Ovatkohan noudattaneet ohjeita?
Lyhennettynä: Matkaviestinpalveluita voi käyttää turvallisesti tavalliseen viestintään. Erityisesti arkaluontoisten tietojen välittämiseen tulisi matkaviestinverkon sijasta käyttää viestintäjärjestelmää, jossa on päästä päähän ulottuva salaus.
Huonosta linjasta ym. ei salakuuntelu liene syypää sillä alla on todettu, että käyttäjällä ei ole mahdollisuutta havaita väärinkäytöksiä omasta päätelaitteestaan.
"
Matkaviestinnän luottamuksellisuuteen kohdistuu tietoturvauhkia
06.05.2015 klo 13:06
Matkaviestinverkkoihin kohdistuu erilaisia viestinnän luottamuksellisuutta heikentäviä uhkia. Sen vuoksi erityisen arkaluontoisten tietojen välittämiseen tulisi käyttää viestintäjärjestelmää, jossa on päästä päähän ulottuva salaus.
Viime aikoina on nostettu esiin useita uhkia, jotka heikentävät matkaviestinverkkojen luottamuksellista viestintää. Älypuhelimien haittaohjelmat ovat yleistyneet, puhelinliikennettä ja puhelinten tunnistetietoja on mahdollista tarkkailla esimerkiksi valetukiasemilla ja alkukeväästä paljastui epäily SIM-korttivalmistajaan kohdistuneesta tietomurrosta.
Lisäksi joulukuussa 2014 Hampurissa pidetyssä tietoturva-alan konferenssissa kerrottiin keinoista väärinkäyttää teleyritysten välistä SS7-sanomaliikennettä vakaviin tietoturvaloukkauksiin.
Viestintäviraston Kyberturvallisuuskeskus haluaa muistuttaa, että myös matkaviestinverkon palveluihin kohdistuu tietoturvauhkia. Jokaisen tulisi pohtia mitä asioita ja miten matkaviestinverkon avulla on turvallista viestiä. Erityisesti arkaluontoisten tietojen välittämiseen tulisi matkaviestinverkon sijasta käyttää viestintäjärjestelmää, jossa on päästä päähän ulottuva salaus.
SS7-sanomaliikenteen väärinkäytösmahdollisuudet ovat vakavia, mutta vaikeasti hyödynnettäviä
SS7-sanomat ovat matkaviestinverkon toiminnan kannalta välttämättömiä. Ne mahdollistavat muun muassa puheluiden ja muiden viestien välittämisen teleyrityksen oman verkon sisällä sekä eri teleyritysten verkkojen välillä.
Teleyritysten välisen SS7-sanomavälityksen ratkaisut on suunniteltu 1970- ja 1980-luvuilla. Verkko on alusta alkaen rakennettu suljetuksi, ja sen osapuolet ovat olleet luotettuja. Esiin nousseet verkon väärinkäytösmahdollisuudet liittyvät juuri toimijoiden väliseen luottamukseen perustuvaan toimintamalliin.
SS7-sanomia väärinkäyttämällä on joissain tapauksissa mahdollista:
- käyttäjän sijainnin selvittäminen ja seuraaminen
- puheluiden salakuuntelu ja nauhoittaminen
- radioliikenteessä käytetyn salauksen purkaminen
- liittymän irtikytkeminen matkapuhelinverkosta eli viestinnän estäminen ja
- liittymän laskutuksen manipuloiminen petoksellisesti.
Käyttäjällä ei ole mahdollisuutta havaita väärinkäytöksiä omasta päätelaitteestaan.
Väärinkäytösten hyödyntäminen vaatii kuitenkin pääsyä teleyritysten väliseen suljettuun SS7-sanomia välittävään verkkoon sekä erityistä perehtyneisyyttä SS7-järjestelmän toimintaan ja taustatietoa kohteena olevan teleyrityksen sisäisestä verkon rakenteesta. Tavallisen verkon käyttäjän ei siis ole mahdollista hyödyntää näitä väärinkäytösmahdollisuuksia.
Suomessa ei ole havaittu väärinkäytöksiä
Viestintäviraston Kyberturvallisuuskeskus suhtautuu SS7-verkon väärinkäytösmahdollisuuksiin erittäin vakavasti. Kyberturvallisuuskeskuksen tekemien selvitysten perusteella suomalaiset teleyritykset eivät ole havainneet Hampurissa kerrottuja SS7-sanomavälitykseen liittyviä väärinkäytöstapauksia omissa verkoissaan.
Suomalaiset teleyritykset ovat suojautuneet osalta väärinkäytösmenetelmistä. Lisäsuojautumiseksi sekä havainnointikyvyn parantamiseksi on käynnistetty toimenpiteet teleyritysten ja viranomaisten yhteistyöllä.
Matkapuhelinta voi käyttää normaaliin viestintään
Matkaviestinpalveluita voi käyttää turvallisesti tavalliseen viestintään. Kannattaa kuitenkin miettiä, vaatiiko viestin sisältö suojausta. On syytä esimerkiksi pohtia, kuka voisi hyötyä sisällöstä tai onko oman sijainnin paljastuminen kriittistä. Matkaviestinverkko ei sovellu arkaluontoisten asioiden viestintään siihen kohdistuvien tietoturvauhkien vuoksi.
Turvallisuusluokitellun viranomaistiedon välittämiseen on Viestintäviraston NCSA-toiminnon hyväksymiä salaustuotteita. "
http://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/05/ttn201505061306.html
http://www.iltalehti.fi/uutiset/2015092420412440_uu.shtml