Tietoturva Nyt!
Traficomin Kyberturvallisuuskeskus on vastaanottanut ilmoituksia palvelunestohyökkäyksistä aiempaa enemmän. Hyökkäykset ovat kuitenkin osa internetin arkea ja suurimmalla osalla niistä ei ole vaikutuksia organisaatioiden tai kansalaisten toimintaan.
Palvelunestohyökkäys voi pahimmillaan tarkoittaa sitä, että kansalainen ei pääse haluamaansa verkkopalveluun. Tai sitä, että organisaation sisäiset palvelut eivät hetkellisesti toimi estäen ainakin osittain etätöiden tekemisen. Esimerkiksi näiden syiden vuoksi kotimaisetkin organisaatiot varautuvat erilaisin keinoin palvelunestohyökkäyksiin. Vaikka ihmisten tiedot tai organisaation järjestelmät eivät ole vaarassa rikkoutua palvelunestohyökkäysten seurauksena, voi niistä aiheutua merkittävää haittaa palveluihin ja siten loppukäyttäjälle.
Kyberturvallisuuskeskus on vastaanottanut viime aikoina kasvavissa määrin ilmoituksia palvelunestohyökkäyksistä. Nordean palvelunestohyökkäyksistä johtuneet ongelmat verkkopalveluissa ovat olleet tapetilla eri medioissa ja kansalaisten keskusteluissa. Pitkittyneet häiriöt luottamuspalveluihin ovat harvinaisia Suomessa. Organisaatiot niiden takana käyttävät aikaa ja resursseja palveluiden kehittämiseksi ja suojaamiseksi. Joskus häiriöitä kuitenkin ilmenee ja tällöin organisaatiot pyrkivät palauttamaan ja vakauttamaan palveluidensa toiminnan mahdollisimman pian.
Kyberturvallisuuskeskus tekee aktiivista yhteistyötä esimerkiksi finanssisektorin toimijoiden kanssa tähänkin aiheeseen liittyen. Kotimaiset organisaatiot ovat suojautuneet palvelunestohyökkäyksiltä hyvin, mutta hyökkääjätkin kehittävät työkalujaan. Aina välillä on tarvetta tarkastella suojauskäytänteitä uudestaan ja mahdollisuuksien rajoissa jakaa muillekin tietoa hyväksi havaituista keinoista torjua hyökkäyksiä.
Hyökkäystekniikat
Tällä hetkellä yksittäisistä ilmiöistä erityisesti esiin nousee yksittäinen tekniikka: carpet bombing. Carpet bombing, eli ns. mattopommitustekniikka, on näkynyt viime aikoina ilmiönä joissain ilmoituksissa. Tämä tarkoittaa, että hyökkäyksen kohteena on yhden tai muutaman palvelimen sijasta suurempi osa kohdeorganisaation verkko-osoitteista. Hyökkäystapa saattaa osoittaa organisaation verkosta suojaamatta jääneet osat, jotka voivat aiheuttaa vaikutuksia palvelimille tai palveluihin. Kokonaisen verkko-osoiteavaruuden hyökkäysten torjuminen on usein haastavampaa kuin yksittäisiin osoitteisiin kohdistuva hyökkäys. Organisaatioiden kannattaakin tarkastella, mitä palveluita omista verkko-osoitteista on suojattu, ja mitä ei.
Palvelunestohyökkäyksiä on syksyllä raportoitu eri sektoreilta, ja liikennemääriltään suurimmat ovat olleet yli 100Gbps. Vaikutukset ovat jääneet miedoiksi, mutta organisaatioiden on hyvä pitää silmällä palvelunestohyökkäyksiä ilmiöinä. Haktivistien sovellustason hyökkäykset ja nyt uutena aaltona ilmennyt carpet bombing -tekniikka ovat hyviä esimerkkejä siitä, että hyökkääjät kehittävät tekemistään. Tarkoituksena hyökkääjillä on usein häiritä verkkopalveluiden saatavuutta ja täten saada näkyvyyttä omalle toiminnalleen.
Palvelunestohyökkäyksiin varautuminen
Hyökkäysten kohteeksi joutuvat eri sektoreiden toimijat valtionhallinnosta finanssialan organisaatioihin. Vaikka aihe puhututtaa ja eri verkkopalveluiden käyttökatkokset ovat näyttäviä, hyökkäysten vaikutukset jäävät kuitenkin useimmiten pieniksi. Informaatiovaikuttamisen asiantuntijat ovat arvioineet, että palvelunestohyökkäyksellä voidaan tavoitella myös pelkästään näkyvyyttä eikä niinkään käyttäjien palvelun estymistä.
Palvelunestohyökkäykset kohdistuvat internetissä tarjottavia palveluita ja organisaatioita kohtaan, joten niihin varautuminenkin on organisaation ylläpidon vastuulla. Yksittäinen ihminen voi kuitenkin pitää huolta omien laitteidensa tietoturvasta. Erityisesti volyymiperusteisissa palvelunestohyökkäyksissä käytetään usein bottiverkkoa, joka koostuu kaapatuista tietokoneista ja muista internetiin kytketyistä laitteista. Pitämällä kaikki laitteesi päivitettyinä ja vaihtamalla oletussalasanat vahvoihin salasanoihin voit ennaltaehkäistä laitteittesi osallisuutta palvelunestohyökkäyksissä.
Kyberturvallisuuskeskus suosittelee organisaatioiden ylläpitoa varautumaan eri tilanteisiin palvelunestohyökkäysten osalta esimerkiksi vastaamalla seuraaviin kysymyksiin.
- Onko kriittisimmät palvelut tunnistettu ja suojattu palvelunestohyökkäyksiltä?
- Onko palvelunestohyökkäykseen reagoimiseen liittyvät prosessit määritelty ja niiden toimintaa harjoiteltu?
- Onko asiakasviestintä otettu huomioon kyberpoikkeaman sattuessa?
- Onko ilmoitus Kyberturvallisuuskeskukselle ja rikosilmoitus poliisille mukana prosessissa?
- Palvelunestohyökkäyksen kohteeksi joutuneille organisaatioille olemme kirjoittaneet toimintaohjeen.
Kyberturvallisuuskeskus toivookin organisaatioilta aktiivisesti ilmoituksia, mikäli tavallisesta poikkeavaa palvelunestohyökkäysliikennettä havaitaan. Useista eri tapauksista voidaan löytää yhtäläisyyksiä, joiden avulla voidaan muodostaa tilanteesta jaettavaa tilannekuvaa.