Katsaus Suomen kansalliseen kyberturvallisuustilanteeseen | Arttu Lehmuskallio | Kyberturvallisuuskeskus

Transcript

1. Suomen kyberturvatilanne Arttu Lehmuskallio Rasmus Roiha

2. Mikä kyberturvallisuuskeskus?

3. Kansallinen tietoturvaviranomainen Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta

   ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

4. Mitä kyberturvallisuuskeskus tekee?

5. Kerää tietoa tietoturvaloukkauksista ja niiden uhkista Tiedottaa tietoturva-asioista sekä viestintäverkkojen

   ja viestintäpalvelujen toimivuudesta Ohjaa ja valvoo ! teleyritysten ja .fi-verkkotunnusvälittäjien tietoturvallisuutta ja varautumista ! sähköisen viestinnän yksityisyydensuojaan liittyvien velvoitteiden ja vahvojen sähköisten tunnistamis- ja luottamuspalveluja Kyberturvallisuuskeskus – kansallinen tietoturvaviranomainen Selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia sekä niiden uhkia Arvioi ja hyväksyy järjestelmiä ja verkkoja

6. Palvelulupaus tietoturvaloukkauksissa Varoitamme muita mahdollisia uhreja Neuvomme vahinkojen rajoittamisessa Autamme

   loukkauksen analysoinnissa Tuemme palautumis- toimenpiteissä Keräämme lisätietoja Suomesta ja maailmalta Koordinoimme haavoittuvuuksien korjaamista Luottamuksellisesti ja maksutta

7. Mistä saatte tietoa ja millainen on verkostonne?

8. Kyberturvalliskeskuksen yhteistyöverkostoissa edistetään turvallisuutta Kehitetään toimialojen ja yhteiskunnan kyberturvallisuutta yhdessä

   tietoturva-asioiden tiedonvaihtoryhmissä • riskianalyysit • ohjeistukset • tutkimukset • tiedonvaihto 8 HAVARO- asiakkaat Logistiikka ja liikenne Finanssi Valtionhallinto Energia Media SOTE Elintarvike Vesihuolto Kemia ja metsäteollisuus Internet palvelun tarjoajat

9. Tuorein kyberturvallisuuden tilannekuva

10. Kybersää toukokuu 2020 Verkkojen toimivuus ! Vain 3 merkittävää toimivuushäiriötä

    ! Valokuidun katkeaminen Pasilassa 7.5. haittasi laajasti junaliikennettä. ! Toukokuu oli palvelunestohyökkäysten osalta rauhallinen. Vakoilu ! Sandworm-ryhmän varoitetaan pyrkineen tunkeutumaan haavoittuviin Exim- sähköpostipalvelimiin ainakin elokuusta 2019 lähtien. ! Kriittisen infrastruktuurin järjestelmät ovat houkuttelevia tunkeutumiskohteita APT-ryhmille. Haittaohjelmat ja haavoittuvuudet ! Ransomware-toimijat huutokauppaavat varastettuja tietoja tavoitteenaan rahastaa tiedoilla. Tietomurrot ja -vuodot ! Office 365 –tietomurtojen määrä alkuvuoden tasolla. ! Kuntasektorin toimijoihin kohdistui tietomurto ja sen yritys. ! Useaan suurteholaskentaympäristöön on kohdistunut ulkomailla tietomurtoja Huijaukset ja kalastelut ! Posti-aiheella levitetyt tekstiviestihuijaukset sisältävät haittaohjelman mobiililaitteelle. ! Toimitusjohtajahuijaukset ja muut laskutuspetokset lisääntyvät taas lomakauden lähestyessä. Automaatio ! Suomalaiseen kriittisen infran järjestelmään tehtiin kiristyshaittaohjelmahyökkäys. ! Automaatiojärjestelmiin on hyökätty toistuvasti myös valtioiden välisten konfliktien yhteydessä

11. Merkittävät pidemmän aikavälin ilmiöt?

12. Top 5 kyberuhat - merkittävät pidemmän aikavälin ilmiöt Haavoittuvuuksien hyväksikäyttö

    nopeutuu, mikä vaatii nopeita päivityksiä. Verkkoon jätetään auki laitteita ja palveluita, joiden tietoturvaa ei ole huomioitu ja suojaustoimet sekä ylläpito ovat puutteellisia. 1 Epäselvä vastuunjako palvelutoimittajan, alihankki- joiden ja tilaajan välillä heikentää tietoturvan hallintaa. Puutteet lokien tarkkailussa vaikeuttavat uhkien havaitsemista. 2 Laajavaikutteiset kiristyshyökkäykset uhkaavat liiketoiminnan jatkuvuutta. Yksittäisten tapausten vahingot ovat nousseet kymmeniin miljooniin euroihin. 3 Organisaatiot eivät osaa hallita kyberriskejään. Uhkien vaikutuksia toimintaan ei osata ennakoida, minkä vuoksi riskit aliarvioidaan. Palautumissuunnitelmissa on puutteita. 5 Tietojenkalastelu on erittäin yleistä, ja viestin vastaanottajan voi olla vaikea havaita huijausta. Tätä hyödynnetään myös kohdennetuissa hyökkäyksissä ja vakoilussa. 4

13. Top 5 kyberuhat – merkittävät pidemmän aikavälin ilmiöt Haavoittuvuuksien hyväksikäyttö

    nopeutuu, mikä vaatii nopeita päivityksiä. Verkkoon jätetään auki laitteita ja palveluita, joiden tietoturvaa ei ole huomioitu ja suojaustoimet sekä ylläpito ovat puutteellisia. 3 ! Rikolliset kehittävät hyväksikäyttömenetelmiä nopeasti heti ohjelmistopäivitysten ilmestyttyä ja tunnistavat kohteet, joita ei ole päivitetty. Erityisesti tietoturvatuotteissa olevat haavoittuvuudet ovat vakavia, sillä ne on yleensä sijoitettu muutenkin hyökkäyksille alttiisiin tietojärjestelmien kohtiin. ! Hyökkäyksissä käytetyt järjestelmähaavoittuvuudet ovat usein olleet 2-6 kk vanhoja haavoittuvuuksia, joihin on ollut saatavilla korjaus jo pitkään, mutta syystä tai toisesta haavoittuvuutta ei ole korjattu. ! Mitä pidempään haavoittuvuuden korjaamisessa kestää tai korjausta siirretään myöhemmäksi, sitä korkeammaksi hyväksikäyttämisen riski kasvaa. Palvelinten ylläpitoon käytetystä Saltstack Salt -hallintakehikosta korjattiin kriittisiä haavoittuvuuksia huhtikuun lopulla. Ensimmäiset automatisoidut hyökkäykset havaittiin vain pari päivää myöhemmin. Hyökkääjä asensi virtuaalivaluuttaa louhivan haittaohjelman kaikkiin hallinnan piirissä oleviin palvelimiin. Verkkoon auki olevia palveluita löytyi yli 6000. CASE

14. Kuinka aikakriittistä päivittäminen on?

15. Haavoittuvuuspäivitykset juoksukisa hyväksikäyttöä vastaan

16. Uusien haavoittuvuuksien määrä vuosittain ! Kuinka monta eri softaa ja

    niiden versiota teiltä löytyy? ! Päivitetäänkö sovellukset millä aikajänteellä? ! Onko päivittämättömyys tietoinen valinta osana riskienhallintaa? ! Osataanko riskissä ottaa huomioon päivittämättömän järjestelmän muodostama noussut uhka toisille saman verkon järjestelmille? ! Rakentaessasi järjestelmää rakennat myös omat tietomurtosi ! Tunnista ne ja rakenna niihin kontrollit

17. Miten haavoittuvat palvelut löydetään?

18. Hyökkääjien polku Kohteiden löytäminen Kohteen murtaminen Verkon valtaaminen Pääsyn varmistaminen

    Rahastus €

19. Kohteiden löytäminen !Shodan on internetiin kytkettyjen laitteiden hakukone !Palvelu skannaa

    internetiin kytkettyjen laitteiden yleisimmin käytössä olevat portit ja indeksoi vastaukset !Certstream, crt.sh, pDNS […]

20. Office365 merkitys tietomurtoihin?

21. Päivittäiset Office365–tietomurrot uusi normaali

22. 241 päivää, 213 tietomurtoa 16.6.2020 ! Suomalaisten yritysten ja organisaatioiden

    työntekijöiden sähköpostitunnuksia ja -viestejä varastetaan aktiivisesti ! Tietomurtojen määrä vakiintunut ! Rikolliset pyrkivät saamaan tietoa organisaatioiden liikesalaisuuksista tai maksuliikenteestä ! Julkaisimme huhtikuussa oppaan kalasteluilta ja tietomurroilta suojautumiseksi ! Hankkiessasi O365-palvelun päädyt kansainvälisen rikollisuuden mielenkiinnon kohteeksi ! Suojautumiseen pitää kiinnittää huomiota jo ostovaiheessa

23. Mitä minun kannattaa tehdä?

24. ! Suunnattu erityisesti suurten ja keskisuurten organisaatioiden hallitusten jäsenille !

    Yritysten hallitusten jäsenillä tulee olla riittävät tiedot kyberturvallisuudesta ja siihen liittyvistä liiketoimintariskeistä ! Työkaluja ja tukea organisaation kyberturvallisuuden parantamiseen

25. ! Tiivis mutta kattava ja käytännöllinen yhteenveto turvallisen ohjelmistotuotannon perusteista

    ! Tarkoitettu kaikille ohjelmistopohjaisten ratkaisujen kehittäjille ! Parhaita käytäntöjä haavoittuvuuksien ja muiden yleisimpien ongelmien välttämisestä ohjelmistotuotannossa

26. Harjoituksista !Ilmainen kriisi !Henkilöstö ja päätöksentekijät osaavat paremmin havainnoida, reagoida

    ja palautua vakavissa tietoturvaloukkaustilanteissa !Prosessien, toimintamallien ja järjestelmien heikkoudet sekä puutteet havaitaan tehokkaammin !Yksilölliset uhkat tunnistetaan ja hallitaan paremmin

27. Epäiletkö tietoturvaloukkausta? ! Tarjoamme luottamuksellista apua tietoturvaloukkauksen selvittämiseksi sekä koordinoimme

    tarvittavia toimenpiteitä. ! Vaikka et tarvitse apua, ilmoittaminen kannattaa silti: käytämme tietoa tilannekuvan parantamiseksi. ! Jos teihin on kohdistunut tai epäilette teihin kohdistuneen tietoturvaloukkauksen, olkaa yhteydessä meihin. ! Sähköinen lomake: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ! Sähköposti: [email protected] ! Puhelin: 0295 345 630 (arkisin klo 9-15)