Viestintäviraston tilannekuvajärjestelmät Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto
Tilannekuva?! Mikä/mitä on tilannekuva? Kuva viestintäverkkojen tietoturvallisuustilanteesta, niitä uhkaavista ja niiden tietoturvallisuuteen mahdollisesti vaikuttavista riskeistä, tapahtumista sekä ilmiöistä Tilannekuva muodostuu toinen toistaan tukevista tietomoduuleista Miksi? Tilannekuvan tulisi vastata ja lähteä eri tahojen omista tarpeista, jotta se mahdollistaisi tehokkaan proaktiivisen tietoturvallisuustyön 9.5.2006 2
CERT-FI - tilannekuvaa jo vuodesta 2002 Vuosi 2002 CERT-FI varoitukset ja ohjeet Vuosi 2003 Operatiivisten postituslistojen hyväksikäyttö, YLE teksti-tv, CERT-FI varallaolo 24/7 Vuosi 2004 Tietoturva nyt, CERT-FI tilannekatsaukset Q1-Q3/a, CERT-FI tilastot, monipuolistuneet viestintäkanavat (mm. RSS-feed ja VIRVE), tilannekuvatietojärjestelmien kehitystyö Vuosi 2005 SMS-varoitukset, UTVA-tilannekuva, haitallisen liikenteen monitorointi, vika ja häiriötilanteet 9.5.2006 3
Tilannekatsaukset 9.5.2006 4
Tietoturva nyt 9.5.2006 5
9.5.2006 6
Poikkeamien ratkaisutasot 9.5.2006 7
Tilannekuvan muodostus 9.5.2006 8
Asiakasryhmät Tilannekuva tarpeet eroavat eri käyttäjäryhmien välillä Osalle ryhmistä toimitetaan esim. tarkempaa tietoa kuin toisille. Tiedon jakamisen nopeus vaihtelee käyttäjäryhmittäin. 9.5.2006 9
Päivystys ja hälytysjärjestelyt LVM:n hallinnonalalla CERT-FI:n toiminta
Päivystävä piste Viestintävirasto CERT-FI -yksikkö Sijainti Itämerenkatu 3 A, 00181 Helsinki Toiminta-alue päivystyksessä Viestintäverkkojen turvallisuuteen ja toimintavarmuuteen liittyvät tilanteet Tiedonsaanti päivystyksessä Informaatiota tuottavat teleyritykset sekä muut yhteistoimintatahot 9.5.2006 11
Tuotettavat tiedot Viestintävirasto CERT-FI -yksikkö Viestintäverkkoihin ja -palveluihin kohdistuvat laajavaikutteiset vika- ja häiriötilanteet Viestintäverkkoihin ja -palveluihin kohdistuvat vakavat hyökkäykset sekä niiden yritykset Yhteiskunnan kriittisten toimintojen kannalta tärkeisiin viestintäverkkoihin ja - palveluihin kohdistuvat tietoturvauhat Internetin infrastruktuuriin, kuten nimipalveluihin ja runkoverkkoon kohdistuvat merkittävät tietoturvauhat Automaattiset ja laajalle levinneet tietoturvahyökkäykset sekä niiden yritykset Laajamittaiset yksityisten henkilöiden, yritysten, organisaatioiden tai hallinnon tietojärjestelmiin kohdistuvat tietoturvaloukkaukset tai niiden yritykset Hätä- ja turvallisuusliikenteen tai viranomaisverkon vakavat radiohäiriöt 9.5.2006 12
Tuotettavat hälytykset Viestintävirasto CERT-FI -yksikkö Hälytys annetaan edellä luetelluista tapauksista yhteiskunnan turvallisuuden ollessa uhattuna. Hälytys suoritetaan kun uhka voi vaarantaa ihmishenkiä, uhka voi toteutuessaan vaikeuttaa vakavasti kriittisen infrastruktuurin toimintaa tai uhka on yhteiskunnallisesti laajavaikutteinen. 9.5.2006 13
