Tampere
29 Nov, Sunday
0° C

Proakatemian esseepankki

Tietoturva kansalaistaitona



Kirjoittanut: Salla Nieminen - tiimistä Promisia.

Esseen tyyppi: Yksilöessee / 2 esseepistettä.

KIRJALÄHTEET
KIRJA KIRJAILIJA
Arjen tietoturva - Vinkit & Ratkaisut
Järvinen, P.
Esseen arvioitu lukuaika on 7 minuuttia.

1 JOHDANTO

”Tietoturvan yleiset perusteet, kuulostaapas kuivalta!” ajattelin selatessani tulevan kesän kesäopintotarjontaa. Oli kevät. Aurinko helli Koskipuistossa reporankana köllötteleviä tamperelaisia. Proakatemian kevätlukukausi läheni loppuaan, eikä mikään kesätyöhauistani ollut vielä tärpännyt. Selasin kesäopintotarjontaa sen toivossa, että joukosta löytyisi kiinnostava tai hyödyllinen kurssi, joka pitäisi minut kesällä aktiivisena, jos en onnistuisikaan saamaan töitä. Kävelin Koskipuiston läpi, ja pohdin silmiin osunutta kurssia. ”Tietoturva… Onkohan tämä joku tietojenkäsittelijöille tarkoitettu kurssi…” Kurssi järjestettäisiin kokonaan verkko-opetuksena ja jäi siksi pyörimään mielessäni. Jos onnistuisikin saamaan kesätöitä, verkkokurssille olisi helppo osallistua töistä huolimatta.

Koska kurssi oli nimetty ”Tietoturvan yleiset perusteet” ja koska se oli avoin kaikille, sisällön täytyisi olla sellainen, että kuka tahansa alasta riippumatta voisi osallistua. Jäin pohtimaan sanahirviötä, joka viime keväänä oli jatkuvasti kaikkien huulilla: GDPR. Promisiassakin tuo lyhenne mainittiin viime keväänä useaan otteeseen, ja varsinkin Promisian asiakkuustiimi on joutunut olemaan käsitteen kanssa tekemisissä. Vaikka ensinäkemältä kurssi vaikutti todella tylsältä, asiaa hetken pohdittuani aloin pitää sitä äärimmäisen hyödyllisenä. Entä jos kurssi olisikin Promisian kannalta todella hyödyllinen? Nousin Koskipuistossa bussiin, ja pyörittelin asiaa mielessäni. Keskustan ratikkatyömaat vaihtuivat puistoihin ja puistot metsikköihin. ”Syteen tai saveen” totesin mielessäni, ja klikkasin ”ilmoittaudu”.

 

2 MITÄ ON TIETOTURVA?

Tietoturvan yleiset perusteet -kesäopintojakso alkoi toukokuussa, ja kurssi suoritettiin kokonaan Tabula-oppimisympäristössä. Kurssiin sisältyi aloitustehtävä, yksi pakollinen ja useita vapaavalintaisia tehtäviä sekä viiteen eri aihealueeseen liittyvät verkkotentit ja oppimispäiväkirja. Kahden ensimmäisen aihealueen tenttimateriaalit olivat sekalaisista lähteistä ja kolmen viimeisen aihealueen tenttejä varten tuli lukea Petteri Järvisen (2012) teos Arjen tietoturva – Vinkit ja ratkaisut. Teos sopii kenelle tahansa tietoturvasta kiinnostuneelle eikä oleta lukijalta muuta kuin että hän osaa käyttää tietokonetta. Teoksessa käsitellään esimerkiksi puhelimen ja tietokoneen tietoturvaa, verkkokaupankäynnin ongelmia, salasanoja, nettihuijauksia, haittaohjelmia, matkustajan tietoturvaa sekä sosiaalista mediaa.

Kurssin aloitustehtävässä piti listata sanoja tai lauseita, joita opiskelijalle tulee ensimmäisenä mieleen sanasta tietoturva. Listasin paljon tietokoneisiin, internettiin ja tekniikkaan liittyviä asioita, mutten tullut ajatelleeksikaan vaikkapa matkustamista tai sosiaalista mediaa. Vasta Järvisen (2012) teoksen luettuani ymmärsin, ettei tietoturva ole yksittäinen asia, jonka saan kuntoon päivittämällä salasanani vaan eräänlainen tapa, joka pitää ottaa osaksi arkea tai kansalaistaito kuten Järvinen (2012, 9) sitä kuvailee. Tietoturvan ja tietosuojan käsitteet menevät Järvisen (2012, 12) mukaan helposti sekaisin, koska suomenkieliset termit muistuttavat toisiaan. Molemmissa on kyse tiedon suojaamisesta, mutta tietoturvassa suojataan itse tietoa ja tietojärjestelmiä, kun taas tietosuojan kohteena ovat ihmisten henkilötiedot (2012, 12). Kuten edellä totesin (ks. Johdanto yllä) yhdistin ennen kurssia GDPR:n päässäni tietoturvaan, ja ihmettelin aluksi sitä, että kurssilla ei mainittu tuota sanahirviötä lainkaan. GDPR liittyy kuitenkin tietosuojaan, joten on oikeastaan melko loogista, ettei aiheeseen syvennytä tarkemmin kurssilla, jonka tarkoituksena on tietoturvan perusteiden oppiminen.

