Nostoja tapahtumasta: Kyberturvallisuus: Näin tietosi vuotavat rikollisille 9.9.2021
ISMO HEISKANEN, Digiekonomien johtokunnan jäsen
Digiekonomit järjesti syyskuussa aiheesta webinaarin. Puhujaksi oli tullut Anu Laitila Nixusta. Hän vastaa Nixulla tietoturvallisuuskoulutuksista ja on mukana asiakasprojekteissa. Anulla on taustaa myös digimarkkinoinnista. Anu kertoi ansiokkaasti ja laajasti kyberturvallisuudesta. Tähän blogitekstiin olen ottanut muutaman keskeisen noston webinaarista.
Aluksi kävimme läpi termejä. Kyberturvallisuus kattaa sähköisen ja verkotetun yhteiskunnan turvallisuuden. Tietoturva on laajempi kuin kyberturvallisuus, tietoturvaan liittyy fyysinen aspekti. Jos rikollinen varastaa puhelimen tai tietokoneen, on kyseessä tietoturva-asia. Luottamuksellisuus tietoturvassa tarkoittaa, että tiedot ovat saatavilla vain henkilöille, joilla on oikeutus siihen. Eheys tarkoittaa, että tietoja voivat muuttaa ainoastaan siihen oikeutetut henkilöt. Tietojärjestelmät ovat vain niiden käytössä, joilla on oikeus niitä käyttää. Tähän viitataan käytettävyydellä.
Kyberrikolliset vetoavat samoihin asioihin kuin markkinoinnissa eli auktoriteettiin, niukkuuteen, miellyttävyyteen, vastavuoroisuuteen, jatkuvuuteen, sosiaaliseen todisteluun. Yrityksessä auktoriteettia edustaa esihenkilö, sairaalassa hoitaja tai lääkäri. Niukkuus tarkoittaa, että ihmiset haluavat asioita, joita on vähän tarjolla. Tarjous kestää vain lyhyen ajan. Ehdotukseen suostutaan todennäköisemmin, jos pitää ehdottajasta. Tätä tarkoittaa miellyttävyys. Ihmisillä on tapana tehdä vastapalveluksia. Myyjä tarjoaa maistiaisen, asiakkaan mielestä hänen pitäisi ostaa tuote. Ihminen haluaa toimia tietyllä jo opitulla tavalla ja vanhasta poisoppiminen on vaikeaa. Sosiaalinen todistelussa muiden käytös vaikuttaa omiin päätöksiimme. Naapurilla on tuollainen auto, joten meillä pitää olla sitä parempi.
Yleisimmät sosiaaliset eli ihmiseen kohdistuneet kyberhyökkäystyypit ovat tietojenkalastelu, toimitusjohtajahuijaukset, tilausansat, massasähköpostitukset sekä romanssi- ja sijoitushuijaukset. Tietojenkalastelu yksi yleisimmistä tietoturvauhkista. Toimitusjohtajahuijauksessa valetoimitusjohtaja lähettää viestin, että vastaanottajan täytyy nopeasti maksaa lasku. Tilausansoja liikkuu tekstiviesteinä luotettavien tahojen nimissä. Massasähköpostihuijauksissa lähetetään vaikka miljoonaa viestiä huijaustarkoituksessa. Romanssi- ja sijoitushuijauksissa tyypillisesti naiset saavat kaveripyyntöjä ”yhdysvaltalaisilta sotilailta”. Kohta uudet kaverit pyytävät rahaa tekosyyn pohjalta.
Sosiaalisen median päivitykset saattavat sisältää tietoturvariskin. Näkyykö kuvissa mitään arkaluontoista ? Kuva pääsylipusta tai sisäänpääsypassista voidaan kopioida netistä. Näin rikollinen pystyy käyttämään sinun lippuasi sisäänpääsyyn konserttiin. Auton rekisterinumeroa ei kannata näyttää sosiaalisessa mediassa. Rekisterinumeron pohjalta saattaa saada auton omistajan osoitetiedot. Jos googlaat omaa nimeäsi, minkälaisia hakutuloksia saat. EU-ministerien kokouksen yksi ministeri tviittasi kuvan, jossa näkyi kokouksen verkko-osoite ja osa pin-koodista. Koodista puuttui kolme numeroa. Kutsumaton vieras pääsi mukaan palaveriin.
Heikko salasana on tavallisin syy tietomurtoihin. Rikolliset yrittävät murtaa salasanoja käyttämällä listoja verkon tyypillisimmistä salasanoista. Samaa salasanaa ei pidä käyttää eri palveluissa, sillä rikolliset koittavat kirjautua eri palveluihin yhdellä, jo kertaalleen varastetulla salasanalla. Pitkä salasana on parempi kuin lyhyt, koska pitkän salasanan murtaminen vaatii enemmän resursseja rikollisilta. Salasananhallintaohjelma on hyvä vaihtoehto vahvoihin salasanoihin, koska silloin riittää yhden salasanan muistaminen. F-Securen ID protectionia suositeltiin webinaarissa, ohjelma on maksullinen.
Kuten jo alussa mainitsin, käsittelin tässä kirjoituksessa vain muutamaa keskeistä teemaa enkä haarukoinut koko esitystä. Mikäli et ollut mukana webinaarissa, mutta kiinnostuksesi asiaan heräsi, niin webinaari on nähtävänä tallenteena jäsenpalvelun webinaariarkistossa.