Kun hosting-infra muuttuu aseeksi: mitä hollantilaisoperaatio opettaa meille

Hollannin talousrikospoliisi FIOD teki viime viikolla operaation, joka ei jäänyt huomaamatta hosting-alalla. Viranomaiset takavarikoivat 800 palvelinta, pidättivät kaksi henkilöä ja purkivat laajan infrastruktuurin, jonka epäillään palvelleen kyberhyökkäyksiä sekä Venäjään ja Valko-Venäjään kytkeytyviä kampanjoita.

Pinnan alla piilee kuitenkin syvempi viesti: hosting-yritykset eivät voi enää väittää olevansa pelkkiä neutraaleja palveluntarjoajia.

Monitasoinen infrastruktuuri

Tapaus ei ollut yksinkertainen. Toiminta rakentui usealle kerrokselle, joista kukin tarjosi suojaa sanktioita vastaan.

Stark Industries aloitti toimintansa vain viikkoja ennen Ukrainan sodan alkua. Kun EU lisäsi yrityksen pakotelistalleen toukokuussa 2023, infrastruktuuri siirrettiin uuteen hollantilaiseen yhtiöön nimeltä WorkTitans B.V., joka toimi THE.Hosting-brändillä.

Fyysisestä kerroksesta vastasi Almereen sijoittunut Mirhosting. Se tarjosi colocation-palvelua sekä yhteydet Amsterdamin ja Frankfurtin internet-vaihtopisteisiin. Näin liikenne saatiin kulkemaan Euroopan verkkoon ilman, että alkuperä paljastui.

Jokainen kerros loi harmaata vyöhykettä: hosting-yritys saattoi vedota siihen, että se vain vuokraa kapasiteettia, ja colocation-toimija siihen, että se vain tarjoaa yhteyksiä.

Näkymättömyyden ongelma

Hosting-alalla on näkyvyysongelma. Kun dataa kulkee tuhansia servereitä pitkin, on helppo väittää, ettei tiedetä, mihin kapasiteettia käytetään.

Tässä tapauksessa infrastruktuuri yhdistettiin NoName057(16)-ryhmään, joka tunnetaan tehokkaista DDoS-hyökkäyksistä kriittistä infrastruktuuria vastaan. Kyse ei ollut satunnaisesta väärinkäytöstä, vaan suunnitellusta toiminnasta.

Pakotteiden kiertäminen

Tapaus paljasti, miten helposti pakotteita voi kiertää teknisillä järjestelyillä. Kun Stark Industries lisättiin sanktiolistalle, toiminta ei loppunut – se vain siirtyi uuteen yhtiöön.

Tämä herättää kysymyksiä hosting-alan käytännöistä. KYC-tarkastukset, sanktiolistojen reaaliaikainen seuranta ja väärinkäytösten ilmoitusvelvollisuus nousevat keskusteluun, kun viranomaiset vaativat tiukempaa valvontaa.

Mitä hosting-yritysten tulisi tehdä

Jos pyörität VPS- tai dedicated-palveluita, tapaus antaa selkeät suuntaviivat:

Ensinnäkin väärinkäytöksiin on reagoitava nopeasti. Jos palvelimilla ajetaan DDoS-infraa tai koordinoidaan hyökkäyksiä, 48 tunnin vasteaika ei riitä.

Toiseksi infrastruktuurin liikennettä kannattaa seurata. Poikkeavat portit, epätavalliset liikennemallit tai äkilliset piikit ulospäin kertovat usein enemmän kuin abuse-ilmoitukset.

Kolmanneksi colocation- ja transit-kumppaneiden valintaan pitää kiinnittää huomiota. Yksi heikko lenkki voi vaarantaa koko ketjun.

Infrastruktuuri ei ole enää neutraalia

Vuoden 2024 todellisuudessa hosting-palvelut ovat osa informaatioturvallisuutta ja kansallista turvallisuutta. Kyberhyökkäykset ja disinformaatiokampanjat eivät ole pelkkiä teknisiä ongelmia – ne ovat geopoliittisia välineitä.

Tämä ei tarkoita, että jokaisen hosting-yrityksen pitäisi toimia poliisina. Se tarkoittaa kuitenkin vastuuta siitä, mitä omilla palvelimilla tapahtuu, ja valmiutta toimia, kun väärinkäytökset paljastuvat.

Hollannin operaatio osoittaa, että viranomaiset ovat valmiita tarttumaan asiaan. Laillisille toimijoille tiukempi valvonta tarkoittaa puhtaampaa markkinaa ja vähemmän kilpailua rikollisilta toimijoilta.