Kommunikationsverkets Cybersäkerhetsöversikt 1/ BETYDANDE HÄNDELSER UNDER PERIODEN... 5

Transkript

1 Kommunikationsverkets Cybersäkerhetsöversikt 1/2014

2 Innehåll Kommunikationsverkets Cybersäkerhetsöversikt 1/ BETYDANDE HÄNDELSER UNDER PERIODEN Kommunikationsverkets Cybersäkerhetscenter inledde sin verksamhet den 1 januari Stödet för operativsystemet Microsoft Windows XP upphörde den 8 april Ingen support för operativsystemet innebär risker för informationssäkerheten Windows XP finns i 17 procent av samtliga Windowsdatorer på webben Allvarliga sårbarheter i Mac-datorer, iphone och ipad har rättats... 8 Informationssäkerhetsrisker drabbar nätverksutrustning FTP-sårbarhet i Asus-routrar Nätmasken TheMoon spred sig via LinkSys-routrar Sårbarhet i WeMo-apparater kan äventyra användares lokala nätverk Även övervakningskameror kan utsättas för olovlig distansanvändning Flera hundra tusen sårbara apparater uppdagade i utredningar Användare kan påverka informationssäkerheten i sina apparater LÅNGVARIGA FENOMEN Erfarenheter från en omfattande serie dataintrång NTP-servrar har använts i distribuerade blockeringsattacker Reflektionsattacker utgår från nätverk som möjliggör angivande av falsk källadress Färre finländska tidsservrar med bristfällig kod Cyberspionage och dataintrång Så här skyddar du dig mot skadliga program... 14

3 3 AKTUELLA FENOMEN Spridning av nya versioner av utpressningsprogram till Finland väntas Vad är Bitcoin? Problem med informationssäkerheten hos bitcoin Kursvariationer är vardagsmat för bitcoin Defacement-attacker klottrar ner och förvanskar webbsidor Reklam på webbplatser används för spridning av skadliga program INCIDENTER I DET ALLMÄNNA KOMMUNIKA-TIONSNÄTET Har Finland de renaste nätverken i världen? Strålande placeringar för Finland i statistik från informationssäkerhetsföretag I Finland ser man aktivt till att hålla nätverken rena Statistik berättar inte hela sanningen Autoreporter-statistik från december 2013 till februari Informationssäkerhetsincidenter Sammandrag: I Finland håller man aktivt nätverken rena Anmälan om fel och störningar i kommunikationsnät Stormen Seija orsakade elavbrott i nästan hela landet den 13 december Fel i Digitas sändningar i det markbundna tv-nätet i Nyland den 14 januari Statistik över störningar i kommunikationsnät från december 2013 till februari LAGSTIFTNING OCH TOLKNINGAR Informationssamhällsbalken behandlas i riksdagens utskott Kommunikationsverket förbereder ändringar i föreskrifterna enligt informationssamhällsbalken... 32

4 Kommunikationsverkets Cybersäkerhetsöversikt 1/2014 Du har framför dig Kommunikationsverkets första Cybersäkerhetsöversikt 1/2014. I översikten redogör vi för de viktigaste och mest dagsaktuella fenomenen och händelserna i cybervärlden från december 2013 till februari Cybersäkerhetsrapporten är en fortsättning på de som tidigare gavs ut av CERT-FI. Rapporten är indelad i följande avsnitt: Betydande händelser under perioden Långvariga fenomen Aktuella fenomen Incidenter i det allmänna kommunikationsnätet Lagstiftning och tolkningar Gränsdragningen mellan de olika avsnitten är inte helt entydig, eftersom många av de aktuella händelserna under perioden utgår från så kallade långvariga fenomen, som kan ha sitt ursprung upp till tio år tillbaka i tiden. Som exempel kan nämnas utpressningsprogrammen (ransomware) från 2000-talet, som fortfarande av och till är på tapeten, senast i form av Cryptolocker. Med tanke på läsligheten har vi ändå valt att dela in de viktigaste fenomenen, händelserna och incidenterna inom informationssäkerheten i olika kategorier, trots vissa överlappningar. En mycket uppmärksammad fråga under perioden är nedläggningen av supporten för operativsystemet Windows XP, inklusive följderna av detta, samt informationssäkerhetsriskerna i anslutning till Bitcoin. Värd att notera är även Microsofts Security Intelligence Report i februari, enligt vilken Finland hör till de ledande länderna i världen i fråga om informationssäkerhet. 4

5 1 BETYDANDE HÄNDELSER UNDER PERIODEN 1.1 Kommunikationsverkets Cybersäkerhetscenter inledde sin verksamhet den 1 januari 2014 Genom omläggningen av Kommunikationsverkets informationssäkerhetstjänster vid årsskiftet sammanfördes verkets CERT- och NCSA-uppgifter i det nya Cybersäkerhetscentret. Centrets kärnuppgift är att främja cybersäkerheten. Centret utarbetar och upprätthåller en lägesbild av informationssäkerheten i samarbete med både offentliga och privata aktörer. Med hjälp av lägesbilden kan i stort sett var och en av oss bedöma effekterna av de kända riskfaktorerna på sin egen verksamhet och vid behov gardera sig mot dem. Man kan följa med lägesbilden för informationssäkerheten bland annat genom att ta del av Cybersäkerhetsrapporterna samt av andra artiklar och rapporter som centret ger ut. Cybersäkerhetscentret levererar tjänster till bland annat teleföretag, ICTaktörer, företag inom finanssektorn, försörjningsberedskapskritiska aktörer, såsom elbolag och den offentliga förvaltningen. Centrets tjänster är även avsedda för privatpersoner, och centret varnar och underrättar medborgarna om allvarliga hotbilder. Verksamheten har nu kommit igång och den utvecklas ständigt bland annat utifrån de utlåtanden som lämnats om Cybersäkerhetscentrets verksamhetsplan samt annan feedback. Centret sköter de bekanta CERT- och NCSAuppgifterna på samma sätt som tidigare. Man kan till exempel fortfarande anmäla kränkningar av informationssäkerheten på en elektronisk blankett till På samma webbplats finns också Cybersäkerhetscentrets informationssäkerhetsartiklar, varningar och sårbarheter. 1.2 Stödet för operativsystemet Microsoft Windows XP upphörde den 8 april 2014 Microsoft lade ner stödet till operativsystemet Windows XP den 8 april 2014, varefter bolaget inte längre skickar uppdateringar för att åtgärda luckor i informationssäkerheten. Det innebär att Microsoft inte längre levererar rättelser på eventuella nya sårbarheter som uppdagas i operativsystemet. Hittills har det framkommit tiotals sårbarheter i Windows XP varje år och det är sannolikt att nya sårbarheter hittas också efter att stödet upphör. Dessutom är det möjligt att cyberkriminella väntar tills Microsofts support till operativsystemet upphör och börjar sedan använda sig av hittills okända sårbarheter. I praktiken räcker det med en allvarlig sårbarhet för att ge skadliga program stor spridning, eftersom samma sårbarhet kan användas om och om igen Ingen support för operativsystemet innebär risker för informationssäkerheten När uppdateringarna av informationssäkerheten upphör blir det lättare att infektera privatpersoners datorer med skadliga program. Dessa program kan till exempel ta över användarens bankkontakt, utöva utpressning genom att låsa datorns hårdskiva eller utnyttja datorn för blockeringsattacker. Om man har ett äldre operativsystem är det också möjligt att man inte alltid kan få de nyaste och därmed säkraste versionerna av programvaran. 5

