Informationssäkerhetsöversikt 2/2013
Inledning
Under andra kvartalet behandlade CERT-FI 1002 informationssäkerhetsfall och 55
anmälningar om väsentliga störningar i telenäten. I början av år 2013 var antalet
informationssäkerhetsfall som anmäldes till CERT-FI 1169, medan antalet väsentliga
störningar i telenäten var 34.
700
600
500
400
300
200
Q1
100
Q2
0
Bild 1. Fall som anmäldes till CERT-FI
Ordförråd: Haastattelu = Intervju; Haavoittuvuus tai uhka = Sårbarhet eller hot;
Haittaohjelma= Skadligt program, Neuvonta = Rådgivning; Hyökkäyksen valmistelu =
Beredning av attack; Tietomurto = Dataintrång; Palvelunestohyökkäys =
Blockeringsattack, Muu tietoturvaongelma = Övriga informationssäkerhetsproblem,
Social Engineering.
Ett uppseendeväckande informationssäkerhetsfall som CERT-FI behandlade var
olovligt utnyttjande av Itellas nättjänster med hjälp av lösenord som läckte ut många
år sedan. Fallet var än en gång en bra påminnelse av att man borde använda olika
användarnamn och lösenord för olika nättjänster.
Via Autoreporter fick CERT-FI kännedom om 147 334 smittofall från skadliga program
i Finland under andra kvartalet. Anmälningar kom i genomsnitt från 500 smittade IPadresser varje dag.
Utnyttjande av Java-sårbarheter fortsätter vidare. Situationen är problematisk på
grund av bl.a. att Oracle inte producerar aktuella uppdateringar för sårbarheterna. De
organisationer som använder Java installerar inte heller Java-uppdateringar
regelbundet t.ex. i sina arbetsstationer. Begränsning av JAR-nedladdningar har
avsevärt minskat utnyttjande av Java-sårbarheter.
Informationssäkerhetsöversikt 2/2013
2
Under andra kvartalet har CERT-FI tagit emot mindre kontakter angående skadliga
program med lösenkrav jämfört med slutet av 2012 och början av 2013.
CERT-FI publicerade den 29 maj 2013 en Tietoturva nyt! (Informationssäkerhet nu!)nyhet (på finska: Botnätet CARNA har smittat utrustningar även i Finland) som
hänförde sig till australiensiska AusCERT:s undersökning som väckte omfattande
uppmärksamhet. Med hjälp av botnätet CARNA skannades i undersökningen nätets
öppna terminalutrustningar för bredbandsabonnemang samt digital-tv-mottagare som
är anslutna till internet.
Bland de betydande händelserna under andra kvartalet var det traditionella Tietoturva
nyt!-seminariet som ordnas av Kommunikationsverket och
Försörjningsberedskapscentralen. Seminariet hölls i början av maj på Ständerhuset i
Helsingfors. I seminariet fokuserades denna gång på riktade attacker.
Väsentliga var också diskussionerna om Cybersäkerhetscenter som kommer att
inrättas vid Kommunikationsverket samt GovCert-funktionen. Edward Snowden och
NSA-nätfiskesensationen lyfte i sin tur fram nätfiskefall
Informationssäkerhetsöversikt 2/2013
3
Betydande händelser under perioden
Tietoturva nyt! 2013-seminariet
Kommunikationsverket och Försörjningsberedskapscentralen ordnade Tietoturva nyt!seminariet den 8 maj 2013 på Ständerhuset i Helsingfors. På plats fanns ungefär 250
experter inom informationssäkerhetsbranschen. Det centrala innehållet i Tietoturva
nyt! 2013-seminariet var företagens informationssäkerhet och riktade attacker.
Riktade attacker behandlades omfattande bl.a. i presentationer som hölls av Joe
Stewart från Dell SecureWorks samt Jussi Eronen och Sauli Pahlman från
Kommunikationsverket.
En av talarna var Mark E. Smith som behandlade kritisk infrastruktur, Finlands, EU:s
och USA:s cyberstrategier samt verksamheter i cybersäkerheten. Joe Stewart
berättade i sin tur om riktade attackers funktionsprinciper och presenterade åtgärder
för att upptäcka och förebygga attacker.
Nya PGP-nycklar
CERT-FI förnyade alla sina PGP-nycklar den 12 juni 2013. En orsak till bytet är en
osäker SHA1-hashvärdealgoritm som använts i tidigare nycklar.
Behandling av informatiossäkerhetskränkningar mot
statsförvaltningen effektiveras
Riksdagen godkände den 19 juni 2013 i sin tilläggsbudget utveckling av tjänsterna
GovCERT och GovHAVARO som organisationer inom statsförvaltningen kan använda.
Kommunikationsverket producerar experttjänsten GovCERT som tillhandahålls statliga
organisationer via Statens IT-servicecentral fr.o.m. den 1 augusti 2013. Samarbetet
offentliggjordes med ett avtal som uppdaterats den 15 juli 2013 och som är i kraft
t.o.m. 31 december 2013. Om fortsättningen av avtalet bestäms senare i år.
Med tjänsterna GovCERT avses åtgärder vars syfte är att förebygga, upptäcka och
åtgärda informationssäkerhetskränkningar mot statsförvaltningens informations- och
kommunikationssystem samt organisationer. Till följd av GovCERT-verksamheten är
det möjligt att utnyttja cybersäkerhetscenterns (som inleder sin verksamhet vid
Kommunikationsverket
år
2014)
informationssäkerhetstjänster
inom
hela
statsförvaltningen.
GovHAVARO är en anpassad version av HAVARO för statsförvaltningens behov.
HAVARO är Kommunikationsverkets tjänst som upptäcker och varnar för
informationssäkerhetskräkningar. Det försörjningsberedskapskritiska näringslivet har
använt HAVARO sedan år 2011, och i fortsättningen kommer HAVARO att användas
också för statsförvaltningens behov.
Syftet med tjänsterna GovCERT och GovHAVARO är att förbättra behandling av
informationssäkerhetskränkningar mot statsförvaltningen.
Informationssäkerhetsöversikt 2/2013
4
Cybersäkerhetscenter
Enligt statsrådets Cybersäkerhetsstrategi av den 24 januari 2013 kommer de tjänster
som cybersäkerhetscenter vid Kommunikationsverket tillhandahåller att utvecklas. I
tjänsterna fokuseras i huvudsak på att samla in och förmedla information samt
fastställa och dela en kombinerad lägesbild av cybersäkerheten. Dessutom kommer
verksamheten i samarbetsnätverk att förnyas och utvecklas.
Bild 2. Cybersäkerhetstjänster
Cybersäkerhetstjänster skapar mervärde för branscher på följande sätt:
1.
2.
3.
4.
5.
6.
Genom
Genom
Genom
Genom
Genom
Genom
att
att
att
att
att
att
distribuera analyserad information för branscher
förbättra lägesinformation
stöda branschernas reaktionsförmåga
stöda bildande av branschernas riskanalyser
öka interaktiviteten i nätverk
erbjuda funktionsförmåga dygnet runt i framtiden
Som en helhet vid planering av cybersäkerhetscenters funktioner var workshopar som
ordnades för intressegrupper och samarbetspartner i mitten av september. Syftet med
workshoparna var att lyssna på deltagarnas tankar om Kommunikationsverkets
nuvarande
och
framtida
cybersäkerhetstjänster
och
samarbetsmodeller.
Cybersäkerhetscenter inleder sin verksamhet vid Kommunikationsverket i början av år
2014.
Informationssäkerhetsöversikt 2/2013
5
Nya företeelser
Itella som mål för dataintrång
Itellas nättjänster användes olovligt i april. Användarkonton som hänför sig till Itellas
elektroniska konsumenttjänster var åtkomlig för utomstående till följd av ett
dataintrång flera år sedan. En lista över de användarnamn och lösenord som stals i
samband med intrånget spreds på internet. Samma lösenord som nämndes i listan
hade använts även i andra Itellas tjänster. Itella låste en del av användarnamnen som
säkerhetsåtgärd.
Projektet Internet Census 2012
I projektet Internet Census installerade forskare i informationssäkerhet sin egen
tillämpning i sådana bredbandsmodem och digital-tv-mottagare vars standardlösenord
inte hade bytts ut och som hade anslutits till internet. Botnätet Carna som utgörs av
utrustningar användes för nätlodningar inom projektet Internet Census 2012.
Enligt en rapport gjordes 425 observationer i Finland. CERT-FI fick inte tillgång till de
ip-adresser som hänför sig till observationerna. Därför var det inte möjligt att
förmedla uppgifterna till ägarna till de utrustningar som hade smittats av botnätet.
Konfidentialitet vid elektronisk kommunikation
I början av juni publicerade amerikanska Edward Snowden uppgifter om uppföljning
av elektronisk kommunikation som kränker integritetsskyddet, vilket hänför sig till
USA:s nationella säkerhetsmyndighet NSA (National Security Agency). Då händelserna
började publicerade CERT-FI en Tietoturva nyt!- artikel om användning av
kommunikationstjänster vid elektronisk kommunikation. Diskussion om ämnet
fortsatte i medierna hela sommaren och fortsätter vidare. Fallet väckte intresse för
konfidentialiteten vid kommunikation även i Finland. Detta ledde till att även
Kommunikationsverket tog emot ett stort antal kontakter om ämnet.
Om uppföljning av elektronisk kommunikation som kränker integritetsskyddet har
diskuterats även tidigare. Ett exempel på detta är året 2007 då Sveriges Försvarets
Radioanstalt (FRA) fick rätt att lyssna på all datatrafik som överskrider Sveriges
gränser i syfte att avvärja terrorism och organiserad brottslighet. FRA började
uppfölja nättrafiken år 2009.
Ett stort antal kontakter antyder att det inte är klart för användare av
kommunikationstjänster t.ex. hur konfidentiella uppgifter borde förmedlas via
elektroniska tjänster. En annan sak som också verkar vara oklar för användarna är
hur konfidentiella uppgifter kan skyddas och krypteras. För att höja kunskapen är det
nödvändigt att diskutera om ämnet eftersom praxis varierar märkbart mellan olika
tjänster, deras genomförandesätt och olika länder. Kommunikationsverket kommer
att publicera en uppdaterad anvisning om skyddande av egen kommunikation under
hösten.
Informationssäkerhetsöversikt 2/2013
6
Långvariga företeelser
Riktade attacker upptäcks överallt i världen
I början av april meddelade grupperingen Anonymous att den har tagit del i
blockeringsattacker som riktades mot den israeliska statsförvaltningens webbplatser
och rotnamnservarna för .il-domännamnet. Även israeliska hacktivistgrupper riktade
blockeringsattacker mot Israel-motståndares webbplatser.
Informationssäkerhetsbolaget Kaspersky Lab publicerade mellan april och juni två
rapporter om de riktade attackkampanjerna. En av kampanjerna riktades mot
videospelindustrin då grupperingen Winnti försökte komma åt signaturnycklar som
används för att signera källkod för spel och tillämpningsbinärer som speltillverkare
publicerar. Enligt rapporten var Winntis huvudsakliga syfte att få ekonomisk vinning
samt signaturnycklar för att signera grupperingens egna och andra likadana gruppers
skadliga program.
En annan riktad attackkampanj som Kaspersky rapporterade om gällde det skadliga
spionprogrammet NetTraveler. Programmet har hunnit infektera över 350 betydande
mål bl.a. i Nordamerika, Östeuropa, Asien, Australien och några stater i Centraleuropa
sedan år 2004. Mål för denna riktade APT (Advanced Persistant Threat)-spionkampanj
har varit bl.a. aktivister, företag inom oljeindustrin, forskningsanstalter, aktörer inom
statsförvaltningen, ambassader samt underleverantörer för armén.
Dessutom informerade informationssäkerhetsbolaget Norman om attackkampanjen
Operation Hangover medan Trend Micro rapporterade om en kampanj som heter Safe.
I båda fallen trängde attackerarna in i infrastrukturen för sina mål genom att lura
användarna att öppna en fil eller en webbplats som innehåller en skadlig kod. Syftet
med kampanjerna var att fiska efter uppgifter om sina mål på olika håll i världen
genom att utnyttja ett skadligt program som stjäl uppgifter.
Varje år tar CERT-FI emot flera anmälningar också om riktade attacker mot Finland
och finländska organisationer. Under andra kvartalet har CERT-FI förmedlat ickeoffentliga varningar till målsägare i samband med sex olika fall. Under första kvartalet
utdelades icke-offentliga varningar 11 gånger.
Informationssäkerhetsproblem i vanliga program
Nya sårbarheter upptäcks ständigt i vanliga program, såsom webbläsare och program
som används för att spela nätvideor. Med hjälp av sårbarheter kan datorn t.ex.
infekteras med skadliga program. Det är viktigt att datorns program uppdateras
regelbundet till de senaste versionerna som finns att tillgå.
Webbläsare
Genom att utnyttja sårbarheter i webbläsare och i deras tilläggsdelar kan ett skadligt
program smitta användarens terminal då användaren besöker en smittad webbsida.
Risken för smitta minskar avsevärt om webbläsaren och tilläggsdelarna har
uppdaterats till den senaste versionen.
Informationssäkerhetsöversikt 2/2013
7
Sårbarheterna i webbläsare gäller alla allmänt använda webbläsare. Under
försommaren har CERT-FI publicerat sammanlagt 9 sårbarhetsmeddelanden och
Tietoturva nyt!-nyheter om webbläsarna Google Chrome, Internet Explorer, Mozilla
Firefox, Safari och Opera på flera olika operativsystemplattformer. I januari–mars var
motsvarande siffra 12.
Webbläsartillägg
Nuförtiden uppstår smittofall som sker via webbläsare oftast genom sårbara
webbläsartillägg. De vanligaste webbläsartilläggen är Adobes Flash-Player, Oracles
Java och Adobes Reader. Några webbläsartillägg, t.ex. vissa verktygsfält (toolbar)
installeras automatiskt som en del av en tillämpning medan en del av
webbläsartilläggen är sådana som användaren vanligen installerar själv.
Adobe Flash Player är ett vanligt webbläsartillägg som används globalt. Med hjälp av
Adobe Flash Player kan man bl.a. spela upp Youtube-videor och visa reklamer på
webbplatser. Sårbarheter i Adobes Flash Player utnyttjas aktivt.
Flera sårbarhetsmeddelanden om Oracles Java publicerades också under andra
kvartalet. Sårbarhetsmeddelandena innehöll en Tietoturva Nyt!-nyhet om sårbarheten
0 day. (23.4.2013 Ett informationssäkerhetsbolag berättar om en ny sårbarhet i
Oracles Java) CERT-FI rekommenderar fortfarande inaktivering av Java i datorns
webbläsare, om användningen inte är nödvändig, t.ex. vid användningen av en
nätbank. I sådana fall är det bättre att använda två olika webbläsare, varav endast
den ena har ett Java-tillägg.
Det är lätt att glömma bort uppdateringar av webbläsartillägg, även om användaren
har kommit ihåg att uppdatera operativsystemet och själva webbläsaren. Detta är
förståeligt eftersom uppdateringspraxis för webbläsartillägg är ganska brokiga. En del
av webbläsartilläggen uppdateras i samband med den tillämpning som har installerat
tillägget (t.ex. Java installerar Java-webbläsartillägget), en del uppdateras
automatiskt av webbläsaren och en del ska användaren uppdatera själv genom att
söka den senaste versionen av tillägget. Om den tillämpning som har installerat
tillägget inte uppdateras automatiskt eller automatisk uppdatering är inaktiverad, kan
tillägget uppdateras endast genom att uppdatera tillämpningen.
Utöver nyttotillämpningar erbjuder webbläsarens tilläggsgränssnitt ett lätt sätt att läsa
och bearbeta användarens webbtrafik även för skadliga program. Som exempel kan
nämnas skadliga program i nätbanker som har installerat egna skadliga
webbläsartillägg i ett system som de har infekterat. Under de senaste åren har det
också påträffats några webbläsartillägg eller tilläggsdelar som har uppgjorts endast i
skadligt syfte. I likhet med andra tillämpningar lönar det sig att installera
webbläsartillägg endast från tillförlitliga källor.
Tillägg för publiceringssystem
Huvudsyfte med publiceringssystem är att upprätthålla webbplatser. Kända
sårbarheter hos vanliga publiceringssystem utnyttjas återkommande gånger vid
dataintrång i webbläsare, då avsikten är att t.ex. söka uppmärksamhet genom att
olovligt redigera eller sprida osakligt innehåll på webbplatser.
Informationssäkerhetsöversikt 2/2013
8
CERT-FI har publicerat meddelanden om sårbarheter i publiceringssystem och om
angripna publiceringssystem sedan år 2006. Under försommaren 2013 har CERT-FI
publicerat fyra sårbarhetsmeddelanden om systemen Wordpress och Drupal.
Enligt CERT-FI:s uppgifter utsätts de system vars programvaror inte har uppdaterats
regelbundet eller vars lösenord är i strid med rekommendationer ofta för dataintrång.
Informationssäkerhetsöversikt 2/2013
9
Avvikelser från det allmänna
kommunikationsnätet
Finländarnas kommunikationsnät fungerade väl också i april–juni 2013. Andra
kvartalet lyfte inte heller fram helt nya informationssäkerhetshot som anmäldes till
CERT-FI.
Avvikelser från det allmänna kommunikationsnätet omfattar följande delar:

CERT-FI-händelseanmälningar

Anmälningar om fel och störningar i kommunikationsnäten
CERT-FI-händelseanmälningar
Under april–juni tog CERT-FI emot 12 händelseanmälningar som avses i
Kommunikationsverkets föreskrift 9 (Föreskrift om skyldighet att anmäla kränkningar
av informationssäkerhet i allmän televerksamhet). Syftet med föreskriften är att
definiera innehållet i och förfaringssätt vid de anmälningar som teleföretagen ska ge
in till Kommunikationsverket, om teleföretagets tjänst är utsatt för en betydande
kräkning av eller ett hot mot informationssäkerheten så som avses i 21 § i lagen om
dataskydd vid elektronisk kommunikation.
Händelseanmälningarna gällde i regel dataintrång och blockeringsattacker. CERT-FI
tog emot anmälningar också om sårbarheter som hänför sig till informationssäkerhet.
8
7
6
5
4
3
2
1
0
Tammi-maaliskuu
Huhti-kesäkuu
Bild 3. Händelseanmälningar i enlighet med föreskrift 9 i januari - mars och april - juni
Ordförråd: Tietomurto = Dataintrång; Palvelunestohyökkäys = Blockeringsattack;
Haavoittuvuus tai uhka = Sårbarhet eller hot
Informationssäkerhetsöversikt 2/2013
10
Autoreporter-statistik
Autoreporter är CERT-FI:s tjänst som automatiskt samlar in uppgifter om skadliga
program och kränkningar av informationssäkerhet i finländska nät och rapporterar
dessa till nätadministratörerna. Tjänsten har varit i drift sedan 2006. Den omfattar
alla finländska nätområden.
Statistiken Incidents daily visar anmälningarna, som verktyget Autoreporter behandlar
dagligen, om finländska IP-adresser som har smittats av skadliga program.
Autoreporter behandlar i genomsnitt cirka 500 fall per dag.
Bild 4. Fall som Autoreporter behandlade 1.1–30.6.2013
Antalet fall som Autoreporter behandlade ökade klart i april–maj. Toppen i statistiken
berodde på ett skadligt spambot-program som upptäcktes hos ett enskilt teleföretags
kunder. Orsaken varför det skadliga programmet i fråga förekom i mindre mån hos
andra teleföretag blev inte uppklarad.
Informationssäkerhetsöversikt 2/2013
11
Autoreporter-observationer per kategori
De flesta av de fall som Autoreporter behandlade är smittofall som olika skadliga botprogram har orsakat.
Bild 5. Observationer per kategori juli 2012–juni 2013
Suspected Spambot
Kategorin Suspected spambot visar antalet olika IP-adresser som enligt
observationerna sänder skräppostmeddelanden. I sådana fall finns det anledning att
betvivla att den arbetsstation där IP hänvisar till har infekterats av ett skadligt
program och den används som sändningsplattform för att sända skräppost.
