Pankkien kyberturvallisuus - SecMeter

Mainframe-ympäristön rooli suomalaisessa pankkitoiminnassa

Suomessa pankkien tietojärjestelmät perustuvat monissa tapauksissa edelleen keskuskoneympäristöihin, kuten IBM:n z/OS-alustoihin, joissa käyttöoikeuksien hallinta toteutetaan tyypillisesti IBM RACF -ohjelmistolla. Nämä järjestelmät muodostavat monien pankkien ydintoimintojen, kuten maksuliikenteen ja asiakastietojen käsittelyn, teknisen perustan.

Mainframe-ympäristöt ovat tunnettuja korkeasta luotettavuudestaan, suorituskyvystään ja kypsästä tietoturvamallistaan. Esimerkiksi RACF tarjoaa tarkkarajaisen ja roolipohjaisen pääsynhallinnan, kattavan lokituksen sekä vahvat kontrollit käyttöoikeuksien hallintaan. Näin ollen perinteiset keskuskonejärjestelmät ovat lähtökohtaisesti hyvin suojattuja monia perinteisiä infrastruktuuriin kohdistuvia hyökkäyksiä vastaan.

Pankkien IT-ympäristöt eivät kuitenkaan enää koostu pelkästään keskuskoneista. Nykytilanne on hybridi, jossa mainframe toimii rinnakkain pilvipalveluiden, API-rajapintojen ja hajautettujen sovellusarkkitehtuurien kanssa. Tämän seurauksena kyberturvallisuuden painopiste on siirtynyt yksittäisten järjestelmien suojaamisesta koko ekosysteemin hallintaan.

Keskeinen haaste ei ole itse mainframe-ympäristön suojaus, vaan sen integrointi uusimpiin arkkitehtuureihin. Erityisesti identiteettien hallinta eri ympäristöjen välillä, näkyvyyden säilyttäminen sekä yhtenäisen valvonnan toteuttaminen ovat kriittisiä kysymyksiä.

Esimerkiksi käyttäjätunnus voi olla hallittu pilviympäristössä, mutta sillä voi olla pääsy myös keskuskoneeseen, mikä korostaa identiteettipohjaisen turvallisuuden merkitystä.

Mainframe-järjestelmien ja rajapintojen välinen integraatio muodostaa uudenlaisen hyökkäyspinnan. Vaikka itse keskuskone olisi hyvin suojattu, siihen liittyvät API-rajapinnat ja integraatiokerrokset voivat altistaa järjestelmän uusille uhkille, mikäli niitä ei suojata riittävästi.

Tämän johdosta suomalaisissa pankeissa keskeiseksi haasteeksi nousee kyky yhdistää perinteinen ja hybridiympäristöjen tietoturva yhdeksi kokonaisuudeksi. SIEM- ja XDR-ratkaisut toimivat tässä keskeisenä yhdistävänä kerroksena, joka tuo näkyvyyden eri ympäristöihin ja mahdollistaa uhkien havaitsemisen yli teknologiarajojen.

Hyökkäysketju ja identiteettivaihe

Nykyisessä uhkaympäristössä hyökkäykset alkavat useimmiten identiteetistä. Hyökkääjä pyrkii saamaan haltuunsa käyttäjätunnukset esimerkiksi tietojenkalastelun avulla, minkä jälkeen hän voi toimia järjestelmässä näennäisesti laillisena käyttäjänä. Tämän vuoksi pankit ovat siirtyneet niin sanottuun identity-first security -malliin.

Keskeisiä teknologioita tässä vaiheessa ovat IAM-ratkaisut, monivaiheinen tunnistautuminen (MFA), riskipohjainen pääsynhallinta (Conditional Access) sekä salasanattomat tunnistautumismenetelmät. Näiden avulla voidaan estää varastettujen tunnusten väärinkäyttö, tunnistaa poikkeavat kirjautumiset ja rajoittaa pääsyä riskialttiissa tilanteissa.

Keskeinen periaate on, että pääsyä ei myönnetä kertaluonteisesti, vaan sitä arvioidaan jatkuvasti käyttäjän kontekstin, käyttäytymisen ja riskitason perusteella. Tämä muuttaa perinteisen autentikoinnin jatkuvaksi prosessiksi.