6 Föråldrade program, som webbläsare inklusive olika tillägg till dem som inte uppdaterats, försvagar datorns informationssäkerhet. Även i Windows XP är informationssäkerhetsegenskaperna bristfälliga. Detta spelar en roll speciellt när man vill skärpa informationssäkerheten i företags eller organisationers domän. Cyberkriminella kan använda Windows XP-datorer, som det är lättare att bryta sig in i, för angrepp mot organisationens övriga nätverk, även om den aktuella XP-datorn inte används för hantering av känslig information. Dessutom behöver domänservern för företagets nätverk vara bakåtkompatibel för att Windows XP-datorerna ska fungera i nätverket. Cyberkriminella kan utnyttja sårbarheter som följer av bakåtkompatibiliteten i sina angrepp mot domänservern. Cybersäkerhetscentret råder dem som använder operativsystemet Windows XP att avstå från det på grund av eventuella dolda sårbarheter, föråldrade program och bristfälliga informationssäkerhetsegenskaper Windows XP finns i 17 procent av samtliga Windowsdatorer på webben Av de finländska Windowsdatorerna på webben hade 17,2 procent operativsystemet Windows XP i december 2013 (bild 1). Detta framgår av en statistik över webbesökare som sammanställts av TNS Metrix. I december 2012 var andelen 26,8 procent. Andelen Windows XP-användare hade således minskat med cirka 36 procent under Motsvarande utveckling har observerats även i Europa, där Windows XP:s andel enligt uppgift från statistiktjänsten StatCounter minskade från 26,2 till 19,6 procent under 2013 ( Bild 1 Windowsversioner i bruk i Finland. Källa: Uppgifterna om Finland från TNS Metrix och om Europa från StatCounter ( 6

7 Windows XP-användarna har också delvis föråldrade webbläsare. Cirka 31 procent av dem använde Internet Explorer 8 och cirka 12 procent hade Internet Explorer 7 (bild 2). För dem som använder Windows XP upphör uppdateringarna av informationssäkerheten samtidigt med supporten för operativsystemet. Ett operativsystem som saknar support plus en dito webbläsare är en extremt sårbar och riskfylld kombination med tanke på webbsurfning. Bild 2 Webbläsare i Windows XP i december Källa: TNS Metrix Cybersäkerhetscentret följer upphörandet av supporten för Windows XP och därtill hörande informationssäkerhetsrisker i sina kvartalsvisa rapporter. Ytterligare information Cybersäkerhetscentrets rapport Windows XP - tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille ja organisaatioille (på finska). katsauksetjaartikkelit/tietoturvaartikkelit/windowsxptuenloppuminenaiheuttaatietoturvariskejayksityishenkiloillejaorganisaatioille.html 7

8 1.3 Allvarliga sårbarheter i Macdatorer, iphone och ipad har rättats I Apples operativsystem ios och Mac OS X uppdagades i februari en sårbarhet som gjorde det möjligt att kunna snappa upp och modifiera data från en krypterad förbindelse. Sårbarheten anknyter till SSL/TLS-protokollet som används i krypterade dataförbindelser, såsom vid onlinebankkontakt med webbläsaren. I mars rättade Apple dessutom flera sårbarheter i operativsystemet ios, av vilka de allvarligaste gjorde det möjligt att köra en godtycklig programkod i systemet eller blockera enheten. Cybersäkerhetscentret råder användarna att uppdatera de senaste programversionerna i sina iphone, ipad och Mac-datorer. Sårbarheterna har rättats i följande versioner: Apples uppdatering av ios 7.1 rättar till problemen i ios version 7 Uppdateringen av Mac OS X rättar till problemet i Mac OS X 10.9 (Maverics) Ytterligare information Tietoturva nyt! Mac-tietokoneista, iphonesta ja ipadeista on löytynyt salatun tietoliikenteen vaarantava haavoittuvuus html Haavoittuvuustiedote 028/ oittuvuus html Haavoittuvuustiedote 034/ oittuvuus html 1.4 Informationssäkerhetsrisker drabbar nätverksutrustning Under början av 2014 har allmänheten informerats om flera informationssäkerhetsrisker som har drabbat konsumenters hushållsapparater som är uppkopplade mot webben. De utnyttjar funktionerna i hemnätverkets bredbandsanslutning. Konsumentelektronik som är uppkopplad via hushållets bredbandsnät har ökat lavinartat i Finland de senaste åren. De smarta egenskaperna i elektroniska apparater ger tillgång till olika slags nätverks- och molntjänster via hushållets bredbandsanslutning. Speciellt smarta tv-apparater med möjlighet till mervärdestjänster via internet har snabbt blivit vanligare på sistone. Denna typ av apparater genererar, hanterar och dirigerar datatrafik men är inte datorer. Ofta förekommande produkter av denna typ i konsumentanvändning är bland annat bredbandsmodem kontaktpunkter för trådlösa nätverk nätverksskrivare lagringsenheter i lokalt nätverk smart-tv IP-kameror. De brister i informationssäkerheten som har uppdagats i apparaterna kan utsätta själva apparaten och hela det lokala nätverket inklusive datorer för kränkning av informationssäkerheten. Ofta är det svårt att ställa in säkerhetsegenskaperna i uppkopplade apparater, och den inprogrammerade mjukvaran (firmware) kan i regel inte bytas ut. Informationssäkerheten i dem beror i hög grad på hur villig tillverkaren är att upprätthålla och åtgärda de brister i informationssäkerheten som uppdagas i apparaterna. Ibland kan användbar- 8

9 hetshänsyn leda till att det finns betydande brister i säkerhetsegenskaperna. De program som finns i nätverksutrustning styr hur apparaten kommunicerar med det lokala nätverket eller webben och vilka krypteringsegenskaper som används i denna kommunikation. Apparaterna har allt fler egenskaper och funktioner och därmed har också firmware-programmen blivit mer komplicerade. Gränssnitten som möjliggör olika molntjänster i hemmet och andra distansuppkopplingar kan innehålla allvarliga sårbarheter. Med felaktiga inställningar kan de läcka ut på internet även sådan information och sådana filer som användaren inte vill sprida ut FTP-sårbarhet i Asus-routrar Avvikelser i informationssäkerheten i nätverksutrustning som berörde finländska användare under de första månaderna 2014 observerades bland annat i vissa Asus-routrar med molntjänsten AiCloud. När användare aktiverade AiCloud delade somliga av misstag hela sin hårdskiva som kopplats till routern genom FTP-protokollet till hela internet och inte bara sitt lokala nätverk. Enligt vissa bedömningar berörde problemet över konsumenter. Cybersäkerhetscentret gick i genom adresslistan över sårbara routrar som samlats på webben och på listan fanns också finländska kunder. Centret kontaktade operatörerna så att dessa kan varna sina kunder om sårbarheten i routern. Centret gav också ett sårbarhetsmeddelande om detta Nätmasken TheMoon spred sig via LinkSys-routrar En annan risk mot informationssäkerheten som det rapporterats om nyligen gällde nätmasken TheMoon, som letar efter routrar av märket LinkSys som har en sårbarhet i sitt gränssnitt för distansstyrning. Genom en funktion som är avsedd för operatörens distansstyrning kopplade masken upp sig mot routern och installerade sig bland programmen. Masken förefaller inte ha kört skadliga kommandon utan avsikten har bara varit att få så stor spridning som möjligt. Det är bra att notera att ett välgjort skadligt program kan sprida sig snabbt mellan apparater och infektera ett stort antal nätverksutrustning. En skadlig version av masken skulle ha kunnat orsaka betydande skador för både konsumenter och företag Sårbarhet i WeMo-apparater kan äventyra användares lokala nätverk I Belkins WeMo-hemautomationsutrustning uppdagades en sårbarhet som härrörde från felaktigt utförd kryptering. Genom säkerhetshålet kunde angripare injicera firmware-program i apparaten och på så sätt få åtkomst till användarens lokala nätverk. Angriparen kunde sedan utnyttja bland annat filer som lagts ut i det lokala nätverket eller andra tjänster med bristfällig kryptering i nätverket. Asus, Linksys och Belkin har rättat till sårbarheterna med uppdateringar av programmen, och det är med andra ord mycket viktigt att användarna har uppdaterade program för att avvärja dessa informationssäkerhetsrisker Även övervakningskameror kan utsättas för olovlig distansanvändning Även i traditionella övervakningskameror har man övergått till internet och detta medför brister i informationssäkerheten. Sårbarheter har bland annat möjliggjort olovlig distansanvändning av kamerorna. Kamerorna har blivit 9

