Tietoja varastavat haittaohjelmat

Transkriptio

1 Tietoja varastavat haittaohjelmat

2 1 YLEISTÄ MUISTION TARKOITUS TIETOVERKKORIKOKSET YLEISTÄ VERKKORIKOSMARKKINOISTA MARKKINOIDEN LÄHESTYMINEN ROOLINÄKÖKULMASTA Tietojen kerääjä Haittaohjelman kirjoittaja Levityskanavan haltija Tietojen hyödyntäjä Jälkien peittäjä ESIMERKKI TIETOJEN VARASTAMISESTA VARASTETTAVAT TIEDOT Kerättävät tiedot CERT-FI:n käsittelemät tapaukset VIRANOMAISET VASTUUALUEINEEN VIESTINTÄVIRASTON CERT-FI-YKSIKKÖ POLIISI TIETOSUOJAVALTUUTETUN TOIMISTO CERT-FI:N TIEDONSAANTIKANAVAT Sähköisen viestinnän tietosuojalain nojalla tehdyt ilmoitukset Sähköisen viestinnän tietosuojalain nojalla annettavat tiedot Yhteistyöverkosto Oma tiedonhankinta CERT-FI:N TIETOJEN JAKELEMINEN Jakelukanavat Käytännön toiminta ESIMERKKITILANTEITA Tietojen varastaminen vakoiluohjelman avulla Tietojen varastaminen verkkourkinnan avulla (Phishing) Tietojen varastaminen palveluntarjoajalta ONGELMATILANTEET Tietojen hakeminen internetistä TELEYRITYSTEN MAHDOLLISUUDET RAJOITTAA TIETOVARKAUKSIA LIIKENTEEN ESTÄMINEN TIETOTURVALLE HAITTAA AIHEUTTAVIEN HÄIRIÖIDEN ESTÄMISEKSI LIIKENTEEN ESTÄMINEN VERKKOURKINTASIVUSTOLLE (PHISHING) TELEYRITYKSEN OIKEUS TUNNISTAA SAASTUNEET PÄÄTELAITTEET KÄYTTÄJIEN MAHDOLLISUUDET RAJOITTAA TIETOVARKAUKSIA ENNALTAEHKÄISY Tietokoneen tietoturvasta huolehtiminen Harkinnan käyttäminen Riittävän vahvojen salasanojen käyttäminen Suojautuminen verkkourkintahyökkäyksiltä TIETOVARKAUDEN JÄLKEEN Toimenpiteet tiedonsaannin jälkeen Päätelaitteen puhdistaminen...28

3 1 Yleistä 1.1 Muistion tarkoitus Sähköisten viestintäpalveluiden käyttäjien luottamuksellisten tietojen varastamiseen tähtäävät tietoverkkorikokset ovat yleistyneet myös Suomessa. Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI vastaanottaa satunnaisesti ilmoituksia tapauksista, joissa suomalaisten sähköisten asiointipalveluiden käyttäjät ovat joutuneet tietoja varastavien haittaohjelmien uhreiksi. Haittaohjelmien varastamat tiedot ovat tyypillisesti sähköisten palveluiden kirjautumistietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelmat keräävät kuitenkin rutiininomaisesti myös selaimella käytettävien lomakkeiden, kuten sähköpostiviestien, verkkokauppatilausten sekä verkkopankkilomakkeiden sisältöjä. CERT-FI:n keräämien tilastojen mukaan yksikkö käsitteli välisenä aikana noin 1800 yksittäiseen käyttäjään kohdistettavissa olevaa tapausta. Myös muuntyyppisiä käyttäjien tietojen varastamiseen pyrkiviä tietoverkkorikoksia tulee säännönmukaisesti CERT-FI:n tietoon. Tyypillisesti kysymyksessä on pyrkimys käyttäjien tietojen varastamiseen verkkourkinnan tai muun käyttäjän erehdyttämiseen perustuvan toimintatavan avulla. Eräässä tapauksessa tietoja varastettiin suoraan sähköisten palveluiden tarjoajilta. Muistiossa kuvataan tietoverkkorikosten toteuttamistapoja ja CERT-FI:n toimintamahdollisuuksia. Tällä pyritään helpottamaan muiden toimijoiden mahdollisuuksia hyödyntää CERT-FI:n käytettävissä olevia välineitä ja tietoaineistoja tietoverkkorikosten ja niiden aiheuttamien vahinkojen torjunnassa. Lisäksi muistiolla pyritään lisäämään yleistä tietoisuutta käyttäjien tietojen varastamiseen tähtäävistä tietoverkkorikoksista ja niiltä suojautumisessa käytettävissä olevista keinoista.

