Digitalisoitu kyberrikollisuus – miten Sinun pitäisi toimia?

23.2.2016 Kimmo Rousku

8.2.2016 alkanutta viikkoa vietettiin mediataitoviikkona. Sivustolla aiheeseen johdatellaan näin: ”Medialaitteet ja median tarjoamat sisällöt mahdollistavat monia tapoja oppia ja kokea elämästä, mutta niiden parempi hyödyntäminen vaatii opetettavia taitoja. Virtaako meistä nettiin ja maailmalle riittävästi kaikkea hyvää?” Viikon teema oli ”Parempi netti virtaa meistä ” – mutta valitettavasti tuolla seassa virtaa myös rikollisia elementtejä. Miten meidän kaikkien pitäisi huomioida se työssä ja vapaa-ajan nettikäyttäytymisessämme?

Olemme keskellä valtavaa muutosta

Käyttämämme uudet päätelaitteet, tavat tuottaa palveluita ja tallentaa tietoja, ajasta ja paikasta riippumaton tietojenkäsittely yhdistettynä sosiaaliseen mediaan ovat olleet viime vuosien merkittävimpiä muutostekijöitä. Olemme keskellä valtavaa muutosta, jonka johtaminen tapahtuu kuitenkin valitettavasti vielä teknologiapohjaisesti, ei asiakaskeskeisesti ja –lähtöisesti.

Olisi helpottavaa, jos voisi todeta, että antaa ajan hoitaa ongelmat. Valitettavasti näin ei saa ajatella, koska tietoverkkorikollisista, erilaisista (ääri)ryhmittymistä sekä valtiollisista tiedusteluorganisaatioista tulee yhä ilmeisempi uhkatekijä kaikessa toiminnassa. Turvallisuuden eri osa-alueet pitää jatkossa sisällyttää kaikkeen toimintaan suunnittelupöydältä toteutukseen saakka ja huolehtia myös jatkuvan palvelun osalta sen turvallisuudesta.

Uusia uhkia liukuhihnalta

Viimeisen vuoden aikana Viestintävirastossa toimiva Kyberturvallisuuskeskus on joutunut ahkerasti tiedottamaan nopeasti leviävistä haittaohjelma- ja muista kampanjoista, joilla yritetään saavuttaa taloudellista hyötyä tai saada haltuun salassa pidettäviä tietoja, tai kenties pyrkiä muuttamaan (sabotoimaan) niiden sisältöä.

Tällaisten perinteisten keinojen ohella on syntynyt myös toisenlainen mediavaikuttaminen sisältäen erilaisia ilmiöitä; esimerkiksi trollaus ja huijausprofiilit ja niiden kautta tapahtuva urkinta sekä vaikuttaminen.

Olemmeko me suomalaiset edelleen liian sinisilmäisiä ja viattomia luottaessamme erilaisten palveluiden ja laitteiden turvallisuuteen ja niiden turvalliseen käyttämiseen? Miksi joku olisi minusta tai ”kotona” olevista tiedoista on kiinnostunut? Siksi, että niiden kautta voidaan päästä hyökkäämään jonnekin muualle, esimerkiksi työpaikallesi tai kotonasi olevia suojaamattomia laitteita voidaan käyttää apuvälineinä; esimerkiksi huijauspalvelimina, palvelunestohyökkäyksiin tai muuten kerätä laitteen kautta kulkevaa tietoa.

Suomella on hyvä maine puhuttaessa maailman puhtaimmista verkoista tai päätelaitteista. Tästä kiitos kuuluu paljon teleoperaattoreillemme, jotka pystyvät pitämään verkot puhtaina ja sitä kautta osaltaan vaikuttavat päätelaitteittemme puhtauteen eli pieneen haittaohjelmien määrään.

Valitettavasti tämä ei kuitenkaan ole koko totuus. Pinnan alta löytyy kokonaan toisenlainen maailma sellaisia uhkia, joita perinteisin keinoin ei havaita. Niiden määrästä, olemassaolosta ja levinneisyydestä meillä ei voi olla kuin aavistuksia, ellei organisaatiossa ole erityisesti kehitetty välineitä tällaisen toiminnan havainnointiin ja analysointiin.

Mitä sinun pitää osata?

Jos omat reilun kahdenkymmen vuoden opit tietoturvallisuuden puolella pitäisi tiivistää käytännön ohjeiksi, olisivat ne seuraavat viisi asiaa:

  1. Jos jokin tuntuu olevan liian hyvää ollakseen totta, se ei silloin mitä todennäköisimmin ole totta! Älä tule huijatuksi, vaan kysy ja varmista organisaatiosi tukihenkilöiltä tai omalta esimieheltä ennen kuin teet mitään sellaista, joka voi aiheuttaa tietojen tai rahojen menetystä. Ole varovainen myös vapaa-ajalla. Aina, jos epäilet jonkin olevan pielessä, kysy ja tee ilmoitus!
  2. Hallitse riskejä. Jokainen meistä tekee päivittäin kymmeniä, jopa satoja riskienhallintapäätöksiä, osan tiedostamatta, osan tietoisesti. Älä ota sellaisia riskejä, joiden vaikutus voi olla toteutuessaan suuri, etenkin jos todennäköisyys on myös ilmeinen.
  3. Huolehdi käyttäjätunnusten ja salasanojen turvallisesta hallinnasta. Jaottele ne esimerkiksi kolmeen kategoriaan, jossa tärkeimmät salasanat ovat aina ainutkertaisia, laadukkaita salasanoja. Sellaisiin palveluihin, joissa sinulla ei ole tallessa tärkeitä tietoja (taloudellisia tietoja, henkilötietoja, nettiostamiseen liittyviä tai muuten salassa pidettäviä), voit käyttää vaikka samaa, laadukasta salasanaa.
  4. Huolehdi teknisten laitteiden turvallisuudesta. Työpaikalla tämä vastuu on työnantajan tietohallinnolla. Vapaa-ajalla varmista, että päätelaitteesi lukittuvat automaattisesti. Niissä tulee olla pin- ja turvakoodit kunnossa sekä automaattisesti päivittyvät käyttöjärjestelmät ja muut tuotteet.
  5. Tutustu Vahtiohje-sivustolla julkaistuihin sarjakuviin ja julisteisin!

Lue lisää Mediataitoviikosta ja opi uutta mediataidoista

Mediataitokoulu

 

Lisää hyödyllistä luettavaa

VAHTI-ohjeet

Kyberturvallisuuskeskus

Artikkeleita Varmuuden vuoksi -verkkolehdessä:

Suomi yltää kyberturvallisten maiden joukkoon

Kyberturvallisuus kiinnostaa 

 
 

Kimmo Rousku

Kimmo Rousku on toiminut ICT- ja tietoturva-alalla vuodesta 1985 saakka. Kimmo toimii valtiovarainministeriössä valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) pääsihteerinä. Tietoturva ry valitsi hänet vuoden 2015 tietoturvapäälliköksi. Kimmon kirjoituksiin voit tutustua mm. Tietoviikon Turva-satama-blogeissa. Hän julkaisi vuonna 2014 Kyberturvaopas-teoksen, jota ennen hän on ollut mukana kirjoittamassa lähes 20 tietotekniikkaa käsittelevää teosta. Twitter @kimmorousku

Kommentoi "Digitalisoitu kyberrikollisuus – miten Sinun pitäisi toimia?"

Antamaasi sähköpostiosoitetta ei julkaista sivustolla.

Anna osoite täydellisessä muodossa (esim. http://www.oma-osoite.com)

 

Haluan saada tiedon uusista kommenteista antamaani sähköpostiosoitteeseen.

  ______    _____     ______     ___     _    _   
 /_   _//  |  ___||  /_   _//   / _ \\  | || | || 
   | ||    | ||__      | ||    / //\ \\ | || | || 
  _| ||    | ||__     _| ||   |  ___  ||| \\_/ || 
 /__//     |_____||  /__//    |_||  |_|| \____//  
 `--`      `-----`   `--`     `-`   `-`   `---`   
                                                  
 
 

Ei kommentteja "Digitalisoitu kyberrikollisuus – miten Sinun pitäisi toimia?"