Sisältöön

Tietoliikenneturvallisuus - SecMeter

Ohita valikko
Ohita valikko

Tietoliikenneturvallisuus

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Suomen internetin infrastruktuuri, datakeskukset ja digitaalinen turvallisuus


Yhteiskunta on riippuvainen tietoliikenneverkoista ja digitaalisesta infrastruktuurista. Suomessa lähes kaikki yhteiskunnan keskeiset toiminnot perustuvat jatkuvasti toimivaan ja turvalliseen tietoliikenneympäristöön.

Käyttäjille internet näyttäytyy verkkosivuina, sovelluksina ja pilvipalveluina, mutta sen taustalla toimii laaja fyysinen infrastruktuuri, johon kuuluvat:

  • kansainväliset kuituyhteydet
  • runkoverkot
  • datakeskukset
  • internetin yhdysliikennepisteet
  • teleoperaattorien verkot
  • verkonvalvonta- ja kyberturvallisuusjärjestelmät.

Tietoliikenneverkot muodostavat osan yhteiskunnan kriittistä infrastruktuuria. Vakavat häiriöt internetyhteyksissä tai datakeskusympäristöissä vaikuttavat samanaikaisesti maksuliikenteeseen, viranomaisviestintään, energiantuotantoon, pilvipalveluihin ja huoltovarmuuteen.

Digitaalinen toimintaympäristö on muuttunut myös tiedustelun, kybervakoilun ja verkkovaikuttamisen keskeiseksi kohteeksi. Valtiolliset toimijat, rikollisverkostot ja kyberuhkatoimijat hyödyntävät internetiä tiedonhankintaan, vaikuttamiseen ja hyökkäyksiin tavalla, joka hämärtää perinteisiä rajoja sisäisen ja ulkoisen turvallisuuden välillä.
Asia Tapauksia
Pääkaupunkiseudusta on vuosikymmenten aikana muodostunut Suomen tärkein digitaalinen keskus. Alueelle ovat keskittyneet:

  • internetin yhdysliikennepisteet
  • kansainväliset kuituyhteydet
  • suurimmat datakeskukset
  • teleoperaattorien runkoverkot
  • verkonvalvontakeskukset
  • merkittävä osa kansallisesta kyberturvallisuusinfrastruktuurista

Tietoliikenneinfrastruktuurin merkitys näkyy erityisesti häiriötilanteissa. Vakava verkkohäiriö voisi samanaikaisesti vaikuttaa maksuliikenteeseen, pilvipalveluihin, viranomaisviestintään, energiaverkkoihin ja logistiikkaan. Tämän vuoksi datakeskuksista ja runkoverkoista on tullut osa yhteiskunnan kriittistä infrastruktuuria.

FICIX ja Suomen internetin yhdysliikenne
Suomen tärkein internetin yhdysliikennejärjestelmä on FICIX (Finnish Communication and Internet Exchange), joka toimii internetin yhdysliikennepisteenä eli IXP:nä (Internet Exchange Point). FICIX perustettiin vuonna 1993, ja siitä on muodostunut keskeinen osa Suomen internetin infrastruktuuria. Nykyisin FICIX toimii hajautetusti useissa datakeskusympäristöissä.

Yhdysliikennepisteiden tehtävänä on mahdollistaa verkkoliikenteen vaihto eri toimijoiden välillä Suomessa. Näihin toimijoihin kuuluvat:

  • teleoperaattorit
  • pilvipalveluyhtiöt
  • sisältöverkot
  • yritysverkot
  • verkkopalveluntarjoajat

Ilman yhdysliikennepisteitä suuri osa suomalaisesta internetliikenteestä joutuisi kulkemaan ulkomaisten verkkojen kautta. Tämä kasvattaisi verkkoviiveitä, lisäisi kustannuksia ja heikentäisi toimintavarmuutta.

FICIX1
FICIX1 toimii kahdessa keskeisessä sijainnissa:

  • Espoon Innopolissa
  • Telia Helsinki Data Centerissä Pitäjänmäellä

Tämä kuvastaa internetin infrastruktuuria, jossa yhdysliikenne ei enää sijaitse yhdessä yksittäisessä keskuksessa, vaan useissa rinnakkaisissa datakeskuksissa. Espoon Innopoli kuuluu suomalaisen internetin historiallisesti merkittäviin tietoliikenneympäristöihin. FICIX1:n alkuperäinen ympäristö rakentui juuri Innopolin ympärille aikana, jolloin suomalainen internetin runkoverkko alkoi voimakkaasti laajentua. Alueelle keskittyi jo internetin varhaisessa kasvuvaiheessa:


  • teleoperaattorien laitetiloja
  • runkoverkkoyhteyksiä
  • yritysverkkoja
  • palvelinympäristöjä

Myöhemmin FICIX1 laajennettiin myös Pitäjänmäellä sijaitsevaan Telia Helsinki Data Centeriin, joka kuuluu Pohjoismaiden suurimpiin avoimiin datakeskuksiin. Datakeskuksen vahvuuksia ovat:

  • suuret kapasiteetit
  • kansainväliset kuituyhteydet
  • korkea energiatehokkuus
  • vahva toimintavarmuus
  • pilvipalveluinfrastruktuuri

Pitäjänmäen datakeskus toimii samalla yhtenä Suomen tärkeimmistä kansainvälisen internetliikenteen ja pilvipalvelujen solmukohdista.

FICIX1:n hajautettu rakenne parantaa:

  • toimintavarmuutta
  • kapasiteettia
  • liikenteen joustavuutta
  • huoltovarmuutta

Jos yhdessä datakeskuksessa tapahtuu esimerkiksi:

  • sähkökatko
  • kuituvika
  • laitehäiriö
  • kyberhyökkäys

liikennettä voidaan edelleen ohjata muiden yhteyspisteiden kautta.

FICIX2
FICIX2 toimii kahdessa ei paikassa:

  • Digitan Pasilan tiloissa
  • Equinix HE7 -datakeskuksessa

FICIX2 on ollut toiminnassa vuodesta 1999 lähtien ja kuuluu Suomen tärkeimpiin tietoliikenteen solmukohtiin. Pasila on jo vuosikymmeniä ollut suomalaisen televiestinnän keskeisimpiä alueita. Alueella sijaitsevat muun muassa:

  • Pasilan televisiotorni
  • radio- ja televisiolähetysten infrastruktuuria
  • teleoperaattorien runkoverkkoja
  • merkittäviä kuitureittejä
  • korkean turvallisuustason teletiloja

Pasilan vahvuuksia ovat:

  • moninkertaiset kuituyhteydet
  • vahva sähkönsyöttö
  • varavoimaratkaisut
  • fyysinen turvallisuus
  • jatkuva tekninen valvonta

FICIX2 toimii myös kansainvälisen Equinix Inc.:n HE7-datakeskuksessa. Equinix tuo suomalaisiin yhdysliikenneyhteyksiin:

  • kansainvälisiä operaattoreita
  • pilvipalveluyhteyksiä
  • globaaleja sisältöverkkoja
  • hyperscale-toimijoiden infrastruktuuria

Tämä vahvistaa Suomen yhteyksiä kansainväliseen internetin runkoverkkoon.

FICIX3
FICIX3 sijaitsee Oulussa ja toimii Pohjois-Suomen alueellisena internetin yhdysliikennepisteenä. Tällä ratkaisulla pyritään suuntaamaan internetin infrastruktuurin kehitystä kohti hajautetumpaa mallia, jossa kapasiteettia ja toimintavarmuutta rakennetaan myös pääkaupunkiseudun ulkopuolelle. Tavoitteena on:

  • parantaa alueellista verkkoliikennettä
  • pienentää viiveitä
  • vähentää liikenteen riippuvuutta Helsingin kautta kulkevista yhteyksistä
  • vahvistaa toimintavarmuutta

Oulu on luonteva sijainti tällaiselle infrastruktuurille, koska alueella on vahvaa:

  • tietoliikenneosaamista
  • telekommunikaatioteollisuutta
  • tutkimus- ja kehitystoimintaa

Datakeskukset ja huoltovarmuus
Datakeskukset ovat yhteiskunnan kannalta kriittistä infrastruktuuria samalla tavoin kuin sähköverkot tai liikennejärjestelmät. Suomessa huoltovarmuus näkyy erityisesti siinä, että kriittistä infrastruktuuria pyritään hajauttamaan useisiin korkean turvallisuustason ympäristöihin. Pankkipalvelut, viranomaisverkot, media, logistiikka ja terveydenhuolto ovat riippuvaisia jatkuvasti toimivista tietoliikenneyhteyksistä. Tämän johdosta datakeskuksilta edellytetään:


  • korkeaa toimintavarmuutta
  • varmistettuja sähkönsyöttöjä
  • useita kuituyhteyksiä
  • fyysistä turvallisuutta
  • vahvaa kyberturvallisuutta

Verkkojen valvonta ja kyberturvallisuus
Tietoliikenneverkkojen toimivuutta valvotaan jatkuvasti teleoperaattorien verkonvalvontakeskuksissa. Esimerkiksi:

  • Elisa Oyj
  • Telia Finland Oyj
  • DNA Oyj

ylläpitävät keskitettyjä valvontakeskuksia, joissa seurataan:

  • verkkoliikenteen kuormitusta
  • palvelujen toimintaa
  • häiriöitä
  • palvelunestohyökkäyksiä
  • haittaohjelmaliikennettä
  • tietomurtoyrityksiä

Lisäksi kyberturvallisuusyritykset ylläpitävät omia SOC-keskuksiaan (Security Operations Center), joissa analysoidaan poikkeavaa verkkokäyttäytymistä ja turvallisuusuhkia. Tavoitteena on havaita häiriöt ja hyökkäykset mahdollisimman nopeasti. Verkonvalvonta perustuu:

  • automaatioon
  • analytiikkaan
  • koneoppimiseen
  • tekoälyyn

Tietoliikenteen turvallisuus ja siihen liittyvät uhat
Tietoliikenteen turvallisuus muodostuu useiden eri suojauskerrosten ja -komponenttien yhteisvaikutuksesta. Keskeisiä osa-alueita ovat:

  • Fyysinen suojaus (esim. laitetilojen lukitus ja valvonta)
  • Tiedonsiirron varmistaminen ja salaus
  • Käyttäjien tunnistaminen ja pääsynhallinta
  • Tiedon eheys ja saatavuus

Internet-ympäristöön liittyy useita haavoittuvuuksia, jotka voivat vaarantaa yksityisyyden, turvallisuuden ja järjestelmien toiminnan. Näiden taustalla voivat olla teknologiset rajoitteet, inhimilliset virheet tai järjestelmätason suunnitteluheikkoudet.

Keskeiset uhkakuvat

Salaamattomat yhteydet
Salaamaton HTTP-yhteys mahdollistaa tiedon sieppauksen (esim. man-in-the-middle-hyökkäykset). Tietoliikenne tulee salata esimerkiksi TLS/HTTPS-protokollilla.

DNS-haavoittuvuudet
DNS-järjestelmä on altis esimerkiksi DNS spoofingille ja cache poisoningille, joiden seurauksena käyttäjä ohjataan huijaussivuille.

BGP-haavoittuvuudet
Internetin reititystä hallinnoiva BGP-protokolla ei sisällä sisäänrakennettua todennusta. BGP hijacking voi johtaa liikenteen ohjautumiseen luvattomille reiteille.

Inhimilliset virheet ja sosiaalinen manipulointi
Yleisiä uhkia ovat heikot salasanat, tietojenkalastelu (phishing) ja sosiaalinen manipulointi. Nämä mahdollistavat järjestelmäoikeuksien kaappauksen ilman teknisiä haavoittuvuuksia.

Haavoittuvat laitteet ja ohjelmistot
IoT-laitteet, vanhat reitittimet ja päivittämättömät ohjelmistot muodostavat merkittäviä tietoturvariskejä.

DDoS-hyökkäykset
Hajautetut palvelunestohyökkäykset voivat lamaannuttaa kriittisiä palveluita. Niitä toteutetaan usein bottiverkkojen avulla.

Luottamusmallien ongelmat
Sertifikaattien myöntäjät (CA:t) voivat joutua väärinkäytön kohteiksi. Zero Trust -arkkitehtuuri on nouseva toimintamalli perinteisen perimetriturvan sijaan.

Geopoliittiset ja sääntelyyn liittyvät erot
Valvonta, sensuuri ja tiedon säilytyskäytännöt vaihtelevat eri maissa. Tämä vaikeuttaa globaalin tietoturvan yhtenäistämistä.

Suojaustoimenpiteet ja riskienhallinta
Suojaustoimenpiteet tulee mitoittaa riskiarvion ja tarpeen mukaan. Perustason suojaus sisältää:

  • Tiedonsiirtolaitteiden fyysisen suojauksen (lukitut tilat, murtohälyttimet)
  • Laitteiden ja palveluiden yksilöllisen suojauksen (segmentointi)
  • Tiedonsiirron salauksen
  • Käyttäjätunnistuksen ja pääsynvalvonnan
  • Verkon aktiivisen valvonnan
  • Valvonnassa tulisi huomioida:
  • Verkon topologia ja rakenne
  • Varareititysratkaisut
  • Laiteliitännät ja päätepisteet
  • Verkon kuormitus- ja häiriötasot
  • Luvattoman kytkeytymisen esto

Kansainvälinen näkökulma ja lainsäädännölliset riskit
Verkkotoimilupien vapautuminen kansainväliselle kilpailulle voi heikentää kansallista tietoturvakontrollia. Ulkomaisten toimijoiden hallinnoimat matkaviestinverkot voivat aiheuttaa riskejä huoltovarmuudelle ja tiedustelun torjunnalle.

Yhteiskunnan kriittiset palvelut ovat riippuvaisia tietoliikenneverkoista. Suomessa Liikenne- ja viestintäministeriö perusti vuonna 2009 työryhmän, jonka tehtävänä oli arvioida kriittisten viestintäverkkojen turvallisuutta ja huoltovarmuutta.

Esimerkkejä kansainvälisistä huolista

Iso-Britannia (GCHQ)
Kyberuhat ovat todellisia ja jatkuvia. Valtion tietoverkkoihin kohdistuu kuukausittain kymmeniä tuhansia haittaohjelmahyökkäyksiä. Elintärkeitä palveluita, kuten energiahuoltoa ja terveyspalveluja, pidetään mahdollisten kohteiden joukossa.

Intia
Intian hallitus on ilmaissut huolensa ulkomaisten verkkolaitetoimittajien kyvystä asentaa vakoiluohjelmia laitteisiinsa. Intiassa vaadittiin, että osa kriittisestä infrastruktuurista valmistetaan kotimaassa ja että kaikki televerkon komponentit testataan ennen käyttöönottoa. Lisäksi maa otti käyttöön Central Monitoring System -järjestelmän, jolla viranomaiset voivat estää tai valvoa viestintää tarvittaessa.

Rikollisuus ja tietoturvauhkat
Vuonna 2003 poliisi tutki Suomessa noin 500 tietotekniikkarikosta. Asiantuntija-arvioiden mukaan ilmitulleet tapaukset muodostivat vain murto-osan todellisesta rikollisuudesta vain alle 1 %, kun vastaava osuus muissa rikoksissa on 5–10 %. Suomessa arvioitiin tuolloin toimivan yli 80 järjestäytynyttä rikollisryhmää, joista osa suuntautui myös kyberrikollisuuteen.

Lähteet: (BBC 12.10.2010, electroniccourts.in 2.1.2013, 2.3.2013, iltalehti.fi 28.3.2013, kauppalehti.fi 2.5.2013)
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön