Pulupalsta

Palstan hoitoa jo vuodesta 2006

Tietoturvan hyvät käytännöt

Arvosana: 1.00/5   Vierailuja: 236  Julkaistu: 2017-08-12  Muokattu: 2017-08-12
Avainsanat: turvallisuus, tietokone, raha
Sisällysluettelo

Lyhyesti

Kirjoitus sisältää käytännön vinkkejä, miten henkilökohtaista tietoturvaa voi kohentaa helpoiten.

Artikkelihistoria

  • 2017-08-12 Artikkeli julkaistu.
  • 2017-07-27 Artikkelin teko aloitettu.

1. Motivaatio

Tietoturvan merkitys on kasvussa. Ihmisten resurssit ja identiteetit, siis elämä ylipäänsä, siirtyvät lisääntyvissä määrin digitaaliseen maailmaan, ja kun ajattelemme, ettei juuri minun tiedoilla tai tunnuksilla ole merkitystä, niin viimeistään kohta on. Nyt jo monella alalla työnsaanti riippuu paljon LinkedIn-profiilista ja monet yllättävätkin tahot voivat tehdä profilointia Facebook- tai Google-identiteettien perusteella. Tulevaisuudessa vakuutusten ja asuntolainojen hinnat määräytynevät digitaalisen preesensin pohjalta. Kyse on maineesta. Jos omien reissu- tai lasten kuvien menettäminen ei haittaa, niin kannattaa suojata ainakin omat digitaaliset profiilit.

Jos sinulla on luottamussuhde toiseen - kenties merkittävässäkin asemassa olevaan - henkilöön, voidaan sinun identiteettiäsi hyväksi käyttämällä päästä myös häneen käsiksi. Myös laitteitasi voidaan käyttää palvelunestohyökkäyksiin kolmansia osapuolia vastaan, joten nykyään on melkein kansalaisvelvollisuus huolehtia omasta digitaalisesta suojastaan.

Tunnettuja tietoturvaloukkauksia viime vuosilta ovat esimerkiksi Suomen Ulkoministeriön vakoilutapaukset sekä toimitusjohtajahuijaukset, jollaisella vast'ikään huijattiin 17.2 miljoonaa euroa pörssiyhtiö Konecanesin tytäryhtiöltä. Yhdysvaltojen Kansallinen turvallisuusvirasto (NSA) onnistui vakoilla vuosikymmenen ajan lukuisia valtioita ja henkilöitä, kuten esimerkiksi Saksan liittokansleri Angela Merkeliä. Erilaisia tietokantamurtoja tapahtuu harva se päivä. Kuka tahansa voi joutua hyökkäyksen uhriksi.

2. Ongelma

Digitaalisten identiteettien ja resurssien suojaaminen on perinteistä fyysistä maailmaa hankalampaa. Vaikka kadullakin voro voi viedä lompakon tai kännykän, on globaali internet kasvottomana ja alati muuttuvana ympäristönä huomattavan paljon monimutkaisempi ja ongelmallisempi. Uusia tietoturva-aukkoja paljastuu päivittäin, ja kun ihmiset eivät päivitä järjestelmiään paikatakseen edellisiäkään aukkoja, niin ei ole ihme, että tietoturvaloukkaukset ovat yhä yleisempiä. Kaiken lisäksi on olemassa tuntematon määrä ei-julkisia tietoturva-aukkoja, joista uhrit voivat olla vuosikausia autuaan tietämättömiä.

Digitaalisia tietoturvaloukkauksia voi periaatteessa toteuttaa kuka tahansa ja kelle tahansa. Loukkauksia tehdäänkin ympäri maailman aina valtioista yrityksiin ja järjestäytyneistä rikollisista murrosikäisiin teineihin.

3. Ratkaisu

3.1. Teoreettinen pohdinta

Koska toimintaympäristö on niin monitahoinen ja jatkuvasti muuttuva, niin yhtä kaiken kattavaa ratkaisua ei ole olemassa - paitsi tietenkin internet-yhteyksien sulkeminen ja kirjoituskoneiden käyttäminen, kuten Venäjällä toimittiin NSA-vuotojen jälkeen. Toisaalta koska aina iso osa ihmisistä ei ole huolehtinut tietoturvastaan ollenkaan, niin muutamilla pikkujutuilla pystyy saamaan riittävän suojan, jolloin pahantekijät valitsevat mielummin jonkun toisen haavoittuvaisemman järjestelmän tai henkilön. Aivan samoin kuin etelänmatkallakaan ei kannata umpijurrissa kulkea turistikadulla setelitukku takataskussa, niin tietoturvankin kanssa pätee pareto prinsiipi, eli että perusasiat kuntoon laittamalla saavuttaa tietoturvassakin järkevän tason. Tässäkään asiassa kumpikaan ääripää, siis välinpitämättömyys tai vainoharhaisuus, ei ole optimaalinen.

On yleinen harhaluulo, että tietokonevirukset ovat tietoturvauhkista vaarallisimpia. Harha johtunee siitä, että viruksille löytyy perinteisestä maailmasta analogia. Harhaa ovat hyödyntäneet lukuisat virustutkia myyvät yritykset, joiden ohjelmistoista on yleensä vain haittaa, kun ne hidastavat käyttöjärjestelmää. Virustutkien fundamenttiongelma on se, että suojatakseen käyttäjää uusilta tietoturvauhkilta, tulee ne ensin päivittää ja siinä ajassa virukset ovat yleensä jo kerenneet saastuttamaan järjestelmän.

Todellisuudessa virukset eivät ole merkittävin tietoturvauhka, vaan sen sijaan käyttäjien omista virheistä johtuvien haavoittuvaisuuksien hyödyntäminen. Ihmisten salasanat ovat usein heikkoja, ohjelmistopäivitykset tekemättä ja yön pimeinä tunteina klikkaillaan epäilyttäviä linkkejä. Tietoturvan perimmäinen haaste ei varsinaisesti ole siis tekninen vaan psykologinen. Vaikka kaupalliset yritykset tuottavat ihmisten tietoturvaongelmiin jatkuvasti uusia helpotuksia, kuten automaattista varmuuskopiointia ja pakotettuja ohjelmistopäivityksiä, niin aivan kaikkea eivät viisaat insinööritkään pysty ratkaisemaan. Myös käyttäjiltä vaaditaan toimenpiteitä. Täydellistä ratkaisua ei ole olemassa, eikä koskaan tule olemaan, koska viimeisenä keinona käyttäjä voidaan aina kiristämällä pakottaa avaamaan portit. Tämän takia ei kuitenkaan kannata jättää tekemättä mitään.

Autentikointi, siis miten tietokone tunnistaa, kuka sitä käyttää, lienee yksi hankalimmista ongelmista. Tähän asti ratkaisu on ollut salasana, joka voidaan tallentaa mieleen ilman tarvetta säilyttää siitä kopiota missään muualla. Salasanan voi myös aina vaihtaa. Salasanan suurin heikkous on laiskat käyttäjät. Kun tarkastellaan ihmisten käyttämiä salasanoja julkisuuteen vuodetuista listoista, niin noin yhdellä prosentilla ihmisistä on hyvä salasana. Lähes kaikki käyttävät aivan liian yksinkertaisia salasanoja, jotka ovat tietokoneiden helppo murtaa. Palataan salasanoihin myöhemmin, mutta salasanojen laatu kertoo ihmisen psykologisesta harhasta, missä kuvitellaan, että juuri minun ei tarvitse asiasta välittää. Minun salasanallani ei ole merkitystä. Minuun eivät mainokset vaikuta. Minun jumalani on oikea. Minä olen valittu. On olemassa hyvät biologiset perusteet, miksi ihmiset tuntevat olevansa ainutlaatuisia, mutta salasanojen kanssa se johtaa turmioon.

Biometrisissä tunnisteissa on lukuisia ongelmia, koska niitä ei voi, tai ainakaan ei halua vaihtaa ja esimerkiksi iriksen ja sormenjäljen voi kopioida kameralla. Allekirjoittanut on kuullut pohdintoja, että jossain vaiheessa tietojärjestelmät keräävät meistä niin paljon dataa, että ne pystyvät päättelemään lukuisten erilaisten signaalien perusteella, kuka on milloinkin kyseessä. Jokaisella on esimerkiksi yksilöllinen kävelytyyli, kirjoitustapa, hengitysrytmi, reitinvalinnat ja niin edelleen. Toisaalta emme välttämättä halua maailmaan, missä tietokoneet tietävät meistä näin paljon.

Teoriasta enemmän kiinnostuneiden kannattaa tutustua myös hyökkäysvektoreiden ja -pintojen käsitteisiin. Siirrytään seuraavaksi kuitenkin käytännön vinkkeihin, eli miten tietoturvan perusasiat saadaan kuntoon järkevässä ajassa.

3.2. Käytännön vinkkejä

Aluksi on tietenkin hyvä arvioida, mitkä resurssit ovat itselle kriittisimpiä ja suojata ne ensimmäisenä. Useimmille se on kännykkä tai jokin muu mukana kulkeva laite, jossa ollaan yleensä kirjautuneena sähköpostitiliin ja useisiin muihinkin palveluihin. Jos hyökkääjällä on pääsy uhrin sähköpostitiliin, on hänellä käytännössä pääsy kaikkialle, missä kyseinen sähköpostiosoite on käytössä. Siispä hyvän PIN-koodin käyttö on erittäin suositeltavaa.

Valistunut käyttäjä seuraa Viestintäviraston tiedonantoja sekä ilmoittaa käyttämänsä sähköpostiosoitteet ja käyttäjätunnukset have i been pwned? -palvelulle, joka kertoo, jos tiedot vuotavat jonkin tietojärjestelmämurron yhteydessä.

3.2.1. Salasanat

Salasanojen tulisi olla pitkiä, vaikeita ja uniikkeja, jotta niiden murtaminen olisi tietokoneille riittävän vaikeaa. Koska ihmisillä on käytössään nykypäivänä jopa satoja eri tunnuksia, on ymmärrettävää, että moni käyttäjä valitsee yhä uudelleen vanhan tutun, lyhyen ja helposti muistettavan salasanan. Onneksemme on kuitenkin olemassa kaksi nerokasta ratkaisua, joiden avulla on mahdollista luoda samaan aikaan sekä helposti muistettavia että vaikeasti murrettavia salasanoja.

Yksi hyvä tapa luoda pitkiä, turvallisia ja helposti muistettavia salasanoja on luoda lauseita jostakin itselle läheisestä teemasta, mutta jota muut ihmiset eivät osaa arvata. Lisäksi kun salasanaan lisää sopivasti jotain hassuja muunnoksia ja erikoismerkkejä, niin salasana on varmasti turvallinen. Eli jos vaikka pidit lapsena Turtles-ukoista, niin salasana voisi olla esimerkiksi "Donat3lloPurpl3ssaHu:v:ssaan" tai "!TURTLES-vihreääVoimaa!". Toinen tapa on kehittää mielikuvamaailma esimerkiksi linnasta, jossa on huoneita ja huoneissa kummallisia esineitä, joista muodostaa salasanoja: "P1nkk1Pantter1Vall1haudassa^-^" tai "|-|PorttiPuNAINEN". Lauseet voivat olla pidempiäkin, jolloin salasanaan voi valita jokaisen sanan ensimmäisen, tai vaikka toisen kirjaimen: "Lvop,jsvvjse,tvt,k". Kolmas hyvä tapa tehdä salasanoja on ottaa kirjahyllystä viisi kirjaa ja valita niistä sattumanvaraisesti yhden sanan kustakin, joista muodostuva hassu lause on itse salasana. Hyvä salasana on ensisijaisesti pitkä eli vähintään 16 merkkiä. Toissijaisesti turvallisuutta voi lisätä myös numeroilla ja erikoismerkeillä. Mielikuvituksellisissa salasanoissa on hyvää myös se, ette ne oppii yleensä muistamaan kerrasta.

Toinen kätevä tapa salasanojen muistamiseen on salasanojen hallintaohjelmat, jonne voi tallentaa ei-kriittisten palveluiden salasanat. Tällöin salasanoina voidaan käyttää erittäin vaikeita salasanoja, koska niitä ei tarvitse itse muistaa. On myös mahdollista laittaa kaikki omat salasanat hallintaohjelmaan, jolloin tarvitsee muistaa ainoastaan hallintaohjelman pääsalasanan, jonka tulee tietenkin olla pitkä ja hyvä. Tunnettuja hallintaohjelmia ovat esimerkiksi ilmainen KeePass, pass sekä maksulliset 1Password ja LastPass. Maksulliset palvelut integroituvat helpommin selaimeen ja useille eri laitteille, jolloin kirjautuminen palveluihin on hyvin vaivatonta. Toisaalta maksullisten palveluiden huono puoli taas on se, että silloin on kyseisen kaupallisen yrityksen varassa, ja jos he menevät konkurssiin tai joutuvat tietoturvahyökkäyksen uhriksi, niin asiakas voi teoriassa menettää kaiken. Tästä syystä ja myös pääsalasanan unohtamisvaaran takia voi olla järkevää muistaa ulkoa esimerkiksi oman sähköpostipalvelun salasana. Jos ei ole pääsyä edes sähköpostitiliin, niin voi olla käytännössä mahdotonta saada takaisin omia käyttäjätilejä.

Jos ei jaksa käydä läpi kaikkia vanhoja palveluita ja vaihtaa niihin uudet ja paremmat salasanat, niin kannattaa tehdä se ainakin tärkeimpiin palveluihin, joita lienevät useimmille Facebook, Google, Amazon, LinkedIn ja sähköpostitili. Useat palvelut tukevat myös kaksivaiheista tunnistamista (eng. 2FA), joka voi olla hyvä ottaa käyttöön, jolloin salasanalla kirjautumisen lisäksi pitää syöttää tekstiviestinä saatu kertakoodi. Kaksivaiheisesta tunnistamisesta ei tosin ole hyötyä, jos varas saa kännykän, jossa ollaan kirjauduttuna jo valmiiksi esimerkiksi sähköpostipalveluun.

Hyvistä salasanakäytänteistä voi lukea lisää Viestintäviraston sivuilta.

3.2.2. Varmuuskopiointi

Varmuuskopioinnin merkityksen ymmärtää jokainen ensimmäisen kovalevyn hajoamisen jälkeen. Fiksumpi ei menetä dataansa kertaakaan.

Nykyään ihmisten tiedot ovat usein pilvessä, jolloin kaupalliset yritykset hoitavat varmuuskopioinnin käyttäjän puolesta - ainakin jos käyttäjä on sen laitteillaan sallinut. Tämä ei ole kuitenkaan täysin ongelmatonta, sillä kaupalliset yritykset menevät joskus konkurssiin, jolloin yrityksen omistajia ei kiinnosta asiakkaiden ongelmat enää ollenkaan - ainakaan niin kauan kuin asiasta ei ole olemassa regulaatiota. Tästä syystä tietojen varmuuskopiointi on yleensä käyttäjän itsensä vastuulla.

Ensiksi tulee miettiä, mitkä resurssit ovat kriittisimpiä. Kenties lomakuvat Facebookissa, lasten kuvat omalla tietokoneella, dokumentit Google Drivessä tai ehkä valokuvat kännykässä. Varmuuskopioinnissa olennaista on se, että tieto on vähintään kahdessa eri paikassa, jotka ovat mieluiten fyysisesti erillään toisistaan, jotta tieto säilyy myös tulipalossa tai luonnonkatastrofissa, jolloin myöskään vakuutukset eivät ole useinkaan enää voimassa.

Amazonin Glacier ja Googlen Storage ovat palveluita, joissa voi säilyttää suuria määriä dataa halvalla. Niiden hinnoittelu perustuu siihen, että datan säilytys on halpaa, mutta siirtäminen kallista. Esimerkiksi Storagen nykyhinta (2017-08-08) on 0.01 senttiä per gigatavu per kuukausi. Allekirjoittaneen kaikki varmuuskopiot maksavat tällä hetkellä pari euroa kuukaudessa.

Varmuuskopioinnissa olennaista on myös säännöllisesti tarkistaa, että varmuuskopiointi toimii. Tästä kannattaa tehdä itselle vuosittain toistuva kalenterimerkintä, koska varmuuskopioita ei yleensä tule tarkastaneeksi ennen kuin se on liian myöhäistä.

3.2.3. Ohjelmistopäivitykset

Ei ole mukavaa, kun laitteet ja järjestelmät päivittävät automaattisesti itseään, kun se saattaa joskus aiheuttaa ainoastaan uusia ongelmia. Mutta välttääkseen tietoturvahyökkäysten uhriksi joutumisen, on päivitykset tehtävä. On pakko valita kahdesta pahasta pienempi paha. Koska yleensä käyttäjät eivät itse hoida päivityksiä kuntoon riittävän nopeasti, on parempi sallia automaattiset päivitykset.

3.2.4. Virustutka

Kuten aiemmin mainittiin, virustutkien merkitys on yleistä käsitystä pienempi. Tärkeämpiä ovat käyttäjän omat toimet, siis ne hyvät salasanat, varmuuskopiot ja niin edelleen. Jos nyt kuitenkin haluaa käyttää virustutkaa, niin ehkä voi suosia suomalaista.

3.2.5. Viestintä

Nähdäkseni viestinnän salauksesta ei tarvitse peruskäytössä murehtia, mutta jos jostain syystä haluaa viestiä anonyymisti tai niin, etteivät viestit päädy julkisuuteen, niin teoriapuolella kannattaa tutustua luottamusketjuihin ja OPSEC:iin. Käytännön tasolla hyviä ohjelmia ovat kirjoitushetkellä (2017-08-18) kryptatut sähköpostit, Telegram ja Signal.

3.2.6. Kodin verkkolaitteet

Tietokoneiden ja kännyköiden lisäksi kodin lähiverkon reitittimien ja kytkimien sekä tietenkin nykyään myös televisioiden, jääkaappien, web-kameroiden, itkuhälyttimien ja kaikkien verkossa olevien laitteiden tietoturva kannattaa hoitaa kuntoon. Missään nimessä ei tule käyttää laitteiden oletussalasanoja ja tehdasasetuksista myös IP-rangen vaihtaminen epätavalliseksi parantaa tilannetta. Porttiskannaus omaa IP:tä vasten voi olla hyödyllistä.

Kaikkien laitteiden järjestelmäpäivitykset tulisi pitää tietenkin ajantasalla. Kirjoitushetkellä (2017-08-21) riittämättömän sääntelyn vuoksi monet laitevalmistajat eivät aina tarjoa ajantasaisia järjestelmäpäivityksiä, joten usein asia jää vielä kuluttajan harkinnan varaan ostopäätöstä tehdessään.

4. Fyysinen maailma

Kirjoituksessa on käsitelty lähinnä digitaalisen maailman tietoturvaa, mutta mainittakoon tässä kohtaa myös sananen fyysisen maailman tietoturvasta.

Vakuutuksilla voidaan turvata omaisuutta, jonka voi rahalla korvata, mutta on huomattava, etteivät vakuutukset ole yleensä voimassa kaikissa tilanteissa kuten force majeure -tapauksissa.

Tärkeitä asiakirjoja, kuten vaikka testamenttiä, voi säilyttää esimerkiksi kassakaapissa tai pankin tallelokerossa. Kassakaapin heikkouksia ovat, että se voidaan varastaa ja niiden palokestävyys on tavallisesti vain noin tunnin. Pankkien tallelokerot sen sijaan ovat paremmin suojattuja, mutta ensinnäkin ne ovat pienelle omaisuudelle melko kalliita ja niihin liittyy pakkokollektivoinnin riski, joka on historiallisesti ollut kyllä hyvin harvinainen.

Testamentin tekeminen kannattaa, jos varallisuutta on paljon ja sen haluaa jakaa tavallisesta poikkeavalla tavalla eli ei kaikkea lähisukulaisille. Testamentin laadintaan tarvitaan kaksi todistajaa, ja jotta sen muotovaatimukset täyttyvät, on hyvä käyttää asianajotoimistoa tai lainata kirja, jossa käydään yksityiskohtaisesti läpi tarvittavat asiat. On myös olemassa Emonum-palvelu, jonka avulla voi huolehtia, että kuoleman jälkeen henkilön käyttäjätilit ja tiedostot päätyvät oikealle taholle.

Varsinkin matkoilla, mutta miksei muulloinkin, on hyvä kantaa mukana yhteystietoja luottokortin sulkupalveluun, matkavakuutuksen tarjoajaan sekä lähiomaisiin. Ja nämä tiedot on hyvä olla jossakin muualla kuin siellä varastetussa lompakossa tai kännykässä.

5. Loppusanat

Tietoturvan merkitys kasvaa samalla kun elämämme siirtyvät kiihtyvällä vauhdilla digitaaliseen maailmaan. Aiheeseen kannattaa perehtyä mielummin aiemmin kuin liian myöhään. Tietoturvaan ei ole olemassa tai tulossa yhtä kaiken kattavaa ratkaisua vaan joukko hyviä käytäntöjä, joita käyttäjien tulee noudattaa. Hyvät salasanat ja mielellään salasanojen hallintaohjelma ovat varmuuskopioinnin ja ohjelmistopäivitysten ohelle tärkeimmät asiat, jotka tulisi hoitaa kuntoon.

Viestintäviraston sivuilta löytyy aiheesta verovaroin tuotettuna rutkasti lisää informaatiota.

Arvioi lukemasi

Kommentit

Kirjoittaja Kommentti

Kirjoita uusi kommentti

HTML ei sallittu. BBCode ei sallittu.