Miten varmistat taloteknisten järjestelmien tietoturvallisuuden? Paloturvallisuuspäivät, Helsinki 13.12.2017 Sami Orasaari Tietoturva-asiantuntija Viestintävirasto / Kyberturvallisuuskeskus
Esityksen sisältö: 1.Viestintävirasto ja Kyberturvallisuuskeskus 2.Tilannekatsaus tietoturvan maailmasta 3.Suojaamattomien automaatiojärjestelmien kartoitus 2017 ja kiinteistöautomaation tietoturva 4.Case: Lappeenranta 5.Suojauksen periaatteita
Viestintävirasto
Viestintäviraston Kyberturvallisuuskeskus
Kyberturvallisuuskeskuksen tietoturvapalvelut Tietoturvaloukkausten ilmoituspiste ja tilannekuva» Neuvonta, opastus» Vahinkojen rajoittaminen» Luottamuksellinen käsittely» Yleinen ja toimialakohtainen tilannekuva Tietoturvaloukkausten havainnointi (HAVARO)» Haitallisen ja/tai normaalista poikkeavan liikenteen havainnointi» Asiakkaiden varoittaminen» Raportointi Yhteistyöverkostot» Luottamuksellinen tietoturva-asioiden tiedonvaihto» Kaksi tasoa: 1) Toimialakohtainen sähköpostijakelu 2) Tiedonvaihtoryhmät Haavoittuvuuskoordinointi» Yhteistyö haavoittuvuuden tai vakavan ohjelmistovirheen löytäjän ja ohjelmistovalmistajien kanssa» Tieto haavoittuvuudesta loppukäyttäjille Järjestelmäturvallisuus» Turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvät turvallisuusasiat» Salaustuotteiden ja tietojärjestelmien hyväksyntä» Kansallisen ja kansainvälisten turvaluokitellun tietoaineiston käsittelyn ohjeistus (Suojatut satelliittien aika- ja paikkasignaalit) (Harjoitustoiminta)
Näin palvelemme, kun ilmoitatte tietoturvaloukkauksesta Neuvomme vahinkojen rajoittamisessa Autamme loukkauksen analysoinnissa Tuemme jatkotoimenpiteiden koordinointia Keräämme lisätietoja Suomesta ja maailmalta Varoitamme muita mahdollisia uhreja Koordinoimme haavoittuvuuksien korjaamista Luottamuksellisesti ja maksutta
Tilannekuvan muodostaminen ja jakelu Tilannekuvan muodostaminen Tilannekuvan jakelu Julkiset tiedotteet Varoitukset, haavoittuvuustiedotteet Ohjeet, TTN!, some, katsaukset Rajoitettu jakelu Elinkeinoelämälle ja viranomaissektorille kohdistetut tiedotteet, taustoittavat tiedot Salassa pidettävä Viranomaistilannekuva Erityiskatsausten viranomaisversiot 11.9.2017 7
Näin otat yhteyttä meihin Yhteydenottolomake https://www.viestintavirasto.fi/asioikanssamme/yhteydenotto.html Puhelin 0295 390 230 (arkipäivisin kello 9 15) Sähköposti cert (ät) viestintavirasto.fi Katso myös Facebook (@NCSC.FI) ja Twitter (@CERTFI)
#Kybersää
#kybersää 10/2017 Palvelunestot Ahvenanmaalle kohdistuneet palvelunestohyökkäykset jatkuivat lokakuussa. Hyökkäykset vaikuttivat useiden palveluiden toimintaan. Vakoilu APT28 viimeisimmät spearphishing-kampanjat on havaittu lokakuussa Bad Rabbit haittaohjelmalla on mahdollisia kytköksiä valtiollisiin toimijoihin Haittaohjelmat & haavoittuvuudet Haittaohjelmien levitys Microsoft Officen DDEtoimintoa hyväksikäyttämällä on yleistynyt. Viro uusi 750 000 henkilökorttia haavoittuvuuden vuoksi Verkkojen toimivuus Lokakuussa merkittävä häiriö Lahden alueen TVlähetyksissä parhaaseen katseluaikaan. Muuten edelleen suhteellisen vähän ja suhteellisen pieniä toimivuushäiriöitä. Huijaukset & kalastelut Pankkitunnusten kalastelu jatkuu. Toimitusjohtajahuijaukset jatkuvat yleisinä Office 365-tunnusten kalastelua käytetään monenlaisissa huijauksissa IoT Reaper-bottiverkko nousi tyhjästä ja levisi nopeasti, kadoten äkillisesti marraskuussa. Haavoittuvuuksiin olisi päivitykset. Lasten älyrannekellojen tietoturvassa ja yksityisyyden suojassa vakavia puutteita
