TOMRAn nopea reagointi helpottaa normalisointia kyberhyökkäyksen jälkeen
TOMRAan kohdistui 16. heinäkuuta laaja kyberhyökkäys, joka keskeytti tilapäisesti yrityksen digitaalisen infrastruktuurin. Yritys eristi välittömästi hyökkäyksen kohteeksi joutuneet järjestelmät, mikä rajoitti hyökkäyksen vaikutuksia ja varmisti tietojen turvallisuuden. Manuaaliset korjaustoimenpiteet ovat pitäneet yrityksen toiminnassa, kun järjestelmiä on validoitu ja palautettu. Kahden kuukauden kuluttua tapahtuneesta TOMRA on edennyt hyvin kohti normaalia toimintaa.
Vaikka hyökkäys oli laajamittainen, rikostekniset analyysit osoittavat, että nopeat rajoitustoimenpiteet rajoittivat mahdollisia vahinkoja merkittävästi. Tärkeää on, että luottamuksellisten tietojen vuotamisesta tai tiedonsalauksen purkamisesta ei ole merkkejä eikä lunnasvaatimuksia ole tehty. TOMRA jatkaa yhteistyötään markkina-alueidensa asiaankuuluvien viranomaisten ja sääntelyviranomaisten kanssa asian ratkaisemiseksi.
TOMRAn toimitusjohtaja Tove Andersen ihailee yrityksen työntekijöiden sinnikkyyttä ja omistautumista tämän haastavan ajanjakson aikana. "Olemme kohdanneet ennennäkemättömän haasteen, ja on ollut hienoa nähdä, miten sitoutunut ja tarkkaavainen tiimimme on työskennellyt asiakkaidemme tukena", Andersen sanoo.
TOMRA on koko ajan jatkanut laitteiden ja palvelujen valmistamista ja toimittamista, mikä on rajoittanut hyökkäyksen vaikutuksia asiakkaisiin. Useimmat asiakaspalvelut ja koneet ovat pysyneet toiminnassa, vaikka ne aluksi irrotettiin TOMRAn verkkoalueelta hyökkäyksen hillitsemiseksi. Yhteydet verkkopalveluihin on palautettu, kun järjestelmät on validoitu ja palautettu tai rakennettu uudelleen vahvistettujen turvallisuustoimenpiteiden avulla.
Häiriöistä ja manuaalisista korjaustoimista huolimatta kyberhyökkäyksellä ei ole ollut merkittävää vaikutusta myyntiin, palveluun tai tuotantoon. Resurssien suuntaaminen palautumiseen on aiheuttanut viivästyksiä innovaatioprosesseissa sekä kassavirrassa laskutuksen viivästymisen vuoksi. Tapahtuman ei odoteta vaikuttavan merkittävästi liikevaihtoon, mutta siitä on aiheutunut tähän mennessä 120 miljoonan Norjan kruunun kertaluonteiset kustannukset, jotka kirjataan vuoden 2023 kolmannelle vuosineljännekselle. Kustannukset liittyvät kyberhyökkäykseen reagointiin ja yrityksen kyberturvallisuuden parantamiseen. Lisäkustannukset kirjataan neljännelle vuosineljännekselle.
Tärkeimmät havainnot rikosteknisestä raportista
- Tutkinta vahvisti, että hyökkääjä aloitti tutkintavaiheensa 10. heinäkuuta ja siirtyi operatiiviseen vaiheeseen 15. heinäkuuta. Sunnuntaina 16. heinäkuuta klo 05:51 CET TOMRA Security Operations havaitsi epäilyttävää toimintaa ja kehotti ennakoiviin toimenpiteisiin palveluiden sulkemiseksi ja sivustojen irtikytkemiseksi hyökkäyksen hillitsemiseksi.
- Hyökkäys kohdistui erityisesti TOMRAn verkkoalueelle ja sisäisiin järjestelmiin, eikä ilmennyt todisteita siitä, että TOMRAn asiakkaat olisivat olleet kohteena tai vaarantuneet. Luottamuksellisten tietojen vuotoja, tietojen salauksen purkamista tai lunnasvaatimuksia ei havaittu.
- Hyökkääjä käytti laajennettuja käyttöoikeuksia ja hyödynsi Windowsin sisäisiä työkaluja liikkuakseen järjestelmissä lateraalisesti ja suorittaen haitallisia toimintoja kohdejärjestelmissä. Tähän kuului takaovien luominen ja salasanojen muuttaminen. Tutkimuksessa paljastui teknisiä merkkejä hyökkääjän käyttämistä työkaluista, jotka paljastivat hänen tekniikkansa TOMRAn järjestelmien hyödyntämiseen.
- Uhkailijan käyttämiä merkillepantavia työkaluja ja menetelmiä olivat Windowsin sisäiset toiminnot, haitalliset PowerShell-hyötykuormat ja haitalliset binaaritiedostot, jotka mahdollistavat komento- ja valvontakanavien luomisen. Haitallista toimintaa havaittiin useilla alueilla, mukaan lukien Windows- ja VMware-ympäristöt sekä Azure-alusta.
Kyberhyökkäykset ovat vakava uhka digitalisoituneille yhteiskunnille ja yrityksille, ja olen kiitollinen siitä, että pystyimme pysäyttämään hyökkäyksen ennen vakavien vahinkojen aiheutumista. Tämä oli kuitenkin silmiä avaava ja nöyräksi tekevä kokemus, ja monet kollegamme käsittelevät edelleen hyökkäyksen seurauksia.
Uudelleenrakentaminen
TOMRAn kokema kyberhyökkäys on vaatinut koko IT-infrastruktuurin huolellista uudelleenrakentamista koko maailmanlaajuisessa organisaatiossa. Tähän on kuulunut tärkeimpien datakeskustemme uudelleenrakentaminen, yli viidentuhannen käyttäjätilin tarkastaminen sekä taustalla olevan IT- ja verkkoinfrastruktuurin uudistaminen ja palauttaminen. Lisäksi olemme varmistaneet, että mitkään käytössä olevat IT-laitteet eivät ole vaarantuneet, ja lisänneet tietoturvatoimenpiteitä omaisuutemme tueksi.
"Olemme ryhtyneet toimenpiteisiin ottaaksemme käyttöön yhden nykyaikaisimmista ja turvallisimmista kyberturvallisuusarkkitehtuureista – niin kutsutun Zero Trust -arkkitehtuurin – tulevien häiriöiden estämiseksi ja meidän, asiakkaidemme, kumppaneidemme ja toimittajiemme suojaamiseksi. Haluan ilmaista vilpittömät kiitokseni sidosryhmiemme tuesta ja luottamuksesta näinä haastavina aikoina", Andersen sanoo.
TOMRA on sitoutunut tekemään yhteistyötä asiaankuuluvien tahojen kanssa ja jakamaan kokemuksistamme saatuja havaintoja. Keskittyminen läpinäkyvyyteen ja tiedon jakamiseen vahvistaa puolustustamme tulevia uhkia vastaan ja edistää kestävämpää digitaalista ympäristöä kaikille", Andersen toteaa lopuksi.
Opitut asiat ja tehdyt muutokset
TOMRAan kohdistunut kyberhyökkäys toimii vahvana muistutuksena kriittisistä opeista, joita sekä TOMRAn että muiden organisaatioiden on otettava huomioon kehittyvien kyberuhkien edessä. Nopea ja ennakoiva valppaus yhdistettynä varhaiseen havaitsemiseen ja hillitsemiseen nousivat tärkeimmiksi strategioiksi mahdollisten vahinkojen lieventämisessä. Tapahtuma sai TOMRAn priorisoimaan kyberresilienssin parantamista ja nopeuttamaan infrastruktuurin turvallisuuteen tähtääviä investointeja.
Lisäksi uskomme, että saimme paljon arvokasta oppia, josta voi olla hyötyä muille samanlaisissa tilanteissa. Työntekijöiden tietoisuus on keskeisessä asemassa, ja niin oli myös TOMRAn tapauksessa. Kattavan koulutuksen tarjoaminen ja valppauden tärkeyden korostaminen ovat olennaisia tekijöitä. Lisäksi on tärkeää, että käytössä on harkittuja palautus- ja varmuuskopiointisuunnitelmia sekä koulutusta ilman järjestelmiä toimimiseen tai vaihtoehtoisten viestintämenetelmien käyttöön.
Palautustoimien lähtökohtana on selkeästi sen määrittäminen, millä vähimmäistasolla yritys pystyy toimimaan, sekä mitä kriittisiä sovelluksia tulee priorisoida. Vaaratilanteiden palautusrakenteen ja -menettelyn määrittäminen on tärkeää, sillä vaaratilanteet voivat usein kestää odotettua pidempään. Oppiminen muiden kokemuksista ja tuen hakeminen asiantuntevilta henkilöiltä voi olla korvaamatonta.
Säännöllinen ja läpinäkyvä viestintä sidosryhmien kanssa sekä varhainen suunnittelu luottamuksen palauttamiseksi ovat tärkeitä osa-alueita tällaisten tapausten onnistuneessa hallinnassa. Lisäksi TOMRA on kerännyt runsaasti teknistä tietoa suunnittelusta ja määrityksestä, ja haluamme jakaa kokemuksiamme myös muiden kyberturvallisuusyhteisön jäsenten kanssa.
TOMRAn vuorovaikutus asiakkaidensa kanssa ja yhteistyö viranomaisten sekä ulkoisten asiantuntijoiden kanssa auttoivat tilanteen onnistuneessa hallinnassa koko tapahtuman ajan. Uskomme, että tästä kokemuksesta saadut opit antavat arvokasta opastusta yrityksille kaikkialla maailmassa kyberturvallisuusympäristön muuttuessa jatkuvasti.
"Kun mietin kuluneita kahta kuukautta, olen kiitollinen siitä, että olemme pystyneet noudattamaan tämän haastavan tilanteen alussa tekemäämme sitoumusta: nousta vahvemmaksi yritykseksi, jonka määrätietoisena missiona on luoda kestävämpi maailma. Omistautuneen tiimimme ansiosta olemme vahvistaneet yritystämme ja varmistaneet, että se on vahvempi kuin koskaan ennen", Andersen päättää.
Tämä on TOMRAn viimeinen päivitys kyberhyökkäyksestä. Jos sinulla on kysyttävää, lähetä sähköpostia osoitteeseen [email protected].