17.03.2023
Musta maanantai ja hyökkäys
Keski-Uudenmaan koulutuskuntayhtymä Keudassa maanantai 28.11.2022 alkoi synkissä tunnelmissa. Varhain aamulla havaittiin Keudan IT-ympäristöön kohdistunut voimakas kyberhyökkäys. Hyökkäys oli toteutettu LockBit-kiristyshaittaohjelmalla, joka saastutti noin 60 % kaikista Keudan työasemista ja palvelimista. Käytännössä hyökkäys pysäytti koko IT-ympäristön täydellisesti noin kuukaudeksi.
Keudan tietohallinto reagoi tilanteeseen nopeasti ja päättäväisesti. Kun hyökkäys havaittiin, varotoimenpiteenä katkaistiin kaikki Keudan verkko- ja palvelinyhteydet. Välittömästi otettiin yhteys kyberturvallisuuskeskukseen ja tietosuojavaltuutetun toimistoon sekä tehtiin rikosilmoitus poliisille. Lisäksi teknisestä tutkimuksesta tehtiin sopimus tietoturvallisuuteen erikoistuneen asiantuntijayrityksen kanssa. Nopea yhteydenotto eri toimivaltaisiin viranomaisiin onkin ainoa oikea tapa edetä, kun huomaa organisaation joutuneen kyberhyökkäyksen kohteeksi. Poliisille tulee tehdä ilmoitus, jotta rikosilmoitusprosessi etenee. Kyberturvallisuuskeskukselta taas saa apua ja tukea tilanteen selvittämisessä. Tietosuojavaltuutetun toimistoon tulee olla yhteydessä, jos tilanteessa on pienikin epäily, että tietosuoja on vaarantunut.
Kiristyshaittaohjelmia levittävät rikolliset pyrkivät nopeisiin voittoihin kryptaamalla hyökkäyksen kohteeksi joutuneen organisaation tiedostoja ja kiristämällä organisaatiota. Hyökkääjä saattaa myös uhata levittää mahdollisesti haltuunsa saamaa liiketoimintakriittistä tietoa. Keudan tilanteessa kunnossa olevat varmuuskopiojärjestelmät mahdollistivat sen, ettei Keudan organisaationa tarvinnut edes miettiä lunnasvaatimuksiin suostumista. Yleisesti ottaen muutenkaan vaatimuksiin suostuminen ei millään muotoa takaa, että kiristys loppuisi. Onkin ensiarvoisen tärkeää varmistaa, että varmuuskopiojärjestelmät ovat kunnossa ja teknisesti eriytettyjä siten, että voidaan varmistua, että ne eivät saastu mahdollisen hyökkäyksen yhteydessä.
Poikkeustilaryhmä ja viestintä
Heti hyökkäyksen alkuvaiheessa Keudaan perustettiin poikkeustilaryhmä, joka koostui kuntayhtymän johtajasta, operatiivisesta johtajasta, tietohallintopäälliköstä ja hänen varahenkilöstään, vararehtorista, viestinnän asiantuntijoista, turvallisuuspäälliköstä sekä tietosuojavastaavasta. Ryhmän vastuulla oli ylläpitää tilannekuvaa tapahtumista, koordinoida johtamista sekä vastata koordinoidusti viestinnästä niin sisäisesti kuin ulkoisesti. Jälkikäteen voidaan todeta, että ryhmässä oli riittävän kattava edustus eri toiminnoista ja se kykeni johtamaan tilannetta niissäkin tilanteissa, joihin ei ollut valmiita harjoiteltuja toimintamalleja. Viestinnän roolia kriisitilanteen johtamisessa ja kokonaisuuden pitämisessä kasassa ei voi liikaa korostaa.
Hyökkäyksen alkuvaiheessa kriittisintä oli saada yhteys henkilöstöön tilanteessa, jossa ainoastaan puhelut ja tekstiviesti olivat mahdollisia. Henkilöstölle viestittiin Secapp-kriisiviestintäsovelluksen kautta sekä pidettiin kuusi Teams-tilaisuutta, joissa oli mahdollista esittää kysymyksiä. Intraan perustettiin oma tiedotussivusto kyberhyökkäykselle. Avoimella viestinnällä pyrittiin luomaan turvallisuuden tunnetta henkilöstölle, sekä selkeästi viestimään tilanteen etenemisestä sekä seuraavista palautumisen askelmerkeistä.
Median kiinnostus tapahtunutta kohtaan oli valtavaa ja se huomioitiin myös kansainvälisissä medioissa. Tämän vuoksi vastuu ulkoisesta viestinnästä ja kommentoinnista kohdennettiin ainoastaan yhdelle taholle, eli operatiiviselle johtajalle. Näin ulkoinen viestintä pysyi yhdenmukaisena. Koska kyseessä ei ollut ns. tietotekninen asiantuntija, pystyi tietohallinto keskittymään täysin omaan tehtäväänsä. Samalla viestintä pystyi riittävänä ja faktoihin perustuvana, mutta ei liian yksityiskohtaisena tai teknisenä. Julkisille verkkosivuille perustettiin erillinen kyberhyökkäys-tiedotuskanava, jota alkuun päivitettiin useita kertoja päivässä. Ensimmäisen viikon aikana Keudan sosiaalisen median eri kanavien kautta tiedotettiin tilanteesta noin kolmesti päivässä. Sidosryhmille lähetettiin erillinen tiedote ja opiskelijoille viestittiin tekstiviestein.
