Cyberwatch-kuukausikatsaus toukokuu 2018

Transkriptio

1 Cyberwatch-kuukausikatsaus toukokuu GDPR astui voimaan NIS-direktiivin mukainen kansallinen lainsäädäntö astui voimaan EU jää jälkeen kyberturvakilvassa. 4. Kohu Facebookin ympärillä jatkuu. 5. Palvelukatkokset sairaala -ja terveydenhuoltosektorilla jatkuivat. 6. Tuhansia automaatiolaitteita suojaamattomina suomalaisissa verkoissa. 7. Poliisi ja kyberturvallisuuskeskus varoittavat uusista toimitusjohtajapetoksista. 8. VPNFilter - vakava haittaohjelma verkkolaitteissa. 9. Spectre- ja Meltdown -hyökkäyksistä uusia variantteja. 10. HR-, IT- ja tietoturvahenkilöt kohdistettujen hyökkäysten kohteena. Cyberwatch - trust beyond horizon

2 Cyberwatch-kuukausikatsaus toukokuu 2018 GDPR (EU-direktiivi) astui voimaan Valtaosalle tämä näyttäytyi sähköpostitulvana liittyen tietosuoja-asetusten päivittämiseen ja hyväksymiseen. Suomessa kansallinen lainsäädäntö on vielä eduskunnan käsittelyssä. GDPR:n myötä Facebookin toiminnasta on tehty valitus jo 7 maassa: Norjassa, Hollannissa, Belgiassa, Espanjassa, Portugalissa, Italiassa ja Kreikassa. Kohu Facebookin ympärillä jatkunee vielä pitkään. Yhdysvaltojen määräämät tullit Euroopan teräkselle ja alumiinille kiristävät EU:n ja Yhdysvaltojen välejä entisestään. Merkillinen vivahde tullikiistassa on, että Trump perusteli metallien tullimaksuja kansallisella turvallisuudella, "koska terästä käytetään puolustusteollisuudessa". Venäjä pyrkii hyödyntämään tilannetta ja on rinnastanut tullit talouspakotteisiin, yrittäen näin kerätä lisää tukea talouspakotteiden vastaiselle rintamalle. Kansallisen turvallisuuden nimissä tehtävät protektionistiset poliittistaloudelliset päätökset osoittavat huolestuttavaa ilmapiirin muutosta. Tämä vaikuttanee yhä enemmän myös kyberturvallisuus- ja teknologiatuotteiden kansainväliseen markkinaan. Suuretkin kansainväliset teknologiayritykset joutuvat poliittisen pelin välineiksi ja epäilyksen kohteiksi, erityisesti Kiina-Venäjä-USA -akselilla. Suomalaisille hyvän maineen omaaville yrityksille tämä voi avata uusia liiketoimintamahdollisuuksia, varsinkin kyberturvallisuuspalveluiden sektorilla. Kiinalaisten kybervakoiluryhmien taktisena kohteena ovat usein yritysten HR-, IT- ja tietoturvahenkilöstö, koska näiden käyttöoikeuksien avulla on todennäköisesti hyvin laajat mahdollisuudet vaikuttaa ja toimia huomaamattomasti yrityksen sisäverkossa. Sairaala- ja terveydenhuoltojärjestelmiin vaikuttaneet laiterikot ja tietoliikennekatokset ovat hälyttävä merkki vikasietoisuuden puutteellisesta testaamisesta. Järjestelmä- ja tietoverkkokatkokset osoittavat kuinka haavoittuva myös suomalainen yhteiskunta on kybermaailman häiriöille. Katkokset Visa-korttien maksuliikenteessä estivät maksamisen Suomessa ja ympäri Eurooppaa toukokesäkuun vaihteessa. Tämä osoittaa, että häiriö yhteiskunnan ydinpalveluiden toimintavarmuudessa voi aiheutua myös ulkomailla tapahtuvasta viasta. Kansallisen turvallisuuden näkökulmasta käteisen poistuminen voi aiheuttaa yllättäviä tilanteita. EK:n turvallisuusalan neuvottelupäivät järjestettiin 34. kerran. Digitaalisuuden aiheuttamat muutokset turvallisuudessa ja kybervakoilu olivat vahvasti esillä. Cyberwatch Finland ja EK julkaisivat raportin kybervakoilusta ja sen merkityksestä yritysturvallisuudelle. Kauppakamari julkaisi Globaalit skenaariot raportin, joka toimii yritysten ja organisaation tukena muuttuvassa toimintaympäristössä. Raportti nostaa esiin tärkeitä kysymyksiä ja näkökulmia radikaalin epävarmuuden kohtaamiseen