4 2 Tietoverkkorikokset Sähköisten palveluiden kehittyminen on pakottanut myös tietoverkkorikolliset muuttamaan toimintatapojaan. Rikosten toteuttamismallit ovat monimutkaistuneet ja rikoksen tekemiseen tarvittavan osaamisen määrä on kasvanut siinä määrin, että yksittäisen toimijan on erittäin vaikea hallita kaikkia tietoverkkorikoksen tekemisen edellyttämiä osa-alueita. Tämä kehitys on johtanut tietoverkkorikosten tekijöiden kasvavaan verkostoitumiseen ja erilaisten tietoverkkorikosten tekemiseen keskittyvien tiedonvaihtokanavien muodostumiseen. Tietoverkkorikoksia tarkasteltaessa on hyvä tunnistaa joitain rikosten ominaispiirteitä: Toiminta on kansainvälistä ja täysin riippumatonta valtioiden ja oikeusjärjestelmien rajoista. Rikoksen kannattavuus perustuu usein pikemminkin potentiaalisten uhrien suureen määrään kuin valittujen menetelmien hienovaraisuuteen. Rikosten käytännön suorittaminen on pirstoutunut usean toisistaan täysin riippumattoman toimijan tekemäksi. Osa rikosten tekijöistä on erikoistunut suorittamaan ainoastaan tietyn osa-alueen tietoverkkorikoksesta. Tietoverkkorikosten tekeminen ei ole harrastelua, vaan toiminta on muuttunut ammattimaiseksi. Tietoverkkorikosten ehkäisemisen kannalta on tärkeää huomata, että tekojen tavoitteena on tuottaa tekijöilleen taloudellista hyötyä. Jos taloudellinen hyötyminen tietoverkkorikoksista pystytään tavalla tai toisella estämään, vähentää se myös tekijöiden halukkuutta rikosten tekemiseen. Toinen tietoverkkorikosten ehkäisemiseksi keskeinen tekijä on tekijöiden kiinnijäämis- ja tuomitsemisriskin kasvattaminen. Tekijöiden saattaminen edesvastuuseen on kuitenkin tietoverkkorikosten ominaispiirteistä johtuen erittäin haastavaa. 2.1 Yleistä verkkorikosmarkkinoista Tietoverkkorikosten tekemiseen tarvittavien palveluiden hankkiminen edellyttää paikkaa, jossa rikosten tekijät voivat ostaa ja myydä tuotteitaan sekä palveluitaan. Myytävä hyödyke voi olla esimerkiksi valmis haittaohjelma tai varastetuista tiedoista muodostettu roskapostin lähettämiseen käytettävä sähköpostiosoitelista. Tarjottava palvelu voi puolestaan olla esimerkiksi varastettujen tietojen hyödyntäjälle tarjottava jälkien peittämispalvelu. Tällaista tietoverkkorikoksiin liittyvää kaupankäyntiä harjoitetaan erilaisilla verkkorikosmarkkinoilla, kuten keskustelupalstoilla ja IRC-kanavilla. Näillä tiedonvaihtopaikoilla verkkorikosten eri osa-alueisiin erikoistuneet yksittäiset toimijat ja toimijaryhmittymät voivat myydä omia hyödykkeitään niistä kiinnostuneille ostajille. Verkkorikosmarkkinat eivät yleensä ole kaikille avoimia. Erityisesti laadukkaammille kauppapaikoille pääseminen edellyttää tyypillisesti myönnettyä jäsenyyttä. Jäsenyyden saaminen voi edellyttää esimerkiksi vertaisryhmän an- 2

5 tamaa suositusta ja hyväksyntää. Vaihtoehtoisesti jäsenehdokkaalta voidaan edellyttää esimerkkejä tämän markkinoille tarjoamista hyödykkeistä. Markkinoille hyödykkeitä tarjoavat toimijat voivat olla kokonaan ilman kytköksiä toimivia yksittäisiä henkilöitä, tai vaihtoehtoisesti ne voivat olla myös suuremmasta henkilöjoukosta muodostuvia ryhmittymiä. Palveluitaan tarjoavien toimijoiden välisestä keskinäisestä organisoitumisesta verkkorikosmarkkinoilla on esitetty erilaisia arvioita jo pitkään. Pääsääntöisesti organisoitumisen on uskottu olevan varsin vähäistä. Symantecin vuonna 2008 julkaisema tutkimus antoi kuitenkin viitteitä jonkinasteisen markkinat kokonaisuudessaan kattavasta yhteistoiminnasta ja organisoitumisesta erityisesti toimintaa ohjaavalla tasolla Markkinoiden lähestyminen roolinäkökulmasta Verkkorikosmarkkinoita voidaan kuvata sinne palveluitaan tarjoavien toimijoiden roolien näkökulmasta. Jaottelulla pyritään toisaalta korostamaan tietoverkkorikosten pirstoutumista useamman toisistaan riippumattoman toimijan suorittamaksi ja toisaalta selkiyttämään tietoverkkorikosta kokonaisuutena. Roolit ovat ainoastaan toiminnallisten kokonaisuuksien hahmottamisen helpottamiseksi tehtyjä yleistyksiä. Esitettyyn rooliin kuuluvien toimenpiteiden suorittajina voi siten käytännössä olla lukuisia eri toimijoita, tai vastaavasti yksi toimija voi vastata kaikista rikoksen osa-alueista Tietojen kerääjä Esimerkki tietojen keräämiseen liittyvistä rooleista Tietojen kerääjän tavoitteena on tavalla tai toisella varastaa sähköisten palveluiden käyttäjien luottamuksellisia tietoja. Toiminnassaan tietojen kerääjä voi hyödyntää merkittävissä määrin verkkorikosmarkkinoiden muita toimijoita. Kerääjä voi esimerkiksi ostaa tietojen varastamiseen käytettävän haittaohjelman 1 Symantec Report on the Underground Economy July 07 June 08, sivu 8 3

6 suoraan haittaohjelman kirjoittajalta ja levittää sen käyttäjien päätelaitteille haittaohjelman levityskanavan haltijan ylläpitämää bottiverkkoa hyväksikäyttäen. Tietojen kerääjä ei välttämättä hyödynnä varastamiaan tietoja itse, vaan hän myy ne verkkorikosmarkkinoilla edelleen tietojen varsinaiselle hyödyntäjälle. Tietojen kerääjän toiminta voi kerättävistä tiedoista riippuen täyttää ainakin rikoslaissa kriminalisoidun henkilörekisteririkoksen 2 ja yritysvakoilun 3 tunnusmerkistön Haittaohjelman kirjoittaja Haittaohjelman kirjoittaja voi tarjota ostettavaksi kokonaan uutta haittaohjelmaa tai jo olemassa olevan ohjelman muokkaamista sellaiseksi, että virustorjuntaohjelmat eivät sitä tunnista. Kirjoittaja voi lisätä ohjelmaan myös kokonaan uusia toiminnallisuuksia. Rikoslaissa kriminalisoidaan tietojenkäsittelyä vaarantamaan tai vahingoittamaan suunnitellun tai muunnetun ohjelman taikka ohjelmakäskyjen sarjan maahantuonti, valmistaminen, myyminen ja muu levittäminen 4. Myös tällaisen ohjelman hallussapito on säädetty rangaistavaksi Levityskanavan haltija Levityskanavan haltijan verkkorikosmarkkinoille tarjoamana palveluna on tietoverkkorikoksen tekovälineen levittäminen rikoksen uhreille. Haittaohjelma voidaan levittää esimerkiksi bottiverkon avulla, murretun tai muuten hallintaan saadun www-palvelun avulla tai piilottamalla haittaohjelma vertaisverkossa jaettavaan tiedostoon. Vastaavasti verkkourkintaviesti voidaan levittää uhreille käyttäen bottiverkkoa urkintasähköpostin lähettämiseen. Tietoverkkorikoksen tekovälineen levittäminen roskapostin, www-palvelun tai vertaisverkon avulla voi täyttää rikoslaissa tarkoitetun vaaran aiheuttamisen tietojenkäsittelylle tunnusmerkistön 6. Haittaohjelman ja verkkourkintaviestin levittäminen roskapostin avulla voi täyttää lisäksi rikoslaissa tarkoitetun tietoliikenteen häirinnän tunnusmerkistön 7. Verkkourkintaviestien levittäminen voi täyttää myös maksuvälinepetosten valmistelun tunnusmerkistön 8. Haittaohjelman asentuminen käyttäjän päätelaitteelle ilman käyttäjän suostumusta tai käyttäjää erehdyttämällä voi täyttää ainakin luvattoman käytön tunnusmerkistön 9. Jos levitettävä haittaohjelma seuraa myös käyttäjän viestintää, voi asentaminen käyttäjän päätelaitteelle täyttää myös viestintäsalaisuuden loukkauksen tai sen yrityksen tunnusmerkistön Rikoslaki 38:9 3 Rikoslaki 30:4 4 Rikoslaki 34:9a 5 Rikoslaki 34:9b 6 Rikoslaki 34:9a 7 Rikoslaki 38:5 8 Rikoslaki 37:11 9 Rikoslaki 28:7 10 Rikoslaki 38:3 4

