Konsta Rönkkö, Chief Technology Officer, IBM Finland
IBM TechXchange 2023-konferenssi on IBM:n uusi yksinomaan sovellus- ja infra-asiantuntijoille suunnattu koulutustapahtuma, joka keskittyy syväluotaavampiin luentoihin, hands-on labroihin ja keynote-puheisiin, joissa pääpaino on teknisten taitojen kartuttaminen myyntipuheiden sijaan. Ensimmäinen tapahtuma järjestettiin MGM Grandissä Las Vegasissa 12.–14.9. ja tapahtumaan osallistui yli 3000 teknistä henkilöä sekä IBM:ltä ja kumppaneilta pääosin Yhdysvalloista. Pääsin osallistumaan IBM Suomen edustajana ja ajattelin kirjoittaa pienen reissupäiväkirjan myös teille aiheesta.
Tapahtuman infra-puolen pääteemat tänä vuonna olivat AI, Hybrid Cloud ja kyberresilienssi, joista varsinkin viimeinen oli hyvin ajankohtainen tapahtuman sijaintia ajatellen.
Tekoälyn osalta suurimmat julkistukset olivat IBM watsonx -tarjoaman uudet tuotteet watsonx Orchestrate, joka automatisoi useita HR- ja backoffice-toimintoja, watsonx Code Assistant-tuotteet COBOLin modernisointiin sekä ohjelmoinnin apuna ja koko kasa muita uudistuksia watsonx.data ja watsonx.ai-tuotteisiin. Watsonx-tuotteiden ajoalustaksi tarjoamme sekä IBM Cloudia että IBM Storage Fusion -palvelimia, vaikkakin watsonx pyörii missä tahansa OpenShiftiä tukevassa x86-ympäristössä. Powerin roadmap watsonx:n osalta julkaistaan myöhemmin.
Powerin näkökulmasta päivän polttavimmat aiheet olivat sovellusten modernisointi esimerkiksi i:n ja RPG:n osalta, OpenShiftin hyödyntäminen pilvinatiivin alustan rakentamisessa, sekä kvanttikoneiden muodostama uhka kryptauksille ja Quantum Safe-algoritmit. Powerin ja Openshiftin osalta on tehty myös loistava Redbook, IBM Power Redbook for OpenShift, johon suosittelen tutustumaan.
Sitten kyberresilienssiin ja sen ajankohtaisuuteen. MGM Resorts, johon myös MGM Grand kuuluu, kärsi nimittäin Ransomware-hyökkäyksestä koko viikon, ja hyökkäyksen seurauksena käytännössä koko Las Vegasin pääkatu Strip oli halvaantunut. Pelikoneet olivat kiinni, sisäänkirjautuminen takkusi, konsertti- ja ravintolavarausten tekeminen ei onnistunut, eikä hotellista ulos kirjautuessakaan saanut edes kuittia. Jefferies Group arvioi, että MGM kärsi noin 8,4 miljoonan dollarin tappiot päivittäin, jonka lisäksi MGM:n osakkeiden arvon romahdus oli noin kolmen miljardin dollarin luokkaa. Perjantaina lähtiessäni ei vieläkään kaikki järjestelmät olleet vielä käytössä, eli voin vain kuvitella vahinkojen määrää IT-infran puolella.
Tässä vaiheessa on varmaan turhaa enää muistuttaa, että meidän kaikkien pitää olla valmiita kyberhyökkäyksiin, ja varsinkin siitä selviytymiseen, jos hyökkäys onnistuu. Ransomware-hyökkäykset ovat vain jäävuoren huippu, mutta ne arkipäiväistyvät vauhdilla. Niiden tekeminen on älyttömän helppoa ja todella tuottoisaa, tekijät ovat hetkessä miljonäärejä.Ei siis ihme, että hyökkäyksiä tehtailee yhä useampi ryhmä.
Suomi alkaa olla myös yhä kiinnostavampi kohde, ja hyökkääjät ovat erityisen kiinnostuneita nyt alkutuotannosta ja tehdasteollisuudesta sen kriittisyyden takia. Surullinen tilasto on se, että vieläkin n. 40 prosenttia uhreista päätyy maksamaan lunnaat, eikä silti ole takeita, että yrityksen data palautuu.
Mikäli kyberresilienssin parantaminen on teillä vielä pöydällä, tässä pari vinkkiä, jotka keräsin konferenssista:
Varmista, että olemassa oleva infra on ajan tasalla niin firmwaren kuin konfiguraation osalta.
IBM on tuonut useita uusia toiminnallisuuksia ja best practicejä osana firmware-päivityksiään, joilla voidaan ennaltaehkäistä kyberhyökkäyksiä. Nämä ovat käytössä vain, mikäli muistat päivittää laitteesi myös firmware-tasolla. Varmista myös, että laitteet ovat konfiguroitu oikein ja hyödynnätte kaikkia toiminnallisuuksia joita laitteistanne löytyy.
Huolehtikaa, että sekä infratiimi että kybertiimi ovat toisistaan tietoisia, ja tietää miten toimia ja kenelle raportoida epäilyttävästä toiminnasta tai hyökkäyksestä.
Perinteisesti nämä yksiköt ovat mielletty omikseen, ja vastuualueiden päällekkäisyyksiä ei ole pohdittu. Mutta etenkin ransomware-hyökkäyksien kohdalla on tärkeää, että tiimien välinen kommunikaatio toimii ja jokainen tietää vastuualueensa.
Varmista, että tallennusratkaisujen logit kirjataan myös SIEM-ratkaisuun.
Muun muassa FlashSystem-tuotteet pystyvät tuottamaan logeja ja tunnistamaan tapahtumia, jotka voivat indikoida kyberhyökkäystä. Uusissa FlashCore moduuleissa on mm. Inline data corruption detection-malli, joka tunnistaa ransomware-hyökkäyksille tyypillisen datan kryptausyrityksen. Varmista siis, että nämä tiedot välittyvät myös kybertiimillenne ja teidän SIEM-ratkaisuunne.
Muista, että Cyber Recovery ei ole sama asia kuin Disaster Recovery.
Perinteinen jatkuvuussuunnittelu- ja varmuuskopiointilähestyminen on luotu selviytymiseen perinteisistä uhista, kuten luonnonkatastrofit, sähkökatkot tai muut satunnaiset tapahtumat, jotka lamaannuttavat joko osittain tai kokonaan yhden datakeskuksen. Kyberhyökkäyksen profiili on kuitenkin selkeästi erilainen. Hyökkäyksen kohde on tarkkaan valittu, ja sen tarkoitus on tuottaa mahdollisimman paljon vahinkoa koko ympäristöön.
Ensinnäkin RPO:n määrittäminen on hyvin hankalaa. Hyökkääjä on saattanut tartuttaa järjestelmän jo kauan ennen varsinaisen kryptauksen alkua, joko tutkiakseen ympäristöä tarkemmin tai odottaessaan varmuuskopioiden vanhenemista. Siten turvallisen varmuuskopion löytäminen saattaa olla työläämpää, ja RPO saattaa venyä jopa kuukausiin.
Osittain samasta syystä myös RTO-aika vaihtelee. Datan tutkinta ja varmuuskopioiden validointi voi kestää, ja tärkeää onkin pilkkoa työkuorma osiin. Mikä on juuri teille tärkein saada heti pystyyn, ns. Minimum Viable Company? Keskittykää tähän, ja tehkää palautus osissa.
Varmuuskopioiden palauttaminen. Perinteisesti failback on jo valittu jatkuvuussuunnittelussa. Ransomware-hyökkäyksessä tähän ei voi luottaa, ja pahimmassa tapauksessa hyökkääjä on tuhonnut myös varmuuskopiot. Tästä syystä kyberresilienssissä on tärkeää, että varmuuskopiot eivät ole samassa datakeskuksessa eikä yhteydessä production-ympäristön kanssa. Vanha kunnon airgap, ja varmistakaa että varmuuskopioita ei voi kukaan muuttaa, ns. immutable copy.
Viimeisenä vielä todettakoon, että jatkuvuussuunnittelun lähtökohta on, että sen käyttöönotto on hyvin epätodennäköistä. Valitettavasti kyberhyökkäyksen todennäköisyys on kuitenkin paljon suurempi, joten sitä kannattaa suunnitella ja harjoitella entistä suuremmalla hartaudella.
Kannattaa tutustua myös IBM:n julkaisemaan Redpaperiin, Security Feature Checklistiin: https://www.redbooks.ibm.com/abstracts/redp5716.html
Mikäli aihe on ajankohtainen, tarjoamme asiakkaillemme Cyber Resiliency Assesment-työkalua, joka teknologia-agnostisesti kartoittaa teidän organisaationne nykytilanteen ja antaa ehdotuksia, kuinka parantaa ympäristönne kestävyyttä kyberhyökkäyksien osalta.
Seuraava TechXchange on suunnitteilla tammikuussa Barcelonaan. Toivottavasti näemme siellä, ja hieman positiivisemmissa tunnelmissa. Tässä kaikki tältä erää, kiitos lukemisesta ja toivon, että saitte tästä jotain hyötyä omaan turvallisuuden parantamiseen.
Konsta Rönkkö, Chief Technology Officer, IBM Finland