Tietoturvakatsaus 4/2013

Tietoturvakatsaus 4/2013

Sisällys 1. Kooste sisällöstä... 3 2. Kauden merkittäviä tapahtumia... 4 2.1 Käyttäjän edellytyksiä valita palvelunsa parannettava kansainvälistyvissä viestintäpalveluissa... 4 2.1.1 Viestintäviraston ohjeita viestinnän suojaamiseen... 4 2.2 Toinen merkittävä tietomurtosarja paljastui... 5 3. Uudet ilmiöt... 6 3.1 Kohdistettujen haittaohjelmahyökkäysten uhka yhä ajankohtainen... 6 3.2 DNS-kaappaukset... 6 3.3 Ransomware... 7 3.4 Adobe-murto... 8 3.5 SMS-huijausviestejä liikkeellä edelleenkin... 8 4. Pitkäkestoiset ilmiöt... 10 4.1 Haavoittuvuusjulkaisun eri ulottuvuuksista... 10 5. Yleisen viestintäverkon poikkeamat... 12 5.1 CERT-FI-tapahtumailmoitukset... 12 5.1.1 Autoreporter-havainnot eritellään omiksi kategorioikseen... 12 5.1.2 Autoreporterin haittaohjelmahavainnot... 15 5.2 Viestintäverkkojen vika- ja häiriöilmoitukset... 18 5.2.1 Vuonna 2013 verkkojen ja palveluiden toimivuutta on seurattu aiempaa tiiviimmin... 19 6. Lainsäädäntöä ja tulkintoja... 22 6.1 Hallituksen esitys tietoyhteiskuntakaaresta on valmistumassa... 22 6.2 EU-asetus henkilötietojen tietoturvaloukkauksista tuli voimaan elokuussa 2013... 22 6.3 NIS-direktiiviä valmistellaan EU:ssa... 23 6.4 EIDAS-asetusta valmistellaan edelleen EU:ssa... 23 6.5 EU-asetusta sisämarkkinoista (Connected continent/single market) valmistellaan... 23 6.6 Viestintäviraston tulkintoja... 23 Tietoturvakatsaus 4/2013 2

1. Kooste sisällöstä Viestintäviraston poikkeamanhallinnan neljäs vuosineljännes koostuu poikkeuksellisesti ajanjaksolta loka-marraskuu 2013. Tulevana vuonna CERT-FI:n tietoturvakatsaukset muuttuvat Kyberturvallisuuskatsauksiksi, jonka ensimmäisessä julkaisussa tarkastellaan tapahtumia joulukuusta 2013 aina helmikuuhun 2014. Loka-marraskuussa CERT-FI:hin otettiin yhteyttä yhteensä 723 kertaa. Yhteydenotot liittyivät pääasiassa haittaohjelmiin kuin myös edelliskausina vuodesta 2006 lähtien. Kauden aikana CERT-FI:lle toimitettiin vain neljä tietoturvailmoitusta, jotka perustuvat Viestintäviraston määräykseen 9. Ilmoitukset koskivat palvelunestohyökkäyksiä. Näiden tietojen perusteella tietomurrot tai haavoittuvuudet eivät tällä kaudella aiheuttaneet merkittäviä haittoja. Viestintävirasto vastaanotti teleyrityksiltä loka-marraskuussa yhteensä 49 määräyksen 57 mukaista vika- ja häiriöilmoitusta, joista merkittäviä A- ja B-luokan vikoja raportoitiin yhteensä 15. Edelliskaudella ilmoituksia saatiin 10. Loka-marraskuun vika- ja häriöilmoitusten suurehkoa määrää selittää muun muassa syksyinen Eino-myrsky. Vuoden 2013 viimeinen Tietoturvakatsaus 4/2013 on jaettu kuuteen eri osaan: sisältökoosteeseen, merkittäviin kaudenaikaisiin tapahtumiin, uusiin ja pitkäkestoisiin ilmiöihin sekä yleisen viestintäverkon poikkeamatapauksiin. Uutena katsausosiona on Lainsäädäntöä ja tulkintoja, jossa kerrotaan esimerkiksi ajankohtaisia tietoturvaan ja tietoverkkoihin liittyvistä säädösvalmisteluista sekä kotimaassa että EU:ssa. Kauden merkittävissä tapahtumissa tarkastellaan muun muassa käyttäjän valintamahdollisuuksia kansainvälistyvien viestintäpalvelujen parissa sekä esitellään Viestintäviraston julkaisemaa viestinnän suojaamisohjetta. Uudet ilmiöt -osiossa keskitytään esimerkiksi yhä ajankohtaiseen uhkaan kohdistetuista haittaohjelmahyökkäyksistä. Lisäksi uutta tietoa saadaan Ransomware-kiristyshaittaohjelmasta ja laajasta Adobe-murrosta. Tällä kertaa pitkäkestoisissa ilmiöissä keskitytään Viestintäviraston haavoittuvuuskoordinoinnin käytäntöihin. Tuttuun tapaan Yleisen viestintäverkon poikkeamat - osassa kerrotaan loka-marraskuun aikana Viestintävirastolle raportoiduista poikkeamista, muun muassa CERT-FI:lle lähetetyistä tapahtumailmoituksista, CERT-FI:n Autoreporter-työkalun tekemistä haittaohjelmahavainnoista ja teleyritysten ilmoittamista viestintäverkkojen vika- ja häiriötapauksista. Vuoden viimeinen tietoturvakatsaus sisältää myös oman säädösosion, johon pääsee tutustumaan kohdassa Lainsäädäntöä ja tulkintoja. Tietoturvakatsaus 4/2013 3