7 2.2.4 Tietojen hyödyntäjä Jälkien peittäjä Jos tietojen hyödyntäjä ei ole itse kerännyt toimintansa edellyttämiä tietoaineistoja, on hyödyntäjän hankittava verkkorikosmarkkinoilta tietojen kerääjän muodostama valmis tietopaketti. Käyttäjien tietojen varastamiseen liittyvissä tietoverkkorikoksissa rikolliset eivät ole kiinnostuneita itse tiedoista, vaan rikollisten tavoitteena on ansaita tiedoilla rahaa. Siten myös eri tietoaineistojen arvo riippuu siitä, kuinka paljon ja kuinka helposti niiden avulla voidaan hankkia taloudellista hyötyä. Kerättyjen tietojen muuttaminen rahaksi voi tapahtua tietojen luonteesta riippuen lukemattomilla eri tavoilla. Esimerkiksi CVV2-numerolla varustettujen luottokorttitietojen hyödyntäminen voi tapahtua valmistamalla väärennettyjä luottokortteja eteenpäin myytäväksi tai tilaamalla puhelimitse ja verkkopalveluista erilaisia rahaksi muutettavissa olevia tuotteita. Pankkitilin kirjautumistietojen hyödyntäminen voi puolestaan tapahtua esimerkiksi siirtämällä tilillä olevia varoja suoraan eteenpäin. Rikosten tunnusmerkistöjen täyttyminen riippuu tietojen luonteesta, ja siitä, millä tavoin kerättyjä tietoja hyödynnetään. Tyypillisiä tunnusmerkistöjä voivat olla esimerkiksi petos ja luvaton käyttö. Suomessa ei muistiota laadittaessa ole kriminalisoitu identiteettivarkautta. Tietoverkkorikoksen haastavimpana osana voidaan pitää kiinnijäämisen välttämistä varastettuja tietoja hyödynnettäessä, sillä hyödyntämisestä jää tyypillisesti erilaisia seurattavissa olevia jälkiä. Jälkien avulla väärinkäytetyt tiedot voidaan yhdistää esimerkiksi varastetuilla luottokorttitiedoilla tilatun hyödykkeen vastaanottaneeseen henkilöön. Yleisin tapa jälkien peittämiseen on niin kutsuttujen muulien käyttäminen. Muulien tehtävänä on varsinaisten tekijöiden häivyttäminen toimimalla välikätenä siirrettäessä rikoksen avulla kerättyjä varoja ja tavaroita palvelusta tekijöille. Esimerkiksi rikoksen uhrin pankkitililtä siirrettyjen varojen seuraamista voidaan vaikeuttaa sopimalla muulin kanssa, että tämä lähettää uhrin tililtä muulille saapuneet varat pientä korvausta vastaan edelleen rikollisten määrittelemälle tilille. Vastaavasti muulin kanssa voidaan sopia luottokortilla muulin osoitteeseen tilattujen tuotteiden edelleen lähettämisestä. 11 Kun muuleja ketjutetaan riittävästi useiden maiden ja erilaisten oikeusjärjestelmien kautta, muodostuu rikollisten kiinnisaaminen ja rikoshyödyn palauttaminen ilman nopeaa, tehokasta ja kattavaa kansainvälistä viranomaisyhteistyötä erittäin haastavaksi. Muulin kannalta toiminnassa on ongelmallista se, että heidät on toiminnan luonteesta johtuen yleensä helppo jäljittää. Kaikki muuleina toimivat eivät välttämättä aina edes miellä osallistuvansa rikolliseen toimintaan, vaan heidät on erehdytetty kuvittelemaan toimivansa osana normaalia yritystä. Muulina toimiminen voi täyttää esimerkiksi rahanpesurikoksen tunnusmerkistön DotCrime Manifesto, Phillip Hallam-Baker, 2008, s Rikoslaki 32:6 5

8 2.3 Esimerkki tietojen varastamisesta Tietojen keräämisrikoksen eteneminen Punaiset nuolet kuvaavat haitallista verkkoliikennettä ja siniset nuolet rikoksen uhrin normaalia liikennettä. Rikoksen käytännön eteneminen voidaan kuvata seuraavasti: 1. Tekijä toimittaa vakoiluohjelman jaeltavaksi murretulle wwwpalvelimelle ja antaa bottiverkolle käskyn aloittaa palvelimelle linkin sisältävien roskapostiviestien lähettäminen. 2. Bottiverkko lähettää tekijän valitseman roskapostiosoitelistan määrittelemälle vastaanottajajoukolle roskapostiviestejä, jotka sisältävät linkin murretulle palvelimelle. 3. Uhri seuraa roskapostiviestin sisältämää linkkiä palvelimelle. Vakoiluohjelma asentuu käyttäjän päätelaitteelle. 4. Uhri käyttää muita verkon palveluita tietämättä, että vakoiluohjelma tarkkailee kaikkea koneen käyttöä. 5. Vakoiluohjelma lähettää käyttäjän varastamansa tiedot tekijän määrittelemälle lokipalvelimelle. Lokipalvelimella tarkoitetaan sitä palvelinta, minne haittaohjelman on käsketty lähettää varastamansa käyttäjän tiedot. Lokipalvelin sijaitsee tyypillisesti joko murretulla ulkomaisella palvelimella tai sellaisen ulkomaisen palveluntarjoajan palvelussa, josta ei ole saatavissa palvelun käyttäjätietoja. 6. Lokipalvelinta voidaan käyttää myös haittaohjelman hallintaan käytettävänä komentopalvelimena. Komentopalvelimen avulla haittaohjelman ylläpitäjä voiesimerkiksi päivittää haittaohjelmaa tai käskeä sen suorit- 6

