[Teema] CERT-päivystäjän saa kiinni, vaikka muu virasto vielä nukkuisi

Muistatko vielä WanaCrypt0rin tai Mirain saastuttamat modeemit? Me muistamme, ja siihen on hyvä syy. Kun kyberturvallisuus horjuu, CERT-päivystäjällämme on kiire. Onneksi apua saa muilta päivystystiimin jäseniltä ja päivystysvuorokin päättyy joskus. Omasta, hieman rauhallisemmasta, päivystysviikostaan kertoo tietoturva-asiantuntijamme Aleksi Tarhonen.

Jos mietit, mitä Kyberturvallisuuskeskuksessa tehdään päivittäin ja millaista on työmme peruskaura, olet oikeassa paikassa. CERT (Computer Emergency Responce Team) -päivystys on toiminut Viestintävirastossa jo parinkymmenen vuoden ajan. Päivystys on toimintamme perusta ja päivystäjä työrukkanen, joka seuraa aktiivisesti kybermaailman tapahtumia ja hoitaa vastaan tulevat akuutit tietoturvatapaukset.

Tietoturva-asiantuntija Aleksi Tarhonen kertoo, miltä päivystäjän perjantaista perjantaihin -rutistus näyttää ja tuntuu.

Herätys ja töihin!

Puhelin lurittaa aamuvärssyn. Hipaisen sen hiljaiseksi. Kerään luurit yöpöydältä mukaani tyytyväisenä siitä, ettei yö katkennut päivystyspuhelimen pirinään. Viime yönä Suomen viestintäverkoissa ja -palveluissa ei ollut ainakaan sellaisia vikoja tai häiriöitä, joista päivystäjään oltaisiin oltu yhteydessä. Aamutoimien jälkeen valmiudessa ollut kone reppuun, työavaimet, virve-puhelin ja muut luurit kantoon ja alakertaan. Aamupala ja dösärille. Bussissa annan ajatusteni kadota hetkeksi korvanapeista tulevaan musiikkiin ja e-kirjan ruutuun.

Työpaikalla tilannekeskus odottaa tyhjänä ja pimeänä. Valot päälle. Ohjausjärjestelmän käynnistä-nappi herättää tilannekeskuksen seinien näytöt eloon: Autoreporter-järjestelmän saamissa haittaohjelmaliikennehavannoissa näkyy omituinen piikki, Mirai-botti pienessä nousussa. MONITORi-palvelun viat ja häiriöt -osiossa ei erityistä, ei suurempia sähkökatkoja, tuuletkin maltillisia.

Seuraavaksi päivystäjän sähköpostilaatikon tsekkaus - yön aikana ei roskapostia kummempaa. Maanantaista torstaihin aamu alkaa viimeistään klo 9:30 aamubriiffillä. Paikalle saapuu yleensä viitisentoista kybertaistelijaa ja muutama etäosallistuja. Tilannekuvakoordinaattori vetää briiffin, jossa ripeästi kerrataan ja kirjataan merkittävät tapaukset, asiakaspalvelun kuulumiset, erityiset HAVARO-havainnot haitalliseksi tunnistetusta tai normaalista poikkeavasta verkkoliikenteestä, Autoreporter-tilastoissa mahdollisesti näkyvät ilmiöt, uudet tunnistetiedot, mahdolliset haavoittuvuudet, tarpeet tehdä julkaisuja ja muut mahdollisesti päivittäiseen toimintaan vaikuttavat asiat.

Rauhallinen viikonloppu

Tällä kertaa viikonloppuun kuului pääsääntöisesti vain varallaoloa, mikä tarkoittaa 24/7 tavoitettavuutta ja valmiudessa oloa. Päivystyksen perustehtävien hoitamiseen riitti parisen tuntia päivässä.

Rauhallisen viikonlopun jälkeen aamubriiffissä käydään läpi vain muutamia ilmoituksia pankkiteemaisista tietojenkalastelusivustoista ja tilausansoista, jotka asiakaspalvelu lupaa hoitaa. Myös Autoreporter-havaintojen Mirai-piikki täytyy ottaa tarkempaan syyniin.

Uutiskoosteeseen tuli viikonloppuna poimittua kiinnostava raportti Ukrainassa 2016 tapahtuneen kyberhyökkäyksen tutkinnasta. Päätetään jakaa uutista vielä erikseen sopiville yhteistyökumppaneille.

... mutta ei aina

Erityisesti myrskyt tai isommat tietoturvatapaukset tarkoittavat sitä, että päivystäjä on enemmän tai vähemmän koko viikonlopun töissä. Eikä viikonloppu ole rauhallinen.

Omalle päivystysvuorolle on osunut aiemmin muun muassa Rauli-myrsky, joka sähköjä katkoessaan sai aikaan laajoja vikoja viestintäverkoissa. Tällaisissa poikkeustilanteissa alamme seurata tilannetta tehostetusti. Päivystäjälle se tarkoittaa työkuorman moninkertaistumista tavalliseen verrattuna, kun tilannetta on kartoitettava ja tapahtumista tiedotettava säännöllisin väliajoin.

Toinen itselle osunut ja pöhinää aiheuttanut tapaus oli Mirai, IoT-bottiverkon välityksellä toteutettu hyökkäys Dyn-palveluntarjoajaa vastaan. Kohteena oli suuri ja kansainvälinen nimipalvelua tarjoava yritys. Hyökkäys vaikeutti monen suositun verkosivuston käyttöä, olihan kohteena internetin toiminnan kannalta keskeinen palvelu.

Tuoreempia päivystäjää liikuttaneista tapauksista tulee mieleen esimerkiksi WanaCrypt0r-kiristyshaittaohjelmatapaus, josta laadittiin myös varoitus.

Mediayhteydenotto ja muuta viestintää

Päivystäjän laatikkoon kolahtaa viestinnästä tieto mediayhteydenotosta: Facebookissa kiertää mato. Kuitataan, että hoidetaan ja kerrataan tilanne ennen soittoa toimittajalle. Asiasta on jo aiemmin tullut muutama kansalaisyhteydenotto ja ainakin yksi media on kirjoittanut aiheesta.

Kyseessä on siis FB-viesti, jossa muka videoon johtava linkki. Todellisuudessa linkki ohjaa Chrome-käyttäjän lopulta sivulle, jolta voi asentaa haitallisen laajennuksen selaimeen. IRC-kanavallakin puhuttiin asiasta. Tämänhetkisten tietojen valossa haitallinen laajennus ei tee muuta kuin välittää samaa viestiä eteenpäin. Soitan toimittajalle ja puhumme tapauksen läpi. Vinkkaan samalla toimittajalle, että julkaisimme aiheesta jo aiemmin lyhyen FB-postauksen.

Joskus somepostaus ei riitä ja tarvitaan nopeasti ilmiön pinnalle nostava Tietoturva nyt! -artikkeli. Tarvittaessa TTN! -artikkelissa voidaan myös pureutua ilmiöön tai tapaukseen ja sen taustoihin pintaa syvemmältä.

Joskus taas twiittauskin esim. #kybersää-hashtagilla varustettuna riittää toistuvasta ilmiöstä muistuttamiseen.

Krooninen tietojenkalastelu

Sähköpostilaatikkoon on tippunut myös muutama ilmoitus pankkiteemaisista tietojenkalastelusivuista. Linkkiä sivuille on levitetty sähköpostiviesteillä. Pikaisella tutkimisella selviää, että sivut ovat vielä toiminnassa, joten on sulkemispyynnön eli abusen aika. Sopivat työkalut ja skriptit oikeilla vivuilla komennettuna löytävät tarvittavat tiedot ja luotu viesti saadaan murretun palvelimen ylläpitäjälle. Tällä kertaa ylläpito vastaa nopeasti ja kuittaa sivuston suljetuksi. Yksi myyrä on taas kopautettu alas, mutta uusia nousee varmasti lähitulevaisuudessa pinnalle.

Viikonloppu eessä taas

Perjantai! Kertaan aamulla vielä viikon tapauksia ja uutisia. Vedän aamun päivystäjänvaihtopalaverin, jossa käydään läpi kulunut viikko. Palaverin jälkeen päivystysluuri siirtyy tuoreelle vuoronsa aloittavalle päivystäjälle.

Vielä videoneuvotteluna viikkopalaveri yhteistyöryhmän kanssa, sen jälkeen omat kamat kantoon, ja siirryn tilannekeskuksesta omalle työpisteelle. Hyvä fiilis tehdystä työstä aina hieman raskaan päivystysviikon jälkeen alkaa nostaa päätään. Nyt on seuraavan päivystäjän vuoro istua lauteilla. Oma viikonloppu menee työasioiden suhteen offline-moodissa. Kohti seuraavaa kertaa!


Kirjoitus avaa syksyn Teema-sarjan. Elokuun loppuviikoilla tutustutaan toimintaamme ja palveluihimme - nyt CERT-päivystäjän ja seuraavaksi tilannekuvakoordinaattorin silmin.

Päivityshistoria

Asiasanat: Tietoturva , CERT , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248