Jalansija ja havainto

Mikäli hyökkääjä onnistuu pääsemään sisään, seuraava tavoite on pysyvän jalansijan luominen. Tässä vaiheessa pankkien on kyettävä havaitsemaan epäilyttävä toiminta sekä käyttäjätileissä että päätelaitteissa.

Tähän käytetään EDR- ja XDR-ratkaisuja sekä identiteettipohjaista uhkien tunnistamista (ITDR). Nämä teknologiat analysoivat järjestelmien ja käyttäjien toimintaa reaaliaikaisesti ja tunnistavat poikkeamia, kuten epäilyttäviä prosesseja, skriptejä tai käyttöoikeusmuutoksia.

Pankkiympäristössä kyberuhkien torjunta ei perustu yksittäisiin kontrollipisteisiin, vaan kykyyn havaita ja ymmärtää hyökkäyksiä eri tasoilla samanaikaisesti.

Nämä teknologiat muodostavat yhdessä havainto- ja reagointikyvykkyyden ytimen, joka kattaa päätelaitteet, identiteetit ja koko IT-ympäristön.

Mitä tapahtuu yksittäisellä koneella?

EDR (Endpoint Detection and Response) keskittyy yksittäisten päätelaitteiden, kuten työasemien ja palvelimien toiminnan syvälliseen analysointiin. Ne keräävät jatkuvasti telemetriaa järjestelmän tapahtumista, kuten käynnissä olevista prosesseista, tiedostomuutoksista ja komentorivitoiminnoista.

EDR:n keskeinen tehtävä on tunnistaa epäilyttävä käyttäytyminen, joka viittaa esimerkiksi haittaohjelmaan, luvattomaan skriptien käyttöön tai kiristyshyökkäyksen alkuvaiheisiin. Toisin kuin perinteiset virustorjuntaratkaisut, EDR ei perustu pelkästään tunnettuihin uhkamalleihin, vaan analysoi toimintaa kontekstissaan.

EDR tarjoaa tarkkaa, teknistä näkyvyyttä siihen, mitä yksittäisellä koneella tapahtuu, mutta sen näkökulma on rajattu: se ei yksinään muodosta kokonaiskuvaa laajemmasta hyökkäyksestä.

Mitä tapahtuu koko ympäristössä?

XDR (Extended Detection and Response) laajentaa EDR:n toimintalogiikan koko IT-ympäristöön. Se yhdistää tietoa useista lähteistä, kuten päätelaitteista, identiteetinhallinnasta, verkkoliikenteestä, pilvipalveluista ja sähköpostijärjestelmistä.

Tämän ansiosta XDR kykenee tunnistamaan monivaiheisia hyökkäyksiä, jotka eivät näy yksittäisessä datapisteessä. Esimerkiksi epätavallinen kirjautuminen, sitä seuraava epäilyttävä prosessi päätelaitteella ja lopulta poikkeava datansiirto ulospäin voivat yksittäin vaikuttaa harmittomilta, mutta yhdessä ne muodostavat selkeän hyökkäysketjun.

XDR:n keskeinen arvo on kyvyssä yhdistää nämä signaalit ja tuottaa kontekstualisoitu tilannekuva. Se siirtää painopisteen yksittäisten hälytysten käsittelystä kokonaisvaltaiseen uhkien ymmärtämiseen. Käytännössä XDR toimii sillanrakentajana eri turvateknologioiden välillä.

Kuka tekee mitä ja onko se normaalia?

ITDR (Identity Threat Detection and Response) keskittyy identiteetteihin, jotka ovat nousseet kyberhyökkäysten keskeisimmäksi kohteeksi. Hyökkääjät eivät välttämättä murtaudu järjestelmiin teknisesti, vaan hyödyntävät varastettuja tunnuksia ja toimivat järjestelmässä laillisen käyttäjän oikeuksin.

ITDR-ratkaisut analysoivat käyttäjien ja palvelutilien toimintaa sekä käyttöoikeuksia. Ne tunnistavat poikkeamia, kuten epätavallisia kirjautumismalleja, äkillisiä käyttöoikeuksien laajennuksia tai normaalista poikkeavaa resurssien käyttöä.

