Informationssäkerhetsöversikt 2/2013 Inledning Under andra kvartalet behandlade CERT-FI 1002 informationssäkerhetsfall och 55 anmälningar om väsentliga störningar i telenäten. I början av år 2013 var antalet informationssäkerhetsfall som anmäldes till CERT-FI 1169, medan antalet väsentliga störningar i telenäten var 34. 700 600 500 400 300 200 Q1 100 Q2 0 Bild 1. Fall som anmäldes till CERT-FI Ordförråd: Haastattelu = Intervju; Haavoittuvuus tai uhka = Sårbarhet eller hot; Haittaohjelma= Skadligt program, Neuvonta = Rådgivning; Hyökkäyksen valmistelu = Beredning av attack; Tietomurto = Dataintrång; Palvelunestohyökkäys = Blockeringsattack, Muu tietoturvaongelma = Övriga informationssäkerhetsproblem, Social Engineering. Ett uppseendeväckande informationssäkerhetsfall som CERT-FI behandlade var olovligt utnyttjande av Itellas nättjänster med hjälp av lösenord som läckte ut många år sedan. Fallet var än en gång en bra påminnelse av att man borde använda olika användarnamn och lösenord för olika nättjänster. Via Autoreporter fick CERT-FI kännedom om 147 334 smittofall från skadliga program i Finland under andra kvartalet. Anmälningar kom i genomsnitt från 500 smittade IPadresser varje dag. Utnyttjande av Java-sårbarheter fortsätter vidare. Situationen är problematisk på grund av bl.a. att Oracle inte producerar aktuella uppdateringar för sårbarheterna. De organisationer som använder Java installerar inte heller Java-uppdateringar regelbundet t.ex. i sina arbetsstationer. Begränsning av JAR-nedladdningar har avsevärt minskat utnyttjande av Java-sårbarheter. Informationssäkerhetsöversikt 2/2013 2 Under andra kvartalet har CERT-FI tagit emot mindre kontakter angående skadliga program med lösenkrav jämfört med slutet av 2012 och början av 2013. CERT-FI publicerade den 29 maj 2013 en Tietoturva nyt! (Informationssäkerhet nu!)nyhet (på finska: Botnätet CARNA har smittat utrustningar även i Finland) som hänförde sig till australiensiska AusCERT:s undersökning som väckte omfattande uppmärksamhet. Med hjälp av botnätet CARNA skannades i undersökningen nätets öppna terminalutrustningar för bredbandsabonnemang samt digital-tv-mottagare som är anslutna till internet. Bland de betydande händelserna under andra kvartalet var det traditionella Tietoturva nyt!-seminariet som ordnas av Kommunikationsverket och Försörjningsberedskapscentralen. Seminariet hölls i början av maj på Ständerhuset i Helsingfors. I seminariet fokuserades denna gång på riktade attacker. Väsentliga var också diskussionerna om Cybersäkerhetscenter som kommer att inrättas vid Kommunikationsverket samt GovCert-funktionen. Edward Snowden och NSA-nätfiskesensationen lyfte i sin tur fram nätfiskefall Informationssäkerhetsöversikt 2/2013 3 Betydande händelser under perioden Tietoturva nyt! 2013-seminariet Kommunikationsverket och Försörjningsberedskapscentralen ordnade Tietoturva nyt!seminariet den 8 maj 2013 på Ständerhuset i Helsingfors. På plats fanns ungefär 250 experter inom informationssäkerhetsbranschen. Det centrala innehållet i Tietoturva nyt! 2013-seminariet var företagens informationssäkerhet och riktade attacker. Riktade attacker behandlades omfattande bl.a. i presentationer som hölls av Joe Stewart från Dell SecureWorks samt Jussi Eronen och Sauli Pahlman från Kommunikationsverket. En av talarna var Mark E. Smith som behandlade kritisk infrastruktur, Finlands, EU:s och USA:s cyberstrategier samt verksamheter i cybersäkerheten. Joe Stewart berättade i sin tur om riktade attackers funktionsprinciper och presenterade åtgärder för att upptäcka och förebygga attacker. Nya PGP-nycklar CERT-FI förnyade alla sina