Minulta kysytään usein, pitääkö yksittäisen kansalaisen
ymmärtää jotain kyberturvallisuudesta. Vastaukseni on ehdottomasti kyllä. Usein
yksittäistä kansalaista jätetään kuitenkin oman onnensa nojaan
kyberturvallisuuskeskusteluissa. Kyberturvallisuuden ajatellaan usein
fokusoituvan lähinnä yhteiskunnan elintärkeisiin toimintoihin, vaikka yksi jokapäiväisistä kyberuhkista on taloudellista etua tavoittelevat rikolliset, jotka
vaanivat tavallisia kansalaisia. Lisäksi uutisointi kyberasioista on
maailmanlaajuisesti usein ”melko raflaavaa”; ellei ole alan asiantuntija, voi
faktan ja fiktion raja jäädä hämäräksi. Asiat eivät aina ole niin kuin
Hollywoodin elokuvissa.
Pyrin tässä blogipostauksessa nostamaan esille juuri
tavallisen kansalaisen kannalta tärkeitä näkökulmia. Tavallisella kansalaisella
tarkoitan henkilöä, joka ei ole kyberturvallisuuden tai tietoturvallisuuden
asiantuntija, vaan kuka tahansa muu, joka käyttää arkisessa toiminnassaan
tietotekniikkaa.
Minkä takia pitää
ymmärtää kyberturvallisuuden perusasiat?
Kyberturvallisuuden perusasiat on hyvä ymmärtää sekä
yksityishenkilönä että työntekijän/antajan ominaisuudessa.
Rauhan aikana merkittävimmät yksityishenkilöihin kohdistuvat
uhkat ovat jokaisen henkilökohtaiseen talouteen ja/tai yksityisyyteen
kohdistuvat uhkat.
Taloudellisen uhkan muodostavat verkkorikolliset, jotka
pyrkivät saamaan henkilön rahat itselleen. Tämä voi tapahtua hyödyntämällä
jotain teknistä haavoittuvuutta, jonka avulla on mahdollista saada käyttäjän
tietokone haltuunsa tai ujuttamalla jotain ilkeämielistä toimintaa esimerkiksi
henkilön ja pankin väliseen pankkiyhteyteen. Rikolliset saattavat myös yrittää
huijata henkilöä paljastamaan tietoja, joiden avulla on mahdollista päästä
hänen pankkitiliin, luottokorttitietoihin tai online-ostoksiin käsiin.
Yksityisyyteen ja/tai maineeseen kohdistuva uhka voi
kohdistua joko suoraan henkilöön tai henkilö voi jäädä sivulliseksi uhriksi
jonkun häneen millään tavalla liittyvän verkkohyökkäyksen yhteydessä. Suoraan
kohdistuva uhka voi muodostua sellaisen tahon toimesta, joka syystä tai
toisesta haluaa nolata henkilöä ja/tai tuhota tämän mainetta, esimerkiksi
eriävien ideologisten näkemysten takia. Henkilö voi myös joutua uhriksi siten, että
hänen henkilötietojaan vuotaa nettiin jonkun tietomurron yhteydessä, jossa
murretun palvelimen tiedot tarkoituksella vuodetaan nettiin, samalla paljastaen
esimerkiksi henkilötiedot, asuinpaikka, tunnuksia ja salasanoja,
luottokorttinumeroita, jne.
Työntekijänä henkilöön voi kohdistua
tiedustelu/vakoiluyrityksiä tavoitteena esimerkiksi varastaa yrityksen
yrityssalaisuuksia kyseisen tuotteen valmistamiseksi ja tuottamiseksi
ensimmäisenä markkinoille tai viranomaisen salassa pidettäviä tietoja osana valtioiden
välistä tiedustelua. Mahdollisesti yritetään saada tietoja organisaation
tietojärjestelmistä ja –verkoista tavoitteena vaikuttaa organisaation
toimintaan myöhemmin.
Mitä pitää ymmärtää?
Se, mitä kyberturvallisuudesta pitää ymmärtää, on kyberuhkan
olemassaolo ja sen suhteuttamista. Kyberuhkaa ei pidä vähätellä. Symantecin arvion mukaan mukaan kyberrikollisuuden aiheuttamat tappiot ovat 388 miljardia
dollaria vuodessa, verrattuna globaalin huumekaupan liikevaihtoon, joka on 411
miljardia dollaria vuodessa. Vihamielisiä kybertapahtumia raportoidaan
maailmanlaajuisesti päivittäin. Ne kohdistuvat niin yksilöihin, yrityksiin kuin
valtioihinkin. Kyberuhkaa ei pidä kuitenkaan myöskään liioitella. Kybermörkö ei
yhtenä kauniina päivänä tule kyberavaruudesta lamauttamaan yhteiskunnan syöden
kansalaisten aamupuurot ja vieden valtion itsenäisyyden ja elinmahdollisuuden
ennen kuin kukaan ehtii sanoa ”kyber”.
Kansalaisen näkökulmasta on tärkeätä, että jokainen ymmärtää
kyberturvallisuuden perusperiaatteen samalla tavalla kuin esimerkiksi
liikenneturvallisuudenkin. Tiedostamalla yleiset riskit ja käyttämällä tervettä
maalaisjärkeä pärjää pitkään!
Miten varaudun?
Normaaliaikana, jossa onneksi elämme, ovat merkittävimmät
kansalaisiin kohdistuvat uhkat rikolliset ja haktivistit. Muutamalla
tietoturvallisuuteen liittyvällä yleisneuvolla pärjää pitkään:
- Pidä tietokoneesi ajan tasalla sallimalla automaattiset päivitykset. Muista antivirusohjelmistot ja palomuurit. Päivitetyssä tietokoneessa yleisesti tunnetut haavoittuvuudet on saatu korjattua ja tietokone on näin ollen vaikeammin haltuun otettavissa ilkeämieliseen toimintaan.
- Älä klikkaa epämääräisiä linkkejä tai avaa hämäriä tiedostoja vaikka lähettäjänä näyttäisikin olevan tuttu. Jos millisekuntiakin epäilyttää, varmista lähettäjältä linkin/tiedoston aitoutta.
- Mieti, mitä tietoja annat itsestäsi mihinkin. Miksi esimerkiksi hassun sovelluksen käyttäminen edellyttää, että kerrot tekijälle kaikki henkilötietosi syntymästäsi asti sekä sosiaalisen median verkostosi? Muista myös kunnioittaa muita: vaikka itse suhtaudut henkilötietojesi luovuttamiseen vapaamielisesti, eivät muut perheenjäsenesi tai ystäviäsi suhtaudu asiaan samalla tavalla. Erityisesti kehottaisin vanhempia varovaisuuteen omien lastensa tietojen julkaisemiseen: tuntuu viattomalta julkaista kuvia ja kertomuksia ”Kalle 2v:n elämästä”, mutta jonain päivänä Kalle ei ole enää 2v, vaan aikuinen ihminen, ja hänen koko elämänsä löytyy netistä, josta sitä ei saa koskaan pois. Ikävä tässä on se, että kyberavaruudessa on ilkeitä tahoja – joissain maissa, joissa lainsäädäntö yksityisyyden suojasta on Suomea löysempi, on myös laillisesti toimivia tahoja – ja nämä kyllä hyödyntävät Kallen tietoja parhaaksi katsomallaan tavalla. Varjelkaamme siis muiden yksityisyyttä omamme lisäksi!
- Mieti yleisiä toimintatapojasi netin käytössä. Miten esimerkiksi käytät USB-tikkuja? Käytätkö samaa tikkua nettikahvilassa, kaverisi tietokoneessa, yrityksen sisäverkossa ja hotellin aulassa? Ei kannata; merkittävä osa haittaohjelmista leviävät huolimattoman USB-tikkujen käytön kautta. Käytätkö samoja salasanoja useammassa nettipalvelussa? Myös työnantajasi palveluissa? Onhan se rasittavaa muistaa salasanoja, erityisesti jos ei käytä palvelua päivittäin, mutta saman salasanan käyttäminen tarkoittaa sitä, että yksi murrettu tunnus mahdollistaa tunkeutuminen kaikkiin muihinkin samaa salasanaa käyttäviin tunnuksiin. Työpaikassa tulee aina noudattaa työnantajan antamia tietoturvaohjeita ja kotona yleistä varovaisuutta!!
- Pyydä apua ja neuvoja. Rohkene kertomaan, jos olet joutunut tai epäilet joutuneesi hyökkäyksen uhriksi. Et ole yksin! Osa hyökkäyksistä ja huijauksista on niin taitavasti tehty, että alan asiantuntijakin saattaa mennä halpaan. Ei kannata hävetä; vaikenemalla rikollinen pääsee kuin koira veräjästä. Kertomalla on helpompaa päästä rikollisten jäljille ja jopa ennalta ehkäistä rikosten toistumista.
- En jaksa uskoa väitteeseen, että ihminen on aina heikoin lenkki. Ihminen voi myös olla vahvin lenkki, jos ymmärtää toimia oikein. Jos henkilö ei ole saanut minkäänlaista koulutusta, saattaa huijaus onnistua eikä kukaan tule siitä edes tietoiseksi. Jos henkilö taas on valveutunut, voi käydä niin, että hyökkäys ei onnistu, ja lisäksi henkilön raportti hyökkäysyrityksestä tietoturvavastaavalle saattaa yrityksen organisaation tietoon, jolloin siihen on helpompi reagoida. Tällöin ihminen voi jopa olla ketjun vahvin lenkki!
Kriisi- tai muuten levottomana aikana, esimerkiksi jonkun
kansainvälisen selkkauksen vuoksi (vrt. Viron patsaskiista 2007), voi hyvinkin
käydä niin, että Suomeen kohdistuu laajamittainen hyökkäys. Voi jopa olla, että
hyökkäykset pyritään kohdistamaan kriittiseen infrastruktuuriin. Hyökkäysten
onnistuminen ei välttämättä ole kovinkaan helppoa tai todennäköistä, mutta
leikitään silti ajatuksella, että hyökkäys onnistuisi ja sähkö- ja/tai
tietoliikenneverkko olisi nurin. Mitä sitten?
Ensinnäkin, ”don’t panic”. Syysmyrskytkin katkovat välillä
sähköjä. Se on ärsyttävää ja hankalaa, erityisesti jos korjaustyöt kestävät ja
kestävät, mutta se ei kaada yhteiskuntaa. Viranomaiset harjoittelevat tätä
laajamittaisempiakin kriisejä varten. Samalla periaatteella kuin varaudutaan
luontoilmiöiden aiheuttamiin sähkökatkoksiin kannattaa varautua kyberilkiöiden
aiheuttamiin sähkökatkoksiin. Ei ole haitaksi, jos kotoa löytyy
varageneraattori, ylimääräinen ruokavarasto ja vähän käteisvaraakin.
Toiseksi, pyri saamaan tietoa useammasta eri lähteestä, jos
on jonkinlaista pääsyä mihinkään tietoverkkoon. On hyvin mahdollista, että
viranomaisten ja uutislähteiden www-sivuihin on yritetty murtautua ja yritetty muuttaa tietoja;
ehkä johonkin on onnistuttukin. Jos joku tieto vaikuttaa oudolta, muista
poikkeavasta tai on esimerkiksi kirjoitettu huonolla suomenkielellä tai tiedon
lähteelle epätavallisella tavalla, kannattaa tietoon suhtautua varauksella.
Eikä sekään haittaa, että me kansalaiset tiukan tilanteen edessä sorrumme keskustelemaan keskenämme ja
auttamaan toinen toisiamme – pragmaattisuutemme on myös vahvuutemme ja
toimimalla yhdessä tulemme pärjäämään kyberuhkankin edessä.
Miten parantaa
yleistä kyberturvallisuustietoisuutta?
Miten saisimme kyberturvallisuusymmärryksen paremmalle
tasolle? Pitäisikö kouluissa olla kyberturvallisuusvalistusta samalla tavalla
kuin liikennevalistustakin? Pitäisikö organisaatioiden panostaa nykyistä
enemmän tietoturvakoulutukseen ja –ohjeisiin? Voisiko kansalaisopistot opettaa
kyberturvallisuusasioita? Mitä pitäisi opettaa – ja miten pitäisi opettaa?
Itse henkilökohtaisesti toivon sitä, että jokainen
kyberturvallisuudesta ymmärtävä ihminen, joka puhuu tai kirjoittaa aiheesta,
kantaa vastuunsa keskustelun laadusta. Tällä tarkoitan sitä, että ei sorruta
hypetykseen tai kansalaisten turhaan pelotteluun – eikä tietenkään ilmiön
vähättelyynkään.
Toivon aiheesta vilkasta keskustelua!!