CERT-FI:n toiminta Rajauksia CERT-FI ei vastaa koko Viestintäviraston toimialueesta kyllä: viestintäverkkojen tietoturvallisuus ja toimivuus varallaoloaikana myös laajavaikutteiset viat ja häiriöt ei: numerointi, verkkotunnukset, teletoiminnan tekninen ohjaus, radiotaajuudet, tietosuoja-asiat, markkinavalvonta, tv- ja radiotoiminta Lakiin kirjattu toimintamandaatti rajoittuu viestintäverkkojen ja - palveluiden tietoturvaan Mahdollisuus antaa velvoittavia määräyksiä vain teleyrityksille Salassapitosäädökset voivat joissakin tapauksissa estää tietojen luovuttamisen 9.5.2006 14
CERT-FI:n toiminta Yhteydenottotavat Taatut yhteydenottokanavat: virka-aikana: sähköposti (3 kpl), päivystyspuhelimet (2 kpl), Virvepuheryhmä muulloin: sähköposti (2 kpl), päivystäjän gsm (ei-julkinen numero!), Virve Varoitusten ja ilmoitusten jakelukanavat sekä koordinointi: 1-suuntaiset julkiset: WWW-sivut ja RSS, sähköpostijakelu, SMS, Ylen tekstitv 2-suuntaiset luottamukselliset: sähköpostijakelut, puhelin, Virve (ryhmät: ViVin sis., KRP, SUPO, VN, mutta EI teleyritykset), puhelinneuvottelusilta ja videoneuvottelulaitteisto (EI siltaa) Muita seurattavia tietolähteitä: kymmeniä julkisia ja ei-julkisia postituslistoja, blogeja ja www-sivuja useita luottamuksellisia postituslistoja ja ekstranet-sivuja usenet-uutisryhmiä, keskustelupalstoja ja irc-kanavia toimivat kontaktit lähes jokaiselle aikavyöhykkeelle 9.5.2006 15
CERT-FI:n toiminta Esimerkkejä vuoden 2005 tapahtumista Elokuu: Windows-käyttöjärjestelmistä löytynyttä verkkopalvelun (upnp) haavoittuvuutta hyödynnetään poikkeuksellisen laajasti Suomessa useita tuhansia koti- ja yritystietokoneita saastuu haittaohjelmilla, maailmalla miljoonia; bot-haittaohjelmien kirjoittajat ryhmittyvät kilpaileviin leireihin; haavoittuvuutta hyödynnetään edelleen CERT-FI:n rooli: julkiset varoitukset ja mediapalvelu, tietoturvailmoitusten vastaanotto, tiedon jako ja toimenpiteidn koordinointi, tilanneseuranta erit. suomalaisten verkkojen osalta, tilanneraportointi Joulukuu: Jokaisessa maailmassa käytössä olevassa Windows-tietokoneessa on vakava tietoturva-aukko ( Tapaus WMF ) Korjausta ei ollut aluksi saatavilla eikä sen julkaisusta ollut tietoa moneen päivään; uhka ei toteutunut läheskään koko laajuudessaan CERT-FI:n rooli: näkyvät varoitukset, tiivis yhteydenpito ohjelmistovalmistajaan (erit. tieto hyökkäystoiminnan laajuudesta ja luonteesta) luultavasti aikaisti päivityksen julkaisua, yhteistyö suomalaisten teleyritysten ja it-talojen kanssa, haittaohjelmasivustojen alasajon koordinointi, VNTHY:n informointi Elo- ja lokakuu: Laajoja tietoliikennekatkoja Lapin alueella vaikutus tuhansiin lankapuhelimiin, lähes koko matkaviestinverkkoon (ml. Virve), dataverkkoon, myös muille operaattoreille myydyt yhteydet pimenivät CERT-FI:n rooli: varmistukset vikailmoitusten perillemenosta (esim. HÄKE), korjaustoimien valvonta 9.5.2006 16