ATK-rikoksista kyberturvaan

ATK-rikoksista kyberturvaan

Jyrki J.J. KasviEduskunta(Tietoyhteiskunnan kehittämiskeskus TIEKE)

@jyrkikasvi

Digitalisaatio mullistaa … aivan kaiken

Myös rikollisuuden...

ATK-rikoksia 1980-luvun tapaan Sanomalehden yöpostittaja halusi tehdä vaikutuksen tyttöön ja

näytti, miten lehden tietojärjestelmään pääsee sisään Käyttäjätunnus A, salasana 1 Toimituksen kiintolevyasema jäi yöksi päälle, ylikuumeni ja melkein tuhoutui

Teekkarit käyttivät roskiksesta löytämänsä käyttäjätunnusta ja salasanaa moninpelin pelaamiseen Paperipäätteen käyttäjä oli kirjoittanut LOGIN-käskyn väärin, ja (fysikaalisen kemian

laboratorion) käyttäjätunnus ja salasana olivat kaiuttuneet takaisin TREK-peli söi opiskelijan keskusyksikköaikakiintiön hetkessä, mutta fyskemlab-

tunnuksella oli rajattomasti keskusyksikköaikaa Käyttäjätunnus ja salasana levisivät, ja lopulta joku kokeili, mitä kaikkea sillä voi

tehdä, ja murtautui sen avulla myös muihin järjestelmiin…

Mooren laki kiihdyttää muutosta edelleen

2036 on yhtä kaukana kuin 1816

William Sander II: Waterloon taistelu (1815)

Kyberturvallisuus ei niin uusi asia kuin luullaan

CIA:n väitetään vuonna 1982 peukaloineen Neuvostoliiton Kanadasta salaa hankkimaa Siperian kaasuputken ohjausjärjestelmää.

Kun järjestelmä otettiin käyttöön, sen väitetään nostaneen painetta putkessa, kunnes tuloksena oli historian suurin ihmisen aiheuttama ei-ydinräjähdys.

Public Domain U.S. Air Force

Mikä ”kyber”

Kyber on johdettu sanasta kybernetiikka, joka tulee kreikan sanasta κυβερνητικός, joka tarkoittaa taitavaa ohjaajaa tai hallinnnoijaa.

@jyrkikasvi #aaltokyber 7

Aiemmin bitit ja atomit olivat erillään

Digitaalinenmaailma

Fyysinenmaailma


Perinteiset tietoturvauhat kohdistuivat ensisijaisesti tietojärjestelmiin

Digitaalinenmaailma

Fyysinenmaailma

Tietoturva


Kyber on bittien ja atomien vuorovaikutusta

Digitaalinenmaailma

FyysinenmaailmaKyber


Älyliikenne IoT

Automaatio

Sensorit

Robotisaatio

Digitaalinen analysoi ja ohjaa (taitavasti) fyysistä

Kyber tuo digitaaliset uhat myös fyysiseen maailmaan

FyysinenmaailmaKyberDigitaalinen

maailma


Tietoturva

12

Kyberuhkakuvat globaaleista henkilökohtaisiin

@jyrkikasvi #aaltokyber

1982 Siperian kaasuputki

2010 Stuxnet

2015 saksalainen masuuni

1997 Eligible Receiver

2015 Ukrainan sähköverkko

2007 Viron Web War 1

13

Ukraina, 23. joulukuuta 2015 Useiden ukrainalaisten sähköyhtiöiden ohjausjärjestelmät otettiin haltuun

MS Office –dokumenttien makroissa levitetyn haittaohjelman avulla Noin 230 000 kotitaloutta jäi kuudeksi tunniksi ilman sähköä Korjaustyöt veivät kuukausia, koska osa laitteistoista jouduttiin vaihtamaan

Hyökkäys oli suunniteltu haittaamaan sähköverkon korjaamista BlackEnergy3-haittaohjelma mm. esti saastuneiden tietokoneiden

käynnistämisen, mikä hidasti sähkönjakelun käynnistämistä Kohteena myös sähkönjakelukeskusten varavirtajärjestelmät! Valot

sammuivat myös valvomoista. Sähköyhtiöiden vikailmoitusnumeroiden puhelinlinjat tukittiin

Hyökkäystä oli valmisteltu vähintään puoli vuotta ennen sen toteuttamista Vaati erilaisia toimijoita verkkorikollisista tiedusteluviranomaisiin Iskun arvioidaan voineen olla paljon tuhoisampi Venäjä kiistää olleensa millään tavalla osallisena


14

Mikä Ukrainassa meni pieleen? Sähköyhtiöiden tietojärjestelmien ylläpidosta vastanneet

avasivat tuntemattomista lähteistä MS Office –dokumentteja Henkilöstön koulutus ja operatiivinen tietoturva pettivät

Sähköverkon ohjausjärjestelmiä ei oltu eristetty kunnolla Hyökkääjät pääsivät sähköyhtiön tietokoneilta palomuurin läpi

sähköverkon ohjausjärjestelmiin ja katkaisivat virran verkosta Sähköverkon ohjausjärjestelmien firmware uudelleenohjelmoitiin

niin ettei niitä pystytä enää etäohjaamaan lainkaan

Sähköverkon ohjausjärjestelmä hyväksyi haitallisia komentoja Järjestelmän suunnittelija ei ollut tullut ajatelleeksi hyökkäystä

Valmistelua ja tiedustelua ei oltu havaittu Sotaa käyvän maan kriittinen infrastruktuuri on houkutteleva kohde


15

Myös Suomi kohteena Lehtitietojen mukaan Stuxnetin ”hyötykuorma” aktivoitui

ainoastaan Siemensin S7-300 -ohjausjärjestelmissä, joilla ohjattiin korkealla taajuusalueella (807-1210 Hz) toimivia Fararo Payan (Iran) tai Vaconin (Suomi) taajuusmuuttajia Siemensin S7-300:lla ohjattuja Fararo Payan taajuusmuuttajia

käytettiin ohjaamaan Iranin Natanzin uraanirikastamon kaasusentrifugeja


Siemens S7-300 PLC

16

Arjen uhkakuvia Infrastruktuuri

Sähkö-, vesi-, tietoliikenneverkot Ruokalogistiikka

Liikenne Kulkuneuvojen tieto(liikenne)järjestelmät Liikenteen ohjausjärjestelmät Älyliikenne ja -logistiikka

Asuminen Kodit muuttumassa automaatiojärjestelmiksi

Keho Verkottunut tekniikka tulossa myös ihon alle


01.05.2023 17TIEKE Tietoyhteiskunnan kehittämiskeskus ry

Esimerkiksi nykyautoissa on yli 85 laiteohjainta tai tietokonetta, jotka kommunikoivat keskenään ja ulkomaailman kanssa.

Heinäkuussa 2015 tutkijat demonstroivat, miten Jeep Cherokee voidaan ottaa etäohjaukseen Internetin välityksellä. Chrysler joutui kutsumaan 1,4 miljoonaa autoa ohjelmistopäivitykseen.

Olemme selvinneet tuurilla!

CC Wired / Andy Greenberg

18

Kaukaa haettua?


19

Kotini on automaatiojärjestelmäni!


Kastelli-talot

20

Kokonaisvaltainen pientalojärjestelmä Älykäs sähköjärjestelmä

Kulutuksen seuranta ja ohjaus Aurinkopaneelit ja

pientuuligeneraattorit Valaistuksen hallinta

Ä. lämmitysjärjestelmä Huonekohtaiset termostaatit Lämpöpumput Lämmin vesi

Ä. ilmanvaihtojärjestelmä Lämmön talteenotto Sisäilman laatu Lämmönvaihdinikkunat


Ä. vesijärjestelmä Kulutus, laatu ja vuodot Jätevesijärjestelmä

Ä. turvallisuusjärjestelmä Lukitus ja hälytykset Valvontakamerat Palo- ja häkävaroittimet

Sensorit Rakenteiden kosteus ja lämpö Ulkosäätila, valo Putketukset, läpiviennit

Älykkäät kodinkoneet


22

Kaukaa haettua?


Skaala Alpha cLean

Entä älykkään kodin airut, Nest-termostaatti?



25

Entä Suomessa?


26

Henkilökohtaisia uhkakuvia

Dick Cheneyn tahdistimen wifi otettiin pois käytöstä salamurhaajien pelossa. Insuliinipumppujen tietoturva

on jo murrettu

Elimistöstä antureilla kerättävän biodatan tietoturva Esim. vanhusten

turvarannekkeet, älysängyt ja -lattiat


27

Kaukaa haettua?


Monialaista turvallisuutta Kyberongelma: Verkkoon liitettyjen automaatio-

järjestelmien tietoturvan on havaittu olevan heikko Esim. v. 2013, noin 3000 suomalaisen teollisen ja

kiinteistöautomaatiojärjestelmän käyttäjäkontrollissa havaittiin vakavia puutteita

Esineiden internetissä verkkoon liitetyt sensorit ja automaatiojärjestelmät arkipäiväistyvät Edellyttää kattavaa, luottavaa ja käytettävää tietoturvaa Koti-wlanit asentaneet kuluttajat ottavat seuraavaksi käyttöön

kotitermostaatteja, valvontakameroita, älyikkunoita, …

Kyber/IoT turvallisuuden parantaminen edellyttää mm. langattoman viestinnän, automaation ja käytettävyyden osaamista


29

Lainsäätäjä ristipaineessa


TurvallisuusKansalais-oikeudet vapaudet

Lainsäädännön hitaus

Ristiriitaiset intressit

Resurssien riittämättömyys

Tekniikan kehitys

Tulevaisuuden ennakointi

01.05.2023 30

Esim. Tietoyhteiskuntakaari keskittyy ”merkittävälle osalle yleisöstä suunnattuun joukkoviestintään”

Entä 17 miljoonan katsojan YouTube-video?

31

Luottamus avainasemassa


LuottamusTurvallisuus Vapaus

Luottamus on helppo menettää mutta vaikea ansaita takaisin EPRI-rekisterin ylläpidon epäselvyydet Toistuvat viranomaisrekistereiden urkinnat Pakkokeinojen perusteluiden ja valvonnan puutteet

01.05.2023 32

Digitaaliset kansalaisoikeudet Kansalaisoikeudet säädetty suojelemaan

kansalaisia sekä viranomaisilta, yrityksiltä että toisilta ihmisiltä, myös tietoverkoissa Yksityisyyden (luottamuksellisen viestin) suoja ja

ilmaisun vapaus Uutena identiteetin suoja, edellytys palveluiden digitalisaatiolle

Vihapuhe koettelee sananvapauden totuttuja rajoja Sosiaalinen media on joukkotiedotusväline velvollisuuksineen ja

oikeuksineen … ilman tiedotusopin koulutusta ja kokemusta, vastuuta kantavaa päätoimittajaa ja mediatalon juristia

Journalistin ohjeet äidinkielen opetusohjelmaan!

01.05.2023 33

Tekijä löydetty ja tuomittu mm. useistatörkeistä kunnianloukkauksista ym.,mutta sivut ovat verkossa edelleen.

Sosia

alin

en m

edia

ei n

uku

@jyrkikasvi @tiekery

Sehän on vain läppää

01.05.2023 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 34

Esimerkiksi tiedustelulakiuudistus

Sotilas-verkko-

tiedustelu

Sotilas-Henkilö-

tiedustelu

Siviili-verkko-

tiedustelu

Siviili-henkilö-

tiedustelu

Kansainväl.tietojen vaihto

Tiedustelunvalvonta

Lupa tiedustelun

aloittamiseen

Kansallinenturvallisuus

Kotimaassa jaulkomailla

Tiedustelu-päätökset

Kansalais-oikeudet


30.9.2010 www.kasvi.org 37

Sukupuolten välinen digikuilu?Keskustelua

U.S. Army Photo

ATK-rikoksista kyberturvaan

Education