Maanantaina joukkoliikenteen käyttäjät saivat huomata, että HSL:n reittiopas-sovellus ja nettisivut reistailivat pahasti. Samalla lippujen ostaminen muuttui toivottoman hitaaksi. Ongelma johtui palvelunestohyökkäyksestä, jota ei ole vieläkään saatu loppumaan. Ajoittain ongelma koski muidenkin kaupunkiseutujen, kuten Turun ja Tampereen, reittioppaita, joilla on yhteinen Digitrans-taustapalvelu.
HSL ei suostu turvallisuussyistä kertomaan, mitä toimenpiteitä tähän mennessä on tehty hyökkäyksen selättämiseksi. Hyökkäyksen torjuminen sitoo paljon omia resursseja sekä työllistää taustajärjestelmien toimittajia.
Ainakaan vielä kaikki keinot eivät ole purreet, sillä mobiilisovelluksen reittiopas on yhä alhaalla.
Palvelu toimii periaatteessa, mutta hyökkääjä kuormittaa sitä niin ankarasti ylimääräisillä palvelupyynnöillä, etteivät oikeat käyttäjät saa riittävän nopeasti tarvitsemaansa palvelua. Tilannetta voi verrata pitkään jonoon, joka on täynnä haamuasiakkaita.
HSL:n viestintä ei pystynyt arvioimaan, onko reittioppaan takkuilu vähentänyt tällä viikolla joukkoliikenteen käyttöä. Käyttäjämäärissä on tapahtunut notkahdus, mutta palvelunestohyökkäys sattui samaan aikaan lumikaaoksen kanssa. Siksi hyökkäyksen vaikutuksia on mahdoton sanoa.
Liikennevälineiden liikkumiseen palvelunestohyökkäys ei ole vaikuttanut, HSL:ltä muistutetaan.
Hyökkäykset ovat yleistyneet
Kotimaisiin organisaatioihin on kohdistunut poikkeuksellisen paljon palvelunestohyökkäyksiä syksyn ja etenkin nyt joulukuun aikana, kertoo Kyberturvallisuuskeskus. Suurimmasta osasta hyökkäyksistä ei ole näkyvää haittaa.
Kohteena ovat olleet etenkin valtionhallinnon sekä finanssi- ja sote-sektorin toimijat.
Pääosa hyökkäyksistä on pieniä ja lyhytkestoisia. Kokoluokka on vaihdellut muutamasta gigabitistä 30 gigabitin tasolle sekunnissa. Joissakin tapauksissa hyökkäykset ovat jääneet parinkymmenen minuutin mittaisiksi, kun on havaittu, että suojaukset toimivat.
Palvelunestoissa hyökkääjät käyttävät usein bottiverkkoa, joka koostuu kaapatuista tietokoneista ja muista internetiin kytketyistä laitteista. Hyökkäykset ovat usein siis voimalaji, joka vaatii hyökkääjältä resursseja eli volyymia ja kestoa.
– Ei voi vetää suoraan johtopäätöstä, että pitkään kestävä hyökkäys olisi teknisesti mitenkään edistyksellinen, täydentää tietoturva-asiantuntija Harri Holmström Kyberturvallisuuskeskukselta.
Palvelunestohyökkäyksiä tekevät kyberrikolliset, valtiolliset toimijat, järjestöt tai jopa yksittäiset ihmiset. Hyökkäyksiä voi ostaa myös palveluna rikollisilta. Toiminnan motiivina voi olla esimerkiksi ilkivalta, julkisuuden tavoittelu tai informaatiovaikuttaminen.
Kyberturvallisuuskeskus ei kommentoi arveluja, että lisääntyneiden hyökkäysten takana olisi Venäjä.
Torjuja blokkaa haitallisen liikenteen
Toisin kuin esimerkiksi tietomurroissa, palvelunestohyökkäyksiä ei voi usein torjua paikkaamalla mahdollisia tietoturva-aukkoja. Palvelunestoa torjutaan riittävällä tietoliikennekapasiteetilla sekä tunnistamalla ja suodattamalla haitallinen liikenne niin sanotulla pakettipesurilla. Liikenne voidaan estää myös maantieteellisesti.
– Palvelunestohyökkäyksiä tulee Suomeen ympäri maailmaa riippumatta siitä, kuka ne aiheuttaa, Holmström kertoo.
Vaikutuksiltaan palvelunestohyökkäykset ovat erilaisia. Tavallisesti hyökkäyksen haitta poistuu, kun hyökkäys päättyy, ja palvelu toimii jälleen.
– Joskus hyökkääjä lopettaa hyökkäyksen, kun huomaa, ettei sillä ole vaikutusta.
Palvelunestohyökkäykset ovat yksi kyberhyökkäysten laji. Palvelunestohyökkäys on rikos, joka menee poliisin tutkittavaksi. Kyberturvallisuuskeskus ei etsi hyökkäysten syyllisiä.
– Jos reittiopas ei toimi, siitä on lähinnä harmia. Mutta yhteiskunnassa on kohteita, joiden lamaantuminen voi vaarantaa esimerkiksi potilasturvallisuuden.
Teksti ja kuva: Janne Luotola