Abuse-seminaari
Abuse-seminaari 12.9.2006 9.30-10.00 Kahvi 10.00-10.15 Tervetuliaissanat ja seminaarin työjärjestyksen esittely Erka Koivunen, Viestintävirasto 10.15-11.00 Internet Abuse -toiminnot teleyrityksessä Erka Koivunen, Viestintävirasto 11.00-11.45 CERT-FI Abuse AutoReporter -työkalun esittely Kauto Huopio, Viestintävirasto 11.45-12.30 Lounas 12.30-13.30 Suuren asiakasmäärän hallinta ja abuse-tapausten käsittelyn automatisointi Arttu Lehmuskallio, TeliaSonera Finland ja Saku Tolvanen, Elisa Oyj 13.40-14.20 Kokemuksia verkonvalvontatyökalujen käytöstä tietoturvaloukkausten havaitsemisessa ja käsittelyn automatisoinnissa Ari Wikström, PHNet 14.20-14.40 Kahvi 14.40-14.50 E-CoAT yhteistyö Harri Sylvander, CSC 14.50-15.30 Kansallinen sensoriverkko Toni Koivunen, Viestintävirasto 15.30-15.45 Yhteenveto ja tilaisuuden päättäminen Erka Koivunen, Viestintävirasto 12.9.2006 2
Internet Abuse -toiminnot teleyrityksessä Erka Koivunen Yksikön päällikkö CERT-FI Viestintäviraston Abuse-seminaari 2006-09-12
Usein esitettyjä kysymyksiä Onko abuse-toiminto pakollinen teleyritykselle? Saavatko abuse-tutkijat käsitellä tunnistamistietoja tilaajan henkilöllisyyden selvittämiseksi? Mikä on abuse-toiminto? 12.9.2006 4
Mikä on Abuse-toiminto? Viestintäviraston tulkinta Internet-yhteyspalveluja sekä niiden käyttäjiä koskevien tietoturvaloukkausten ja tietoturvaa vaarantavien tapahtumien tutkinnasta vastaava toiminto. Teleyrityksen tulkinta Asiakaspalvelupiste, johon internetin käyttäjät voivat olla yhteydessä saattaakseen palveluntarjoajan tietoon tietoturvaloukkaukset ja sellainen häiritseväksi koettu toiminta, joiden aiheuttajina kohteina ovat kyseisen palveluntarjoajan verkoissa olevat käyttäjät. Yhteisötilaajan tulkinta?? 12.9.2006 5
Yleistetty Abuse-prosessi 1. Vastaanotetaan ilmoitus 2. Arvioidaan ilmoituksen todenperäisyys 3. Päätetään, miten ilmoitukseen reagoidaan 4. Tehdään tarvittavat selvitykset 5. Toimenpiteet 12.9.2006 6
Tehdään selvityksiä..? Jokin aiheuttaa ongelmia viestintäverkossa viestintäpalveluissa jokin == verkko, tietojärjestelmä, käyttäjä... ongelma == tietoturvaloukkaus, sellaisen uhka, häiritsevä käytös... Jotta ongelman saa poistettua, sen aiheuttaja täytyy ensin selvittää Selvitystyössä saatetaan joutua käsittelemään salassa pidettäviä tietoja 12.9.2006 7
Esimerkkejä ongelman aiheuttajan selvittämisestä IP-osoitteen haltijan selvittäminen dynaaminen osoite tunnistamistietojen käsittely staattinen osoite asiakasrekisterin käsittely (WHOIS) Sähköpostiosoitteen nimimerkin haltijan selvittäminen asiakasrekisterin (?) käsittely Viestin todellisen lähettäjän selvittäminen IP-osoitteen haltijan selvittäminen 12.9.2006 8
Saavatko abuse-tutkijat käsitellä tunnistamistietoja tilaajan henkilöllisyyden selvittämiseksi?