9 tamaan haluamiaan toimenpiteitä. Tällainen toimenpide voi olla esimerkiksi tietojen varastaminen tai roskapostiviestien lähettäminen. 7. Tekijä hakee lokipalvelimelle kerätyt tiedot käyttöönsä. 8. Tekijä käyttää kerättyjä tietoja hyväkseen uhrin käyttämässä palvelussa. Tietojen luonteesta riippuen niitä voidaan mahdollisesti hyväksikäyttää myös muissa palveluissa. 9. Tekijä häivyttää jälkensä kierrättämällä palvelun kautta hankkimansa hyödykkeet muulien kautta. Aiemmin kuvattujen roolien mukaisista suoritteista valmisteluvaiheeseen sijoittuvat ainakin osittain tietojen kerääjän, haittaohjelman kirjoittajan ja levityskanavan haltijan toimenpiteet. Toteutusvaiheeseen sijoittuvat puolestaan tietojen kerääjän tietojen varastamiseksi suorittamat toimenpiteet. Tietojen hyödyntämisvaiheeseen liittyvät puolestaan esitellyistä rooleista tietojen hyödyntäjien ja jälkien peittäjien toimenpiteet. 2.4 Varastettavat tiedot Kerättävät tiedot Tietoverkkorikosten avulla voidaan kerätä käytännössä kaikkia viestintäverkkoihin kytketyissä päätelaitteessa käsiteltäviä tai säilytettäviä tietoja. Esimerkiksi haittaohjelman avulla tietoja voidaan kerätä joko suoraan käyttäjän järjestelmästä tai vaihtoehtoisesti käyttäjän päätelaitteen lähettämistä weblomakkeista. Tiedot voivat sisältää myös viestien välittämiseen liittyviä tietoja. Tyypillisimpiä tietoverkkorikosten avulla kerättyjä tietoja: Eri palveluiden kirjautumistiedot Nimi Sähköpostiosoite Käyttäjätunnus Salasana Roskapostilistat Sähköpostiosoitteet Luottokorttitiedot Haltijan nimi Kortin numero PIN-koodi Laskutusosoite Haltijan puhelinnumero Yrityskorteissa yrityksen nimi Kortin validointikoodi (CVV2-numero) 13 Pankkitilitiedot Haltijan nimi Tilin numero Haltijan yhteystiedot Verkkopankkitunnukset ja salasanat 13 Kortin validointitiedolla tarkoitetaan kortin takana olevaa tunnistetta, jota käytetään puhelin- ja verkkomaksamisessa. Luottokorttitiedot, joiden CVV2-koodi on tiedossa, ovat yleensä helpoimmin hyödynnettävissä. Siksi ne myydään yleensä erikseen kalliimpaan hintaan. 7

10 Identiteettitiedot Nimi Syntymäaika Henkilötunnus Osoite Puhelinnumero Ajokortin numero Passin numero CERT-FI:n käsittelemät tapaukset CERT-FI käsitteli noin 1800 yksittäiseen käyttäjään kohdistuvaa varastettua tietoyksikköä. Tietojen jakautuminen teleyritysten, pankkien, julkisyhteisöjen ja muiden sähköisten palveluntarjoajien palveluiden välillä ilmenee oheisesta tietojen jakautumista kuvaavasta taulukosta. Tapausten jakautuminen palveluntarjoajittain Tyypillisesti CERT-FI:n vastaanottamat tiedot ovat haittaohjelmien avulla varastettuja suomalaisten käyttäjien kirjautumistietoja erilaisiin sähköisiin palveluihin. CERT-FI välittää vastaanottamansa tiedot tunnistamilleen sähköisten palveluiden tarjoajille, jotka voivat niiden avulla ryhtyä tarvittaviin toimenpiteisiin lisävahinkojen syntymisen estämiseksi. Merkittävä osa kaikista CERT-FI:n yllämainittuna ajanjaksona käsittelemistä tapauksista kohdistui yhden suomalaisen yrityksen tarjoamaan kansainväliseen palveluun. Valtaosan tapausten kokonaismäärästä muodostavat siten kyseisen palvelun ulkomaalaiset käyttäjät. Aineistoa tarkasteltaessa merkillepantavaa on myös se, että pankkipalveluiden kirjautumistiedot muodostavat varsin pie- 8

11 nen osan tiedoista. Luottokorttitiedot puuttuvat CERT-FI:n vastaanottamista tiedoista kokonaan, sillä niille on olemassa muita vakiintuneita raportointikanavia. CERT-FI:n arvion mukaan se saa käyttöönsä vain erittäin pienen osan kaikista suomalaisilta käyttäjiltä varastetuista tiedoista. Lisäksi on esitetty arvioita, että merkittävä osa käyttöön saaduista tiedoista on saatu lähteistä, jotka tiedot kerännyt rikollinen on ehtinyt jo puhdistaa rahanarvoisesta aineistosta. Tapausten ajallinen jakautuminen Käsiteltyjen tietojen ajallista jakautumista tarkastelemalla voidaan huomata, että käsiteltyjen tapausten määrä vaihtelee merkittävästi. Vaihtelu johtuu muun muassa siitä, tietoja ei saada mistään säännönmukaisesta lähteestä, vaan niitä toimitetaan CERT-FI:lle jonkin sen kansainvälisen yhteistyökumppanin saatua suomalaisia käyttäjiä koskevia tietoja käsiinsä. Yhteistyökumppanit ovat voineet saada tiedot esimerkiksi tietojen keräämiseen käytetyiltä lokipalvelimilta. Käyttöön saatavien tietojen kokonaismäärän voidaan arvioida olevan laskemassa. Määrän laskeminen ei CERT-FI:n arvion mukaan kuitenkaan johdu tehtyjen rikosten määrän vähenemisestä. Lasku johtuu pikemminkin siitä, että aikaisempaa pienempi osa varastetuista tiedoista saadaan viranomaisten käyttöön. Tämä taas johtuu muun muassa siitä, että rikolliset suojaavat lokipalvelimet esimerkiksi salasanoilla toisten rikollisten ja viranomaisten tiedonhakutoimintojen varalta. 9

