Kyberturvallisuuskeskuksen palvelut ja vuosittainen automaatiokartoitus RAKLI Käyttö- ja ylläpitotoimikunta Erika Suortti-Myyry
Sisältö Kyberturvallisuuskeskuksen palvelut Vuosittainen automaatiokartoitus
Viestintäviraston tietoturvapalvelut Tietoturvaloukkausten ilmoituspiste ja tilannekuva Tietoturvaloukkausten havainnointi Yhteistyöverkostot Haavoittuvuuskoordinointi Järjestelmäturvallisuus
Viestintäviraston kyberturvallisuuspalvelut 1) Tietoturvaloukkausten ilmoituspiste ja tilannekuva»»»» Neuvonta, opastus Vahinkojen rajoittaminen Luottamuksellinen käsittely Yleinen ja toimialakohtainen tilannekuva 2) Tietoturvaloukkausten havainnointi (HAVARO)» Haitallisen ja/tai normaalista poikkeavan liikenteen havainnointi» Asiakkaiden varoittaminen» Raportointi 3) Yhteistyöverkostot» Luottamuksellinen tietoturva-asioiden tiedonvaihto» Kaksi tasoa: 1) Toimialakohtainen sähköpostijakelu 2) Tiedonvaihtoryhmät 4) Haavoittuvuuskoordinointi» Yhteistyö haavoittuvuuden tai vakavan ohjelmistovirheen löytäjän ja ohjelmistovalmistajien kanssa» Tieto haavoittuvuudesta loppukäyttäjille 5) Järjestelmäturvallisuus» Turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvät turvallisuusasiat» Salaustuotteiden ja tietojärjestelmien hyväksyntä» Kansallisen ja kansainvälisten turvaluokitellun tietoaineiston käsittelyn ohjeistus 6) (Suojatut satelliittien aika- ja paikkasignaalit) 7) (Harjoitustoiminta) Erika Suortti-Myyry
Tietoturvaloukkausten ilmoituspiste ja tilannekuva Kyberturvallisuuskeskus toimii kansallisena tietoturvaloukkausilmoitusten ja vika- ja häiriöilmoitusten vastaanottopisteenä Päivystäjä on tavoitettavissa 24/7/366 puhelimitse. Puhelinnumero on tarkoitettu» Valtionhallinnon tietoturvatoimijoille» Turvallisuusviranomaisille» Huoltovarmuuskriittisille elinkeinoelämän toimijoille» Teleoperaattoreille» Kansainvälisille yhteistyökumppaneille 24/7/366 Erika Suortti-Myyry
Näin palvelemme, kun saamme ilmoituksen tietoturvaloukkauksesta Neuvomme vahinkojen rajoittamisessa Keräämme lisätietoja Suomesta ja maailmalta Varoitamme muita mahdollisia uhreja Erika Suortti-Myyry Autamme loukkauksen analysoinnissa Tuemme jatkotoimenpiteiden koordinointia Koordinoimme haavoittuvuuksien korjaamista Luottamuksellisesti ja maksutta
Yhteistyöverkostot Huoltovarmuusorganisaatiota mukaileva toimialajaottelu Lisäksi valtionhallinnon yhteistyöryhmät Kaksi tasoa Toimialakohtainen sähköpostijakelu Tiedonvaihtoryhmät Erika Suortti-Myyry
Yhteistyöverkostot: Toimialakohtainen sähköpostijakelu Mahdollistaa toimialakohtaisen tilannetiedon jakamisen sekä kaksisuuntaisen tiedonvaihdon asiakkaiden ja Viestintäviraston välillä.» Sähköpostilistalla olevat asiakkaat saavat lisäarvoa organisaatioiden tietoturvatyöhön saamalla tietoturvaan liittyvää tietoa ja tilannekuvaa» Jäseninä huoltovarmuuskriittiset organisaatiot, julkishallinnon tärkeät organisaatiot sekä muut tärkeiksi katsotut organisaatiot. Erika Suortti-Myyry
