Tietoturva
Sisällysluettelo |
---|
Lyhyesti
Kokoelma tietoturvan hyviä käytäntöjä.
- 2024-11-19 Lisätty Kotivara ja Mobiilivarmenne.
- 2024-10-24 Lisätty Kahdennus yleisellä tasolla.
- 2024-09-27 Lisätty Skenaarioharjoitukset.
- 2024-09-26 Teksti tarkistettu.
- 2024-07-20 Lisätty varoitus automaattisista ohjelmistopäivityksistä.
- 2024-07-10 Teksti tarkistettu. Lisätty salasanatietokannan varmuuskopiointi ja tietojen pseudonymisointi. Lisätty iCloud Backup, Time Machine ja AirTag.
- 2021-11-17 Lisätty luottokorttiharhautus.
- 2021-08-13 Teksti tarkistettu.
- 2020-12-17 Päivitetty viestintäsovellukset. Lisätty varmuuskopiointiin Tulostin.
- 2020-11-12 Lisäys (Vastaamo).
- 2017-08-12 Teksti julki.
- 2017-07-27 Teksti alkaa.
Motivaatio
Ihmisten resurssit ja identiteetit, siis elämä ylipäänsä, on siirtymässä digitaaliseen maailmaan. Enää ei ole kyse ainoastaan omien reissukuvien menettämisestä vaan myös kasvavassa määrin omien digitaalisten identiteettien ja sosiaalisten verkostojen suojelusta. Ihmisten tilejä ja laiteita voidaan käyttää myös hyökkäyksissä kolmansia osapuolia vastaan, joten hyvä tietoturva on oikeastaan kansalaisvelvollisuus.
Tunnettuja tietoturvaloukkauksia viime vuosilta ovat esimerkiksi Suomen Ulkoministeriön vakoilutapaus (2014) (viite) sekä toimitusjohtajahuijaus (2016) (viite). Yhdysvaltojen Kansallinen turvallisuusvirasto (NSA) vakoili vuosikymmenen ajan lukuisia valtioita ja henkilöitä, esimerkiksi Saksan liittokansleri Angela Merkeliä (2002-2013) (viite). Merkittäviä tietokantavuotoja tapahtuu kuukausittain (lähde). Kymmenien tuhansien suomalaisten terveystiedot päätyivät internetiin (2020) (viite).
Suomi liittyi Natoon vuonna 2023, jonka jälkeen hybridivaikuttaminen on lisääntynyt. Esimerkiksi kirjoitushetkellä pohjoismaiden suurin pankki (Nordea) on ollut pitkäkestoisen palvelunestohyökkäyksen kohteena (2024) (viite).
Ratkaisu
Tietoturvaan tai digitaaliseen suojautumiseen ei ole yhtä kaiken kattavaa ratkaisua, ellei lopeta älylaitteiden käytön kokonaan. Koska yhtä ratkaisua ei ole, on keskityttävä vaikuttavimpiin toimiin ja riskien hallintaan. Ensimmäisenä pitää määritellä, mitkä digitaaliset resurssit ovat itselle tärkeitä ja sen jälkeen miettiä, miten ne suojaa tehokkaimmin.
Tarmokas toimija järjestää itselleen reaalielämän skenaarioharjoituksia, missä simuloi erilaisia tilanteita ja käy läpi käytännön tasolla, miten on niihin valmistautunut ja onnistuuko palautuminen edes siististi kotioloissa ilman paniikkia.
Salasana
Digitaalisen suojauksen eli tietoturvan tärkein komponentti on salasana, koska se on erittäin toimiva tapa todistaa tietokoneelle, kuka sitä käyttää. Tämän vuoksi salasanoja kysytään joka paikassa. Salasanan keskeisin heikkous on laiska käyttäjä, sillä kun tarkastellaan ihmisten käyttämiä salasanoja julkisuuteen vuodetuista listoista, niin vain osalla käyttäjistä on riittävän vahva salasana.
Käytännössä paras ratkaisu salasanojen käyttöön on ulkoinen palvelu, kuten 1Password (tai KeePass, LastPass, pass tai Chromen, Applen tai muun vastaavan tarjoama palvelu), jolloin tarvitsee muistaa vain yksi salasana (+ muutama muu) ja antaa järjestelmän hoitaa loput. 1Passwordin konkurssiin ja tietokantojen mahdolliseen vuotamiseen tulee varautua ottamalla säännöllinen kopio salasanatietokannasta ja säilöä se salasanasuojattuun zippiin.
Salasananhallintaohjelman salasanan lisäksi on hyvä muistaa myös sähköpostin salasana, koska sen kautta pääsee tyypillisesti moneen muuhun palveluun. Lisäksi on hyvä muistaa tärkeiden sosiaalisten tilien ja chat-ohjelmien salasanat, ainakin ulkomailla matkustaessa. Apple-käyttäjien kannattaa muistaa Apple-salasana, jonka avulla voi kloonata puhelimen toiseen laitteeseen, jos on käyttänyt automaattista iCloud Backup -varmuuskopiointipalvelua.
Hyviä salasanoja pitää muistaa siis noin viisi. Hyvä salasana on liian vaikea sekä tietokoneelle että ihmisille, paitsi itselle. Tälläisiä salasanoja voi luoda esimerkiksi kaavalla POLIITIKKO + AJONEUVO + VIHANNES + oma syntymävuotesi kaksi viimeistä numeroa tai jokin muu henkilökohtainen leima, esimerkiksi postiosoitteesi. Näin voisi muodostua esimerkiksi mielikuva Sanna Marinista hevosen päällä laulamassa hoosiannaa pidellen samalla koria, missä on 83 kirsikkaa ("SannaKirsikkaMarin83HevosenPäälläHoosiannaa") tai Donald Trump soutuveneessä banaanitertun kanssa ("DonaldBanaaniTrump83SoutuveneenKunkku"). Poliitikkojen tilalla voi olla sarjakuvasankarit, vihannesten tilalla soittimet eli vaikkapa Batman soittamassa viulua uima-altaalla, missä ui valkohai + 83. Yhdistä noin kolme erilaista elämänaluetta ja luo jotain mahdollisimman hullua ja sekopäistä, ja kehittele mielikuvaa jonkun matkaa eteenpäin, jolloin yhtäältä muistat salasanan helposti ja toisaalta kukaan tai mikään muu ei voi sitä arvata, ainakaan ennen kvanttitietokoneen läpimurtoa, ja ainakaan, jos et kerro salasanaa muille kuin salasananhallintapalvelulle.
Vuoto
Tietokantavuotoja tapahtuu jatkuvasti, missä omat autentikointitiedot voivat päätyä rikollisille. Näistä voi kuulla Ylen kautta, esimerkiksi seuraamalla heidän 20:30 iltauutisia, mutta koska Yle ei voi kertoa jokaisesta maailman internet-palvelun vuodosta, niin halutessaan asiaa voi seurata tarkemmin Kyperturvallisuuskeskuksen uutiskirjeiden (viite) sekä filantropisen have i been pwned? -palvelun kautta (viite).
Vuotoja vastaan voi varautua myös käyttämällä pseudonymisoituja tietoja, kun se on mahdollista, eli kertomalla itsestään väärät tiedot. On mahdollista luoda myös useita sähköpostitilejä, vaikka jokaista palvelua varten oma (viite). Tämän ominaisuuden tarjoavat ainakin Apple, Proton ja Fastmail.
Kaksivaiheinen tunnistaminen
Monet palvelut tarjoavat kaksivaiheista tunnistautumista lisätietoturvana (2FA) (viite), ja niinhän se onkin, että kun kirjautumisen joutuu kuittamaan toisella laitteella, niin suoja on vahvempi, mutta kuten aina tietoturvan kanssa, niin kaksivaiheisen tunnistamisenkin käyttöönotto pitää hoitaa huolella, eli tallentamalla kolmanteen paikkaan tunnistuksen purkukoodit siltä varalta, että menettää varmennuslaitteen. Purkukoodit voi olla hyvä laittaa talteen internetiin asti, esimerkiksi sähköpostiohjelmaan, jonne pääsee käsiksi myös julkiselta tietokoneelta. Tällöin luonnollisesti korostuu sähköpostiohjelman vahvan salasanan tarve.
