Kaupallinen yhteistyö Fingrid

Iskut Ukrainan kantaverkkoon herättivät – kantaverkkojen kyberturvallisuudesta huolehditaan yhteistyöllä

Kantaverkko on yhteiskunnan selkäranka, sillä se pitää sähköllä pyörivän yhteiskunnan sähkössä. Tämän takia se on myös houkutteleva kohde kyberiskuille. Älyverkot tekevät myös tavallisista kuluttajista potentiaalisia kyberiskujen kohteita.

Kaupallinen yhteistyö: Fingrid
Fingridiläiset harjoittelevat kyberiskussa toimimista JYVSECTEC:in järjestämissä harjoituksissa. Kuva: Petri Blomqvist / Fingrid

Lyhyesti: Kyberisku kantaverkkoon voisi lamauttaa sähköverkot ja sitä kautta yhteiskunnan toiminnan.

Kantaverkkoyhtiö Fingridin työntekijä oli yhteydessä Helsingin pääkonttorista Oulun aluekonttoriin. Yhteydenoton jälkeen hänen piti saada sähköpostiinsa skannattuna eräs dokumentti. Skannatuissa dokumenteissa lähettäjä näkyi Fingrdin kopiokoneen sähköpostiosoitteena.

Kun sähköposti kilahti työntekijän postilaatikkoon, hän avasi sen, ja sen liitteenä olleen dokumentin.

Eipä siinä mitään. Paitsi että.

Työntekijä huomasi, että liitetiedoston muoto ei ollut se, mikä sen olisi pitänyt olla. Skannatut dokumentit ovat PDF-tiedostoja. Tässä sähköpostissa näin ei ollut. Tämä tiedosto oli Word-tiedosto.

Tiedoston mukana koneelle tuli virus. Se alkoi tuhota tiedostoja työntekijän koneelta.

Mitä viruksen lähettäjä oikein tahtoo? Viestintäviraston alaisen Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki sanoo, että vaihtoehtoja virusten levittäjiksi on kaksi. Todennäköisempi vaihtoehto on, että kyberrikolliset pyrkivät hyödyntämään viruksia erilaisten rikosten tekemiseen. He esimerkiksi etsivät virusten avulla rahanarvoista tietoa tai pyrkivät lukitsemaan niitä. Rikolliset voivat esimerkiksi lähettää viruksia saadakseen haltuunsa tietoa, jota voi joko myydä kolmansille tahoille tai jolla voi kiristää uhriksi joutunutta yhtiötä tai henkilöä.

Mahdollista on kuitenkin sekin, että taustalla on valtiollinen taho, joka levittää viruksia omiin tarkoituksiinsa. Näin epäillään käyneen Ukrainassa, jossa sähkönjakeluverkkoa vastaan on tehty kyberhyökkäyksiä.

Kyberturvallisuuskeskus

  • Viestintäviraston alainen Kyberturvallisuuskeskus tarjoaa kyberturvallisuuspalveluita suomalaiselle yhteiskunnalle.
  • Sen keskeisiä asiakkaita ovat huoltovarmuuskriittiset yritykset ja valtionhallinto.

Mitenkään poikkeuksellisia eivät tällaiset virukset ole.

”Verkkorikollisia tulee vastaan jatkuvasti. Meille rikollisista tulee useita yhteydenottoja päivässä. Mutta emme me valtiollisilta tahoiltakaan ole suojassa. Meidän tietoomme tulee vuosittain tapauksia, joissa suomalainen viranomaiskenttä tai elinkeinoelämä on vakavamman tiedustelun kohteena”, sanoo Saarimäki.

Samaa sanoo Fingrdin ICT-johtaja Kari Suominen. Fingridin palomuureilla on ”päivittäin joku kolkuttelemassa”. Energia-ala on kyberrikollisille herkullinen kohde. Yhteiskunta ei toimi ilman sähköä.

”Kun ajatellaan, että kyse on yhteiskunnan toimivuuden kannalta kriittisestä palvelusta, niin tottakai sähköverkot ovat kiinnostava kohde sekä kyberrikollisille että valtiollisille toimijoille”, sanoo Saarimäki.

Sodankäynnissä sähköverkot olivat ensimmäisen kerran kohteena Ukrainassa vuonna 2015. Isku sai huomiota Suomessakin. Sen sijaan vähemmällä huomiolle jäi Ukrainan kantaverkkoon vuosi myöhemmin tehty hyökkäys.

Ensimmäinen kyberhyökkäys sähköverkkoon

  • Kyberhyökkäys vei sähköt Ukrainassa noin 250 0000 Ivano-Frankivskin kaupungin asukkaalta ennen joulua 2015.
  • Isku oli tiettävästi ensimmäinen kyberhyökkäys, joka onnistui sulkemaan sähkönsyöttöjärjestelmän.
  • Iskussa ukrainalaisen sähkönjakeluyhtiön valvomo kaapattiin etäyhteydellä, sen puhelinjärjestelmät tukittiin ja varasähköjärjestelmä lamautettiin puolen tunnin kuluessa.
  • Sähkökatko kesti muutaman tunnin, kunnes järjestelmä saatiin palautettua.

”Ukrainasta on muodostunut kyberoperaatioiden testilaboratorio. Se on konkreettinen ja herättävä esimerkki uhkan toteutumisesta ja vaikutuksista, jos tilanteeseen ei ole osattu varautua”, Saarimäki sanoo.

Saarimäen mukaan suomalaiset energia-alan toimijat ovat valmistautuneet kyberiskuihin hyvin.

”Suomessa meillä on siitä hyvä tilanne, että alalla on tehty hyvää työtä. Yritykset varautuvat uhkiin yhdessä ja nostavat sitä kautta kaikkien turvallisuuden tasoa”, Saarimäki kehuu.

Erityisen kehun Saarimäeltä saa Fingrid, jolle myönnettiin jo vuonna 2014 Viestintäviraston tunnustuspalkinto hyvästä tietoturvatyöstä. Toukokuussa Fingrid sai yhdessä muiden energia-alan toimijoiden kanssa viimeisimmän palkinnon, kun energia-alan tiedonvaihtoryhmä palkittiin tietoturvan suunnannäyttäjä -tunnustuksella. Se myönnettiin aktiivisesta tietojen vaihdosta.

Viruksen koneelleen saanut Fingridin työntekijä hoksasi väärän tiedostomuodon nopeasti heti avatessaan tiedostoa, ja osasi ryhtyä toimenpiteisiin. Virus pysähtyi. Se ehti tuhota hänen henkilökohtaisia työtiedostojaan, mutta nekin saatiin palautettua.  Viruksen alkuperä ei selvinnyt.

Fingridissä kyberturvallisuutta harjoitellaan koko ajan. Pahaa-aavistamattomat työntekijät saavat silloin tällöin feikkivirusviestejä, jotka heidän pitää tunnistaa. Julmimmassa testissä yhtiön henkilöstöpäällikön nimissä lähetettiin henkilökunnalle viesti, jossa uhattiin palkanmaksun myöhästymisellä, mikäli tehtyjä työtunteja ei syötetä uudestaan työajanhallintajärjestelmään. Mukana oli linkki. Kun sitä klikkasi, sai ilmoituksen viruksesta. Viestin olisi voinut tunnistaa huijaukseksi sähköpostin lähettäjän osoitteen loppuosasta. Se oli muotoa Fingrid.li, eikä .fi.

”Kyberturvallisuudesta on huolehdittava koko ajan. Uskomme, että olemme mahdollisimman hyvällä tasolla, mutta koskaan ei saa olla liian varma. Kyberhyökkäys kantaverkkoon on yksi mahdollinen Suomeen kohdistuva vaikuttamiskeino”, sanoo Fingridin Suominen.

Arkisten harjoitusten lisäksi Fingrid järjestää suurempia kyberharjoituksia yhdessä Jyväskylän ammattikorkeakoulun IT-instituutin JYVSECTECin kanssa. (Lue lisää täältä.)

Harjoituksissa on mukana myös yhteistyökumppaneita. BlackScreen-harjoituksessa Fingrid harjoitteli yhdessä muiden pohjoismaisten kantaverkkoyhtiöiden kanssa. Syksyllä järjestettävässä Tieto 2018 -harjoituksessa mukana on Puolustusvoimat, TEM ja huoltovarmuuskeskus.

”Yhteistyön on oltava entistä tiukempaa eri sidosryhmien välillä. Tiedon on hyökkäystilanteessa levittävä nopeasti ja siihen tarvitaan hyvin yhdessä toimivaa verkostoa”, sanoo Suominen.

Eri kantaverkkoyhtiöiden välillä yhteistyötä hidastavat yhtiöiden erilaiset toimintatavat. Suomisen mukaan Fingrid on orientoitunut harjoittelemaan paljon käytännössä, kun taas Norjan ja Ruotsin valtio-omisteiset kantaverkkoyhtiöt ovat Fingridin näkökulmasta protokolla- ja dokumenttiorientoituneempia.

Pohjoismaisista kantaverkkoyhtiöistä lähimpänä Fingridiä on Tanskan Energinet. Suomisen mukaan kyberturvallisuusasioissa yhteistyö suuntautuu ennen kaikkea Eurooppaan ja kantaverkkojen yhteistyöjärjestö Entso-E:n suuntaan.

”Meidän ajatus on, että ei voida lähteä siitä, että hyökkäykset saataisiin aina torjuttua. On harjoiteltava sitä, miten toimitaan, jos hyökkäys onnistuu. Silloin harjoitellaan ennen kaikkea jatkuvuuden hallintaa ja iskusta toipumista”, sanoo Suominen.

Seuraava iso kysymys ovat älyverkot, jotka liittävät kuluttajien jääkaapitkin osaksi sähköjärjestelmän tasapainon säätöä.

”Verkkoon tullaan viemään paljon erilaisia turvattomia laitteita itkuhälyttimistä televisioon. Niistä tulee kokonaan uudenlainen uhkakuva”, sanoo Kyberturvallisuuskeskuksen Saarimäki.

Saarimäen mukaan uhka kohdistuu ennen kaikkea viestintäverkon toimintaan käyttäjien yksityisyyden lisäksi, mutta sähköverkon puolellekin syntyy ”uudenlaista hyökkäyspinta-alaa”, kun verkkoon tulee erilaisia sähkönkäyttöön liittyviä mittareita. Kuluttajien hakkeroidut sähkönkäyttömittarit voivat sekoittaa sähköjärjestelmän niin, ettei enää tiedetä todellista sähkön tuotannon ja kulutuksen lukemia.

”Se avaa uusia hyväksikäyttömahdollisuuksia”, Saarimäki sanoo.

”Kyberturvallisuudesta on huolehdittava koko ajan”, sanoo Fingridin ICT-johtaja Kari Suominen.

Fingridin Suomisen mukaan käytännössä kyse voisi olla tuotannon sotkemista, jos sähkönkäyttömittarit syöttäisivät järjestelmään virheellisiä tietoja.

Suominen korostaa eurooppalaisen yhteistyön merkitystä. Fingrid on mukana EU:n laajimmassa tutkimus-, ja innovaatiohankeohjelmassa Horizon 2020:ssa, jonka osaprojektissa pyritään luomaan kyberturvallisuuden kokonaiskuva.

”Yhteistyötä tarvitaan, jotta euroopanlaajuiset potentiaaliset uhat tunnistettaisiin paremmin. Suomessa älyverkoille laaditaan parhailaan kyberturvallisuusselvitystä ja Fingrid on siinä taustalla mukana merkittävässä roolissa, sanoo Suominen.

Miten toimintaa kyberiskussa voi harjoitella? Lue lisää täältä.

Artikkelin on kirjoittanut MustReadin kaupallinen johtaja Merja Mähkä