Kyberhyökkäys on verkossa tapahtuva hyökkäys, jonka tarkoituksena on häiritä, vahingoittaa, varastaa tai kontrolloida. Jo hyökkäys sanasta voidaan päätellä, että kyseessä on pahantahtoinen teko, jonka tarkoitusperät ovat jo lähtökohtaisesti ikäviä.
Monen mielessä kyberhyökkäykset yhdistyvät hakkereihin. Tässä ollaan täysin oikeilla jäljillä, sillä kyberhyökkäykset ovat hakkereiden tekemiä. On kuitenkin muistettava, että kaikki hakkerit eivät tee pahantahtoisia kyberhyökkäyksiä.
Osa hakkereista tekee hakkerointia yhteiskunnan, organisaatioiden ja yksilöiden hyväksi. Nämä valkohattuhakkerit ovat avainasemassa kyberhyökkäyksiltä suojautumisessa. Kyberhyökkäysten takana ovat yleensä mustahattuhakkerit, mutta myös muitakin hakkeriryhmiä omine motiiveineen löytyy.
Kyberhyökkäyksiä on montaa erilaista ja niitä tehdään moninaisin metodein. Kaikki hakkerointi ei suinkaan ole kyberhyökkäämistä. Vaikka "kyberpuolustus" ei ole virallinen termi, voi sitä pitää kyberhyökkäyksen vastakohtana. Sekin on tavallaan hakkerointia.
Tässä artikkelissa perehdymme tekijöihin kyberhyökkäysten takana, erilaisten kyberhyökkäysten tyyppeihin sekä siihen miten niiltä voi mahdollisesti yrittää suojautua. Omaksi parhaakseen jokaisen tulisi ymmärtää edes vähän kyberhyökkäyksistä, mutta etenkin koodaamisen parissa työskentelevien tulee olla asiassa ajan tasalla.
Kyberhyökkäyksen kohteena
Onnistuneen kyberhyökkäyksen taustalla on muutamia tekijöitä, joita hakkeri harkitsee kohdettaan valitessa. Vaikka kyberhyökkäys olisi teknisesti onnistunut, ei se välttämättä menesty jos joitain seikkoja ei ole otettu huomioon. Näin on etenkin kyberhyökkäyksissä, joihin liittyy ihmisten tekemät päätökset.
Haavoittuvuus
Kyberhyökkäyksen kohteeksi joutumisen riski kasvaa mitä enemmän haavoittuvuuksia järjestelmästä löytyy. Heikot suojausprotokollat, vanhentuneet tai päivittämättömät laitteet ja puhtaasti osaamisen puutteet voivat tehdä kohteesta mustahattuhakkerin unelman.
Siinä missä valkohattuhakkerit etsivät haavoittuvuuksia ja aukkoja suojauksesta tehdäkseen järjestelmään parannuksia, mustahattuhakkerit tekevät samaa, mutta tavoitteenaan löytää heikko kohta kyberhyökkäystä varten.
Tässä on puhtaasti kyse siitä, että kyberhyökkäyksen tekeminen on helpompaa ja onnistuu suuremmalla todennäköisyydellä. Monet pahantahtoiset hakkerit hakevat kyberhyökkäyksillä rikoshyötyä ja saattavat haluta tehdä mahdollisimman monta kyberhyökkäystä hyödyn maksimoimiseksi.
Julkisuus
Suurin osa kyberhyökkäyksistä ja niiden yrityksistä ei tule ikinä suuren yleisön tietoon. Kyberhyökkäyksiä kuitenkin tapahtuu aivan koko ajan. Kohteena ovat niin yksilöt, organisaatiot kuin yhteiskunta. Yleensä vain dramaattisimmat kyberhyökkäykset nousevat otsikoihin. Esimerkiksi Vastaamon tietomurto.
Kuten Vastaamon tietomurrossakin tiedämme, itse tietomurto tapahtui todella kauan ennen asian tulemista julkisuuteen. Julkisuus on yksi tekijä, jonka hakkeri saattaa ottaa huomioon kyberhyökkäystä suunnitellessa.
