivät ole teoreettisia uhkakuvia tai kauhuskenaarioita vaan tosielämän tapauksia, joihin Peter Nyman ja asiantuntijavieraat pureutuivat Kyberrosvot-podcastin syksyn 2025 jaksoissa.
Hyökkääjät käyttävät sekä sosiaalista että teknistä oveluutta
Syksyllä 2024 Nordeaan kohdistui poikkeuksellisen laaja palvelunestohyökkäysten sarja: 30 päivän aikana tehtiin 360 hyökkäystä. Pahimmillaan pyyntöjä tuli yli 15 miljoonaa yhdessä sekunnissa. Vaikka tekijät ja heidän motiivinsa ovat yhä tuntemattomia, asiantuntija-arviot viittaavat siihen, että hyökkääjillä oli käytössään kymmenien miljoonien eurojen resurssit.
”Se, että erilaisia työkaluja käytetään näin monipuolisesti saman hyökkäyksen aikana, viittaa siihen, että tekoja on suunniteltu etukäteen ja toteutuksessa on noudatettu jonkinlaista käsikirjoitusta”, DNA:n kyberturvallisuusliiketoiminnan johtaja Toni Vartiainen sanoo.
Vartiaisen kanssa Kyberrosvoissa vieraillut Nordean henkilöasiakasliiketoiminnan johtaja Jani Eloranta vahvistaa, että hyökkäystä ei voi kutsua koulupoikien puuhasteluksi.
”Vaikka palvelunestohyökkäykset ovat melko yleisiä, iskun tekotapa, laajuus ja kesto osoittivat meille pian, että kyseessä on ilmiö, jota emme ole aikaisemmin tavanneet. Siitä huolimatta suojaus piti ja asiakasvaikutukset jäivät vähäisiksi”, hän kertoo.
Luottamus ei ole tietoturvaprotokolla
MGM Resorts Internationalin tapausta käsittelevässä jaksossa valkohattuhakkeri Benjamin Särkkä kertoo, että kasinojätti lankesi varsin vanhanaikaiseen huijaukseen, joka ei vaatinut tekijöiltä minkäänlaista teknistä osaamista.
”Tässä mentiin niin sanotusti vanhanaikaisella sisään: soitettiin helppariin, esittäydyttiin it-tukena, pyydettiin salasanaa ja päästiin sitä kautta järjestelmiin kiinni”, Särkkä kuvailee tapahtumaketjua.
Yritykset voivat kompastua yksinkertaisiin sosiaalisen manipuloinnin keinoihin, jos vahvistusprotokollia ei ole otettu käyttöön.
”Tietoturvaa oli ajateltu niinkin pitkälle, että ympäristöjen käytettävyyttä oli parannettu kolmannen osapuolen Single Sign-on -palvelulla. Hyvä tietoturvakäytäntö kääntyi kuitenkin yritystä vastaan, kun identiteetin verifiointia ei tehty”, Särkkä toteaa.
Valppaus ja valmennus luovat yrityksen turvallisuuskulttuurin
Hong Kongissa toimivalta japanilaisyritykseltä varastettiin huijausoperaatiossa 35 miljoonaa dollaria tekoälyllä luodun deepfake-äänen ja yrityksen protokollista kerätyn tiedon avulla.
”Perinteisesti on ajateltu, että ihmisen henkilöllisyys voidaan varmistaa soittamalla. Nyt sekin on asetettu kyseenalaiseksi”, tietoturva-asiantuntija Antti Kurittu sanoo.
DNA:n kyberturvallisuuden kehityspäällikkö Katariina Kannus peräänkuuluttaa tietoturvakulttuurin merkitystä.
”Organisaatiossa on velvollisuus lisätä tietoisuutta siitä, miten huijauksia voidaan tunnistaa ja miten epäilyksistä raportoidaan organisaation sisällä”, hän opastaa.
Toimitusketju puolustautuu yhdessä
Pitkien toimitusketjujen alttius kyberiskuille on tunnistettu haaste, mutta yhteistä harjoittelua tehdään yhä liian vähän. Kun jotain sattuu, hyvä varautuminen voi estää vakavat ja pysyvät vahingot.
Lontoossa patologiapalveluita tuottavaan Synnovikseen kohdistunut kiristyshaittaohjelmahyökkäys osoitti, miten yksi heikko lenkki toimitusketjussa voi avata oven mittaviin järjestelmiin ja aiheuttaa vakavia häiriöitä – jopa vaarantaen ihmishenkiä.
”Asenne, että turvallisuus taataan sopimusteknisesti asettamalle kumppaneille vaatimuksia, ei riitä. Pitää myös varmistaa, että sopimusvelvoitteiden täyttämisen lisäksi kumppanit huolehtivat kyberturvasta sekä harjoittelevat erityistilanteita yhdessä”, DNA:n verkko- ja pilvipalveluliiketoiminnan johtaja Kaapro Kanto tietää.
SPR:n Veripalvelun digijohtaja Heikki Myllyniemi muistuttaa, että jokaisella toimijalla on oma roolinsa kriisissä. Omien vastuiden pitää tulla selkärangasta, kun kriisi on päällä. Prosessien on myös toimittava ilman automaatiota.
”Kun näyttö pimenee, työn on silti jatkuttava”, Myllyniemi kiteyttää.
Harjoittelematon organisaatio on kaikista haavoittuvaisin
Kyberrosvojen syksyn jaksot tarjoavat vielä yhden oppitunnin: inhimilliset virheet eivät useimmiten johdu tiedon puutteesta, vaan valppauden ja havainnointikyvyn herpaantumisesta. Moni tapaus olisi voitu estää tai tilanteesta palautua nopeammin, jos organisaatioissa olisi harjoiteltu kyberturvallisuustilanteita säännöllisemmin.
”Kun tietoturvakoulutusten väliin tulee taukoja, niiden aikana kalasteluviestien klikkaaminen nousee moninkertaiseksi”, Vartiainen siteeraa karuja tilastoja.
Suurissa organisaatioissa henkilöstö vaihtuu, roolit päivittyvät ja toimintatavat muuttuvat. Samalla kyberrosvot kehittävät jatkuvasti uusia tapoja hyväksikäyttää yritysten haavoittuvuuksia. Pieneltäkin tuntuva lipsahdus voi avata oven väärään suuntaan.
”Kyberturva ei ole itsestäänselvyys: se on valinta, jonka puolesta tehdään töitä joka päivä ja joka yö”, Peter Nyman tiivistää kauden annin.
Jäikö jokin Kyberrosvojen jakso kuuntelematta? Nappaa podcast kuulokkeisiisi!