Järvisen (2012, 10) mukaan tietoturvalla pyritään kolmeen tavoitteeseen: tiedon pitää tarvittaessa säilyä luottamuksellisena ja eheänä, ja tietojen pitää olla saatavilla, koneiden käytettävissä ja palvelujen toimia silloin kun niitä tarvitaan. Jotta tieto säilyy luottamuksellisena, esimerkiksi sähköpostit eivät saa vuotaa julkisuuteen (Järvinen 2012, 10). Tietojen eheys taas tarkoittaa sitä, että tietoon saa kohdistua vain oikeutettuja muutoksia; esimerkiksi virukset ovat tietoturvaongelmia, koska niiden jälkeen tieto ei ole enää ehyttä tai alkuperäistä (Järvinen 2012, 10). Toisaalta joidenkin tietojen pitää olla saatavilla, jotta esimerkiksi sovelluksien ja nettiyhteyden käyttäminen olisi mahdollista (2012, 10).

Tietoturvan merkitys korostuu tänä päivänä, kun lähes kaikkeen tekemiseen tarvitaan internet. Koitapa käydä kaupassa ilman internettiä. Jos lähtisit kauppaan bussilla, törmäisit todennäköisesti jo kotiovella siihen ongelmaan, ettet muistaisi paljonko bussikortilla on rahaa tai monelta seuraava bussi menee pysäkin ohi. Jos oikea bussi kuitenkin sattuisi menemään pysäkin ohi, ilman internettiä et voisi edes kokeilla, onko bussikortillasi rahaa, sillä bussien kortinlukijalaitteetkin tarvitsevat internettiä toimiakseen. No, jos koko Suomea kohtaisi tällainen maanlaajuinen internet-katastrofi, bussikuski saattaisi päästää sinut kyytiin tai sitten voisit maksaa käteisellä (jos sellaista sattuu olemaan lompakossa). Kaupassa et voisi maksaa ostoksiasi kortilla eli olisit jälleen kerran käteisen rahan varassa. Jos Suomea kohtaisi maanlaajuinen internet-katko, joka kestäisi vaikkapa useamman päivän, myös tavarantoimittajat olisivat vaikeuksissa, joten et välttämättä edes löytäisi kaupasta sitä mitä etsit. Voisin kuvitella, että monien kauppojen kassaohjelmatkin vaativat internettiä toimiakseen, joten myyjät joutuisivat selvittämään tuotteiden hintoja ja laskemaan summia päässään (mikäli kauppa ylipäätään voitaisiin pitää auki).

Vaikka edellisenkaltainen maanlaajuinen ”nettikatastrofi” onkin ehkä epätodennäköinen, ajatusleikki osoittaa sen, että tietoturvan merkitys yhteiskunnassamme on valtava. Se että lähes kaikkeen käytetään internettiä tarkoittaa sitä, että lähes kaikesta tekemisestä jää jälki. Siihen, mihin kaikkialle tuo jälki jää, voimme osittain itse vaikuttaa, ja siksi tietoturva onkin tänä päivänä ns. ”kansalaistaito”. Sosiaalinen media on konkreettinen esimerkki siitä, miten jätämme itsestämme jälkiä internettiin. Sosiaalinen media on tavallaan tietosuojan vastakohta, sillä sosiaalinen media perustuu tiedon jakamiseen ja tietosuoja taas tiedon piilottamiseen (Järvinen 2012, 294). Monelle voi tulla yllätyksenä, että tiedon poistaminen esimerkiksi Facebookista ei poista tietoa pysyvästi. ”Facebook muistaa, koska tiedon säilyttäminen on halvempaa kuin sen poistaminen.” (Järvinen 2012, 300.) Minulle itselleni tuli yllätyksenä se, että Facebook käyttää mainosten kohdentamiseen myös tietoja, joita käyttäjä on jo poistanut omalta tililtään. Vaikka siis poistaisit syntymäaikasi profiilistasi, Facebook käyttää silti syntymäaikaasi kohdentaessaan sivulla esiintyviä mainoksia juuri sinulle (Järvinen 2012, 300).