10 billigare och därmed tillgängliga för vanliga konsumenter. Den amerikanska myndigheten för informationssäkerhet US-CERT utfärdade nyligen en varning gällande en modell av kameror av märket Foscam. Enligt varningen är det möjligt att se bilden utan att ange användarnamn eller lösenord. Cybersäkerhetscentret gav ut ett sårbarhetsmeddelande om detta den 4 mars Flera hundra tusen sårbara apparater uppdagade i utredningar I januari 2014 rapporterade informationssäkerhetsföretaget Proofpoint om en utredning där man på internet hade hittat ett botnät på cirka apparater som styrdes av en centraliserad kommandoserver och bland annat skickade skräppost och nätfiskemeddelanden. Fallet var enligt Proofpoint exceptionellt eftersom en betydande del av apparaterna i botnätet inte infekterade datorer utan nätverksutrustning. Åtminstone en av apparaterna var ett kylskåp med smartfunktioner. Proofpoints utredning visar att webbkriminella har lärt sig att använda informationssäkerhetsluckor i nätverksutrustningen för kriminella ändamål. Sårbara apparater som hittades med dataprogrammet Carna 2012, en utredning av it-säkerhetsbolaget Team Cymrun 2013 och de finländska automationssystem med fri åtkomst på webben som hittades av Aalto-universitetets sökrobot Shodan är alla bevis på hur omfattande, högaktuellt och internationellt problemet är Användare kan påverka informationssäkerheten i sina apparater Prylarnas internet, eller internet of things, innebär både risker och möjligheter. Genom den digitala revolutionen har konsumenterna fått tillgång till mängder av nya möjligheter att använda hemmets internetanslutning och lokala nätverk för smarttjänster. Tillverkarna av de olika prylarna konkurrerar med varandra och fokuserar på att utforma de funktioner som kunderna vill ha och då är informationssäkerheten inte första prioritet. För att konsumenterna full ut ska kunna utnyttja de nya möjligheterna i det nätverkande samhället ska de också kunna lita på sina prylar. Apparaterna ska fungera så att användarna inte utsätts för snokande, spionerande eller blir utnyttjande för kriminella ändamål. Lyckligtvis kan användarna själv vidta relativt enkla åtgärder och påverka informationssäkerheten i sina apparater. Vid valet av apparat bör man sätta sig noga in i dess egenskaper och köpa en apparat utan sådana funktioner som man inte behöver. Apparaternas förhandsinställda styrkoder är allmänt kända och ger också angripare åtkomst till apparatens inställningar. Den vägen kan angripare stänga av informationssäkerhetsegenskaper eller injicera apparaten med en firmware-uppdatering innehållande skadliga koder. Med hjälp av den modifierade firmwareuppdateringen kan angriparen sedan komma in i användarens lokala nätverk, stjäla filer, skicka skräppost eller dirigera användaren till en falsk webbplats genom att ändra på adresserna till de namnservrar som routern använder. För att kunna se till informationssäkerheten i nätverksutrustningen ska användarna vara medvetna om de risker som anknyter till dem. Det bästa sättet att gardera sig mot riskerna är att man kopplar bort alla onödiga funktioner. I samband med installationen ska man skapa egna användarnamn och lösenord i stället för förhandsinställningarna. Dessutom ska man uppdatera firmware-programmen till de senaste 10

11 versionerna. Aktuell information om betydande sårbarheter finns i Cybersäkerhetscentrets sårbarhetsmeddelanden. Internet för allt och alla var också ett av temana på kommunikationsministeriets Kommunikationsforum 2014 för inbjudna deltagare. Ytterligare information -attack-infects-linksys-routers-with-selfreplicating-malware/ ng.html ymrusohopharming.pdf tml Tietoturva Nyt! Väärennetyt nimipalvelimet ohjaavat verkonkäyttäjiä hyökkääjien sivuille html Informationssäkerhetsöversikt 1/2013: Automationssystemens informationssäkerhet _2013/automationssystemen.html Tietoturva Nyt! Suomalaisia automaatiojärjestelmiä edelleen suojaamattomana verkossa html Informationssäkerhetsöversikt 1/2013: UPnPsårbarheter i hemmets underhållningsapparater _2013/upnp_sarbarheter.html 11

12 2 LÅNGVARIGA FENOMEN 2.1 Erfarenheter från en omfattande serie dataintrång I oktober 2013 begärde Helsingfors polisinrättning Cybersäkerhetscentret om hjälp med att nå dem som utsatts för en omfattande serie dataintrång. Fallet sysselsatte centret i nästan fyra månader, och materialet var slutbehandlats vid utgången av januari Över berörda parter måste kontaktas och information gavs ut till CERTaktörer i nästan hundra länder. Utifrån antalet berörda parter och länder var detta det mest omfattande enskilda fallet som behandlats av en informationssäkerhetsmyndighet. Även i internationellt perspektiv var det fråga om ett fall med exceptionell räckvidd. Dataintrången hade gjorts med vanliga program (ColdFusion, Parallels Plesk Panel) och sårbarheter i dessa. I en del av fallen hade man installerat bakdörrar genom SQL-injektioner och XSSsårbarheter. Intrången hade automatiserats med hjälp av kommandoserier. Antalet angripna blev väldigt stort på en kort tid eftersom de berörda programmen är så vanliga. Trots att det var fråga om en allvarlig händelse, kan man ändå relativt lätt skydda sig mot automatiserade dataintrång genom att se till att uppdatera sina program. Vad som är oroväckande är det utifrån det stora antalet angripna datorer verkar som om många serviceleverantörer dröjer med att uppdatera programmen. Om programmen inte uppdateras kan utomstående till exempel komma åt tjänstens databas eller utnyttja servern som en resurs i ett botnät för cyberangrepp. Uppdaterade program ger emellertid inget skydd mot nolldagarssårbarheter och därför är det viktigt att använda lämplig kryptering speciellt för känslig information. Ytterligare information Tietoturva nyt!: Laajan tietomurtosarjan oppi: Ajantasaiset ohjelmistot ennaltaehkäisevät tietomurtoja html Tietoturva nyt!: Laajan tietomurtosarjan kohteiden yhteydenotot käynnissä html Tietoturva nyt!: Toinen laaja tietomurtosarja poliisin tutkinnassa html 2.2 NTP-servrar har använts i distribuerade blockeringsattacker NTP (Network Time Protocol) är ett protokoll på internet som används för att synkronisera klockorna. NTP-trafiken sköts med UPD-protokoll, vilket gör det möjligt att ange en falsk källadress. Då kan angriparen skicka en förfrågan till NTP-servern och när servern svarar skickas meddelandet till en falsk källadress som angriparen har angett. Denna teknik kallas även reflektionsatttack. Med NTP-protokollets monlist-funktion är det möjligt att få reda på dataförfrågningarna från de senaste 600 kunder som varit i kontakt med servern. Beroende på tidsserver kan en enda förfrågan generera ett svar på upp till 600 dataposter. Den massiva förstärkningseffekten och antalet tidsservrar på webben som svarar på monlistförfrågningar gjorde att NTP-protokollet utsattes för missbruk i slutet av Då började man notera volymmässigt stora blockeringsattacker på olika håll i världen. Den hittills största identifierade blockeringsattacken inträffade i februari 2014 då en kund till molntjänsten Cloudflare drabbades av en attack vilken som 12

13 mest uppgick till 400 Gbps. Attacken genomfördes med hjälp av tidsservrar med bristfälliga koder. Enligt Cloudflare uppgick trafikvolymen som mest till 400 Gbps och attacken genomfördes av tidsservrar som svarar på monlist-förfrågan i olika nätverk. Just nu är NTP ett av de protokoll som används mest i blockeringsattacker. Även många andra tjänster som använder UDP-protokollet kan användas för att genomföra blockeringsttacker. Dessa tjänster beskrivs i artikeln Peilatut palvelunestohyökkäykset edelleen internetin riesana i Tietoturva nyt! ( ) Reflektionsattacker utgår från nätverk som möjliggör angivande av falsk källadress Falska adresser kan utnyttjas i blockeringsattacker när angriparens webboperatör inte kontrollerar källadresserna för den utgående trafiken i sina nätverk. I IETF:s Best Current Practicesdokument BCP 84 (RFC 3704) och BCP 38 (RFC 2827) redogörs för bästa praxis för att förhindra förfalskning av källadressen. Enligt BCP 38 ska utgående trafik från ett enskilt nätverk tillåtas endast när trafiken härstammar från en adress inom nätverket. Med andra ord ska paket som skickats av angriparen från en falsk källadress inte dirigeras ut från nätverket. Enligt statistik från projektet MIT ANA Spoofer har över 80 procent av operatörerna infört filtrering enligt rekommendationen. Enligt 7 i Kommunikationsverkets föreskrift 13 B ska finländska teleföretag filtrera sådan trafik från en kundanslutning till kommunikationsnätet vars källadress inte är en anvisad vederbörande kundanslutning. Enligt 6 ska teleföretagen ha processer och tekniska färdigheter för filtrering av skadlig trafik i sitt kommunikationsnät Färre finländska tidsservrar med bristfällig kod Enligt 7 i Kommunikationsverkets föreskrift 13 B ska finländska teleföretag filtrera sådan trafik från en kundanslutning till kommunikationsnätet vars källadress inte är en anvisad vederbörande kundanslutning. Enligt 6 ska teleföretagen ha processer och tekniska färdigheter för filtrering av skadlig trafik i sitt kommunikationsnät. På grund av NTP-reflektionsattackerna i slutet av 2013 inledde Cybersäkerhetscentret en kartläggning av finländska tidsservrar med bristfällig kod. Utifrån resultaten skickade centret nätverksoch tjänsteoperatörerna information om fenomenet samt anvisningar för hur de kan skydda sina tidsservrar. Eftersom det är fråga om ett allvarligt fenomen kartlade också många andra parter förekomsten av bristfälliga tidsservrar på webben. Antalet finländska tidsservrar med bristande säkerhet har minskat betydligt. I början av 2014 påträffades cirka sådana servrar. Vid den senaste kartläggningen den 10 februari 2014 gjordes bara 166 fynd. 2.3 Cyberspionage och dataintrång I februari 2014 publicerade itsäkerhetsföretaget Kaspersky en teknisk rapport om skadeprogrammet Careto. De professionellt utformade egenskaperna och funktionerna i programmet ger anledning att koppla det till en statlig aktörs spionage på statsförvaltning och företag. Mest medieuppmärksamhet har riktats på ett skadeprogram som bland annat går under namnen Uroburos, Snake och 13

14 Turla. Programmet liknar ovan nämnda Careto och är ett tekniskt sett mycket avancerat skadeprogram för datastöld. Flera experter på informationssäkerhet har noterat ett antal likheter mellan Uroburos och skadeprogrammet Agent.BTZ som förekom i offentligheten Det tjänar som ett bra exempel på hur skadliga program utarbetas och utvecklas under en lång tidsrymd precis som vanliga program. Ett aktuellt exempel på dataintrång som drabbat företag är det finländska spelföretaget Supercell. En hackare, som enligt uppgifter i offentligheten anger sig vara från Syrien, lyckades tränga sig in i Supercells system och publicera företagets finansiella nyckeltal. Dessutom kom hackaren över Supercells användarnamn och lösenord i sociala medier, bland annat Facebook, förmodligen med hjälp av infekterade e-postmeddelanden. Sättet på vilket intrånget gjordes har vissa likheter med egentliga, riktade APT-attacker. Ytterligare information Tietoturva nyt! : Careto on viimeisin maailmalla havaittu kohdistettu haittaohjelmahyökkäys html Tietoturva nyt! : Uroburoshaittaohjelmaa todennäköisesti käytetty kohdistetuissa haittaohjelmahyökkäyksissä html Tietoturva nyt! : Snake on Uroburos htm 2.4 Så här skyddar du dig mot skadliga program Cybersäkerhetscentret vid Kommunikationsverket utarbetar sina översikter även i samarbete med andra experter på informationssäkerhet. I detta avsnitt ger F-Secure rekommendationer för hur du bäst skyddar dig mot skadliga program. År 2013 presenterades i medier flera undersökningar vars syfte var att bevisa hur dåliga antivirusprogrammen i själva verket är på att avvärja hot. I undersökningarna testades antivirusprogrammens förmåga att upptäcka skadliga program med filgenomsökning. I verkligheten är det bara en liten del av en väluppbyggd helhet för virusförsvar. Man kan säga att undersökningarna har rätt i att många företag använder sina antivirusprogram på ett bristfälligt eller felaktigt sätt. På så vis är det motiverat att säga att antivirusprogrammen är dåliga på att avvärja hot mot informationssäkerheten. Det viktigaste när det gäller att skydda sig mot skadliga program på rätt sätt är att förhindra att datorn infekteras. Man ska inte utgå ifrån att det gäller att hitta och radera ett skadeprogram som redan finns på datorn. Om företaget med andra ord använder antivirusprogrammet bara för genomsökning efter skadliga program, tillgodogör det sig inte stora delar av det skydd som programmet kan ge. Försvaret i ett modernt antivirusprogram består av följande fyra nivåer: 1. Förhindra kontakt med skadligt material 2. Förhindra aktivering av kod som utnyttjar (exploit) en sårbarhet i programmen 3. Identifiera skadliga filer antingen i nätverkstrafiken eller genom filgenomsökning 4. Följa upp programmens beteende och förhindra skadlig funktion hos dem 14

15 Tillverkarna av antivirusprogram har sina egna sätt med vilka de realiserar de olika nivåerna. I vilket fall som helst verkställs nivå ett vanligen som genomsökning av säkerhetsomdömen för nätadressen på informationssäkerhetsföretagets servrar. Nivå två uppnås genom identifiering av sårbarheter och genomsökning för skadliga program. Dessutom ska man följa med det program som utsatts för en attack, exempelvis AdobeAcrobat, och slutligen stänga programmet om dess beteende förändras på ett oroväckande sätt. Även nivå tre ska byggas som en kombination av genomsökning efter skadliga program och säkerhetsomdömessökning. Nivå fyra uppnås genom att man följer programmens beteende i datorerna och genomsöker säkerhetsomdömena, för att undvika falskt larm. Man bör alltså identifiera avvikelser i så stor omfattning som möjligt, och samtidigt minimera antalet falska larm. Gemensamt för alla nivåer är att de verkställs helt eller delvis utifrån information om de skadliga programmen som hämtas på informationssäkerhetsföretagets bakomliggande system. Tillspetsat kan man säga att om företaget använder antivirusprogramvaran bara för genomsökning av filer, går 80 procent av skyddet förlorat. För att företaget ska få ut den bästa möjliga nyttan av antivirusprogrammen ska det se till följande saker: 1. Den antivirusprogramvara som företaget har valt innehåller de ovan nämnda säkerhetsnivåerna Den programvara som företaget har valt avvärjer hot effektivt men utan att göra datorn långsammare. 3. Företaget tillåter att antivirusprogrammen kopplar upp sig mot programleverantörens servrar. 4. Säkerhetsomdömessökning av nätverkstrafiken och uppföljningen av programmens beteende har aktiverats. Man ska också försäkra sig om att antivirusprogrammet innehåller en meddelande- och uppdateringsfunktion för automatisk uppdatering av sårbara gamla programversioner. I många fall har dataintrånget skett genom ett program eller ett insticksprogram till webbläsaren som användaren själv har installerat. Eftersom det inte är företagets IT-support som har installerat programmet har man inte heller varit medvetna om programmet och behovet av att uppdatera det. Opartisk information om antivirusprogrammens effektivitet finns att få hos tillförlitliga testanstalter, såsom AV- TEST ( och AV- Comparatives ( Inställningarna för aktivering av säkerhetsomdömessökning och beteendeuppföljning beror på antivirusprogrammet. 15

16 3 AKTUELLA FENOMEN 3.1 Spridning av nya versioner av utpressningsprogram till Finland väntas Utpressningsprogrammen har aktualiserats igen med ransomware-versionen Cryptolocker. Cybersäkerhetscentret vid Kommunikationsverket kontaktades flera gånger även i december 2013 och februari 2014 med anledning av utpressningsprogram. Det kommer hela tiden nya versioner av programmen och det är bara en tidsfråga när de även dyker upp i Finland. Ransomware omfattar skadliga program eller skadliga webbplatser, vars syfte är att lokalt blockera användarens dator och pressa användaren på en lösensumma för att låsa upp datorn igen. Man ska inte betala någon lösen, för det får inte datorn att fungera. Ransomware är en av de vanligaste typerna av skadliga program i Finland och hela världen. Ransomware förekommer åtminstone i versioner som kallas Reveton och Browlock. Den senare är ett skadligt program med JavaScript-kod som får webbläsaren att låsa sig och som har drabbat användare av både Windows och Apples OS X. Det senaste programmet i ransomware-kategorin är Cryptolocker som spreds kraftigt på webben redan under Det använder stark kryptering för att låsa filer på användarens dator, bland annat fotografier, tabeller och dokument. Programmet överför den nyckel som behövs för dekryptering till cyberbrottslingarnas kommandoserver. Sedan letar den upp vissa filer på hårddisken och krypterar deras innehåll. Cryptolocker, som fungerar i Windowsmiljö, har påträffats i USA och Storbritannien, och i viss utsträckning även i Indien och Kanada. I Norden är Cryptolocker rätt så okänt, vilket visserligen kan bero på att spridningskampanjen inte ännu har riktats hit. Man har likväl märkt tecken på att krafterna bakom Cryptolocker kan lansera en kampanj även mot Finland. Webbanvändarna bör med andra ord vara på sin vakt. Dessutom bör man vara medveten om att det kommer hela tiden nya utpressningsprogram, bland annat av samma typ som Cryptlocker. Mer information om ransomware och anvisningar för hur man får bort det skadliga programmet finns på webbplatsen som upprätthålls av Polisen, Cybersäkerhetscentret och F-Secure. Ytterligare information (på engelska) Ransomware Browlock: Reveton: Cryptolocker: html 3.2 Vad är Bitcoin? Bitcoin är en virtuell valuta som skapades Den har diskuterats mycket i offentligheten både i slutet av 2013 och början av Bitcoin är avsedd för virtuell omsättning och är således inte bunden till till exempel guld eller någon annan konkret eller mätbar underliggande tillgång. På sätt och vis är den också ett bokföringssystem, eftersom bitcoin inte existerar som sedlar och mynt utan som teckensträngar i datorn. Växelkursen för bitcoin bestäms utifrån efterfrågan och utbud och regleras inte av utomstående. 16

17 I praktiken är bitcoin teckenserier som uppfyller vissa specifikationer och som tas fram genom att lösa komplicerade matematiska uppgifter. Utifrån beräkningarna genereras nya bitcoin. Denna process kallas ofta mining. De bitcoin som genererats på detta sätt tillfaller den som utfört beräkningarna. Bitcoin-transaktioner genomförs i ett P2P-nätverk så att användarna installerar ett kundprogram för förmedling och auktorisering av bitcoin-betalningar på sina datorer. Därigenom är det inte möjligt att centraliserat förfalska, förhindra eller begränsa betalningstransaktionerna eftersom varje användare utgör en del av transaktionsnätverket. Systemet är utformat så att antalet bitcoin som kan genereras är begränsat. Svårighetsgraden för generering av nya bitcoin ökar exponentiellt, tills alla bitcoin har skapats. Maximalt kan det finnas 21 miljoner bitcoin i omlopp. Bitcoin är delbara ner till åtta decimaler. Bitcoin används med en digital plånbok till vilken användarens virtuella valuta är bunden. Plånboken innehåller information om antalet bitcoin som är knutna till den. Plånbokens ägare är den enda som kan göra betalningar från plånboken till andra bitcoin-användares plånböcker. Plånbokens adress och innehåll är publika, men ägaren förblir anonym. En användare kan ha flera plånböcker som lagras som filer i den egna datorn. Transaktioner kan genomföras antingen med kundprogrammet eller genom att skapa en plånbok i någon av online-plånbokstjänsterna på webben Bitcoin-betalningarna kan lätt spåras inom systemet från en plånbok till en annan, men det är omöjligt att identifiera plånböckernas ägare. Bitcoin kan med andra ord användas som en anonym valuta. Man kan köpa och sälja bitcoin på specialiserade handelsplatser på webben. Det finns många bitcoin-handelsplatser runtom i världen, i Finland verkar åtminstone Bittiraha.fi. Eftersom värdet på bitcoin beror på efterfrågan och utbud har värdet varierat mellan under 1 euro till över euro. I februari 2014 var köppriset för en bitcoin cirka 400 euro i Bittiraha.fi Problem med informationssäkerheten hos bitcoin Hanteringen av bitcoin-plånboken, avsaknaden av kontroll av transaktionerna och de oåterkalleliga betalningarna ställer stora utmaningar på systemets informationssäkerhet. Det är inte möjligt att ångra eller återkalla transaktioner i systemet. Det är inte heller möjligt att få tillbaka stulna bitcoin via en central aktör. Dessutom saknar bitcoin insättningsskydd och den virtuella valutan omfattas inte av regler eller lagar för bankverksamheten. Enligt finsk lagstiftning är bitcoin inte en valuta utan den behandlas som ett omsättningsmedel. Ur beskattningsperspektiv behandlas den vinst i euro som härrör från generering eller försäljning av bitcoin som beskattningsbar förvärvsinkomst, medan själva bitcoin och bitcoin-transaktioner inte beskattas. Förluster till följd av värdeminskning kan inte heller dras av i beskattningen. I offentligheten har figurerat flera fall där användare har blivit bestulna på sina bitcoin i samband med dataintrång. Stölder är ofta enkla att genomföra, eftersom plånboken saknar de säkerhetskontroller som finns i webbbankerna. Genom att kopiera plånboksfilen kommer angriparen också över innehållet i plånboken. Sedan kan angriparen överföra de bitcoin som finns i offrets plånbok till sin egen, och transaktionen kan inte återkallas. Många bitcoin-handelsplatser som tillhandahål- 17