3 Toukokuun kybertapahtumat valtion, yritysten ja organisaatioiden näkökulmasta. Poliittinen Yhdysvaltojen ja EU:n sekä Kiinan väliset tullikiistat kiristävät kansainvälistä suhteita. Yhä useampi yritys on vaarassa joutua poliittisen pelin välineeksi kansallisen turvallisuuden nimissä. Luottamus ulkomaisia ja digitaalisia palveluita kohtaan vähenee. Venäjän ja Yhdysvaltojen komentajien tapaaminen Helsingissä positiivinen turvallisuuspoliittinen signaali Suomen asemasta. Taistelu Sote-uudistuksesta herättää epäilyksiä valtiojohdon kyvystä tehdä päätöksiä. Taloudellinen Kansalaisten reagointi ja vaatimukset tietosuojamuutoksiin liittyen saattaa aiheuttaa yrityksille ja organisaatiolle yllättäviä kustannuksia. Toimitusjohtajahuijaukset ja Office 365 sähköpostipalveluihin kohdistuvat tietojenkalasteluyritykset muodostavat merkittävän uhkan yrityksille. Yritysten tulisi pyrkiä hyödyntämään Suomen maine turvallisena toimijana. Suomen valtiollinen panostus kyber- ja tietoturvallisuuteen on jäämässä jälkeen globaalilla tasolla, olemme pudonneet myös digitalisaatiovertailussa kolmanneksi. Yhteiskunnallinen Ongelmat terveydenhuollon järjestelmissä ja tietoliikenneyhteyksissä huolestuttavia merkkejä kansallisen turvallisuuden näkökulmasta, samalla paljastuu uusia haavoittuvuuksia. Ulkomaisten digitaalisten palveluiden turvallisuutta täytyy miettiä myös Suomen kansallisen turvallisuuden ja suomalaisten yritysten näkökulmasta. Visa-kortin maksuongelmat Suomessa ja EU-tasolla osoittavat digitaalisen maksamisen haavoittuvuuden. Tekninen Valtiollisten toimijoiden osuus tietoverkkohyökkäyksistä näyttää lisääntyvän. Uusia tekniikoita hyödynnetty verkkohyökkäys- ja kiristyshaittaohjelmissa. Teknisen arkkitehtuuritason haavoittuvuuksia löytyy lisää ja niitä myös hyödynnetään yhä nopeammin. Juridinen EU:n NIS-direktiivi ja GDPR astuivat voimaan. Tämä luo uutta pohjaa kansalliselle turvallisuudelle ja turvallisuuskulttuurille. Facebookin toiminta juridisen tarkkailun alla

4 Merkittävimmät Kybertapahtumat ja niiden merkitys 1. GDPR astui voimaan GDPR GDPR seurauksena lisääntyivät tietosuojakäytäntöjen ja evästeiden hyväksymiskyselyt. Merkittävä osa näistä pyynnöistä oli käytännössä turhia, sillä valtaosaan tapauksista olisi riittänyt ilmoitus tietosuojakäytäntöjen muuttumisesta. Viestitulvan keskellä kiusaus ohittaa ilmoitukset ja kuittaukset lukematta kasvaa, mikä lisää GDPR-ilmoitusten ja pyyntöjen varjolla tehtyjen kalasteluviestien riskiä. GDPR:stä on jo nähty hyvin erilaisia tulkintoja, jopa ylilyöntejä. Esimerkiksi saksalaistaustainen Continental kielsi työntekijöiltään WhatsApp- ja Snapchat -palveluiden käytön työpuhelimissaan tietosuojapuutteiden vuoksi. Suomessa kansallinen toimeenpano ontuu, koska lainsäädäntö on vielä eduskunnan käsittelyssä. Lisää tietoa: 2. NIS-direktiivin mukainen kansallinen lainsäädäntö astui voimaan EU:n verkko- ja tietoturvadirektiivillä (NIS, Network and Information Systems) pyritään varmistamaan korkeatasoinen verkko- ja tietojärjestelmien turvallisuus koko unionissa. Direktiivi velvoittaa huoltovarmuuskriittiset yritykset ja keskeiset digitaalisten palvelujen tarjoajat kattavaan tietoturvariskienhallintaan, ja tiedottamaan yhteyksien ja verkkopalveluiden häiriöistä sekä tietoturvaloukkauksista heitä valvovalle viranomaiselle. Direktiivin mukaisia kriittisiä toimialoja ovat energia, liikenne, pankkiala, finanssimarkkinoiden infrastruktuurit, terveydenhuoltoala, juomaveden toimittaminen ja jakelu sekä digitaalinen infrastruktuuri. Viranomaisyhteistyön lisääntyminen ja yhteisten suuntaviivojen määrittäminen parantaa turvallisuutta ja kykyä toipua erilaisista häiriötilanteista. Riskinä tiedottamisvelvoitteessa on, että rikolliset ja valtiolliset toimijat saavat ikään kuin "lakisääteisen tulosraportin" hyökkäyksen onnistumisesta. Tämä auttaa muodostamaan kokonaiskuvaa toimienpiteiden vaikuttavuudesta ja kohteiden reagointikyvystä. Suomessa on direktiiviin määrittämät toiminnot luokiteltu osaksi yhteiskuntamme elintärkeitä toimintoja ja niiden turvaamiseen myös varauduttu. Juuri päivitetty yhteiskunnan turvallisuusstrategia määrittelee vastuut ja varautumisen perusteet. 3. EU jää jälkeen kyberturvakilvassa Kyberturvallisuussektori on kansainvälisesti kovassa kasvussa. Alan yritysten liikevaihto Suomessa on kaksinkertaistunut viidessä vuodessa miljardiin euroon, arvioi alan järjestö Finnish Information Security Cluster FISC:in toiminnanjohtaja Juha Remes. Vahvasta yrityskentästä huolimatta Suomen ja yleisemminkin EU:n tilanne on haastava. EU tuottaa itse vain prosenttia alueella käytetyistä kyberturvallisuuspalveluista. Suomessa luku on noin 50 prosenttia, mutta sektorin suhteellisen koon huomioon ottaen osuus voisi olla paljon suurempi. Esimerkiksi Yhdysvallat käyttää kyberturvallisuuteen vuosittain noin 30 miljardia euroa. Lukuja Kiinan, Venäjän ja Israelin panostuksista ei ole saatavilla. Euroopassa Britannia investoi kyberturvallisuuteen vuosittain yli kolme miljardia euroa, mikä on tuonut maahan runsaasti uusia kyberturvayrityksiä ja tuotekehityshankkeita. Saksassa ja Ranskassa vuosibudjetit ovat 200 miljoonan euron tasoa. Suomessa valtiolliset panostukset ovat miljoonaa euroa vuodessa

5 Tekeillä olevan Cyber Security Actin mukaan EU:n vuosipanostuksen on tarkoitus nousta 1 1,5 miljardiin euroon nykyisestä sadasta miljoonasta eurosta vuoden 2022 budjetista eteenpäin. Ottaen huomioon EU:n kokoluokan ja kyberturvallisuuden merkittävyyden elinkeinoelämän toimintaympäristölle, vaikuttaa tämäkin tuleva panostus alimitoiteltulta, mutta on kuitenkin merkittävä edistysaskel. 4. Kohu Facebookin ympärillä jatkuu Facebookin perustaja ja pääjohtaja Mark Zuckerberg oli EUparlamentin kuulusteltavana. Hän vakuutti olevansa sitoutunut korjaamaan asiat kuntoon. Viimeaikaiset tiedot kansainvälisten älypuhelinvalmistajien kanssa vuosia sitten tehdyistä tietojen luovutussopimuksista osoittavat kuinka merkittävä rooli Facebookin kautta saatavilla tiedoilla on digitaalisessa liiketoiminnassa ja kuinka laajasti tietoja todellisuudessa käytetään. Halusi tai ei, Facebook on vahvasti mukana poliittisessa pelissä ja kybervakoilussa, joihin nivoutuvat suuret ulkomaiset yritykset ja valtiollisen tahon toimijat. Vaikka Facebook irtisanoisi nykymuotoiset sopimukset useammankin yrityksen kanssa, on asiakkaiden tiedot kuitenkin jo profiloitu moneen kertaan ja niistä saatava tietotaito otettu hyötykäyttöön ympäri maailmaa. Tässä suhteessa Facebookin kasvojenpesuyritys tulee armotta liian myöhään. Facebook tulee todennäköisesti olemaan huomion keskipisteenä vielä pitkään ja uusia paljastuksia nähtäneen. 5. Palvelukatkokset sairaala -ja terveydenhuoltosektorilla jatkuivat Helsingin kaupungin tietoverkoissa oli laaja häiriö, joka haittasi mm. terveysasemien toimintaa. Pirkanmaan sairaanhoitopiirissä oli toukokuuta runkoverkon laiterikosta aiheutunut laaja tietoliikennehäiriö, joka vaikeutti erityisesti päivystyksen toimintaa. Tiedon Lifecare-palvelun ongelmat aiheuttavat edelleen merkittävää haittaa pääkaupunkiseudun hammashoidossa ja Päijät-Hämeen hyvinvointikuntayhtymän alueella. Tapaukset ovat hälyttäviä merkkejä puutteista terveydenhuollon digitaalisen ekosysteemin turvallisuudessa, vikasietoisuuden testaamisessa ja riskianalyyseissa. Ne kertovat myös palveluiden ostamisen ja jaetun vastuun haasteista. Tietoliikennekatokset ja laiterikot osoittavat verkottuneen maailman haavoittuvuuden ja palveluiden täydellisen riippuvuuden sähkö- ja tietoliikenneverkon toiminnasta. Varautumisessa olisi hyvä muistaa, että tekniset viat ja niiden hallintaan liittyvät toimintatavat paljastavat aina myös järjestelmämme haavoittuvuuksia ja heikkouksia niille, jotka tietoja haluavat kerätä. 6. Tuhansia automaatiolaitteita suojaamattomina suomalaisissa verkoissa Viestintävirasto julkaisi vuosittaisen kartoituksen, jonka tarkoituksena on kartoittaa suojaamattomat automaatiolaitteet suomalaisessa tietoverkossa. Kartoituksen mukaan kriittisen infrastruktuurin ja teollisuuden järjestelmiin liittyviin puutteisiin reagoitiin hyvin, mutta rakennusautomaation osalta tilanne on edelleen huolestuttava - lukumäärällisesti lähes yhtä paljon kuin edellisenä vuonna. Tämä osoittaa, että rakennusautomaation kehitystyössä ja ylläpidossa digitaalinen turvallisuus ei edelleenkään ole kovin korkealla prioriteetilla. Huonosti suojatut rakennusautomatiikan järjestelmät voi vaarantaa kiinteistöissä vierailevien henkilöiden turvallisuuden. Esimerkiksi erilaiset välimieshyökkäykset on huomattavasti helpompi toteuttaa, jos hyökkääjä on päässyt turvallisena pidettyyn sisäverkkoon kiinteistö- ja rakennusautomaatikan heikkouksien kautta. Näyttää ilmeiseltä, että kiinteistöautomaatio ja turvallisuuslaiteet ovat kyberrikollisten kasvavan kiinnostuksen kohteena

