Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Palvelunestohyökkäys voi lamaannuttaa verkkopalvelut hetkessä ja aiheuttaa taloudellisia vahinkoja sekä mainehaittaa. Palvelun käytön estymisen vaikutukset näkyvät nopeasti palvelun käyttäjille ja voivat hankaloittaa heidän arkeaan. Tämä artikkeli kokoaa yhteen keskeiset vaiheet siitä, miten organisaatio voi varautua palvelunestohyökkäykseen, toimia sen aikana ja palautua sen jälkeen.

Palvelunestohyökkäykset (DDoS - Distributed Denial of Service) ovat yksi nykypäivän yleisimmistä kyberhyökkäysten muodoista ja niitä voivat tehdä eri tahot haktivisteista yksittäisiin ihmisiin. Näissä hyökkäyksissä verkkosivuille tai -palveluihin ohjataan joko suuria määriä liikennettä tai paljon resursseja vaativia pyyntöjä, joiden tarkoituksena on estää kohdepalvelun normaali käyttö. Käytännössä palvelunestohyökkäys näkyy käyttäjälle siten, että verkkosivuille tai -palveluun ei pääse tai niiden käyttäminen on erittäin hidasta. Osassa tapauksia vaikutukset eivät näy käyttäjälle ollenkaan.

Palvelunestohyökkäyksiä toteutetaan usein hajautetusti tuhansien kaapattujen tietokoneiden eli bottien muodostaman verkon avulla. Botteja käyttäen verkkoliikenteen määrä saadaan kasvatettua erittäin suureksi. Bottiverkkoa ylläpitävät rikolliset voivat myydä käyttöoikeutta halussaan olevaan verkkoon, jolloin kuka tahansa voi kohdistaa palvelunestohyökkäyksen johonkin palveluun ilman teknistä osaamista. Palvelunestohyökkäykset eivät itsessään aiheuta esimerkiksi tietojen vuotamisen vaaraa, mutta hyökkäys voi kuitenkin aiheuttaa taloudellisia tappioita tai mainehaittaa, kun palvelut eivät ole saavutettavissa.

infografiikka kuvaa, kuinka riollinen ohjaa bottiverkkoonsa kuuluvia ympäri maailman sijaitsevia kaapattuja laitteita ottamaan yhteyttä koheena olevaan sivustoon tai palveluun. Massiiviset määrät verkkoliikennettä ruuhkauttavat kohdesivuston, ja käyttäjä ei hetkeen pääse käyttämään palvelua.

Palvelunestohyökkäykset ovat nykyisin internetin arkipäivää. Erityisen yleisesti niitä käytetään haktivismissa. Haktivismi on kyberrikollisuutta, jonka motiivit ovat poliittisia rahallisen hyödyn tavoittelun sijaan. Palvelunestohyökkäyksillä osoitetaan tyytymättömyyttä kohteen poliittiseen päätökseen tai muuhun toimintaan, ja pyritään vaikuttamaan kohteen informaatioympäristöön. Kyberhyökkäykset ja niistä viestiminen toimivat myös kyberkyvykkyyden voimannäyttönä maailmanlaajuiselle yleisölle. Haktivistien viestintäkanavat sisältävät onnistuneiden palvelunestohyökkäysten mainostamisen lisäksi propagandaa. Palvelunestohyökkäykset voivat myös olla motiiveiltaan taloudellisia. Tällöin kohteelta voidaan yrittää kiristää rahaa hyökkäyksen lopettamisesta. Useimmiten hyökkäyksellä halutaan enemminkin lähettää viesti kuin aiheuttaa todellista pitkäaikaista vahinkoa. Näin ollen palvelunestohyökkäyksissä voidaan ajatella olevan kyse kyber- ja informaatiovaikuttamisen väliselle alueelle sijoittuvasta toiminnasta.

Pitkittyneet häiriöt luottamuspalveluihin ovat harvinaisia Suomessa. Niitä tuottavat organisaatiot käyttävät paljon aikaa ja resursseja palveluiden kehittämiseksi ja suojaamiseksi. Joskus häiriöitä kuitenkin ilmenee näissäkin palveluissa, mutta tällöin organisaatiot pyrkivät palauttamaan ja vakauttamaan niiden toiminnan mahdollisimman pian. Kotimaiset organisaatiot ovat suojautuneet palvelunestohyökkäyksiltä hyvin, mutta hyökkääjätkin kehittävät työkalujaan jatkuvasti. Sojauskäytänteitä onkin syytä tarkastella säännöllisesti.

Alla oleva toimintaohje kokoaa yhteen keskeiset tiedot sekä ohjeet palvelunestohyökkäysten vaikutusten minimointiin.

Varautuminen, havaitseminen ja toimenpiteet

Palvelunestohyökkäysten merkitys on kasvanut sitä mukaa, kun yhteiskunta ja liiketoiminta ovat tulleet riippuvaisemmiksi internetistä. Palvelunestohyökkäykset tulee tuntea sekä ilmiönä että tekniikaltaan, jotta niiltä voi suojautua tehokkaasti. Palvelunestohyökkäykset kohdistuvat organisaatioiden internetissä tarjottaviin palveluihin, joten niihin varautuminenkin on organisaation ylläpidon vastuulla. Yksittäisenkin ihmisen kannattaa pitää huolta omien laitteidensa tietoturvasta, jotta laite ei joudu osaksi bottiverkkoa. Pitämällä kaikki laitteesi päivitettyinä, vaihtamalla laitteiden oletussalasanat ja käyttämällä vahvoja salasanoja voit ennaltaehkäistä laitteittesi osallisuutta palvelunestohyökkäyksissä.

Alla listaamme tärkeimmät vinkit organisaatioille.

Ennen hyökkäystä

Hallinnolliset toimet

  • Laadi poikkeamanhallintasuunnitelma palvelunestöhyökkäyksiä varten.
  • Tee sopimukset hyökkäysten torjunnasta palveluntarjoajien kanssa.
  • Kouluta henkilöstöä ja harjoittele etukäteen, miten toimia poikkeaman aikana. Huomioi harjoituksessa myös palveluntarjoajat. Sovi toimintatavoista johdon kanssa.
  • Luo valmiiksi tiedotepohjat palvelunestyöhyökkäyksistä viestimiseen.
  • Selvitä etukäteen, miten voit ilmoittaa tietoturvaloukkauksesta Kyberturvallisuuskeskukselle ja seuraa KTK:n tiedotteita

Tekniset toimet 

  • Ota intenet-rajapinnan järjestelmien ja palveluiden valintakriteeriksi palvelunestohyökkäyksiin liittyien suojaustoimien saatavuus ja kattavuus. Arvioi näitä toimintoja muun testauksen yhteydessä. 
  • Valmistele järjestelmiin, palveluihin ja ohjelmistoihin palvelunestohyökkäyksen vaikutuksia pienentävät konfiguraatiot ja valmiudet ottaa ne käyttöön jos ne eivät ole oletusarvoisesti käytössä. Konfiguraatiot voivat liittyä esimerkiksi yhteydenottojen käsittelyyn ja yhteys- tai sovellustason protokollien asetuksiin.
  • Ota käyttöön keskitetty valvonta palveluiden kuormaan ja liikennemääriin.
  • Kartoita palveluista ja järjestelmistä erityisen kuormitukselle alttiit osiot. Kohdista valvontatoiminnot erityisesti niihin ja luo tekniset valmiudet niiden käytöstä poistamiselle.
  • Selvitä tarve väistösivustoille ja tarvittaessa toteuta ne. Verkkosivustojen palvelunestohyökkäysten aikana vierailijat voidaan ohjata väistösivuille, joiden avulla voidaan viestiä hyökkäysten aikana.

Hyökkäyksen aikana

  • Palvelunestohyökkäys havaitaan yleensä siitä, että palvelut eivät toimi jollekin asiakasryhmälle.  
  • Kattava valvonta voi havaita hyökkäyksen ennen vaikutusta palveluiden saatavuuteen, esimerkiksi verkkoliikenteen nopean kasvun tai palvelimen nopean resurssien kulutuksen kasvun perusteella.
  • Jotkin palvelunestohyökkäykset saattavat pyrkiä aiheuttamaan vikatilan yksittäisissä verkkolaitteissa, jolloin liikennemäärissä ei välttämättä näy suuria muutoksia. Siksi on tärkeää, että yksittäisten verkkolaitteiden toiminta on valvonnan piirissä. 
  • Välittömät toimet: 
    • Rajaa häiriön syy, tarkista lokit, tunnista hyökkäystyyppi
    • Ilmoita: IT-palveluntarjoajalle, Kyberturvallisuuskeskukselle ja sidosryhmille
    • Arvioi avuntarve: Tarvitaanko ulkopuolista teknistä apua?
    • Raportoi viranomaisille: Poliisi, Kyberturvallisuuskeskus, NIS-ilmoitusvelvollisuus 
    • Viestinnässä kerrotaan, mistä palvelunestohyökkäyksissä on kysymys ja kuinka ne ovat vaikuttaneet organisaation toimintaan. On tärkeä kertoa, mitä toimenpiteitä on toteutettu tilanteen palauttamiseksi ja miten kauan vaikutuksia on oletettavissa. Vaihtoehtoisista asiointitavoista on syytä viestiä tarpeen vaatiessa. Viesti myös, kun hyökkäys on ohitse ja palvelut ovat taas käytettävissä.

Hyökkäyksen jälkeen

  • Tarkista palvelinten ja sovellusten tila
  • Päivitä ohjelmistot ja konfiguraatiot
  • Analysoi lokit hyökkäyksen jäljiltä
  • Tee hyökkäyksen jälkeinen arvio (Post Incident Review / Lessons Learned): mitä opittiin, mitä parannettava ilmeni, mitä tulisi harjoitella jatkossa?
  • Päivitä suunnitelmat ja pelikirjat 
  • Jaa opit Kyberturvallisuuskeskukselle