Abuse-seminaari 2008 Viestintävirasto 2008-10-23 Erka Koivunen Yksikön päällikkö CERT-FI
Seminaarin työjärjestys 2
Agenda 9.30 Kahvi ja rekisteröityminen 10.00 Tervetuliaissanat ja seminaarin työjärjestyksen esittely 10.10 Internet Abuse -toiminnot teleyrityksessä Erka Koivunen, Viestintävirasto / CERT-FI 10.30 Mitä abuse-toiminta on? Saku Tolvanen, Elisa Oyj & Arttu Lehmuskallio, TeliaSonera Finland Oyj 11.00 Kahvi 11.15 CERT-FI Autoreporter Thomas Grenman, Viestintävirasto / CERT-FI 11.30 The Operational Methodology and Process of Malware Collection and Analysis Richard freed0" Perlotto, The Shadowserver Foundation 12.15 Lounas 13.00 Case Studies, freed0 13.45 Bulkaliser et al: how to handle extremely large scale abuse cases in discreet and efficient manner Matthew McGlashan, AusCERT 14.30 Kahvi 14.45 Real life experiences - for good and bad, Matthew McGlashan 15.30 Yhteydenpitomenetelmät toimijoiden kesken Juhani Eronen, Viestintävirasto / CERT-FI 15.45 Yhteenveto ja tilaisuuden päättäminen, Erka Koivunen 16.00 Cocktailit 3
Abuse-seminaari 24.10.2007 80 60 % 40 Abuse-seminaari 12.9.2006 20 80 0 erittäin hyvin hyvin melko hyvin tyydyttävästi huonosti 60 Seminaarin onnistuminen Kyky vastata odotuksiin % 40 20 0 erittäin hyvin hyvin melko hyvin tyydyttävästi Seminaarin onnistuminen Kyky vastata odotuksiin 4
Abuse-toiminnot teleyrityksessä 5
Usein esitettyjä kysymyksiä Onko abuse-toiminto pakollinen teleyritykselle? Saavatko abuse-tutkijat käsitellä tunnistamistietoja tilaajan henkilöllisyyden selvittämiseksi? Mikä on abuse-toiminto? 6
Mikä on Abuse-toiminto? Viestintäviraston tulkinta Internet-yhteyspalveluja sekä niiden käyttäjiä koskevien tietoturvaloukkausten ja tietoturvaa vaarantavien tapahtumien tutkinnasta vastaava toiminto. Teleyrityksen tulkinta Asiakaspalvelupiste, johon internetin käyttäjät voivat olla yhteydessä saattaakseen palveluntarjoajan tietoon tietoturvaloukkaukset ja sellainen häiritseväksi koettu toiminta, joiden aiheuttajina tai kohteina ovat kyseisen palveluntarjoajan verkoissa olevat käyttäjät. Yhteisötilaajan tulkinta?? 7
Yleistetty Abuse-prosessi 1. Vastaanotetaan ilmoitus 2. Arvioidaan ilmoituksen todenperäisyys 3. Päätetään, miten ilmoitukseen reagoidaan 4. Tehdään tarvittavat selvitykset 5. Toimenpiteet 8
Tehdään selvityksiä..? Jokin aiheuttaa ongelmia viestintäverkossa tai viestintäpalveluissa jokin == verkko, tietojärjestelmä, käyttäjä... ongelma == tietoturvaloukkaus, sellaisen uhka, häiritsevä käytös... Jotta ongelman saa poistettua, sen aiheuttaja täytyy ensin selvittää Selvitystyössä saatetaan joutua käsittelemään salassa pidettäviä tietoja 9
Esimerkkejä ongelman aiheuttajan selvittämisestä IP-osoitteen haltijan selvittäminen dynaaminen osoite tunnistamistietojen käsittely staattinen osoite asiakasrekisterin käsittely (WHOIS) Sähköpostiosoitteen tai nimimerkin haltijan selvittäminen asiakasrekisterin (?) käsittely Viestin todellisen lähettäjän selvittäminen IP-osoitteen haltijan selvittäminen 10
Saavatko abuse- tutkijat käsitellä tunnistamistietoja tilaajan henkilöllisyyden llisyyden selvittämiseksi? miseksi? 11
Tunnistamistietojen käsittelystä Tunnistamistietojen käsittelylle täytyy olla laillinen tarkoitus Tunnistamistietoja käsittelevän henkilön täytyy toimia oikeassa roolissa 12
Teleyrityksen velvoitteet Viestintämarkkinalain 131 Sähköisen viestinnän tietosuojalain 19 ja 20 Viestintäviraston määräykset 11 ja 13 13
Eli.. saako? Abuse-tutkijana toimiminen ei sinällään anna erityisoikeutta tunnistamistietojen käsittelyyn Sivullinen saa käsitellä tunnistamistietoja vain laissa määriteltyjen tapausten ratkaisemiseksi tietoturvaloukkauksen on oltava riittävän vakava Viestinnän osapuolen luvalla saa käsitellä tämän tunnistamistietoja varmista, että lupa on myönnetty 14
Onko Abuse-toiminto pakollinen teleyrityksessä? 15
Lyhyt vastaus: on Määräykset 11 A/2008 ja 13/2005 SMS 11 B SMS 13 16
Taksonomiasta 17
Huomioon otettavaa Tapauksen tyyppi puuttumisperuste prioriteetti Asianosaisten rooli viestinnän osapuoli / sivullinen (välittäjä?) liikenteen lähde / kohde Tilaajan selvittäminen omasta verkosta: tunnistamistiedot / asiakastiedot / anonyymi vieraasta verkosta: lähimmän kontaktipisteen selvittäminen Selvitykset tekevä taho teleyritys / tietoyhteiskunnan palvelu / yhteisötilaaja / tilaaja viranomainen 18
Puhelin: +358 9 6966 510 Sähköposti: www: cert@ficora.fi www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848 19