PGP-nycklar den 12 juni 2013. En orsak till bytet är en osäker SHA1-hashvärdealgoritm som använts i tidigare nycklar. Behandling av informatiossäkerhetskränkningar mot statsförvaltningen effektiveras Riksdagen godkände den 19 juni 2013 i sin tilläggsbudget utveckling av tjänsterna GovCERT och GovHAVARO som organisationer inom statsförvaltningen kan använda. Kommunikationsverket producerar experttjänsten GovCERT som tillhandahålls statliga organisationer via Statens IT-servicecentral fr.o.m. den 1 augusti 2013. Samarbetet offentliggjordes med ett avtal som uppdaterats den 15 juli 2013 och som är i kraft t.o.m. 31 december 2013. Om fortsättningen av avtalet bestäms senare i år. Med tjänsterna GovCERT avses åtgärder vars syfte är att förebygga, upptäcka och åtgärda informationssäkerhetskränkningar mot statsförvaltningens informations- och kommunikationssystem samt organisationer. Till följd av GovCERT-verksamheten är det möjligt att utnyttja cybersäkerhetscenterns (som inleder sin verksamhet vid Kommunikationsverket år 2014) informationssäkerhetstjänster inom hela statsförvaltningen. GovHAVARO är en anpassad version av HAVARO för statsförvaltningens behov. HAVARO är Kommunikationsverkets tjänst som upptäcker och varnar för informationssäkerhetskräkningar. Det försörjningsberedskapskritiska näringslivet har använt HAVARO sedan år 2011, och i fortsättningen kommer HAVARO att användas också för statsförvaltningens behov. Syftet med tjänsterna GovCERT och GovHAVARO är att förbättra behandling av informationssäkerhetskränkningar mot statsförvaltningen. Informationssäkerhetsöversikt 2/2013 4 Cybersäkerhetscenter Enligt statsrådets Cybersäkerhetsstrategi av den 24 januari 2013 kommer de tjänster som cybersäkerhetscenter vid Kommunikationsverket tillhandahåller att utvecklas. I tjänsterna fokuseras i huvudsak på att samla in och förmedla information samt fastställa och dela en kombinerad lägesbild av cybersäkerheten. Dessutom kommer verksamheten i samarbetsnätverk att förnyas och utvecklas. Bild 2. Cybersäkerhetstjänster Cybersäkerhetstjänster skapar mervärde för branscher på följande sätt: 1. 2. 3. 4. 5. 6. Genom Genom Genom Genom Genom Genom att att att att att att distribuera analyserad information för branscher förbättra lägesinformation stöda branschernas reaktionsförmåga stöda bildande av branschernas riskanalyser öka interaktiviteten i nätverk erbjuda funktionsförmåga dygnet runt i framtiden Som en helhet vid planering av cybersäkerhetscenters funktioner var workshopar som ordnades för intressegrupper och samarbetspartner i mitten av september. Syftet med workshoparna var att lyssna på deltagarnas tankar om Kommunikationsverkets nuvarande och framtida cybersäkerhetstjänster och samarbetsmodeller. Cybersäkerhetscenter inleder sin verksamhet vid Kommunikationsverket i början av år 2014. Informationssäkerhetsöversikt 2/2013 5 Nya företeelser Itella som mål för dataintrång Itellas nättjänster användes olovligt i april. Användarkonton som hänför sig till Itellas elektroniska konsumenttjänster var åtkomlig för utomstående till följd av ett dataintrång flera år sedan. En lista över de användarnamn och lösenord som stals i samband med intrånget spreds på internet. Samma lösenord som nämndes i listan hade använts även i andra Itellas tjänster. Itella låste en del av användarnamnen som säkerhetsåtgärd. Projektet Internet Census 2012 I projektet Internet Census installerade forskare i informationssäkerhet sin egen tillämpning i sådana bredbandsmodem och digital-tv-mottagare vars standardlösenord inte hade bytts ut och som hade anslutits till internet. Botnätet Carna som utgörs av utrustningar användes för nätlodningar inom projektet Internet Census 2012. Enligt en rapport gjordes 425 observationer i Finland. CERT-FI fick inte tillgång till de ip-adresser som hänför sig till observationerna. Därför var det inte möjligt att förmedla uppgifterna till ägarna till de utrustningar som hade smittats av botnätet. Konfidentialitet vid elektronisk kommunikation I början av juni publicerade amerikanska Edward Snowden uppgifter om uppföljning av elektronisk kommunikation som kränker integritetsskyddet, vilket hänför sig till USA:s nationella säkerhetsmyndighet NSA (National Security Agency). Då händelserna började publicerade CERT-FI en Tietoturva nyt!- artikel om användning av kommunikationstjänster vid elektronisk kommunikation. Diskussion om ämnet fortsatte i medierna hela sommaren och fortsätter vidare. Fallet väckte intresse för konfidentialiteten vid kommunikation även i Finland. Detta ledde till att även Kommunikationsverket tog emot ett stort antal kontakter om ämnet. Om uppföljning av elektronisk kommunikation som kränker integritetsskyddet har diskuterats även tidigare. Ett exempel på detta är året 2007 då Sveriges Försvarets Radioanstalt (FRA) fick rätt att lyssna på all datatrafik som överskrider Sveriges gränser i syfte att avvärja terrorism och organiserad brottslighet. FRA började uppfölja nättrafiken år 2009. Ett stort antal kontakter antyder att det inte är klart för användare av kommunikationstjänster t.ex. hur konfidentiella uppgifter borde förmedlas via elektroniska tjänster. En annan sak som också verkar vara oklar för användarna är hur konfidentiella uppgifter kan skyddas och krypteras. För att höja kunskapen är det nödvändigt att diskutera om ämnet eftersom praxis varierar märkbart mellan olika tjänster, deras genomförandesätt och olika länder. Kommunikationsverket kommer att publicera en uppdaterad anvisning om skyddande av egen kommunikation under hösten. Informationssäkerhetsöversikt 2/2013 6 Långvariga företeelser Riktade attacker upptäcks överallt i världen I början av april meddelade grupperingen Anonymous att den har tagit del i blockeringsattacker som riktades mot den israeliska statsförvaltningens webbplatser och rotnamnservarna för .il-domännamnet. Även israeliska hacktivistgrupper riktade blockeringsattacker mot Israel-motståndares webbplatser. Informationssäkerhetsbolaget Kaspersky Lab publicerade mellan april och juni två rapporter om de riktade attackkampanjerna. En av kampanjerna riktades mot videospelindustrin då grupperingen Winnti försökte komma åt signaturnycklar som används för att signera källkod för spel och tillämpningsbinärer som speltillverkare publicerar. Enligt rapporten var Winntis huvudsakliga syfte att få ekonomisk vinning samt signaturnycklar för att signera grupperingens egna och andra likadana gruppers skadliga program. En annan riktad attackkampanj som Kaspersky rapporterade om gällde det skadliga spionprogrammet NetTraveler. Programmet har hunnit infektera över 350 betydande mål bl.a. i Nordamerika, Östeuropa, Asien, Australien och några stater i Centraleuropa sedan år 2004. Mål för denna riktade APT (Advanced Persistant Threat)-spionkampanj har varit bl.a. aktivister, företag inom oljeindustrin, forskningsanstalter, aktörer inom statsförvaltningen, ambassader samt underleverantörer för armén. Dessutom informerade informationssäkerhetsbolaget Norman om attackkampanjen Operation Hangover medan Trend Micro rapporterade om en kampanj som heter Safe. I båda fallen trängde attackerarna in i infrastrukturen för sina mål genom att lura användarna att öppna en fil eller en webbplats som innehåller en skadlig