Tyypillisimmät toimijat ja toiminnan kohteet kyberavaruudessa TEINIT JA HAKTIVISTIT PIKKURIKOLLISET RIKOLLISJÄRJESTÖT KYBERVAKOILU KYBERTERRORISMI KANSALAISET YKSITYINEN SEKTORI KRIITTINEN INFRASTRUKTUU RI VALTIO Yhteiskunnalliset vaikutukset KYBEROPERAATIOT Erittäin harvinaista Nähty maailmalla, mutta ei Suomessa Nähty myös Suomessa 11
Viestintäviraston suojaamattomien automaatiolaitteiden kartoitus 2017 Suojaamattomien teollisuusautomaatiojärjestelmien kartoitus 2017 11.9.2017 12
Viestintäviraston tekemä kartoitus Kartoitus tehty Viestintäviraston toimesta jo vuosina 2015, 2016 ja 2017 Tarkoituksena tilannekuvan muodostaminen ja suojaamattomista järjestelmistä ilmoittaminen järjestelmien ylläpitäjille Suojaamattomaksi tulkitaan järjestelmä tai laite johon on pääsy suoraan internetistä Laitteet tunnistetaan niiden antamien vasteiden perusteella. Ohjelmistojen ajantasaisuutta, oletussalasanojen käyttöä jne. ei tutkita 11.9.2017 13
Arvio laitemääristä Suomesta löytyneet avoimet palvelut portissa 80: noin 130 000. Suomen IP-osoiteavaruus: noin 12 miljoonaa osoitetta 2000 250 30 Rakennusautomaatio Teollisuusautomaatio Hallintajärjestelmät 11.9.2017 14
Havaintoihin perustuva esimerkki: Eri käyttökohteet eri uhat Automatisoituun liiketoimintaan kohdistuvat uhat Kolmansiin osapuoliin kohdistuvat uhat Teollisuus-automaatio ja hallintaliittymät Suurkiinteistöt ja yhdyskunta-tekniikka Rakennus-automaatio Tuotantokatkos ( ) Henkeen ja terveyteen kohdistuvat uhat Ponnahduslauta organisaation muihin järjestelmiin murtautumiseen Hallinnan menettäminen Ennakoimattomat vika- ja häiriötilanteet Välilliset vahingot ja optimointihyödyn menettäminen ( ) Vastuukysymykset ( ) Yksittäisen komponentin vajaatoiminta Primäärikäyttöä estämättömät ongelmat (esim. laite muunnetaan palvelunestohyökkäyksen lähteeksi) "Somebody Else's Problem" Suojaamattomien laitteiden määrä kasvaa 11.9.2017 15
Laitteiden tunnistaminen verkosta Kuvat poistettu julkisesta versiosta väärinkäsitysten välttämiseksi 11.9.2017 16
Laitteiden tunnistaminen "paikan päällä" Kuvat poistettu julkisesta versiosta väärinkäsitysten välttämiseksi 17
Tuloksia 2017 Kriittisiä järjestelmiä teollisuuden hallintajärjestelmiä havaittu n. 20-30 kpl» Kriittisin havainto oli energiasektorin yrityksen HMIoperointipaneeli, jolla olisi ollut mahdollista tehdä ohjauksia. Teollisuuden yksittäisiä laitteita esim. TCP/sarjaliikennemuuntimia n. 250 kpl» Hienoista vähennystä havaittavissa v. 2016 verrattuna Rakennusautomaatio 2000» Havaintomäärä samalla tasolla kuin edellisenä vuonnakin => viestintää isännöijille jne. asiantuntijatasolle pyritään lisäämään. Kriittiset järjestelmät ilmoitettu ylläpitäjille.» Rakennusautomaatio ja osa yksittäisistä laitteista vielä työn alla. 11.9.2017 18
Havainnot ryhmittäin 2017
Kriittisin havainto Energiasektorin yrityksen ulkoistuskumppani suoritti järjestelmän asennuksen ja käyttöönoton "etäsaitille".» Dokumentaatio/työohjeet eivät olleet riittävällä tasolla ja virheellisestä päätelmästä johtuen järjestelmä kytkettiin julkiseen verkkoon julkisella IP-osoitteella. Kukaan ei havainnut virhettä ennen kartoitusta. Yritys korjasi ohjeistustaan, jotta vastaava ei pääse tulevaisuudessa tapahtumaan.