Palautuminen ja henkilöstön resilienssi
Keudan henkilöstö sopeutui poikkeustilanteeseen hyvin. Tietohallinto joutui lähes epäinhimillisen työkuorman alle palautteessaan IT-ympäristöä käyttökuntoon, mutta selvisi siitä kunnialla ja myös opetus pystyttiin järjestämään pääosin suunnitellusti. Tietohallinnon kuormaa kuvaa, että kaikki Keudan henkilöstön henkilökohtaisessa käytössä olevat yli 800 kannettavaa tietokonetta jouduttiin asentamaan uudestaan, kuten myös kaikkien oppimiesympäristöjen tietokoneet, joita on yli 1600. Lisäksi tietohallinto palautumisen yhteydessä käytännössä rakensi koko Keudan IT-ympäristön uudestaan.
Merkillepantavaa on, että vaikka hyökkäys tapahtui kriittiseen ajankohtaan marras-joulukuun vaiheessa, jolloin perinteisesti opiskelijoita valmistuu runsaasti, ei hyökkäys aiheuttanut viivästymisiä yhdenkään opiskelijan valmistumiseen. Näin julkisestikin pitää nostaa hattua kaikille keudalaisille eri henkilöstöryhmissä, jotka puhalsivat yhteen hiileen ja laittoivat opiskelijoiden valmistumisen kaiken edelle.
Käytännön esimerkkinä tästä on eri toimipisteissä suoritetut ”tulostustalkoot”. Verkkotulostimien ollessa hyökkäyksen vuoksi poissa käytöstä järjestettiin toimipisteiden opintotoimistoihin ”tulostuspisteitä”, joissa paikallisilla tulostimilla pystyttiin tulostamaan kaikki opiskelijoiden valmistumiseen tarvittava materiaali. Vaikka tämä on vain pieni yksittäin seikka, niin kuuden kunnan, kymmenen toimipisteen, 850 keudalaisen ja 12 000 opiskelijan talossa tämäkään ei aivan sormia napsauttamalla tapahtunut. Samanlaisia venymisiä oli lähes kaikissa Keudan henkilöstöryhmissä.
Opit tapauksesta
Nyt hyökkäyksestä on kulunut noin neljä kuukautta. Hyökkäyksen tekijää ei vieläkään tiedetä tai ole saatu kiinni. Toipuminen on vieläkin osittain kesken. On kuitenkin huomioitava, että hyökkäyksestä palautumisen yhteydessä Keudan IT-ympäristöä ja tietoturvaa on kehitetty samalla huomattavasti, mikä osittain on vaikuttanut toipumisajan pidentymiseen. Käytännössä Keuda uudisti koko IT-ympäristönsä.
Nyt olemme julkaisseet tapahtumista www-sivuillamme loppuraportin. Keudalla on koko hyökkäyksen ajan ollut viestinnässä avoin linja niin asiakkaiden, sidosryhmien, viranomaisten, henkilöstön, kuin opiskelijoidenkin suuntaan ja tämä loppuraportin julkaisu on luonnollinen jatkumo tälle avoimuudelle. Kyberhyökkäyksistä on kerrottu julkisesti vähän. Nyt pyrimme rakentamaan avoimuuden kulttuuria turvallisuusjohtamiseen ja viestintään ja tätä kautta olla omalta osaltamme luomaan turvallisempaa Suomea.
Hyökkäys koetteli voimakkaasti Keudan jatkuvuudenhallintaa. Se osoitti, että vaikka organisaatiossa olisi tehty paljon työtä riskienhallinnan, tietoturvallisuuden ja jatkuvuudenhallinnan edistämiseksi, voi rikollinen olla askeleen edellä. Lisäksi se osoitti, että aina löytyy kehitettävää. Tilanne osoitti myös sen, että organisaationa Keuda on resilientti ja se pystyy toimimaan myös poikkeusoloissa, joihin ei ole valmiina ennalta harjoiteltuja toimintamalleja. Oppina hyökkäyksestä voidaan ammentaa se, että kovan teknisen osaamisen lisäksi kriisijohtaminen vaatii ennalta harjoiteltua viestintää ja turvallisuusjohtamista. Tulevaisuudessa oppivana organisaationa Keuda kehittää jatkuvuudenhallintaa ja kriisijohtamista kokonaisuutena, jotta se olisi entistäkin paremmin valmistautunut mahdollisiin tuleviin kriiseihin. Toivottavasti tämän Keudaan kohdistuneen hyökkäyksen kautta pystytään välttämään vastaavia tapauksia. Turvallisuutta tehdään yhdessä ja yhteistyössä.
Loppuraportti Keudan kyberhyökkäyksestä >>
Keudan operatiivinen johtaja Timo Hakkarainen työn ulkopuolella: olen äänikirjojen suurkuluttaja. Niiden kuuntelu tasapainottaa ja tukee paitsi työtäni, myös tietojohtamisen opintojani. Vaativan tietotyön vastapainona harrastan monipuolisesti eri urheilulajeja.
Timo Hakkarainen
operatiivinen johtaja, Keski-Uudenmaan koulutuskuntayhtymä Keuda
Ammattiosaamisen kehittämisyhtiö AMKE Oy Ammattiosaamisen kehittämisyhdistys AMKE ry
Eteläranta 10
00130 Helsinki