Erityisen tärkeää on kyky havaita niin sanottuja hiljaisia hyökkäyksiä, joissa ei käytetä haittaohjelmia lainkaan. Tällöin ainoa havaittava signaali on käyttäytymisen muutos. ITDR tuo näkyvyyden tähän tasoon, jota perinteiset teknologiat eivät kata riittävästi.

Merkitys pankkiympäristössä

Finanssialalla näiden teknologioiden merkitys korostuu, koska hyökkäykset kohdistuvat usein suoraan liiketoimintakriittisiin järjestelmiin ja asiakasdataan. Identiteettipohjaiset hyökkäykset, lateraalinen liikkuminen ja huomaamaton datan keruu ovat tyypillisiä toimintamalleja.

Ilman EDR-, XDR- ja ITDR-ratkaisujen kaltaista näkyvyyttä hyökkäykset voivat jatkua pitkään huomaamatta. Näiden teknologioiden avulla pankit pystyvät siirtymään reaktiivisesta turvallisuudesta kohti ennakoivaa ja jatkuvasti valvottua toimintamallia.

Lateraalinen liikkuminen

Kun hyökkääjä on saanut jalansijan, hän pyrkii liikkumaan järjestelmästä toiseen ja laajentamaan pääsyään. Tätä kutsutaan lateraaliseksi liikkumiseksi, ja se on yksi hyökkäyksen kriittisimmistä vaiheista.

Pankit torjuvat tätä Zero Trust Network Access -ratkaisuilla, verkon segmentoinnilla sekä etuoikeuksien hallinnalla (PAM).

PAM (Privileged Access Management) tarkoittaa järjestelmää ja käytäntöjä, joilla hallitaan, valvotaan ja rajoitetaan korkean tason käyttöoikeuksia IT-ympäristössä. PAM varmistaa, että korkean tason käyttöoikeuksia käytetään hallitusti ja valvotusti.

Zero Trust -mallissa mitään verkon osaa ei pidetä automaattisesti luotettavana, vaan jokainen pyyntö validoidaan erikseen.

Verkon segmentointi tarkoittaa, että IT-ympäristö jaetaan erillisiin osiin (segmentteihin), jolloin hyökkääjä ei pääse vapaasti liikkumaan järjestelmästä toiseen, vaikka pääsisikin yhteen osaan sisään.

Pilvi ja API

Pilvipalveluiden ja rajapintojen yleistyminen on muuttanut pankkien IT-ympäristöjä merkittävästi. Samalla hyökkäyspinta on kasvanut, ja virheelliset konfiguraatiot ovat nousseet keskeiseksi riskitekijäksi.

Tähän vastataan CNAPP- ja CSPM-ratkaisuilla, API-suojauksella sekä konttiympäristöjen turvamekanismeilla. Näiden avulla voidaan tunnistaa väärinkonfiguroituja resursseja, suojata rajapintoja väärinkäytöltä ja valvoa hajautettuja sovellusympäristöjä.

Pilviympäristössä turvallisuus ei perustu yksittäisiin suojapisteisiin, vaan jatkuvaan näkyvyyteen ja automaattiseen valvontaan. Virheiden nopea havaitseminen ja korjaaminen on keskeistä.

CNAPP-ratkaisut

Cloud-Native Application Protection Platform (CNAPP) on kokonaisvaltainen lähestymistapa pilvipohjaisten sovellusten suojaamiseen. Se yhdistää useita aiemmin erillisiä turvatoimintoja yhdeksi alustaksi, joka kattaa sekä kehitysvaiheen että tuotantoympäristön.

CNAPP-ratkaisut tarjoavat näkyvyyden koko sovelluksen elinkaareen. Ne tunnistavat haavoittuvuuksia sovelluskoodissa, konteissa ja infrastruktuurissa ennen käyttöönottoa sekä valvovat sovellusten toimintaa ajon aikana. Lisäksi ne analysoivat käyttöoikeuksia ja konfiguraatioita, mikä auttaa estämään väärinkäytöksiä ja virhetilanteita.

