verkkoturvallisuuskuukausi:ovatko tilisi ja tietosi turvassa?
TRANSCRIPT
#CyberSecMonth
Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Studia monetaria -yleisöluento rahamuseossa 10.10.2017Hanna Heiskanen, johtava digitalisaatioasiantuntija, FinanssivalvontaTomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus
#CyberSecMonth
Esityksen sisältö
• Hanna Heiskanen: Miten palveluiden turvallisuus varmistetaan?
• Tomi Kinnari: Mitkä uhat vaanivat palvelujen käyttäjää ja miten niihin voi varautua?
#CyberSecMonth
Miten palveluiden turvallisuus varmistetaan?Hanna Heiskanen
#CyberSecMonth
Mitä tietoturva ja tietosuoja tarkoittavat?• Tietoturvan CIA-malli = Condidentiality + Integrity + Availability• Luottamuksellisuus
• Luottamuksellisten tietojen turvaaminen• Tiedot vain niiden saatavilla, joilla on tietoihin oikeus
• Eheys• Tieto ei pääse muuttumaan vahingossa• Tietoa voivat muuttaa vain ne, joilla on siihen oikeus• Tietoihin tehdyt muutokset ovat havaittavissa
• Saatavuus• Tiedot ovat saatavilla, kun niitä tarvitaan• Tarvittavat varajärjestelyt käytössä vika- ja häiriötilanteiden varalta
• Tietosuoja = henkilötietojen suojaaminen, yksityisyyden turvaaminen
#CyberSecMonth
Useilla viranomaisilla rooli tietoturvan hallinnassa• Finanssivalvonta• Viestintäviraston kyberturvallisuuskeskus• Tietosuojavaltuutettu• Poliisi – Keskusrikospoliisin kyberrikos-yksikkö• Euroopan Keskuspankin yhteinen pankkivalvonta suurten
pankkien valvonnassa
#CyberSecMonth
Tietoturvallisuuden tila on Suomessa hyvä
Lähde: Microsoft Security Intelligence Report
#CyberSecMonth
Tietoturva on yhteispeliä
Palveluiden suunnittelu
Palveluiden toteutus
Testaus ennen
käyttöönottoaAuditointi
Vienti tuotantoon
Ylläpito ja päivitykset
Palvelun käyttäjä
#CyberSecMonth
Miten finanssipalveluiden turvallisuus varmistetaan?• Valvonnassa kiinnitetään erityistä huomiota operatiivisiin riskeihin
• Tarkastelu toimilupaprosessin yhteydessä• Tarkastukset• Valvojan arvio ja ulkoistusilmoitukset merkittävistä ulkoistuksista• Jatkuva valvonta
• Operatiivinen riski = tappionvaaraa, joka aiheutuu:• riittämättömistä tai epäonnistuneista sisäisistä prosesseista• henkilöstöstä• järjestelmistä• ulkoisista tekijöistä
#CyberSecMonth
Miten uusien palveluiden turvallisuus varmistetaan?• Pankin hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet
• Riskin tunnistaminen, arviointi, seuranta ja rajoittaminen• Periaatteiden säännöllinen uudelleenarviointi
• Pankin on arvioitava uuden tuotteen ja palvelun riskit ennen niiden käyttöönottoa• Myös uuden palvelumallin käyttöönoton yhteydessä tai jos tuotteita ja palveluita on
yhdistelty uudella tavalla• Pankin sisäinen ohjeistus uuden tuotteen ja palvelun hyväksymiselle• Riippumattomien osapuolten tietoturva-auditoinnit
• Edellytetään verkkopalvelujen osalta• Datan kryptauksen vaatimus
• Käytäntönä, että pankki esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa• Riskiarvio – erityisesti tietoturvariskit• Tarvittaessa lisäselvitys tai jopa käyttöönoton lykkääminen
#CyberSecMonth
Entä jos jotain tapahtuu?• Vahingon rajoittaminen• Käyttäjätiedotus• Ilmoitus Finanssivalvonnalle
• Toiminnan häiriöistä• Toiminnan virheistä• Operatiivisen riskin tappiotapahtumista
• Ensi-ilmoitus viipymättä heti häiriöiden tai virheiden ilmaannuttua• Täydentävä ilmoitus yksityiskohdista mahdollisimman pian
• Häiriön syyn analysointi• Toimenpiteet sille, miten vastaava häiriö voidaan jatkossa estää
• Vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle (Cert-Fi)• Jos henkilötietoja vaarantuu, ilmoitus myös Tietosuojavaltuutetulle
#CyberSecMonth
Suomalaiset tietokoneet hyvin suojattuja Reaaliaikainen suojaus 92,2 %
suomalaisista tietokoneista.
Luku on maailman korkein!
#CyberSecMonth
Kiitos!
