Kyberturvallisuuden ABC

Epätavanomaiseen aikaan myös pahantahtoiset tahot aktivoituvat ja on nähtävissä selkeä trendi erilaisten kyberhyökkäysten ja huijauksien lisääntymisessä.

Pienemmällä toimijalla ei ole takanaan mahtavaa turvaorganisaatiota, joka opastaisi, suojaisi ja auttaisi. Muutamalla vinkillä kuitenkin pystyy parantamaan omaa vastustuskykyä kyberuhille.

Tietoturvapäivitykset ja tarpeettomat ohjelmat

Yksinkertaisin tapa suojata päätelaitteensa on varmistaa, että siinä on viimeisimmät tietoturvapäivitykset valmistajalta. Jos et ole varma, nyt on oikea aika tarkistaa, että laitteesi on ajantasalla.

Huomaa kuitenkin, että todennäköisesti asentamasi ohjelmat eivät päivity automaattisesti. Tarkasta siis jokaisen päivitykset yksitellen.

Valitettavasti aina viimeisimmätkään päivitykset auta, jos niitä ei ole julkaistu pitkään aikaan.

Samalla kannattaa tarkistaa, ettei tietokoneelle, puhelimeen tai muuhun päätelaitteeseen ole kertynyt turhia ohjelmia. Sellaiset, mitä ei käytä kannattaa poistaa. Mobiililaitteissa sovellukset usein vaativat laajempia oikeuksia kuin tarvitsevatkaan. Esimerkiksi taskulamppusovellus ei tarvitse oikeutta päästä osoitekirjaasi tai terveystietoihisi käsiksi.

Käyttäjätunnukset, tilit ja salasanat

Kauhuskenario on, että käytät samaa sähköpostiosoitetta ja salasanaa jokaisessa mahdollisessa paikassa. Tällöin hyökkääjä saa virtuaaliset kotiavaimesi haltuunsa murtamalla yhdenkin näistä palveluista. Nyrkkisääntönä voidaan pitää, että jokaisessa palvelussa, jota käytät, tulee olla monimutkainen ja ainutlaatuinen salasana ja mielellään monivaiheinen todennus.

Tällä jumpalla saat käyttäjätilit kerralla turvallisiksi ja haltuun:

  • Käy tarkastamassa onko salasanasi tai sähköpostisi jo joutunut hyökkääjien käsiin: https://haveibeenpwned.com ja https://badrap.io/ ovat aidosti luotettavia palveluita, joita voi käyttää huoletta. Jos et ole varma, älä käytä muita palveluita tähän.Mikäli palvelut kertovat tietojesi vuotaneen jostain palvelusta, vaihda salasanasi kaikissa niissä palveluissa, joissa olet käyttänyt samaa salasanaa. Käyttäjätunnusta ei tarvitse vaihtaa.
  • Ota käyttöön monivaiheinen todennus niissä palveluissa, jotka sen sallivat. Tyypillisiä tapoja ovat sähköposti- tai tekstiviestivahvistus, ja sovellustodentaja. Käyttöönotto vaihtelee palvelusta toiseen.
  • Käytä uniikkeja ja monimutkaisia salasanoja. Olen kirjoittanut esimerkiksi lyhyet ohjeet, miten keksiä hyvä salasana. Vielä parempi on käyttää satunnaisia salasanoja ja tallettaa ne salasanasäilöön kuten KeePass (https://keepass.info/) ja LastPass (https://www.lastpass.com/).

Verkkoturvallisuus

Voit luottaa sellaisten tahojen, joihin muutenkin luottaisit, tarjoamiin verkkoihin – siispä kotona tai työpaikalla ei tarvitse erityisesti huolestua.

On kuitenkin hyvä muistaa, että verkon omistaja voi halutessaan myös kuunnella liikennettä ja suunnata sen uudelleen. Avoimissa (eli sellaisissa, joissa ei kysytä salasanaa) ja julkisissa (suojattu salasanalla, mutta salasana on yleisesti saatavissa, esim. kahvilan kassalta) langattomissa verkoissa liikenteen näkee kaikki muutkin verkon alueella olevat. Tämän vuoksi on ensiarvoisen tärkeää salata oma liikenne.

Jos käyttösi on vain kevyttä surffailua netissä, riittää, että varmistat selaimessa olevan pienen lukon kuvan ennen sivuston osoitetta.

Jos työsi on liikkuvaa, käsittelet verkon yli arkaluontoisia tietoja tai teet muutakin kuin vain surffailet, kannattaa ottaa käyttöön erillisverkkosovellus. Jos oma organisaatiosi ei sellaista tarjoa, esim. F-Securen Freedome (https://www.f-secure.com/fi/home/products/freedome) on luotettava ja varmatoiminen ratkaisu.

Huijauksilta suojautuminen

Huijausten kirjo on laaja ja paras yleisluontoinen lääke niihin on terve vainoharhaisuus. Niillä on kuitenkin vain yksi tarkoitusperä: hyötyä sinusta jotenkin – yleensä joko taloudellisesti tai identiteetin varastamalla.

Muutama ajatus, joita noudattamalla varmasti pitää jo päänsä pinnan yläpuolella:

  • Jos se on liian hyvää ollakseen totta, se on.
  • Jos se tuntuu epämääräiseltä, se todennäköisesti on. Silloin ei kannata koskea pitkällä tikullakaan.
  • Älä seuraa epämääräisiä linkkejä tai käy epämääräisillä sivustoilla
  • Jos saat tutulta lähettäjältä oudon pyynnön, varmista se toista kautta. Esimerkiksi, jos puolituttu lähettää sinulle oudon sähköpostin, kannattaa soittaa perään ja kysyä, että missä tässä on kyse.

Kukaan, jolla on puhtaat jauhot pussissa ei pyydä sinulta sähköpostitse tai puhelimessa seuraavia asioita

  • Luottokorttisi tiedot, erityisesti varmennusnumeroa kortin takaa
  • Salasanaasi (käyttäjätunnusta kyllä saatetaan tarvita teknisen tuen toimesta)
  • Juuri tulleen tekstiviestin sisältöä, erityisesti varmennustekstiviestin numeroa
  • Sovellustodentajasi numeroa
  • Pankkitunnuksiasi
  • Sinua asentamaan etähallintaohjelmistoa ja sallimaan täyden hallinnan sen käyttöön. Poikkeuksena luotettu tekninen tuki.

Älä luota toissijaisiin tunnistetietoihin. Sekä soittajan numeron, että sähköpostin lähettäjän voi vaivatta huijata.

Myös sähköpostista voi tehdä hyvinkin virallisen näköisen. Huijauksen voi tunnistaa mm. siitä, että sähköpostin linkit johtavat jonnekin muualle kuin virallisiin osoitteisiin.

Akuuteissa ongelmissa kannattaa pienen toimijan kääntyä KyberVPK:n puoleen, joka antaa apua vapaaehtoistyönä esimerkiksi järjestöille. Muissa tapauksissa kannattaa kääntyä suomalaisten kovatasoisten kyberturvallisuustalojen puoleen, esimerkiksi olemme Nixulta mielellämme avuksi!

Jarno Yliluoma

Kirjoittaja on Principal Security Consultant Nixulta. Hän on tietoturva-alan meritoitunut osaaja. Tutustu häneen paremmin LinkedIn:ssä.

 

Uutiskirjeen tilaajana saat markkinoinnin ja viestinnän uutiset sekä uusimman MRKTNG-lehden ensimmäisten joukossa. Saat myös viikottain koulutuksistamme kerättyjä vinkkejä käyttöösi sekä tietoa järjestämistämme koulutuksista.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

16 − 3 =