kod. Syftet med kampanjerna var att fiska efter uppgifter om sina mål på olika håll i världen genom att utnyttja ett skadligt program som stjäl uppgifter. Varje år tar CERT-FI emot flera anmälningar också om riktade attacker mot Finland och finländska organisationer. Under andra kvartalet har CERT-FI förmedlat ickeoffentliga varningar till målsägare i samband med sex olika fall. Under första kvartalet utdelades icke-offentliga varningar 11 gånger. Informationssäkerhetsproblem i vanliga program Nya sårbarheter upptäcks ständigt i vanliga program, såsom webbläsare och program som används för att spela nätvideor. Med hjälp av sårbarheter kan datorn t.ex. infekteras med skadliga program. Det är viktigt att datorns program uppdateras regelbundet till de senaste versionerna som finns att tillgå. Webbläsare Genom att utnyttja sårbarheter i webbläsare och i deras tilläggsdelar kan ett skadligt program smitta användarens terminal då användaren besöker en smittad webbsida. Risken för smitta minskar avsevärt om webbläsaren och tilläggsdelarna har uppdaterats till den senaste versionen. Informationssäkerhetsöversikt 2/2013 7 Sårbarheterna i webbläsare gäller alla allmänt använda webbläsare. Under försommaren har CERT-FI publicerat sammanlagt 9 sårbarhetsmeddelanden och Tietoturva nyt!-nyheter om webbläsarna Google Chrome, Internet Explorer, Mozilla Firefox, Safari och Opera på flera olika operativsystemplattformer. I januari–mars var motsvarande siffra 12. Webbläsartillägg Nuförtiden uppstår smittofall som sker via webbläsare oftast genom sårbara webbläsartillägg. De vanligaste webbläsartilläggen är Adobes Flash-Player, Oracles Java och Adobes Reader. Några webbläsartillägg, t.ex. vissa verktygsfält (toolbar) installeras automatiskt som en del av en tillämpning medan en del av webbläsartilläggen är sådana som användaren vanligen installerar själv. Adobe Flash Player är ett vanligt webbläsartillägg som används globalt. Med hjälp av Adobe Flash Player kan man bl.a. spela upp Youtube-videor och visa reklamer på webbplatser. Sårbarheter i Adobes Flash Player utnyttjas aktivt. Flera sårbarhetsmeddelanden om Oracles Java publicerades också under andra kvartalet. Sårbarhetsmeddelandena innehöll en Tietoturva Nyt!-nyhet om sårbarheten 0 day. (23.4.2013 Ett informationssäkerhetsbolag berättar om en ny sårbarhet i Oracles Java) CERT-FI rekommenderar fortfarande inaktivering av Java i datorns webbläsare, om användningen inte är nödvändig, t.ex. vid användningen av en nätbank. I sådana fall är det bättre att använda två olika webbläsare, varav endast den ena har ett Java-tillägg. Det är lätt att glömma bort uppdateringar av webbläsartillägg, även om användaren har kommit ihåg att uppdatera operativsystemet och själva webbläsaren. Detta är förståeligt eftersom uppdateringspraxis för webbläsartillägg är ganska brokiga. En del av webbläsartilläggen uppdateras i samband med den tillämpning som har installerat tillägget (t.ex. Java installerar Java-webbläsartillägget), en del uppdateras automatiskt av webbläsaren och en del ska användaren uppdatera själv genom att söka den senaste versionen av tillägget. Om den tillämpning som har installerat tillägget inte uppdateras automatiskt eller automatisk uppdatering är inaktiverad, kan tillägget uppdateras endast genom att uppdatera tillämpningen. Utöver nyttotillämpningar erbjuder webbläsarens tilläggsgränssnitt ett lätt sätt att läsa och bearbeta användarens webbtrafik även för skadliga program. Som exempel kan nämnas skadliga program i nätbanker som har installerat egna skadliga webbläsartillägg i ett system som de har infekterat. Under de senaste