3. ATK-rikoksia 1980-luvun tapaan
Sanomalehden yöpostittaja halusi tehdä vaikutuksen tyttöön ja
näytti, miten lehden tietojärjestelmään pääsee sisään
Käyttäjätunnus A, salasana 1
Toimituksen kiintolevyasema jäi yöksi päälle, ylikuumeni ja melkein tuhoutui
Teekkarit käyttivät roskiksesta löytämänsä käyttäjätunnusta ja
salasanaa moninpelin pelaamiseen
Paperipäätteen käyttäjä oli kirjoittanut LOGIN-käskyn väärin, ja (fysikaalisen kemian
laboratorion) käyttäjätunnus ja salasana olivat kaiuttuneet takaisin
TREK-peli söi opiskelijan keskusyksikköaikakiintiön hetkessä, mutta fyskemlab-
tunnuksella oli rajattomasti keskusyksikköaikaa
Käyttäjätunnus ja salasana levisivät, ja lopulta joku kokeili, mitä kaikkea sillä voi
tehdä, ja murtautui sen avulla myös muihin järjestelmiin…
6. Kyberturvallisuus ei niin uusi asia kuin luullaan
CIA:n väitetään vuonna 1982 peukaloineen Neuvostoliiton Kanadasta salaa
hankkimaa Siperian kaasuputken ohjausjärjestelmää.
Kun järjestelmä otettiin käyttöön, sen väitetään nostaneen painetta putkessa,
kunnes tuloksena oli historian suurin ihmisen aiheuttama ei-ydinräjähdys.
Public Domain U.S. Air Force
7. Mikä ”kyber”
Kyber on johdettu sanasta kybernetiikka, joka tulee kreikan sanasta
κυβερνητικός, joka tarkoittaa taitavaa ohjaajaa tai hallinnnoijaa.
@jyrkikasvi #aaltokyber 7
8. Aiemmin bitit ja atomit olivat erillään
Digitaalinen
maailma
Fyysinen
maailma
@jyrkikasvi #aaltokyber 8
10. Kyber on bittien ja atomien vuorovaikutusta
Digitaalinen
maailma
Fyysinen
maailma
Kyber
@jyrkikasvi #aaltokyber 10
Älyliikenne
IoT
Automaatio
Sensorit
Robotisaatio
Digitaalinen analysoi ja ohjaa (taitavasti) fyysistä
11. Kyber tuo digitaaliset uhat myös fyysiseen maailmaan
Fyysinen
maailma
KyberDigitaalinen
maailma
@jyrkikasvi #aaltokyber 11
Tietoturva
13. Ukraina, 23. joulukuuta 2015
Useiden ukrainalaisten sähköyhtiöiden ohjausjärjestelmät otettiin haltuun
MS Office –dokumenttien makroissa levitetyn haittaohjelman avulla
Noin 230 000 kotitaloutta jäi kuudeksi tunniksi ilman sähköä
Korjaustyöt veivät kuukausia, koska osa laitteistoista jouduttiin vaihtamaan
Hyökkäys oli suunniteltu haittaamaan sähköverkon korjaamista
BlackEnergy3-haittaohjelma mm. esti saastuneiden tietokoneiden
käynnistämisen, mikä hidasti sähkönjakelun käynnistämistä
Kohteena myös sähkönjakelukeskusten varavirtajärjestelmät! Valot
sammuivat myös valvomoista.
