Kyberturvallisuus terveydenhuollossa Perttu Halonen Helsinki, 14.4.2016
Esitelmän sisältö! Viestintävirastosta! Terveydenhuoltoalan kyberuhkia raportti! Mitä muilta voi oppia! Ajankohtaiskatsaus Perttu Halonen, tietoturva-asiantuntija 14.4.2016 2
Varmaa ja vaivatonta viestintää kaikille Suomessa Varmaa ja vaivatonta viestintää kaikille Suomessa Tähän joku aloituskuva, esim. ilmapallopoika
Vapaus, tasa-arvo, luottamus Viestintävirasto takaa toimivan tietoyhteiskunnan Perttu Halonen, tietoturva-asiantuntija 14.4.2016 4
Terveydenhuoltoalan kyberuhkia -raportti Perttu Halonen, tietoturva-asiantuntija 14.4.2016 5
Terveydenhuoltoalan kyberuhkia -raportti! Katsaus organisaatioiden johdolle ja kyberturvallisuudesta vastaaville henkilöille! Yleisiä kyberuhkia terveydenhoitoalan maustein! Saatavilla Viestintäviraston verkkosivuilla! Tehtiin yhteistyössä SOTE-alan tietoturva-asiantuntijoiden kanssa Perttu Halonen, tietoturva-asiantuntija 14.4.2016 6
Terveydenhuoltoalan kyberuhkia -raportti! Ohjelmistojen haavoittuvuudet! Mobiililaitteet! Yhteiskäyttöiset tunnukset! Järjestelmätoimittajien etäyhteydet! Haittaohjelmien leviäminen! Tietosuoja! Sairaalan digitaaliset järjestelmät Internet Tavallinen verkko Tärkeä Kriittinen Perttu Halonen, tietoturva-asiantuntija 14.4.2016 7
Mitä muilta voi oppia Perttu Halonen, tietoturva-asiantuntija 14.4.2016 8
Tapaus Home Depot! 56 miljoonan asiakkaan luottokorttitiedot varastettiin kaupan tietojärjestelmästä! Tietomurto:» Kiinteistöhuoltoyhtiön etäyhteys yhden myymälän ilmastointilaitteistoon» Hyökkääjät kalastelivat huoltoyhtiön yhden työntekijän tunnukset huoltoyhtiön tietokoneisiin» Home Depotin tietojärjestelmissä oli haavoittuvia Windowseja. Päivityksiä ei asennettu ajoissa.! Oppi:» Päivitä säännöllisesti ja ripeästi» Pidä eri käyttöihin tarkoitetut järjestelmät erillään» Vaadi tietoturvaa myös yhteistyökumppaneiltasi Perttu Halonen, tietoturva-asiantuntija 14.4.2016 9
Teollisuusautomaatio! VTT tutkinut ja kehittänyt tietoturvaa Huoltovarmuuskeskuksen rahoittamissa hankkeissa» TITAN» TEO-TT» COREQ-VE» COREQ-ACT» KYBER-TEO! Tilanteen kartoitus! Tietoverkkojen ja etäyhteyksien hallinta! Tietoturvaohjeet, koulutus, muutosten hallinta! Hankintakäytännöt, vaatimukset toimittajille! Tietoturvamenetelmien evaluoinnit! Riskien hallinta ja jatkuvuuden varmistaminen! Kyberturvallisuuskeskuksen tekemä selvitys suojaamattomista laitteista Perttu Halonen, tietoturva-asiantuntija 14.4.2016 10
Ajankohtaiskatsaus Perttu Halonen, tietoturva-asiantuntija 14.4.2016 11
Perttu Halonen, tietoturva-asiantuntija 14.4.2016 12
Perttu Halonen, tietoturva-asiantuntija 14.4.2016 13
Kiristyshaittaohjelmat eli ransomware! Esittää uhrilleen uhkauksen ja vaatii lunnaita! Rikolliset levittävät yleensä massoittain» Suosittujen verkkosivujen murtaminen ja haittaohjelmien jakelualustan (exploit kit) asentaminen» Sähköpostin liitetiedostot; esimerkiksi makroja sisältävät Microsoft Office -tiedostot» Sosiaalinen media (maineuhka)! Esimerkiksi Cryptolocker, TeslaCrypt, Locky, Linux.Encoder.1, KeRanger! Levitys on entistä kohdistetumpaa! Kiristyshaittaohjelmia voi jopa tehtailla ilman ohjelmointikokemusta (Ransomware as a Service) Perttu Halonen, tietoturva-asiantuntija 14.4.2016 14
Merkittävimpiä yritysten tietoturvauhkia vuonna 2016! Kohdistetut haittaohjelmahyökkäykset (advanced persistent threat)! Kiristyshaittaohjelmat! Toimitusjohtajahuijaukset! Kassapäätteiden haittaohjelmat! Palvelunestohyökkäykset! Päivittämättömät ohjelmistot ja muut oman toiminnan puutteet! Tietoja varastavat haittaohjelmat, esim. Dridex! Mobiililaitteiden ohjelmistohaavoittuvuudet! Suojaamattomat automaatiolaitteet! Alihankkijoiden etäyhteydet Perttu Halonen, tietoturva-asiantuntija 14.4.2016 15
Tietojenkalastelua alkuvuonna 2016! Useita samanaikaisia kampanjoita! Viestintäviraston varoitus voimassa 5.-29.2.! Postin nimissä tapahtuva kalastelu» Sivustoja "ammuttu alas"! Danske Bank, Nordea» Sähköpostiosoitteita pyritty jäädyttämään! Tekstiviesteinä lähetetyt tekaistut laskut» Yhteistyö Poliisin, pankkien ja maksuvälitysyrityksen kanssa Perttu Halonen, tietoturva-asiantuntija 14.4.2016 16
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi
Lisämateriaalia Perttu Halonen, tietoturva-asiantuntija 14.4.2016 18
Viestintäviraston tekemä kartoitus! Viestintävirasto skannasi Suomen internetverkkoja huhti-kesäkuussa 2015.» Tarkasteltiin internetiin kytkettyjen laitteiden vasteita ja pyrittiin tunnistamaan automaatiolaitteet.» Mallina Aalto-yliopiston vuonna 2013 tekemä tutkimus.! Tavoitteena ilmoittaa löydettyjen järjestelmien omistajille ja saada heidät näin suojaamaan järjestelmänsä paremmin.» Jokainen saa skannata omia verkkojaan, muttei välttämättä osaa tehdä tai näe tarpeelliseksi.! Huomaa: Toisten verkkojen ja laitteiden skannaus voidaan tulkita tietomurron yritykseksi.» Viestintävirasto on tulkinnut skannauksen olevan sille sallittua sen lakisääteisten tietoturvatehtävien hoitamiseksi. Perttu Halonen, tietoturva-asiantuntija 14.4.2016 19
Havaintoihin perustuva esimerkki: Eri käyttökohteet eri uhat Automatisoituun liiketoimintaan kohdistuvat uhat Kolmansiin osapuoliin kohdistuvat uhat Teollisuusautomaatio ja hallintaliittymät Suurkiinteistöt ja yhdyskuntatekniikka Rakennusautomaatio Tuotantokatkos ( ) Henkeen ja terveyteen kohdistuvat uhat Ponnahduslauta organisaation muihin järjestelmiin murtautumiseen Hallinnan menettäminen Ennakoimattomat vikaja häiriötilanteet Välilliset vahingot ja optimointihyödyn menettäminen ( ) Vastuukysymykset ( ) Yksittäisen komponentin vajaatoiminta Primäärikäyttöä estämättömät ongelmat (esim. laite muunnetaan palvelunestohyökkäyksen lähteeksi) "Somebody Else's Problem" Suojaamattomien laitteiden määrä kasvaa Perttu Halonen, tietoturva-asiantuntija 14.4.2016 20
Arvio laitemääristä Suomesta löytyneet avoimet palvelut palvelut: noin 70 000. Niistä noin 60 000 portissa TCP/80. Suomen IPosoiteavaruus: noin 10 miljoonaa osoitetta 4000 600 100 Lähde: Aalto-yliopisto, 2013 Rakennusautomaatio Teollisuusautomaatio Hallintajärjestelmät Perttu Halonen, tietoturva-asiantuntija 14.4.2016 21
Havaintoja! Tilanne hyvin samankaltainen kuin aiemmissa vastaavissa tutkimuksissa! Rakennusautomaatiolaitteita edelleen eniten verkossa! Kotiautomaatiolaitteissa yksityiskohtaisia tietoja kodeista! Monia avoimia palveluita, jotka eivät edellytä tunnistautumista! Joitakin palveluita, joissa kirjautumistunnukset lukevat etusivulla! Runsaasti protokollamuuntimia, jotka saavat internetiin kuulumattomia järjestelmiä näkymään internetiin! Joitakin murrettuja palveluita Perttu Halonen, tietoturva-asiantuntija 14.4.2016 22
Avoimista automaatiolaitteista ilmoittamisen haasteet! Löydetyt laitteet lähes aina teleoperaattorin IP-verkossa» Kyberturvallisuuskeskus ei tiedä asiakkaan yhteystietoja» Teleoperaattoreiden prosessit ovat kunnossa, mutta viestin välittämisessä on monta välikättä IP-osoite + tiedot whois s-posti puh Tilaajan tietämys Asiakastiedot Korjaustoimenpiteet Kyberturvallisuuskeskus Operaattori Tilaaja/ laskutusosoite Ylläpitäjä Kiinteistöautomaatiossa tässä voi olla useita eri tahoja: taloyhtiö, isännöitsijä, jne. Perttu Halonen, tietoturva-asiantuntija 14.4.2016 23
Avoimista automaatiolaitteista ilmoittaminen Kriittisistä teollisuusautomaatiolaitteista ilmoitetaan AINA* laitteistojen omistajille JOS** omistaja tunnistetaan! *) Huoltovarmuuskriittisyys on priorisointiperuste **) Ei-niin-absurdi kysymys: tunnistammeko laitoksenne jos katselemme sitä internetistä? Perttu Halonen, tietoturva-asiantuntija 14.4.2016 24
Kyberturvallisuuskeskuksen palvelut Perttu Halonen, tietoturva-asiantuntija 14.4.2016 25
Kansallinen CERT-toiminto Yleiset haittaohjelmat Tietoturvauhat Teleyritysten toimenpiteet Viestintäviraston toimenpiteet, mm. Autoreporter, ohjeet, tiedotteet HAVARO APT, Ennalta tuntematon uhka Loppukäyttäjien omat tietoturvakontrollit Internetlähtöiset #etoturvauhat, joihin voidaan kohdistaa toimenpiteitä Tietoyhteiskuntakaaren perusteella. Teleyritysten suorihamat suodatustoimenpiteet ja saastuneiden järjestelmien puhdistuhaminen Vies#ntäviraston erityisen tunnistekannan ja #etoliikennepoikkeamien perusteella havaihavat uhat. Tietoturvapoli#ikka, käyhäjien koulutus, poikkeamanhallinta, verkkojen segmentoin#, päätelaiheiden suojaus,... Vaa#muksenmukaisuus, NCSAtoiminto kohdistuen yrityksiin ja val#onhallintoon (L 2004/588, 1405 ja 1406/2011) Kansalaiset Julkishallinto Elinkeinoelämä Perttu Halonen, tietoturva-asiantuntija 14.4.2016 26
Kyberturvallisuuskeskuksen päätehtävät! Tilannekeskuksen päätehtävät ovat» Kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista» Tiedottaa tietoturva-asioista sekä viestintäverkkojen ja viestintäpalvelujen toimivuudesta;» Selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia.! Teleyritysten tietoturvallisuuden ja varautumisen valvonta ja ohjaus Perttu Halonen, tietoturva-asiantuntija 14.4.2016 27
Kyberturvallisuuskeskuksen päätehtävät! Järjestelmien ja verkkojen tarkastus ja hyväksyntä» Kansallisen ja kansainvälisen tiedon suojaaminen» Yritysturvallisuuden parantaminen» Tietoturvallisuuden arviointilaitokset» Viennin edistäminen antamalla viranomaishyväksyntöjä tietoturvatuotteille! Sähköisen viestinnän yksityisyydensuojaan liittyvien velvoitteiden valvominen! PRS-toiminta Perttu Halonen, tietoturva-asiantuntija 14.4.2016 28
Public Regulated Service! GALILEOsatelliittijärjestelmä! Jatkuvuutta ja toimintavarmuutta paikantamiseen! Salaus estää häirinnän ja signaalin väärentämisen! Poliisi, pelastustoimi, puolustusvoimat, huoltovarmuuskriittiset toimijat! Euroopalle riippumaton kyky paikannukseen Perttu Halonen, tietoturva-asiantuntija 14.4.2016 29