åren har det också påträffats några webbläsartillägg eller tilläggsdelar som har uppgjorts endast i skadligt syfte. I likhet med andra tillämpningar lönar det sig att installera webbläsartillägg endast från tillförlitliga källor. Tillägg för publiceringssystem Huvudsyfte med publiceringssystem är att upprätthålla webbplatser. Kända sårbarheter hos vanliga publiceringssystem utnyttjas återkommande gånger vid dataintrång i webbläsare, då avsikten är att t.ex. söka uppmärksamhet genom att olovligt redigera eller sprida osakligt innehåll på webbplatser. Informationssäkerhetsöversikt 2/2013 8 CERT-FI har publicerat meddelanden om sårbarheter i publiceringssystem och om angripna publiceringssystem sedan år 2006. Under försommaren 2013 har CERT-FI publicerat fyra sårbarhetsmeddelanden om systemen Wordpress och Drupal. Enligt CERT-FI:s uppgifter utsätts de system vars programvaror inte har uppdaterats regelbundet eller vars lösenord är i strid med rekommendationer ofta för dataintrång. Informationssäkerhetsöversikt 2/2013 9 Avvikelser från det allmänna kommunikationsnätet Finländarnas kommunikationsnät fungerade väl också i april–juni 2013. Andra kvartalet lyfte inte heller fram helt nya informationssäkerhetshot som anmäldes till CERT-FI. Avvikelser från det allmänna kommunikationsnätet omfattar följande delar: CERT-FI-händelseanmälningar Anmälningar om fel och störningar i kommunikationsnäten CERT-FI-händelseanmälningar Under april–juni tog CERT-FI emot 12 händelseanmälningar som avses i Kommunikationsverkets föreskrift 9 (Föreskrift om skyldighet att anmäla kränkningar av informationssäkerhet i allmän televerksamhet). Syftet med föreskriften är att definiera innehållet i och förfaringssätt vid de anmälningar som teleföretagen ska ge in till Kommunikationsverket, om teleföretagets tjänst är utsatt för en betydande kräkning av eller ett hot mot informationssäkerheten så som avses i 21 § i lagen om dataskydd vid elektronisk kommunikation. Händelseanmälningarna gällde i regel dataintrång och blockeringsattacker. CERT-FI tog emot anmälningar också om sårbarheter som hänför sig till informationssäkerhet. 8 7 6 5 4 3 2 1 0 Tammi-maaliskuu Huhti-kesäkuu Bild 3. Händelseanmälningar i enlighet med föreskrift 9 i januari - mars och april - juni Ordförråd: Tietomurto = Dataintrång; Palvelunestohyökkäys = Blockeringsattack; Haavoittuvuus tai uhka = Sårbarhet eller hot Informationssäkerhetsöversikt 2/2013 10 Autoreporter-statistik Autoreporter är CERT-FI:s tjänst som automatiskt samlar in uppgifter om skadliga program och kränkningar av informationssäkerhet i finländska nät och rapporterar dessa till nätadministratörerna. Tjänsten har varit i drift sedan 2006. Den omfattar alla finländska nätområden. Statistiken Incidents daily visar anmälningarna, som verktyget Autoreporter behandlar dagligen, om finländska IP-adresser som har smittats av skadliga program. Autoreporter behandlar i genomsnitt cirka 500 fall per dag. Bild 4. Fall som Autoreporter behandlade 1.1–30.6.2013 Antalet fall som Autoreporter behandlade ökade klart i april–maj. Toppen i statistiken berodde på ett skadligt spambot-program som upptäcktes hos ett enskilt teleföretags kunder. Orsaken varför det skadliga programmet i fråga förekom i mindre mån hos andra teleföretag blev inte uppklarad. Informationssäkerhetsöversikt 2/2013 11 Autoreporter-observationer per kategori De flesta av de fall som Autoreporter behandlade är smittofall som olika skadliga botprogram har orsakat. Bild 5. Observationer per kategori juli 2012–juni 2013 Suspected Spambot Kategorin Suspected spambot visar antalet olika IP-adresser som enligt observationerna sänder skräppostmeddelanden. I sådana fall finns det anledning att betvivla att den arbetsstation där IP hänvisar till har infekterats av ett skadligt program och den används som sändningsplattform för att sända skräppost. Den betydande tillväxten i antalet spambot-observationer i april–juni berodde på smittofall hos ett enskilt teleföretags kunder. Orsaken varför fallet inte gällde andra teleföretags kunder har inte blivit uppklarad. Bot Kategorin Bot visar antalet IP-adresser som enligt observationerna har en arbetsstation infekterats av ett skadligt program. En infekterad arbetsstation ansluts ofta till det botnät som angriparen administrerar på distans. Sådana botnät används bl.a. för blockeringsattacker. Scan Kategorin Scan beskriver antalet IP-adresser av vilka man har tanklöst gjort undersökningsarbete för nätet eller det är fråga om ett informationssystem i fel händer eller en arbetsstation som ett skadligt program har infekterat. Enligt statistiken undersöker man aktivt nät från finländska IP-adresser. Informationssäkerhetsöversikt 2/2013 12 Other Gruppen Other omfattar följande kategorier: ◦ bruteforce: Dataintrångsförsök mot allmänt använda nättjänster har observerats från IP-adressen. Man försöker systematiskt bryta lösenord till nättjänsterna antingen genom sporadiska teckensträngar eller genom att pröva ord som finns i ordböcker. Den arbetsstation som finns på IP-adressen kan ha blivit föremål för ett dataintrång eller infekterad av ett skadligt program ◦ cc: En arbetsstation som är infekterad av ett skadligt program ansluts ofta på ett eller annat sätt till det botnät som angriparen administrerar. En administreringsserver har identifierats på IP-adressen. Servern används för att kommenderas sådana botnät. ◦ dameware: I gamla DameWare Mini Remote Control-program finns en sårbarhet som kan utnyttjas på distans. Genom sårbarheten är det möjligt att installera t.ex. ett skadligt program i arbetsstationen. Potentiellt lyckad utnyttjande av sårbarheten DameWare har observerats på IP-adressen. ◦ ddos: Observationen listar både de arbetsstationer som deltar i blockeringsattacker samt föremål som har blivit utsatta för blockeringsattacker. ◦ defacement: En webbplats har klottrats ned på IP-adressen. ◦ dipnet: En nätmask som infekterar Windows-arbetsstationer. Nätmaksen utnyttjar i sin spridning LSASS-sårbarheten. ◦ fastflux: Ett sätt att gömma kommandoservrar för botnätet, webbplatser som deltar i bluffverksamheten samt webbplatser som sprider skadliga program. Sättet har genomförts på namnservernivån. Gömningen fungerar så att namnservern kontinuerligt returnerar nya IP-adresser till ett visst domännamn. Bakom de returnerade IP-adresserna finns oftast en infekterad arbetsstation som är en del av botnätet. ◦ malware: Ett skadligt program har distribuerats på IP-adressen. ◦ malweb: En skadlig webbplats har observerats på IP-adressen. Vanligtvis är det fråga om en skadlig JavaScript-kod, en iframe-hänvisning eller ett annat skadligt avsnitt som har inkluderats i webbplatsen. ◦ phishing: En webbplats som deltar i nätfiske har observerats på IP-adressen. Det handlar oftast om en arbetsstation eller en webbserver som har blivit föremål för ett dataintrång. ◦ proxy: En arbetsstation eller en server har blivit en öppen proxyserver som utnyttjas. Utnyttjandet kan synas t.ex. som skickande av skräppost och kommendering av botnät. ◦ router: Nätets aktiva utrustning har gjorts till en proxyserver som utnyttjas. Utnyttjandet kan synas på många olika sätt. Informationssäkerhetsöversikt 2/2013 13 ◦ spreaders: Skadliga program har många spridningsmekanismer varav en är sårbarheter i operativsystemet. Kännetecken på spridningstrafik för ett skadligt program har observerats på IP-adressen. ◦ worm: Ett spridningsförsök av en nätmask har observerats på IP-adressen. Nätmaskar sprider sig ofta genom att utnyttja någon sårbarhet i en nättjänst. Nätmaskar - Conficker I flesta fallen sprider sig nätmaskar genom sårbarheter i nättjänster. Exempel på kända nätmaskar är Blaster som blev känd år 2003, Sasser som upptäcktes år 2004 och Conficker som påträffades år 2008. Antalet nätmaskfall har minskat avsevärt under de senaste åren. Ännu år 2006 rapporterade Autoreporter om omkring 32 000 nätmaskfall i Finland. I januari–juni 2013 observerade Autoreporter drygt 10 nätmaskar. Observationer av det skadliga programmet Conficker ingår inte i dessa siffror. Att antalet observationer har minskat beror bl.a. på att nuvarande nätmaskar försöker gömma sig så länge som möjligt. Även termen "nätmask" används mindre än tidigare. Conficker representerar dagens vanligaste nätmaskar. Statistiken nedan beskriver de Conficker-smittofall som Autoreporter har observerat på finländska IP-adresser i januari–juni 2013. Bild 6. Observationer av det skadliga programmet Conficker År 2011 observerade Autoreporter cirka 300 Conficker-smittofall per dag, medan år 2012 var antalet upptäckta fall per dag cirka 200. År 2013 har antalet upptäckta fall varit cirka under 100 per dag under det första halvåret. Antalet Autoreporterobservationer av det skadliga programmet Conficker har alltså minskat avsevärt. Informationssäkerhetsöversikt 2/2013 14 Observationer av det skadliga programmet Zeus Statistiken Zeus daily visar i sin del Autoreporter-observationer av finländska IPadresser som har smittats av det skadliga programmet Zeus. Bild 7. Observationer av det skadliga programmet Zeus År 2012 observerade Autoreporter omkring 250 Zeus-smittofall per dag. På basis av det gångna årets statistiska siffror verkar även dagliga Zeus-smittofall ha minskat avsevärt. Informationssäkerhetsöversikt 2/2013 15 Anmälningar om fel och störningar i kommunikationsnäten Under april–juni tog Kommunikationsverket emot sammanlagt 58 fel- och störningsanmälningar från teleföretagen. Anmälningarna gjordes i enlighet med Kommunikationsverkets föreskrift 57. Omfattande störningar (störningar av klass A) som pågick över 30 minuter och påverkade konsumenter var Digitas tre radiostörningar i juni, mestadels i Tammerforsregionen. Verkningar upptäcktes även i Jyväskylä, Kuopio och på Koli. Digita upptäckte störningarna snabbt och de avhjälptes inom cirka två timmar. Jämfört med januari–mars var antalet fel av klass A oförändrat. Felen avhjälptes också inom cirka par timmar, dvs. lika snabbt som i början av året. Kiinteäverkko (data) Matkapuhelinverkko (data) Matkapuhelinverkko (puhe) Kiinteäverkko (puhe) DVB-C IP-TV muut Muu langaton verkko Tekstiviestipalvelu YHTEENSÄ Sähköpostipalvelut Bild 8. Andelarna anmälda störningshändelser per tjänst Ordförråd: Kiinteä verkko (data) = Fast nät (data); Matkapuhelinverkko (data) = Mobilnät (data); Matkapuhelinverkko (puhe) = Mobilnät (tal); Kiinteä verkko (puhe) = Fast nät (tal); DVB-C; IP-TV; muut = övriga; Muut langaton verkko = Annat trådlöst nät; Tekstiviestipalvelu = Textmeddelandetjänst; YHTEENSÄ - Sähköpostipalvelut = SAMMANLAGT - E-posttjänster Informationssäkerhetsöversikt 2/2013 16 Störningar av klass D år 2012 Kommunikationsverket berättade i sin första delårsrapport för år 2013 om omfattande statistik över fel och störningar. Statistikuppgifter samlades in från teleföretagen för första gången. Enkäten gällde uttryckligen störningar med måttlig eller liten omfattning som påverkade under 1 000 kunder eller minst en kund i mer än en halvtimme. Dessa måttliga och småskaliga störningar definieras i Kommunikationsverkets föreskrift 57 som störningar av klass D. Störningarna anges i antal på basis av händelser, inte det totala antalet användare. Sammanlagt anmälde teleföretagen om över 230 000 störningar som gällde tjänster i mobilnätet, det fasta nätet och masskommunikationsnätet. Räknat i händelser gällde störningarna mest (60 %) förbindelsetjänster i det fasta nätet. Nästan 50 % av de anmälda händelserna gällde internetförbindelser i det fasta nätet (data i det fasta nätet). Enligt anmälningarna gällde sammanlagt cirka 20 % av störningarna samtals- och internetförbindelsetjänster i mobilnätet. Andelen taltelefonitjänster i det fasta nätet av händelserna var cirka 10 %. Andelen masskommunikationstjänster (antenn-, kabel-TV och IPTV) var cirka 10 % och andelen andra tjänster (t.ex. SMS, MMS, e-post) var cirka 5 % av det totala beloppet. Man ska beakta att antalen händelser beskriver det totala antalet störningshändelser men inte antalet kunder som påverkas av störningarna. Problem i de fasta näten kan koncentrera sig på endast några abonnentförbindelser åt gången, då det totala antalet störningar är stort men det aktuella antalet användare blir lågt med tanke på en händelse. Ett enskilt problem i mobilnäten påverkar normalt alla användare inom en eller flera basstationers område och en enskild händelse kan påverka ett större antal användare. Mer än taltelefonitjänster gällde störningarna internets förbindelseproblem både i de fasta näten och i mobilnäten. Det gäller dock att notera att problem med samtalstrafiken var lite vanligare i mobilnäten än i trådtelefonnäten, räknat i händelser. Dessutom finns det i regel mer omfattande störningar i mobilnäten än i de fasta näten. Störningarna påverkar över 1000 kunder och om störningarna underrätts Kommunikationsverket då de pågår. I stället anmäldes om problem angående internetförbindelser i de fasta näten fyrdubbelt mer jämfört med problem i mobilnäten. Informationssäkerhetsöversikt 2/2013 17 Laitevika Konfiguraatiovika Luonnonilmiö Ohjelmistovika Yleisen sähköverkon katkos Maanrakennustyöt Voimalaitejärjestelmä n vika Lämpötilaongelma laitetilassa Vesivahinko Bild 9. Bakgrundsorsaker till störningar Nattetid och naturfenomen fördröjer tid för avhjälpande av fel i kommunikationsnäten Orsakerna till störningar beror mycket på komponenten bakom störningarna. Abonnentförbindelsers ledningar och överföringskablar påverkas mest av naturfenomen och jordbyggnadsarbeten. Flera teleföretag rapporterar om dessa till Kommunikationsverket. Av helheten är mest betydande dock fel i utrustningar, som utgör en tredjedel av de anmälda och klassificerade händelserna, samt fel i konfigurationer, som utgör ungefär en fjärdedel av händelserna. Dessutom anmäldes mycket om fel i program. Informationssäkerhetsöversikt 2/2013 18 100 % 90 % 80 % 70 % 60 % 21 vrk tai yli 50 % 7 vrk - <21 vrk 40 % 2 vrk - <7 vrk 30 % 12 h - <2 vrk 20 % 6 h - <12 h <6h 10 % 0% Bild 10. Andelarna tider för avhjälpande av störningar per tjänst Enligt anmälningarna avhjälps nästan en fjärdedel av störningarna inom de första sex timmarna från att den har upptäckts. En liten andel av störningarna avhjälps inom 6– 12 timmar. En lång tid för avhjälpande beror ofta på att störningen äger rum nattetid. Över 60 % av störningarna avhjälps inom två dygn från störningens början. Över 90 % har avhjälpts inom inom en vecka från störningens början. Således pågår under 10 % av störningarna över en vecka. Informationssäkerhetsöversikt 2/2013 19