20/04/2012

Kyberturvallisuutta kansalaisen näkökulmasta


Minulta kysytään usein, pitääkö yksittäisen kansalaisen ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin Hollywoodin elokuvissa.

Pyrin tässä blogipostauksessa nostamaan esille juuri tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan tietotekniikkaa.

Minkä takia pitää ymmärtää kyberturvallisuuden perusasiat?

Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä yksityishenkilönä että työntekijän/antajan ominaisuudessa.

Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen kohdistuvat uhkat.

Taloudellisen uhkan muodostavat verkkorikolliset, jotka pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.

Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja, luottokorttinumeroita, jne.

Työntekijänä henkilöön voi kohdistua tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation toimintaan myöhemmin.

Mitä pitää ymmärtää?

Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411 miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden ennen kuin kukaan ehtii sanoa ”kyber”.

Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä maalaisjärkeä pärjää pitkään!

Miten varaudun?

Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:

  1. Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
  2. Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
  3. Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
  4. Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
  5. Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
    • En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!


Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai tietoliikenneverkko olisi nurin. Mitä sitten?

Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.

Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että viranomaisten ja uutislähteiden www-sivuihin on yritetty  murtautua ja yritetty muuttaa tietoja; ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.

Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä. 

Miten parantaa yleistä kyberturvallisuustietoisuutta?

Miten saisimme kyberturvallisuusymmärryksen paremmalle tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?

Itse henkilökohtaisesti toivon sitä, että jokainen kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta, kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön vähättelyynkään.

Toivon aiheesta vilkasta keskustelua!!