Palvelunestohyökkäykset Suomeen selvässä kasvussa – Killnet ja muut Venäjä-mieliset ryhmät kytkeytyvät häirintään: "Jos ei Venäjän tukema, niin ainakin sen hyväksymä aalto"

Kyberturvallisuuskeskus arvioi viimeisimmässä viikkokatsauksessaan, että palvelunestohyökkäykset ovat lisääntyneet merkittävästi viime vuoden aikana.

Palvelunestohyökkäyksellä kaadetaan verkkosivusto tai estetään sen käyttö kohdistamalla sivulle poikkeuksellisen paljon liikennettä. Palvelunestohyökkäysten kohteena ovat olleet erityisesti valtionhallinnon, sosiaali- ja terveydenhuollon, finanssialan, liikenne- ja logistiikka-alan sekä media-alan toimijat.

– Tilastoissa on nähtävissä selkeät piikit keväällä, sekä nyt syksyllä ja vuoden lopulla. Vuoden aktiivisimmat kuukaudet palvelunestohyökkäysten osalta olivat lokakuu, marraskuu, ja joulukuu, Kyberturvallisuuskeskus kertoo.

Lue myös: Kelan verkkopalvelut sekä Kanta-palvelut joutuivat palvelunestohyökkäysten kohteeksi – verkkopalvelut toimivat jo lähes normaalisti

Venäjä-mieliset haktivistit aktivoituneet

Yksi merkittävä ryhmä palvelunestohyökkäyksissä ovat niin kutsutut haktivistit, eli vapaaehtoispohjalta kyberrikoksia tekevät, sosiaalisessa mediassa verkostoituvat ryhmät.

Erityisesti Venäjä-mieliset ryhmät ovat aktivoituneet Ukrainan sodan myötä, kohdistaen hyökkäyksiä ukrainalaisia organisaatioita ja Ukrainaa tukevia maita vastaan.

Tietoturva-asiantuntija Benjamin Särkkä tunnistaa Venäjää tukevat ryhmät. Epäselvää on, toimivatko ne valiten kohteensa patrioottisen ideologian perusteella vai ovatko ne valtiollisen toimijan johtamia niin, että kohteet valitaan käskystä Venäjän tavoitteiden mukaisesti.

– Venäjän puolelta on tullut selkeä, jos ei valtion tukema niin ainakin sen hyväksymä tietoturvarikosten ja -loukkausten aalto, Särkkä arvioi.

Lue myös: Kyberhyökkäykset jatkuneet: Nyt kohteena valtioneuvosto – sama venäläinen hakkeriryhmä ilmoittautui

Palvelunestohyökkäyksillä tehdään näyttävästi haittaa

Palvelunestohyökkäyksille ominaista on, että niissä ei ole hyökkääjälle suoraa rahanansaintalogiikkaa, joka tuottaisi sille taloudellista hyötyä. Ne ovat pikemminkin häirintää, joka voi kohdistua myös kriittiseen infrastruktuuriin.

Särkkä muistuttaa, että palvelunestohyökkäykset ovat usein huomattavan näkyviä tekoja. Ne saavat enemmän palstatilaa kuin vaikkapa hiljaiset tietomurrot, joiden tosiasiallinen vaikutus voi olla huomattavasti palvelunestohyökkäystä suurempi.

Hän vertaa toimintaa terroristiryhmiin, jotka ylpeydellä ilmoittavat olevansa vastuussa kaikkien havaitsemasta pommi-iskusta.

– Tehdään todella näyttävä, iso isku, joka on kaikille helposti ymmärrettävä, ja ilmoittaudutaan sen tekijäksi, hän kuvailee.

Lue myös: Venäläinen Killnet-hakkeriryhmä yritti iskeä Euroviisuihin ja estää Ukrainan voiton 

Killnet-ryhmä saanut paljon näkyvyyttä

Kyberturvallisuuskeskus nosti katsauksessaan erikseen esille viime vuoden näkyvimpänä toimijana venäläisen Killnet-ryhmittymän. Se kuvailee Killnetin olleen aiemmin palvelunestohyökkäyksiä myynyt rikollisjärjestö, jonka toiminta on siirtynyt Ukrainan sodan jälkeen kohti haktivismia.

Kyberturvallisuuskeskus kuvailee Killnetin myös kannustavan muita ryhmiä toimintaan, näin jossain määrin johtaen niitä. Selkeää hierarkiaa ryhmien välillä ei välttämättä ole.

– Ryhmien osittainen linkittyminen ja hatarat johtosuhteet näkyvät toiminnan kaoottisuutena ja pientenkin onnistumisten yltiömäisenä korostamisena, Kyberturvallisuuskeskus arvioi.

Särkkä sanoo, että ulkoapäin on vaikea arvioida, millaista kyvykkyyttä Killnetillä on. Ulkopuolisen näkökulmasta se tekee palvelunestohyökkäyksiä, eikä vaikuta olevan teknisesti erityisen valveutunut tai kehittynyt. Varmaa tietoa voi kuitenkin olla vaikea saada.

– Se, mikä meille näkyy, voi olla pintaraapaisu siitä, mitä he oikeasti tekevät, Särkkä muistuttaa.

Lue myös: HSL:ään tehty palvelunestohyökkäys –  asiakkaiden tiedot eivät ole vaarantuneet

Palvelunestohyökkäyksen kerrannaisvaikutukset voivat olla suuret

Palvelunestohyökkäys voi aiheuttaa haittaa kansalaisille, kuten esimerkiksi kävi silloin, kun pääkaupunkiseudulla joukkoliikenteestä vastaavan HSL:n palveluihin tehtiin hyökkäys. Särkkä kuitenkin kertoo, että hyökkäyksellä voi olla myös kertaluokkaa suurempiakin vaikutuksia. Jokin hyökkäys voisi esimerkiksi estää logistiikan toiminnan laajemmin.

Omanlaisensa uhan voisi aiheuttaa myös vaikka sairaalan ajanvarausjärjestelmän tai valtion virallisen hätätiedotuskanavan kaataminen. Viimeksi mainittu voisi olla erityisen vakavaa silloin, jos samaan aikaan olisi käynnissä jokin kriisi, jonka vuoksi ihmiset kanavan tietoa tarvitsisivat. Tuloksena voisi olla epätietoisuutta ja jopa paniikkia.

– Palvelunestohyökkäys ei itsessään aiheuta välttämättä merkittävää haittaa, mutta kerrannaisvaikutukset voivat olla suurempia, Särkkä sanoo.

Särkkä muistuttaa, että vaikka teoriassa hyökkäykset voisivat olla massiivisia, niin on epätodennäköistä, että tärkeitä palveluitamme voitaisiin kaataa palvelunestohyökkäyksellä erityisen pitkäksi aikaa. Maailmalla tapahtuu joka päivä lukuisia palvelunestohyökkäyksiä, jotka ovat yleensä lyhyitä, kestäen minuuteista tunteihin.

Särkkä toteaa myös, että vaikka palvelunestohyökkäyksiä vastaan osataan suojautua, on suojautuminen niin paljon kalliimpaa kuin hyökkäyksen kasvattaminen, että tulemme todennäköisesti jatkossakin painimaan siihen liittyvien ongelmien kanssa. Hän vertaakin ongelmaa jokavuotisiin flunssakausiin.

– Vaikka tiedämme sen mekanismit ja ymmärrämme miten se toimii, emme oikein pääse siitä kunnolla koskaan eroon.

Lue myös: Venäläiset hakkerit tekivät laajan iskun Norjaan ja uhkailivat Naton Stoltenbergiä: "Tämä piru joutuu vastuuseen jokaisen venäläisen sotilaan hengestä"

6:46Kyberturvallisuuden työelämäprofessori kertoo, millaisiin vaikuttamisen keinoihin Suomen on varauduttava Venäjän suunnalta.