12 3 Viranomaiset vastuualueineen Tietovarkauksien ja niihin liittyvien tietoturvaloukkausten aiheuttamien vahinkojen ennaltaehkäisy ja selvittäminen sekä vahinkojen minimointi vaatii viranomaisista ainakin CERT-FI:n, poliisin ja tietosuojavaltuutetun toimiston yhteistyötä. Näistä jokaisella on yhteisenä vastuunaan tietovarkauksien ja niihin liittyvien tietoturvaloukkausten ennaltaehkäiseminen muun muassa palveluiden käyttäjien tietoisuutta kasvattamalla. Kullakin viranomaisista on kuitenkin selvästi omat vastuualueensa. Tietoverkkorikoksen tapahtumisen jälkeen keskeisin rooli varsinaisten tietoverkkorikosten tutkinnassa on poliisilla. Rikokseen liittyvissä tietoturvaloukkauksissa päävastuu kuuluu CERT-FI:lle. Tietosuojavaltuutetun toimiston vastuut liittyvät pääasiassa henkilötietojen käsittelyn valvontaan ja erilaisten lausuntojen antamiseen. Viranomaisten välinen yhteistyö on välttämätöntä sekä tietoverkkorikosta edeltävässä että sen jälkeisessä vaiheessa. Ennen tietoverkkorikoksen tapahtumista yhteistyön painopiste on tiedottamisessa ja toimivien käytäntöjen muodostamisessa. Tietoverkkorikoksen jälkeen painopiste on tehokkaan ja tarkoituksenmukaisen tiedonvaihdon varmistamisessa. Tietoturvaloukkausten käsittelyn osalta CERT-FI:n roolia korostaa tietoturvaloukkausten kansainvälinen luonne. Vuonna 2009 voimaantullutta sähköisen viestinnän tietosuojalain muutosta valmisteltaessa otettiin tietoturvatoimenpiteet määrittelevän pykälän osalta erityisesti huomioon yhteiskunnan elintärkeiden toimintojen kiinteä riippuvuus viestintäverkoista, viestintäpalveluista ja tietojärjestelmistä. Sääntelyn lähtökohdaksi otettiin se, että tietoturvauhkien haittavaikutukset on pystyttävä minimoimaan Suomessa suoritettavilla toimenpiteillä, sillä ulkomaisiin toimijoihin ja järjestelmiin voidaan vaikuttaa vain rajallisesti. Kansallisten toimenpiteiden suorittaminen edellyttää tehokasta ja kattavaa yhteistyöverkostoa. CERT-FI on muun muassa suositellut teleyrityksille huijauspalvelimille suuntautuvan liikenteen suodattamista Viestintäviraston CERT-FI-yksikkö CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen. Sähköisen viestinnän tietosuojalain mukaan CERT-FI:n tehtävänä on kerätä tietoa verkko-, viestintä- ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista, selvittää palveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista 15. Lisäksi Viestintävirasto ja Huoltovarmuuskeskus ovat sopineet huoltovarmuuden turvaamisesta Suomeen sijoittuneiden energiayritysten, teollisuuden, pankki- ja vakuutusyhtiöiden, valtakunnallisten kauppaketjujen sekä muiden yhteiskunnan elintärkeiden toimintojen kannalta keskeisten toimijoiden eduksi. Toiminta perustuu Viestintäviraston ja Huoltovarmuuskeskuksen välille solmit SVTsL 31 10

13 3.2 Poliisi tuun sopimukseen tietoturvapalveluiden tarjoamisesta. Sopimuksen perusteella CERT-FI tarjoaa yhteiskunnan elintärkeiden toimintojen kannalta keskeisille toimijoille tietoturvauhkien analysointipalveluita, tietoturvaloukkausten havainnointi- ja ratkaisupalveluita sekä koulutus- ja koordinointipalveluita. CERT-FI ottaa vastaan ilmoituksia tietoturvaloukkauksista tai niiden uhkasta sekä avustaa asiakkaitaan suojautumaan tietoturvaongelmien haitallisilta vaikutuksilta. Keskeisille asiakasorganisaatioille, kuten ilmoitusvelvollisille teleyrityksille sekä valikoiduille yhteistyökumppaneille tarjotaan ympärivuorokautista päivystyspalvelua. CERT-FI avustaa ja neuvoo erityisesti seuraavissa asioissa: Tietoturvaloukkausepäilyn tai tietoturvauhan todentaminen Tietoturvaongelman laajuuden ja vakavuuden selvittäminen Tapahtuman alkuperäisen syyn tai mahdollistajan selvittäminen Yhteydenotto muihin tapahtumaan osallisiin Yhteydenotto muihin tapauksen selvittämisessä välttämättömiin tahoihin Avustaminen muiden viranomaisten kanssa asioinnissa Tiedotteiden laatiminen Tietoturvaongelman vaikutuksen rajaamiseen tähtäävien toimenpiteiden ohjaaminen Tietojärjestelmän turvaaminen tunnetuilta tietoturvauhilta Jatkotoimenpidesuunnitelman laatiminen CERT-FI:n toiminta tähtää ensisijaisesti yleisten viestintäverkkojen ja - palvelujen turvallisen ja häiriöttömän toiminnan varmistamiseen sekä yhteiskunnan elintärkeiden toimintojen turvaamiseen. CERT-FI:n toiminnan päätavoitteena on tiedonkeruulla ja tiedottamisella ennaltaehkäistä viestintäverkkojen kautta viestintä- tai lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja selvittää niitä, jotta loukkauksia pystytään jatkossa estämään ja niistä toipumaan. Tämän pidemmälle menevä rikosten esitutkinta kuuluu poliisille. CERT-FI ylläpitää myös kansallista tietoturvallisuuden tilannekuvaa. Tilannekuvan tuottamiseksi CERT-FI vastaanottaa ja kerää tietoa tietoturvatilanteeseen vaikuttavista tapahtumista ja ilmiöistä. Tietojen pohjalta synnytetään arvio Suomeen ja suomalaisiin kohdistuvasta uhkasta. Mikäli aihetta ilmenee, tietoa jaetaan julkisina tiedotteina ja varoituksina tai kohdennetusti niille, joita asia koskee. Jakelun laajuuteen vaikuttaa paitsi vaatimukset tietojen salassapidolle myös arvio jakelun vaikuttavuudesta. Poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen. Poliisin on suoritettava myös muut sille erikseen säädetyt tehtävät ja annettava jokaiselle tehtäväpiiriinsä kuuluvaa apua. Poliisin toimivaltuudet ja toiminnassa noudatettavat keskeiset periaatteet on määritelty pääasiassa poliisi-, pakkokeino- ja esitutkintalaeissa. Poliisin toimivaltuuksia säädettäessä on otettu huomioon perus- ja ihmisoikeudet sekä Suomen poliisin mahdollisuudet tehdä tehokasta kansainvälistä rikostorjuntayhteistyötä. Lainsäädäntöä täydennetään asetuksin sekä sisäasiainministeriön määräyksin. 11