Miten suojaamattoman laitteen voi tunnistaa kiinteistössä? v:"eipä juuri mitenkään!" Laiteen suojaamattomuus ei useinkaan näy päällepäin. Tilannetta voi selvittää kysymyksillä ylläpitävältä taholta.» Miten laite on suojattu tai erotettu internetistä?» Onko laitteeseen pääsy etänä? Yrityksen verkon ulkopuolelta?» Pääseekö laitteeseen sekä ulkopuolelta, että sisäverkosta?!!! Meneekö laitteesta Ethernet-johto suoraan ADSL/3G/4G-modeemiin? => todennäköisesti suojaamaton. Tietääkö yrityksen edustaja / ylläpitäjä vastauksia em. Kysymyksiin? Mikäli ei laite todennäköisesti suojaamaton. Raportti: Suojaamattomien automaatiolaitteiden kartoitus 2017: https://www.viestintavirasto.fi/2017/05/ttn201705181420
Uhkia Suojaamaton rakennusautomaatiolaite murretaan ja sitä käytetään palvelunestohyökkäyksiin kolmansia osapuolia vastaan tai käytetään roskapostin lähettämiseen. Suojaamattoman laitteen internetiin avoinna olevia palveluita käytetään vahvistamaan palvelunestohyökkäyksen liikennettä. (DNS, NTP jne.) Murretun laitteen palveluilla aiheutetaan kustannuksia laitteen omistajille. (SMS maksullisiin numeroihin ulkomaille) Murretun laitteen asetuksia muuttamalla saadaan kiinteistössä tuhoja aikaan (Lämmitys pois => jäätyminen), kylmyys, lämmin vesi poikki jne. Suojaamattoman rakennusautomaatiolaitteen kautta saadaan pääsy yrityksen verkkoon. Laitetta käytetään yhdyskäytävänä.
Case: Lappeenranta Rakennusautomaatio skandinaaviassa
Rakennusautomaatiolaitteisiin vaikuttanut palvelunestohyökkäysliikenne Etelä-Saimaa 6.11.2016 Marraskuun alussa suomalaisia rakennusautomaatiolaitteita "kaatuili", palvelunestohyökkäystä epäiltiin. Rakennusautomaatiolaiteet eivät olleet varsinaisena kohteena. Hyökkäyksessä hyväksikäytettiin laajasti palvelinten avoimena olevia palveluja. Joukossa paljon muitakin palvelimia kuin rakennusautomaatiota. Avoimia palveluita käytettiin hyökkäysliikenteen vahvistamiseen. Suomalaisen valmistajan laitteet (Fidelix) ylikuormittuivat tästä liikenteestä ja esimerkiksi lämmönsäätäminen häiriintyi. Vaikutti arviolta kymmeniin, jopa satoihin suojaamattomiin laitteisiin. 11.9.2017 24
Liikenteen vahvistaminen palvelunestohyökkäyksissä Lappeenrantalaisen talon automaatiojärjestelmä V Palvelin 1.2.3.4 H B Muita palvelimia V V K B B 1.2.3.4 tässä hei! V V V Mitä kuuluu, 1.2.3.4? U Liikennemäärä B -> V on pienempi kuin V -> U V H K B V U hyökkääjä komentopalvelin botti välikappale uhri
Miten rakennusautomaatiomaatiolaitteet tulisi suojata? Suojaustoimenpiteiden lopputuloksena pääsy laitteistoon on vain määritellyistä paikoista ja määritellyillä henkilöillä Käytä valmistajan tarjoamia menetelmiä uusien laitteiden käyttöönotossa Kysy jo käytössä oleviin laitteisiin suojausmenetelmiä valmistajalta tai toimittajalta. Käytä tunnettuja kolmannen osapuolen tarjoamia suojaukseen tarkoitettuja menetelmiä (Esim. teleoperaattoreilta, kiinteistöjen hallinnan palveluita tarjoavilta yrityksiltä, valmistajilta esim. Tosibox.com)
Miten rakennusautomaatiomaatiolaitteet tulisi suojata? Laite suojaamattomana verkossa Palomuuri suojaa, mutta on hankalasti ylläpidettävissä
Miten rakennusautomaatiomaatiolaitteet tulisi suojata? (Valmistajan) pilvipalvelu Pilvipalvelun etuja: Keskitetty pääsynhallinta Lokit Varmuuskopiointi Pääsyoikeuksien muokkaus Ota huomioon: Saako turvallisuuskriittisten kohteiden tietoja viedä kohteen ulkopuolelle? Esim. valvontakameroiden kuvat jne.
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi