viihde /
Traficom varoittaa: Yksikin suojaamaton laite voi avata hyökkääjälle tien koko verkkoon
Suomalaisorganisaatioiden verkkolaitteisiin kohdistuvia tietomurtoja ja murtoyrityksiä ilmoitetaan viranomaisille viikoittain. Traficom kehottaa tarkistamaan erityisesti internetiin kytkettyjen reitittimien ja palomuurien päivitykset, hallintayhteydet ja valvonnan.
Yrityksen tai muun organisaation tietoturva voi pettää yhden ainoan unohdetun laitteen vuoksi. Vanhentunut reititin, puutteellisesti suojattu palomuuri tai tarpeettomasti internetiin avattu hallintayhteys voi tarjota hyökkääjälle väylän sisäverkkoon ja sen kriittisiin järjestelmiin.
Traficom varoittaa, että puutteellisesti suojattuja verkkolaitteita voidaan käyttää esimerkiksi kybervakoiluun ja muuhun rikolliseen toimintaan.
Varoituksen taustalla on Suojelupoliisin ja Puolustusvoimien sotilastiedustelun tuore ilmoitus Venäjän valtiolliseen kybertoimintaan yhdistetyistä hyökkäyksistä. Viranomaisten mukaan toiminnan kohteena ovat olleet etenkin huonosti suojatut ja haavoittuvat yritystason verkkolaitteet.
Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen muistuttaa, etteivät hyökkääjät välttämättä valitse kaikkia kohteitaan tarkasti etukäteen.
”Hyökkääjät etsivät jatkuvasti heikkoja kohtia hyödynnettäväksi. Verkkolaitteiden perustason tietoturvasta huolehtiminen on tärkeä osa organisaatioiden ja yksityishenkilöiden suojautumista”, Eronen sanoo Traficomin tiedotteessa.
Reititin ja palomuuri sijaitsevat verkon portilla
Reitittimet, palomuurit ja muut verkon reunalaitteet välittävät liikennettä organisaation sisäverkon ja internetin välillä. Niiden tehtävänä on mahdollistaa yhteydet ja samalla rajoittaa sitä, kuka pääsee verkkoon ja millaisin oikeuksin.
Juuri sijaintinsa vuoksi laitteet ovat hyökkääjille kiinnostavia. Onnistunut murto voi antaa mahdollisuuden tarkkailla verkkoliikennettä, varastaa tunnuksia, siirtyä muihin järjestelmiin tai rakentaa pysyvän pääsyn organisaation ympäristöön.
Laitteen ei tarvitse olla kokonaan suojaamaton. Riskin voi muodostaa esimerkiksi tunnettu mutta korjaamaton ohjelmistohaavoittuvuus, oletussalasana, tarpeettomasti avoin palvelu tai hallintaliittymä, johon pääsee suoraan internetistä.
Ongelmallisia voivat olla myös laitteet, joiden valmistajan tuki ja tietoturvapäivitykset ovat päättyneet. Vaikka vanha laite näyttäisi edelleen toimivan normaalisti, uusia haavoittuvuuksia ei välttämättä enää korjata.
Venäjän FSB:n toiminta kohdistuu kriittisiin aloihin
Suojelupoliisi ja sotilastiedustelu ovat mukana useiden länsimaisten tiedustelupalvelujen yhteisessä varoituksessa. Haitallinen toiminta yhdistetään Venäjän turvallisuuspalvelu FSB:n 16. keskukseen.
Tietoturvayhtiöt ovat seuranneet samaan toimijaan yhdistettyä toimintaa muun muassa nimillä Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ja Static Tundra.
Suojelupoliisin mukaan kyse on erittäin pitkäaikaisesta kybertoiminnasta. Sen keskeisiin kohteisiin kuuluvat kriittisen infrastruktuurin eri osa-alueet, kuten energia-ala ja puolustusteollisuus.
Kohteita valikoituu kuitenkin myös sen mukaan, mihin hyökkääjät käytännössä onnistuvat murtautumaan. Tämä tekee perustason suojauksesta tärkeää myös organisaatioissa, jotka eivät itse pidä toimintaansa todennäköisenä valtiollisen vakoilun kohteena.
Sama haavoittuvuus voi kiinnostaa valtiollisen toimijan lisäksi verkkorikollisia. Murrettua laitetta voidaan käyttää tietojen varastamiseen, kiristyshaittaohjelman levittämiseen, muiden hyökkäysten välittämiseen tai osana rikollisten hallitsemaa laiteverkkoa.
Tietomurtoja raportoidaan Suomessa viikoittain
Kyberturvallisuuskeskukselle ilmoitetaan joka viikko verkkolaitteisiin kohdistuneista tietomurroista tai murtoyrityksistä. Suomessa on vaihteleva määrä organisaatioiden käyttämiä laitteita, joiden suojaus on puutteellinen tai joissa on tunnettuja haavoittuvuuksia.
Traficomin mukaan kotimaiset organisaatiot asentavat verkkolaitteidensa päivityksiä yleisesti varsin nopeasti. Suomessa on myös pitkät perinteet julkisen ja yksityisen sektorin yhteisestä varautumisesta.
Tilanne ei silti pysy turvallisena ilman jatkuvaa työtä. Hyökkääjät kehittävät menetelmiään ja hyödyntävät julki tulleita ohjelmistohaavoittuvuuksia aikaisempaa nopeammin.
Kun laitevalmistaja julkaisee kriittisen päivityksen, hyökkääjät voivat alkaa etsiä päivittämättömiä laitteita lähes välittömästi. Organisaation on siksi tiedettävä, mitä laitteita sillä on, missä ne sijaitsevat ja kuka vastaa niiden ylläpidosta.
Päivitykset pitää asentaa koko laitteen elinkaaren ajan
Verkkolaitteen tietoturva ei valmistu sen asennuspäivänä. Ohjelmistot ja laiteohjelmistot tarvitsevat päivityksiä koko käyttöikänsä ajan.
Organisaatiossa pitäisi olla ajantasainen luettelo ainakin reitittimistä, palomuureista, etäyhteysratkaisuista ja muista internetiin näkyvistä palveluista. Ilman laiteluetteloa yksittäinen vanha laite voi jäädä vuosiksi verkkoon ilman valvontaa.
Päivitysten asentaminen kannattaa järjestää suunnitelmalliseksi prosessiksi. Kriittiset korjaukset on pystyttävä arvioimaan ja ottamaan käyttöön nopeasti, mutta samalla organisaation on varmistettava, etteivät muutokset aiheuta tarpeettomia häiriöitä.
Kun valmistajan tuki päättyy, laite on korvattava uudemmalla. Pelkkä toimivuus ei ole riittävä peruste jatkaa laitteen käyttöä, jos siihen ei enää saa tietoturvakorjauksia.
Hallintayhteyksiä ei pidä jättää avoimiksi internetiin
Verkkolaitteiden ylläpitoa varten tarvitaan hallintayhteys, mutta sen ei yleensä tarvitse olla kaikkien internetin käyttäjien saavutettavissa.
Suojelupoliisi suosittelee rajoittamaan verkon reunalaitteiden hallintayhteyksiä. Pääsy voidaan sallia vain erikseen määritellyistä osoitteista tai toteuttaa suojatun etäyhteyden kautta.
Hallintatunnuksissa on käytettävä vahvoja ja yksilöllisiä salasanoja. Oletustunnukset on vaihdettava heti laitteen käyttöönoton yhteydessä, eikä samaa salasanaa pidä käyttää useissa järjestelmissä.
Traficom suosittelee organisaatioille myös monivaiheista tunnistautumista. Sen ansiosta varastettu salasana ei yksin riitä kirjautumiseen, vaan hyökkääjä tarvitsee lisäksi esimerkiksi käyttäjän puhelimeen tai erilliseen tunnistussovellukseen liittyvän vahvistuksen.
Vanhat ominaisuudet voivat muodostaa tarpeettoman riskin
Suojelupoliisin teknisiin suosituksiin kuuluu Cisco Smart Install -ominaisuuden poistaminen käytöstä. Lisäksi organisaatioita kehotetaan käyttämään verkkolaitteiden hallinnassa SNMP-protokollan versiota 3.
SNMP:tä käytetään verkkolaitteiden valvontaan ja hallintaan. Sen vanhemmissa versioissa suojaus on puutteellisempi, kun taas kolmas versio tukee vahvempaa tunnistautumista ja tiedonsiirron salaamista.
Kaikkien käyttämättömien palvelujen ja ominaisuuksien poistaminen pienentää hyökkäyspinta-alaa. Mitä vähemmonsiirron salaamista.
Kaikkien käyttämättömien palvelän laitteessa on ulospäin näkyviä palveluja, sitä vähemmän hyökkääjällä on mahdollisia sisäänpääsyreittejä.
Muutokset vaativat verkkoympäristön tuntemusta. Organisaation kannattaa varmistaa omalta ylläpitäjältään tai palveluntarjoajaltaan, mitä ominaisuuksia todella tarvitaan ja miten tarpeettomat palvelut poistetaan turvallisesti.
Valvonta voi paljastaa hyökkääjän ennen suurempaa vahinkoa
Hyvä suojaus pienentää murtautumisen todennäköisyyttä, mutta kaikkia hyökkäyksiä ei voida varmasti estää. Tämän vuoksi verkkolaitteiden toimintaa ja kirjautumistietoja on myös valvottava.
Poikkeuksellinen verkkoliikenne, uusi ylläpitotunnus, tuntemattomasta osoitteesta tehty kirjautuminen tai asetusten muuttuminen voivat olla merkkejä murrosta.
Lokitiedot on säilytettävä niin, etteivät hyökkääjät pääse helposti muuttamaan tai poistamaan niitä. Keskitetty lokien kerääminen helpottaa tapahtumien yhdistämistä ja jälkikäteistä selvittämistä.
Valvonnan hyöty riippuu myös siitä, reagoiko joku hälytyksiin. Organisaation pitää sopia etukäteen, kuka tutkii poikkeamat ja miten kiireelliset tilanteet käsitellään myös iltaisin, viikonloppuisin ja lomakausina.
Poikkeustilannetta on harjoiteltava etukäteen
Tietomurron ensimmäiset tunnit voivat ratkaista, kuinka laajaksi vahinko kasvaa. Kiireisessä tilanteessa ei oleit voivat ratkaista, kuinka laajaksi vahinko kasvaa hyvä hetki alkaa selvittää, kuka saa sulkea laitteen verkosta tai kenelle tapauksesta pitää ilmoittaa.
Traficom kehottaa organisaatioita harjoittelemaan poikkeamatilanteita säännöllisesti. Harjoituksessa voidaan käydä läpi esimerkiksi tilanne, jossa palomuurin epäillään joutuneen hyökkääjän haltuun.
Suunnitelmassa pitäisi huomioida ainakin tekninen rajaaminen, johdon tiedottaminen, toiminnan jatkuvuus, viranomaisilmoitukset ja viestintä asiakkaille sekä yhteistyökumppaneille.
Harjoituksen tarkoituksena ei ole vain testata tietohallintoa. Vakava tietoturvahäiriö voi vaikuttaa koko organisaation toimintaan, joten mukana tarvitaan myös johtoa, viestintää ja muita keskeisiä toimintoja.
Varmuuskopioiden pitää toimia myös tositilanteessa
Ajantasaiset varmuuskopiot auttavat palautumaan tilanteesta, jossa hyökkääjä on tuhonnut tietoja, salannut järjestelmiä tai muuttanut laitteiden asetuksia.
Pelkkä varmuuskopion olemassaolo ei kuitenkaan riitä. Palauttamista pitää kokeilla säännöllisesti, jotta organisaatio tietää kopioiden olevan käyttökelpoisia ja henkilöstön osaavan palauttaa järjestelmät.
Varmuuskopiot on myös suojattava hyökkääjältä. Jos kaikki kopiot ovat jatkuvasti yhteydessä samaan verkkoon samoilla käyttöoikeuksilla, murtautuja voi päästä tuhoamaan ne muiden tietojen mukana.
Myös verkkolaitteiden asetuksista kannattaa säilyttää hallitut varmuuskopiot. Niiden avulla korvaava laite voidaan ottaa nopeammin käyttöön rikkoutumisen tai tietoturvapoikkeaman jälkeen.
Käytöstä poistettu laite voi yhä sisältää arkaluonteisia tietoja
Verkkolaitteisiin voi tallentua salasanoja, verkkorakenteita, salausavaimia, lokitietoja ja muita organisaation turvallisuuden kannalta arkaluonteisia asetuksia.
Siksi vanhaa reititintä tai palomuuria ei pidä myydä, kierrättää tai hävittää ennen tietojen turvallista poistamista. Pelkkä laitteen irrottaminen verkosta ei tyhjennä sen muistia.
Organisaatiolla pitäisi olla menettely, jolla laite palautetaan tehdasasetuksiin, tallennusmedia tyhjennetään asianmukaisesti ja hävittäminen dokumentoidaan. Tarvittaessa tehtävä kannattaa antaa tietoturvalliseen laitehävitykseen erikoistuneelle palveluntarjoajalle.
Myös kotireitittimen suojaus kannattaa tarkistaa
Suojelupoliisin nyt julkaisema varoitus koskee ensisijaisesti yritystason verkkolaitteita. Traficom muistuttaa silti, että myös kotiverkkojen reitittimiä ja muita internetiin liitettyjä laitteita voidaan käyttää rikollisen toiminnan välineinä.
Kotikäyttäjän kannattaa tarkistaa, asentuvatko reitittimen päivitykset automaattisesti ja saako laite edelleen valmistajan tukea. Hallintasalasanan pitää olla eri kuin langattoman verkon salasana, ja valmistajan oletustunnus on vaihdettava.
Reitittimen etähallinta kannattaa poistaa käytöstä, ellei sitä todella tarvita. Myös kodin älylaitteet on päivitettävä, ja sellainen laite, joka ei enää saa korjauksia, on syytä korvata.
Jos laitteen asetukset tuntuvat vierailta, neuvoa voi pyytää internetyhteyden tarjoajalta tai laitteen valmistajalta. Vanhan reitittimen pitäminen käytössä vuosia ilman päivityksiä voi muodostaa riskin, vaikka verkkoyhteys näyttäisi toimivan normaalisti.
Perustason suojaus torjuu monia erilaisia hyökkääjiä
Venäjän valtiolliseen kybervakoiluun liittyvä varoitus nostaa verkkolaitteiden turvallisuuden näkyvästi esiin. Korjaavat toimet eivät kuitenkaan suojaa vain yhdeltä tietyltä toimijalta.
Ajantasaiset päivitykset, vahvat tunnukset, rajatut hallintayhteydet, valvonta ja toimivat varmuuskopiot vaikeuttavat myös verkkorikollisten ja muiden hyökkääjien toimintaa.
Tietoturvan heikoin kohta voi olla laite, jonka olemassaoloa kukaan ei enää muista. Siksi ensimmäinen tehtävä on selvittää, mitä verkkoon on kytketty ja kuka vastaa jokaisen laitteen turvallisuudesta.