18 ler onlineplånböcker har också blivit föremål för dataintrång. För plånböcker som ligger i en webbtjänst föreligger alltid risk för dataintrång. En försiktig bitcoin-användare sprider sitt innehav av den virtuella valutan till flera plånböcker och förvarar endast ett litet belopp i till exempel en onlinetjänst Kursvariationer är vardagsmat för bitcoin Bitcoins kurs har varierat kraftigt under början av Variationer har orsakats bland annat av interna faktorer på bitcoin-marknaden och konkursen av den största bitcoin-börsen Mt. Gox. Konkursen var en följd av ett fel i systemet för uppföljning av transaktionerna som gjorde det möjligt att återkalla transaktioner. Hackare utnyttjade situationen genom att småningom under en längre tid stjäla Mt. Gox virtuella medel. Eftersom hackarna och stölderna inte uppdagades i tid, lyckades förövarna nästan tömma tjänsten på bitcoin. Genom Mt. Gox konkurs blev användarna av med bitcoin till ett värde på som motsvarar över 400 miljoner dollar. Värdet på bitcoin rasade och användarna av den virtuella valutan slutade att lita på säkerheten i Mt. Gox bitcoin-börs och i de plånböcker som sparats i tjänsten. De problem som fällde Mt. Gox har drabbat flera bitcoinbörser och försvagat användarnas tilltro till den virtuella valutans tillförlitlighet. Nerstängningen av undre världens handelsplats Silk Road på nätverket Tor orsakade också en nedgång i bitcoins värde. Handlarna och kunderna på Silk Road använde bitcoin för anonyma betalningar vid transaktioner med olagliga varor och tjänster. Bitcoin kan i dag användas som betalningsmedel på många ställen. Bland annat olika onlinetjänster och småbutiker tar emot den virtuella valutan. I Finland är bitcoin ett relativt sällsynt betalningsmedel, men bland annat i Helsingfors finns det automater där man kan köpa bitcoin med pengar. Några butiker godkänner också betalningar med bitcoin. Om bitcoin lyckas häva den förtroendebrist som orsakats av Mt. Gox konkurs samt användarnas oro för informationssäkerheten och kursvariationerna, är det sannolikt att valutan blir vanligare som betalningsmedel speciellt i internationella webbtjänster och i handeln med digitala förnödenheter. Bitcoins framfart har bromsats upp också av att betalningstrafiken är okontrollerad och att transaktionerna går långsamt på grund av att de ska verifieras i bitcoin-nätverket. Valutan har också fått namn som sig om ett anonymt betalningsmedel för undre världen genom Tor-nätverket, vilket inte har bidragit till dess populäritet. Många länder förhåller sig negativt till användningen av bitcoin inom sitt territorium, bland annat på grund av att det anonyma systemet gör det alldeles för lätt för kriminell penningtrafik. Å andra sidan kan det hända att just anonymiteten och avsaknaden av kontroll gör bitcoin till ett attraktivt alternativ för användarna, i en tid med tilltagande tillsyn och myndighetskontroll. 3.3 Defacement-attacker klottrar ner och förvanskar webbsidor När en utomstående utan lov ändrar det ursprungliga innehållet på en webbplats och lägger ut eget innehåll på sidorna kallas det defacement. Ofta är det fråga om vandalism eller en ideell gruppering eller aktivistgruppering som vill sprida sin propaganda på detta sätt. 18

19 I Finland har man påträffat några defacement-attacker. Enligt Cybersäkerhetscentrets uppfattning har det egentliga föremålet för attackerna inte varit Finland. En av grupperingarna bakom de senaste attackerna har varit SAE (Syrian Electronic Army). SAE är en gruppering som stöder den syriska regeringen och utför cyberattacker mot bland annat oppositionsgrupperingar, pressen i väst och människorättsgrupperingar. Grupperingen använder bland annat blockeringsattacker, defacementattacker eller utnyttjar användarkoder som den snappat upp genom nätfiske (phishing) för att olovligt logga in på mediebolags användarkonton i sociala medier. Offren väljs på så sätt att attackerna ska ge angriparen så stor synlighet som möjligt. Visserligen riktas största delen av defacement-attackerna utifrån publiceringsplattformens sårbarhet. Angriparen känner till att en plattform har en specifik sårbarhet. Med hjälp av sökrobotar tar angriparen reda på var sårbara publiceringsplattformer används och riktar in en automatiserad attack mot samtliga sårbara plattformer som hittats. På så sätt kan angriparen få stor spridning för sitt innehåll på flera webbplatser. Det bästa sättet att avvärja dylika attacker är att se till att man alltid har de senaste versionerna av publiceringsplattformen. Om plattformleverantören meddelar om att den har hittat en ny sårbarhet och ger anvisningar om hur användarna ska gardera sig mot informationssäkerhetsrisken, ska man vidta åtgärder enligt anvisningarna så fort som möjligt och innan den egentliga uppdateringen publiceras. Angriparna kan också omdirigera den inkommande trafiken till en annan webbplats där de har lagt ut sitt eget innehåll. Detta görs genom att angriparna ändrar på namnserverinformationen. Då har angriparna kommit åt domännamnstjänsten och kan sedan omdirigera trafiken till önskad server genom att ändra på namnserverinformationen för domännamnet. Detta sätt används när angriparna vill rikta in defacement-attacken till en viss webbplats. Man kan gardera sig mot dessa attacker genom att vara noggrann med hur man sparar uppgifterna och koderna för registrering och ändring av domännamnet. Om administratören av domännamnet använder tvåstegsverifiering är det bra att aktivera den egenskapen. 3.4 Reklam på webbplatser används för spridning av skadliga program Den reklam som syns på webbplatser laddas vanligen ned från en tredje parts server. De kan innehålla skadliga koder, eftersom innehållet i reklamen inte kontrolleras särskilt noga. Redan i flera års tid har kriminella därför använt webbreklam som en spridningskanal för skadliga program. På sistone har detta fenomen blivit allmännare. Vid årsskiftet drabbades den amerikanska webbtjänsten Yahoo! av en skadlig reklamkampanj och flera webbanvändare utsattes för skadliga program. Även finländska webbtidningar har bland sina källor haft webbsidor med skadlig reklam. Cybersäkerhetscentrets system HAVARO har identifierat flera skadliga program som försökt tränga in i datorer genom kapad reklam. Det senaste offret för attacker genom webbreklam var svenska Aftonbladets webbplats, där webbkriminella hade lagt ut en reklambanner med skadeprogrammet FakeAV. Programmet fungerar för närvarande endast i Internet Explorer. 19

20 Enligt nyhetskällor har FakeAV nu tagits bort men koden kan ha hunnit infektera otaliga datorer. Enligt Alexa-rankingen av webbplatsers popularitet ligger Aftonbladet på sjätte plats i Sverige med tre miljoner besökare varje dag. FakeAV fungerar så att den visar ett meddelande som ser ut som en varning från antivirusprogrammet. Meddelandet liknar varningsrutan för det vanliga antivirusprogrammet Microsoft Security Essentials. Enligt meddelandet har programmet hittat flera olika virus i användarens dator. Genom att klicka på knappen Clean computer startar användaren nedladdningen av det egentliga skadeprogrammet på sin dator. På så sätt installeras det skadliga program som sprids genom FakeAV på datorn och bidrar till spridning av bland annat Zeus-, DorkBot- och Necurs-bottar och insmusslande av andra skadeprogram. FakeAV-skadeprogram har också förekommit på webbplatser som Dailymotion.com och BusinessInsider.com. När man rör sig på webben är det skäl att vara påpasslig, eftersom skadlig reklam också kan förekomma på webbplatser som i allmänhet anses vara trygga. Man ska också förhålla sig försiktigt till popup-rutor som aktiveras automatiskt på webbsidor. Eftersom en reklambanner ofta syns på webbsidan bara i några minuter är det svårt att avlägsna den och skydda sig mot dem. Man kan skydda sin dator mot skadliga program genom att använda de senaste versionerna av antivirusprogrammen och webbläsaren. Kom också ihåg att uppdatera insticksprogrammen till webbläsaren, som Adobe Flash Player och Oracle Java. Om man har klickat på länken och kört det exekverbara programmet ska man omedelbart rensa datorn med ett tillförlitligt antivirusprogram. 20