14 Keskusrikospoliisi on poliisin valtakunnallinen yksikkö, jonka tehtävänä on torjua kansainvälistä, järjestäytynyttä, ammattimaista, taloudellista ja muuta vakavaa rikollisuutta, suorittaa tutkintaa sekä kehittää rikostorjuntaa ja rikostutkintamenetelmiä. Keskusrikospoliisin tehtävänä tietotekniikkarikoksissa on muun muassa tutkia vakavimpia rikoksia, kouluttaa muuta poliisikuntaa selvittämään tietotekniikkaympäristössä toteutettuja rikoksia, seurata kehitystä ja tunnistaa uusia rikosilmiöitä sekä avustaa tarvittaessa viranomaisia digitaalisen todistusaineiston hankinnassa ja käsittelyssä. 3.3 Tietosuojavaltuutetun toimisto Tietosuojavaltuutetun keskeisenä tehtävänä on valvoa, että henkilötietoja käsitellään lainmukaisesti 16. Lisäksi tietosuojavaltuutetun tehtävänä on käsitellä ja ratkaista henkilötietojen ja luottotietojen käsittelyä koskevat asiat, seurata henkilötietojen ja luottotietojen käsittelyn yleistä kehitystä ja tehdä tarpeelliseksi katsomiaan aloitteita, huolehtia toimialaansa kuuluvasta tiedotustoiminnasta sekä henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä. Viranomaisen on varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä. Virallisen syyttäjän on ennen henkilötietolain vastaista menettelyä koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 17 Lisäksi virallisen syyttäjän on rikoslain nojalla ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa tai henkilörekisteririkosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi CERT-FI:n tiedonsaantikanavat Aikaisemmin kuvatulla tavalla CERT-FI:n lakisääteisenä tehtävänä on kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista 19. CERT-FI:n toiminnan erityispiirteistä sekä sen kansainvälisen yhteistyöverkoston tehokkuudesta ja kattavuudesta johtuen CERT-FI on usein ensimmäinen viranomainen Suomessa, joka saa tiedon käynnissä olevasta tieturvaloukkauksesta tai tietoverkkorikoksesta. Tästä johtuen CERT-FI:n saamien tietojen nopea ja tarkoituksenmukainen edelleen jakeleminen on ensiarvoisen tärkeää tekojen haitallisten seuraamusten minimoimiseksi. 16 Henkilötietolaki Henkilötietolaki Rikoslaki 38: SVTsL 31.1,2 12

15 CERT-FI:n tiedonsaantikanavat Sähköisen viestinnän tietosuojalain nojalla tehdyt ilmoitukset Teleyritykset ovat velvollisia ilmoittamaan Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen 20. CERT-FI kannustaa myös muita kuin lakisääteisen ilmoitusvelvollisuuden piiriin kuuluvia tietoturvaloukkauksen uhreiksi joutuneita toimijoita ilmoittamaan asiasta CERT-FI:lle. Vapaaehtoisesti ilmoituksen tekeviä toimijoita voivat olla esimerkiksi viestintäverkkoja toiminnassaan hyödyntävät yritykset ja erilaisten internetpalveluiden ylläpitäjät, jotka haluavat esimerkiksi apua tietoturvaloukkauksesta toipumiseen. Ilmoitukset sisältävät tyypillisesti muun muassa seuraavia tietoja: Mikä taho loukkauksen tai uhan on aiheuttanut Miten tietoturvaloukkaus on aiheutettu Kuinka laajat tietoturvaloukkauksen vaikutukset ovat Toimenpiteet, joihin teleyritys on ryhtynyt tai aikoo ryhtyä vastaavien loukkausten, uhkien tai niiden vahingollisten seurausten ehkäisemiseksi. CERT-FI käsittelee vastaanottamansa ilmoitukset aina luottamuksellisesti. Kaikki CERT-FI:lle luovutetut tiedot ovat julkisuuslain nojalla salassa pidettäviä 21. Tietoturvaloukkauksen käytännön selvittämismahdollisuuksien turvaamiseksi on kuitenkin usein perusteltua, että CERT-FI:lle annetaan oikeus luovuttaa tietoja edelleen luotetuille yhteistyökumppaneilleen. Viestintäviraston vastaanottamista ilmoituksista voidaan luovuttaa edelleen yleisluontoisia muiden tahojen toimintaa edistäviä tietoja, joista ilmoituksen tekijää ei voida tunnistaa. Lisäksi CERT-FI kehottaa tietoverkkorikosten uhreja rutiininomaisesti tekemään asiasta rikosilmoituksen poliisille. 20 SVTsL Julkisuuslaki 24 :n 7 ja 20 kohdat 13

16 3.4.2 Sähköisen viestinnän tietosuojalain nojalla annettavat tiedot Sähköisen viestinnän tietosuojalain nojalla Viestintävirastolla on oikeus saada tehtäviensä hoitamiseksi välttämättömät tiedot muun muassa teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta sekä tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta. 22 Tiedonsaantioikeus ei koske luottamuksellisia viestejä, tunnistamis- tai paikkatietoja. Lisäksi Viestintävirastolle on säädetty oikeus saada tarpeelliset tunnistamis- ja paikkatiedot verkko-, viestintä- ja lisäarvopalvelun vika- tai häiriötilanteiden tai laskutukseen liittyvien epäselvyyksien selvittämiseksi. Viestintävirastolla on oikeus saada tehtävien hoitamiseksi tunnistamistiedot ja laissa tarkemmin yksilöidyt viestit, jos tietojen saaminen on tarpeen tunnistamistietojen käsittelyn valvomiseksi tai merkittävien tietoturvaloukkausten ja - uhkien selvittämiseksi. Tietojen saaminen edellyttää kuitenkin, että Viestintäviraston arvion mukaan on syytä epäillä, että jokin laissa yksilöidyistä rikosten tunnusmerkistöistä täyttyy. 23 Säännöksen mukaan tietojen saantiin oikeuttavia rikoksia ovat sähköisen viestinnän tietosuojarikkomus 24, luvaton käyttö 25, vaaran aiheuttaminen tietojenkäsittelylle 26, vahingonteko 27, salassapitorikos 28, viestintäsalaisuuden loukkaus 29, tietoliikenteen häirintä 30, tietomurto 31, suojauksen purkujärjestelmärikos 32 sekä henkilörekisteririkos 33. Viestintävirastolla on oikeus käsitellä saamiaan tietoja ainoastaan sähköisen viestinnän tietosuojalaissa säädettyjen tehtäviensä hoitamiseksi 34. Viestintävirasto ei luovuta saatuja tietoja edelleen ilman osapuolen suostumusta laissa nimenomaisesti yksilöityjä tilanteita lukuun ottamatta Yhteistyöverkosto Merkittävä osa CERT-FI:n käytettävissä olevista tiedoista saadaan vastavuoroisuuden periaatteella sen kansallisen ja kansainvälisen yhteistyöverkoston kautta. Tiedot voivat sisältää käytännössä kaikkia tietoverkkorikosten yhteydessä kertyviä tietoaineistoja. Kansainvälinen tiedonvaihto ei pääsääntöisesti perustu sopimuksiin, vaan se tapahtuu toimijoiden keskinäisen yhteistyön ja luottamuksen perusteella. Tiedonvaihto perustuu jossain määrin myös CERT-FI:n virkamiesten kansainvälisiin toimijoihin muodostamiin henkilökohtaisiin suhteisiin. Kansainvälinen yhteistyöverkosto muodostuu kattavasta joukosta erilaisia tietoturvatoimijoita. CERT-FI vastaanottaa kansainvälisten tiedonsaantikanaviensa kautta muun muassa seuraavia tietoja: 22 SVTsL SVTsL SVTsL Rikoslaki 28:7 26 Rikoslaki 34:9 27 Rikoslaki 35:1,2 28 Rikoslaki 38:1 29 Rikoslaki 38:3 30 Rikoslaki 38:5 31 Rikoslaki 38:8 32 Rikoslaki 38:8 a 33 Rikoslaki 38:9 34 SVTsL

17 Suomalaisissa verkoissa olevat saastuneet päätelaitteet Haittaohjelmien avulla kerätyt tiedot o Käyttäjätunnus o Salasana o Käytetty palvelu Haittaohjelmien käyttämien lokipalvelinten sijainti Käynnissä olevat tietoturvaloukkaukset tai niiden uhat Tietoturvaloukkausten trendit Kansainvälisten kanavien kautta saadut tiedot voivat olla jo varsin pitkälle muokattuja ainoastaan suomalaisia verkkoja ja käyttäjiä koskevia yksityiskohtaisia tietoja tai ne voivat olla myös tarkempaa analysointia vaativaa raakadataa. Kansallinen yhteistyöverkosto muodostuu pääasiassa muista suomalaisista tietoturvatoimijoista ja teleyrityksistä. Kansallisten kanavien kautta CERT-FI saa muun muassa seuraavia tietoja: Tietoturvaloukkausten trendit erityisesti Suomessa Suomalaisissa verkoissa tapahtuneet tietoturvaloukkaukset ja niiden uhat Yhteistyöverkostolta saatujen tietojen edelleen luovuttamisedellytykset riippuvat tietojen luonteesta. Tiedot ovat tyypillisesti salassa pidettäviä sähköisen viestinnän tietosuojalain tai julkisuuslain nojalla. Lähtökohtana voidaan pitää sitä, että tällaiset tiedot voidaan luovuttaa edelleen ainoastaan tiedot luovuttaneen tahon antamalla suostumuksella. Osa tiedoista voidaan kuitenkin luovuttaa myös salassapito-olettaman sallimissa rajoissa ja osa voi olla jo lähtökohtaisesti julkisia Oma tiedonhankinta CERT-FI:n omaa tiedonhankintaa tapahtuu muun muassa julkisia lähteitä seuraamalla ja haittaohjelmia analysoimalla. Julkisista lähteistä hankitut tiedot eivät pääsääntöisesti ole salassa pidettäviä. Julkisuusaste määräytyy kuitenkin viime kädessä tietojen luonteen perusteella. Siten osa tiedoista, kuten haittaohjelman käyttämältä lokipalvelimelta haettavat tiedot, voivat olla salassa pidettävä esimerkiksi julkisuuslain perusteella. 3.5 CERT-FI:n tietojen jakeleminen Jakelukanavat CERT-FI:n lakisääteisenä tehtävänä on selvittää verkko-, viestintä- ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista 35. CERT-FI pyrkii jakamaan lainsäädännön sallimissa rajoissa käytettävissään olevan tiedon sitä tarvitseville toimijoille. Pakottava lainsäädäntö asettaa kuitenkin reunaehtoja CERT-FI:n käytettävissä olevien tietojen luovuttamiselle. 35 SVTsL 31.1,3-4 15