Tunnistamistietojen käsittelystä Tunnistamistietojen käsittelylle täytyy olla laillinen tarkoitus palvelun palvelun toteuttaminen, toteuttaminen, käyttäminen käyttäminen ja ja tietoturvasta tietoturvasta huolehtiminen huolehtiminen laskutus laskutus markkinointi markkinointi tekninen tekninen kehittäminen kehittäminen väärinkäytöstapaukset väärinkäytöstapaukset tekninen tekninen vika vika virhe virhe Tunnistamistietoja käsittelevän henkilön täytyy toimia oikeassa roolissa viestinnän viestinnän osapuoli osapuoli tämän tämän lukuun lukuun toimiva toimiva viestinnän viestinnän sivullinen sivullinen viestin viestin välittäjä välittäjä 12.9.2006 10
Teleyrityksen velvoitteet Viestintämarkkinalain 131 Jos Jos viestintäverkko viestintäverkko laite laite aiheuttaa aiheuttaa vaaraa vaaraa häiriötä häiriötä viestintäverkolle, viestintäverkolle, laitteelle, laitteelle, viestintäverkon viestintäverkon käyttäjälle käyttäjälle muulle muulle henkilölle, henkilölle, teleyrityksen teleyrityksen muun muun viestintäverkon viestintäverkon laitteen laitteen haltijan haltijan on on välittömästi välittömästi ryhdyttävä ryhdyttävä toimenpiteisiin toimenpiteisiin tilanteen tilanteen korjaamiseksi korjaamiseksi ja ja tarvittaessa tarvittaessa irrotettava irrotettava viestintäverkko viestintäverkko laite laite yleisestä yleisestä viestintäverkosta. viestintäverkosta. Sähköisen viestinnän tietosuojalain 19 ja 20 Teleyrityksen Teleyrityksen ja ja lisäarvopalvelun lisäarvopalvelun tarjoajan tarjoajan on on huolehdittava huolehdittava palvelujensa palvelujensa tietoturvasta. tietoturvasta. Viestintäviraston määräykset 11 ja 13 12.9.2006 11
Eli.. saako? Abuse-tutkijana toimiminen ei sinällään anna erityisoikeutta tunnistamistietojen käsittelyyn Sivullinen saa käsitellä tunnistamistietoja vain laissa määriteltyjen tapausten ratkaisemiseksi tietoturvaloukkauksen on oltava riittävän vakava Viestinnän osapuolen luvalla saa käsitellä tämän tunnistamistietoja varmista, että lupa on myönnetty 12.9.2006 12
Onko Abuse-toiminto pakollinen teleyrityksessä?
Lyhyt vastaus: on RFC 2141 (määräykset 11/2004 ja 13/2005) MAILBOX AREA USAGE MAILBOX AREA USAGE ----------- ---------------- --------------------------- ----------- ---------------- --------------------------- ABUSE Customer Relations Inappropriate public behaviour ABUSE Customer Relations Inappropriate public behaviour SMS 11 "Verkkotunnuskohsilla yhteystiedoilla pyritään huolehtimaan siitä, että teleyrityksellä on käytössä yhteydenottopiste mahdollisten toiminnan käytön häiriöiden "Verkkotunnuskohsilla yhteystiedoilla pyritään huolehtimaan siitä, että teleyrityksellä on käytössä yhteydenottopiste mahdollisten toiminnan käytön häiriöiden ilmoittamiseksi teleyritykselle, riippumatta ilmoittajan sijainnista. ilmoittamiseksi teleyritykselle, riippumatta ilmoittajan sijainnista. Erityisesti tietoturvallisuuden kannalta merkityksellinen yhteydenottopiste on operaattorin abuse-sähköpostiosoite, joka on tarkoitettu tietoturvallisuuteen liittyvien Erityisesti tietoturvallisuuden kannalta merkityksellinen yhteydenottopiste on operaattorin