Tänä päivänä vakavia verkkohyökkäyksiä voi toteuttaa ilman teknistä osaamista valmiiden verkkopalveluiden avulla. Tämä kehitys on muuttanut kyberrikollisuuden luonnetta ja organisaatioiden on huomioitava nämä uudet uhat tietoturvassaan. Suojautuminen edellyttää jatkuvaa teknologiapäivitystä ja henkilöstön koulutusta, jotta yritykset pysyvät turvassa yhä kehittyvämmiltä hyökkäyksiltä. Ilman joustavia ja kehittyviä tietoturvatoimia organisaatiot jäävät helposti kyberrikollisten armoille. Kyberturvaosaamista olisikin syytä olla tarjolla osana korkeakouluopintoja Oulun ammattikorkeakoulun (Oamk) eri tutkinto-ohjelmissa. OKM:n rahoittama Kyberturvallisuuskoulutuksen ja siihen liittyvän yhteistyön kehittäminen korkeakouluissa -hanke pyrkii osaltaan lisäämään Oamkin tutkinto-ohjelmiin sopivaa opetustarjontaa.

Kyberrikollisuuden kehittyminen on tuonut mukanaan uudenalisia uhkia, kuten Ransomware-as-a-Service (RaaS) ja DDos-as-a-Service (DaaS) -palvelut, jotka ovat nousseet merkittäviksi uhkatekijöiksi digitaalisessa ympäristössä. Näiden palveluiden olemassaolo on muuttanut radikaalisti kyberrikollisuuden toimintamalleja ja tuonut mukanaan uusia haasteita tietoturvan kehittämiseen. Tässä artikkelissa käsitellään näitä uusia tietoturvauhkia ja sitä, miten organisaatioiden tietoturvaa voidaan kehittää vastaamaan tulevaisuuden haasteisiin.

Oamk on mukana Jyväskylän ammattikorkeakoulun koordinoimassa ja opetus- ja kulttuuriministeriön rahoittamassa Kyberturvallisuuskoulutuksen ja siihen liittyvän yhteistyön kehittäminen korkeakouluissa -hankkeessa. Osana hanketta korkeakoulut pilotoivat kyberturvaan liittyviä koulutusmateriaaleja kasvattaakseen opiskelijoiden osaamista vastaamaan kehittyviin kyberuhkiin.

Uusia uhkia yrityksille ja organisaatioille

Ransomware-as-a-Service (RaaS) on muuttanut perinteisten kiristyshaittaohjelmien levittämiskeinoja tarjoamalla valmiiksi kehitettyjä haittaohjelmia, joita rikolliset voivat käyttää lunnaiden vaatimiseen. Tämä liiketoimintamalli on tehnyt kyberrikollisuudesta entistä helpompaa, mikä on lisännyt hyökkäysten määrää ja monimutkaisuutta. RaaS-palveluiden avulla kyberrikolliset voivat laajentaa toimintaansa ilman suurta teknistä osaamista, mikä korostaa tarvetta organisaatioiden tietoturvastrategioiden päivittämiseen. (Baker, 2023.)

Palvelunestohyökkäys (DoS, Denial of Service) tarkoittaa hyökkäystä, jossa pyritään estämään palvelun tai verkkosivuston normaali toiminta. Kun hyökkäys toteutetaan käyttämällä useita tietokoneita tai laitteita samanaikaisesti, kyseessä on hajautettu palvelunestohyökkäys (DDoS, Distributed Denial of Service). Tällöin hyökkäys tulee monesta eri lähteestä, mikä tekee sen torjumisesta haastavampaa.

DDoS-as-a-Service (DaaS) tarjoaa rikollisille mahdollisuuden suorittaa hajautettuja palvelunestohyökkäyksiä ilman suurta teknistä osaamista. Ostamalla palvelun valmiilta toimittajalta, hyökkääjät voivat helposti kohdistaa hyökkäyksiä organisaatioiden verkkopalveluihin, aiheuttaen merkittävää haittaa ja taloudellisia menetyksiä. DaaS-palvelut ovat tehneet DDoS-hyökkäyksistä entistä yleisempiä ja vaikeammin torjuttavia, mikä lisää tarvetta kehittyneille suojausratkaisuille ja jatkuvalle valvonnalle. (Chebac, 2023.)

Cybercrime-as-a-Service tuo kyberrikokset kaikkien ulottuville

RaaS ja DaaS ovat liiketoimintamalleja, joissa rikolliset tarjoavat haittaohjelmia tai kyberhyökkäyspalveluita muiden käyttöön maksua vastaan. Nämä palvelut liittyvät taas laajempaan kyberrikollisuuden ekosysteemiin, joka tunnetaan nimellä Cybercrime-as-a-Service-liiketoimintamalliin (CaaS), missä kyberrikolliset tarjoavat palvelujaan muille rikollisille liiketoimintamallin tavoin. CaaS sisältää laajan kirjon palveluita, kuten esimerkiksi haittaohjelmien kehittämisen, tietojenkalastelukampanjoiden toteuttamisen ja varastettujen tietojen myymisen. (Moore, 2023.)

Näiden palveluiden avulla jopa teknisesti taitamattomat henkilöt voivat osallistua kyberrikollisuuteen, mikä tekee siitä entistä laaja-alaisempaa ja vaikeammin torjuttavaa. Tämä tekee kyberrikollisuudesta entistä helpommin saavutettavaa myös niille, joilla ei ole erityistä teknistä osaamista (kuva 1).

Valokuva, jossa mies istuu pöydän ääressä kännykkä kädessä ja katsoo pelokkaana kahta pöydällä olevaa tietokoneen näyttöä.
KUVA 1. RaaS- ja DaaS-palveluiden yleistyminen mahdollistaa tietoturvahyökkäysten tekemisen nyt yhä helpommin myös ilman erityistä teknistä osaamista (kuva: Mikhail Nilov/pexels.com).

Tietoturvan kehittämisen keskiössä on ihmisten koulutus

Organisaatioiden tulisi panostaa henkilöstönsä koulutukseen ja tietoisuuden lisäämiseen. RaaS-palvelun tarjoamien hyökkäysten onnistuminen on usein kiinni ihmisten tekemästä virheestä, kuten haitallisten liitetiedostojen avaamisesta tai heikkojen salasanojen käytöstä. Tietoisuuden lisääminen kyberuhkista ja kouluttaminen parhaiden käytänteiden noudattamiseen voivat merkittävästi vähentää organisaatioiden haavoittuvuutta näille hyökkäyksille. (Perttunen, 2023.)

Zero Trust -arkkitehtuuri on erityisen tehokas tapa suojautua CaaS-pohjaisilta hyökkäyksiltä. Tämä malli perustuu siihen, ettei mihinkään käyttäjään tai laitteeseen luoteta ilman jatkuvaa tunnistautumista ja valvontaa, olipa kyseessä organisaation sisäinen tai ulkoinen resurssi. Zero Trust -periaatteiden soveltaminen vähentää organisaation hyökkäyspinta-alaa merkittävästi ja minimoi mahdolliset vahingot hyökkäyksen sattuessa. Lisäksi kehittyneet haittaohjelmien tunnistustyökalut ja verkkoliikenteen seuranta voivat auttaa organisaatioita vastaamaan näihin uusiin haasteisiin. (Cloudflare, 2024.)

Oamk mukana turvallisemman tulevaisuuden kehittämisessä

Ransomware-as-a-Service (RaaS) ja DDoS-as-a-Service (DaaS) sekä laajemmin Cybercrime-as-a-Service-palvelut (CaaS) ovat pysyvästi muuttaneet kyberturvallisuusmaisemaa. Näiden uusien uhkien torjuminen vaatii organisaatioilta dynaamisia ja mukautuvia tietoturvatoimia, joissa huomioidaan niin teknologiset ratkaisut kuin ihmisten tietoisuuden lisääminen. Organisaatioiden on oltava valmiita päivittämään tietoturvastrategioitaan ja investoimaan uusiin teknologioihin, jotta ne voivat tehokkaasti suojautua tulevilta kyberuhilta. Tietoturva ei ole enää vain tekninen haaste, vaan se vaatii myös kulttuurillista sekä byrokraattista sopeutumista, jotta organisaatiot voivat säilyttää turvallisuutensa nykypäivän monimutkaisessa kyberympäristössä.

Kyberturvallisuuden korkeakoulutusta on Suomessa järjestetty vuodesta 2013 lähtien tutkinto-ohjelmien muodossa. Vuosikymmenen aikana tutkinto-ohjelmia on perustettu useaan ammattikorkeakouluun eri puolella Suomea. Tutkinto-ohjelmien ohella ammattikorkeakoulut tarjoavat avoimessa tarjonnassaan opintojaksoja kyberturvallisuudesta. Lisäksi korkeakouluilla on pilotteja ja hankkeita kyberturvallisuudesta eri teemoilla.