2. Kauden merkittäviä tapahtumia 2.1 Käyttäjän edellytyksiä valita palvelunsa parannettava kansainvälistyvissä viestintäpalveluissa Julkisuudessa esitetyt tiedot kansainvälisestä tiedustelutoiminnasta ovat herättäneet kysymyksiä viestinnän luottamuksellisuudesta myös Suomessa. Viestintävirasto teki kesällä 2013 teleyritysselvityksen siitä, vaikuttaako ulkomainen tiedustelutoiminta suomalaisten viestintäpalveluiden tietoturvallisuuteen ja erityisesti viestinnän luottamuksellisuuteen. Selvitys kattoi myös suomalaisten teleyritysten ulkomaisia kumppaneita. Selvityksen perusteella tiedustelutoiminnalla ei arvioitu olevan erityisiä vaikutuksia suomalaisten teleyritysten tarjoamiin viestintäpalveluihin. On kuitenkin huomattava, että myös suomalaisten teleyritysten tarjoamia viestintäpalveluita toteutetaan käytännössä yhä enemmän monikansallisesti ja käyttäjät voivat hankkia viestintäpalveluita myös suoraan ulkomailta internetin välityksellä. Selvityksen perusteella noin kolmannes teleyrityksistä toteuttaa viestintäpalvelunsa kokonaan Suomessa. Suomalainen teleyritys voi huolehtia viestinnän suojaamisesta, mutta ulkomaisten kumppaneiden on noudatettava oman valtionsa lainsäädäntöä. Tämä voi tehdä mahdolliseksi sen, että ulkomainen kumppani voi tulkita viestinnän luottamuksellisuutta Suomen säädännöstä eroavalla tavalla. Viestintävirasto julkaisi päätelmänsä selvityksestä 16.10.2013. Käyttäjien on voitava valita niin kotimaisia kuin kansainvälisesti toteutettuja palveluita. Käyttäjä voi kuitenkin tarvita nykyistä parempia tietoja palvelusta pystyäkseen valitsemaan tarpeisiinsa sopivan palvelun ja huomioimaan tarvittaessa valinnoissaan sen mahdollisuuden, että palveluun voi vaikuttaa myös ulkomainen lainsäädäntö. Lisätietoja aiheeseen liittyen saa osiosta 6. Lainsäädäntöä ja tulkintoja kohdasta 6.6. Viestintäviraston tulkintoja. 2.1.1 Viestintäviraston ohjeita viestinnän suojaamiseen Käyttäjä voi myös itse vaikuttaa viestintänsä suojaamiseen. Viestintävirasto julkaisi 16.10.2013 ohjeita viestinnän suojaamiseen. Ohjeet muistuttavat käyttäjiä siitä, että Suomen lainsäädäntö suojaa suomalaisissa tietoverkoissa välitettävien viestien luottamuksellisuuden, mutta se ei voi taata luottamuksellisuuden säilymistä ulkomaisissa viestintäpalveluissa tai Suomen rajojen ulkopuolella. Ohjeissa on muun muassa kuvattu yleisiä hyviä käytäntöjä sähköiseen viestintään, eri internet-yhteystyypit sekä sähköisten viestinnän palveluiden käyttö ulkomailla. Lisäksi ohjeissa esitellään yleisimmin käytettyjen sähköisen viestinnän palveluiden uhat sekä niiltä suojautuminen. Sähköisen viestinnän turvaamista on syytä pohtia myös tiedon luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Nämäkin näkökulmat on ohjeissa huomioitu. Ohjeissa otetaan kantaa myös siihen, kuinka oman tiedon suojaamistarvetta voi arvioida. Jos on tarve viestiä luottamuksellisia tietoja, tiedot on syytä salata sopivalla menetelmällä. Jos taas viestien salaus ei ole mahdollista, on ainakin varmistuttava siitä, että luottamukselliseen viestintään käytetty tietoliikenneyhteys on salattu. Ohjeissa esitellään viestien salaamiseen sopivia ratkaisuja sekä kerrotaan, kuinka käyttäjä voi ottaa selvää, onko yhteys varmasti salattu. Tietoturvakatsaus 4/2013 4

2.2 Toinen merkittävä tietomurtosarja paljastui CERT-FI on avustanut Helsingin poliisilaitosta uuden tietomurtosarjan tutkinnassa. Osallisena ollut suomalainen tekijä on toiminut osana kansainvälistä hakkeriryhmää, joka on murtautunut ainakin 50 000 palvelimelle kymmeniin eri maihin. Ryhmä on keskittynyt pääosin luottokorttitietojen varkauksiin. Kohteiden joukossa ei ole juurikaan suomalaisia palveluita. Ryhmä on asentanut takaovia kymmenille tuhansille Coldfusion-palvelimille kevään 2013 aikana käyttäen hyväkseen haavoittuvuuksia Coldfusion-palvelinohjelmistossa. Osa käytetyistä haavoittuvuuksista on ollut nollapäivähaavoittuvuuksia tietomurron tekohetkellä. Toisena kohteena ovat olleet Parallells Plesk -paneelia käyttävät sivustot, joihin on onnistuttu murtautumaan ja lataamaan varmuuskopio Plesk-paneelista. Varmuuskopio on sisältänyt palvelimen käyttäjätunnuksia, salasanoja sekä yksityisiä avaimia. Sisältönä on ollut muun muassa SSL/TLS RSA private key -tyyppisiä tietoja. Näiden tietojen avulla kohteisiin on ollut mahdollista murtautua laajemminkin. Ryhmä on myös murtautunut tietokantoihin SQLinjektiohyökkäysten avulla. Tietomurtojen laajuudesta johtuen eri maiden CERT-toimijat ovat voineet ottaa yhteyttä varsinaisiin tietomurron kohteisiin, kuten palvelinten ja järjestelmien omistajiin ja ylläpitäjiin. Yhteydenotot perustuvat tietomurtojen maakohtaisiin materiaaleihin. Aineiston läpikäynti on vielä kesken. Tietoturvakatsaus 4/2013 5

3. Uudet ilmiöt 3.1 Kohdistettujen haittaohjelmahyökkäysten uhka yhä ajankohtainen Kohdistetut haittaohjelmahyökkäykset eli APT-hyökkäykset (Advanced Persistent Thread) ovat olleet tietoturva-alan tapahtumissa toistuvasti puheenaiheena asiantuntijapiirien tunnistamana kasvavana ongelmana. Alkuvuodesta tietoturvayhtiö Kaspersky raportoi Red October ja Miniduke-haittaohjelmista. Suomalaisittain aihe nousi julkisuuteen loka-marraskuun vaihteessa, kun Suomen ulkoministeriö kertoi verkkoonsa kohdistuneesta tietoturvaloukkauksesta. Ulkoministeriön verkkoon oli murtauduttu APT-hyökkäyksen avulla. Valtioon kohdistuneen laittoman tiedonhankinnan vuoksi tapaus on Suojelupoliisin esitutkinnassa. Usein ensimmäiset onnistuneet hyökkäykset havaitaan, kun ne ovat olleet verkossa vähintään useamman kuukauden ajan. Tämän vuoksi tehokkain keino ennaltaehkäistä tulevia vahinkoja on käsitellä tietoja luokitellusti ja rakentaa verkon suojaus sipulimaisesti ydintä kohden tiedon suojausta tehostaen. KATAKRI-turvallisuusauditointikriteeristö on esimerkki, joka noudattaa tämän kaltaista periaatetta. Teknisesti APT-hyökkäykset kehittyvät ja muuttuvat jatkuvasti, joten ajantasainen tiedonvaihto on välttämätöntä uusien haittaohjelmien ja tunnetuista haittaohjelmista laadittujen muunnosten havaitsemiseksi. Tunnistamiseen voidaan käyttää haittaohjelman tunnistetietoja eli IOC-dataa (Indicators Of Compromise), jotka ovat eräänlaisia sormenjälkiä haittaohjelman toimintaperiaatteista tai sen aiheuttamasta verkkoliikenteestä. Tunnistetietoina voidaan käyttää esimerkiksi IP- ja URL-osoitteita. CERT-FI ylläpitää tietoturvaloukkausten havainnointiin kehitettyä HAVARO-järjestelmää, jonka tunnistetiedoista osa on ollut saatavilla vain ei-kaupallisten yhteistyöverkostojen kautta. Tunnistetiedot voidaan muodostaa ja välittää tietoturvatoimijoiden kautta siten, että haittaohjelman kohdeorganisaatiot eivät paljastu. Olennaisinta aikaisessa havaitsemisessa on verkon ja sen liikenteen jatkuva seuranta. Havaitessaan tai epäillessään APT-hyökkäystä on asiantuntija-avun saamiseksi hyvä ottaa yhteyttä CERT-FI-tietoturvaviranomaiseen ja rikoksen selvittämiseksi poliisiin. Ensiavun antamiseksi CERT-FI on laatinut APT-ohjeen, joka luovutetaan sitä tarvitseville toimijoille. Ilmiönä APT-hyökkäykset ovat olleet CERT-FI:n tiedossa vuodesta 2004 saakka. Viimeisen viiden vuoden hyökkäyksiä on havainnoitu kasvavassa määrin. Tämä voi olla seurausta parantuneesta havainnointikyvystä, kohdistettujen hyökkäysten lisääntymisestä tai molemmista. Koska organisaatioiden käsittelemä tieto on valtaosalta siirtynyt säilöttäväksi ja välitettäväksi verkkoon, kohdistetut hyökkäykset ovat jatkossa yhä kasvava uhka.. 3.2 DNS-kaappaukset Lokakuussa Qatarin verkkotunnusjärjestelmän käyttäjätunnuksia ja salanoja joutui sivullisten haltuun. Useiden suosittujen.qa-verkkotunnusten tietoja muutettiin siten, että niihin kohdistuvat nimipalvelukyselyt, www-selailu ja sähköpostiviestit ohjautuivat useiden tuntien ajan Syrian Electronic Army -nimisen ryhmittymän hallitsemille palvelimille. Nimipalvelujärjestelmän rakenteesta johtuen vaikutus oli kuitenkin pitempi, sillä muutetut tiedot säilyivät jonkin aikaa palvelinten ja työasemien välimuistissa. Käytettävissä olevien tietojen mukaan verkkotunnusjärjestelmän palvelimelle murtautumalla oli hankittu verkkotunnusten hallintaan tarvittavia käyttäjätunnuksia ja niihin liittyviä salasanatiivisteitä, joiden perusteella oli onnistuttu selvittämään myös osa salasanoista. Tietoturvakatsaus 4/2013 6

Murtautujat olivat käyttäneet haltuunsa saamiaan tunnuksia muuttaakseen useiden Qatarin valtiollisten ja sotilaallisten verkkosivujen osoitteita. Muita kohteita olivat esimerkiksi Google Qatar, Facebook Qatar, Vodafone Qatar ja monet muut suositut osoitteet. Nimipalvelukaappauksen tarkoituksena näyttää olleen lähinnä poliittisen viestin levittäminen omilta palvelimilta sen sijaan, että olisi pyritty murtautumaan suoraan kohteina olleille wwwpalvelimille. Myös yksittäisten verkkotunnusten rekisteröintitiedot ovat houkutteleva kohde, sillä nimipalvelun avulla voidaan toteuttaa erilaisia huijauksia. Tarjoamalla www-sivujen selailijalle alkuperäistä sivua jäljittelevää sisältöä voidaan pyrkiä urkkimaan käyttäjätunnuksia ja salasanoja. Käyttäjä voidaan myös ohjata palvelimelle, joka pyrkii tartuttamaan tietokoneeseen haittaohjelmia. Verkkotunnukseen liittyvän sähköpostin voi myös ohjata haluamalleen palvelimelle, minkä avulla on mahdollista luvattomasti tarkkailla luottamuksellista viestintää. Verkkotunnusten rekisteröintipalvelut ovat olleet tänä vuonna aikaisemminkin tietomurtojen kohteina. Elokuussa australialaisen Melbourne IT-yhtiön jälleenmyyjän vääriin käsiin joutuneita tunnuksia käytettiin luvatta useiden verkkotunnusten tietojen muuttamiseen. Kohteena olivat Twitter, New York Times, Huffington Post ja ShareThis. Tämänkin kaappauksen tekijäksi ilmoittautui Syrian Electronic Army. Aikaisemmin lokakuussa yhdysvaltalaisen Network Solutionsin kautta rekisteröityjen verkkotunnusten tietoja muutettiin luvatta. Tekijäksi ilmoittautui KDMS Group -nimellä esiintynyt poliittinen ryhmittymä. Kohteina olivat Twitterin kuvien jakamiseen käytetty verkkotunnus, tietoturvaohjelmistoihin liittyvät Avira ja AVG, Whatsapp-palvelu, wwwtilastointipalvelu Alexa sekä aikuisviihdesivusto RedTube. Hosting-palveluntarjoaja Leaseweb ilmoitti myös lokakuussa, että sen verkkotunnustiedot oli kaapattu, ja yhtiön sivuille pyrkivät käyttäjät ohjattiin KDMS Groupin hallitsemalle palvelimelle. Verkkotunnus oli rekisteröity Key-Systems -nimisen yhtiön kautta. 3.3 Ransomware Käyttäjän tietokoneen haltuunsa kaappaavat haittaohjelmat ovat edelleen kiusanneet käyttäjiä. Niitä voi hyvällä syyllä kutsua myös kiristyshaittaohjelmiksi, sillä niiden tarkoituksena on painostaa käyttäjää maksamaan korvaus, minkä jälkeen hän saisi koneen uudelleen haltuunsa. Kyseessä on kuitenkin tältäkin osin huijaus eikä lunnaiden maksaminen rikolliselle poista haittaohjelmaa. Liikkeellä on ollut useita eri haittaohjelmia, joista yleisimpiä Suomessa näyttävät olevan Reveton-haittaohjelman eri versiot. Ne tunnistaa siitä, että konetta käynnistettäessä kone lukittuu ja ruudulle tulee poliisin nimissä laadittu ilmoitus, jossa väitetään koneesta löytyneen laitonta sisältöä, kuten lapsipornoa, laittomasti ladattuja musiikkitiedostoja tai elokuvia. Tämän vuoksi käyttäjän tulisi maksaa sakko, jotta asiaa ei vietäisi pitemmälle ja käyttäjä saisi koneen taas käyttöönsä. Reveton-haittaohjelmia on levitetty yleisesti eri puolilla maailmaa. Haittaohjelman viesti on tavallisesti lokalisoitu kohdemaahan. Suomessa haittaohjelma esiintyy yleensä poliisin tai muun uskottavalta vaikuttavan tahon nimissä. Englanninkieliset ilmoitukset voivat näyttää tulevan myös esimerkiksi FBI:ltä. Revetonin tapaan toimivia huijausyrityksiä on tehty myös siten, että käyttäjä ohjataan wwwsivulle, joka lukitsee koneen JavaScriptin avulla. Tällöin koneeseen ei ole tarttunut varsinaista haittaohjelmaa, mutta kokemattomalle käyttäjälle tämänkin ongelman ohittaminen Tietoturvakatsaus 4/2013 7

voi olla vaikeaa, sillä selain voi uudelleenkäynnistyksen yhteydessä avata lukitussivun automaattisesti uudelleen. Tällä hetkellä maailmalla on yleistymässä Cryptolocker-niminen haittaohjelma. Ohjelma etsii tietokoneista dokumentteja, jotka se sitten salakirjoittaa siten, ettei niitä voi enää avata. Tiedostojen palauttamista varten ohjelma pyytää maksusuoritusta. Painostamista tehostetaan siten, että maksu täytyy suorittaa määräajassa, minkä jälkeen hinta nousee. Toistaiseksi Cryptolocker on ollut lähinnä yhdysvaltalaisten käyttäjien kiusana, mutta on merkkejä siitä, että sen levittämisalue on laajenemassa. Haittaohjelmat pyytävät maksusuorituksen jollakin sellaisella tavalla, joka tekee maksun saajan jäljittämisen vaikeaksi. Suomessa tavatuissa Reveton-versioissa annetaan ohjeet maksamiseen PaySafeCard-maksuosoituksen avulla. Cryptolocker puolestaan vaatii maksua bitcoin-virtuaalivaluuttana. Kummankaan ohjelman pyytämiä maksuja ei pidä maksaa. Haittaohjelmatartunnan voi saada www-selaimen kautta, varsinkin jos selainta, sen lisäosia, koneen käyttöjärjestelmää ja Java-ympäristöä ei ole päivitetty tuoreimpiin versioihin. Verkon käyttäjä voidaan tietämättään ohjata verkkosivulle, joka etsii koneesta haavoittuvan ohjelmiston ja tartuttaa haittaohjelman käyttämällä sitä hyväksi. Tartuntaa ei välttämättä havaitse lainkaan, ja uudelleenohjaus voi tulla esimerkiksi murretulle sivustolle lisätyn haitallisen sisällön tai esimerkiksi verkkosivujen mainosten kautta. Säännölliset päivitykset ja virustorjuntaohjelmisto yhdessä tarjoavat useimmiten vähintään kohtalaisen suojan. Poliisi, F-Secure ja CERT-FI julkaisivat lokakuussa kiristyshaittaohjelmiin keskittyvän neuvontasivuston ransomware.fi. 3.4 Adobe-murto Ohjelmistoyhtiö Adobe ilmoitti lokakuun alussa tietomurrosta, jonka yhteydessä anastettiin 2,9 miljoonan käyttäjän Adobe ID -tunnukset, salatut pankki- ja luottokorttitiedot sekä salatut salasanat. Näiden lisäksi useiden Adoben tuotteiden lähdekoodit varastettiin. Lisäksi lokakuun 24. päivä internetiin ladattiin tiedosto, joka sisälsi noin 150 miljoonan käyttäjän Adobe ID -tunnuksia, sähköpostiosoitteita, 3DES-salattuja salasanoja sekä salasanavihjeitä. Suomalaisia sähköpostiosoitteita sekä salasanoja joukossa oli ainakin 300 000. Koska salasanat on salattu 3DES-algoritmilla, on kaikkien salasanojen palautus selväkieliseksi mahdollista, jos salausavain pystytään löytämään. Algoritmista johtuen eri käyttäjien samat salasanat ovat listassa samanlaisia myös salatussa muodossa. Kun eri käyttäjien salasanoja ja niihin liittyviä salasanavihjeitä yhdistetään toisiinsa, alkuperäisen salasanan selvittäminen on hyvin todennäköistä. CERT-FI:n saamien tietojen mukaan sähköpostilistaa on jo käytetty roskapostitarkoituksessa. On myös todennäköistä, että tietojenkalasteluviestit kyseisiin osoitteisiin tulevat lisääntymään. Adobe on tiedottanut aiheesta ja vaatinut kaikkia käyttäjiään vaihtamaan Adobe ID - salasanansa. 3.5 SMS-huijausviestejä liikkeellä edelleenkin SMS-huijausviestien lähettäminen sekä perinteisinä että Flash-tekstiviesteinä suomalaisiin matkapuhelimiin jatkuu. Edellisen kerran Flash-huijausviesteistä tiedotettiin muun muassa CERT-FI:n Tietoturvakatsauksessa 3/2013. Tietoturvakatsaus 4/2013 8

Viestit sisältävät ilmoituksen arpajaisvoitosta. Samassa yhteydessä on myös jaettu linkkejä erilaisiin palveluihin tai ohjattu ottamaan yhteyttä eri sähköpostiosoitteisiin. Tekstiviesteihin ja viesteissä esiintyviin sähköpostiosoitteisiin ei edelleenkään pidä vastata eikä viesteissä esiintyviä linkkejä saa avata. Tietoturvakatsaus 4/2013 9

4. Pitkäkestoiset ilmiöt 4.1 Haavoittuvuusjulkaisun eri ulottuvuuksista Ohjelmistojen haavoittuvuudet, eli tietoturvan kannalta merkittävät toteutusvirheet, ovat usein merkittävässä roolissa erilaisissa tietoturvaloukkauksissa. Joka vuosi julkaistaan useita tuhansia haavoittuvuuksia, jotka vaihtelevat suuresti kohteiltaan, vaikutuksiltaan ja vakavuuksiltaan. Haavoittuvuuksien vaikutuksia arvioidessaan CERT-FI joutuu punnitsemaan niistä eri käyttäjäryhmille aiheutuvaa riskiä. CERT-FI julkaisee vuosittain noin 100-200 tiedotetta haavoittuvuuksista, joiden vaikutukset suurelle yleisölle arvioidaan vakaviksi. Tämän lisäksi joistakin haavoittuvuuksista tehdään Tietoturva nyt! -artikkeleita tai tietyille kohderyhmille suunnattuja tiedotteita. CERT-FI saa tietoa joistakin haavoittuvuuksista myös haavoittuvuuskoordinaatiotyön kautta. Haavoittuvuuksia hyödynnetään hyökkäyksissä, joissa kohteena on suuri käyttäjäkunta, yrityksiä tai yhteisöjä. Ohjelmistojen valikoitumista hyökkäyskohteiksi voidaan tarkastella esimerkiksi jaottelemalla ohjelmistot asiakas- ja palvelinohjelmistoihin sekä edelleen yleisesti käytettyihin ja jotain erityiskäyttöä varten luotuihin ohjelmistoihin. Jos CERT-FI:n tietoon tulee haavoittuvuus, joka koskee yleisesti käytettyä ohjelmistoa, haavoittuvuustiedotteen julkaisupäätös on melko vaivatonta. Tällaisissa tapauksissa haavoittuvuuden hyväksikäytön vaikutukset suurelle käyttäjäjoukolle ovat usein selkeitä. Yleisesti käytettyjä asiakasohjelmistoja käytetään tyypillisesti hyökkäyksissä, joiden tarkoituksena on haittaohjelmien massalevitys käyttäjien tietokoneille. Viime vuosina tässä yhteydessä käytetyimpiä ovat olleet muiden muassa Microsoftin Officetoimistopaketin, Adoben Reader-pdf-lukijaohjelmiston sekä Oraclen Java-ohjelmointikielitulkin haavoittuvuudet. Vakavat asiakasohjelmistohaavoittuvuudet johtavat usein laajaan hyväksikäyttöön hyväksikäyttömenetelmäpakettien (exploit kit) avulla. Viime kuukausina on uutisoitu useista haavoittuvuuksista kotikäyttöön tarkoitetuissa langattomissa tukiasemissa sekä internetyhteyslaitteina käytetyissä DSL- ja kaapelimodeemeissa. Turvattomien perusasetusten lisäksi laitteista on löytynyt haavoittuvuuksia, lähinnä www-pohjaisissa hallintaliittymissä. Tyypillisesti haavoittuvuuksia hyödyntämällä on voinut muuttaa laitteen avulla tarjottavan verkon asetuksia esimerkiksi siten, että nimipalvelimet on vaihdettu hyökkääjän haluamiin. Nimipalvelinasetusten hallinnan avulla hyökkääjä voi helposti tarjota käyttäjän haluamien verkkosivujen sijaan mainoksia tai haittasisältöä sisältäviä sivustoja. Myös muunlaiset verkkohyökkäykset ovat mahdollisia. Internet-yhteyslaitteiden haavoittuvuuksien avulla tehtävät hyökkäykset saattavatkin tulevaisuudessa yleistyä. Yrityksiä ja yhteisöjä vastaan käytetyissä hyökkäyksissä käytetään asiakasohjelmistojen lisäksi eri palvelinohjelmistojen haavoittuvuuksia. Palvelinohjelmistoista tyypillisiä hyökkäyskohteita ovat eri julkaisu- ja sisällönhallintajärjestelmien päivittämättömät versiot. Hyökkääjät etsivät verkosta jatkuvasti tällaisista palveluista haavoittuvia versioita, jotka päätyvät nopeasti tietomurtojen kohteiksi. Ohjelmistojen käytön laajuudesta ei ole saatavilla kovin hyviä tilastoja tai muita tietolähteitä. Ei olekaan aina selvää, onko jokin ohjelmisto riittävän yleisessä käytössä, jotta siitä kannattaa tehdä tiedote suurelle yleisölle. Erityiskäyttöisissä sovelluksissa on taas hankala tietää, mikä on tiedotteen oikea kohderyhmä ja onko ohjelmisto käyttäjilleen tärkeä. CERT-FI tekee yhteistyötä huoltovarmuuskriittisten yritysten kanssa ymmärtääkseen eri sektoreiden, kuten energia- ja finanssialan yritysten ympäristöjä ja niiden käyttämiä sovelluksia. Tietoturvakatsaus 4/2013 10

Haavoittuvuustiedotteiden julkaisussa joudutaan usein tekemään kompromisseja julkaisun nopeuden ja sisällön laajuuden sekä teknisen tarkkuuden välillä. Haavoittuvuuden ymmärtäminen vaatii vähintäänkin saatavilla olevan tiedon tarkkaa analyysiä. Ymmärrys haavoittuvuudesta ja sen vaikutuksista saattavat usein muuttua julkisuuteen tulevan tiedon tarkentuessa. Haavoittuvuuden toistamiseen tai analyysiin itse tuotetun tiedon pohjalta on harvoin mahdollisuuksia. Päivitysten lisäksi palvelinohjelmistoista tarvittaisiin tietoa erityisesti haavoittuvuuden rajoituskeinoista, sillä palvelinjärjestelmien päivitys ei ole aina niin suoraviivaista. Yleispäteviä ja haitattomia rajoituskeinoja voi olla hankala löytää. Tietoturvakatsaus 4/2013 11

5. Yleisen viestintäverkon poikkeamat 5.1 CERT-FI-tapahtumailmoitukset Loka-marraskuun aikana CERT-FI:lle toimitettiin neljä tietoturvailmoitusta, jotka perustuvat Viestintäviraston määräykseen 9 tietoturvaloukkausten ilmoitusvelvollisuudesta yleisessä teletoiminnassa. Ilmoituksia saatiin poikkeuksellisen vähän, vaikka tarkasteltava ajanjakso oli tällä kertaa kaksi kuukautta. Aiemmin julkaistuissa CERT-FI:n tietoturvakatsauksissa osavuosi on perinteisesti koostunut kolmesta kuukaudesta. Kuva 1 Määräys 9:n mukaiset tapahtumailmoitukset Määräyksen 9 tarkoituksena on määritellä sähköisen viestinnän tietosuojalain 21 :n mukaisten merkittävää tietoturvaloukkausta tai sen uhkaa koskevan ilmoituksen sisältö ja menettelytavat Viestintävirastolle. 5.1.1 Autoreporter-havainnot eritellään omiksi kategorioikseen Autoreporter on CERT-FI:n tuottama palvelu, joka kokoaa automaattisesti havaintoja suomalaisia verkkoja koskevista haittaohjelmista ja tietoturvaloukkauksista ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelu havainnoi kaikkia suomalaisia verkkoalueita. Kuvaajia tulkittaessa on huomioitava, että ilmiöön liittyy useita muuttujia. Muun muassa havaintojen määrä vaihtelee huomattavasti eri päivien ja viikkojen välillä. Esimerkiksi lyhyen aikavälin vaihtelu voi olla seurausta siitä, että Autoreporter-palvelun käyttämä datalähde syystä tai toisesta ei ole pystynyt toimittamaan haittaohjelmahavaintojaan. Kuitenkin uudet ja laajasti levinneet haittaohjelmaperheet tulevat selkeästi esille viimeistään vuositasolla. Autoreporterin elinkaaren aikana myös datalähteissä on tapahtunut muutoksia. Uusia luotettavia lähteitä on ajan mittaan lisätty ja epäluotettavia tietolähteitä on karsittu tai lähteen tietoja on suodatettu teleyrityksiltä saadun palautteen perusteella. Autoreporterin havaitsemista tapauksista suurin osa on erilaisia bot-haittaohjelmatartuntoja. Seuraavassa palvelun havaintoja, jotka on kategorisoitu omiksi osioikseen: Tietoturvakatsaus 4/2013 12

100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % "Suspected spambot" Scan Phishing MalWeb Bot Other 0 % Kuva 2 Autoreporter-palvelun havainnot kategorioittain joulukuusta 2012 marraskuuhun 2013 5.1.1.1 Suspected Spambot Suspected spambot -kategoria kertoo lukumäärän eri IP-osoitteista, joista on havaittu lähetettävän roskapostiviestejä. Tällaisissa tapauksissa on syytä epäillä, että työasema, johon IP osoittaa, on haittaohjelman saastuttama ja sitä käytetään roskapostin lähetysalustana. Huhti-kesäkuussa spambot-havainnot lisääntyivät merkittävästi, mikä johtui yksittäisen teleyrityksen asiakkaiden haittaohjelmatartunnoista. Esimerkiksi toukokuussa Autoreporter havaitsi lähes 70000 tartuntaa. Tämän jälkeen tartuntahavainnot ovat vähentyneet selvästi. Syyskuussa Autoreporter teki noin 100 Suspected spambot -havaintoa. 5.1.1.2 Scan Scan-kategoriassa on kuvattu niiden IP-osoitteiden lukumäärä, joista verkkoa on skannattu todennäköisesti vain ajattelemattomasti tai verkkoskannauksen takana on väärissä käsissä oleva tietojärjestelmä tai haittaohjelmalla saastunut työasema. Tilaston mukaan suomalaisista IP-osoitteista verkkoja skannataan aktiivisesti. 5.1.1.3 Phishing Kyseisessä IP-osoitteessa on havaittu urkintaan osallistuva verkkosivusto. Kyseessä on yleisimmin tietomurron kohteeksi joutunut työasema tai www-palvelin. 5.1.1.4 Malweb IP-osoitteessa on havaittu haitallinen verkkosivusto. Tyypillisimmin kyse on haitallisesta JavaScript-koodista, iframe-viittauksesta tai muusta verkkosivulle sisällytetystä haitallisesta osiosta. Tietoturvakatsaus 4/2013 13

5.1.1.5 Bot Bot-kategoria kertoo niiden IP-osoitteiden lukumäärän, joissa on havaittu haittaohjelmalla saastunut työasema. Saastunut työasema liitetään yleensä osaksi hyökkääjän etähallitsemaa bottiverkkoa. Tällaisia bottiverkkoja käytetään muun muassa palvelunestohyökkäyksiin. Zero Access -haittaohjelmatartuntojen määrä kasvoi huomattavasti elokuussa. Tämä johtuu havaintokyvyn parantumisesta eikä kerro tartuntojen lisääntymisestä. 5.1.1.6 Other Other-ryhmässä ovat mukana seuraavat kategoriat: bruteforce: IP-osoitteesta on havaittu murtoyrityksiä yleisesti käytettyjä verkkopalveluja vastaan. Verkkopalveluiden tunnussanoja yritetään murtaa systemaattisesti joko satunnaisilla merkkijonoilla tai kokeilemalla sanakirjoista löytyviä sanoja. IP-osoitteessa oleva työasema on voinut päätyä tietomurron kohteeksi tai haittaohjelman saastuttamaksi. cc: Haittaohjelmalla saastunut työasema liitetään yleensä tavalla tai toisella osaksi hyökkääjän hallitsemaa bot-verkkoa. IP-osoitteessa on tunnistettu hallintapalvelin, jota käytetään tällaisten bot-verkkojen komentamiseen. dameware: Vanhoissa DameWare Mini Remote Control -ohjelmistoissa on haavoittuvuus, jota voidaan hyväksikäyttää etäältä. Haavoittuvuuden kautta työasemalle voidaan asentaa esim. haittaohjelmia. IP-osoitteessa on havaittu DameWare-haavoittuvuuden mahdollisesti onnistunut hyväksikäyttö. ddos: Havainto listaa sekä palvelunestohyökkäyksiin osallistuvat työasemat että palvelunestohyökkäyksen kohteeksi joutuneita kohteita. defacement: IP-osoitteessa on töhritty verkkosivu. dipnet: Windows-työasemia saastuttava verkkomato, joka käyttää leviämisessä hyväksi LSASS-haavoittuvuutta. fastflux: Nimipalvelintasolla toteutettu tapa piilottaa bot-verkon hallintapalvelimet, huijaustoimintaan osallistuvat verkkosivustot sekä haittaohjelmien levityssivut. Piilotus toimii niin, että nimipalvelin jatkuvasti palauttaa uusia IP-osoitteita tietylle verkkotunnukselle. Palautettujen IP-osoitteiden takaa löytyy useimmiten saastunut työasema, joka on osa botverkkoa. malware: IP-osoitteessa on jaeltu haittaohjelmaa. proxy: Työasemasta tai palvelimesta on tehty avoin välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä esimerkiksi roskapostin lähettämisenä ja bot-verkkojen komentamisena. router: Verkon aktiivilaitteesta on tehty välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla. spreaders: Haittaohjelmilla on monia leviämismekanismeja, joista yksi on käyttöjärjestelmän haavoittuvuudet. IP-osoitteesta on havaittu haittaohjelman leviämisliikenteen tunnusmerkkejä. worm: IP-osoitteesta on havaittu verkkomadon leviämisyritys. Verkkomadot leviävät yleensä käyttämällä hyväksi jotakin verkkopalvelun haavoittuvuutta. 5.1.1.7 Autoreporterin päivittäiset Incidents daily -havainnot Incidents daily -tilasto kertoo Autoreporterin päivittäin keräämistä raporteista, jota koostuvat suomalaisten IP-osoitteista ilmoitetuista haittaohjelmatartunnoista. Tietoturvakatsaus 4/2013 14

Kuva 3 Autoreporterin käsittelemät tapaukset 1.1. - 30.11.2013 Tapaukset lisääntyivät selvästi elokuusta lähtien ja jatkoivat kasvuaan loka-marraskuussa. Syynä tähän on Autoreporterin Zero Access -haittaohjelman havainnointikyvyn parantuminen. 5.1.2 Autoreporterin haittaohjelmahavainnot Alla olevissa tilastoissa on kuvattu Autoreporterin havaitsemat Conficker-, Citadel-, Zeus- ja Zero Access -haittaohjelmatartunnat suomalaisissa IP-osoitteissa. 5.1.2.1 Conficker Ensimmäiset Conficker-haittaohjelmahavainnot tehtiin Suomessa tammikuussa 2009. Lokamarraskuussa 2013 havainnot ovat olleet noin 1300 havaintoa kuukaudessa. Maailmanlaajuisesti myös Conficker-tartunnat ovat vähenemässä. Suomessa Conficker-haittaohjelmatartuntojen vähentymiseen ovat merkittävästi vaikuttaneet Autoreporterin kyky havainnoida tartuntoja, välittää tiedot teleyrityksille sekä teleyritysten aktiiviset toimet tartunnan saamien työasemien poistamiseksi. Tietoturvakatsaus 4/2013 15

Kuva 4 Conficker-havainnot tammikuu 2012 - marraskuu 2013 5.1.2.2 Zero Access Zero Access -haittaohjelmaa käytetään hyödyksi niin sanotun digitaalisen valuutan, Bitcoinin, väärinkäytöksissä sekä klikkausten määrään perustuvien mainoksien laskutuksen väärinkäytöksissä (clickfraud). F-Securen mukaan Zero Access on yksi kehittyneimmistä ja suurimmista botnet-perheistä. Se sisältää useita eri komponentteja, joilla verkkorikolliset pyrkivät hyväksikäyttämään saastuneita tietokoneita. Koko Zero Access -botnetin sulkemisyrityksiä on ollut useita, mutta peer-to-peer-verkon kautta komentonsa saava haittaohjelma on aina onnistunut pysymään hengissä. Myös Suomessa Zero Access -tartuntojen määrä on merkittävä verrattuna muihin haittaohjelmaperheisiin. Syyskuussa Viestintäviraston Autoreporter-palvelun havainnointikyky Zero Access - haittaohjelmaan parani olennaisesti. Tästä lähtien havaintojen määrä onkin ollut nopeassa kasvussa. Marraskuussa ilmoituksia kertyi noin 64000. Tietoturvakatsaus 4/2013 16

Kuva 5 Zero Access -havainnot tammikuusta 2012 marraskuuhun 2013 5.1.2.3 Tietoja varastavat haittaohjelmat Zeus ja Citadel Myös suomalaiset verkkopankkien asiakkaat ovat haittaohjelmien kohteina. Tavallisimmin huijausyrityksissä käytetään Citadel-haittaohjelmaa tai jotakin Zeus-haittaohjelmiin kuuluvaa versiota. Zeus- ja Citadel-haittaohjelmia käytetään monenlaiseen rikolliseen toimintaan, joista tyypillisiä käyttötarkoituksia ovat verkkopankkihuijaukset, kiristykset, käyttäjätunnusten varastaminen ja ylipäänsä käyttäjän koneelle tallentamien tietojen hyväksikäyttö. Tätä asiaa on käsitelty laajemmin Tietoturvakatsauksessa 3/2013 muun muassa Finanssivalvonnan ja poliisin näkökulmasta. Suomalaisen virustorjuntayhtiö F-Securen mukaan pankkitroijalaisten tilanne on maailmanlaajuisesti pysynyt pääosin ennallaan. Zeus-varianteista Citadel on edelleen suosituin verkkorikollisten keskuudessa. Suomessa pankkitroijalaisten tilanne on ollut kuitenkin verrattain rauhallinen viime aikoina. F-Securen mukaan maailmalla on myös havaittu tapauksia, joissa saastuneelle koneelle on asennettu tietokoneen tiedostoja salaava kiristyshaittaohjelma (CryptoLocker) Zeushaittaohjelman kautta. Rikolliset pyrkivät näin kiristämään rahat myös niiltä käyttäjiltä, joiden verkkopankkiasiointi ei syystä tai toisesta ole heille kiinnostavaa. Ainoa Zeukseen liittyvä riski käyttäjälle ei ole siis rahojen katoaminen pankkitililtä. Viestintäviraston tilastot eivät kerro sitä, kuinka moni havainnoista on vaikuttanut itse verkkopankkiasiointiin. Pankkien mukaan Suomessa haittaohjelmahyökkäykset ovat laantuneet vuoteen 2012 verrattuna. Viestintäviraston Autoreporter-raportit tukevat muiden toimijoiden näkemystä tietoja varastavista haittaohjelmista. Zeus-haittaohjelmatapauksia Autoreporter havaitsi eniten lokakuussa 2012, jolloin se käsitteli keskimäärin 452 ilmoitusta päivässä. Marraskuussa 2013 ilmoituksia käsiteltiin päivittäin noin 90. Citadel-haittaohjelmasta havainnot ovat lisääntyneet huhtikuusta 2013 lähtien. Marraskuussa niitä käsiteltiin keskimäärin 98 tapausta päivässä. Lukumäärä on pieni verrattuna yleisempiin haittaohjelmiin kuten Zero Accessiin. Tietoturvakatsaus 4/2013 17

Usein päivittäistilastoissa näkyvät myös edellisten päivien haittaohjelmatartunnat, koska käyttäjät eivät ole ehtineet niitä vielä poistamaan koneeltaan. Tilasto ei siis kerro uusien tartuntojen päivittäistä lukumäärää. Kuva 6 Autoreporterin havainnointitietoja varastavista haittaohjelmista tammikuusta 2012 marraskuuhun 2013 5.2 Viestintäverkkojen vika- ja häiriöilmoitukset Viestintävirasto vastaanotti teleyrityksiltä loka-marraskuussa yhteensä seitsemän merkittävää vika- ja häiriöilmoitusta. Merkittävät viat (A-C) on luokiteltu Viestintäviraston määräyksessä 57 viestintäverkkojen ja -palvelujen ylläpidosta sekä menettelystä ja tiedottamisesta vika- ja häiriötilanteissa. Näistä kolme oli laajoja alueita koskevia A-luokan vikoja. B-luokan vioista teleyritykset raportoivat kahdesti, myös C-vikoja ilmoitettiin saman verran. Pääsääntöisesti viat koskivat mobiiliverkon palveluja ja vikojen syyt johtuivat joko järjestelmäpäivityksistä tai yleisen sähköverkon katkoksista. Loka-marraskuussa yleisen viestintäverkon vikoja esiintyi aiempia kausia enemmän, mikä johtuu pitkälti lokakuisesta Taina-myrskystä Kainuussa ja marraskuun rajusta Eino-myrskystä, jonka vaikutuksilta vältyttiin vain Pohjois-Suomessa. Eino katkoi sähkölinjoja ja kaatoi tukiasemia lähinnä Suomen keskiosissa, lännestä itään. Tästäkin myrskystä teleyritykset selvisivät melko nopeasti. Teleyritysten ja sähköyhtiöiden välinen yhteistyö nopeutti korjaustöiden etenemistä huomattavasti. Tietoturvakatsaus 4/2013 18

5.2.1 Vuonna 2013 verkkojen ja palveluiden toimivuutta on seurattu aiempaa tiiviimmin Viestintävirasto on seurannut viestintäverkkojen ja -palveluiden toimivuutta teleyrityksille toimitetuin neljännesvuosikyselyin alkuvuodesta 2013 lähtien. Kyselyissä on selvitetty, mihin palveluihin häiriöt vaikuttavat, kauan niiden korjaaminen kestää ja mitkä syyt aiheuttavat häiriöitä. Seuraavassa esitetään kolmannen osavuoden (= Q3) tulokset vuonna 2013 niin, että kausi koostuu ajanjaksolta heinä-syyskuu. Vuoden 2013 neljännen osavuoden (loka-joulukuu) tulokset julkaistaan Kyberturvallisuuskeskuksen tietoturvakatsauksessa 1/2014. Tietoturvakatsaus 4/2013 19

5.2.1.1 Viestintäverkkojen häiriötilastot heinä-syyskuussa 2013 Kolmannella vuosineljänneksellä teleyritykset raportoivat yhteensä yli 90 000:stä asiakkailleen häiriöitä aiheuttaneesta tapauksesta. Kokonaismäärä on hieman pienempi kuin toisella vuosineljänneksellä. Suurin osa tapauksista liittyi kiinteän verkon laajakaistapalveluihin. Myös matkaviestinverkon puhe- ja datayhteyspalvelujen sekä kiinteän verkon puhepalvelujen häiriöt aiheuttivat paljon haittoja teleyritysten asiakkaille. Yksittäisistä häiriöiden taustasyistä merkittävin on ollut laitevika. Hyvin usein tapaukset ovat myös ratkenneet itsestään ennen kuin selkeä häiriön aiheuttanut syy on kyetty selvittämään. Lisäksi luonnonilmiöt ja sähkökatkokset ovat vaikuttaneet viestintäverkkoyhteyksiin. Viiden merkittävimmän syyn joukkoon lukeutuvat myös häiriöt, joissa vika on lopulta löytynyt asiakkaan omista päätelaitteista tai ohjelmistoista. 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % Häiriöiden korjausaikojen osuudet palveluittain (Q3) 21 vrk tai yli 7 vrk - <21 vrk 2 vrk - <7 vrk 12 h - <2 vrk 6 h - <12 h < 6 h Kuva 7 Häiriöiden korjausaikojen osuudet palveluittain heinä-elokuussa (Q3) 2013 Tietoturvakatsaus 4/2013 20

Häiriöiden lukumäärät palveluittain (Q3) 0 % 1 % 0 % 11 % 14 % 10 % 5 % 14 % 45 % Kiinteä (data) Matka (puhe) Kaapeli-TV Kiinteä (puhe) Matka (data) IPTV Muu langaton data Sähköposti VoIP Kuva 8 Häiriöiden lukumäärät palveluittain heinä-syyskuun 2013 aikana 3 % 3 % 3 % 6 % 6 % 7 % 8 % 10 % Häiriöiden syyt (Q3) 0 % 0 % 0 % 25 % 15 % 14 % Laitevika Itsestään tai epäselvä Luonnonilmiö Sähkökatkos Asiakkaan laiteongelma Ohjelmistovika Inhimillinen virhe Konfiguraatiovika Maanrakennustyöt Lämpötilaongelma Voimalaitejärjestelmä Vesivahinko Ilkivalta Kuva 9 Häiriöiden syyt heinä-syyskuussa 2013 Tietoturvakatsaus 4/2013 21

6. Lainsäädäntöä ja tulkintoja Suomessa ja Euroopan unionissa käynnissä olevia lainsäädäntöhankkeita tai jotka toteutuessaan vaikuttavat myös tietoturvallisuuteen. 6.1 Hallituksen esitys tietoyhteiskuntakaaresta on valmistumassa Liikenne- ja viestintäministeriö on valmistellut useiden sähköiseen viestintään liittyvien lakien yhdistämistä yhdeksi tietoyhteiskuntakaareksi, jossa säännöksiä myös ajantasaistetaan. Tietoturvallisuuden kannalta esityksestä voi poimia seuraavat asiat: Teleyritysten tietoturvavaatimuksiin ei esitetä olennaisia muutoksia. Palvelujen tietoturvallisuuden ja yksityisyyden suojaamisen velvoitteita esitetään laajennettavaksi teleyritysten palveluista myös muihin sähköisen viestinnän välittäjiin, joita voisivat olla esimerkiksi erilaiset verkkoyhteisöt. Tilaajien velvollisuutta pitää huolta omien yleiseen viestintäverkkoon liitettyjen laitteidensa ja järjestelmiensä tietoturvallisuudesta teleyritykseltä saatujen ohjeiden mukaisesti lisätään. Verkkotunnusvälittäjälle esitetään velvollisuutta huolehtia toimintansa tietoturvallisuudesta ja Viestintävirastolle esitetään oikeutta ryhtyä tarvittaessa nimipalvelintietoihin liittyviin toimenpiteisiin merkittävissä uhkatilanteissa. Elinkeinoelämän ja yhteiskunnan toimivuuden jatkuvuuden kannalta huomionarvoista: Valmiussuunnittelun painoarvo ja ohjaus laissa on lisääntymässä. Esityksessä lisätään mm. Viestintäviraston mahdollisuuksia tuottaa tilannekuvaa tietoturvan lisäksi palveluiden muista häiriötilanteista. Esityksessä lisätään Viestintäviraston mahdollisuuksia vaihtaa häiriötilanteiden hallintakykyä parantavaa tietoa erikseen nimettävän laaja-alaisen häiriötilanteiden yhteistyöryhmän kesken. Hallituksen esitys eduskunnalle on valmistumassa vuodenvaihteessa. Tarkoituksena on, että laki tulee voimaan vuoden 2015 alussa. Viestintävirasto valmistelee tulossa olevien lainmuutosten edellyttämät muutokset muun muassa omiin tietoturvamääräyksiinsä sekä selvittää muun ohjauksen ja valvonnan muutostarpeita vuoden 2014 aikana yhteistyössä toimialan kanssa. Häiriötilanteiden yhteistyöryhmän (HÄTY) toimintaa on pilotoitu jo syksystä 2013 alkaen. 6.2 EU-asetus henkilötietojen tietoturvaloukkauksista tuli voimaan elokuussa 2013 Elokuussa 2013 tuli voimaan EU:n komission asetus 611/2013, joka koskee teleyritysten ilmoituksia henkilötietojen tietoturvaloukkauksista. Asetus on Suomessa kotimaisten lakien tavoin suoraan sovellettavaa lainsäädäntöä. Suomessa asetuksen vaatimukset on käytännössä jo pääosin toteutettu sähköisen viestinnän tietosuojalaissa ja Viestintäviraston määräyksellä 9, joka koskee teleyritysten ilmoituksia tietoturvauhista ja -loukkauksista. Mahdollisesti tarvittavat tarkennukset huomioidaan vuonna 2014 tietoyhteiskuntakaaren takia tehtävän määräysmuutoksen yhteydessä. Tietoturvakatsaus 4/2013 22

6.3 NIS-direktiiviä valmistellaan EU:ssa EU:ssa valmistellaan nk. NIS-direktiiviä eli ehdotusta direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (ehdotus 2013/0027 (COD)) Ehdotuksen keskeisiä asioita ovat tietoturvauhkien ja -loukkausten ilmoitusvelvollisuuden laajentaminen teletoiminnasta muutamille muille yhteiskunnan sektoreille ja julkishallintoon, CERT-toiminnan perustaminen kaikkiin EU-maihin ja viranomaisten tiedonvaihdon lisääminen. Valmistelussa on syksyn 2013 aikana käyty paljon keskustelua siitä, mitkä sektorit direktiiviin loppujen lopuksi sisällytetään. Internet yleensä ja pilvipalvelut ovat herättäneet kysymyksiä ja eriäviä mielipiteitä. Tavoitteena on, että direktiivin sisältö olisi selvillä kesäkuussa 2014, mutta aikataulu voi muuttua. Toteutuessaan direktiivi tulisi voimaan muutaman vuoden kuluttua. 6.4 EIDAS-asetusta valmistellaan edelleen EU:ssa EU:ssa on jo useamman vuoden ajan valmisteltu sähköiseen tunnistamiseen ja sähköisiin luottamuspalveluihin liittyvää asetusta. Asetusehdotus koskee muun muassa tietyn turvatason täyttävien tunnistuspalveluiden vastavuoroista tunnustamista eri jäsenvaltioissa, luottamuspalveluille asetettavia vaatimuksia sekä tunnistus- ja luottamuspalveluiden tietoturvaloukkausten ilmoitusmenettelyä. Toteutuessaan asetus tulee koskemaan muun muassa palveluita, joista tällä hetkellä säädetään laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) ja määrätään tarkemmin Viestintäviraston määräyksissä 7 ja 8. 6.5 EU-asetusta sisämarkkinoista (Connected continent/single market) valmistellaan Komissio on antanut syyskuussa 2013 ehdotuksen Euroopan parlamentin ja neuvoston asetuksesta eurooppalaisia sähköisen viestinnän sisämarkkinoita ja koko Euroopan yhteen liittämistä koskevista toimenpiteistä (ehdotus 2013/0309 (COD)). Asetus keskittyy rajat ylittävien palveluiden tarjoajien EU-valtuutukseen (tarkoittaa ilmoitusta toiminnasta televiranomaiselle), taajuusasioihin, eräisiin uusiin säänneltyihin teletoiminnan tukkutuotteisiin, verkkoneutraliteettiin, käyttäjän sopimusehtoihin ja palveluntarjoajan vaihtamiseen. Suoranaisia tietoturvasäännöksiä esitykseen ei sisälly. Ehdotus on herättänyt melko paljon kritiikkiä niin elinkeinoelämän kuin hallinnon taholta. 6.6 Viestintäviraston tulkintoja Lain tulkintaa koskevissa linjanvedoissa tärkeä tapaus on ollut Viestintäviraston kesällä 2013 tekemä teleyritysselvitys siitä, onko tiedustelutoiminnalla vaikutuksia teleyritysten palveluiden tietoturvallisuuteen. Viestintävirasto on katsonut, että kun suomalainen tilaaja tekee sopimuksen viestintäpalvelusta Suomessa toimivan teleyrityksen kanssa, teleyritys vastaa palvelun tietoturvallisuudesta myös silloin, kun palvelu mahdollisesti toteutetaan ulkomailla. Vastuu koskee tilanteita, joissa osa palvelun toteutuksesta alihankitaan ulkomailta (alihankinta) ja tilanteita, joissa suomalainen yritys tarjoaa ulkomaisen yrityksen viestintäpalveluita (jälleentarjonta). Tietoturvakatsaus 4/2013 23

Tietoturvallisuudesta huolehtiminen pitää sisällään lähtökohtaisesti selonottamisen siitä, mihin valtioihin toteutus jakaantuu, velvollisuuden harkita käytettävissä olevat suojaamiskeinot käyttäjien viestinnän luottamuksellisuuden varmistamiseksi sekä tiedottamisvelvollisuuden käyttäjille ja tiedonantamisvelvollisuuden Viestintävirastolle. Viestintävirasto työstää velvoitteiden tarkoituksenmukaista käytännön toteuttamista 2014 yhdessä teleyritysten kanssa perustettavassa työryhmässä. Tietoturvakatsaus 4/2013 24