abuse-sähköpostiosoite, joka on tarkoitettu tietoturvallisuuteen liittyvien vika- ja häiriötilanteiden ilmoittamiseksi operaattorille, esimerkiksi tilanteissa joissa operaattorin viestintäverkosta ulos suuntautunut liikenne on aiheuttanut kyseisen vika- ja häiriötilanteiden ilmoittamiseksi operaattorille, esimerkiksi tilanteissa joissa operaattorin viestintäverkosta ulos suuntautunut liikenne on aiheuttanut kyseisen tilanteen." tilanteen." SMS 13 Teleyrityksen tulee määritellä viestintäverkon ja/ palvelujen tietoturvasta vastaava ryhmä, jolle voidaan ohjata [..] asiakkaiden ja ulkopuolisten tahojen Teleyrityksen tulee määritellä viestintäverkon ja/ palvelujen tietoturvasta vastaava ryhmä, jolle voidaan ohjata [..] asiakkaiden ja ulkopuolisten tahojen yhteydenotot tietoturvaa vaarantavista tapahtumista, viestintäverkon tapahtumien seuranta sekä tapahtumien selvitys. yhteydenotot tietoturvaa vaarantavista tapahtumista, viestintäverkon tapahtumien seuranta sekä tapahtumien selvitys. Teleyritys voi saada tiedon viestintäpalvelun tietoturvaa käytettävyyttä vaarantavaa liikennettä lähettävästä asiakasliittymästä esimerkiksi viestintäverkkonsa Teleyritys voi saada tiedon viestintäpalvelun tietoturvaa käytettävyyttä vaarantavaa liikennettä lähettävästä asiakasliittymästä esimerkiksi viestintäverkkonsa liikennemääriä ja sen poikkeamia seuraavan automaattisen hallintajärjestelmän, teleyrityksen viestintäpalvelun häiriötilanteen, ulkopuolisen tahon ilmoituksen liikennemääriä ja sen poikkeamia seuraavan automaattisen hallintajärjestelmän, teleyrityksen viestintäpalvelun häiriötilanteen, ulkopuolisen tahon ilmoituksen asiakasvalituksen kautta. Teleyrityksen on tarkastettava ilmoitusten paikkansapitävyys tarkoituksenmukaisella tavalla." asiakasvalituksen kautta. Teleyrityksen on tarkastettava ilmoitusten paikkansapitävyys tarkoituksenmukaisella tavalla." 12.9.2006 14
Taksonomiasta
Huomioon otettavaa Tapauksen tyyppi Asianosaisten rooli Tilaajan selvittäminen Selvitykset tekevä taho 12.9.2006 16
Huomioon otettavaa Tapauksen tyyppi puuttumisperuste prioriteetti Asianosaisten rooli Tilaajan selvittäminen Selvitykset tekevä taho 12.9.2006 17
Huomioon otettavaa Tapauksen tyyppi Asianosaisten rooli viestinnän osapuoli / sivullinen (välittäjä?) liikenteen lähde / kohde Tilaajan selvittäminen Selvitykset tekevä taho 12.9.2006 18
Huomioon otettavaa Tapauksen tyyppi Asianosaisten rooli Tilaajan selvittäminen omasta verkosta: tunnistamistiedot / asiakastiedot / anonyymi vieraasta verkosta: lähimmän kontaktipisteen selvittäminen Selvitykset tekevä taho 12.9.2006 19
Huomioon otettavaa Tapauksen tyyppi Asianosaisten rooli Tilaajan selvittäminen Selvitykset tekevä taho teleyritys / tietoyhteiskunnan palvelu / yhteisötilaaja / tilaaja viranomainen 12.9.2006 20
Esimerkki 12.9.2006 21
Yhteystiedot Puhelin: 09-6966510 Päivystys-GSM: 044-0120123 (ei julkinen) Sähköposti: cert@ficora.fi WWW: www.cert.fi CERT-FI:n julkaisemat varoitukset voi lukea: sähköpostitse hälytyspalveluna lyhytsanomina hälytyspalveluna (maksullinen) CERT-FI:n WWW-sivuilta RSS-uutispalveluna Teksti-tv:n sivulta 848 12.9.2006 22