23.9.2014 Cybersäkerhetsöversikt 3/2014
Innehåll Inledning... 3 Informationssäkerhet ur statistisk synvinkel... 4 1 Autoreporter... 4 1.1 Observationer av skadliga program... 4 1.2 Observationer av skadliga program i olika teleföretags nät... 6 2 Havaro... 6 3 Kontakter som behandlades av Cybersäkerhetscentret... 7 4 Störningar i kommunikationsnätens funktion... 9 Styrning och tillsyn... 13 5 Sopiva-rekommendationer... 13 6 Digitaliseringsgraden för informationen om telekablar och informationssäkerheten vid behandlingen av informationen... 13 Aktuella fenomen inom informationssäkerheten... 14 7 Operativsystemet Windows XP:s popularitet minskar i jämn takt... 14 8 En nätfiskekampanj som började i mars har upphört... 14 9 Hotet om riktade skadliga program ska tas på allvar... 16
Inledning Kommunikationsverkets Cybersäkerhetscenters tredje delårsöversikt handlar om störningar i kommunikationsnät, informationssäkerhetsincidenter och händelser 1.6.2014 31.8.2014. Cybersäkerhetsöversikten är indelad i tre avsnitt: Informationssäkerhet ur statistisk synvinkel, Styrning och tillsyn och Aktuella fenomen inom informationssäkerheten. Avsnittet Informationssäkerhet ur statistisk synvinkel handlar om störningar i kommunikationsnäts funktion, teleföretagens anmälningar om informationssäkerhet, Autoreporterstatistik, HAVARO-statistik och de kontakter som behandlades av Cybersäkerhetscentret. Avsnittet Styrning och tillsyn lyfter fram reformer av de författningar som övervakas av Cybersäkerhetscentret. För delårsöversikten har vi valt följande betydande fenomen inom informationssäkerheten under den aktuella tidsperioden: 1) Upphörandet av produktstödet för operativsystemet Windows XP samt den tillhörande uppdaterade Windows XP-allmänhetsstatistiken, 2) en nätfiskekampanj där nätbrottslingar försökte komma över bland annat nätbankskoder under Tullens, Itellas, inkassotjänsters och Matkahuoltos namn, och 3) en ökad risk för riktade attacker. Två Cybersäkerhetsöversikter har publicerats tidigare i år: Cybersäkerhetsöversikt 1/2014 (1.12.2013 28.2.2014): https://www.viestintavirasto.fi/sv /ombranschen/oversikterochartikl ar/informationssakerhetsartiklar/ cybersakerhetsoversikt12014.ht ml Cybersäkerhetsöversikt 2/2014 (1.3 31.5.2014): https://www.viestintavirasto.fi/sv /ombranschen/oversikterochartikl ar/informationssakerhetsartiklar/ cybersakerhetsoversikt22014.ht ml 3
Informationssäkerhet ur statistisk synvinkel 1 Autoreporter Autoreporter är en tjänst som administreras av Cybersäkerhetscentret. Tjänsten samlar in uppgifter om skadliga program och kränkningar mot informationssäkerhet i finländska nät och rapporterar dessa till nätadministratörerna. Autoreporter har varit i drift sedan 2006 och den omfattar alla finländska domäner. Utifrån den statistik som samlats in via Autoreporter är det bland annat möjligt att beräkna hur ofta skadliga program förekommer i finländska nät. 1.1 Observationer av skadliga program I juni augusti 2014 behandlade Autoreporter 16 547 observationer (Figur 1), vilket är betydligt mindre än under de föregående kvartalen 2014. Autoreporter behandlade till exempel under det första kvartalet 197 602 observationer. En orsak till att antalet observationer har minskat är att teleföretagen nu har en bättre förmåga att avhjälpa informationssäkerhetsincidenter som har upptäckts i nätet. Tabell 1. Autoreporter-systemets observationer per år År 2014 januari juni Observationer 177 160 2013 492 426 2012 184 125 De observationer av skadliga program som Autoreporter förmedlade under det gångna kvartalet beskrivs i den grafiska figuren nedan (Figur 2). Antalet observationer av det skadliga programmet ZeroAccess har minskat jämfört med början av året, men det är fortfarande det vanligaste skadliga programmet. Under vecka 35 utgjorde observationerna av ZeroAccess 37 procent av Autoreporters samtliga observationer. Zeus med en andel om 17 procent och Conficker med en andel om 16 procent var de näst vanligaste skadliga programmen. I fråga om variationer i antalet Autoreporter-observationer av skadliga program är det emellertid inte möjligt att dra några exakta slutsatser, eftersom skillnaderna mellan olika tidsperioder kan bero på exempelvis nya informationskällor eller de nya identifieringsuppgifter om skadliga program som lagts till i informationskällorna. 4
