Länsimaisia energiasektorin organisaatioita vastaan on ainakin helmikuusta
2013 lähtien ollut käynnissä taitavasti ja hyvin resurssein toteutettu
kybervakoilukampanja. Suomessa kampanjasta ei ole löytynyt merkkejä.
Kyberturvallisuuskeskus seuraa tilannetta.
Tilanteen yleiskuva ja vakavuus
Syyskuusta 2013 lähtien useat tietoturvayritykset ovat raportoineet
pääasiassa länsimaisiin energia-alan yrityksiin ja organisaatioihin
kohdistuvasta kybervakoilukampanjasta. Tietoturvayritys Symantec arvioi
kampanjan olleen käynnissä helmikuusta 2013 lähtien ja kampanjan
jatkumisesta tehdään maailmalla havaintoja edelleen.
Vakoilukampanja on huolestuttava useasta syystä. Kampanjan toteuttajilla
vaikuttaa olevan hyvät resurssit ja paljon teknistä osaamista. Energia-ala
on osa yhteiskuntien kriittistä infrastruktuuria, mutta edelleenkin alan
teollisuusautomaatiojärjestelmien ohjelmistojen virheitä paikataan varsin
harvakseltaan. Vaikka järjestelmien valmistajat tekevätkin korjauksia
tuotteisiinsa, korjauksia otetaan käyttöön hitaanlaisesti. Näin ollen
käytössä olevat järjestelmät saattavat pysyä haavoittuvina tunnetuille
hyökkäyksille sekä saastuneina pitkään. Vakoilun lisäksi haittaohjelmilla on
mahdollista aiheuttaa myös suoraa vahinkoa saastuneille järjestelmille ja
niiden käyttäjille.
Viestintäviraston Kyberturvallisuuskeskus on etsinyt tietoturvaloukkausten
havainnointijärjestelmästään (HAVARO) jälkiä kampanjasta. Suomalaisia
organisaatioita ja yrityksiä kampanja ei näytä tähän mennessä koskeneen.
Kyberturvallisuuskeskus jatkaa tilanteen seuraamista.
Kybervakoilukampanjan tekijät
Vakoilukampanjan toteuttajana on useiden arvioiden mukaan jokin valtiollinen
toimija: hyökkäykset ovat hyvin suunniteltuja, erittäin pitkäjänteisiä ja
teknisesti taidokkaita. Tekijöillä on ilmeisesti hyvin resursseja
käytettävissään. Tekijöiden arvioidaan olevan peräisin itäisestä Euroopasta.
Tähän viittaavat useat havainnot toteuttajaryhmän toiminnan painottumisesta
arkipäiville kello 9-18 Moskovan aikaa (UTC +04:00). Tietoturvayritys
Symantec kutsuu toteuttajaryhmää nimellä Dragonfly ja tietoturvayritys
CrowdStrike nimellä Energetic Bear.
https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/07/ttn20140703
1521.html