Hyökkäysketjun näkökulmasta CNAPP toimii sekä ehkäisevänä että ilmaisevana kontrollina. Se estää haavoittuvuuksien päätymisen tuotantoon ja tunnistaa poikkeavan toiminnan pilviympäristössä.

CSPM-ratkaisut

Cloud Security Posture Management (CSPM) keskittyy pilviympäristöjen konfiguraatioiden hallintaan. Pilvipalveluissa suuri osa riskeistä liittyy virheellisiin asetuksiin, kuten avoimiin tietokantoihin, julkisiin tallennusresursseihin tai liian laajoihin käyttöoikeuksiin.

CSPM-ratkaisut skannaavat jatkuvasti pilviympäristöä ja tunnistavat tällaisia virheitä. Ne vertaavat asetuksia parhaisiin käytäntöihin ja sääntelyvaatimuksiin sekä tarjoavat suosituksia tai automaattisia korjauksia.

Hyökkäysketjussa CSPM kohdistuu erityisesti alkupään riskeihin. Se estää tilanteita, joissa hyökkääjä pääsee järjestelmään ilman varsinaista murtoa hyödyntämällä väärin konfiguroituja resursseja. Näin se vähentää merkittävästi niin sanottuja helppoja sisäänkäyntejä.

API-ratkaisut

API:t ovat keskeinen osa pankkiarkkitehtuuria, erityisesti open banking -mallissa. Ne mahdollistavat tiedon ja palveluiden jakamisen eri järjestelmien ja organisaatioiden välillä. Samalla ne muodostavat suoran pääsyn kriittisiin toimintoihin ja dataan.

API-suojaus varmistaa, että rajapintoja käytetään turvallisesti. Tämä sisältää autentikoinnin, valtuutuksen, liikenteen rajoittamisen sekä syötteiden validoinnin. Lisäksi kehittyneet ratkaisut tunnistavat epänormaalia käyttöä, kuten automatisoituja hyökkäyksiä tai tokenien väärinkäyttöä.

Hyökkäysketjussa API-suojaus estää hyökkääjää hyödyntämästä sovellusten välistä kommunikaatiota. Se on erityisen tärkeä vaiheessa, jossa hyökkääjä pyrkii suoraan käsiksi dataan tai liiketoimintalogiikkaan ilman perinteistä murtautumista.

Kontti- ja Kubernetes-ympäristöjen suojaus

Kontit ja orkestrointialustat, kuten Kubernetes, ovat keskeinen osa sovelluskehitystä. Ne mahdollistavat sovellusten hajauttamisen pieniin, itsenäisiin komponentteihin, mutta tuovat samalla mukanaan uusia turvallisuushaasteita.

Konttiympäristöjen suojaus kattaa useita osa-alueita. Ensin varmistetaan, että käytettävät konttikuvat ovat turvallisia ja vapaita tunnetuista haavoittuvuuksista. Tämän jälkeen valvotaan sovellusten toimintaa ajon aikana, jotta voidaan tunnistaa poikkeava käyttäytyminen.

Lisäksi verkon segmentointi ja käyttöoikeuksien hallinta, esimerkiksi Kubernetes RBAC, rajoittavat pääsyä eri komponenttien välillä.

Hyökkäysketjussa nämä mekanismit estävät hyökkäyksiä sovellustasolla sekä rajoittavat niiden leviämistä. Ne ovat erityisen tärkeitä tilanteissa, joissa hyökkääjä pyrkii hyödyntämään sovellusympäristön sisäisiä heikkouksia.

Datan suojaus

Pankkitoiminnassa data on keskeinen suojattava resurssi. Asiakastiedot, maksutapahtumat ja liiketoimintakriittinen informaatio muodostavat pankin toiminnan ytimen, ja niiden väärinkäyttö tai vuotaminen voi aiheuttaa merkittäviä taloudellisia ja maineeseen liittyviä vahinkoja.

Tämän johdosta kyberturvallisuus ei keskity pelkästään järjestelmien suojaamiseen, vaan itse tiedon hallintaan ja suojaamiseen koko sen elinkaaren ajan.

Tähän tarkoitukseen pankit hyödyntävät useita toisiaan täydentäviä teknologioita, joista keskeisimpiä ovat DLP-ratkaisut, datan luokittelu, salaus ja tokenisointi sekä käyttäytymisanalytiikka (UEBA).

DLP-ratkaisut

Data Loss Prevention (DLP) -ratkaisut on suunniteltu estämään arkaluonteisen tiedon luvaton siirtyminen organisaation ulkopuolelle. Ne valvovat jatkuvasti datan liikettä eri kanavissa, kuten sähköpostissa, pilvipalveluissa ja tiedostojen siirrossa.

DLP-järjestelmät tunnistavat ennalta määriteltyjen sääntöjen perusteella, milloin siirrettävä data sisältää esimerkiksi henkilötietoja tai maksutietoja. Tällöin ne voivat estää siirron, varoittaa käyttäjää tai raportoida tapahtuman turvallisuustiimille.

Hyökkäysketjun näkökulmasta DLP kohdistuu erityisesti vaiheeseen, jossa hyökkääjä pyrkii siirtämään varastettua dataa ulos pankista. Se toimii viimeisenä kontrollikerroksena ennen datan poistumista.

Datan luokittelu on suojauksen perusta

Datan luokittelu tarkoittaa tiedon jakamista eri kategorioihin sen arkaluonteisuuden ja liiketoiminnallisen arvon perusteella.

Luokittelu on edellytys tehokkaalle datan suojaukselle, sillä se määrittää, millaisia turvatoimia eri tietotyyppeihin sovelletaan. Ilman luokittelua järjestelmät eivät pysty erottamaan kriittistä dataa vähemmän tärkeästä, jolloin suojaus jää joko riittämättömäksi tai tehottoman raskaaksi.

Luokittelu toimii perustana muille teknologioille, kuten DLP:lle ja salaukselle, mahdollistaen niiden kohdentamisen oikeaan dataan.

Salaus ja tokenisointi

Salaus (encryption) on menetelmä, jossa data muunnetaan muotoon, jota ei voida lukea ilman oikeaa avainta. Sitä käytetään sekä tiedon siirrossa että tallennuksessa, jolloin data pysyy suojattuna, vaikka se joutuisi vääriin käsiin.

Tokenisointi korvaa arkaluonteisen datan keinotekoisella tunnisteella eli tokenilla. Token on erityinen, turvallinen surrogaatin muoto, mutta kaikki surrogaatit eivät täytä tokenisoinnin turvallisuusvaatimuksia. Token on tokenisoinnin tuottama arvo ja surrogaatti on yksittäinen korvaava arvo.

Esimerkiksi luottokorttinumero voidaan korvata satunnaisella arvolla, jota käytetään järjestelmissä varsinaisen datan sijaan. Alkuperäinen tieto säilytetään erikseen suojatussa ympäristössä.

Hyökkäysketjussa nämä teknologiat eivät estä datan varastamista, mutta ne tekevät varastetusta datasta käyttökelvotonta. Näin ne vähentävät merkittävästi mahdollisen tietomurron vaikutuksia.

UEBA-ratkaisut

User and Entity Behavior Analytics (UEBA) perustuu käyttäytymisanalyysiin. Se seuraa käyttäjien ja järjestelmien normaalia toimintaa ja muodostaa siitä niin sanotun perustason (baseline).

Kun käyttäytyminen poikkeaa normaalista mallista, järjestelmä tunnistaa sen mahdollisena uhkana. Esimerkiksi äkillinen suuri datamäärän lataaminen, epätavallinen pääsy tiettyihin järjestelmiin tai poikkeava käyttöaika voivat laukaista hälytyksen.

UEBA on erityisen tehokas tilanteissa, joissa hyökkääjä toimii varastetuilla tunnuksilla tai kyseessä on sisäinen uhka. Tällöin perinteiset turvamekanismit eivät välttämättä havaitse toimintaa, koska se näyttää teknisesti lailliselta.

Valvonta ja reagointi

Yksittäiset turvallisuusratkaisut tuottavat suuren määrän dataa, mutta ilman keskitettyä analyysiä niiden arvo jää rajalliseksi. SIEM- ja SOAR-järjestelmät muodostavat kyberturvallisuuden hermokeskuksen, jossa eri lähteistä kerätty tieto yhdistetään, analysoidaan ja muunnetaan toiminnaksi.

SIEM (Security Information and Event Management) kerää ja yhdistää lokitietoja useista lähteistä, kuten identiteetinhallinnasta, päätelaitteista, verkkoliikenteestä ja pilvipalveluista. Näiden tietojen korrelaation avulla voidaan tunnistaa monivaiheisia hyökkäyksiä, jotka eivät yksittäisinä tapahtumina herättäisi huomiota.

SOAR (Security Orchestration, Automation and Response) puolestaan automatisoi reagointia ja orkestroi eri turvajärjestelmien toimintaa. Se voi esimerkiksi eristää käyttäjätunnuksen, katkaista yhteyden vaarantuneeseen laitteeseen tai käynnistää tutkintaprosessin automaattisesti ennalta määriteltyjen sääntöjen perusteella.

Näiden järjestelmien merkitys korostuu erityisesti tilanteissa, joissa hyökkäys etenee usean vaiheen kautta. Ilman korrelaatiota yksittäiset tapahtumat näyttäytyvät harmittomina, mutta yhdistettynä ne muodostavat selkeän hyökkäysketjun. SIEM tuo näkyvyyden tähän kokonaisuuteen, ja SOAR mahdollistaa nopean ja johdonmukaisen reagoinnin.

Yhdessä nämä teknologiat mahdollistavat siirtymän reaktiivisesta hälytysten käsittelystä kohti ennakoivaa ja automatisoitua kyberturvallisuuden hallintaa.

Resilienssi

Täydellistä suojaa ei ole olemassa. Tämän vuoksi pankkien on varauduttava siihen, että hyökkäys onnistuu ainakin osittain. Operatiivinen resilienssi tarkoittaa kykyä jatkaa toimintaa ja palautua nopeasti häiriötilanteista.

Tähän käytetään muun muassa muuttumattomia varmistuksia, katastrofipalautusratkaisuja, korkean käytettävyyden arkkitehtuureja sekä jatkuvuussuunnittelua. Näiden avulla voidaan minimoida liiketoimintavaikutukset ja varmistaa palveluiden jatkuvuus myös hyökkäyksen aikana.

Resilienssi on keskeinen osa kyberturvallisuutta, erityisesti finanssialalla, jossa palvelukatkot vaikuttavat suoraan yhteiskunnan toimintaan.

Kerroksellinen ja integroitu puolustus

Edellä kuvatut teknologiat muodostavat yhdessä niin sanotun defense-in-depth -mallin. Siinä useat päällekkäiset suojakerrokset varmistavat, että yksittäisen kontrollin pettäminen ei johda koko järjestelmän vaarantumiseen.

Tehokas puolustus edellyttää näiden teknologioiden integrointia. Identiteettien hallinta, endpoint-suojaus, verkon segmentointi, pilviturva, datansuojaus, valvonta ja resilienssi eivät toimi erillisinä siiloina, vaan osana yhtenäistä kokonaisuutta.

Johtopäätös

Kyberhyökkäysten hallinta ei ole yksittäisten uhkien torjuntaa, vaan kykyä hallita koko hyökkäysketjua alusta loppuun. Pankkien kyberturvallisuus on kehittynyt teknisestä tukifunktiosta strategiseksi kyvykkyydeksi, joka vaikuttaa suoraan liiketoiminnan jatkuvuuteen ja asiakasluottamukseen.

Monimutkaiset, monivaiheiset hyökkäykset pakottavat pankit siirtymään reaktiivisesta suojauksesta kohti ennakoivaa ja kokonaisvaltaista mallia.

Keskeinen näkemys on, että hyökkäykset etenevät ketjuna ja puolustuksen on katettava koko tämä ketju. Pelkkä ennaltaehkäisy ei riitä, vaan pankkien on kyettävä havaitsemaan hyökkäykset ajoissa, reagoimaan niihin tehokkaasti ja palautumaan nopeasti.

Pankki ei ainoastaan suojaa järjestelmiään, vaan rakentaa kyvykkyyden, joka mahdollistaa toiminnan jatkuvuuden myös häiriötilanteissa.