ATK-rikoksista kyberturvaan Jyrki J.J. Kasvi Eduskunta (Tietoyhteiskunnan kehittämiskeskus TIEKE) @jyrkikasvi
ATK-rikoksista kyberturvaan
Jyrki J.J. KasviEduskunta(Tietoyhteiskunnan kehittämiskeskus TIEKE)
@jyrkikasvi
Digitalisaatio mullistaa … aivan kaiken
Myös rikollisuuden...
ATK-rikoksia 1980-luvun tapaan Sanomalehden yöpostittaja halusi tehdä vaikutuksen tyttöön ja
näytti, miten lehden tietojärjestelmään pääsee sisään Käyttäjätunnus A, salasana 1 Toimituksen kiintolevyasema jäi yöksi päälle, ylikuumeni ja melkein tuhoutui
Teekkarit käyttivät roskiksesta löytämänsä käyttäjätunnusta ja salasanaa moninpelin pelaamiseen Paperipäätteen käyttäjä oli kirjoittanut LOGIN-käskyn väärin, ja (fysikaalisen kemian
laboratorion) käyttäjätunnus ja salasana olivat kaiuttuneet takaisin TREK-peli söi opiskelijan keskusyksikköaikakiintiön hetkessä, mutta fyskemlab-
tunnuksella oli rajattomasti keskusyksikköaikaa Käyttäjätunnus ja salasana levisivät, ja lopulta joku kokeili, mitä kaikkea sillä voi
tehdä, ja murtautui sen avulla myös muihin järjestelmiin…
Mooren laki kiihdyttää muutosta edelleen
2036 on yhtä kaukana kuin 1816
William Sander II: Waterloon taistelu (1815)
Kyberturvallisuus ei niin uusi asia kuin luullaan
CIA:n väitetään vuonna 1982 peukaloineen Neuvostoliiton Kanadasta salaa hankkimaa Siperian kaasuputken ohjausjärjestelmää.
Kun järjestelmä otettiin käyttöön, sen väitetään nostaneen painetta putkessa, kunnes tuloksena oli historian suurin ihmisen aiheuttama ei-ydinräjähdys.
Public Domain U.S. Air Force
Mikä ”kyber”
Kyber on johdettu sanasta kybernetiikka, joka tulee kreikan sanasta κυβερνητικός, joka tarkoittaa taitavaa ohjaajaa tai hallinnnoijaa.
@jyrkikasvi #aaltokyber 7
Aiemmin bitit ja atomit olivat erillään
Digitaalinenmaailma
Fyysinenmaailma
@jyrkikasvi #aaltokyber 8
Perinteiset tietoturvauhat kohdistuivat ensisijaisesti tietojärjestelmiin
Digitaalinenmaailma
Fyysinenmaailma
Tietoturva
@jyrkikasvi #aaltokyber 9
Kyber on bittien ja atomien vuorovaikutusta
Digitaalinenmaailma
FyysinenmaailmaKyber
@jyrkikasvi #aaltokyber 10
Älyliikenne IoT
Automaatio
Sensorit
Robotisaatio
Digitaalinen analysoi ja ohjaa (taitavasti) fyysistä
Kyber tuo digitaaliset uhat myös fyysiseen maailmaan
FyysinenmaailmaKyberDigitaalinen
maailma
@jyrkikasvi #aaltokyber 11
Tietoturva
12
Kyberuhkakuvat globaaleista henkilökohtaisiin
@jyrkikasvi #aaltokyber
1982 Siperian kaasuputki
2010 Stuxnet
2015 saksalainen masuuni
1997 Eligible Receiver
2015 Ukrainan sähköverkko
2007 Viron Web War 1
13
Ukraina, 23. joulukuuta 2015 Useiden ukrainalaisten sähköyhtiöiden ohjausjärjestelmät otettiin haltuun
MS Office –dokumenttien makroissa levitetyn haittaohjelman avulla Noin 230 000 kotitaloutta jäi kuudeksi tunniksi ilman sähköä Korjaustyöt veivät kuukausia, koska osa laitteistoista jouduttiin vaihtamaan
Hyökkäys oli suunniteltu haittaamaan sähköverkon korjaamista BlackEnergy3-haittaohjelma mm. esti saastuneiden tietokoneiden
käynnistämisen, mikä hidasti sähkönjakelun käynnistämistä Kohteena myös sähkönjakelukeskusten varavirtajärjestelmät! Valot
sammuivat myös valvomoista. Sähköyhtiöiden vikailmoitusnumeroiden puhelinlinjat tukittiin
Hyökkäystä oli valmisteltu vähintään puoli vuotta ennen sen toteuttamista Vaati erilaisia toimijoita verkkorikollisista tiedusteluviranomaisiin Iskun arvioidaan voineen olla paljon tuhoisampi Venäjä kiistää olleensa millään tavalla osallisena
@jyrkikasvi #aaltokyber
14
Mikä Ukrainassa meni pieleen? Sähköyhtiöiden tietojärjestelmien ylläpidosta vastanneet
avasivat tuntemattomista lähteistä MS Office –dokumentteja Henkilöstön koulutus ja operatiivinen tietoturva pettivät
Sähköverkon ohjausjärjestelmiä ei oltu eristetty kunnolla Hyökkääjät pääsivät sähköyhtiön tietokoneilta palomuurin läpi
sähköverkon ohjausjärjestelmiin ja katkaisivat virran verkosta Sähköverkon ohjausjärjestelmien firmware uudelleenohjelmoitiin
niin ettei niitä pystytä enää etäohjaamaan lainkaan
Sähköverkon ohjausjärjestelmä hyväksyi haitallisia komentoja Järjestelmän suunnittelija ei ollut tullut ajatelleeksi hyökkäystä
Valmistelua ja tiedustelua ei oltu havaittu Sotaa käyvän maan kriittinen infrastruktuuri on houkutteleva kohde
@jyrkikasvi #aaltokyber
15
Myös Suomi kohteena Lehtitietojen mukaan Stuxnetin ”hyötykuorma” aktivoitui
ainoastaan Siemensin S7-300 -ohjausjärjestelmissä, joilla ohjattiin korkealla taajuusalueella (807-1210 Hz) toimivia Fararo Payan (Iran) tai Vaconin (Suomi) taajuusmuuttajia Siemensin S7-300:lla ohjattuja Fararo Payan taajuusmuuttajia
käytettiin ohjaamaan Iranin Natanzin uraanirikastamon kaasusentrifugeja
@jyrkikasvi #aaltokyber
Siemens S7-300 PLC
16
Arjen uhkakuvia Infrastruktuuri
Sähkö-, vesi-, tietoliikenneverkot Ruokalogistiikka
Liikenne Kulkuneuvojen tieto(liikenne)järjestelmät Liikenteen ohjausjärjestelmät Älyliikenne ja -logistiikka
Asuminen Kodit muuttumassa automaatiojärjestelmiksi
Keho Verkottunut tekniikka tulossa myös ihon alle
@jyrkikasvi #aaltokyber
01.05.2023 17TIEKE Tietoyhteiskunnan kehittämiskeskus ry
Esimerkiksi nykyautoissa on yli 85 laiteohjainta tai tietokonetta, jotka kommunikoivat keskenään ja ulkomaailman kanssa.
Heinäkuussa 2015 tutkijat demonstroivat, miten Jeep Cherokee voidaan ottaa etäohjaukseen Internetin välityksellä. Chrysler joutui kutsumaan 1,4 miljoonaa autoa ohjelmistopäivitykseen.
Olemme selvinneet tuurilla!
CC Wired / Andy Greenberg
18
Kaukaa haettua?
@jyrkikasvi #aaltokyber
19
Kotini on automaatiojärjestelmäni!
@jyrkikasvi #aaltokyber
Kastelli-talot
20
Kokonaisvaltainen pientalojärjestelmä Älykäs sähköjärjestelmä
Kulutuksen seuranta ja ohjaus Aurinkopaneelit ja
pientuuligeneraattorit Valaistuksen hallinta
Ä. lämmitysjärjestelmä Huonekohtaiset termostaatit Lämpöpumput Lämmin vesi
Ä. ilmanvaihtojärjestelmä Lämmön talteenotto Sisäilman laatu Lämmönvaihdinikkunat
@jyrkikasvi #aaltokyber
Ä. vesijärjestelmä Kulutus, laatu ja vuodot Jätevesijärjestelmä
Ä. turvallisuusjärjestelmä Lukitus ja hälytykset Valvontakamerat Palo- ja häkävaroittimet
Sensorit Rakenteiden kosteus ja lämpö Ulkosäätila, valo Putketukset, läpiviennit
Älykkäät kodinkoneet
@jyrkikasvi #aaltokyber 21
22
Kaukaa haettua?
@jyrkikasvi #aaltokyber
Skaala Alpha cLean
Entä älykkään kodin airut, Nest-termostaatti?
@jyrkikasvi #aaltokyber 23
@jyrkikasvi #aaltokyber 24
25
Entä Suomessa?
@jyrkikasvi #aaltokyber
26
Henkilökohtaisia uhkakuvia
Dick Cheneyn tahdistimen wifi otettiin pois käytöstä salamurhaajien pelossa. Insuliinipumppujen tietoturva
on jo murrettu
Elimistöstä antureilla kerättävän biodatan tietoturva Esim. vanhusten
turvarannekkeet, älysängyt ja -lattiat
@jyrkikasvi #aaltokyber
27
Kaukaa haettua?
@jyrkikasvi #aaltokyber
Monialaista turvallisuutta Kyberongelma: Verkkoon liitettyjen automaatio-
järjestelmien tietoturvan on havaittu olevan heikko Esim. v. 2013, noin 3000 suomalaisen teollisen ja
kiinteistöautomaatiojärjestelmän käyttäjäkontrollissa havaittiin vakavia puutteita
Esineiden internetissä verkkoon liitetyt sensorit ja automaatiojärjestelmät arkipäiväistyvät Edellyttää kattavaa, luottavaa ja käytettävää tietoturvaa Koti-wlanit asentaneet kuluttajat ottavat seuraavaksi käyttöön
kotitermostaatteja, valvontakameroita, älyikkunoita, …
Kyber/IoT turvallisuuden parantaminen edellyttää mm. langattoman viestinnän, automaation ja käytettävyyden osaamista
@jyrkikasvi #aaltokyber 28
29
Lainsäätäjä ristipaineessa
@jyrkikasvi #aaltokyber
TurvallisuusKansalais-oikeudet vapaudet
Lainsäädännön hitaus
Ristiriitaiset intressit
Resurssien riittämättömyys
Tekniikan kehitys
Tulevaisuuden ennakointi
01.05.2023 30
Esim. Tietoyhteiskuntakaari keskittyy ”merkittävälle osalle yleisöstä suunnattuun joukkoviestintään”
Entä 17 miljoonan katsojan YouTube-video?
31
Luottamus avainasemassa
@jyrkikasvi #aaltokyber
LuottamusTurvallisuus Vapaus
Luottamus on helppo menettää mutta vaikea ansaita takaisin EPRI-rekisterin ylläpidon epäselvyydet Toistuvat viranomaisrekistereiden urkinnat Pakkokeinojen perusteluiden ja valvonnan puutteet
01.05.2023 32
Digitaaliset kansalaisoikeudet Kansalaisoikeudet säädetty suojelemaan
kansalaisia sekä viranomaisilta, yrityksiltä että toisilta ihmisiltä, myös tietoverkoissa Yksityisyyden (luottamuksellisen viestin) suoja ja
ilmaisun vapaus Uutena identiteetin suoja, edellytys palveluiden digitalisaatiolle
Vihapuhe koettelee sananvapauden totuttuja rajoja Sosiaalinen media on joukkotiedotusväline velvollisuuksineen ja
oikeuksineen … ilman tiedotusopin koulutusta ja kokemusta, vastuuta kantavaa päätoimittajaa ja mediatalon juristia
Journalistin ohjeet äidinkielen opetusohjelmaan!
01.05.2023 33
Tekijä löydetty ja tuomittu mm. useistatörkeistä kunnianloukkauksista ym.,mutta sivut ovat verkossa edelleen.
Sosia
alin
en m
edia
ei n
uku
@jyrkikasvi @tiekery
Sehän on vain läppää
01.05.2023 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 34
Esimerkiksi tiedustelulakiuudistus
Sotilas-verkko-
tiedustelu
Sotilas-Henkilö-
tiedustelu
Siviili-verkko-
tiedustelu
Siviili-henkilö-
tiedustelu
Kansainväl.tietojen vaihto
Tiedustelunvalvonta
Lupa tiedustelun
aloittamiseen
Kansallinenturvallisuus
Kotimaassa jaulkomailla
Tiedustelu-päätökset
Kansalais-oikeudet
@jyrkikasvi #aaltokyber 36
30.9.2010 www.kasvi.org 37
Sukupuolten välinen digikuilu?Keskustelua
U.S. Army Photo