 

3 OMAN TIETOTURVAN PARANTAMINEN

Kuten edellä totesin, Järvinen (2012) luettelee teoksessaan lukuisia vinkkejä tietoturvan parantamiseen liittyen aina matkustajan tietoturvasta ja sosiaalisesta mediasta haittaohjelmiin ja verkkokaupankäyntiin. Olen valinnut näistä erilaisista aihealueista mielestäni kolme tärkeintä, joihin perehtymällä voi parantaa omaa tietoturvaansa jo huomattavasti. Käsittelen tästä syystä seuraavissa luvuissa erityisesti puhelimen tietoturvaa, omien tietojen turvaamista ja salasanavaatimuksia tietoturvaa parantavina keinoina.

 

3.1 PUHELIMEN TIETOTURVA

Mikä esine kulkee lähes kaikilla aina mukana ja sisältää hirvittävän määrän tietoa omistajastaan? – Kyllä, älypuhelinhan se. Älypuhelin ei ole enää pelkästään puhelin. Se on myös kalenteri, tietokone, valokuva-albumi ja paljon muuta. Monet sovellukset tarjoavat mahdollisuuden hoitaa henkilökohtaiset asiat älypuhelimella, ja arjen helpottamiseksi monen sovelluksen voi asettaa olemaan kysymättä salasanaa omalla älypuhelimella. Kun tutkin oman puhelimeni sovelluslistaa, huomaan että näyttölukon salasanan jälkeen pääsen puhelimellani ilman salasanaa kolmelle eri sähköpostitilille, tutkimaan aktiivisuusrannekkeen tietoja, lataamaan rahaa bussikortilleni, korjaamaan työvuorojeni tietoja, lukemaan Slack- ja LinkedIn-sovellusten tietoja sekä tutkimaan Onedrive-kansioni sisältöä. Tämän lisäksi puhelimessa on tietysti myös lukuisia sovelluksia, joiden käyttö ei muutenkaan vaadi salasanaa, kuten esimerkiksi valokuvagallerian selaaminen tai WhatsApp-sovelluksen viestien lukeminen.

Kun pohdin, millaista vahinkoa puhelimellani voitaisiin saada aikaan, jos se vaikkapa varastettaisiin, minua alkaa puistattaa. Käyn vaihtamassa näyttölukon salasanani, ja asetan pari sovellusta kysymään salasanaa aina. Jos joudun kirjoittamaan salasanoja itse useammin, kehitän ehkä samalla myös muistiani! Järvinen (2012, 42) mainitsee suojakoodin yhtenä keinona puhelimen suojaamiseen, mutta huomauttaa, ettei koodista ole mitään hyötyä, jos sen oletusarvoa ei ole vaihdettu. Jos koodi on vaikkapa 12345, varas kokeilee sitä todennäköisesti ensimmäisenä. Järvinen (2012, 42) huomauttaa myös, että joissakin puhelimissa esimerkiksi tekstiviesti saattaa oletusarvoisesti ilmestyä näytölle sisältöineen päivineen näyttölukon salasanasta huolimatta. Tämä ominaisuus pitäisi kuitenkin olla muutettavissa puhelimen asetuksista.

Järvinen (2012, 286) muistuttaa, että matkalle lähtiessä esimerkiksi lentoliput tai muut tärkeät asiakirjat kannattaa tulostaa mukaan siltä varalta, että älypuhelin katoaa tai se varastetaan. Mielestäni tähän pitäisi kuitenkin varautua jo kotimaassa, koska tänä päivänä älypuhelimen käyttäjän tulisi muistaa, ettei laite ole ikuinen. Älypuhelimet eivät yleensä kestä kovin montaa vuotta, koska niihin mahtuu rajallinen määrä tietoa (kestävyys riippuu toki täysin laitteesta). Mitä riippuvaisempia olemme laitteiden sisältämästä tietomäärästä, sitä suuremmissa vaikeuksissa olemme, jos laite rikkoutuu tai katoaa.

Järvinen (2012, 284-285) suosittelee suurempien laitteiden, kuten esimerkiksi kannettavan tietokoneen turvaamiseksi Kensington-lukkoa, joka koostuu vaijerista, jonka päässä on avaimella tai numeroyhdistelmällä varustettu lukko. Järvinen (2012, 285) kuitenkin väläyttää, että vaijerin voi katkaista vahvoilla sivuleikkureilla, eikä lukon tarkoituksena olekaan varsinaisesti estää varkautta vaan saada varas valitsemaan jokin helpompi kohde. ”Ei kovin solidaarista, mutta toimivaa” (Järvinen 2012, 285). Tämän luettuani jäinkin pohtimaan, onko älypuhelimen näyttölukossa loppujen lopuksi sama tarkoitus. Ehkä oikein taitava varas pystyy tarvittaessa ohittamaan myös puhelimen näyttölukon, varsikin jos tällä on motivaatiota etsiä puhelimesta jotakin tiettyä informaatiota. Satunnaista helppoa kohdetta etsivää taskuvarasta näyttölukko kuitenkin varmasti hidastaa.

 

3.2 OMIEN TIETOJEN TURVAAMINEN

Olen oppinut jo vanhemmiltani sellaisen ajattelutavan, että roskiin menevät paperit laitetaan joko ”poltettaviin” tai ”paperinkeräykseen”. Partiokursseja järjestäessäni kotiin kertyy esimerkiksi nimilistoja tai muita henkilötietoja kurssien osallistujista, ja jossain vaiheessa ostinkin kotiin silppurin, jolla oli helppo tuhota myös omia henkilötietoja sisältäviä papereita. Ensimmäinen oma asunto oli kerrostalon vuokra-asunto, josta olisi ollut vaivalloista lähteä kantamaan tuhottavia papereita mökille poltettavaksi. Myöhemmin opettajan työ alkoi myös kerryttää kotiin oppilaiden nimiä sisältäviä papereita, jolloin silppuri osoittautui taas hyödylliseksi. Myös Järvinen (2012, 259) suosittelee arkaluontoisten papereiden tuhoamista joko polttamalla tai silppurilla, koska toimistotarvikeliikkeistä saa kotikäyttöön tarkoitettuja silppureita melko halvalla.

Vuonna 2015 olin hankkimassa puolisoni kanssa ensimmäistä yhteistä omistusasuntoa. Samana aamuna, kun olimme menossa pankkiin hakemaan lainaa, puolisoni sai puhelinsoiton. Nettikaupasta soitettiin ja kysyttiin, oliko hän tilannut tietokoneen. Ei ollut, mutta joku muu oli. Kävi ilmi, että hän oli joutunut identiteettivarkauden kohteeksi. Joku oli tilannut hänen henkilötunnuksellaan useista eri nettikaupoista tavaraa postin pakettiautomaattiin. Laskuja olisi luonnollisesti alkanut tipahdella meidän postilaatikkoomme, mutta näin ei ehtinyt tapahtua, koska tietokoneen tilauksen yhteyteen kirjattu prepaid-numero oli herättänyt nettikaupassa epäilyksiä. Epäilykset heräsivät, koska ilmeisesti tällaiset petokset ovat kyseisen kaupan kohdalla varsin tavallisia! Menimme pikaisesti pankkiin hakemaan lainaa asuntokauppoja varten, ja heti tämän jälkeen puolisoni teki omaehtoisen luottohäiriömerkinnän.

Meille ei ole vielä tänäkään päivänä selvinnyt, pääsikö henkilötunnus vuotamaan vääriin käsin internetin vai huolimattomasti sekajätteeseen menneen paperin takia. Petoksen tehnyt henkilö saatiin kiinni, mutta häntä ei tuomittu mistään rikoksesta, koska poliisin mukaan hänen käyttämiään lukuisia prepaid-liittymiä ei voitu varmasti yhdistää häneen. Tuona kohtalokkaana aamuna haetulla asuntolainalla ostimme omistusasunnon, ja tänä päivänä polttelemme huolellisesti omassa takassa kaikki paperit, vaikka niissä olisi ”vain” nimiä ja osoitteita. Järvisen (2012, 259) mukaan henkilötunnus ei ole salainen tieto, eikä siten kelpaa todentamiseen, vaikka sitä käytetään usein tästä huolimatta esimerkiksi puhelinasioinnissa tai paperilomakkeissa, koska parempaa keinoa ei aina ole. Henkilötunnus voi siis olla väärissä käsissä hyvin vaarallinen, koska sen ja kotiosoitteen avulla pystyy esiintymään toisena henkilönä (Järvinen 2012, 259). Ikävä kyllä Suomessa on edelleen muutamia verkkokauppoja, joista on mahdollista tilata tavaraa Postin pakettiautomaattiin laskulla, mikäli henkilötunnus on tiedossa.

 

3.3 SALASANOJEN VAATIMUKSET

Salasanojen tarkoituksena on todentaa käyttäjä eli varmistaa, että kyse on oikeasta henkilöstä (Järvinen 2012, 112). Salasanoihin liittyy yleensä kolmenlaisia ongelmia (Järvinen 2012, 112):

  • Henkilö voi unohtaa oman salasanansa.
  • Salasanan voi luovuttaa toiselle esimerkiksi puhelimessa tai sähköpostissa.
  • Salasanan vuotaminen ei välttämättä paljastu. (Esimerkiksi hukattu avain tai kulkukortti paljastuu nopeasti, koska se on konkreettinen esine, mutta salasanan vuotaminen voi paljastua vasta sitten, kun kirjautuminen ei onnistu.)

Salasanaa määriteltäessä käyttäjälle annetaan yleensä neljä vaatimusta (Järvinen 2012, 114):

  1. Salasanan pitää olla riittävän pitkä ja sisältää erikoismerkkejä.
  2. Salasanoja pitää vaihtaa säännöllisesti.
  3. Salasanoja ei saa kirjoittaa muistiin.
  4. Jokaiseen palveluun pitää keksiä oma salasana.

Järvisen (2012, 114) mukaan vaatimukset ovat kuitenkin niin tiukkoja, ettei edes ohjeiden keksijä itse pysty noudattamaan näitä kaikkia. Järvinen (2012, 116) myöntää, että salasanan pituus auttaa turvaamaan omia tietoja, sillä jokainen lisäaakkonen pidentää salasanan kokeiluun kuluvaa aikaa 28-kertaiseksi. Erikoismerkin käyttö taas pidentää aikaa vain noin 20-kertaiseksi (Järvinen 2012, 116). Salasanan pituus auttaa kuitenkin torjumaan vain tietynlaisia hyökkäyksiä – esimerkiksi nettipalveluissa tunkeutuja pystyy usein kokeilemaan vain pari salasanaa, jonka jälkeen tili menee lukkoon (Järvinen 2012, 116). Tällaiset salasanat täytyy murtaa muilla keinoilla, ja tuolloin salasanan pituus voi olla yhdentekevää (Järvinen 2012, 116). Tällaisissa ohjeistuksissa kannattaakin käyttää maalaisjärkeä. Tietoturvan kannalta on esimerkiksi parempi valita laadukkaita ja vaikeasti muistettavia salasanoja ja kirjoittaa ne paperille kuin tyytyä huonoihin salasanoihin ja tuskailla kun ei muista niitä kaikkia (Järvinen 2012, 117).

 

4 POHDINTA

Kuten edellä totesin (ks. luku 2), tietoturvaongelmista ei pääse eroon huolehtimalla vain palomuurin toimivuudesta ja vaihtamalla salasanoja tarpeeksi usein. Tietoturva koskee kaikkia elämänalueita, ja oman tietoturvan parantamiseksi tulisi omaksua sellainen ajattelutapa, joka huomioi tietoturva-asiat kaikissa tilanteissa. Millaisia tietoja säilytän puhelimessani? Miten varaudun puhelimen tai pankkikortin katoamiseen ulkomailla? Mitä roskia hävitän tavallisen sekajätteen mukana? Kaikkien näiden kysymysten pohtiminen voi auttaa parantamaan omaa tietoturvaa.

Järvisen (2012) teos oli mielenkiintoista luettavaa, koska kuten totesin edellä (ks. luku 3), siinä käsitellään kattavasti monenlaisia tietoturvaongelmia. Vaikka teos on niin vanha, ettei siinä GDPR-uudistusta mainitakaan, varsinkin salasanoja ja puhelimen tietoturvaa käsittelevät vinkit ovat hyödyllisiä myös Promisian kannalta. Esimerkiksi salasanojen vaihtamiseen olisi hyvä kehittää sekä oman että asiakkaidemme tietoturvan kannalta selkeä vaihtoväli. Järvisen teos käsittelee erityisesti arjen tietoturvaa, ja nautin siitä miten Järvinen (2012) suhtautuu asioihin maalaisjärjellä. Vaikka erilaisten kauhuskenaarioiden maalaaminen voi aiheuttaa joillekin myös ahdistusta, on lohduttavaa, että istumme loppujen lopuksi kaikki samassa jollassa. Ja aivan kuten tavallisessa soutuveneessäkin, myös tietoturva-asioissa pääsee rantaan käyttämällä maalaisjärkeä ja pyytämällä muilta apua.

 

LÄHTEET

Järvinen, P. 2012. Arjen tietoturva – Vinkit & ratkaisut. Docendo.

Kommentoi

Add Comment
Loading...

Cancel
Viewing Highlight
Loading...
Highlight
Close