Tietoturva kansalaistaidoksi

DNA Business

Maailma on muuttunut, ja niin myös ne kansalaistaidot joita meiltä vaaditaan toimintavarman yhteiskunnan ja hyvän elämän ylläpitämiseksi.

Tietoturva-asiantuntijat kertovat käytännön esimerkkien kautta, miten tietoturva vaikuttaa jokapäiväiseen elämäämme ja miten tietoturvan laiminlyönti voi hankaloittaa arkea. Benjamin Särkkä on verkkorikollisuuden torjuntaan tarvittavien taitojen levittämiseen pyrkivän Disobey-hakkeritapahtuman pääjärjestäjä ja Oona Räisänen maineikas suomalainen hakkeri.

Särkkä ja Räisänen ovat niin sanottuja hyviä hakkereita, jotka paljastavat tietoturva-aukkoja yleiseen tietouteen. Ilman hyviä hakkereita vain rikolliset tietäisivät tietoturva-aukoista, joten hyvien hakkereiden työ on koko yhteiskunnan kannalta merkittävää.
Kaikki artikkelissa käsitellyt tapaukset perustuvat aitoihin esimerkkeihin tai tämänhetkisiin todellisiin uhkakuviin.

Kaikki artikkelissa käsitellyt tapaukset perustuvat aitoihin esimerkkeihin tai tämänhetkisiin todellisiin uhkakuviin.

Maailma on muuttunut, ja niin myös ne kansalaistaidot joita meiltä vaaditaan toimintavarman yhteiskunnan ja hyvän elämän ylläpitämiseksi.

Tietoturva-asiantuntijat kertovat käytännön esimerkkien kautta, miten tietoturva vaikuttaa jokapäiväiseen elämäämme ja miten tietoturvan laiminlyönti voi hankaloittaa arkea. Benjamin Särkkä on verkkorikollisuuden torjuntaan tarvittavien taitojen levittämiseen pyrkivän Disobey-hakkeritapahtuman pääjärjestäjä ja Oona Räisänen maineikas suomalainen hakkeri.

Särkkä ja Räisänen ovat niin sanottuja hyviä hakkereita, jotka paljastavat tietoturva-aukkoja yleiseen tietouteen. Ilman hyviä hakkereita vain rikolliset tietäisivät tietoturva-aukoista, joten hyvien hakkereiden työ on koko yhteiskunnan kannalta merkittävää.

Kaikki artikkelissa käsitellyt tapaukset perustuvat aitoihin esimerkkeihin tai tämänhetkisiin todellisiin uhkakuviin.


1. Kuukausien uurastuksen jälkeen gradu on viimein valmis. On aika pienelle juhlalle ja rentoutumiselle kissavideoiden parissa. Muutama välilehti muuttuu kymmeniksi, ja loppuillasta on jo tehnyt pari heräteostostakin.

Aamulla kone käynnistyy jotenkin hitaasti. Hetken kuluttua selviää, että ikävä lunnasohjelma on tunkeutunut koneelle illan huolimattomista selailuista. Gradua ei saa auki. Lunnasohjelma vaatii tuhannen euron lunnaat sen palauttamisesta. Köyhän opiskelijan budjetti ei siihen riitä, mutta gradu on saatava takaisin.

Soitto poliisiin paljastaa, että mitään ei ole kuitenkaan tehtävissä. Joko maksat tai menetät kaiken työn. Lunnasohjelma vihjaa toisestakin vaihtoehdosta: jos ujuttaa haittaohjelman kahden kaverin koneelle, saa gradun takaisin maksamatta mitään…

”Lunnashaittaohjelmat ovat nopeasti vallanneet verkkorikollisuudessa isot markkinat. Uusia variaatioita ilmestyy jatkuvasti, ja lunnashaittaohjelmia saa ostettua palveluna. Salattujen tiedostojen palauttaminen ei käytännössä ole mahdollista ilman lunnaiden maksamista”, Benjamin Särkkä kertoo.

 Tarvittu kansalaistaito: VARMUUSKOPIOINTI

Kaikilla meillä on digitaalista sisältöä, jonka katoaminen olisi katastrofi. Gradun sijasta ne voivat olla vaikka kaikki kuvat omasta lapsesta vauvaiässä tai arkisto työhön liittyvistä tiedoista. Kaikki ne ovat uhassa joutua lunnaiksi, mikäli niitä ei varmuuskopioi. Mitään tärkeää tietoa ei tule säilyttää vain yhdessä paikassa. Hyvä ratkaisu on pitää kaikki todella oleellinen tietokoneen lisäksi tallessa ulkoisella kiintolevyllä ja lisäksi pilvessä. Näin tietokoneen käyttöjärjestelmän uudelleen asentaminen ei aiheuta minkään tiedon menettämistä. Uusia koneita saa kaupasta, mutta omia tiedostoja ei.


2. Somessa kohistaan uudesta hienosta selfieohjelmasta, joka muuttaa valokuvista tai lyhyistä videoista oman naaman näyttämään söpöltä anime-hahmolta. Koko some on sinä päivänä täynnä uusia ohjelmalla tehtyjä profiilikuvia.

Vaikka yleensä tällaisesta ei kiinnostu yhtään, nyt oli niin hieno kuva kaverista sarjakuvahahmona, että pakko on itsekin kokeilla. Ohjelma latautuu nopeasti. Sen kanssa on hauskaa illan ja vielä seuraavan päivän lounastauollakin. Ilo laantuu pian, mutta oli se sen arvoista olla kerrankin somen aallonharjalla.

Seuraavana päivänä odottaa viesti tuntemattomalta henkilöltä Facebookissa. Tämä kertoo huonolla englannilla, että jos et tahdo puhelimesi arkaluontoisimpia tietoja lähetettäväksi perheellesi, työyhteisöllesi, ja kaikille Facebook-kavereillesi, tulee kiristäjälle välittömästi siirtää suuri summa rahaa.

”Henkilötietojen myyminen on iso business, jossa varomaton kuluttaja on pelkkä tuote. Monet sovellukset ja hauskat nettikyselyt ovat kehitetty kuluttajien henkilötietojen keräämiseen. Yksityisyydensuojan kannalta on oleellista tunnistaa mitä tietoja voi jakaa ilman pelkoa mahdollisesta väärinkäytöstä”, Benjamin Särkkä valistaa.

Mitkä sitten ovat riskialttiita yksityisiä tietoja ja mitkä taas turvallisia? Se riippuu jokaisesta itsestään ja tilanteesta, ja niitä on mahdotonta kattavasti yleisellä tasolla määritellä.  Useimmille kuitenkin esimerkiksi luottokorttitiedot, intiimeissä tilanteissa otetut valokuvat ja monet henkilökohtaisiin asioihin liittyvät keskustelut ovat sisältöä, jonka ei halua leviävän mihinkään.

 Tarvittu kansalaistaito: ÄLÄ KIIREHDI, OTA OMAKSUMISEEN AIKAA

Yleensä villityksiksi yltyneet viraali-ilmiöt ovat turvallista hömppää ja korkeintaan pyrkivät mainostamaan sinulle jotain. Välillä ne tosin piilottavat sisäänsä ikävämpiä aikeita. Kaikkeen uuteen ei ole pakko tarttua heti, kun se tulee saataville. Jos odottaa päivän, ei ehkä pääse paistattelemaan nopealla omaksumisella, mutta ehtii ainakin nähdä alkavatko raportit sovelluksen aiheuttamista tuhoista levitä verkossa. Kiirehtimistä pitää välttää myös sovellusta asentaessa. Kaikkien sovellusten kohdalla pitäisi lukea mitä oikeuksia ne puhelimesta haluavat. Jos et ymmärrä miksi sovelluksen pitää saada oikeus johonkin, älä anna sitä sille.


3. Työviikko on mennyt mukavasti ja kiireettömästi – vähän liiankin helposti. Torstai-iltapäivästä viisi minuuttia ennen töiden loppumista pomolta tulee sähköposti, joka ihmettelee miksi alihankkijayritys ei vieläkään ole saanut maksua, jonka piti mennä läpi jo maanantaina.

Paniikki hiipii päälle, mutta asiahan on heti korjattavissa. Äkkiä vain sähköpostiliitteenä mukana tullut lasku maksuun. Nopean järjestelmän ansiosta sen saa maksettua ihan muutamassa minuutissa. Töistä pääsee lähtemään melkein ajoissa.

Aamulla vihainen esimies odottelee jo työpisteellä. Viesti olikin huijaus, joka oli naamioitu näyttämään kuin se olisi lähetetty pomon tietokoneelta. Todellisuudessa se on tullut rikolliselta, joka on muutaman minuutin työllä varastanut yritykseltä huikean summan rahaa.

”Sähköposti on vain yksi keino. Jotkut rikolliset esimerkiksi naamioituvat IT-tueksi ja soittavat tukipuheluita, joiden avulla pyritään saamaan kohteen tietokone haltuun. Petoksen voi naamioida monella eri tavalla”, muistuttaa hakkeri Oona Räisänen.

 Tarvittu kansalaistaito:  KYSEENALAISTA KAIKKI EPÄILYTTÄVÄ

Suurin tietoturvariski on työntekijä – 79 prosenttia tietovuodoista yrityksissä johtuu ihmisestä*. On lähes loputon määrä tapoja huijata ihmistä uskomaan, että tämä on tekemässä mitä yhteistyökumppanit, kollegat tai esimiehet pyytävät. Jos saat vaikkapa sähköpostissa yllättävän pyynnön, erikoiselta vaikuttavan tukipuhelun tai postissa mukamas asiakkaan lähettämän muistitikun, älä toimi heti. Jos epäilyttää, kysy. Soita ensin viestin tai muun oudolta vaikuttavan sisällön lähettäjälle. Tiedustele lähituelta miten voit tarkastaa muistitikun sisällön turvallisesti. Älä luota liikaa. Hölmöltäkin tuntuva kysymys saattaa säästää monelta ikävältä vaivalta.


4. Älykoti innostaa, joten kännykällä ohjattavat stereot, valaistus, ja muutama pistorasia tuli hankittua ihan ensimmäisten joukossa. Nyt jopa kahvinkeitin kertoo puhelimeen, kun juoma on valmista.

Perjantai-iltana valot alkavat yhtäkkiä vilkkua. Ensin hitaasti, sitten ärsyttävän nopeasti säristen. Tylsyyttään purkava kiusaaja on skannannut verkkoa, löytänyt kotisi turvattomat uudet älylaitteet ja pitää nyt kustannuksellasi hauskaa.

Kalliit etäohjattavat lamput palavat kantoihinsa ja talo pimenee. Tuhat kertaa minuutissa päälle ja pois kytkeytyvien etäpistorasioiden jännitepiikit käräyttävät tietokoneen, stereot ja telkkarin.

”Sulautetuissa järjestelmissä tai IoT-laitteissa turvallisuus harvoin on avainasemassa. Usein tuote pyritään saamaan markkinoille myyntikatteen ohjaamin ehdoin. IoT-laitteiden suojaaminen ja siten sen turvallisuus jää siis nykyisellään kuluttajan vastuulle”, Särkkä kertoo.

 Tarvittava kansalaistaito: TUNNISTA RISKIT VERKKOON LIITETTÄVÄSTÄ TEKNIIKASTA

Tekniikka on hauskaa ja uudet ilmiöt kiehtovat. Aivan jokaista asiaa ei kuitenkaan ole tarpeen ohjata puhelimella varsinkaan vielä älykotilaitteiden kehityksen alkuvaiheilla. Älä vie tekniikkaa sinne missä et sitä ihan oikeasti tarvitse. Anna muiden olla koekaniineja uusien turhakkeiden kanssa.


5. Etähallittava auto tekee aamuista mukavia. On kivaa pistää lämmitys päälle aamiaispöydässä uutisia lukien. Samalla voi kätevästi tarkastaa, riittääkö bensa tämän päivän reitille vai onko jo nyt koukattava asemalle.

Hymy tosin hyytyy, kun parin viikon päästä auto ei aamulla vastaakaan tabletin kutsuun. Koska se kuitenkin pitää paukkupakkasilla ensin lämmittää, on ulos vaivauduttava jo kesken kahvikupin.

Pian selviää, että auto ei inahdakaan edes avainta virtalukossa kääntämällä. Joku on murtautunut valmistajan palveluun ja silkkaa kiusaa tehdäkseen lähettänyt kaikille saman mallin autoille käskyn pistää pitkät päälle aamuyön tunteina. Nyt akku on tyhjä, töihin on tunnin matka, ja bussipysäkille kävelee ainakin pari varttia.

”Internetiin kytkettävien älylaitteiden suunnittelussa tietoturva ei valitettavasti ole etusijalla. On jopa olemassa erityisiä hakukoneita, joilla näitä haavoittuvia laitteita voi etsiä. Valmistajien tulisi huolehtia, että laitteiden vakioasetukset ovat turvalliset”, Oona Räisänen pohtii.

 Tarvittava kansalaistaito: HANKI TEKNISET RATKAISUT LUOTETTAVILTA TAHOILTA

Vaikka käyttäisit itse tekniikkaa turvallisesti, se ei auta huonojen laitteiden kanssa. Kun myyjä tai valmistaja kertoo sinulle, mitä kaikkea hienoa voit uudesta hankinnasta hallita puhelimellasi, älä tyydy siihen. Kysy, miten tietosi on turvattu, miten estetään tietomurtajan pääsy järjestelmään ja miten omaisuuttasi suojellaan virheiltä valmistajan päässä. Jos et saa hyviä vastauksia, älä osta. Paine valmistajien laaduntarkkailuun kasvaa.


6. Tiedät, että sinua seurataan teknisesti. Valveutuneena tietokoneen käyttäjänä olet perillä, että tehdessäsi tuotehakuja verkossa samat tuotteet päätyvät sivujen mainoksiin hyvinkin vikkelään. Nyt kuitenkin on tapahtunut jotain aivan erityistä.

Juttelit lounaalla kollegan kanssa siitä mitä kaikkea korjattavaa seuraavaan purjehduskauteen mennessä pitää veneellä hoitaa kuntoon. Työkaveri leikillään ehdottaa uuden veneen hankintaa. Takaisin työpisteelle tullessasi verkkosivut mainostavat sinulle jo venekauppoja.

Mutta miten se on mahdollista, että työkaverin vitsi voi olla mainostajien tiedossa? Ellei sitten … kännykkä oli taskussa. Jos älypuhelintasi käytetäänkin salakuunteluun? Eikö mitään enää voi tehdä ilman kaiken näkevän teknisen silmän valvontaa?

”Massavakoilukoneisto ja koko kansainvälinen tiedusteluyhteisö aiheuttaa varmasti kylmiä väreitä kaikille asiaan vihkiytyneille. Vakoojat tuskin kuitenkaan ovat kiinnostuneita ihan kaikista. Internetin varomaton käyttö on suurempi vaara. Älytelevision siirtäessä puhedataa liikenne huomattiin heti. Suomenkielisen puhedatan ymmärtäminen mainostarkoituksiin taas vaikuttaisi olevan urbaani legenda”, Benjamin Särkkä valistaa.

 Kansalaistaito: ÄLÄ PELKÄÄ KAIKKEA

Kun päivästä toiseen saa kuulla, että tekniikka on yhtä esterataa, alkaa helposti keksiä uhkia. Todellisuudessa viereisessä pöydässä istunut kollega kiinnostui veneistä ja varttia aiemmin työpisteelle tultuaan alkoi googlata venekauppoja. Koska koko toimiston verkkoliikenne näyttää mainostajille tulevan samasta osoitteesta, työkaverin hakujen seuraukset näkyvät myös sinun ruudullasi. Omaa mielikuvitusta ei kannata alkaa säikkymään – todellisia vaaroja on aivan tarpeeksi.

*Verizonin tietoturvatutkimus; Verizon Data Breach Investigations Report 2015/2016

LISÄÄ AIHEESTA