Sähköyhtiöiden vikailmoitusnumeroiden puhelinlinjat tukittiin
Hyökkäystä oli valmisteltu vähintään puoli vuotta ennen sen toteuttamista
Vaati erilaisia toimijoita verkkorikollisista tiedusteluviranomaisiin
Iskun arvioidaan voineen olla paljon tuhoisampi
Venäjä kiistää olleensa millään tavalla osallisena
@jyrkikasvi #aaltokyber 13
14. Mikä Ukrainassa meni pieleen?
Sähköyhtiöiden tietojärjestelmien ylläpidosta vastanneet
avasivat tuntemattomista lähteistä MS Office –dokumentteja
Henkilöstön koulutus ja operatiivinen tietoturva pettivät
Sähköverkon ohjausjärjestelmiä ei oltu eristetty kunnolla
Hyökkääjät pääsivät sähköyhtiön tietokoneilta palomuurin läpi
sähköverkon ohjausjärjestelmiin ja katkaisivat virran verkosta
Sähköverkon ohjausjärjestelmien firmware uudelleenohjelmoitiin
niin ettei niitä pystytä enää etäohjaamaan lainkaan
Sähköverkon ohjausjärjestelmä hyväksyi haitallisia komentoja
Järjestelmän suunnittelija ei ollut tullut ajatelleeksi hyökkäystä
Valmistelua ja tiedustelua ei oltu havaittu
Sotaa käyvän maan kriittinen infrastruktuuri on houkutteleva kohde
@jyrkikasvi #aaltokyber 14
15. Myös Suomi kohteena
Lehtitietojen mukaan Stuxnetin ”hyötykuorma” aktivoitui
ainoastaan Siemensin S7-300 -ohjausjärjestelmissä, joilla
ohjattiin korkealla taajuusalueella (807-1210 Hz) toimivia
Fararo Payan (Iran) tai Vaconin (Suomi) taajuusmuuttajia
Siemensin S7-300:lla ohjattuja Fararo Payan taajuusmuuttajia
käytettiin ohjaamaan Iranin Natanzin uraanirikastamon
kaasusentrifugeja
@jyrkikasvi #aaltokyber 15
Siemens S7-300 PLC
16. Arjen uhkakuvia
Infrastruktuuri
Sähkö-, vesi-, tietoliikenneverkot
Ruokalogistiikka
Liikenne
Kulkuneuvojen tieto(liikenne)järjestelmät
Liikenteen ohjausjärjestelmät
Älyliikenne ja -logistiikka
Asuminen
Kodit muuttumassa automaatiojärjestelmiksi
Keho
Verkottunut tekniikka tulossa myös ihon alle
@jyrkikasvi #aaltokyber 16
17. 23.9.2016 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 17
Esimerkiksi nykyautoissa on yli 85 laiteohjainta tai tietokonetta, jotka
kommunikoivat keskenään ja ulkomaailman kanssa.
Heinäkuussa 2015 tutkijat demonstroivat, miten Jeep Cherokee voidaan ottaa
etäohjaukseen Internetin välityksellä. Chrysler joutui kutsumaan 1,4 miljoonaa
autoa ohjelmistopäivitykseen.
Olemme selvinneet tuurilla!
CC Wired / Andy Greenberg
26. Henkilökohtaisia uhkakuvia
Dick Cheneyn tahdistimen wifi
otettiin pois käytöstä
salamurhaajien pelossa.
Insuliinipumppujen tietoturva
on jo murrettu
Elimistöstä antureilla
kerättävän biodatan
tietoturva
Esim. vanhusten
turvarannekkeet, älysängyt ja
-lattiat
@jyrkikasvi #aaltokyber 26
28. Monialaista turvallisuutta
Kyberongelma: Verkkoon liitettyjen automaatio-
järjestelmien tietoturvan on havaittu olevan heikko
Esim. v. 2013, noin 3000 suomalaisen teollisen ja
kiinteistöautomaatiojärjestelmän käyttäjäkontrollissa havaittiin
vakavia puutteita
Esineiden internetissä verkkoon liitetyt sensorit ja
automaatiojärjestelmät arkipäiväistyvät
Edellyttää kattavaa, luottavaa ja käytettävää tietoturvaa
Koti-wlanit asentaneet kuluttajat ottavat seuraavaksi käyttöön
kotitermostaatteja, valvontakameroita, älyikkunoita, …
Kyber/IoT turvallisuuden parantaminen edellyttää mm.
langattoman viestinnän, automaation ja käytettävyyden
osaamista
@jyrkikasvi #aaltokyber 28
29. Lainsäätäjä ristipaineessa
@jyrkikasvi #aaltokyber 29
Turvallisuus
Kansalais-
oikeudet
vapaudet
Lainsäädännön
hitaus
Ristiriitaiset
intressit
Resurssien
riittämättömyys
Tekniikan
kehitys
Tulevaisuuden
ennakointi
30. Esim. Tietoyhteiskuntakaari keskittyy ”merkittävälle
osalle yleisöstä suunnattuun joukkoviestintään”
Entä 17 miljoonan katsojan YouTube-video?
23.9.2016 30
31. Luottamus avainasemassa
@jyrkikasvi #aaltokyber 31
LuottamusTurvallisuus Vapaus
Luottamus on helppo menettää mutta vaikea ansaita takaisin
EPRI-rekisterin ylläpidon epäselvyydet
Toistuvat viranomaisrekistereiden urkinnat
Pakkokeinojen perusteluiden ja valvonnan puutteet
32. Digitaaliset kansalaisoikeudet
Kansalaisoikeudet säädetty suojelemaan
kansalaisia sekä viranomaisilta, yrityksiltä että
toisilta ihmisiltä, myös tietoverkoissa
Yksityisyyden (luottamuksellisen viestin) suoja ja
ilmaisun vapaus
Uutena identiteetin suoja, edellytys palveluiden digitalisaatiolle
Vihapuhe koettelee sananvapauden totuttuja rajoja
Sosiaalinen media on joukkotiedotusväline velvollisuuksineen ja
oikeuksineen … ilman tiedotusopin koulutusta ja kokemusta,
vastuuta kantavaa päätoimittajaa ja mediatalon juristia
Journalistin ohjeet äidinkielen opetusohjelmaan!
23.9.2016 32
33. 23.9.2016 33
Tekijä löydetty ja tuomittu mm. useista
törkeistä kunnianloukkauksista ym.,
mutta sivut ovat verkossa edelleen.
Sosiaalinenmediaeinuku
@jyrkikasvi @tiekery