Den betydande tillväxten i antalet spambot-observationer i april–juni berodde på
smittofall hos ett enskilt teleföretags kunder. Orsaken varför fallet inte gällde andra
teleföretags kunder har inte blivit uppklarad.
Bot
Kategorin Bot visar antalet IP-adresser som enligt observationerna har en
arbetsstation infekterats av ett skadligt program. En infekterad arbetsstation ansluts
ofta till det botnät som angriparen administrerar på distans. Sådana botnät används
bl.a. för blockeringsattacker.
Scan
Kategorin Scan beskriver antalet IP-adresser av vilka man har tanklöst gjort
undersökningsarbete för nätet eller det är fråga om ett informationssystem i fel
händer eller en arbetsstation som ett skadligt program har infekterat.
Enligt statistiken undersöker man aktivt nät från finländska IP-adresser.
Informationssäkerhetsöversikt 2/2013
12
Other
Gruppen Other omfattar följande kategorier:
◦ bruteforce: Dataintrångsförsök mot allmänt använda nättjänster har observerats
från IP-adressen. Man försöker systematiskt bryta lösenord till nättjänsterna antingen
genom sporadiska teckensträngar eller genom att pröva ord som finns i ordböcker.
Den arbetsstation som finns på IP-adressen kan ha blivit föremål för ett dataintrång
eller infekterad av ett skadligt program
◦ cc: En arbetsstation som är infekterad av ett skadligt program ansluts ofta på ett
eller annat sätt till det botnät som angriparen administrerar. En administreringsserver
har identifierats på IP-adressen. Servern används för att kommenderas sådana
botnät.
◦ dameware: I gamla DameWare Mini Remote Control-program finns en sårbarhet som
kan utnyttjas på distans. Genom sårbarheten är det möjligt att installera t.ex. ett
skadligt program i arbetsstationen. Potentiellt lyckad utnyttjande av sårbarheten
DameWare har observerats på IP-adressen.
◦ ddos: Observationen listar både de arbetsstationer som deltar i blockeringsattacker
samt föremål som har blivit utsatta för blockeringsattacker.
◦ defacement: En webbplats har klottrats ned på IP-adressen.
◦ dipnet: En nätmask som infekterar Windows-arbetsstationer. Nätmaksen utnyttjar i
sin spridning LSASS-sårbarheten.
◦ fastflux: Ett sätt att gömma kommandoservrar för botnätet, webbplatser som deltar
i bluffverksamheten samt webbplatser som sprider skadliga program. Sättet har
genomförts på namnservernivån. Gömningen fungerar så att namnservern
kontinuerligt returnerar nya IP-adresser till ett visst domännamn. Bakom de
returnerade IP-adresserna finns oftast en infekterad arbetsstation som är en del av
botnätet.
◦ malware: Ett skadligt program har distribuerats på IP-adressen.
◦ malweb: En skadlig webbplats har observerats på IP-adressen. Vanligtvis är det
fråga om en skadlig JavaScript-kod, en iframe-hänvisning eller ett annat skadligt
avsnitt som har inkluderats i webbplatsen.
◦ phishing: En webbplats som deltar i nätfiske har observerats på IP-adressen. Det
handlar oftast om en arbetsstation eller en webbserver som har blivit föremål för ett
dataintrång.
◦ proxy: En arbetsstation eller en server har blivit en öppen proxyserver som
utnyttjas. Utnyttjandet kan synas t.ex. som skickande av skräppost och
kommendering av botnät.
◦ router: Nätets aktiva utrustning har gjorts till en proxyserver som utnyttjas.
Utnyttjandet kan synas på många olika sätt.
Informationssäkerhetsöversikt 2/2013
13
◦ spreaders: Skadliga program har många spridningsmekanismer varav en är
sårbarheter i operativsystemet. Kännetecken på spridningstrafik för ett skadligt
program har observerats på IP-adressen.
◦ worm: Ett spridningsförsök av en nätmask har observerats på IP-adressen.
Nätmaskar sprider sig ofta genom att utnyttja någon sårbarhet i en nättjänst.
Nätmaskar - Conficker
I flesta fallen sprider sig nätmaskar genom sårbarheter i nättjänster. Exempel på
kända nätmaskar är Blaster som blev känd år 2003, Sasser som upptäcktes år 2004
och Conficker som påträffades år 2008. Antalet nätmaskfall har minskat avsevärt
under de senaste åren. Ännu år 2006 rapporterade Autoreporter om omkring 32 000
nätmaskfall i Finland. I januari–juni 2013 observerade Autoreporter drygt 10
nätmaskar. Observationer av det skadliga programmet Conficker ingår inte i dessa
siffror. Att antalet observationer har minskat beror bl.a. på att nuvarande nätmaskar
försöker gömma sig så länge som möjligt. Även termen "nätmask" används mindre än
tidigare.
Conficker representerar dagens vanligaste nätmaskar. Statistiken nedan beskriver de
Conficker-smittofall som Autoreporter har observerat på finländska IP-adresser i
januari–juni 2013.
Bild 6. Observationer av det skadliga programmet Conficker
År 2011 observerade Autoreporter cirka 300 Conficker-smittofall per dag, medan år
2012 var antalet upptäckta fall per dag cirka 200. År 2013 har antalet upptäckta fall
varit cirka under 100 per dag under det första halvåret. Antalet Autoreporterobservationer av det skadliga programmet Conficker har alltså minskat avsevärt.
Informationssäkerhetsöversikt 2/2013
14
Observationer av det skadliga programmet Zeus
Statistiken Zeus daily visar i sin del Autoreporter-observationer av finländska IPadresser som har smittats av det skadliga programmet Zeus.
Bild 7. Observationer av det skadliga programmet Zeus
År 2012 observerade Autoreporter omkring 250 Zeus-smittofall per dag. På basis av
det gångna årets statistiska siffror verkar även dagliga Zeus-smittofall ha minskat
avsevärt.
Informationssäkerhetsöversikt 2/2013
15
Anmälningar om fel och störningar i kommunikationsnäten
Under april–juni tog Kommunikationsverket emot sammanlagt 58 fel- och
störningsanmälningar från teleföretagen. Anmälningarna gjordes i enlighet med
Kommunikationsverkets föreskrift 57.
Omfattande störningar (störningar av klass A) som pågick över 30 minuter och
påverkade konsumenter var Digitas tre radiostörningar i juni, mestadels i
Tammerforsregionen. Verkningar upptäcktes även i Jyväskylä, Kuopio och på Koli.
Digita upptäckte störningarna snabbt och de avhjälptes inom cirka två timmar.
Jämfört med januari–mars var antalet fel av klass A oförändrat. Felen avhjälptes
också inom cirka par timmar, dvs. lika snabbt som i början av året.
Kiinteäverkko (data)
Matkapuhelinverkko
(data)
Matkapuhelinverkko
(puhe)
Kiinteäverkko (puhe)
DVB-C
IP-TV
muut
Muu langaton verkko
Tekstiviestipalvelu
YHTEENSÄ Sähköpostipalvelut
Bild 8. Andelarna anmälda störningshändelser per tjänst
Ordförråd: Kiinteä verkko (data) = Fast nät (data); Matkapuhelinverkko (data) =
Mobilnät (data); Matkapuhelinverkko (puhe) = Mobilnät (tal); Kiinteä verkko (puhe) =
Fast nät (tal); DVB-C; IP-TV; muut = övriga; Muut langaton verkko = Annat trådlöst
nät; Tekstiviestipalvelu = Textmeddelandetjänst; YHTEENSÄ - Sähköpostipalvelut =
SAMMANLAGT - E-posttjänster
Informationssäkerhetsöversikt 2/2013
16
Störningar av klass D år 2012
Kommunikationsverket berättade i sin första delårsrapport för år 2013 om omfattande
statistik över fel och störningar. Statistikuppgifter samlades in från teleföretagen för
första gången. Enkäten gällde uttryckligen störningar med måttlig eller liten
omfattning som påverkade under 1 000 kunder eller minst en kund i mer än en
halvtimme.
Dessa
måttliga
och
småskaliga
störningar
definieras
i
Kommunikationsverkets föreskrift 57 som störningar av klass D. Störningarna anges i
antal på basis av händelser, inte det totala antalet användare.
Sammanlagt anmälde teleföretagen om över 230 000 störningar som gällde tjänster i
mobilnätet, det fasta nätet och masskommunikationsnätet. Räknat i händelser gällde
störningarna mest (60 %) förbindelsetjänster i det fasta nätet.
Nästan 50 % av de anmälda händelserna gällde internetförbindelser i det fasta nätet
(data i det fasta nätet). Enligt anmälningarna gällde sammanlagt cirka 20 % av
störningarna samtals- och internetförbindelsetjänster i mobilnätet. Andelen
taltelefonitjänster i det fasta nätet av händelserna var cirka 10 %. Andelen
masskommunikationstjänster (antenn-, kabel-TV och IPTV) var cirka 10 % och
andelen andra tjänster (t.ex. SMS, MMS, e-post) var cirka 5 % av det totala beloppet.
Man ska beakta att antalen händelser beskriver det totala antalet störningshändelser
men inte antalet kunder som påverkas av störningarna. Problem i de fasta näten kan
koncentrera sig på endast några abonnentförbindelser åt gången, då det totala antalet
störningar är stort men det aktuella antalet användare blir lågt med tanke på en
händelse. Ett enskilt problem i mobilnäten påverkar normalt alla användare inom en
eller flera basstationers område och en enskild händelse kan påverka ett större antal
användare.
Mer än taltelefonitjänster gällde störningarna internets förbindelseproblem både i de
fasta näten och i mobilnäten. Det gäller dock att notera att problem med
samtalstrafiken var lite vanligare i mobilnäten än i trådtelefonnäten, räknat i
händelser. Dessutom finns det i regel mer omfattande störningar i mobilnäten än i de
fasta näten. Störningarna påverkar över 1000 kunder och om störningarna underrätts
Kommunikationsverket då de pågår. I stället anmäldes om problem angående
internetförbindelser i de fasta näten fyrdubbelt mer jämfört med problem i
mobilnäten.
Informationssäkerhetsöversikt 2/2013
17
Laitevika
Konfiguraatiovika
Luonnonilmiö
Ohjelmistovika
Yleisen sähköverkon
katkos
Maanrakennustyöt
Voimalaitejärjestelmä
n vika
Lämpötilaongelma
laitetilassa
Vesivahinko
Bild 9. Bakgrundsorsaker till störningar
Nattetid och naturfenomen fördröjer tid för avhjälpande av fel i
kommunikationsnäten
Orsakerna till störningar beror mycket på komponenten bakom störningarna.
Abonnentförbindelsers
ledningar
och
överföringskablar
påverkas
mest
av
naturfenomen och jordbyggnadsarbeten. Flera teleföretag rapporterar om dessa till
Kommunikationsverket. Av helheten är mest betydande dock fel i utrustningar, som
utgör en tredjedel av de anmälda och klassificerade händelserna, samt fel i
konfigurationer, som utgör ungefär en fjärdedel av händelserna. Dessutom anmäldes
mycket om fel i program.
Informationssäkerhetsöversikt 2/2013
18
100 %
90 %
80 %
70 %
60 %
21 vrk tai yli
50 %
7 vrk - <21 vrk
40 %
2 vrk - <7 vrk
30 %
12 h - <2 vrk
20 %
6 h - <12 h
<6h
10 %
0%
Bild 10. Andelarna tider för avhjälpande av störningar per tjänst
Enligt anmälningarna avhjälps nästan en fjärdedel av störningarna inom de första sex
timmarna från att den har upptäckts. En liten andel av störningarna avhjälps inom 6–
12 timmar. En lång tid för avhjälpande beror ofta på att störningen äger rum nattetid.
Över 60 % av störningarna avhjälps inom två dygn från störningens början. Över 90
% har avhjälpts inom inom en vecka från störningens början. Således pågår under 10
% av störningarna över en vecka.
Informationssäkerhetsöversikt 2/2013
19