verkkoturvallisuuskuukausi:ovatko tilisi ja tietosi turvassa?

#CyberSecMonth

Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Studia monetaria -yleisöluento rahamuseossa 10.10.2017Hanna Heiskanen, johtava digitalisaatioasiantuntija, FinanssivalvontaTomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus

#CyberSecMonth

Esityksen sisältö

• Hanna Heiskanen: Miten palveluiden turvallisuus varmistetaan?

• Tomi Kinnari: Mitkä uhat vaanivat palvelujen käyttäjää ja miten niihin voi varautua?

#CyberSecMonth

Miten palveluiden turvallisuus varmistetaan?Hanna Heiskanen

#CyberSecMonth

Mitä tietoturva ja tietosuoja tarkoittavat?• Tietoturvan CIA-malli = Condidentiality + Integrity + Availability• Luottamuksellisuus

• Luottamuksellisten tietojen turvaaminen• Tiedot vain niiden saatavilla, joilla on tietoihin oikeus

• Eheys• Tieto ei pääse muuttumaan vahingossa• Tietoa voivat muuttaa vain ne, joilla on siihen oikeus• Tietoihin tehdyt muutokset ovat havaittavissa

• Saatavuus• Tiedot ovat saatavilla, kun niitä tarvitaan• Tarvittavat varajärjestelyt käytössä vika- ja häiriötilanteiden varalta

• Tietosuoja = henkilötietojen suojaaminen, yksityisyyden turvaaminen

#CyberSecMonth

Useilla viranomaisilla rooli tietoturvan hallinnassa• Finanssivalvonta• Viestintäviraston kyberturvallisuuskeskus• Tietosuojavaltuutettu• Poliisi – Keskusrikospoliisin kyberrikos-yksikkö• Euroopan Keskuspankin yhteinen pankkivalvonta suurten

pankkien valvonnassa

#CyberSecMonth

Tietoturvallisuuden tila on Suomessa hyvä

Lähde: Microsoft Security Intelligence Report

#CyberSecMonth

Tietoturva on yhteispeliä

Palveluiden suunnittelu

Palveluiden toteutus

Testaus ennen

käyttöönottoaAuditointi

Vienti tuotantoon

Ylläpito ja päivitykset

Palvelun käyttäjä

#CyberSecMonth

Miten finanssipalveluiden turvallisuus varmistetaan?• Valvonnassa kiinnitetään erityistä huomiota operatiivisiin riskeihin

• Tarkastelu toimilupaprosessin yhteydessä• Tarkastukset• Valvojan arvio ja ulkoistusilmoitukset merkittävistä ulkoistuksista• Jatkuva valvonta

• Operatiivinen riski = tappionvaaraa, joka aiheutuu:• riittämättömistä tai epäonnistuneista sisäisistä prosesseista• henkilöstöstä• järjestelmistä• ulkoisista tekijöistä

#CyberSecMonth

Miten uusien palveluiden turvallisuus varmistetaan?• Pankin hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet

• Riskin tunnistaminen, arviointi, seuranta ja rajoittaminen• Periaatteiden säännöllinen uudelleenarviointi

• Pankin on arvioitava uuden tuotteen ja palvelun riskit ennen niiden käyttöönottoa• Myös uuden palvelumallin käyttöönoton yhteydessä tai jos tuotteita ja palveluita on

yhdistelty uudella tavalla• Pankin sisäinen ohjeistus uuden tuotteen ja palvelun hyväksymiselle• Riippumattomien osapuolten tietoturva-auditoinnit

• Edellytetään verkkopalvelujen osalta• Datan kryptauksen vaatimus

• Käytäntönä, että pankki esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa• Riskiarvio – erityisesti tietoturvariskit• Tarvittaessa lisäselvitys tai jopa käyttöönoton lykkääminen

#CyberSecMonth

Entä jos jotain tapahtuu?• Vahingon rajoittaminen• Käyttäjätiedotus• Ilmoitus Finanssivalvonnalle

• Toiminnan häiriöistä• Toiminnan virheistä• Operatiivisen riskin tappiotapahtumista

• Ensi-ilmoitus viipymättä heti häiriöiden tai virheiden ilmaannuttua• Täydentävä ilmoitus yksityiskohdista mahdollisimman pian

• Häiriön syyn analysointi• Toimenpiteet sille, miten vastaava häiriö voidaan jatkossa estää

• Vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle (Cert-Fi)• Jos henkilötietoja vaarantuu, ilmoitus myös Tietosuojavaltuutetulle

#CyberSecMonth

Suomalaiset tietokoneet hyvin suojattuja Reaaliaikainen suojaus 92,2 %

suomalaisista tietokoneista.

Luku on maailman korkein!

#CyberSecMonth

Kiitos!

Mitkä uhat vaanivat palveluiden käyttäjää ja miten niihin voi varautua?

|

Viestintäviraston Kyberturvallisuuskeskus

Kyberavaruuden toimijat ja toiminnan kohteet

Palveluiden käyttäjiä vaanivat uhkat

» Tietojenkalastelut ja tilausansat

» Huonot salasanat

» Esineiden internet

» Haittaohjelmat

Miten käyttäjän tulisi toimia?

Sisältö

10.10.2017 Tomi Kinnari 2

|

Viestintäviraston Kyberturvallisuuskeskus


|

Mikä on Kyberturvallisuuskeskus?

Kyberturvallisuuskeskus on Kansallinen tietoturvaviranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta.

» Kyberturvallisuuskeskus on osa Viestintävirasta

» N. 70 työntekijää

Tietoturvaloukkausten ilmoituspiste

» Neuvoja ja tukea

» Tilannekuva

Tietoturvaloukkausten havainnointi (HAVARO)

Yhteistyöverkostot

Haavoittuvuuskoordinointi

Järjestelmäturvallisuus

Salaustuotteiden hyväksynnät

Suojatut satelliittien aika- ja paikkasignaalit

Harjoitustoiminta


|

Kyberavaruuden toimijat ja toiminnan kohteet

5

KANSALAISET YKSITYINEN SEKTORI

KRIITTINEN INFRASTRUKTUURI

VALTIO

TEINIT JA HAKTIVISTIT

PIKKURIKOLLISET

RIKOLLISJÄRJESTÖT

KYBERVAKOILU

KYBERTERRORISMI

KYBEROPERAATIOT

5 10.10.2017

Erittäin harvinaista

Nähty maailmalla, mutta ei Suomessa

Nähty myös Suomessa

Tomi Kinnari

|

Tietojenkalastelut ja tilausansat


|

Tietojenkalastelu

Huijataan tietoa esiintymällä jonakin toisena tahona

esimerkiksi pankkina, verottajana, poliisina, jne.

Tavoitteena esimerkiksi pankkitunnukset, luottokortti, sähköpostitunnukset, Apple ID, Outlook Web Access -tunnukset, Google Drive -tunnukset

Alkaa usein sähköpostilla, jossa on linkki tietojenkalastelusivulle

Joskus saattaa liittyä myös tekstiviesti tai puhelinsoitto

Kuva: Sähköpostiviesti, jossa uhri yritetään saada Apple-teemaiselle tietojenkalastelusivustolle


| 10.10.2017 Tomi Kinnari 8

|

Harhaanjohtavalla mainonnalla ja verkkosivun ulkoasulla pyritään saamaan kuluttaja tilaamaan asia, jota hän ei ehkä tiennyt tilaavansa

Teemana on usein arvonta, johon voi osallistua maksamalla euron

» Voittona Gigantin, Finnairin tai Prisman 500 euron lahjakortti tai uusi iPhone

Todellisuudessa sitoutuu johonkin palveluun, jossa on jatkuva kuukausittainen veloitus

Tilausansat


| 10.10.2017 Tomi Kinnari 11

| 10.10.2017 Tomi Kinnari 12

|

Heikot salasanat


|

Salasanoihin liittyviä riskejä

Tietomurto ja sama salasana muissakin palveluissa

Helposti arvattavissa oleva salasana

» Verkossa on erilaisia salasanalistoja, johon on kerätty yleisimpiä salasanoja

Liian lyhyt salasana

» Tietokone voi murtaa lyhyen salasanan nopeasti.

» Esimerkki: 8 merkkisen salasanan murto kestää kotikoneella muutamia tunteja, mutta 15 merkkisen jo vuosisatoja

Oletussalasanan käyttö

» Internetiin kytkettyjä laitteita skannataan jatkuvasti ja niihin kokeillaan kirjautua oletussalasanoilla

• Älypää.com tietomurron datasta (2010) kerätty suomalaisten yleisimmät salasanat:

1. salasana : 419 kpl

2. 123456 : 304 kpl

3. älypää : 184 kpl

4. kissa : 134 kpl

5. johanna : 128 kpl

6. 54321 : 113 kpl

7. perkele : 108 kpl

8. hevonen : 96 kpl

9. nallepuh : 93 kpl

10. aurinko : 93 kpl

11. tappara : 92 kpl

12. koira : 90 kpl

13. tiikeri : 89 kpl

14. tietokone : 86 kpl

15. qwerty : 85 kpl


|

1. Älä kierrätä samoja salasanoja eri palveluissa.

» Käytä salasananhallintaohjelmia, kuten KeePass, joilla voi luoda ja säilöä eri palveluille oman uniikin salasanan

2. Käytä kaksivaiheista tunnistautumista (two factor authentication)

3. Valitse hyvä salasana

» Vähintään 15 merkkiä pitkä ja sisältää numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä

» Salalause on helpompi muistaa kuin pitkä salasana. Esimerkiksi "Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa"

» Älä käytä helposti arvattavia yleisiä salasanoja, kuten kissa, kissa11, salasana tai 123456. Näitä murtajat kokeilevat ensimmäisenä.

Vinkkejä hyvään salasanaturvallisuuteen


|

Esineiden internet


| 10.10.2017 Tomi Kinnari 18

|

Esimerkkejä esineiden internet-laitteista


|

"Älykkään laitteen" ruumiinavaus


Ympäristöään mittaava tai siihen

vaikuttava laite

Pieni tietokone

Verkkoyhteys Käyttöjärjestelmä • Linux-ydin • Minimaalinen

perusohjelmisto, kuten Busybox

Ohjelmistoja • WWW-palvelin • Muita kenties

tarpeellisia palvelimia

• Ohjelmistoja, jotka vaikuttavat laitteeseen

|

Lypsykone osallistuu palvelunestohyökkäykseen

Kokoushuoneen varauspaneeli lataa ja näyttää mainoksia

Maalämpöpumppu skannaa haavoittuvuuksia

Kotiteatterivahvistin on osa bot-verkkoa

Verkkokamerassa kutsumattomia katselijoita

Esimerkkejä Suomessa nähdyistä tapauksista


|

Suojautumisvinkkejä esineiden internetiin

1. Älä yhdistä laitteita nettiin, ellei se ole tarpeellista

2. Liitä laitteet jaetun ulkoisen IP-osoitteen alle, jolloin ne eivät ole suoraan internetistä tavoitettavissa (kotireitittimen NAT-toiminto)

3. Vaihda oletussalasanat

4. Päivitä ohjelmisto aina kun mahdollista

5. Ennen ostopäätöstä Googleta, onko laitteella tiedossa olevia tietoturvaongelmia


|

Haittaohjelmat


|

Haittaohjelmat

Haittaohjelmilla on erilaisia tarkoituksia

» Kiristyshaittaohjelmat

» Etähallintaohjelmat (RAT)

» Pankkihaittaohjelmat

» Kryptovaluutan louhinta

» Roskapostin lähettäminen

Haittaohjelmien ympärille on muodostunut ekosysteemi, josta erilaisia palveluita voi ostaa

» Rikollisen ei välttämättä tarvitse osata koodata lainkaan

» Laadukkaita haittaohjelmia voi ostaa verkon hämäräpalstoilta valmiina

» Myös haittaohjelmien jakelun voi ulkoistaa


| 10.10.2017 Tomi Kinnari 25

Lähde: F-Securen State of cyber security 2017 -raportti

|

Miten haittaohjelmia nykyään levitetään?

Sähköpostin liitetiedostot suosituin

» Zip-pakattu ja salasanasuojattu

» Makroja sisältävä Office-tiedosto

Haitalliset verkkosivustot, joissa toimii haittaohjelmien jakelualusta

Ohjelmistojen jakeluketjut

USB-tikut ja muut siirrettävät mediat


Tyypillisiltä hyökkäysmenetelmiltä VOI suojautua!

Ns. nollapäivähaavoittuvuuksia käyttävät yleensä vain valtiolliset toimijat

| 10.10.2017 Tomi Kinnari 27


|



Twitter 18.11.2016: @mikko

Käytä valppautta sähköpostien kanssa!

Päivitä!

» Pidä laitteet ajan tasalla

» Pidä ohjelmistot ajan tasalla

» Päivitä vanhat laitteet hankkimalla uusia

Varmista!

» Tee kaikesta tärkeästä tiedosta aina varmuuskopiot. Mielellään fyysisesti eri paikkaan.

» Kovalevyt EIVÄT ole luotettavia

» Tietokoneet EIVÄT ole luotettavia

Käytä tietoturvaohjelmistoa!

Ilmoita jos olet joutunut tietoturvaloukkauksen kohteeksi!

|

Ota yhteyttä!


www.viestintavirasto.fi/

kyberturvallisuus

www.viestintavirasto.fi/

kyberturvallisuus

sähköpostitse: [email protected] sähköpostitse: [email protected]

asiakaspalvelu: 0295 390 230 asiakaspalvelu: 0295 390 230

www.facebook.com/NCSC.FI www.facebook.com/NCSC.FI

twitter.com/certfi twitter.com/certfi

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi

verkkoturvallisuuskuukausi:ovatko tilisi ja tietosi turvassa?

Economy & Finance