Jos kaksivaiheisen tunnistuksen varmennuslaitteena käyttää omaa puhelinta, niin on hyvä ymmärtää, että jos puhelimessa on valmiiksi kirjautuneena sähköpostiin ja jos hyökkääjä onnistuu ohittamaan puhelimen kasvontunnistuksen tai PIN-koodin, niin sähköpostin kautta hyökkääjä voi päästä käsiksi kaikkiin tileihin, siis vaikka kaksivaiheinen tunnistus olisikin ollut käytössä. Näin ollen jos puhelin tarjoaa tuen, niin myös sähköpostiohjelman käyttö kannattaa laittaa vähintään kasvontunnistuksen taakse. Sähköpostiohjelmaan voi tietenkin kirjautua myös joka kerta erikseen, kun tarkistaa viestit esimerkiksi kerran päivässä.
Mobiilivarmenne
Mobiilivarmenne on pankkitunnusten ohella toinen tapa tunnistautua eri palveluihin. Mobiilivarmenne on pankkitunnuksia tietoturvallisempi tapa, joten sitä kannattaa suosia silloin, kun mahdollista. Kirjoitushetkellä Elisan eSim ei tue mobiilivarmennetta (2024-11-19). Mobiilivarmenne toimii myös varakeinona, jos oma pankki ei esimerkiksi palvelunestohyökkäyksen takia ole toiminnassa. Tästä syystä on hyvä olla myös kahden eri pankin asiakkuus.
Varmuuskopiointi
On sanomattakin selvää, että kaikki itselle tärkeä kannattaa kahdentaa. Vähemmän selvää lienee se, että nykypäivänä puhelimen ja tietokoneen kahdennus on erittäin helppoa ja yksinkertaista, ainakin Apple-maailmassa, jolloin laitteen voi luoda aina uudestaan pilvestä. Apple-palveluiden nimet ovat iCloud Backup ja Time Machine. Allekirjoittanut ottaa säännölliset varmuuskopiot myös monesta muusta, kuten Google-asiakirjoista (Docs, Sheet), Youtube-playlistoista sekä selaimen bookmarkeista.
Jos ja kun liikeyhtiö menee joskus konkurssiin, kuten vaikkapa Apple, niin sillä hetkellä liikeyhtiön velvollisuudet asiakkaita kohtaan lähestyvät hyvin nopeasti nollaa, koska yhtiöt ovat tyypillisesti sanoutuneet irti kaikista velvollisuuksista sillä hetkellä, kun käyttäjä luo tilin. Tällä hetkellä maailma näyttää siltä, ettei Apple ole mihinkään häviämässä tai jos onkin, niin joku toinen yhtiö ostaa heidän käyttäjäkuntansa ja tiedot pysyvät tallessa, mutta jos haluaa varmistaa selustan, niin kaikista tärkeimmät resurssit voi tallentaa säännöllisesti paikalliselle kiintolevylle, joka on pääosan ajasta kirjahyllyssä kytkettynä pois muusta maailmasta - esimeriksi sen vuoksi, että kaikki muut järjestelmät kryptautuvat yhdellä hetkellä kiinni. Säännöllistä tallentamista varten ei tarvitse välttämättä rakentaa automatisoitua scriptiä, vaan varmuuskopioinnin voi tehdä myös käsin esimerkiksi kerran vuodessa hyödyntäen kalenteria ja sen muistuttavaa luonnetta.
Paikallisten kiintolevyjen lisäksi Amazon Glacier ja Google Storage ovat palveluita, joissa voi säilyttää suuria määriä dataa halvalla (viite) (viite).
Varmuuskopioinnissa - kuten oikeastaan kaikessa tietoturvassa - on olennaista tarkistaa säännöllisesti, että varmuuskopiointi toimii edelleen. Hyvä tapa on etsiä jokin todellinen tieto, jolloin varmistuu, että koko ketju toimii alusta loppuun asti.
Puhelimen kameralla on helppo varmuuskopioida fyysisen maailman asioita digitaaliseen muotoon, esimerkiksi asiakirjoja. Vastaavasti tulostimella voi varmuuskopioida digitaalista sisältöä fyysiseen maailmaan.
Kahdennus
Kuten yllä mainittu, varmuuskopiointi on kahdennusta, täsmälleen ottaen datan kahdennusta, mutta kahdennuksen idea on käyttökelpoinen myös laajemmassa mielessä, sillä digitaalisia resursseja voi suojata esimerkiksi kahdentamalla puhelimen, internet-liittymän ja pankkiyhteyden siltä varalta, että jokin tietty verkko-operaattori ei toimi. On hyvä olla varayhteys, joskus jopa varayhteyden varayhteys.
Myös veden, ruoan ja viemärin voi kahdentaa kaivon, pullotetun veden, pussiruoan ja kannellisen ämpärin avulla. Myös viranomaistiedotteita varten radion voi kahdentaa ostamalla veivattavan matkaradion (viite). Sähköjakelun voi kahdentaa agregaattorilla tai varavirtapankilla.
Luottokortinkin voi kahdentaa, joka varsinkin ulkomailla on hyvä idea. Esimerkiksi Stockmann MasterCard ja S-pankki Visa ovat kirjoitushetkellä ilmaisia luottokortteja (2024-10-24), joten näiden kautta saa siis itselleen ilmaiseksi kaksi luottokorttia ja lisäksi kahdet verkkopankkitunnukset siltä varalta, että ensisijainen pankkipalvelu on DDoS-hyökkäyksen kohteena (viite) (viite).
Puolustussuunnitelma
Varmuuskopioiden säännöllisen tarkistuksen, valittujen salasanastrategioiden hallinnan ja muiden myöhemmin esiteltävien tietoturvatoimien vuoksi on oikeastaan hyvä olla olemassa henkilökohtainen puolustussuunnitelma, missä on listattuna tärkeimmät resurssit, niiden suojaus ja kahdennus, ja lisäksi kuinka niihin pääsee käsiksi, jos ensisijainen tapa ei ole enää syystä tai toisesta käytettävissä.
Ohjelmistopäivitykset
Kaikki ohjelmistot, ainakin kriittisimmät, on tärkeä pitää ajantasalla ja helpoin tapa siihen on sallia automaattiset päivitykset, joskin kääntöpuolella silloin voi käydä niin, että eräänä aamuna mikään omista laitteista ei käynnisty, jos yön aikana laitteisiin on asentunut ohjelmistovirhe esimerkiksi jonkin matalan tason kirjaston kautta, kuten kävi kesällä 2024 (viite). Ratkaisu tähän on sallia automaattiset päivitykset esimerkiksi kaikkiin muihin laitteisiin, paitsi puhelimeen, jonka päivitykset hoitaa manuaalisesti esimerkiksi joka sunnuntai riippuen omista muista rutiineista. Kalenteriteknologialla manuaalisetkaan päivitykset eivät unohdu.
Virustutka
Virustutka estää osan hyökkäyksistä, muttei suojaa kaikelta, joten käyttäjän tulee ymmärtää aina, miten toimii internetissä. Kaikkia linkkejä ei tule seurata, varsinkaan niitä, jotka vetoavat tunteisiin. Salasanoja ja muita tietoturvatietoja ei tule kertoa kenellekään. Ohjelmia ei tule asentaa ilman varmuutta siitä, mitä on tekemässä. Karkeasti voi ajatella, että virustutka saa kiinni 20 % hyökkäyksistä, mutta loput 80 % riippuu siitä, miten tietokonetta käyttää.
Yksityisyys
Aiemmin mainitun pseudonymisoitujen tietojen lisäksi yksityisyyttä voi internetissä suojata käyttämällä selaimen anonymiteettitilaa, jota Chrome-selaimessa kutsutaan termillä Incognito, vaikkakin on oletettava, että niidenkin käytöstä tieto kulkee viranomaisille yritysten kautta, kuten on jo kertaalleen todistetusti tapahtunut (viite). Todellista anonymiteettiä tarjoavat VPN-palvelut ja Tor-verkko.
Selaimessa voi käyttää mainonnanestosuodatinta (uBlock Origin) ja verkkosivusten evästekyselyissä voi kieltää kaiken ylimääräisen, minkä voi myös automatisoida esimerkiksi selainlaajennuksilla CookieBlock tai "I don't care about cookies".
Täydellistä yksityisyyttä haluava menee golf-kentälle, ei järvenselällä, koska vesi on hyvä kuljettamaan ääniaaltoja. Lähtökohta on se, että kaikkia laitteita voidaan kuunnella ja valvontakamerat lisääntyvät (viite).
Viestintä
Viestinnän salauksesta ei tarvitse peruskäytössä erityisemmin murehtia, mutta jos haluaa viestiä niin, ettei kolmas osapuoli pääse siihen käsiksi, ei edes Yhdysvaltojen viranomaiset, niin parhaan olemassa olevan tiedon perusteella hyviä sovelluksia tähän ovat julkisella avaimella kryptatut sähköpostit (viite) sekä Signal (viite) (2024-07-10).
Viestinnän salauksessa on hyvä muistaa, että mikään suojaus ei ole riittävä, jos viestin vastaanottaja jakaa tiedon eteenpäin. Digitaalisessa ympäristössä tiedon levittäjällä on olemassa myös aina todiste viestin lähettäjästä, kun taas golf-kentällä todistetta varten pitää olla asennettuna salakuuntelu päälle.
Kodin verkkolaitteet
Tietokoneiden ja puhelimien lisäksi kodin lähiverkon reitittimien ja kytkimien sekä tietenkin televisioiden, jääkaappien, web-kameroiden, itkuhälyttimien ja kaikkien muiden verkossa olevien laitteiden oletussalasanat tulee vaihtaa vahvoiksi. Ammattilainen varmistaa myös, etteivät laitteet ole auki koko internetiin, paitsi silloin, kun se on välttämätöntä. Porttien ja IP-osoitteiden vaihtaminen epätyypillisiksi parantaa suojausta. Omia käytössä olevia IP-osoitteita vasten voi ja saa ajaa porttiskannauksen, jonka avulla voi tutkia oman lähiverkon haavoittuvuuksia (viite).
Kaikkien laitteiden järjestelmäpäivitykset tulee pitää ajantasalla, jos kohta voi olla niinkin, ettei nykymaailmassa laitevalmistajien digitaalinen vastuu ole kummoinen, eli siinä mielessä olemme edelleen villissä maailmassa, koska käyttäjä ei voi käytännössä mitenkään varmistua etukäteen, toimivatko yritykset oikein, ja toisekseen palvelua käyttääkseen on jokaisen hyväksyttävä, etteivät yritykset ole vastuussa mistään.
Fyysinen maailma
Kirjoituksessa on tähän asti käsitelty digitaalisen maailman tietoturvaa, mutta myös fyysistä maailmaa voi johonkin mittaan asti suojata.
Vakuutuksilla voidaan turvata omaisuutta, jonka voi rahalla korvata, ainakin silloin, kun kyseessä ei ole force majeure -tapaus, joista vakuutusyhtiöt tyypillisesti sanoutuvat irti (viite). Sotatila ja luonnonkatastrofi voivat olla tälläisiä.
Tärkeitä asiakirjoja voi säilyttää kassakaapissa tai pankin tallelokerossa. Kassakaappi voidaan varastaa ja lisäksi sen palokestävyys on tyypillisesti noin tunti. Pankkien tallelokerot sen sijaan ovat paremmin suojattuja, mutta niihin liittyy pakkokollektivoinnin riski, joka historiallisesti katsottuna on harvinaista. Asiakirjoista voi ottaa myös valokuvan ja tallettaa sen esimerkiksi sähköpostijärjestelmään.
Testamentin tekeminen kannattaa, jos varallisuutta on paljon ja sen haluaa jakaa poikkeuksellisella tavalla. Testamentin laadintaan tarvitaan kaksi todistajaa ja jotta sen muotovaatimukset täyttyvät, on hyvä käyttää asianajotoimistoa tai lukea kirja (viite). On myös hyvä miettiä, haluaako lisätä digitaalisten palveluiden tunnukset testamenttiin ja esittää toive, mitä niillä tulee kuolemantapauksessa tehdä. Testamentin tulee olla ulkopuolisen helposti löydettävissä.
Matkoilla - miksei myös muulloinkin - voi kantaa mukana yhteystietoja luottokortin sulkupalveluun, matkavakuutuksen tarjoajaan sekä lähiomaisten puhelimiin. Näitä tietoja ei tule säilyttää lompakossa tai puhelimessa, koska ne varastetaan ensimmäisenä. Luottokortin taakse voi kirjoittaa harhautukseksi väärän PIN-koodin.
Apple-maailmassa on tarjolla AirTag-teknologia eli esimerkiksi avaimiin, polkupyörään tai matkalaukkuun kiinnitettävä nappi, jolla tavara voidaan paikantaa.
Pitkiä sähkökatkoksia ja muita yhteiskunnan häiriötilanteita varten on tärkeä olla kotivara (viite).
Skenaarioharjoitus
On hyvä järjestää skenaarioharjoituksia ja kokeilla käytännön tasolla, miten palautuminen onnistuu kotioloissa ilman paniikkia.
Perusskenaario 1: Puhelin häviää ulkomailla.
Ratkaisu: Jos muistat laitteesi ekosysteemin salasanan ja tunnuksen, esim. Apple ID:n, ja olet käyttänyt iCloud Backup -palvelua, niin voit ostaa uuden laitteen ja ladata siihen edellispäivän datan. Muistamalla salasanan ja tunnuksen viestipalveluun, esimerkiksi sähköpostiin ja Facebookiin, voit olla yhteydessä muihin ilman puhelinta. Jos puhelin käyttää sähköistä sim-korttia (eSim), niin operaattori voi yhtäältä sulkea vanhan puhelimen liittymän ja toisaalta antaa ladattavaksi uuden liittymän eSim-kortin. Toimivan liittymän tarvitsee käyttääkseen viestipalveluja WhatsApp, Telegram ja Signal. Find My iPhone -palvelulla voi hakea puhelimen takaisin.
Perusskenaario 2: Kaikki laitteet lukittuvat yön aikana (ransomware) (viite).
Ratkaisu: Ota digitaalisesta materiaalista säännölliset varmuuskopiot eri medioille, jotka eivät ole kytketty internetiin eli esimerkiksi muistikortille, ulkoiselle kovalevylle tai paperille. Pidä laitteissasi päällä automaattista järjestelmätason varmuuskopiointia, jotta voit tehdä Time Machine -siirtymän taaksepäin hetkeen, jolloin laitteet eivät olleet vielä kryptautuneet kiinni. Ennen taaksepäin siirtymistä pitää varmistaa, ettei lukko pääse tulemaan uudestaan. Kaikissa laitteissa ei siis kannata olla päällä automaattiset päivitykset päällä, jotteivat kaikki laitteet lukkiudu random hyökkäysvektorin vuoksi samalla hetkellä, joten esimerkiksi puhelin kannattaa päivittää manuaalisesti esimerkiksi joka sunnuntai. Muista kuitenkin pyhittää lepopäivä.
Perusskenaario 3: Internet ja sähköt eivät toimi viikkoon.
Ratkaisu: Omista kynttilä, tulitikut ja sähkötöntä viihdettä. Omista myös matkaradio, veivattava sellainen, varavirtapankki, vettä, kannellinen sankko, ruokaa ja paperilla tärkeät radiokanavat. Viinipullo.