Kolumni Keudasta: Hyökkäys!
Keuda
Digitaalinen
Päätöksenteko
Uncategorized
Kolumni Keudasta: Hyökkäys!
19.12.2022
Julkaistu: 19.12.2022
Hyökkäys!
Marraskuu päättyi lohduttomasti! Aikaisin aamulla, Cyber-maanantaina Keudan ICT-ympäristöön kohdistui voimakas kyberhyökkäys, minkä johdosta varotoimenpiteenä verkko- ja palvelinyhteydet suljettiin välittömästi lisävahinkojen rajoittamiseksi.
Tilannetta johtamaan perustettiin poikkeustilaryhmä. Ryhmän ensimmäinen päätös oli tiedottaa henkilöstölle, opiskelijoille, yhteistyökumppaneille ja tiedotusvälineille heti ja avoimesti. Ensimmäisinä päivinä ainoa viestintäkanavamme oli puhelimen Secapp-palvelu, jonka kautta henkilöstölle viestittiin tilanteesta. Näin tavoitimme koko henkilöstön ja varmistimme viestien perille menon. Ensimmäisinä päivinä viestejä lähetettiin useita päivässä. Opiskelijoille tilanteesta tiedotettiin tekstiviestein, Keuda.fi-verkkosivujen ja some-kanavien kautta.
| Ensimmäisen viikon viestintää | ma 28.11. | ti 29.11. | ke 30.11. | to 1.12. | pe 2.12. |
| Henkilöstö: Secapp-viesti | 3 | 3 | 1 | 1 | 1 |
| Opiskelijat: tekstiviesti | 1 | 1 | 1 | ||
| Keuda.fi -verkkosivu | 2 | 2 | 2 | 2 | 2 |
| Somekanavat: Twitter, IG, Facebook, LinkedIN | 8 | 8 | 8 | 8 | 8 |
| Kumppanit: Uutiskirje | 1 | ||||
| Kyber-poikkeustilaryhmän kokous | 3 | 3 | 1 | 1 | 1 |
Asiasta ilmoitettiin välittömästi Tietosuojavaltuutetun toimistoon, Kyberturvallisuuskeskukselle ja Keskusrikospoliisille. Tilannetta selvittämään kutsuttiin tietoturvaan erikoistunut kumppani jo saman päivän aikana. Tietoturvayhtiön avustuksella kokonaiskuva ja tilanne saatiin nopeasti haltuun. Jo saman päivän iltana meillä oli selvillä hyökkäyksen alkulähde, sen eteneminen sekä tilanteen vakavuus ja laajuus.
Varsinaisen hyökkäyksen alusta tiedetään, ettei tilannetta ole laukaissut yksittäisen keudalaisen tai opiskelijan toiminta. Hyökkäyksen on mahdollistanut palvelinympäristössä ollut tekninen haavoittuvuus, jonka ei olisi pitänyt olla mahdollista, mutta joka valitettavasti oli ja konkretisoitui. Kyberrikollisten toiminta on ollut ammattimaista ja valitettavasti askeleen edellä turvattua ympäristöämme. Käsityksemme on, että hyökkäystä ei ole kohdistettu suoranaisesti Keudaan vaan kohde on valikoitunut sattumanvaraisesti. Keudan tietohallintopalveluiden nopea reagointi minuuttien sisällä hyökkäyksen alkamisesta pelasti meidät vieläkin suuremmilta tuhoilta.
Toipuminen
Välittömästi hyökkäyksen jälkeen henkilöstö sopeutui hyvin tilanteeseen. Opetus Keudassa jatkui suunnitellun mukaisesti eri oppimisympäristöissä mahdollisuuksien mukaan. Tietokoneista ja verkoista riippuvainen opetus suunniteltiin ja organisoitiin uudelleen. Toipumisen alkuvaiheessa jokaisen Keudan henkilöstön tietokone edellytti tarkistusta, jotta ne voitiin palauttaa käyttöön. ICT-henkilöstömme tarkasti ensimmäisen viikon aikana 500 henkilökohtaista tietokonetta ja antoi käyttäjälle sen käyttöluvan. Tämän lisäksi eri toimipisteiden opetusluokissa sijaitsevia tietokoneita käytiin läpi ja tarkistettiin.
| Ensimmäisen viikon toipuminen | ma 28.11. | ti 29.11. | ke 30.11. | to 1.12. | pe 2.12. |
| Verkko- ja palvelinyhteydet suljettiin | x | ||||
| Säännöllinen tiedottaminen | x | x | x | x | x |
| Verkko- ja palvelinyhteyksien tarkistukset ja palautuksen käynnistäminen | x | x | x | x | x |
| Henkilöstön tietokoneiden tarkistaminen | x | x | x | ||
| Opetustoiminta poikkeustilanteessa | x | x | x | x | x |
Esitämme suuret kiitokset henkilöstölle sekä opiskelijoille joustavuudesta ja luovuudesta poikkeustilanteessa.
Koimme koko henkilöstöstä vilpitöntä halua auttaa yli yksikkörajojen, jotta välttämättömät toiminnot saatiin mahdollisimman pikaisesti toimimaan, edes jollain tasolla. Erityisesti opintojaan päättävien opiskelijoiden osalta pyrittiin varmistamaan valmistuminen. Lisäksi eri organisaatiotasot halusivat auttaa tietohallintoa mahdollisuuksien mukaan.
Palautuminen
ICT-ympäristön palautuminen on tällä hetkellä menossa. Käytössämme on osaavat tekniset, ulkopuoliset asiantuntijat ja olemme päässeet palautumaan oletettua nopeammin. Emme tule palautumaan samaan ympäristöön, vaan uudistamme samalla rohkeasti aikaisempaa ympäristöämme. Kun palautuminen on valmiina – ensin kesään mennessä, olemme todellisuudessa uusineet lähes koko Keudan ICT-ympäristön.
Palautumistoimenpiteet jatkuvat vauhdikkaasti vuoden vaihteeseen asti, mutta tämän hetken tiedon mukaan tilanne tulee jatkumaan vielä pitkälle ensi vuoden puolella.
Jälkipyykki
Teknisesti olemme luottaneet Keudan ICT-ympäristöön ja varautumiseen. Suurin pelko on liittynyt yksittäisen käyttäjän toimiin. Näiden takia olemme ottaneet käyttöön mm. kaksivaiheisen tunnistautumisen myös opiskelijoilla. Näin ei ole monissa toisen asteen oppilaitoksissa. Lisäksi keväällä toteutimme ulkopuolisen yrityksen toimesta tietoturvakartoituksen ja teimme heidän ohjeistuksestaan muutoksia ympäristöömme. Jälkikäteen on helppo todeta, että toimenpiteet eivät olleet riittävät.
Käymme keskustelua edelleen erityisesti Kyberturvallisuuskeskuksen (KTK) kanssa hyökkäyksestä, tutkinnasta ja tilanteesta toipumisesta. KTK keskustelujen perusteella ymmärsimme, että riittävän taitavaan hyökkäykseen ei käytössämme olevilla resursseilla pystytä suojautumaan. Hyökkääjät ovat siis käytännössä aina asian edellä. Ainut keino suojautua on pyrkiä havaitsemaan poikkeukset ympäristössä riittävän ajoissa, jotta vahingot minimoidaan ja hyökkäys saadaan pysäytettyä mahdollisimman nopeasti.
Keuda teettää hyökkäyksen syistä sekä toipumis- ja palautumistoimenpiteiden onnistumisesta kokonaisarvioinnin akuutin vaiheen jälkeen. Arvioinnin kohteena on myös Keudan tietohallinnon, tietoturvan ja tietosuojan tila.
Koko Keudan henkilöstö ja erityisesti tietohallinnon tiimi tietohallintojohtajan johdolla on osoittanut resilienssikykynsä tässä yllättävässä kriisissä. Tietohallinto joutui yllättäen täysin uuden tilanteen ja kohtuuttomaan työkuormaan eteen. Asiantuntijat ovat venyneet käsittämättömästi ja rakentaneet käytännössä tyhjästä ympäristön, jonka varaan nyt palaudutaan. Tämä toiminta on vaatinut kaikki ketterän kumppanin ominaisuudet.
Esitämme suuret kiitokset joustavuudestanne, sitoutumisestanne ja yhteishengestänne vakavan tilanteen edessä.
Keudan poikkeustilaryhmä on toiminut yhtenäisesti, nopeasti ja saumattomasti koko kuluneen kolmen viikon ajan. Erityisesti viestintään on panostettu. Ilman viestinnän apua, selkeän ja yksiselitteisen viestin antaminen on teknisissä asioissa todella haastavaa. Työskentely paineessa kaikilla organisaation tasoilla on ollut suoraa ja kaikkia kunnioittavaa. Vaikeasta tilanteesta huolimatta pidämme Keudaa edelleen haluttuna työpaikkana.
Tuki, jonka tietohallinto on saanut kaikilta keudalaisilta hyökkäyksen aikana, on auttanut jaksamaan nämä kolme viikkoa ja tulevat kuukaudet.
Tilanne 15.12.2022
Veli-Heikki Anttolainen, tietohallintopäällikkö ja Riikka-Maria Yli-Suomu, kuntayhtymän johtaja
Keski-Uudenmaan koulutuskuntayhtymä Keuda toteuttaa Suomen viidenneksi suurimpana ammatillisen koulutuksen järjestäjänä opiskelijoilleen sekä työelämälle yksilöllisiä, vaikuttavia koulutus- ja osaamisen kehittämispalveluja. Keski-Uudellamaalla sijaitsevissa 10 toimipisteessämme työskentelee 820 innostunutta keudalaista. Toimintamme sisältää 80 eri tutkintoihin johtavaa ammatillista, työvoima- ja valmentavaa koulutusta sekä aikuisten perusopetusta, joissa opiskelee vuosittain yli 10 000 opiskelijaa. Opetus- ja kulttuuriministeriö laatupalkitsi Keudan vuonna 2020 ammatillisen koulutuksen järjestäjänä. Vuosi 2022 on juhlavuosi, kun Keuda täyttää 60 vuotta.