Oamk on mukana neljäntoista ammattikorkeakoulun yhteishankkeessa, jossa yhtenäistetään ja suositellaan kansallisia kyberturvallisuuden osaamisvaatimuksia alakohtaisesti esimerkiksi ICT-alalla, liiketaloudessa, sosiaali- ja terveysalalla. Hankkeessa tarkastellaan myös jokaisen ammattikorkeakouluopiskelijan osaamistavoitteita kyberturvallisuudesta. Näitä osaamisvaatimuksia voi kukin ammattikorkeakoulu toteuttaa osana omaa opetussuunnitelmaansa. Uuden osaamiskuvauksen mukaisia opintojaksoja pilotoidaan hankkeen aikana osana avoimen tarjontaa. Hankkeen tavoitteena on myös saada kyberturvallisuuden tutkimus- ja kehitystoiminta lähemmäksi osaksi opintotarjontaa, sekä varmistaa opintojen jakelu- ja laadunvarmistamismalli.


Aki Strömberg
opiskelija
ICT ja liiketoiminta
Oulun ammattikorkeakoulu

Tanja Kangas
lehtori
ICT ja liiketoiminta
Oulun ammattikorkeakoulu

Teppo Räisänen
kehittämispäällikkö
ICT ja liiketoiminta
Oulun ammattikorkeakoulu

Artikkeli perustuu opinnäytetyöhön:

Strömberg, A. (2024). Kyberrikollisuuden kehitys: Ransomware-as-a-service- ja DDos-as-a-service-palveluiden vaikutus digitaaliseen turvallisuuteen [AMK-opinnäytetyö, Oulun ammattikorkeakoulu, tietojenkäsittelyn tutkinto-ohjelma]. Theseus. https://urn.fi/URN:NBN:fi:amk-2024082024227
Kyberturvallisuuskoulutuksen ja siihen liittyvän yhteistyön kehittäminen korkeakouluissa

Tavoite: Suomen kyberturvallisuusstrategiassa yksi linjauksista on kyberturvallisuuden osaamisen kehittäminen. Yhtenä toimenpiteenä on ammattikorkeakoulujen ja yliopistojen kyberturvallisuusalan koulutusohjelmien vahvistaminen. Myös Venäjän hyökkäyssota Ukrainassa on nostanut esiin kyberuhkien realisoitumisen konfliktitilanteessa. Kyberturvallisuuden valmiuksien kehittäminen ammattikorkeakoulujen ja yliopistojen kesken on ajankohtaista tässä toimintaympäristössä. Kyberturvallisuusalaa vaivaa globaali osaajapula. Kyberala ry:n jäsenkyselyn noin 60 prosenttia alan yrityksistä kärsii osaajapulasta. Se nimettiin merkittävimmäksi alan yritysten kasvua hidastavaksi tekijäksi. Yritykset toivovat toimenpiteitä osaajapulan korjaamiseksi: uusia kyberturvallisuuden koulutus- ja tutkimusohjelmia sekä lisää aloituspaikkoja korkeakouluihin. Kyselyn mukaan myös monipuoliset täydennyskoulutusohjelmat ovat tarpeellisia, sillä yrityksissä kaivataan nyt nopeita koulutusväyliä alan erilaisiin tehtäviin.

Kesto: 1.4.2023-31.12.2025

Rahoittajat: OKM

Koordinaattori: Jyväskylän ammattikorkeakoulu

Osatoteuttajat: Centria-ammattikorkeakoulu, Kajaanin ammattikorkeakoulu, Karelia-ammattikorkeakoulu, Lapin ammattikorkeakoulu, Laurea-ammattikorkeakoulu, Metropolia Ammattikorkeakoulu, Oulun ammattikorkeakoulu, Poliisiammattikorkeakoulu, Savonia-ammattikorkeakoulu, Tampereen ammattikorkeakoulu, Turun ammattikorkeakoulu, Vaasan ammattikorkeakoulu ja Kaakkois-Suomen ammattikorkeakoulu


Hankkeen kaikki julkaisut Oamk Journalissa

Lähteet

Andreea, C. (2023). DDoS-as-a-service Attacks. What Are They and How Do They Work? Heimdal. Haettu 13.9.2024 osoitteesta https://heimdalsecurity.com/blog/ddos-as-a-service-attacks-what-are-they-and-how-do-they-work/

Baker, K. (30.1.2023). Ransomware as a Service (RaaS) explained How it works & examples. Crowdstrike. https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

Cloudflare. (2024). What is Zero Trust security? https://www.cloudflare.com/learning/security/glossary/what-is-zero-trust/

Moore, T. (12.10.2023). Protect Your Organization from Cybercrime-as-a-Service Attacks. Thalesgroup. https://cpl.thalesgroup.com/blog/encryption/cybercrime-as-a-service-caas-explaned

Perttunen, A. (9.8.2023). Tietoturvakoulutuksen merkitys organisaatioille – vinkkejä ja käytännön lähestymistapoja henkilöstön tietoturvakoulutukseen. MicroMagic. https://micromagic.fi/story/tietoturvakoulutuksen-merkitys-organisaatioille/