Jotkut organisaatiot voivat julkisuuden pelossa maksaa hakkerin vaatimat lunnaat tai jättää rikosilmoituksen tekemättä. Tämä vain välttääkseen julkisuuden, jolla voi olla muun muassa yritykselle mainehaittaa tai joka aiheuttaa muita ongelmia.
Toisaalta jotkut hakkerit nauttivat muiden kärsimyksen seuraamisesta ja kirjaimellisesti haluavat julkisuutta hyökkäykselleen. Toisaalta osa hakkereista toivoo, ettei koko kyberhyökkäystä edes huomata. Tämä koskee etenkin tapauksia, jossa hyökkäystä käytetään esimerkiksi tiedon varastamiseen.
Edellä mainitusta hyvä esimerkki on tilanne, jossa hakkeri varastaa luottokorttien tietoja. Hakkeri pääsee hyödyntämään varastamiaan tietoja nostamalla rahaa ja tekemällä ostoksia varastetuilla korteilla, mutta vain niin kauan aikaa kunnes rikos huomataan ja kortit suljetaan.
Pelko ja aikapaine
Pelon aiheuttaminen toimii. Valitettavasti. Kyberhyökkäyksessä ei aina ole puhtaasti kyse hyökättävästä järjestelmästä tai laitteesta, vaan sen takana olevista ihmisistä. Pelolla on helppo vaikuttaa ja ohjailla ihmisen toimintaa.
Kun pelon yhdistää aikapaineeseen, onnistumisen todennäköisyys vain kasvaa. Tätä hyödynnetään esimerkiksi yksityishenkilöiden kiristämisessä. Kuvittele tilanne, jossa arkaluontoisia kuviasi on varastettu ja sinua kiristetään maksamaan lunnaat, jotta kuvia ei julkaista verkossa...
Edellä kuvatusta tilanteesta entistä stressaavamman tekee se, jos kiristäjä laittaa lunnaiden maksamiselle aikarajan, esimerkiksi iltaan mennessä. Tässä saattaa ajatella, että edes poliisilta ei kerkeä saada apua ja aikapaineen ja pelon vaikutuksesta lunnaat saattavat tulla maksetuksi hetken päätöksestä.
Aikapainetta ja pelottelua käytetään myös kalastelussa. Kun yritetään esimerkiksi saada ihmistä klikkaamaan sähköpostissa olevaa linkkiä tai antamaan tietoja, joilla päästää käsiksi järjestelmään. Yleensä esiinnytään auktoriteettina ja uhkaillaan, että jotain pahaa tapahtuu jos henkilö ei heti suorita tiettyä toimintoa.
Toisaalta julkisuus ja pelko voivat olla hakkerille haitaksi. Mitä enemmän tunteita ja julkisuutta asia herättää, sitä suurempi paine viranomaisilla on selvittää asia ja saada syyllinen kiinni. Pelko voikin pian kääntyä hakkerin itsensä tuntemukseksi - ja aivan syystä!
Erilaisia kyberhyökkäyksiä
Kyberhyökkäys voidaan toteuttaa monella eri tavalla. Se on ennemminkin yläkäsite monille erilaisille verkossa tapahtuville hyökkäyksille. Erilaisten hyökkäysten taustalla on monia eri tavoitteita, kohteita ja metodeja.
Mainitsimme aikaisemmassa kappaleessa pelon hyödyntämisen kiristyksissä. Verkossa käytettävät kiristysohjelmat tunnetaan englannin kielen termillä ransomware. Siinä hakkeri lukitsee kohteensa laitteen tai pääsyoikeuden ja vaatii lunnaita lukitsemisen poistamiseksi.
Kiristysohjelmaan perustuvassa kyberhyökkäyksessä ei riitä pelkästään onnistunut hakkerointi, sillä lunnaiden maksaminen on lopulta kohteena olevan ihmisen päätös. Moni meistä tietääkin, ettei lunnaiden maksaminen kannata, sillä hakkeri ei maksusta huolimatta välttämättä pidä lupauksiaan.
Väliintulohyökkäys tunnetaan myös tutummin englannin kielen termillä man-in-the-middle. Tällaisessa hyökkäyksessä hakkeri kaappaa kahden osapuolen välisen viestinnän verkossa. Tätä hyödynnetään tiedon, kuten salasanojen, urkkimiseen.
Olet varmasti myös kuullut palvelunestohyökkäyksistä. Palvelunestohyökkäyksissä eli DoS-hyökkäyksissä kohteena olevaan järjestelmään lähetetään niin paljon verkkoliikennettä, että koko järjestelmän toiminta häiriintyy.
Viimeisin otsikoissa ollut palvelunestohyökkäys on kohdistunut Nordeaan. Sen hyökkääjäksi on epäilty jopa toisen valtion tahoa. Tässä järjestelmiin epäillään lähetettäneen verkkoliikennettä jopa tavallisten suomalaisten kotiverkoissa olevista laitteita.
Kyberturvallisuus on siis meidän kaikkien vastuulla. Se ei ole vain jotain mistä IT-alan ammattilaisten tulee olla kartalla. Ymmärrys verkon riskeistä tulee olla osa perusopetusta ja siitä on oltava tietoa saatavilla kaikille. Myös yritykset ovat heränneet riskeihin ja koulutusta tarjotaan yhä enemmän työpaikoilla.
Miten suojautua kyberhyökkäyksiltä?
Kyberhyökkäykset ovat olleet mukana alusta lähtien. Vaikka digitalisaatio on tuonut paljon hyvää arkipäiväiseen elämään, sen haittapuolista tuskin päästään ikinä kokonaan eroon. Kyberhyökkäyksiltä voi silti yrittää suojautua parhaansa mukaan.
Isojen yritysten palkkalistoilla työskentelee alan ammattilaisia, joiden tehtävänä on pitää huolta kyberturvallisuudesta. Pienemmissä yrityksissä tämä on usein ulkoistettu alan osaavalle toimijalle. Lisäksi hyödynnetään freelancereita ja luvan kanssa toimivia valkohattuhakkereita.
Esimerkiksi valkohattuhakkerit voivat etsiä järjestelmien haavoittuvuuksia ja yrittää murtautua tietojärjestelmiin. Tarkoituksena on korjata löydetyt tietoturvan aukot ja muut haavoittuvuudet ennen kyberhyökkäyksiä. Näin ennaltaehkäistään pahantahtoisten hyökkäysten onnistumisia.
Tavallisen ihmisen näkökulmasta perussuojautuminen on kohtuullisen helppoa. Vahvat salasanat, kaksoistunnistautumisen käyttäminen ja laitteiden pitäminen päivitettynä ovat jo tehokkaita keinoja yleisimmiltä hyökkäyksiltä suojautumiseen.
Lisäksi koskaan ei pidä klikata epämääräisiä linkkejä. Kalasteluyrityksiä tehdään nykyään sähköpostin lisäksi myös puhelimitse ja tekstiviestitse. Ja hyvänä yleissääntöä, kannattaa aina miettiä mitä itsestään jakaa verkkoon. Liikaa ei kannata kuitenkaan stressata, sillä maalaisjärjellä pääsee jo pitkälle.
Kiinnostaako sinua koodaaminen ja kyberturvallisuuteen erikoistuminen? Superprofin kautta löydät yksityisopettajat, jotka auttavat mielellään koodaamisen salojen opiskelussa. Oli kyseessä sitten uusi kieli tai aluevaltaus vaikkapa kyberturvallisuuden parissa, tekee opetus oppimisesta tehokkaampaa.
Oletko kuullut jo haktivismista eli aktivismista hakkeroinnin keinoin? Pahantahtoisten kyberhyökkäysten ja eettisen hakkeroinnin väliin mahtuu paljon enemmän mitä usein oletetaan!
Piditkö tästä artikkelista? Jätä arvostelu!
Ladataan...
