Proto-Z

Tietoturva

Language:    Published: 2017-08-12   Modified: 2021-04-25   Views: 3244   Type: Research
Sisällysluettelo

Lyhyesti

Kirjoitus sisältää kokoelman ajatuksia, miten henkilökohtaista tietoturvaa voi parantaa.

Artikkelihistoria

  • 2021-01-17 Tarkistettu kieli.
  • 2020-12-17 Päivitetty viestintäsovellukset.
  • 2020-11-12 Lisätty huomio Vastaamosta.
  • 2017-08-12 Artikkeli julkaistu.
  • 2017-07-27 Artikkelin teko aloitettu.

1. Motivaatio

Tietoturvan merkitys on kasvussa. Ihmisten resurssit ja identiteetit, siis elämä ylipäänsä, siirtyy osittain digitaaliseen maailmaan. Enää ei ole kyse ainoastaan omien reissukuvien menettämisestä vaan myös kasvavassa määrin omien digitaalisten identiteettien suojelusta. Lisäksi kun jokaisen henkilökohtaisia laitteita voidaan käyttää hyväksi palvelunestohyökkäyksissä kolmansia osapuolia vastaan, niin hyvä tietoturva on kansalaisvelvollisuus pitää kunnossa.

Tunnettuja tietoturvaloukkauksia viime vuosilta ovat esimerkiksi Suomen Ulkoministeriön vakoilutapaukset (viite) sekä toimitusjohtajahuijaukset (viite), jollaisella vast'ikään huijattiin 17,2 miljoonaa euroa pörssiyhtiö Konecanesin tytäryhtiöltä (lähde). Yhdysvaltojen Kansallinen turvallisuusvirasto (NSA) onnistui vakoilla vuosikymmenen ajan lukuisia valtioita ja henkilöitä, kuten esimerkiksi Saksan liittokansleri Angela Merkeliä (lähde), ja on oletettavaa, ettei vakoilu ole loppunut tähän. Merkittäviä tietokantavuotoja tapahtuu kuukausittain (lähde).

LISÄYS 2020-11-12: Vastaamo (viite).

2. Ongelma

Digitaalisten identiteettien ja resurssien suojaaminen eroaa merkittävästi perinteisestä fyysisestä maailmasta. Vaikka kadullakin varas voi viedä puhelimen, on globaali internet kasvottomana ja alati muuttuvana ympäristönä selvästi monimutkaisempi. Tietoturvaloukkauksien tekijöitä on usein vaikea saada kiinni.

Koska toimintaympäristö on monitahoinen ja jatkuvasti muuttuva, niin yhtä kaiken kattavaa ratkaisua ei ole olemassa, paitsi internet-yhteyksien sulkeminen ja kirjoituskoneiden käyttäminen (viite).

Kun täydellistä tietoturvaa ei voida käytännössä saavuttaa, on keskityttävä vaikuttavimpiin toimiin.

Autentikointi, siis miten tietokone tunnistaa ihmisen, on erityisen mielenkiintoinen haaste. Tähän asti ratkaisu on ollut salasana, joka voidaan tallentaa mieleen ilman tarvetta säilyttää siitä kopiota missään muualla. Salasanan voi myös aina vaihtaa. Salasanan suurin heikkous on laiskat käyttäjät. Kun tarkastellaan ihmisten käyttämiä salasanoja julkisuuteen vuodetuista listoista, niin vain pienellä osalla käyttäjistä on hyvä salasana.

3. Käytännöt ratkaisut

3.1. Yleistä

Aluksi on hyvä arvioida, mitkä palvelut ja järjestelmät ovat itselle tärkeimpiä ja suojata ne ensimmäisenä. Useimmille se on puhelin, jolla ollaan kirjautuneena useisiin eri palveluihin sosiaalisesta mediasta sähköpostiin. Jos hyökkääjällä on pääsy uhrin sähköpostitiliin, niin hänellä on pääsy kaikkialle, missä kyseinen sähköpostiosoite on käytössä. Hyvä PIN-koodi on vähimmäistaso puhelimen suojauksessa.

Valistunut käyttäjä seuraa Viestintäviraston tiedonantoja (viite) sekä ilmoittaa käyttämänsä sähköpostiosoitteet ja käyttäjätunnukset have i been pwned? -palvelulle, joka kertoo, jos tiedot vuotavat jonkin tietojärjestelmämurron yhteydessä (viite).

Seuraavassa on luettelonomaisesti eri osa-alueita, jotka kannattaa miettiä ja valita oma lähestymistapa.

3.2. Salasanat

Salasanojen tulisi olla pitkiä, vaikeita ja uniikkeja, jotta niiden murtaminen olisi tietokoneille riittävän vaikeaa. Koska ihmisillä on käytössään nykypäivänä jopa satoja eri tunnuksia, on ymmärrettävää, että moni käyttäjä valitsee aina saman lyhyen ja helposti muistettavan salasanan. Onneksemme on olemassa ratkaisuja, jotka mahdollistavat helposti muistettavia ja vaikeasti murrettavia salasanoja.

Koska salasanat ovat tietoturvan tärkein toimi, niin seuraavaksi niistä useampi huomio.

Hyvä tapa luoda pitkiä, turvallisia ja helposti muistettavia salasanoja on muodostaa lauseita jostakin itselle läheisestä teemasta, mutta jota muut ihmiset eivät tarkasti tunne, ja tehdä lauseisiin vielä persoonallisia muunnoksia (esim. !TURTL3S!VihreäÄ!). Toinen tapa tehdä vahvoja salasanoja on ottaa kirjahyllystä viisi kirjaa ja valita sattumanvaraisesti yksi sana jokaisesta kirjasta ja muodostaa niistä lause, johon tekee vielä muutaman erikoismerkkimuutoksen.

Salasanat voi tallentaa myös erilliseen ohjelmaan ja antaa ohjelman luoda vahvoja salasanoja. Tunnettuja hallintaohjelmia ovat esimerkiksi ilmainen KeePass (viite), pass (viite) sekä maksulliset 1Password (viite) ja LastPass (viite).

Maksulliset salasanapalvelut integroituvat tyypillisesti helposti selaimeen ja useisiin muihin laitteisiin. Toisaalta maksullisten palveluiden osalta joutuu luovuttamaan salasanakokoelman kolmannelle osapuolelle, jolloin konkurssin tai tietoturvavuodon yhteydessä saattaa menettää datan. Tästä syystä ja myös pääsalasanan unohtamisen riskin vuoksi on hyvä muistaa ulkoa ainakin sähköpostipalvelun salasana, jolla voi palauttaa muiden palveluiden salasanoja.

Jos ei halua käydä läpi kaikkia vanhoja palveluita ja muuttaa salasanoja vahvemmiksi, niin kannattaa tehdä se ainakin kriittisimpiin palveluihin. Useat palvelut tukevat myös kaksivaiheista tunnistamista (2FA) (viite), jolloin salasanalla kirjautumisen lisäksi pitää syöttää tekstiviestinä saatu kertakoodi. Kaksivaiheisesta tunnistautumisesta ei tosin ole hyötyä, jos varas vie puhelimen, jossa ollaan kirjauduttuna sähköpostipalveluun. Lisäksi kaksivaiheinen tunnistautuminen voi olla ongelma ulkomailla, sillä jos puhelin varastetaan, niin et pääse kirjautumaan enää mihinkään palveluihin.

3.3. Varmuuskopiointi

Varmuuskopioinnin merkityksen ymmärtää jokainen viimeistään ensimmäisen kovalevyn hajoamisen jälkeen.

Nykyään data on usein pilvessä, jolloin kaupalliset yritykset hoitavat varmuuskopioinnin käyttäjän puolesta. Tämä ei ole kuitenkaan täysin ongelmatonta, sillä kaupalliset yritykset menevät joskus konkurssiin, jolloin yrityksen omistajia ei välttämättä enää kiinnosta asiakkaiden data - ainakaan niin kauan kuin asiasta ei ole olemassa regulaatiota. Tästä syystä kriittisin data on tärkeä varmuuskopioida kolmannen osapuolen palveluun.

Amazon Glacier (viite) ja Google Storage (viite) ovat palveluita, joissa voi säilyttää suuria määriä dataa halvalla. Esimerkiksi Storagen hinta kirjoitushetkellä (2017-08-08) on 0,01 senttiä per gigatavu per kuukausi.

Varmuuskopioinnissa olennaista on säännöllisesti tarkistaa, että varmuuskopiointi toimii. Tästä kannattaa tehdä itselle vuosittain toistuva kalenterimerkintä, koska varmuuskopioita ei muuten tule tarkastaneeksi ennen kuin tietoja kaipaa, jolloin tarkistaminen on myöhäistä.

3.4. Ohjelmistopäivitykset

Pääsääntöisesti ohjelmistot on hyvä pitää ajantasalla. Automaattiset päivitykset ovat useimmille kätevin tapa.

3.5. Virustutka

Virustutkien merkitys on yleistä käsitystä pienempi, sillä tyypillisesti uudet virukset leviävät nopeammin kuin virustutka keretään päivittää.

Selaimessa on hyvä käyttää mainonnanestosuodatinta, kuten uBlock Origin (viite).

3.6. Viestintä

Viestinnän salauksesta ei tarvitse peruskäytössä murehtia, mutta jos haluaa viestiä niin, ettei kolmas osapuoli pääse niihin käsiksi, niin hyviä sovelluksia ovat kirjoitushetkellä kryptatut sähköpostit, Signal (viite) ja Tor-verkko (viite) (2020-12-17).

3.7. Kodin verkkolaitteet

Tietokoneiden ja puhelimien lisäksi kodin lähiverkon reitittimien ja kytkimien sekä tietenkin televisioiden, jääkaappien, web-kameroiden, itkuhälyttimien (lähde) ja kaikkien verkossa olevien laitteiden oletussalasanat pitää vaihtaa. Lisäksi IP-rangen vaihtaminen epätavalliseksi parantaa tilannetta merkittävästi. Omaa IP:tä vasten saa ajaa porttiskannauksen, jolloin voi selvittää omia haavoittuvuuksia.

Kaikkien laitteiden järjestelmäpäivitykset on hyvä pitää ajantasalla. Kirjoitushetkellä regulaation puutteesta johtuen laitevalmistajat eivät aina tarjoa ajantasaisia järjestelmäpäivityksiä (2017-08-21).

3.8. Fyysinen maailma

Kirjoituksessa on tähän asti käsitelty lähinnä digitaalisen maailman tietoturvaa, mutta mainittakoon tässä kohtaa myös sananen fyysisen maailman tietoturvasta.

Vakuutuksilla voidaan turvata omaisuutta, jonka voi rahalla korvata, mutta on huomattava, etteivät vakuutukset ole yleensä voimassa kaikissa tilanteissa, kuten force majeure.

Tärkeitä asiakirjoja, kuten vaikka testamenttiä, voi säilyttää kassakaapissa tai pankin tallelokerossa. Kassakaapin heikkous on, että se voidaan varastaa ja sen palokestävyys on tyypillisesti tunnin luokkaa. Pankkien tallelokerot sen sijaan ovat paremmin suojattuja, mutta niihin liittyy pakkokollektivoinnin riski, joka tosin on historiallisesti ollut harvinaista.

Testamentin tekeminen kannattaa, jos varallisuutta on paljon ja sen haluaa jakaa tavallisesta poikkeavalla tavalla. Testamentin laadintaan tarvitaan kaksi todistajaa ja jotta sen muotovaatimukset täyttyvät, on hyvä käyttää asianajotoimistoa tai lukea kirja (viite). On myös hyvä miettiä, haluaako antaa digitaalisten palveluiden tunnukset testamenttiin ja esittää toive, mitä niille tehdään kuolemantapauksessa.

Varsinkin matkoilla, mutta miksei muulloinkin, on hyvä kantaa mukana yhteystietoja luottokortin sulkupalveluun, matkavakuutuksen tarjoajaan sekä lähiomaisiin. Näitä tietoja ei tule säilyttää lompakossa tai puhelimessa, koska ne varastetaan ensimmäisenä. Lisäksi on tärkeä muistaa kriittisimpien palveluiden salasanat.

Tulostimella voi varmuuskopioida digitaalista sisältöä fyysiseen maailmaan.

4. Yhteenveto

Tietoturvan merkitys kasvaa samalla kun elämämme siirtyvät kiihtyvällä vauhdilla digitaaliseen maailmaan. Aiheeseen kannattaa syventyä aiemmin kuin myöhemmin. Tietoturvaan ei ole olemassa tai tulossa yhtä kaiken kattavaa ratkaisua vaan on olemassa ainoastaan joukko hyviä käytäntöjä, joita käyttäjien tulee itse noudattaa.

Vaikuttavimmat toimet ovat hyvät salasanat, salasanojen hallintaohjelma, varmuuskopiointi sekä säännölliset ohjelmistopäivitykset.


Markdown: ON, HTML: OFF