Kyberharjoitusskenaariot: palvelunestohyökkäykset ja häiriöt

Palvelunestohyökkäykset ja häiriöt

Automaatiojärjestelmän häirintä

Tuotantojärjestelmien tietoturvallisuus ja mahdollisten hyökkäysten havainnointi.

Skenaario

Automaatiojärjestelmän keskitetyssä hallintajärjestelmässä on ollut haavoittuvuus. Tuntematon hyökkääjä on onnistunut murtautumaan tuotantolaitteiston hallintaverkkoon. Hyökkääjä on muuttanut tuotantolinjaston parametreja hieman, mistä seuraa tuotteiden valmistuksessa laatuongelmia. Hyökkäys huomataan kasvaneiden asiakasvalitusten ja tuotepalautusten kautta, kun laatuongelman syytä aletaan selvittää. Hyökkäys on jatkunut yli kuusi kuukautta.

Soveltaminen

Skenaario soveltuu tuotantojärjestelmien valvontaan liittyvien prosessien testaamiseen sekä jo tapahtuneen hyökkäyksen jälkiselvitysten arviointiin. Hyökkääjä on tehnyt pieniä muutoksia, minkä johdosta hyökkäystä ei ole heti havaittu.

Lisähaaste

Parametrimuutoksia on ollut useita. Hyökkääjä sabotoi laitteita niin, että niihin tulee huoltoa ja tuotannon seisokkia aiheuttavia vaurioita. Tuotteissa ilmenevät laatuongelmat aiheuttavat henkilövahinkoja.

Ohjausdatan manipulointi

Tuotantojärjestelmien tietoturvallisuus ja havainnointikyky.

Skenaario

Tuotantolaitoksen valvonta- ja ohjausjärjestelmän tuottama valvontainformaatio ei vastaa todellisuutta. Koska laitosta operoidaan edelleen normaalisti, laitoksessa tapahtuu katastrofaalinen vikatilanne, jonka seurauksena tapahtuu onnettomuus. Onnettomuudesta seuraa henkilövahinkoja, ja tieto tapahtuneesta kulkeutuu joukkotiedotusvälineisiin. Tuntematon hyökkääjä kiristää johtoa uhkaamalla toistaa hyökkäyksen muissa laitoksissa. Hyökkääjä vihjailee, että hänellä on sisäpiirin pääsy organisaation järjestelmiin.

Soveltaminen

Skenaariossa käsitellään ohjausjärjestelmien luottamuksellisuuden häiriötä sekä toimintaturvallisuuden kontrolleja tuotantojärjestelmissä.

Lisähaaste

Onnettomuus tapahtuu samanaikaisesti useissa tuotantolaitoksissa. Henkilövahingot johtavat kuolemiin ja vakaviin vammautumisiin. Onnettomuuden seurauksena tapahtuu vaarallisen aineen vuoto, joka vaarantaa lähialueen asutusta.

Palveluntarjoajaan kohdistuva palvelunesto

Palvelutoimittajien sopimusten sisältö ja järjestelmien vikasietoisuus sekä varajärjestelmät.

Skenaario

Organisaation ulkomailla olevat työntekijät ilmoittavat, että organisaation verkkosivuille ei pääse. Suomessa verkkosivut toimivat, mutta hitaasti. Mediassa on uutisoitu toiseen organisaatioon kohdistuneesta massiivisesta palvelunestohyökkäyksestä. Asiaa selvitettäessä ilmenee, että hyökkäyksen varsinainen kohde käyttää samaa palveluntarjoajaa kuin organisaatio. Palveluntarjoaja käyttää palveluiden tuottamiseen jaettuja palomuureja ja kuormantasaajia, jotka ovat lamaantuneena palvelunestohyökkäyksen vuoksi. Palveluntarjoaja ei vastaa yhteydenottoihin eikä viesti tilanteesta ulospäin.

Soveltaminen

Skenaariossa on käsillä tapaus, jossa jaettu infrastruktuuri pettää toiseen toimijaan kohdistuneen hyökkäyksen vuoksi. Skenaariossa voidaan käsitellä mm. SLA-sopimuksien sisältöä, sovittuja palvelutasoja ja -aikoja sekä ulkoistamiseen liittyviä riskejä.

Lisähaaste

Palvelunestohyökkäys on poikkeuksellisen pitkäkestoinen, ja aiheuttaa palveluntarjoajalla massiivisia ongelmia. Organisaation etäyhteydet eivät ole käytössä. Palveluntarjoaja pitää organisaatiota matalan prioriteetin asiakkaana.

Palvelunestohyökkäyksellä kiristäminen

Tietoverkon kapasiteetti ja varajärjestelmät sekä toimitusketjuihin liittyvät sopimukset.

Skenaario

Yrityksen toimitusjohtaja saa kiristysviestin, jossa uhataan palvelunestohyökkäyksellä, jos hyökkääjälle ei makseta 5 bitcoinia kolmen päivän kuluessa. Kiristysviesti tulee toimitusjohtajalle lauantaiaamuna. Kiristysajankohta on organisaatiolle kriittinen, sillä yrityksen tarjoamien tuotteiden vuoden tärkein sesonki on juuri alkamassa. Hyökkääjä vahvistaa uhkausta pienellä näytteellä ja saa organisaation verkkopalvelun hetkellisesti alas.