Yhteistyöverkostot: Tiedonvaihtoryhmät Eri toimialoille perustettuja organisaatioiden välisiä yhteistyöelimiä.» Toiminta perustuu säännöllisiin tapaamisiin sekä määritettyihin toimintamalleihin ja osallistujiin» Tietoturva-asioiden luottamuksellisen käsittelyn osallistujien kesken» Tavoitteena organisaatioiden tietoturvaosaamisen lisääminen ja Kyberturvallisuuskeskuksen kokonaistilannekuvan kehittäminen Jäseninä yhteiskunnallisen merkityksensä tai vaikuttavuutensa vuoksi tärkeimmät organisaatiot. Tiedonvaihtoryhmien toimintaan osallistumisen tärkein kriteeri on kuitenkin toimijan aktiivisuus ja ryhmälle antama lisäarvo. Erika Suortti-Myyry
...ja lisäksi tarjoamme yleisiä tietoturvaneuvoja ja -ohjeita www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html Erika Suortti-Myyry
Suojaamattomien automaatiojärjestelmien kartoitus 2016
(Automaatio) laitteiden skannauksesta Tietoturva-aukon etsiminen porttiskannauksella täyttää tietomurron yrityksen tunnusmerkistön jos tarkoituksena on ollut hyödyntää porttiskannauksella saatuja tietoja tietojärjestelmään tunkeutumiseen Viestintäviraston skannausten tarkoituksena on lakisääteisten tehtävien hoitaminen suojaamattomien tai jo haavoittuvien järjestelmien kartoittaminen kolmannelta osapuolelta saadun tiedon oikeellisuuden ja ajantasaisuuden varmistaminen Ei hyväksikäytetä haavoittuvuuksia Ei yritetä kirjautua järjestelmiin oletuskäyttäjätunnuksilla/-salasanoilla Versiotietoja tms. voidaan kysellä Tieto toimitetaan asianosaisille
Automaatiolaitteiden havaitseminen Etsitään ja tunnistetaan Suomesta avoimia automaatiolaitteita Teollisuusautomaatio Rakennusautomaatio Skannaaminen suhteellisen nopeaa, mutta oikeiden kohteiden löytäminen vaikeaa Paljon vääriä positiivisia Saatavilla olevat työkalut eivät aina toimi Laitteen tunnistaminen ei useinkaan mahdollista Monesta eri lähteestä tulevan tiedon yhdistäminen Skannaaminen eri tyyppistä kuin KTK:n muutoin tekemät skannaukset Jo kytkeytyminen suoraan internetiin altistaa automaatiolaitteet usein tarpeettomasti Tehty vuosina 2015, 2016, tänä keväänä tehdään seuraava
Miksi kytkeminen suoraan internetiin on huono idea Miksi päivittäminen ei riitä? Onko softassa kuitenkin haavoittuvuuksia? Kun uusi haavoittuvuus löydetään, miten nopeasti valmistaja paikkaa sen, vai paikkaako ollenkaan? Autentikointi ja lokitus Onko käyttäjillä yksilölliset tunnukset? Jääkö laitteeseen vierailusta jälki lokiin? Ei aina bruteforce-estoja tai muita turvaominaisuuksia Automaatioprotokollat eivät sisällä turvaominaisuuksia Laitteet eivät välttämättä kestä liikennemääriä tai sen tyyppistä liikennettä, jota skannauksissa lähetetään Shodan.io, Zoomeye.org
Uhkia Suojaamaton rakennusautomaatio murretaan ja sitä käytetään palvelunestohyökkäyksiin kolmansia osapuolia vastaan käytetään roskapostin lähettämiseen Laitteen suojaamattomia palveluita käytetään palvelunestohyökkäyksen vahvistajina Murretun laitteen palveluilla aiheutetaan kustannuksia (esim. SMS) Murretun laitteen asetuksia muttamalla saadaan aikaan vahinkoja kiinteistössä Murretun laitteen avulla saadaan pääsy yrityksen verkkoon