21 4 INCIDENTER I DET ALL- MÄNNA KOMMUNIKA- TIONSNÄTET 4.1 Har Finland de renaste nätverken i världen? Finland har placerat sig väl enligt de statistikuppgifter som internationella informationssäkerhetsföretag har publicerat. De höga placeringarna bygger på de förebyggande åtgärder som vi har infört i Finland. I detta avsnitt beskriver vi de faktorer som har bidragit till framgången och redogör för Cybersäkerhetscentrets statistik över informationssäkerhetsincidenter Strålande placeringar för Finland i statistik från informationssäkerhetsföretag Enligt Microsofts Security Intelligence Report (SIR-rapport) av den 20 februari 2014 var Finland under andra kvartalet 2013 bäst i världen på informationssäkerhet. Sedan 2006 har Microsoft halvårsvis gett ut en rapport över informationssäkerhet där en bedömning av informationssäkerhetssituationen i världen ges utifrån bolagets observationer. Enligt rapporten var Finland det land där det fanns minst datorer som var infekterade av skadliga program. Finland har sedan länge placerat sig i rapporten bland de bästa länderna. Senast var Finland världsbäst första halvåret 2011 och år 2010 (bild 3). Bild 3 Finlands placering i Microsofts SIR-rapport per kvartal (1 är bäst) Många andra informationssäkerhetsföretag sammanställer och publicerar också statistik över skadliga program och dataintrång som observerats i olika länder. Finland har fått goda placeringar även i dessa sammanhang. Till exempel i rapporterna om 2013 från företagen Kaspersky Lab och Panda Lab finns Finland på tredje plats. I F- Secures observationsstatistik för skadliga program 2013 placerade sig Finland på andra plats, det vill säga som det land där det observerades näst minst skadliga program. 21

22 4.1.2 I Finland ser man aktivt till att hålla nätverken rena I princip utsätts finländare på webben för samma risk för infektion med skadliga program som användare i andra länder. Globalt sett är finska ett litet språkområde, vilket eventuellt påverkar antalet skadliga program som riktas mot Finland. Ett litet språkområde är ändå inte den enda förklaringen till Finlands bra placeringar i statistiken, eftersom andra små språk inte ligger lika bra till. En förklaring till det ringa antalet observationer av skadliga program är att de finländska teleföretagen har infört effektiva rutiner för detektering och rensning av infekterade terminalapparater i sina nätverk. Till exempel TeliaSonera har inom bolaget tagit fram en automatisk lösning som observerar den oanvända adressrymden för att detektera skadlig trafik. Oanvända internetadresser ska normalt inte ha någon inkommande trafik, så de kan användas till att detektera till exempel nätverksgenomsökning eller botnet-trafik. Om en internetadress som genererar skadlig trafik finns i ett nätverk som administreras av TeliaSonera, underrättar företaget kunden om att denne har ett informationssäkerhetsproblem i sitt system. Om inkommande skadlig trafik från externa internetadresser meddelar företaget till Cybersäkerhetscentret vid Kommunikationsverket, som vidareförmedlar uppgifterna till det teleföretag som administrerar adressen. Med sina aktiva åtgärder bekämpar TeliaSonera skadliga program i sitt nätverk och tar samtidigt fram information som gagnar de övriga teleföretagen. Infekterad terminalutrustning i finländska teleföretags nätverk detekteras även med Kommunikationsverkets tjänst Autoreporter. Tjänsten sammanställer uppgifter från flera olika källor om observationer av skadliga program och informationssäkerhetsincidenter i finländska nätverk och rapporterar uppgifterna till tjänsteleverantörerna och webboperatörerna. Dessa klarlägger orsaken till incidenten och beroende på hur allvarlig den är kontaktar kunden, kopplar loss anslutningen eller tjänsten eller börjar filtrera trafiken. Den finska lagstiftningen ålägger också teleföretagen att se till att deras nätverk är störningsfria, vilket skapar goda förutsättningar för bekämpning av skadlig trafik i nätverken. Enligt 131 i kommunikationsmarknadslagen ska innehavare av kommunikationsnät koppla bort utrustning som orsakar störning för resten av kommunikationsnätet. Bestämmelserna i 20 i lagen om dataskydd vid elektronisk kommunikation ger dem som upprätthåller nätverken rätt att bland annat filtrera bort skadlig trafik. Enligt Kommunikationsverkets föreskrift 13 om internetförbindelsetjänsternas informationssäkerhet ska teleföretagen upptäcka sådan trafik som äventyrar informationssäkerheten i kommunikationsnätet eller kommunikationstjänsten Statistik berättar inte hela sanningen Informationssäkerhetsföretagen fokuserar i sina rapporter främst på allmänna risker för informationssäkerheten som påverkar alla internetanvändare. Spridarna av skadliga program försöker sprida programmen till en så stor grupp slumpmässigt utvalda användare som möjligt. Utöver dessa vanliga skadeprogram föreligger för statsförvaltningen och andra strategiskt eller finansiellt viktiga organisationer även en risk för riktade attacker. Riktade attacker är svåra att upptäcka och de syns inte i statistiken över vanliga skadeprogram. Ibland behövs det speciellt anpassade lösningar för detektering av riktade at- 22

23 tacker. Kommunikationsverkets tjänst HAVARO är främst avsedd för försörjningsberedskapskritiska företag. Systemet för detektering av och varning för informationssäkerhetsincidenter ska skapa en noggrannare lägesbild av riskerna för informationssäkerheten i finländska nätverk. Utöver vanliga skadeprogram ska HAVARO även upptäcka riktade attacker. År 2013 upptäckte HAVARO över informationssäkerhetsincidenter, av vilka 240 krävde omedelbart ingripande. Sådana incidenter gäller i regel skadliga program som laddats ned på terminalutrustning i ett företags nätverk. Konsultföretaget KPMG genomförde i november 2013 en uppföljningsundersökning där man i tio finländska organisationers nätverk placerade en anordning som under tre veckors tid detekterade kränkningar av informationssäkerheten. I undersökningen upptäcktes flera attacker som organisationerna inte hade noterat och som deras informationssäkerhetssystem inte upptäckte. Det vore bra om företagen i samband med dylika undersökningar skulle ge Cybersäkerhetscentret en lista över de infekterade webbaddresserna. Då kan man underrätta de utsatta användarna samt snabbt köra ner de kommandoservrar som medverkat i attackerna Autoreporter-statistik från december 2013 till februari 2014 Autoreporter samlar observationer av skadliga program och andra informationssäkerhetsincidenter från flera olika källor. Till dessa hör Cybersäkerhetscentrets egna observationssystem, tillförlitliga och välkända finländska och internationella partner samt tillförlitliga tredje parter. Autoreporter sammanställer observationerna av informationssäkerhetsincidenter och vidareförmedlar dem till det teleföretag som administrerar den berörda internetadressen. När det gäller utländska internetadresser samarbetar Cybersäkerhetscentret med myndigheterna i det aktuella landet. Under perioden från december 2013 till februari 2014 rapporterade Autoreporter varje vecka i genomsnitt informationssäkerhetsincidenter som gällde Finland. Infektionerna med skadliga program berodde i de flesta fall på att hackade webbplatser hade använts till att omdirigera webbesökare till andra webbplatser som utnyttjar sårbarheter. Oftast är det fråga om försök att använda kända sårbarheter i olika versioner av Java. Antalet observationer av skadeprogrammet ZeroAccess har visserligen minskat men de utgör fortfarande den största gruppen bland observationerna i Autoreporter. ZeroAccess förekommer bland annat vid missbruk av den virtuella valutan bitcoin och i bedrägerier med fakturering av klickbaserad reklam (clickfraud). Av bilden nedan (bild 4) framgår infektionerna med skadeprogrammen Conficker, Citadel, Zeus och ZeroAccess som Autoreporter har upptäckt i finländska nätverk. 23

24 Bild 4 Observationer av skadliga program från december 2013 till februari 2014 Observationerna i Autoreporter är inte jämt fördelade mellan teleföretagen. Detta beror speciellt på hur aktivt företagen själva bekämpar skadliga program. Av diagrammet nedan (bild 5) framgår fördelningen från och med 2006 för de fem företag med flest Autoreporter-observationer. Antalet observerade informationssäkerhetsincidenter har de senaste åren ökat på ett oroväckande sätt i de nätverk som administreras av ett av dessa teleföretag (Teleföretag 1, bild 5). Under de första månaderna 2014 härrörde cirka 85 % av samtliga upptäckta informationssäkerhetsincidenter i Finland från ett teleföretags nätverk. Ökningen i observationer kan inte förklaras med förändrade marknadsandelar. Kommunikationsverket har börjat utreda ärendet. 24

25 Bild 5 Fördelning av Autoreporter-observationer mellan teleföretag. *Statistiken för 2014 består av observationer i januari-februari Informationssäkerhetsincidenter 2013 I december 2013 februari 2014 levererades till Cybersäkerhetscentret fyra informationssäkerhetsanmälningar enligt Kommunikationsverkets föreskrift 9 om skyldighet att anmäla kränkningar i informationssäkerheten i allmän televerksamhet. Under hela 2013 lämnades 38 anmälningar. Dessutom genomförde Cybersäkerhetscentret en enkät bland teleföretagen om informationssäkerhetsincidenterna Enkäten gjordes i januari 2014 med Kommunikationsverkets system för informationssamling. Enkäten fick svar från 51 aktörer av vilka 29 uppgav att det under den aktuella perioden förekommit incidenter som rapporterades. År 2013 utsattes teleföretagen i Finland för totalt kränkningar av informationssäkerheten. Oftast orsakades kränkningen av ett skadligt program i ett system som finns bakom en internetanslutning. Sådana fall stod för totalt 78 % av alla informationssäkerhetsincidenter (bild 6). Spridning av skräppost stod för 10 % och olovlig användning eller dataintrång för 7 % av de observerade incidenterna. 25

26 Bild 6 Informationssäkerhetsincidenter till följd av kränkningar av informationssäkerheten. Av samtliga uppdagade kränkningar av informationssäkerheten ledde stycken till åtgärder. I de flesta fall kontaktade man kunden eller kopplade loss anslutningen eller tjänsten (bild 7). I cirka fall saknade anmälningen grund och ledde därmed inte till åtgärder. Skillnaden mellan antalet observerade informationssäkerhetsincidenter ( ) och antalet incidenter som föranledde åtgärder beror på att många observationer gällde samma sak. En incident, till exempel ett skadligt program som har infekterat en dator, kan ge flera överlappande anmälningar från olika observationspunkter. Dessutom används i internetanslutningar för hemmabruk ofta en dynamisk internetadress, och när den byts kan leda till flera observationer av ett och samma skadeprogram. Därför är antalet observerade informationssäkerhetsincidenter betydligt större än antalet åtgärder. 26

27 Bild 7 Åtgärder till följd av informationssäkerhetsincidenter Sammandrag: I Finland håller man aktivt nätverken rena I Finland har vi i regel god informationssäkerhet i kommunikationsnätverken. Det framgår av statistik från olika källor, där Finland placerar sig bland de främsta länderna. Till de goda placeringarna bidrar ett fortlöpande arbete för att bekämpa skadliga program tillsammans med teleföretagen. Till exempel 2013 tog teleföretagen del av kränkningar av informationssäkerheten, och av fallen ledde till åtgärder. Genom att kontakta kunden eller koppla loss abonnentanslutningen försöker man begränsa effekterna och förhindra spridningen av skadeprogrammen. Fortlöpande bekämpning tar inte bort hotet av skadliga program men bidrar till att lindra effekterna. Tack vare fortlöpande bekämpning har Finland behållit sin position som ett ledande land inom informationssäkerheten enligt antalet skadeprogramsinfektioner. Antalet infektioner med skadliga program avspeglar likväl inte direkt nivån på informationssäkerheten i ett land, även om det ger en viss antydan om den. En enda attack mot en kritisk aktör kan orsaka större skada än flera skadliga program tillsammans. Därför kan man inte bedöma de hot som riktas mot Finland endast utifrån antalet observationer av skadliga program som privata informationssäkerhetsföretag har gjort. Spionageprogrammet som upptäcktes på utrikesministeriet 2013 och liknande spionageprogram är exempel på program som inte syns i skadeprogramsstatistiken. Finland har goda förutsättningar för att bli ledande inom informationssäkerhet, men det krävs ännu mycket arbete. Speciellt de kritiska aktörerna måste bli bättre på att försvara sig mot riktade attacker. Dessutom måste vi fortsätta det fortlöpande arbetet för att bekämpa skadliga program och upprätthålla samarbetet med teleföretagen, så att finländarna även i framtiden ska kunna röra sig i informationsnätverken utan 27

28 att behöva oroa sig för skadliga program. 4.2 Anmälan om fel och störningar i kommunikationsnät Telebolagen lämnade mellan december 2013 och februari 2014 till Kommunikationsverket sammanlagt 41 anmälningar om fel och störningar enligt föreskrift 57. Av dessa var 10 väsentliga fel av klass A och B, inklusive tre fel av klass A. Under föregående period uppgick antalet anmälningar till 17, orsaken var visserligen höststormar som drabbade stora områden. Stormarna i december 2013, vilka döptes till Oskari och Seija, fick inte samma konsekvenser under den aktuella rapportsperioden. De tre felen av klass A som teleföretagen rapporterade bestod av två störningar i TeliaSoneras mobilnät i december och ett fel i Digitas nät för markbundna tv-sändningar i Nyland Stormen Seija orsakade elavbrott i nästan hela landet den 13 december 2013 Fredagen den 13 december 2013 drog en kraftig storm över sydvästra, södra och västra Finland och orsakade avbrott i elnäten. Avbrotten påverkade även apparaturen i kommunikationsnäten. Hörbarheten i mobila nät drabbades speciellt illa, men det förekom även avbrott i bredbandsanslutningar. I området runt Fiskars var tv- och radiosändningarna utslagna i flera timmar. Eftersom teleföretagen och elbolagen hade tagit del av väderrapporterna och förberett sig för stormen kunde de börja med reparationsarbetena genast när stormen avtog. Skadorna efter stormen som började på fredagen kunde till största delen repareras under veckoslutet. I de drabbade områdena kunde man återställa kommunikationsförbindelserna relativt snabbt genom att tele- och elbolagen kommunicerade med varandra om läget och planerade reparationerna i samarbete. Endast i de värst drabbade områdena i västra Finland fortsatte arbetena med att reparera enskilda anslutningar och basstationer ännu följande vecka Fel i Digitas sändningar i det markbundna tv-nätet i Nyland den 14 januari 2014 Ett fel i tv-sändaren i Esbo påverkade synbarheten för bland annat Yles kanaler i nästan hela Nyland. Detta var det andra betydande felet i kategori A vid årsskiftet, som visserligen drabbade bara ett teleföretag och ett kommunikationsnät, i motsats till exempelvis stormen Seija. Det tog mindre än två timmar att åtgärda felet och sedan kunde tv-kanalerna ses normalt igen. Information om felet i Digitas markbundna tv-nät publicerades också på störningskartan i Kommunikationsverkets tjänst MONITORI (bild 8). 28

29 Bild 8 Kartbild från MONITORI-tjänsten av Digitas fel av kategori A i Nyland Statistik över störningar i kommunikationsnät från december 2013 till februari 2014 Under perioden rapporterades sammanlagt inemot störningar för kunderna. Antalet är mindre än under föregående statistikperiod I likhet med tidigare resultat, kan man se att störningar i mobila nät åtgärdas i genomsnitt snabbare än problem i anslutningar i fasta nät. På senhösten var reparationstiderna i mobila nät emellertid längre än under föregående kvartal, vilket sannolikt beror på höststormarna som orsakade långvariga störningar. Det framgår också av störningsorsakerna där andelarna för naturfenomen och störningar i det allmänna elnätet har ökat. I övrigt är orsakerna bakom störningarna i stort sett desamma. Således var fel i anläggningar fortfarande den vanligaste enskilda orsaken. Fördelningen av störningar enligt tjänst är också i stort sett densamma som under föregående statistikperiod. 29

30 Bild 9 Fördelning av reparationstiderna efter störning per tjänst från december 2013 till februari 2014 Bild10 Antal störningar per tjänst

31 Bild 11 Störningsorsaker i kommunikationsnät