Tilannekuvan muodostus! Tilannekuva voidaan jakaa karkeasti kolmeen eri osaan Julkiset tiedotteet Varoitukset, haavoittuvuustiedotteet Ohjeet, TTN!, some, katsaukset Rajoitettu jakelu Elinkeinoelämälle ja viranomaissektorille kohdistetut tiedotteet, taustoittavat tiedot Salassa pidettävä Viranomaistilannekuva Erityiskatsausten viranomaisversiot Perttu Halonen, tietoturva-asiantuntija 14.4.2016 30
Julkisia tilannekuvatuotteita! Haavoittuvuustiedotteet! Varoitukset! Tietoturva nyt! -artikkelit ja teema-artikkelit! Viestintäverkkojen häiriökartta MONITORipalvelussa! Tietoturvaohjeita! Viikkoraportit (huoltovarmuuskriittisille organisaatioille ja tietoturva-ammattilaisille)! Tilastoja ja katsauksia Perttu Halonen, tietoturva-asiantuntija 14.4.2016 31
Julkisen tilannekuvan jakelu! Verkkosivut» www.viestintävirasto.fi! Sähköpostilistat! Facebook! Twitter» Esimerkiksi FI-SOTE» NCSC.FI» @CERTFI ja @viest_virasto! Teksti-TV:n sivu 863 Perttu Halonen, tietoturva-asiantuntija 14.4.2016 32
Maistiainen vuosiraportista ORGANISAATIOIDEN 5 YLEISINTÄ UHKAA 1. Päivittämättömät ohjelmistot Mahdollistavat haittaohjelmien pääsyn ja tietomurrot verkkoon 2. Henkilöstön osaamattomuus Tietoturvaohjeistuksen ja valmiiden toimintamallien puute 3. Palvelunestohyökkäykset Yksittäinen hyökkäys voi lamauttaa organisaation kaiken toiminnan 4. Huijausviestit ja tietojenkalastelu Haittaohjelmat, urkinta, toimitusjohtajahuijaukset 5. Hallitsemattomat yhteydet sisäverkkoon Hyökkäys pinta-alaa lisäävät älypuhelimet, VPN-yhteydet ja alihankkijoiden etäyhteydet ORGANISAATIOIDEN UHKISTA SUURIN OSA POISTUU 1. Päivittämällä ohjelmistot ja laitteet Estää huijauslinkkien ja verkkosurffailujen haittavaikutukset 2. Työntekijöiden tietoturvakoulutuksella Ohjeistetaan tunnistamaan uhkia ja kannustetaan kertomaan poikkeamista 3. Verkon segmentoinnilla Toteutuneet uhat eivät leviä ja lamauta kaikkia toimia kerralla 4. Tekemällä varmuuskopioita Toiminta keskeytyy lyhyemmäksi ajaksi 5. Verkkoyhteyksiä rajaamalla ja seuraamalla Dokumentoitujen ja rajattujen verkkoyhteyksien seuranta ja havainnointikyvyn parantaminen Perttu Halonen, tietoturva-asiantuntija 14.4.2016 33
Havainnoista ja epäilyistä ilmoittaminen! Jos havaitsette tietoturvaloukkauksen, kertokaa siitä meille! Jos epäilette tietoturvaloukkausta, ottakaa meihin yhteyttä! Jos teillä on kysyttää kyberturvallisuudesta, kysykää meiltä! Sähköposti cert@ficora.fi tai cert@viestintavirasto.fi! Yhteydenottolomake https://www.viestintavirasto.fi/asioikanssamme/yhteydenotto.html! Arkisin kello 9.00 15.00 voi myös soittaa numeroon 0295 390 230» Tilannekeskuksen päivystäjä on tärkeimpien sidosryhmien tavoitettavissa 24/7/365, salainen puhelinnumero Perttu Halonen, tietoturva-asiantuntija 14.4.2016 34
Näin palvelemme, kun ilmoitatte tietoturvaloukkauksesta! Neuvomme vahinkojen rajoittamisessa ja palautumisessa! Neuvomme, mihin muihin tahoihin teidän kannattaa ottaa yhteyttä! Voimme luvallanne analysoida lokitietoja ja haittaohjelmanäytteitä! Hankimme lisää tietoja ilmiöistä kotimaisista ja kansainvälisistä yhteistyöverkostoistamme! Jaamme tietoturvailmiöistä tietoa muille, jotta muut pystyvät suojautumaan! Tarvittaessa koordinoimme vastuullisesti haavoittuvuuksien korjaamista! Kaikki tämä luottamuksellisesti ja ilmaiseksi! Perttu Halonen, tietoturva-asiantuntija 14.4.2016 35