Soveltaminen

Skenaario soveltuu tietoverkon kapasiteetin ja varayhteysjärjestelyiden testaamiseen. Lisäksi skenaariolla voidaan harjoituttaa organisaation prosesseja, jotka liittyvät palvelusopimuksiin ja viranomaisten kanssa toimimiseen.

Lisähaaste

Verkkoyhteyksien palveluntoimittaja ilmoittaa, että verkkopesurikapasiteettiä ei laitepäivitysten takia ole lisättävissä viikkoon, mutta uuden sopimuksen puitteissa muista parannuksista voidaan neuvotella.

Pitkäkestoinen sähkökatko

Kriittisten järjestelmien jatkuvuudenhallinta.

Skenaario

Syysmyrsky katkoo puita ja aiheuttaa laajoja sähkökatkoja alueelle. Myös paikallinen muuntaja on hajonnut. Organisaatio siirtyy varavirran käyttöön, mutta sen riittävyys on vain muutamia tunteja. Tuotantojärjestelmien sähkönsaanti on turvattu akustolla, mutta kiinteistön muuhun toimintaan ei riitä sähköä. Ulkoistetut palvelut toimivat, mutta organisaation oma tietotekninen infrastruktuuri lakkaa toimimasta muutaman tunnin kuluttua ilman tietoa siitä, milloin toiminta saadaan takaisin normaalitilaan.

Soveltaminen

Skenaario nostaa esiin jatkuvuudenhallintaan, viestintään ja kriittisiin järjestelmiin liittyviä vaikutuksia. Skenaariota voi käyttää väistötilaharjoituksen taustana, jolloin työskentely siirretään pois päätiloista.

Lisähaaste

Syysmyrsky aiheuttaa vaurioita organisaation käytössä olevalle kiinteistölle. Myrsky aiheuttaa liikenne-esteen, jolloin pääsy toimitiloihin estyy. Myrsky pimentää tukiasemia estäen mobiiliyhteyksien käytön.

Laaja tietoliikennehäiriö

Toimitusketjujen riippuvuuksista aiheutuvat uhkatilanteet.

Skenaario

Laajamittainen häiriö usean eri toisiinsa kytkeytyvän toimialan tuotantoverkoissa. Seurauksena palveluiden kaatuminen (palvelunestotila). Asiaa tutkittaessa ilmenee viitteitä tietomurroista pitkällä aikavälillä.

Soveltaminen

Skenaariossa käsitellään tapausta, jossa eri toimijoiden infrastruktuurit leikaavat toisiaan ja häiriöt vaikuttavat suoraan toimitusketjujen toimintaan. Keskiöön nousee yksittäisten toimijoiden oma sisäinen kybertilannekuva, tiedon jakaminen ja siitä muodostuva yhteinen kybertilannekuva. Laajassa häiriössä myös viranomaisten toiminnan tunteminen saa tärkeän merkityksen.

Lisähaaste

Laaja häiriötila vaikuttaa palveluntarjoajien resursseihin, eikä kaikkia voida palvella heti.

Tunnelointiohjelman häiriöt

Ohjelmistojen hallinta ja kriittisten ohjelmistojen toiminnan varmistaminen.

Skenaario

Organisaation käyttämässä VPN-ohjelmistossa ilmenee pakotetun päivityksen jälkeen epävakautta tai se ei käynnisty lainkaan. Organisaation toiminnan kannalta kriittiset verkon sisäiset ohjelmistot eivät toimi tai niiden välittävään tietoon ei voi luottaa. Organisaation työntekijöistä muutoinkin yli puolet joutuu päivittäin tekemään töitä etäyhteyden välityksellä.

Soveltaminen

Skenaariossa käsitellään organisaation ohjelmistojen hallintaa ja esimerkiksi päivitysten toimivuuden varmistamista ennen niiden asentamista. Skenaariolla voidaan myös testata, mikä on organisaation kyky palata hallitusti ohjelmistojen hallinnassa aikajanalla taaksepäin.

Lisähaaste

Organisaation tuotantoyksikön henkilöstö ei pysty ohjaamaan etäsijoitettuja tuotantolaitteita turvallisesti, koska VPN-yhteyttä ei saada toimimaan lainkaan.

Merkittävä tietoliikennehäiriö

Kriittisten toimintojen varajärjestelyt ja vaihtoehtoiset toimintatavat resilienssin lisäämiseksi.

Skenaario

Tietoliikennehäiriö estää organisaation työntekijöiden yhteydenpidon organisaation muihin jäseniin organisaation omilla turvalliseksi luokitelluilla viestintävälineillä (sähköposti ja pikaviestimet). Työntekijöillä on myös haasteita käyttää luotettavasti verkkolevyillä tai pilvessä olevia dokumentteja, joka ilmenee muun muassa niin, että kaikki tai osa talletusta tiedosta katoaa.

Soveltaminen

Skenaariossa harjoitellaan organisaatiolla käytössä olevien varajärjestelmien, -ohjelmien ja toimintaprosessien käyttöä. Onko organisaatio luonut kriittisten toimintojen osalta riittävät varajärjestelyt? Miten hoidetaan muun muassa sisäistä viestintää, jos primäärikanavat ovat pois käytössä. Entä dokumentinhallintaa, jos verkkoresurssit eivät ole käytössä.

Lisähaaste

Organisaatio käyttää voip-puhelinjärjestelmää, jotenka työpuhelimien käyttökin on estynyt.