Mitkä uhat vaanivat palveluiden käyttäjää ja miten niihin voi varautua?
|
Viestintäviraston Kyberturvallisuuskeskus
Kyberavaruuden toimijat ja toiminnan kohteet
Palveluiden käyttäjiä vaanivat uhkat
» Tietojenkalastelut ja tilausansat
» Huonot salasanat
» Esineiden internet
» Haittaohjelmat
Miten käyttäjän tulisi toimia?
Sisältö
10.10.2017 Tomi Kinnari 2
|
Viestintäviraston Kyberturvallisuuskeskus
10.10.2017 Tomi Kinnari 3
|
Mikä on Kyberturvallisuuskeskus?
Kyberturvallisuuskeskus on Kansallinen tietoturvaviranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta.
» Kyberturvallisuuskeskus on osa Viestintävirasta
» N. 70 työntekijää
Tietoturvaloukkausten ilmoituspiste
» Neuvoja ja tukea
» Tilannekuva
Tietoturvaloukkausten havainnointi (HAVARO)
Yhteistyöverkostot
Haavoittuvuuskoordinointi
Järjestelmäturvallisuus
Salaustuotteiden hyväksynnät
Suojatut satelliittien aika- ja paikkasignaalit
Harjoitustoiminta
10.10.2017 Tomi Kinnari 4
|
Kyberavaruuden toimijat ja toiminnan kohteet
5
KANSALAISET YKSITYINEN SEKTORI
KRIITTINEN INFRASTRUKTUURI
VALTIO
TEINIT JA HAKTIVISTIT
PIKKURIKOLLISET
RIKOLLISJÄRJESTÖT
KYBERVAKOILU
KYBERTERRORISMI
KYBEROPERAATIOT
5 10.10.2017
Erittäin harvinaista
Nähty maailmalla, mutta ei Suomessa
Nähty myös Suomessa
Tomi Kinnari
|
Tietojenkalastelut ja tilausansat
10.10.2017 Tomi Kinnari 6
|
Tietojenkalastelu
Huijataan tietoa esiintymällä jonakin toisena tahona
esimerkiksi pankkina, verottajana, poliisina, jne.
Tavoitteena esimerkiksi pankkitunnukset, luottokortti, sähköpostitunnukset, Apple ID, Outlook Web Access -tunnukset, Google Drive -tunnukset
Alkaa usein sähköpostilla, jossa on linkki tietojenkalastelusivulle
Joskus saattaa liittyä myös tekstiviesti tai puhelinsoitto
Kuva: Sähköpostiviesti, jossa uhri yritetään saada Apple-teemaiselle tietojenkalastelusivustolle
10.10.2017 Tomi Kinnari 7
| 10.10.2017 Tomi Kinnari 8
|
Harhaanjohtavalla mainonnalla ja verkkosivun ulkoasulla pyritään saamaan kuluttaja tilaamaan asia, jota hän ei ehkä tiennyt tilaavansa
Teemana on usein arvonta, johon voi osallistua maksamalla euron
» Voittona Gigantin, Finnairin tai Prisman 500 euron lahjakortti tai uusi iPhone
Todellisuudessa sitoutuu johonkin palveluun, jossa on jatkuva kuukausittainen veloitus
Tilausansat
10.10.2017 Tomi Kinnari 10
| 10.10.2017 Tomi Kinnari 11
| 10.10.2017 Tomi Kinnari 12
|
Heikot salasanat
10.10.2017 Tomi Kinnari 14
|
Salasanoihin liittyviä riskejä
Tietomurto ja sama salasana muissakin palveluissa
Helposti arvattavissa oleva salasana
» Verkossa on erilaisia salasanalistoja, johon on kerätty yleisimpiä salasanoja
Liian lyhyt salasana
» Tietokone voi murtaa lyhyen salasanan nopeasti.
» Esimerkki: 8 merkkisen salasanan murto kestää kotikoneella muutamia tunteja, mutta 15 merkkisen jo vuosisatoja
Oletussalasanan käyttö
» Internetiin kytkettyjä laitteita skannataan jatkuvasti ja niihin kokeillaan kirjautua oletussalasanoilla
• Älypää.com tietomurron datasta (2010) kerätty suomalaisten yleisimmät salasanat:
1. salasana : 419 kpl
2. 123456 : 304 kpl
3. älypää : 184 kpl
4. kissa : 134 kpl
5. johanna : 128 kpl
6. 54321 : 113 kpl
7. perkele : 108 kpl
8. hevonen : 96 kpl
9. nallepuh : 93 kpl
10. aurinko : 93 kpl
11. tappara : 92 kpl
12. koira : 90 kpl
13. tiikeri : 89 kpl
14. tietokone : 86 kpl
15. qwerty : 85 kpl
10.10.2017 Tomi Kinnari 15
|
1. Älä kierrätä samoja salasanoja eri palveluissa.
» Käytä salasananhallintaohjelmia, kuten KeePass, joilla voi luoda ja säilöä eri palveluille oman uniikin salasanan
2. Käytä kaksivaiheista tunnistautumista (two factor authentication)
3. Valitse hyvä salasana
» Vähintään 15 merkkiä pitkä ja sisältää numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä
» Salalause on helpompi muistaa kuin pitkä salasana. Esimerkiksi "Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa"
» Älä käytä helposti arvattavia yleisiä salasanoja, kuten kissa, kissa11, salasana tai 123456. Näitä murtajat kokeilevat ensimmäisenä.
Vinkkejä hyvään salasanaturvallisuuteen
10.10.2017 Tomi Kinnari 16
|
Esineiden internet
10.10.2017 Tomi Kinnari 17
| 10.10.2017 Tomi Kinnari 18
|
Esimerkkejä esineiden internet-laitteista
10.10.2017 Tomi Kinnari 19
|
"Älykkään laitteen" ruumiinavaus
10.10.2017 Tomi Kinnari 20
Ympäristöään mittaava tai siihen
vaikuttava laite
Pieni tietokone
Verkkoyhteys Käyttöjärjestelmä • Linux-ydin • Minimaalinen
perusohjelmisto, kuten Busybox
Ohjelmistoja • WWW-palvelin • Muita kenties
tarpeellisia palvelimia
• Ohjelmistoja, jotka vaikuttavat laitteeseen
|
Lypsykone osallistuu palvelunestohyökkäykseen
Kokoushuoneen varauspaneeli lataa ja näyttää mainoksia
Maalämpöpumppu skannaa haavoittuvuuksia
Kotiteatterivahvistin on osa bot-verkkoa
Verkkokamerassa kutsumattomia katselijoita
Esimerkkejä Suomessa nähdyistä tapauksista
10.10.2017 Tomi Kinnari 21
|
Suojautumisvinkkejä esineiden internetiin
1. Älä yhdistä laitteita nettiin, ellei se ole tarpeellista
2. Liitä laitteet jaetun ulkoisen IP-osoitteen alle, jolloin ne eivät ole suoraan internetistä tavoitettavissa (kotireitittimen NAT-toiminto)
3. Vaihda oletussalasanat
4. Päivitä ohjelmisto aina kun mahdollista
5. Ennen ostopäätöstä Googleta, onko laitteella tiedossa olevia tietoturvaongelmia
10.10.2017 Tomi Kinnari 22
|
Haittaohjelmat
10.10.2017 Tomi Kinnari 23
|
Haittaohjelmat
Haittaohjelmilla on erilaisia tarkoituksia
» Kiristyshaittaohjelmat
» Etähallintaohjelmat (RAT)
» Pankkihaittaohjelmat
» Kryptovaluutan louhinta
» Roskapostin lähettäminen
Haittaohjelmien ympärille on muodostunut ekosysteemi, josta erilaisia palveluita voi ostaa
» Rikollisen ei välttämättä tarvitse osata koodata lainkaan
» Laadukkaita haittaohjelmia voi ostaa verkon hämäräpalstoilta valmiina
» Myös haittaohjelmien jakelun voi ulkoistaa
10.10.2017 Tomi Kinnari 24
| 10.10.2017 Tomi Kinnari 25
Lähde: F-Securen State of cyber security 2017 -raportti
|
Miten haittaohjelmia nykyään levitetään?
Sähköpostin liitetiedostot suosituin
» Zip-pakattu ja salasanasuojattu
» Makroja sisältävä Office-tiedosto
Haitalliset verkkosivustot, joissa toimii haittaohjelmien jakelualusta
Ohjelmistojen jakeluketjut
USB-tikut ja muut siirrettävät mediat
10.10.2017 Tomi Kinnari 26
Tyypillisiltä hyökkäysmenetelmiltä VOI suojautua!
Ns. nollapäivähaavoittuvuuksia käyttävät yleensä vain valtiolliset toimijat
| 10.10.2017 Tomi Kinnari 27
Miten käyttäjän tulisi toimia?
|
Miten käyttäjän tulisi toimia?
10.10.2017 Tomi Kinnari 28
Twitter 18.11.2016: @mikko
Käytä valppautta sähköpostien kanssa!
Päivitä!
» Pidä laitteet ajan tasalla
» Pidä ohjelmistot ajan tasalla
» Päivitä vanhat laitteet hankkimalla uusia
Varmista!
» Tee kaikesta tärkeästä tiedosta aina varmuuskopiot. Mielellään fyysisesti eri paikkaan.
» Kovalevyt EIVÄT ole luotettavia
» Tietokoneet EIVÄT ole luotettavia
Käytä tietoturvaohjelmistoa!
Ilmoita jos olet joutunut tietoturvaloukkauksen kohteeksi!
|
Ota yhteyttä!
10.10.2017 Tomi Kinnari 29
www.viestintavirasto.fi/
kyberturvallisuus
www.viestintavirasto.fi/
kyberturvallisuus
sähköpostitse: [email protected] sähköpostitse: [email protected]
asiakaspalvelu: 0295 390 230 asiakaspalvelu: 0295 390 230
www.facebook.com/NCSC.FI www.facebook.com/NCSC.FI
twitter.com/certfi twitter.com/certfi
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi