Ddos: Internetin räksyttävä rakkikoira ei saa aikaan haavaa

Palvelunestohyökkäys valtion verkkosivuille osoittaa näyttävästi digimurroksen synkemmän puolen. Palvelunestohyökkäys vertautuu vaikkapa järjestäytyneeseen mielenilmaukseen toimistorakennuksen edustalla: se kerää huomiota ja estää asiakkaiden sisäänpääsyn. Pahimmillaan palvelunestohyökkäys voi vaarantaa ihmishenkiä, jos se tukkii kriittiset palvelut. Tyypillisimmin seurauksena on näyttävä mainehaitta. Riskiarvioita tarvitaan, mutta ne on kuitenkin muistettava tehdä kokonaisturvallisuuskärjellä.

Palvelunestohyökkäys valtion käytössä oleviin verkkosivuihin ja yhteiseen tunnistuspalveluun osoittaa, miten digimurros vaikuttaa yhteiskuntaamme, kun käytämme yhä enemmän sähköisiä palveluja. Keskittäminen ja palveluiden saatavuus 24/7 tuo hyötyjä, mutta myös uusia riskejä, joihin ei ole aiemmin tarvinnut kiinnittää huomiota.

Palvelunestohyökkäys on tietoturvaongelmista hinta-laatusuhteeltaan näyttävin, mutta ei yleensä vakavin. Ulkopuolinen hyökkääjä voi osoittaa kohteensa toiminnassa kriittisiä pullonkauloja ja ennalta tuntemattomia riippuvuuksia.

Toteutus helppoa ja halpaa

Palvelunestohyökkäyksessä on kyse siitä, että palvelu ruuhkautetaan suurella tietoliikennemäärällä. Reilu kuukausi sitten tällä hyökkäystavalla onnistuttiin estämään pääsy esimerkiksi poliisin, Veron ja Kelan verkkopalveluihin. Samaan aikaan estyi pääsy useille viranomaisten verkkosivuille. Itse järjestelmille tai niiden säilömille tiedoille tässäkään hyökkäyksessä ei aiheutettu vahinkoja.

Samasta on kyse, kun konttorin ulkopuolelle kerääntyy iso määrä mielenosoittajia ja asiakkaat eivät pääse rakennukseen. Silti toiminta konttorissa sujuu. Sisäänpääsyongelma poistuu, kun mielenilmaisijat hajaantuvat tahoilleen.

Kun verkkopalveluja keskitetään, palvelunestohyökkäyksiä saadaan kohdistettua eri palveluihin samanaikaisesti. Keskitetyt verkkopalvelut ovat tehokkaita, mutta niiden toimivuuden häirintä on helppoa.

Palvelunestohyökkäys ei vaadi tekijältään paljon. Verkosta on palveluja, joista saa tilattua sopivan kokoisen määrän liikennettä kaatamaan monet verkkopalvelut. Riittää, kun tekijä maksaa muutaman kympin tai satasen, ja pian valtion tai suuryrityksen palvelu saadaan näyttämään heikolta. Riittävällä summalla palvelu kuin palvelu saadaan hetkellisesti pois pelistä.

Hyökkäys on varma keino saada huomiota ja herättää keskustelua. Hyökkäyksen kohteen maine on aina vaakalaudalla ja taloudelliset menetyksetkin ovat mahdollisia. Ennalta tehtyjä riskiarvioita tarvitaan.

Suojautuminen maksaa hyökkäystä enemmän

Lukuisat keinot auttavat varautumaan palvelunestohyökkäyksiin, mutta ne kaikki maksavat enemmän kuin muutaman satasen. "Pakettipesureilla" liikenteestä voidaan ennalta suunnitellusti poistaa selkeästi tarpeettomat liikennepaketit. Kapasiteettiakin voidaan lisätä niin, että palvelu kestää moninkertaiset käyttäjämäärät todelliseen tarpeeseen nähden ja asiakkaat voivat käyttää palveluita vaikka palvelua häirittäisiinkin. Suodatukset ja lisäkaista saadaan toteutetuksi kohtuullisin kustannuksin, ja niiden avulla palvelunestohyökkäyksistä tehdään vähemmän näkyviä.

Tärkeää on ottaa huomioon, että verkkopalvelun teknisen arkkitehtuurin keskittäminen altistaa samasta pisteestä tarjotut palvelut muille, vakavammillekin tietoturvauhkille kuten järjestelmät jumiuttaville haittaohjelmille ja suuria tietomassoja kerääville tietomurroille.

Kestävyyden kasvattamiseksi digitaalisten palvelujen tarjonta kannattaa hajauttaa verkossa eri osiin. Toteutus vaatii suunnittelua, lisätyötä ja kustannuksia. Hajautus on kuitenkin tehokas keino varautua palvelujen sisälle kohdistuviin kyberuhkiin, ja se auttaa vähentämään palvelunestohyökkäysten kokonaisvaikutuksia.

Riittävästi hajautettu?

Palveluiden hajauttamisessa kyse on samasta kuin esimerkiksi rakennuksen paloturvallisuudessa tai metsäpaloissa. Eri palveluiden välille rakennetaan ikään kuin palo-ovia ja ojia, jolloin liekit eivät pääse leviämään suoraan toiselle alueelle.

Samassa järjestelmässä toteutetut verkkopalvelut kokevat samat uhat, kun taas eriytetyt alueet voidaan suojata itsenäisesti. Aihe tuli tutuksi, kun seurasimme kesän metsäpalojen sammutustöitä Suomessa ja Ruotsissa. Fyysisen maailman turvallisuusopit pätevät pitkälti digitaalisessakin maailmassa, vaikka toteutus on tekninen.

Palvelun saatavuus ja turvallisuus eroteltava keskustelussa

Suomi on yksi maailman digitalisoituneimmista maista, joten toimivat ja laadukkaat verkkopalvelut ovat yhteiskuntamme toimivuuden kannalta merkittäviä.

Kansalaisena minulle on tärkeää, että sähköisissä palveluissa tietoni on säilötty turvallisesti ja että pääsen niihin käsiksi ajasta ja paikasta riippumatta.

Kun palveluja digitalisoidaan ja niiden ratkaisumalleja mietitään, täytyy päättää halutaanko palvelusta edullinen, tietoturvallinen vai helposti saavutettava. Samassa palvelussa kaikki nämä ominaisuudet eivät voi toteutua yhtäaikaisesti.

Palvelun kokonaisturvallisuus on tärkeintä

Digitaalisuus tuo kiistattomia hyötyjä, mutta myös uusia riskejä, joita ei ole aiemmin huomioitu. Vain harvoin turvallisuus ja tehokkuus kulkevat käsi kädessä. Tämä on syytä ottaa huomioon jo teknisten ratkaisujen suunnitteluvaiheessa ja riskiarvioita laadittaessa. Päätökset on tehtävä kokonaisuus, ei kustannukset, edellä.

Digitaaliset palvelut ovat vasta kehittymässä. Meillä on sauma näyttää esimerkkiä suomalaisesta osaamisesta ja kehittää turvallisten digitaalisten ratkaisujen yhteiskunta. Kun kestävät ratkaisut toimivat näyteikkunanamme maailmalle, meidän on helppo ottaa rooli osaamisen ja palvelujen kansainvälisenä tarjoajana.

Varmista omassa organisaatiossasi, että turvallisuus otetaan huomioon heti palveluiden suunnittelun ensi askeleista lähtien!

Jatketaan keskustelua Twitterissa: (at)JarnaHnen


Asiasanat: Tietoturva , Palvelunestohyökkäys , Blogit

LinkedIn Print