Tietoturva nyt!

27.7.2012

Tietosuojavaltuutetun tarkastus tietomurroista ja tietovuodoista

Tietosuojavaltuutettu on lähettänyt tällä viikolla selvityspyynnön noin 70 suomalaiselle palveluntarjoajalle, joiden www-sivujen, verkkokaupan, keskustelufoorumin tai muu vastaavan palvelun epäillään joutuneen tietomurron tai muun tietoturvaloukkauksen kohteeksi. Aiemmin heinäkuun alussa tietosuojavaltuutetun toimisto pyysi Viestävirastolta tietoja vuoden 2011 loka-, marras- ja joulukuussa tietoon tulleista tietomurroista ja tietovuodoista. CERT-FI:n koostamassa yhteenvedossa oli yhteensä 2630 riviä, jotka yksilöivät kaikkiaan 993 tietomurron tai sellaisen yrityksen kohteeksi joutunutta verkko-osoitetta.

Marraskuun tietovuodot olivat vain pintaraapaisu

Loppuvuotta 2011 sävyttivät lukuisat suurta julkisuutta saaneet tietovuodot, joissa suomalaisten henkilötietoja julkistettiin tuntemattomaksi jääneiden tahojen toimesta sen jälkeen kun tiedot oli ensin onnistuttu varastamaan jostakin. Kaikkia CERT-FI:n mielenkiinnon herättäneitä tietovuototapauksia yhdisti se, että tietovuodot mahdollisti internetiin liitettyjen tietojärjestelmien puutteellinen tietoturva. Tietojärjestelmiin oli onnistuttu murtautumaan ohjelmistohaavoittuvuutta tai puuttellisia suojausasetuksia hyödyntämällä ja joissakin tapauksissa jopa arvaamalla riittävän laajat toimivaltuudet omaavan käyttäjän salasana.

CERT-FI:n kokemusten mukaan suurin osa tietomurroista ei kuitenkaan johda tietovuotoihin. Esimerkiksi marraskuussa 2011 julki tulleiden tietovuotojen taustalla oli varsin rajallinen määrä palvelimia vaikka samaan aikaan CERT-FI:n tietoon tuli kymmeniä tai jopa satoja muita www-palvelimiin kohdistuneita tietomurtoepäilyjä. On myös oletettavaa, että kaikkia CERT-FI:n tietoon saatettuja www-palveluista löytyneitä ohjelmistohaavoittuvuuksia ja tietoturvapuutteita ei ehditty hyödyntää tietoturvaa tai tietosuojaa vaarantavalla tavalla.

Hiljattain avoimena datana julkaistujen CERT-FI Autoreporter -palvelun tilastojen mukaan CERT-FI ilmoitti viime vuoden lokakuun ja vuodenvaihteen välisenä aikana tietoturvaloukkaustapauksista kaikkiaan 47 612 kertaa ja pelkästään marraskuussa lähes 22 000 kertaa. Viimeisen kvartaalin ilmoituksista ainakin 558 koski www-palvelimien tietoturvaongelmia (217 marraskuussa).

Tietoturvaloukkausten uhrit eivät useinkaan huomaa itse tapahtunutta

CERT-FI kerää tietoja tietoturvaloukkauksista sekä sellaisten uhkista monista eri lähteistä. Suurin osa CERT-FI:n tietoon tulevista tapauksista tulee joko julkisista lähteistä tai kolmansien osapuolten ilmoituksina. Yksi CERT-FI:n vuonna 2010 julkaiseman tutkimusraportin keskeisistä johtopäätöksistä olikin, että tietoturvaloukkausten kohteeksi joutuneet tahot eivät useinkaan huomaa itseensä kohdistuneita tietoturvaloukkauksia.

Pieni osuus ilmoituksista tulee loukkauksen kohteena olleiden verkkojen tai tietojärjestelmien omistajilta itseltään ja ainoastaan murto-osa teleyrityksille säädetyn lakisääteisen ilmoitusvelvollisuuden kautta. Viime vuoden lokakuun ja joulukuun välisenä aikana CERT-FI vastaanotti teleyrityksiltä 17 lakisääteistä ilmoitusta tietoturvaloukkauksista tai tietoturvauhasta.

CERT-FI:llä ei välttämättä ole aina tiedossa, kuka tai mikä taho tietoturvaloukkauksen kohteena olevasta palvelusta on vastuussa tai miten tämän tavoittaa. Mikäli suora yhteydenotto ei ole mahdollinen, tieto saatetaan kierrättää tietoliikenneyhteyden tarjoavan teleyrityksen tietoturvaosaston kautta. Tietosuojavaltuutetulle nyt toimitettuun yhteenvetoon kirjatuista tapauksista tieto on saatettu asianomistajan tai tälle tieto- ja viestintäpalveluita tuottavan alihankkijan tietoon tuoreeltaan. Suurin osa materiaalista on ollut julkisesti saatavilla ilmoitusajanhetkellä jo osa on edelleen julkisesti saatavilla.

Julkisia lähteitä ja ohjeistusta

Edellä mainitun CERT-FI Autoreporterin tuottamien tilastojen ja avoimen datan lisäksi suomalaisia palveluita koskevista tietoturvaloukkauksista löytyy paljon julkista tietoa.

CERT-FI:n Facebook-sivuilla on esitelty viime vuoden lopulla joitakin julkisia palveluita, joista voi käydä tarkistamassa oman tai käyttämiensä verkkojen tietoturvatapahtumia:

• Googlen Safebrowsing-palvelu on rajatusti avoin loppukäyttäjille ja tuottaa tarkempaa raporttia sivustojen ylläpitäjille
  
• Microsoftin Bing-palvelussa on samoin erilliset loppukäyttäjä- ja ylläpitäjänäkymät
  
• CLEAN-MX:n raportteja: haittaohjelmaa jakavat sivustot, töhrityt sivustot ja phishing-sivustot
  
• Kotimainen Web of Trust
• McAfee SiteAdvisor
  
• Spamhausin DROP-lista
• Zone-H:n töhrittyjen sivustojen lista
• Shadowserverin Conficker-tilannekuva
  
• Näiden lisäksi myös muun muassa Malware Domain List saattaa olla hyödyllinen seurattava.
  

CERT-FI julkaisi marraskuussa 2011 ohjeen 1/2011 www-palvelujen tietoturvallisesta ylläpidosta.

Päivitys 27.7.2012 kello 23.50: Lisätty puuttuvat linkit Clean-MX:n phishing-tilastoihin ja Zone-H:n palveluun sekä uutena Shadowserverin Conficker-lista ja McAfeen SiteAdvisor.

Lisätietoa

• Tietosuojavaltuutetun tiedote 25.7.2012: Tietosuojavaltuutettu tekee tarkastuksen henkilötietojen käsittelystä ja suojaamisesta verkkopalveluissa
• CERT-FI:n tutkimusraportti Why Wasn't I Notified? [PDF, 970 KB] ja raportin esitysmateriaali
  
• CERT-FI ohje 1/2011: Verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito
• CERT-FI:n Facebook-seinä
  

Sivua päivitetty 27.07.2012

Tulostusversio