Figur 1. Autoreporter-observationer per kvartal (Obs! Det första kvartalet börjar 1.12.) Figur 2. Händelser som Autoreporter behandlade per vecka. 5
1.2 Observationer av skadliga program i olika teleföretags nät Fördelningen av observationerna av skadliga program mellan olika teleföretags nät jämnades ut under det tredje kvartalet (Figur 3). I början av året härrörde cirka 85 procent av alla skadliga program från ett och samma teleföretags nät. Under den aktuella observationsperioden var motsvarande siffra 37 procent. Teleföretagets verksamhet har förbättrats betydligt jämfört med början av året. Det är naturligt att det finns skillnader i antalet observationer av skadliga program mellan olika teleföretag, eftersom företagens kundantal och egna aktiva åtgärder för att bekämpa skadliga program varierar. Figur 3. Informationssäkerhetsincidenter mellan olika teleföretag 1.6 31.8.2014 (mer detaljerade uppgifter om störningar i enskilda teleföretag är oftast sekretessbelagd enligt lagen om offentlighet i myndigheternas verksamhet). 2 Havaro HAVARO är ett för försörjningsberedskapskritiska företag avsett system som upptäcker och varnar för kränkningar av informationssäkerheten. Systemet har genomförts i samarbete med Försörjningsberedskapscentralen. HAVARO har en viktig roll när man vill skapa en noggrannare lägesbild av hoten mot informationssäkerheten i finländska nät. Av figuren nedan (Figur 4) framgår antalet observationer som HAVARO har gjort under ett år. Röda incidenter leder till omedelbara fortsatta åtgärder, gula incidenter rapporteras till kunden en gång i veckan och gröna incidenter anses inte medföra några större risker för organisationen. 6
Antalet observationer som HAVARO har gjort under 2014 har ökat jämfört med 2013 eftersom systemet i år omfattar fler nya kunder och observationsmetoder. Antalet röda observationer var sammanlagt 385 i juni augusti och i genomsnitt 178 per månad sedan början av 2014. Toppen i antalet gröna observationer i april, som visas i figur 3, beror på observationer av Heartbleed och återspridning av spridda blockeringsattacker som använder DNS-protokoll. I maj ökade i sin tur antalet gula observationer på grund av en enskild exploit kitkampanj. Figur 4. Observationer i HAVARO per månad 3 Kontakter som behandlades av Cybersäkerhetscentret Enligt föreskrift 57 ska teleföretagen rapportera om betydande störningar i sina kommunikationsnät till Kommunikationsverket. I juni augusti 2014 uppgick antalet anmälningar till Kommunikationsverket till totalt 38. En stor del av störningarna berodde på sommarens markbyggarbeten där ett flertal kablar runt om i Finland blev brutna. Stormen Helena som bröt ut i slutet av juli förorsakade en del kortare avbrott i kommunikationsnäten, men inga större skador uppkom. Antalet anmälningar enligt föreskrift 9 (21 i lagen om dataskydd vid elektronisk kommunikation) om kränkningar 7
av informationssäkerhet var två under perioden. I juni augusti gick en jourhavande expert på Cybersäkerhetscentret igenom i snitt 65 kontakter per vecka. Merparten av kontakterna rörde allmän rådgivning om informationssäkerheten (Figur 5). Därutöver handlade flera kontakter om skadliga program och s.k. social engineering, dvs. manipulering av användare. Vid granskning av kontakter per vecka (Figur 6), var antalet kontakter i juli och augusti något mindre än i juni. Totalt sett var sommaren dock inte signifikant lugnare än det övriga året. Figur 5. Kontakter som Cybersäkerhetscentret behandlade 1.6 31.8.2014 8
Figur 6. Kontakter som Cybersäkerhetscentret behandlade under veckorna 23 35 4 Störningar i kommunikationsnätens funktion Kommunikationsverket följer upp kommunikationsnätens och -tjänsternas funktion genom kvartalsvisa förfrågningar i teleföretagen. I april juni 2014 rapporterade teleföretagen om sammanlagt något över 54 000 störningar som kunderna hade anmält. Antalet har ökat något jämfört med det första kvartalet 2014, då antalet rapporterade störningar var 50 000. Merparten av kundkontakterna (57 %) rörde problem med internetuppkoppling (Figur 7). Näst mest reklamerade kunderna om problem med förbindelserna i mobila nät (14 %) och tredje mest för störningar i kabel-tv (10 %). Mängderna har inte väsentligt förändrats jämfört med föregående översiktsperiod. Antalet störningar som reparerades på mindre än sex timmar har i allmänhet minskat något (Figur 8). Exempel på detta är att andelen sådana fel i fasta dataförbindelser som reparerades på mindre än sex timmar var 22 procent, medan motsvarande siffra i början av året var cirka 25 procent (Figur 9). Å andra sidan låg reparationstiderna för felen i fasta dataförbindelser på nästan samma nivå under bägge uppföljningsperioderna (cirka 65 %). Under översiktsperioden reparerade teleföretagen inom två dygn över 70 procent av felen i mobiltelefonnätets tal- och dataförbindelser, kabel-tv och andra trådlösa nätverk (Figur 9). I fråga om endast mobiltelefonnätets dataförbindelser kunde mer än 80 procent av felen repareras inom två dygn. Reparationer av fel i tilläggs- och VoIPtjänsterna gick långsammare än i övriga tjänster. Ungefär hälften av reparationerna av dessa fel tog mer än två dagar (Figur 9). Antalet anmälningar om sådana problem i tilläggstjänster som varade i över en vecka var också 9
betydligt större jämfört med föregående översiktsperiod. Figur 7. Andelar störningar som anmäldes av kunderna i april juni 2014, per tjänst 10
Figur 8. Antal störningar och längder per kvartal. Längden har inte angetts för en del störningar. 11
Figur 9. Längder på de störningar där längden är känd, per kvartal. 12
Styrning och tillsyn 5 Sopiva-rekommendationer I samarbete mellan näringslivet och den offentliga förvaltningen har man utfärdat så kallade Sopivarekommendationer om kontinuitetsstyrning av verksamheten. År 2014 överförs förvaltningen av rekommendationerna delvis på Kommunikationsverket. I Sopiva-projektet har man tagit fram verktyg som är avsedda för företag och den offentliga förvaltningens organisationer och som förbättrar funktionssäkerheten i alla slags situationer. Samtidigt sörjer man för det nuvarande samhällets kontinuitet. implementeringen av det så kallade bredbandsdirektivet är det relativt enkelt att konvertera dem till ett enda format. Därför har Kommunikationsverket inget direkt behov av att meddela föreskrifter med stöd av ovan nämnda paragraf i informationssamhällsbalken. I juni juli samlade Cybersäkerhetscentret material med anknytning till Sopivarekommendationerna som underlag för arbete i ett senare skede. 6 Digitaliseringsgraden för informationen om telekablar och informationssäkerheten vid behandlingen av informationen Kommunikationsverket har utrett den nuvarande digitaliseringsgraden för informationen om telekablars placering (kabelinformationen) och informationssäkerheten vid behandlingen av den. Utredningen bygger på informationssamhällsbalken, som för närvarande behandlas av riksdagen, och de behörigheter att meddela föreskrifter som riksdagen har beviljat Kommunikationsverket (242 Tillgången till information om telekablars placering samt informationssäkerheten vid behandlingen av den). Utifrån utredningen finns så gott som 100 procent av informationen om fiberkablars placering tillgänglig i digital form och informationssäkerheten vid behandlingen av informationen ligger på en god nivå. Vid lagringen av kabelinformation används några olika format, men med tanke på bland annat 13
Aktuella fenomen inom informationssäkerhete n 7 Operativsystemet Windows XP:s popularitet minskar i jämn takt Den 8 april 2014 upphörde Microsofts produktstöd för operativsystemet Windows XP. I augusti utgjorde Windows XP-datorernas andel 6,9 procent av alla datorer som använder Windows och som har använts till att bläddra de webbplatser som ingick i mätningen (Figur 10). I januari augusti 2014 sjönk Windows XP-datorernas andel med 58,4 procent. Kommunikationsverkets Cybersäkerhetscenter rekommenderar att man använder operativsystem där informationssäkerheten underhålls även framöver. Figur 10. Windows-operativsystem som har besökt de vanligaste finländska webbplatserna. Den grafiska figuren visar procentandelarna för Windows XP. Källa: TNS Metrix 8 En nätfiskekampanj som började i mars har upphört Polisinrättningen i Helsingfors har utrett en nätfiskekampanj som påbörjades i början av 2014 och riktades mot finländska användare av webbanken. Polisen misstänker att bakom kampanjen står en finländsk aktör som har hjälpt till att göra de förfalskade webbplatserna trovärdiga. Bedragarna närmade sig sina offer undantagsvis via sms där man varnade om en förfallen faktura och en betalningsanmärkning som ska följa därefter. Bedragarna som var 14
verksamma utomlands lyckades få några hundra tusen euro, främst genom att ta snabblån med de bankkoder de hade kommit över. Pengarna från snabblånen överfördes till de egentliga gärningsmännen med hjälp av penningmulor. I slutet av sommaren anhöll polisen i Helsingfors bedrägerikampanjens huvudmisstänkte i Tallinn. Det fanns ännu en annan person som efter detta skapade förfalskade webbplatser och som greps efter några veckor. Bägge misstänkta är häktade under behandlingen. Kommunikationsverkets Cybersäkerhetscenter deltog i bekämpningen av den brottsliga kampanjen. Centret följde upp de webbplatser och domännamn som användes vid bedrägerierna, och skickade begäranden om bortkoppling av kända förfalskade webbplatser till administratörerna av webbplatserna och domännamnsregistret. Begärandena iakttogs väl eftersom dröjsmålet mellan sändningen av begäran och nedläggningen av webbplatsen varierade från några minuter till timmar. Nedläggningen av webbplatserna gjorde brottslingarnas verksamhet långsammare och tvingade dem att om och om igen skicka nya nätfiskemeddelanden med nya adresser. Totalt nedlades 23 förfalskade webbplatser på olika ställen och 55 domännamn som hade använts vid kampanjen. Figur 11. Webbplatser och domännamn som Kommunikationsverket känner till och som användes vid nätfiskekampanjen 15
9 Hotet om riktade skadliga program ska tas på allvar Under de senaste åren har det förekommit allt fler riktade attacker med skadlig kod. Målen har främst varit statsorganisationer och företag inom kritisk infrastruktur, men hot om angrepp kan också bli aktuella för andra aktörer exempelvis via underleverantörskedjor. I augusti publicerade Cybersäkerhetscentret en rapport om riktade attacker med skadlig kod. Syftet med rapporten är att öka kännedomen, förbättra skyddet och utöka det internationella samarbetet inom bekämpning av hot om riktade attacker med skadlig kod. Rapporten är indelad i tre avsnitt: det första avsnittet innehåller information om de faktorer inom en organisation som exponerar för och möjliggör riktade attacker mot organisationen (Figur 12). Dessutom beskrivs de allmänna inslagen i genomförandet av riktade attacker med skadlig kod och verksamheten i organisationens nät (Figur 13). Syftet är att hjälpa till att identifiera organisationsspecifika risker genom att förstå motiven till och verksamhetsprinciperna för riktade attacker med skadlig kod. Det andra avsnittet fokuserar på nuläget när det gäller förmågan att upptäcka riktade skadliga program i Finland. Enligt Cybersäkerhetscentrets uppfattning är de finländska organisationernas förmåga att upptäcka riktade attacker i regel dålig och antagligen finns det fall som organisationerna inte har lyckats upptäcka. Därför är utbytet av information om observationer och skyddsåtgärder nödvändigt när det gäller att förbättra de finländska organisationernas observationsförmåga i allmänhet. I avsnittet ingår dessutom en bedömning av framtidsutvecklingen för eventuella riktade attacker och en presentation av de tio viktigaste lärdomarna av de förverkligade fallen, som kan användas till allmän nytta. Det sista avsnittet fokuserar på hur man kan skydda sig mot konsekvenserna av riktade attacker i olika skeden. Hänsyn ska tas till förebyggande åtgärder, upptäckt, aktiva åtgärder och vid behov till återhämtning. Cybersäkerhetscentret kan också ge APTanvisningar till de organisationer som löper en klar risk för eller som har starka skäl att misstänka att de ska drabbas av attacker med skadlig kod. Rapporten bygger på erfarenheter från finländska myndigheter, uppfattningar som har erhållits via samarbetsnätverk och offentliga rapporter. Rapporten har utarbetats i samarbete med Skyddspolisen och Försvarsmakten. Bland de informationssäkerhetsföretag som behandlar riktade skadliga program svarade F-Secure, Nixu och nsense på frågorna för rapporten. 16
Figur 12. Faktorer som exponerar för och möjliggör riktade attacker Figur 13. Exempel på hur ett riktat skadligt program fungerar i ett nät 17
Kontaktinformation Kommunikationsverket PB 313 Östersjögatan 3 A 00181 Helsingfors Tfn 0295 390 100 (växel) Cybersakerhetscentret.fi Kommunikationsverket.fi