Tulostusversio

3/2012

Tietomurrot: Päivitä, päivitä, ylläpitäjä!

Teksti: Marianne Saine

Tietovarkaudet ovat pysyvä riesa Suomessakin, ja palveluntarjoajien vastuu tietoturvasta kasvaa. Voroja vastaan auttaa palvelun jatkuva ylläpito.

Pelitalo Blizzardin, suomalaisen Overdrive.fi -sivuston ja SETAn keskustelupalstan käyttäjien sähköpostiosoitteet, käyttäjätunnukset ja salasanat varastettiin. LinkedIn-verkkoyhteisön noin 6,5 miljoonaa salasanatiivistettä hakkeroitiin. Miljoonien Apple-käyttäjien tiedot ilmaantuivat nettiin. Kolikkopelit.com-mainoskirjeen saaneet ihmettelivät viranomaisille, mistä yhteystiedot olivat peräisin. Nuoret miehet hyödynsivät verkon tietovuotoja ja saivat haltuunsa Huuto.netin käyttäjätilejä.

Lehtiotsikot pelkästään viime kuukausilta kertovat karua tarinaa. Tietoturvarikollisuus on lisääntyvää todellisuutta Suomessakin, jossa kieli on aiemmin suojannut tietorikollisuuden ensiaalloilta.

"Pelkästään viimetalvisten rikostutkintojen sivutuotteena saatiin selville kymmenien suomalaisten palvelimien hakkerointi. Nyt sekä kansalaisten että verkkopalveluja tarjoavien täytyy avata silmät ja tunnustaa todellisuus”, rikoskomisario Timo Piiroinen Keskusrikospoliisista sanoo painokkaasti.

Ylläpito on kaiken a ja o

Kaikenlaisten hakkeroijien suosikkikohteita ovat puutteellisesti suojatut pienten yhteisöjen nettisivut. Kun vaikkapa harrastusyhdistys perustaa nettisivun keskustelupalstoineen tai haaveena on oma verkkokauppa, pitäisi tiedostaa ryhtyvänsä myös rekisterinpitäjäksi, jota koskevat henkilötietolain velvoitteet. Henkilörekisterit pitää suojata asianmukaisesti. Miten?

"Nettipalvelun rakentaminen lähtee siitä, että otetaan käyttöön jokin palvelinohjelmisto ja julkaisujärjestelmä. Itsenäiselle tielle ei kuitenkaan kannata lähteä, jos ei voi järjestää niille jatkuvaa ylläpitoa", CERT-FI:n vanhempi tietoturva-asiantuntija Kauto Huopio vastaa.

Parempi on ottaa käyttöön valmis sivualusta, joka on sen toimittajan ylläpitämä, tai jonka ylläpito on helppoa. Hyvissä sivualustoissa päivitykset voi tarkistaa kätevästi hallintapaneelista.

"Kannattaa aina varmistua, että myös sivuston lisäkomponenttien, kuten kuvaohjelmien, päivittäminen on sujuvaa. Nekin pitää päivittää ainakin kerran kuukaudessa", Huopio lisää.

Sivustotoimittajan kanssa on syytä sopia selkeästi, kenen tehtävä on huolehtia palvelimen ja ohjelmistojen päivityksestä. Julkaisualustat, vaikkapa Wordpressin, asentaa usein käyttäjä. Hän myös vastaa niiden päivittämisestä.

Älä ohita päivityskehotusta

Haittaohjelma voi tarttua ihan viattomiltakin sivuilta.

"On tapaus, jossa haittaohjelma tarttui koneeseen maineikkaan lehtitalon sivulla olleesta mainoksesta. Mainosta ei edes tarvinnut klikata", Huopio mainitsee.

Edes virustorjunnan teho ei ole sataprosenttinen. Tärkeintä on pitää koneensa käyttöjärjestelmä ja selainohjelmisto ajan tasalla. Haittaohjelmien kunnollinen torjunta on haavoittuvuuksien korjaamista jatkuvan päivityksen avulla.

Kun kone siis ehdottaa käyttöjärjestelmän tai vaikka mediasoitinohjelman päivittämistä, se on syytä myös heti tehdä.

"Esimerkiksi Microsoft julkistaa joka kuukauden toisena tiistaina päivityskehotukset. Kun ne saa koneelleen, kannattaa tehdä päivitykset heti. Samalla on hyvä tarkistaa esimerkiksi nettiselainten päivitystilanne."

Salasana voi olla lause

Palveluntarjoajien, pientenkin, pitäisi neuvoa käyttäjiä turvallisten salasanojen laatimisessa. 

Ihannetilanteessa joka palveluun on oma salasanansa. Kauto Huopio on laskenut oman tarpeensa.

"Summa oli kolminumeroinen", hän hymähtää.

Nyrkkisääntö on, että työpaikan tietojärjestelmissä on eri salasana kuin kotijärjestelmissä. Omassa sähköpostissa pitäisi myös olla eri salasana kuin kaikissa muissa palveluissa. Salasanakukkarot ja tekstiviestivahvistukset ovat suositeltavia, jos käytössä on älypuhelin.

Salasanat voi kirjoittaa muistiin, kunhan ei kirjaa koko salasanaa.

”Voi kehittää muistisäännön, jossa salasanan alku ja loppu vaihtelee, mutta keskellä on jokin helposti muistettava osio, jota ei kirjata."

Monet tietävät jo, että salasanan pitäisi olla riittävän pitkä ja siinä pitäisi käyttää erikoismerkkejä.

"Mitä pidempi salasana, sitä työläämpi se on murtaa. Salasanassa voi hyvin olla välilyöntejä, tai sananvälit voi merkitä vaikka miinuksella", Huopio neuvoo. 

Salasana voi siis olla vaikkapa: 8-vuotias koirani on Musti!

 

Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI tiedottaa tietoturvauhkista ja neuvoo palveluntarjoajia.

Lue myös

Tietomurrot: Poliisin katse on kohti palveluntarjoajia »
Tietomurrot: Toimintaohjeet »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.