Viranomaiselta synkkä lausunto: ”Yhteiskunnan toimintavarmuutta ja turvallisuutta koeteltiin”

Suomalaisen yhteiskunnan toimintavarmuus kyseenalaistui etenkin yhden verkkohyökkäyksen vuoksi vuonna 2016.

Verkkokaapeleita.

2.2.2017 7:16

Viestintäviraston vuoden 2016 tietoturvakatsaus (pdf) varoittaa teknologian ja toimintamallien räjähdysmäisen kehityksen vaikuttavan yhteiskunnan toimintavarmuuteen ja turvallisuuteen.

Viestintävirasto otsikoi tiedotteensa toteamalla, että ”vuonna 2016 yhteiskunnan toimintavarmuutta ja turvallisuutta koeteltiin monin tavoin”.

Kouriintuntuva esimerkki saatiin vuoden lopulla. Häikäilemättömät verkkorikolliset eivät välittäneet suomalaisille aiheuttamastaan haitasta, kun he käyttivät Fidelixin automaatiojärjestelmiä ponnahduslautana muualle suuntautuneeseen hyökkäykseen.

– Lämmönsyöttöä ohjanneisiin laitteisiin vaikuttanut verkkohyökkäys kylmensi asuntoja Lappeenrannassa. Automaatiolaitteet eivät olleet hyökkäyksen tai rikollisten kiinnostuksen kohteena. Ne olivat ainoastaan helposti hyödynnettävissä oleva väline Suomen ulkopuolelle suunnatun hyökkäyksen toteuttamiseen. Vaikutukset kohdistuivat kuitenkin välittömästi Suomeen ja suomalaisiin, kirjoittaa Viestintäviraston alaisen Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki vuosikatsauksen johdannossa.

Kiristystä ja riman alitusta

Viestintäviraston uhka-arvion mukaan rahaa kiristävät haittaohjelmat kasvoivat viime vuonna jo vakavaksi uhkaksi Suomessa. Esimerkkinä mainitaan Samsam-kiristäjä, jonka avulla tehtiin kohdistettu hyökkäys suomalaista yritystä vastaan. Viraston mukaan hyökkäys aiheutti "merkittävää haittaa" yrityksen toiminnalle.

Kuluttajien usein tiedostamattomana piinana ovat kuitenkin erilaiset uudet laitteet, jotka on kytketty internetiin. Tämä esineiden internet muodostaa salakavalan uhkan, koska saastunut laite ei välttämättä näyttäydy käyttäjälleen erilaisena. Se saattaa silti osallistua erittäin massiivisiin verkkohyökkäyksiin, joilla kaadetaan jopa joitakin maailman suurimpia verkkopalveluja.

Viestintävirasto syyttää ongelmasta laitteiden valmistajia, jotka harrastavat niin kutsuttua ”minimum viable product/service” -ajattelua.

Tämä tarkoittaa sitä, että markkinoille tuodaan mahdollisimman edullisia ratkaisuja, joiden tietoturvaominaisuudet ovat puutteelliset. Ongelma koskettaa erityisesti kuluttajia, koska heille suunnatuissa laitteissa tietoturva on usein erittäin kehno, eivätkä kuluttajat usein osaa tai haluakaan varmistua laitteen tai ratkaisun tietoturvasta tai sen varmistavista toimenpiteistä, kuten ohjelmistopäivityksistä.

Toisinaan uhka myös maksaa uhreille selvää rahaa. Vuonna 2016 tuli esiin tapauksia, joissa laitteiden omistajille aiheutettiin kustannuksia lähettämällä laitteista viestejä maksullisiin ulkomaisiin numeroihin – jopa 10 000 eurolla.

Piratismikirjeet herättivät kysymyksiä

Yksi merkittävä ilmiö koski epäiltyjä piraatteja, joiden teleliittymän tietoja haettiin merkittävästi markkinaoikeudelta. Tietopyyntöjä teleyrityksille tehtiin kymmeniä tuhansia kappaleita elokuvien ja muun viihteen laittoman jakamisen vuoksi.

Viestintävirastokin sai lukuisia yhteydenottoja, joissa kirjeen ja maksuvaatimuksen saaneet ovat kyselleet syytä vastaanottamaansa postiin. Teleyritykset puolestaan ovat ottaneet yhteyttä Viestintävirastoon selvittääkseen asiakkaidensa mahdollisuuden tarkistaa ip-osoitteen ja aikaleiman oikeellisuuden, jotka ovat markkinaoikeudenpäätöksen perusteena.

Ip-osoite yksilöi nettiin kytketyn laitteen, jolla väitetty tekijänoikeusloukkaus on tehty. Aikaleima kertoo teon ajankohdan.

Pellenimet kostautuvat

Haavoittuvuuksien brändäys on hyvä tapa tehdä merkittävistä tietoturvaongelmista näkyviä, mutta sillä on myös varjopuolensa.

Viestintävirasto julkaisi vuotta 2016 koskevan tietoturvakatsauksensa. Siinä kiinnitetään huomiota muun muassa suomalaislähtöiseen ilmiöön, jossa laajoille ohjelmistohaavoittuvuuksille keksitään veikeitä nimiä.

Kaikki alkoi Oulussa vuonna 2014 löydetystä OpenSSL-salauskirjaston haavoittuvuudesta, jolle annettiin nimi Heartbleed. Sen jälkeen on nähty myös esimerkiksi Badlock, Blacknurse ja Drown.

[Ne] herättävät huomiota ja saavat ihmiset paikkaamaan ongelmia. Toisaalta joidenkin haavoittuvuuksien näkyvä markkinointi saattaa ohjata ihmisten huomion pois muista kriittisistä ongelmista, joille ei ole keksitty vetävää nimeä.

Osion tuoreimmat

Luitko jo nämä?