6 7. Poliisi ja kyberturvallisuus keskus varoittavat uusista toimitusjohtajapetoksista. Maalis-huhtikuun aikana on pelkästään Helsingin poliisille tehty kymmenkunta rikosilmoitusta toimitusjohtajiin ja yrityksen johtoryhmään kohdistuvista huijauksista ja tietojenkalasteluista. Osa huijauksista on tehty hyvin uskottavaksi ja kirjoitettu selvällä suomenkielellä. Kesäkuun puolella Viestintäviraston Kyberturvallisuuskeskus julkaisi varoituksen Office sähköpostipalvelun kautta toteutetuista tietojenkalasteluista ja tietomurroista. Kohderyhminä ovat olleet erityisesti yritysten johto ja ICT-henkilöstö. Office 365 -palvelussa käyttäjätunnuksena toimii käyttäjän sähköposti, joka on helposti saatavilla olevaa tietoa. Ilman kaksivaiheista tunnistautumista, turva jää käytännössä salasanan varaan. Siksi on tärkeää huolehtia turvallisesta salasanasta ja siitä ettei samaa salasanaa käytä useassa eri palvelussa. Huijausten riskiä voi parhaiten vähentää kouluttamalla, tietoisuuden lisäämisellä ja sopimalla yrityksen toimintatavoista maksujen hyväksymis- ja suorittamiskäytänteissä. Myös kaksivaiheisen tunnistautuminen on suositeltavaa ottaa käyttöön. Suomi ei ole suojassa yritysvakoilulta, tietomanipulaatiolta ja - sabotaasilta. Kriittisen tiedon suojaaminen ja eheyden valvonta korostuu. 8. VPNFilter - vakava haittaohjelma verkkolaitteissa VPNFilter Vakava haittaohjelma on saastuttanut arviolta päätelaitetta 54 maassa. Valtaosa saastuneista laitteista on Ukrainassa, mutta kohteena ovat olleet niin yritysten kuin kotikäyttäjien verkkolaitteet ympäri maailman, mahdollisesti myös Suomessa. Haittaohjelma mm. seuraa käyttäjän verkkoliikennettä, poimii salasanoja ja toimii kanavana jatkohyökkäyksille. Se pystyy myös selviämään laitteiston uudelleenkäynnistämisestä ja tarvittaessa jopa tuhoamaan saastuneen laitteen korjauskelvottomaksi. Lisätietoa haittaohjelman vakavuudesta tullee vielä VPNFilter sisältää viitteitä Ukrainan sähkökatkossa käytettyyn BlackEnergy -haittaohjelmaan. Taustalla on FBI:n mukaan venäläistaustainen hakkeriryhmä Sofar/Fancy Bear. Ukrainan käyttö globaalina kyberhyökkäysten testikenttänä vaikuttaa jatkuvan. 9. Spectre- ja Meltdown -hyökkäyksistä uusia variantteja Vuoden vaihteessa esiin tulleisiin prosessorien haavoittuvuuksiin on tullut uusia variantteja, joille jopa Intelin tulevat prosessorisukupolvet voivat olla alttiita. Sama tutkijaryhmä, joka löysi prosessorien Spectre- ja Meltdown - haavoittuvuudet, on tutkinut tietokoneiden muistinkäsittelyyn liittyvää Nethammer -haavoittuvuutta. Tämä on uusi tekniikka, joka hyödyntää tietokoneen rautatason haavoittuvuutta, eikä vaadi kohdekoneessa lainkaan hyökkääjän omaa koodia. Tästä syystä mikään ohjelmistopäivitys ei pysty täysin korjaamaan ongelmaa. Tämä osoittaa kuinka vaikeaa tietokoneiden rautatason haavoittuvuuksien korjaaminen on. Tapaus osoittaa, että rautatason haavoittuvuudet ja niiden aiheuttamat riskit ovat todellisia ja pitkäaikaisia. Tämä on jälleen yksi osoitus, kuinka tiedonturvaamisen realiteetit muuttuvat ja että myös suhtautuminen tiedonturvaamiseen tulisi muuttua

7 10. HR-, IT- ja tietoturvahenkilöt kohdistettujen hyökkäysten kohteena. Valtiollisten hakkeriryhmien toimien analysointi kertoo paljon käytetyistä taktiikoista, tekniikoista ja toimintamalleista. Se myös auttaa yrityksiä parantamaan omaa kykyä suojautua kyberhyökkäyksiltä ja - vakoilulta sekä henkilöstön tietoturvakoulutuksen motivoinnissa. 401TRG (Threat Research Group) tutkijatiimin analyysin mukaan kiinalaiset hakkeri- ja vakoiluryhmät noudattavat pitkälti samoja toimintatapoja ja tekniikoita. Kohdistettujen hyökkäysten kohderyhmänä ovat usein yritysten HR-, IT- ja tietoturvahenkilöt, koska heidän käyttäjätunnusten avulla on usein pääsy hyvin laajalle organisaation tietoihin ja heidän tunnuksillaan on helpompi pysyä huomaamattomana. Tietojen kalastelu näyttää kohdistuvan yhä useammin Gmail ja Office 365 tileihin. Tähän liittyy myös Kyberturvallisuuskeskuksen julkaisema kriittinen varoitus. Kiinalaisten hakkeriryhmien kohteita näyttävät olevan sovellusten jakelukanavat ja erityisesti varmennussertifikaatit, joilla vahvistetaan ohjelmistojen aitous ja luotettavuus. Tämä mahdollistaa haittaohjelmien piilottamisen luotettavina pidettyihin ohjelmistopaketteihin. Key take away 1. Testaa yrityksesi verkkoyhteyksien varmennusjärjestelmien toiminta. 2. Tarkista verkkolaitteiden ohjelmistopäivitykset sekä yrityksessä että kotona. 3. Päivitä yrityksesi toimintaohjeet toimitusjohtajahuijausten minimoimiseksi. 4. Paranna yrityksesi kykyä suojata kriittiset tietovarannot. 5. Huolehdi myös yrityksen IT- ja tietoturvahenkilöstön säännöllisestä kyberturvakoulutuksesta. Cyberwatch - trust beyond horizon - 7 -

8 TILANNEKUVA GDPR astui voimaan NIS-direktiivin mukainen kansallinen lainsäädäntö astui voimaan EU jää jälkeen kyberturvakilvassa Kohu Facebookin ympärillä jatkuu Suomen runkoverkkoviat terveydenhuoltosektorilla Tuhansia automaatiolaitteita suojaamattomina suomalaisissa verkoissa. issa_2018.pdf 7. Poliisi ja kyberturvallisuus keskus varoittavat uusista toimitusjohtajapetoksista. tyksilta_on_huijattu_jopa_kymmenia_tuhansia_euroja_ VPNFilter - vakava haittaohjelma verkkolaitteissa Spectre- ja Meltdown -hyökkäyksistä uusia variantteja HR-, IT- ja tietoturvahenkilöt kohdistettujen hyökkäysten kohteena