Tulostusversio

2/2013

Asiantuntijalta: Kyberturvallisuuden kartoitus vaatii uusia keinoja

Teksti: Jukka Manner ja Seppo Tiilikainen

Jotta Suomen kyberturvallisuudesta saataisiin mahdollisimman todenmukainen kuva, tietoturvakartoitusten tekemiseen pitäisi saada uusia, lainmukaisia keinoja.

Éireann Leverett esitti Cambridgen yliopiston kesällä 2011 hyväksymässä opinnäytteessä, kuinka vaivatonta on löytää internetiin näkyviä automaatiojärjestelmiä Shodan-hakukoneella. Työ osoitti, kuinka yhteiskunnallisesti merkittävät automaatiojärjestelmät ovat murrettavissa siinä, missä mitkä tahansa internetin palvelutkin. Olennaisin ero on kuitenkin kriittisten järjestelmien murtamisen yhteiskunnalle aiheuttamat tuhovaikutukset. . Niistä näyttävin esimerkki on vuonna 2010 paljastunut Stuxnet-mato, joka onnistui aiheuttamaan merkittävää tuhoa Iranissa Natanzin ydinpolttoainerikastamossa.

Leverettin opinnäytteessä esittelemistä internetissä näkyvistä kymmenestätuhannesta kohteesta puolet oli Yhdysvalloista ja puolet muualta, pääasiassa Euroopasta. Tämä herättikin kysymyksiä Suomen tilanteesta. Kuinka paljon meillä on avoimia automaatiojärjestelmiä? Mitä nämä kohteet ovat, ja onko meillä laillisia keinoja niiden löytämiseksi?

Kartoituksen ja murron raja on liukuva

Shodan-hakukoneella tehtävä kartoitus Suomen automaatiojärjestelmistä aloitettiin syksyllä 2012. Sitä tehtiin aluksi Aalto-yliopiston omalla rahoituksella ja 2013 alusta alkaen osana Tekesin rahoittamaa Disci-tutkimusprojektia.

Tutkimusta suunniteltaessa merkittäväksi kysymykseksi nousi kartoitusmenetelmien laillisuus, sillä esimerkiksi tiedon hankkiminen järjestelmän sisältä on Suomen lain mukaan tietomurto ja siten rangaistava teko. Järjestelmän perinpohjainen tutkiminen olisi toki sallittua järjestelmän omistajan luvalla, mutta emme tienneet etukäteen, mitä järjestelmiä löydämme, ja kenelle ne kuuluvat.

Kysyimme keskusrikospoliisilta neuvoa lainmukaisen tietoturvakartoituksen rajoista. Onneksemme rikoslain 34. luku painottaa toiminnan tarkoitusperää, joten kansallisen edun takia tehtävä kartoitus on lähtökohtaisesti hyvässä asemassa. Tietoturvatutkimuksessa esimerkiksi ns. porttiskannaus on sallittua, toisin kuin vastaava toiminta tunkeutumis- tai haitantekotarkoituksessa.

Tutkimuksessa käyttämämme Shodan on julkinen tietokanta, jonka yhdysvaltalainen omistaja vastaa tiedon hankkimisesta ja järjestelmien etsinnästä. Koska Shodanissa haetaan tallennettua tietoa tietokannasta, sen käyttö on laillista ainakin tietoturvakartoituksessa.

Sen sijaan Shodanilla löydettyjen järjestelmien mahdolliseen jälkitarkasteluun rikoslain 38. luku vetää selkeän rajan: tunkeutuminen tai tunkeutumisen yrittäminen järjestelmään ilman omistajan lupaa on yksiselitteisesti laitonta tarkoitusperästä riippumatta. Myös oletussalasanojen kokeileminen tai esimerkiksi käyttöliittymään valmiiksi tallennettujen salasanojen käyttäminen lasketaan luvattomaksi tunkeutumisyritykseksi.

Sinänsä toki täysin tarpeelliset tietomurtosäännökset valitettavasti myös rajoittavat tehokasta tietoturvakartoitusta. Rikolliset testaavat järjestelmiä vapaasti, mutta turvallisuustutkimuksen nimissä tehtävä vastaava toiminta on laissa estetty niin meiltä tutkijoilta kuin viranomaisiltakin. Näin ollen tietoturvaongelmia ei voida ratkaista pelkästään tutkimuksella ja valvonnalla, vaan kansallinen turvallisuus riippuu kunkin järjestelmän omistajien halusta ja kyvystä huolehtia omasta tietoturvastaan sekä pitää huolta tietoturvan säännöllisestä testauksesta.

Suomessa on paljon avoimia järjestelmiä

Shodanin tietojen perusteella löysimme Suomen IP-osoiteavaruudesta yhteensä 2 915 automaatiojärjestelmiin liittyvää laitetta, joista 1 968 oli jälkitarkastuksessa yhä toiminnassa. Niiden IP-osoitteet toimitettiin Viestintäviraston CERT-FI:lle mahdollisia jatkotoimenpiteitä varten. Iso osa löydetyistä laitteista liittyi rakennusautomaatioon, joilla ohjataan muun muassa LVI-järjestelmiä ja ovien lukituksia, mutta esillä oli myös teollisuuteen ja kriittiseen infrastruktuuriin viittaavia laitteita.

Löydettyjen laitteiden määrä on suuri, mutta mainituista lakiteknisistä syistä on vaikea arvioida, kuinka moni laitteista on tarkoituksellisesti esillä. Osa löydöistä oli kuitenkin hyvin arkaluonteisista kohteista, joten on sangen luultavaa, että verkossa on esillä paljon väärin konfiguroituja järjestelmiä, joiden ei pitäisi olla yleisesti saavutettavissa.

Shodan ei ole vielä kartoittanut kaikkia Suomen IP-osoitteita, joten kartoituksen tulokset ovat tässäkin mielessä suuntaa antavia. Todellinen kohteiden lukumäärä Suomessa lienee kymmenentuhannen paikkeilla.

Shodanin löytämät kohteet pitäisi käydä läpi jatkotutkimuksessa. Kohteiden analysoinnissa tärkeää on sen selvittäminen, millaisten järjestelmien näkyminen internetiin on todellinen ongelma ja millaisten ei ole. Jatkossa tulisi myös selvittää, miten kriittisiä järjestelmiä voidaan turvata nykyteknologioilla ja pohtia, mitä uusia ajatuksia alan tutkimus voi asiaan tuoda.

Tarkka KATSE parantaisi kyberturvallisuutta

Shodan tekee satunnaista etsintää ja pitää yllä listaa kohteista, joita se on joskus löytänyt. Palvelu antaa alustavan kuvan esimerkiksi Suomen automaatiojärjestelmien tilasta, mutta sillä ei saa muodostettua tarkkaa ajantasaista kuvaa. Kansallisen kyberturvallisuuden nimissä olisi mielenkiintoista rakentaa Kansallinen automaatiojärjestelmien tarkastus- ja suodatusjärjestelmä (KATSE). KATSE kävisi esimerkiksi kerran päivässä läpi koko Suomen IP-osoiteavaruuden, muutaman miljoonaa osoitetta, ja raportoisi löydetyt ongelmalliset kohteet.

Kohteiden hakeminen sinänsä on suorastaan yksinkertaista, mutta kohteen tarkempi analyysi ja kriittisyyden arviointi automaattisesti vaatii vielä kehitystyötä ja tutkimusta. Työmäärä on kuitenkin kohtuullinen, ja osaamista löytyy.

Teknisen haasteen lisäksi KATSEen tehokas hyödyntäminen edellyttäisi muutoksia lainsäädäntöön. Viranomaiselle pitäisi antaa oikeus tietojärjestelmien katsastamiseen, mutta järjestelmä ja viranomaisen valtaoikeudet tulisi toteuttaa siten, että tietosuojaa ei loukata.

---

[KIRJOITTAJAT]

Professori Jukka Manner ja tutkimusapulainen Seppo Tiilikainen työskentelevät Aalto-yliopiston Sähkötekniikan korkeakoulussa tietoliikenne- ja tietoverkkotekniikan laitoksella.

 

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.