Sisältöön

Supon verkkovalvonta - SecMeter

Ohita valikko
Ohita valikko

Supon verkkovalvonta

Yritysturvallisuus > Suojelupoliisi
Ohita valikko
Tietoliikennevalvonnan menetelmät, prosessit ja yhteiskunnalliset vaikutukset


Tietoliikenneverkot muodostavat yhteiskunnan hermoston. Lähes kaikki viestintä, kaupankäynti, hallinto, turvallisuuspalvelut ja sosiaalinen vuorovaikutus kulkevat nykyisin digitaalisten verkkojen kautta.

Tietoverkot tarjoavat mahdollisuuksia rikollisuudelle, kyberhyökkäyksille, terrorismille, vakoilulle ja muulle haitalliselle toiminnalle. Tämän johdosta viranomaiset, kuten muun muassa Puolustusvoimat ja supo ovat kehittäneet laajoja menetelmiä tietoliikenteen valvontaan, analysointiin ja tiedusteluun.

Tietoliikennevalvonta tarkoittaa kaikkea toimintaa, jossa viranomainen seuraa, tallentaa, analysoi tai käsittelee sähköistä viestintää turvallisuuden, rikostutkinnan tai tiedustelun tarkoituksessa.

Menetelmät vaihtelevat kohdennetusta rikostutkinnasta massaluonteiseen signaalitiedusteluun. Valvonta voi kohdistua puhelinliikenteeseen, internetiin, mobiiliverkkoihin, satelliittiyhteyksiin, pilvipalveluihin tai yritysverkkoihin.

Teknisesti verkkovalvonta perustuu liikenteen kopiointiin, analysointiin ja mallintamiseen. Käytössä ovat muun muassa verkkotapit, DPI-järjestelmät, metadata-analyysi ja automaattiset uhkantunnistusjärjestelmät. Valvontamenetelmät ulottuvat yksinkertaisesta lokitietojen keruusta erittäin kehittyneisiin signaalitiedustelu- ja tekoälyjärjestelmiin.

Valvonta herättää aina merkittäviä yhteiskunnallisia ja eettisiä kysymyksiä. Demokratioissa pyritään tasapainottamaan turvallisuus ja yksityisyys oikeudellisen valvonnan avulla, mutta teknologian kehitys tekee tästä jatkuvasti haastavampaa.

Tulevaisuudessa tekoäly, pilvipalvelut, IoT ja kvanttilaskenta tulevat muuttamaan sekä valvonnan mahdollisuuksia että tietosuojan haasteita. Siksi tietoliikennevalvonnasta käytävä keskustelu tulee säilymään keskeisenä osana digitaalisen yhteiskunnan kehitystä.
Tietoliikenne
Tietoliikenne viittaa kaikenlaiseen digitaaliseen tai analogiseen viestintään, joka siirtyy verkkojen kautta. Näitä ovat esimerkiksi:

  • Puhelut
  • Tekstiviestit
  • Sähköpostit
  • Verkkosivuliikenne
  • Videopuhelut
  • Sosiaalisen median viestit
  • Pilvipalveluiden data
  • IoT-laitteiden liikenne
  • Yritysverkkojen sisäinen liikenne

Tietoliikenne voidaan jakaa sisältötietoon ja metatietoon. Sisältötieto sisältää varsinainen viestin sisällön, kuten puhelun äänen tai sähköpostin tekstin. Metatieto sisältää tiedon viestinnästä kuka kommunikoi, kenen kanssa, milloin, kuinka pitkään, mistä sijainnista ja mitä palvelua käytettiin. Monissa tiedustelujärjestelmissä metatieto on erityisen tärkeää, koska sen avulla voidaan rakentaa laajoja verkostoanalyysejä ilman varsinaisen viestin lukemista.

Rikostorjunta
Poliisi ja rikostutkintaviranomaiset käyttävät valvontaa esimerkiksi:

  • Huumerikosten tutkintaan
  • Järjestäytyneen rikollisuuden seurantaan
  • Petosrikoksiin
  • Kyberrikollisuuteen
  • Ihmiskauppaan

Kansallinen turvallisuus
Tiedusteluviranomaiset, kuten Puolustusvoimat ja supo seuraavat verkkoja:

  • Terrorismin ehkäisemiseksi
  • Vieraan vallan tiedustelun havaitsemiseksi
  • Kyberhyökkäysten torjumiseksi
  • Sotilaallisen tiedustelun toteuttamiseksi

Kyberturvallisuus
Valtiolliset CERT- ja kyberturvakeskukset voivat analysoida verkkoliikennettä tunnistaakseen:

  • Haittaohjelmia
  • Verkkohyökkäyksiä
  • Palvelunestohyökkäyksiä
  • Tietomurtoja
  • Epäilyttäviä yhteyksiä

Verkkovalvonnan tekniset menetelmät

Pakettikaappaus (Packet Capture)
Pakettikaappaus on yksi keskeisimmistä verkkovalvonnan menetelmistä. Valvontajärjestelmät voivat kopioida näitä paketteja analysointia varten. Internetliikenne koostuu datapaketeista, jotka sisältävät:

  • Lähettäjän osoitteen
  • Vastaanottajan osoitteen
  • Protokollatiedot
  • Varsinaisen datan

Network TAP
Network TAP on passiivinen laite, joka kopioi verkkoliikenteen ilman vaikutusta itse liikenteeseen. TAP-laitteita käytetään:

  • Tietoliikenteen monitorointiin
  • Tiedusteluun
  • Forensiikkaan
  • Kyberturvallisuusanalyysiin

Passiiviset TAP-järjestelmät ovat suosittuja, koska:

