Tällä viikolla tuli ilmi erityisen opettavainen – ja hälyttävä – kyberturvallisuuspoikkeama: Romanian kansallinen vesilaitos joutui kiristysohjelmahyökkäyksen kohteeksi, eli Administrația Națională Apele Române organisaatio. Hyökkäys tehtiin BitLocker-pohjaisella menetelmällä, ja vaikka vesi-infrastruktuuria ohjaavia OT-järjestelmiä ei lopulta vaarannettu, IT-ympäristölle aiheutuneet vahingot aiheuttavat itsessään vakavan operatiivisen ja sääntelyyn liittyvän riskin.
Käytettävissä olevien tietojen mukaan noin 1000 työasemaa muuttui käyttökelvottomaksi, ja 10/11 aluetoimistoa kärsi. Paikkatietojärjestelmät, tietokannat, sähköpostipalvelut ja web-palvelimet olivat alhaalla hyökkääjien vaatiessa lunnaita. Tämä tapaus osoitti jälleen kerran selvästi, että kriittistä infrastruktuuria ylläpitävälle organisaatiolle pelkkä IT-järjestelmien vikaantuminen riittää vaarantamaan perustehtävien suorittamisen.
Yksi tarinan tärkeimmistä opetuksista ei kuitenkaan ole itse hyökkäys, vaan tapa, jolla se tapahtui. Hyökkääjät eivät käyttäneet klassista, helposti tunnistettavaa kiristyshaittaohjelmaa, vaan aseena käytettiin laillista järjestelmätoimintoa – BitLocker-levyn salausta. Tunkeutumisen jälkeen he liikkuivat verkossa lateraalisesti ja aktivoivat salauksen paikallisesti. Perinteiset virustorjunta- ja EDR-ratkaisut ovat käytännössä avuttomia tässä tilanteessa: ne eivät "näe" todellista haittaohjelmaa, koska käynnissä on sisäänrakennettu Windows-toiminto.
Tämä on juuri se skenaario, jossa reaktiivista, allekirjoitukseen perustuvaa suojausta ei ole valmisteltu. Siihen mennessä, kun EDR hälyttää, tiedot ovat jo salattuja, liiketoiminta on pysähtynyt ja organisaatiolla on edessään valinta: maksaa tai aloittaa pitkä toipumisprosessi. NIS2-järjestelmän alaisen kriittisen infrastruktuurin operoinnissa tämä ei ole vain tekninen, vaan myös sääntely- ja vastuukysymys myös.
Ja tässä tulee se todellinen "mitä jos" -kysymys. aidosti ennaltaehkäisevä, tekoälyyn perustuva päätepisteiden suojaus tässä tapauksessa hän olisi puuttunut asiaan paljon aikaisemmin. Syvä vaisto Esimerkiksi sen syväoppimisteknologia ei tee päätöksiä käyttäytymismallien tai tunnettujen tunnisteiden perusteella, vaan analysoi koodin matemaattisia ominaisuuksia ja estää hyökkäyksen ennen sen toteuttamista. Tämä tarkoittaa, että tuntemattomat, 0 päivän kiristyshaittaohjelmat – mukaan lukien BitLockeria hyödyntävät hyökkäykset – eivät yksinkertaisesti pääse aiheuttamaan vahinkoa.
Ratkaisun toinen etu on se, että NGAV ja EDR samassa, erittäin alhaisella väärien hälytysten määrällä, joka ei ylikuormita SOC-tiimejä ja pystyy tekemään päätöksiä myös offline-ympäristöissä. Jos teet kaiken tämän yhdessä Tähtien kyber Jos täydennämme sitä verkkopohjaisella XDR-alustalla, saamme täydellisen kuvan hyökkäysyrityksistä paitsi päätepisteissä, myös verkko- ja palvelinpuolella.
Romanian vesilaitoksen tapaus on täydellinen esimerkki siitä, miten Jos BitLocker jo salaa, on liian myöhäistä. Tässä tapauksessa ei ole dataa, ei järjestelmää, ei toimintaa – vain kriisinhallintaa. Ennaltaehkäisevällä lähestymistavalla ei kuitenkaan tapahdu datan menetystä, ei lunnaita eikä pakotettua alasajoa.
Kysymys ei nykyään enää ole siitä, onko organisaatio hyökkäyksen kohteena. Kysymys on siitä, onko Huomaammeko sen ajoissa – vai eikö sitä tapahdu ollenkaan?. Kriittisille infrastruktuureille ja NIS2-riskiryhmään kuuluville organisaatioille tämä ei ole teknologinen ylellisyys, vaan perusvaatimus.