Rakennusautomaatiolaitteisiin vaikuttanut palvelunestohyökkäysliikenne Etelä-Saimaa 6.11.2016 Marraskuun alussa suomalaisia rakennusautomaatiolaitteita (BAS) "kaatuili", palvelunestohyökkäystä epäiltiin. BAS-laiteet eivät olleet varsinaisena kohteena. Hyökkäyksessä hyväksikäytettiin laajasti palvelinten avoimena olevia palveluja. Joukossa paljon muitakin palvelimia kuin rakennusautomaatiota. Avoimia palveluita käytettiin hyökkäysliikenteen vahvistamiseen. Suomalaisen valmistajan laitteet (Fidelix) ylikuormittuivat tästä liikenteestä ja esimerkiksi lämmönsäätäminen häiriintyi. Vaikutti arviolta kymmeniin, jopa satoihin suojaamattomiin laitteisiin. 9.2.2017 16 22.03.17
Liikenteen vahvistaminen palvelunestohyökkäyksissä Lappeenrantalaisen talon automaatiojärjestelmä B H Palvelin 1.2.3.4 V V Muita palvelimia V K 1.2.3.4 tässä hei! B V Mitä kuuluu, 1.2.3.4? V V B Liikennemäärä B -> V on suurempi kuin V -> U U V H K B V U hyökkääjä komentopalvelin botti välikappale uhri
Havaintoihin perustuva esimerkki: Eri käyttökohteet eri uhat Automatisoituun liiketoimintaan kohdistuvat uhat Teollisuus-automaatio ja hallintaliittymät Tuotantokatkos ( ) Henkeen ja terveyteen kohdistuvat uhat Ponnahduslauta organisaation muihin järjestelmiin murtautumiseen Kolmansiin osapuoliin kohdistuvat uhat Suurkiinteistöt ja yhdyskunta-tekniikka Hallinnan menettäminen Ennakoimattomat vika- ja häiriötilanteet Välilliset vahingot ja optimointihyödyn menettäminen ( ) Vastuukysymykset ( ) Rakennus-automaatio Yksittäisen komponentin vajaatoiminta Primäärikäyttöä estämättömät ongelmat (esim. laite muunnetaan palvelunestohyökkäyksen lähteeksi) "Somebody Else's Problem" Suojaamattomien laitteiden määrä kasvaa
Laitteiden tunnistaminen Nmap scan report for aa.bb.cc.dd Host is up (0.028s latency). PORT STATE SERVICE 80/tcp open http _http-server-header: Anti-Web V3.8.7 19
Havaintoja Kriittisen infran laitteita: Verkkokameroita ja automaatioon liittyviä laitteita. Sähköverkon ohjaukseen liittyvä laite ala-aseman liittäminen IEC60870-5-104 protokollaa käyttävään valvomoon. UPS-laitteita SNMP-protokollalla löytyi paljon laitteita l pääosin tulostimia, laajakaistamodeemeja jne., mutta myös reitittimiä ja kameroita Kriittisiä järjestelmiä (PLC, HMI, SCADA) kymmeniä, automaatioon liittyviä yksittäisiä laitteita (Protokollamuuntimia, modbus 502, jne.) satoja ja rakennusautomaatioon liittyviä laitteita tuhansia (~2000) Riskiarvion tekeminen on meille mahdotonta, koska emme tiedä missä ympäristössä laite on käytössä
Avoimista automaatiolaitteista ilmoittaminen Kriittisistä teollisuusautomaatiolaitteista ilmoitetaan AINA* laitteistojen omistajille JOS** omistaja tunnistetaan! *) Huoltovarmuuskriittisyys on priorisointiperuste **) Kysymys: tunnistammeko laitoksenne jos katselemme sitä internetistä?
Miten suojautua Teollisuus: Tunne ympäristösi ja sen laitteet Kartoita ympäristösi näkyvyys ulkomaailmaan säännöllisesti, muista myös testijärjestelmät ja väliaikaiset järjestelyt. Onko yrityksellä etäpurkkeja muualla esim. ADSL/2/3/4G yhteyksillä? Miten ne näkyvät internetiin? Tunneloi ja suojaa!! Älä unohda laitetta oman onnensa nojaan! Rakennusautomaatio: Käytä valmistajan tarjoamia palveluita laitteiston suojaamiseksi Samalla saat käyttäjien hallinnan, ylläpidetyn järjestelmän, lokitietoja jne.
cert@ficora.fi www.kyberturvallisuuskeskus.f www.viestintävirasto.f