18 Tietojen luovuttamismahdollisuudet riippuvat muun muassa tietojen luonteesta sekä tiedot vastaanottavan tahon laissa säädetyistä erityisistä tiedonsaantioikeuksista ja lakisääteisistä tehtävistä. CERT-FI:n käytettävissä olevien tietojen käsittelyä ja luovuttamista säännellään sähköisen viestinnän tietosuojalaissa ja julkisuuslaissa. Sähköisen viestinnän tietosuojalaki sisältää CERT-FI:n saamia viestejä ja tunnistamistietoja koskevan nimenomaisen salassapitosäännöksen 36. Lisäksi laissa annetaan CERT- FI:lle oikeus luovuttaa tietoja muun muassa tietoturvaloukkausten kohteiksi joutuneille teleyrityksille ja muussa valtiossa toimiville viranomaisille tai muille tahoille, joiden tehtävänä on ennalta ehkäistä tai selvittää viestintäverkkoihin ja -palveluihin kohdistuvia tietoturvaloukkauksia. Muilta osin CERT-FI:n tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa 37. CERT-FI:n käytössä olevat jakelukanavat kuvataan alla olevassa kuvassa Käytännön toiminta CERT-FI:n tiedonjakelukanavat CERT-FI:n käytännön toimenpiteiden eteneminen sen saatua tiedon tietovarkaudesta on esitetty seuraavassa taulukossa. 36 SVTsL SVTsL

19 CERT-FI:n toimenpiteiden vaiheittainen eteneminen tietoverkkorikoksen jälkeen Tieto varastetuista tiedoista CERT- FI:lle Uhrien tiedottaminen Yhteistyökumppaneiden kontaktointi Tiedottaminen Jälkitoimet CERT-FI saa tiedot käyttöönsä (PoC tai oma tiedon hankinta) CERT-FI toimittaa tiedon varastetuista tiedoista tunnistamilleen palveluntarjoajille ja uhreille CERT-FI tiedottaa hvk-toimijoita ja viranomaisia tapahtuneesta jakaen tarvittavat tiedot edelleen CERT-FI tiedottaa asiasta yleisesti Tuki uhreille, palveluntarjoajille, viranomaisille ja muille tarvitsijoille CERT-FI:n toimenpiteiden eteneminen 1. Ensimmäisessä vaiheessa CERT-FI saa joko suoraan käyttöönsä varastetut tiedot tai vaihtoehtoisesti tiedon siitä, että tiedot ovat saatavilla jostain. Jos CERT-FI saa ainoastaan ilmoituksen tietojen saatavilla olosta, pyrkii se hankkimaan ne lainsäädännön sallimissa rajoissa käyttöönsä. 2. Toisessa vaiheessa CERT-FI pyrkii selvittämään tietojen varastamiseen liittyvät tietoturvaloukkaukset ottamalla yhteyttä niihin palveluntarjoajiin, joiden palvelua varastetut tiedot koskevat. Yhteydenoton sisältö riippuu tavasta, jolla käyttäjien tiedot on varastettu. Tyypillisessä yhteydenotossaan CERT-FI pyytää palveluntarjoajia tiedottamaan tietovarkauden kohteeksi joutuneita käyttäjiään tietovarkaudesta. Samalla palveluntarjoajia pyydetään tiedottamaan käyttäjiä näiden käyttämässä päätelaitteessa mahdollisesti olevasta haittaohjelmasta näin vähentäen saastuneiden päätelaitteiden suomalaisille verkoille muodostamaa tietoturvauhkaa. 3. Kolmannessa vaiheessa CERT-FI toimittaa tiedon tapahtuneesta sellaisille viranomaisille, joiden toimintaan kyseinen tietoverkkorikos liittyy. Tieto käyttäjien tietoja varastavien haittaohjelmista toimitetaan ainakin merkittävissä tapauksissa poliisille. Samalla poliisille pyritään luovuttamaan mahdollisuuksien mukaan näiden rikoksen selvittämiseksi tarvitsemia tietoja. Lisäksi CERT-FI tiedottaa asiasta niitä huoltovarmuuskriittisiä toimijoita, joiden toimintaa tapahtunut rikos sivuaa. 4. Neljännessä vaiheessa CERT-FI tiedottaa tapahtuneesta harkintansa mukaan yleisemmin. Harkintaan vaikuttavat muun muassa tietoturvaloukkauksen vaikuttavuus ja se, onko loukkauksen ratkaisemiseksi olemassa tiedottamishetkellä tarkoituksenmukaisia välineitä. 5. Viidennessä vaiheessa CERT-FI tukee tietoturvaloukkauksen uhreja ja muita viranomaisia näiden loukkaukseen liittyvissä toimenpiteissä. 3.6 Esimerkkitilanteita CERT-FI:n toimintaa tietovarkaustilanteissa kuvataan kolmen käytännön esimerkkitapauksen avulla. 17

20 3.6.1 Tietojen varastaminen vakoiluohjelman avulla Tapauksen kuvaus Käyttäjän tietokoneelle asentunut vakoiluohjelma on yksi yleisimmistä tavoista kerätä luottamuksellisia tietoja käyttäjästä. Vakoiluohjelmalla tarkoitetaan tietokoneelle käyttäjän tietämättä asentunutta haittaohjelmaa. CERT-FI on julkaissut Tietoturva nyt! -artikkelin erilaisista tietovarkaista ja sovellusistuntojen kaappaajista 38. Tyypillisesti vakoiluohjelma kerää käyttäjän tietokoneelta haittaohjelman ylläpitäjän määrittelemät tiedot. Tiedot voidaan kerätä esimerkiksi järjestelmään tallennetuista tai siinä käsiteltävistä tiedoista. Lisäksi tietoja voidaan kerätä järjestelmästä eri palveluihin lähtevästä tai niistä saapuvasta viestiliikenteestä. Haittaohjelmaa voidaan kuitenkin käyttää myös esimerkiksi käyttäjälle näytettävien sisältöjen manipuloimiseen tai istuntojen kaappaamiseen. Tietojen varastaminen haittaohjelman avulla Viestiliikenteestä kerättäviä tietoja ei tyypillisesti kerätä viestintäverkosta, vaan ne kerätään käyttäjän tietokoneen käsitellessä niitä. Esimerkiksi BZubhaittaohjelman eri variantit kaappaavat kaikki saastuneen tietojärjestelmän lähettämät http post -viestit, jotka sisältävät usein luottamuksellisia tietoja käyttäjästä. Vakoiluohjelma ei aina varasta pelkkiä tekstitiedostoja, vaan se voi esimerkiksi varastaa näytöllä käsiteltäviä tietoja kuvaruutukaappausten avulla. Varastamansa tiedot vakoiluohjelma lähettää ohjelman ylläpitäjän määrittelemälle lokipalvelimelle, josta tietojen varastaja voi ne hakea