  • Niillä ei ole IP-osoitetta
  • Niitä on vaikea havaita
  • Ne eivät häiritse liikennettä
  • Ne tarjoavat täydellisen näkyvyyden liikenteeseen

Port Mirroring ja SPAN
Verkkokytkimet voivat peilata liikennettä analyysijärjestelmille. SPAN-portti:

  • Kopioi valitun verkkosegmentin liikenteen
  • Lähettää datan analyysilaitteelle
  • Mahdollistaa reaaliaikaisen seurannan

Tätä käytetään usein:

  • Yritysverkoissa
  • Teleoperaattoreilla
  • Viranomaisvalvonnassa

Deep Packet Inspection (DPI)
Deep Packet Inspection tarkoittaa datapakettien syvällistä tarkastelua. Joissakin maissa DPI-järjestelmiä käytetään internetin laajamittaiseen valvontaan. Perinteinen reititin tarkastelee vain:

  • Osoitteita
  • Reititystietoja

DPI-järjestelmä voi analysoida myös:

  • Sovellustyypin
  • Viestin sisällön
  • Käyttäytymismallit
  • Haittakoodit
  • Tiedostotyypit

DPI:tä käytetään:

  • Haitallisen liikenteen tunnistamiseen
  • Sensuuriin
  • Verkkosuodatukseen
  • Liikenteen priorisointiin
  • Tiedusteluun


Puhelin- ja mobiiliverkkojen valvonta
Teleoperaattoreilla on monissa maissa, kuten myös Suomessa velvollisuus mahdollistaa viranomaisille laillinen telekuuntelu. Tämä voi sisältää:

  • Puheluiden kuuntelun
  • Tekstiviestien tallennuksen
  • Sijaintitiedot
  • Datayhteyksien seurannan

IMSI Catcher -järjestelmät
IMSI Catcher on laite, joka esiintyy matkapuhelintukiasemana. Joissakin tapauksissa välittää liikennettä analysoitavaksi. Se voi:

  • Tunnistaa lähialueen puhelimet
  • Kerätä IMSI-tunnuksia
  • Seurata liikkeitä

Näitä käytetään esimerkiksi:

  • Vakavien rikosten tutkinnassa
  • Vastatiedustelussa
  • Terrorismin torjunnassa

ISP-yhteistyö
Internet-palveluntarjoajat ovat velvoitettuja:

  • Säilyttämään lokitietoja
  • Luovuttamaan tietoja viranomaisille
  • Mahdollistamaan teknisen valvonnan
  • Toteuttamaan oikeuden määräyksiä

Lokitietojen keruu
Lokit voivat sisältää:

  • IP-osoitteet
  • Yhteysajat
  • Käytetyt palvelut
  • Datamäärät
  • Reititystiedot

Lokitietojen avulla voidaan jäljittää:

  • Verkkohyökkäyksiä
  • Luvattomia yhteyksiä
  • Rikollista toimintaa

Signaalitiedustelu (SIGINT)
SIGINT eli signal intelligence tarkoittaa sähköisten signaalien tiedustelua.

Se sisältää:

  • Radioliikenteen seurannan
  • Satelliittiviestinnän analyysin
  • Internetliikenteen seurannan
  • Sotilasviestinnän kuuntelun

Kansainväliset tiedusteluverkostot
Useat maat, kuten myös Suomi tekevät yhteistyötä tiedustelussa. Tunnettuja yhteistyöjärjestelmiä ovat:

  • Five Eyes
  • NATO-tiedusteluyhteistyö
  • EU:n turvallisuusyhteistyö

Näissä vaihdetaan:

  • Tiedustelutietoa
  • Teknisiä havaintoja
  • Haittaindikaattoreita
  • Kyberuhkatietoa

Pilvipalvelujen merkitys
Yhä suurempi osa viestinnästä tapahtuu pilvipalveluissa. Viranomaiset voivat pyytää tietoja palveluntarjoajilta oikeusprosessin kautta tietoja:

  • Sähköposteista
  • Pikaviestimistä
  • Videopalveluista
  • Tiedostopalveluista

Metadata-analyysi
Tiedustelu perustuu usein massiiviseen metadata-analyysiin. Tekoälyä käytetään:

  • Verkostojen tunnistamiseen
  • Käyttäytymisanalyysiin
  • Poikkeamien löytämiseen
  • Riskiprofilointiin

End-to-End-salaus
Salaus vaikeuttaa sisällön lukemista. Monet palvelut käyttävät vahvaa salausta:

  • Signal
  • WhatsApp
  • iMessage
  • HTTPS
  • VPN-yhteydet

Viranomaisten haasteet
Kun liikenne on salattua:

  • Sisältöä ei voida helposti lukea
  • Metadata jää usein näkyviin
  • Päätepisteistä tulee tärkeämpiä

Tämän vuoksi viranomaiset voivat käyttää:

  • Laitetutkintaa
  • Haittaohjelma-analyysiä
  • Päätevalvontaa
  • Pilvipalvelupyyntöjä

Tekoäly verkkovalvonnassa
Valvontajärjestelmät käsittelevät valtavia datamääriä. Tekoäly voi:

  • Tunnistaa epäilyttäviä kuvioita
  • Luokitella liikennettä
  • Ennustaa uhkia
  • Löytää poikkeamia

Tekoäly voi myös analysoida:

  • Normaalista poikkeavaa toimintaa
  • Liikennemääriä
  • Viestintäverkostoja
  • Aikakäyttäytymistä

IoT ja kaikkialle ulottuva valvonta
Älylaitteiden lisääntyminen kasvattaa valvonnan mahdollisuuksia, mutta samalla ne luovat uusia tiedusteluhaasteita. Valvontakohteita ovat muun muassa:

  • Kamerat
  • Sensorit
  • Ajoneuvot
  • Kodin laitteet
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön