Tulostusversio

1/2009

Lyhyesti tietoturvasta 1/2009

Sähköäänestyksen käsittely jatkuu KHO:ssa

Sähköisen äänestyksen kokeilusta tehtyjen valitusten käsittely jatkuu korkeimmassa hallinto-oikeudessa.

Helsingin hallinto-oikeus hylkäsi sähköisen äänestyksen valitukset tammikuussa. Hallinto-oikeus totesi, että vaaliviranomaisen antamassa ohjeistuksessa oli yhtenäistämisen ja selkeyttämisen varaa. Oikeus ei kuitenkaan pitänyt ohjeistusta virheellisenä eikä se siksi katsonut, että vaalit olisi toimitettu vaalilaissa tarkoitetulla tavalla virheellisessä järjestyksessä.

Sähköistä äänestämistä kokeiltiin Karkkilassa, Kauniaisissa ja Vihdissä kunnallisvaalien yhteydessä lokakuussa. Vaalien jälkeen selvisi, että 232 tapauksessa ääni jäi kirjautumatta sähköiseen vaaliuurnaan. Äänestäjät eivät vahvistaneet antamaansa ääntä ok-näppäimellä ennen kuin ottivat äänestyskorttinsa pois koneesta.

Oikeusministeriön sisäisen tarkastuksen mukaan äänestyksen keskeytymisen mahdollisuus havaittiin hyväksymistestauksessa mutta se jäi käsittelemättä. 

Oikeusministeriö tekee sähköisen äänestyksen kokeilusta kokonaisselvityksen, jonka on määrä valmistua loppukeväällä.

------

Yhteisöpalveluille nettiturvasäännöt

Seitsemäntoista johtavaa verkkoyhteisöpalvelua on sopinut toimista, joilla varjellaan nuorten yksityisyyttä ja turvallisuutta.

EU:n tietoturvapäivänä helmikuussa allekirjoitetussa sopimuksessa yritykset sitoutuivat varmistamaan, että käyttäjät voivat yhdellä klikkauksella ilmoittaa epäasiallisesta käytöksestä, alaikäisten käyttäjien verkkoprofiilit ja yhteystiedot asetetaan oletusarvoisesti salaisiksi eivätkä heidän profiilinsa näy hakupalveluissa. Lisäksi yritykset sitoutuvat pitämään julkisuutta koskevat käyttöasetukset koko ajan näkyvillä.

Yritykset lupasivat toteuttaa suurimman osan sopimuksen edellyttämistä muutoksista huhtikuuhun mennessä.

----

Ryhmä torjuu Conficker-matoa

Maailmanlaajuisesti levinneen Conficker/Downadup-verkkomadon torjuntaan on perustettu kansainvälinen ryhmä, johon kuuluu tietoturvayhtiöitä, ohjelmistovalmistajia, internet-yhtiöitä ja toimielimiä.

Conficker/Downadup-mato muodostaa päivämäärän perusteella verkkotunnuksia, joihin se yrittää ottaa yhteyttä päivittääkseen itsensä tartunnan jälkeen.

Madontorjuntaryhmä on rekisteröinyt internetosoitteita, joita mato käyttäisi nyt ja tulevaisuudessa komentojen ja päivitysten hakemiseen. Madon näihin internetosoitteisiin lähettämät kyselyt voidaan jäljittää ja saastuneiden koneiden omistajiin ottaa yhteyttä.

Poikkeuksellisen torjuntaryhmän tavoitteena on estää madon yhteydenpito ohjauspalvelimiin.

Conficker/Downadup-mato löydettiin viime syksynä. Se on saastuttanut enemmän koneita kuin mikään muu mato vuosiin. Maailmalla tartunnan saaneita koneita arvioidaan olevan useita miljoonia, Suomessa useita satoja.

----

Vastatoimia Bluetoothin tietoturvauhkiin

Lyhyen kantaman langatonta Bluetooth-tekniikkaa voidaan käyttää yhdistämään laite toiseen laitteeseen. Koska Bluetooth perustuu vuorovaikutukseen laitteiden välillä, siihen kohdistuvat kaikki perinteiset hajautetuista verkoista tutut tietoturvaongelmat. Koska Bluetooth-verkko muodostuu radiolinkin välityksellä, on olemassa myös sellaisia tietoturva-asioita, joiden vaikutusta ei vielä ymmärretä hyvin.

Diplomi-insinööri Keijo Haatajan väitöstutkimuksessa Bluetooth-tietoturvasta löydettiin monia vakavia haavoittuvuuksia. Tutkimuksessa määritetään vastatoimia havaituille uhille.  

Keijo Haatajan väitöstutkimus Security Threats and Countermeasures in Bluetooth-Enabled Systems (Turvallisuusuhkat ja vastatoimet Bluetooth-yhteensopivissa järjestelmissä) tarkastettiin Kuopion yliopistossa helmikuussa.

----

Ulos salasanaviidakosta

Uuden verkkopalvelun käyttöönottaminen vaatii rekisteröitymistä ja uuden käyttäjäidentiteetin luomista, usein myös salasanan opettelemista.

Useiden käyttäjätunnus-salasanaparien hallinta on paitsi riesa käyttäjälle, myös uhka tietoturvalle. Tavoitteena on yksi käyttäjäidentiteetti, jota voi käyttää mahdollisimman monessa palvelussa organisaatioissa ja jopa sen ulkopuolella.

Tekniikan lisensiaatti Mikael Linden esittää väitöstutkimuksessaan toimintamallin organisaatiorajat ylittävälle identiteetinhallinnalle. Mallissa yhdellä käyttäjätunnuksella voi käyttää myös toisten organisaatioiden palveluja.

Mikael Lindenin tietoturvallisuuden alaan kuuluva väitöskirja Organisational and Cross-Organisational Identity Management (Organisaation sisäinen ja organisaatiorajat ylittävä identiteetin hallinta) tarkastettiin Tampereen teknillisessä yliopistossa tammikuussa.

-----

Digitaalinen sormenjälki lisää turvaa

Tietokoneet tunnistetaan nykyisessä internet-arkkitehtuurissa niiden sijainnin perusteella. Arkielämässä tämä vastaisi tilannetta, jossa ihmisten etu- ja sukunimet olisi korvattu pelkillä katuosoitetiedoilla tyyliin. Nimeämiskäytäntö aiheuttaa merkittäviä tietoturvaongelmia tietokoneiden liikkuessa ihmisten mukana paikasta toiseen.  

Diplomi-insinööri Jukka Ylitalo on väitöstutkimuksessaan soveltanut nimeämiskäytäntöä, jossa jokaiselle tietokoneelle annetaan digitaalinen sormenjälki. Se pysyy muuttumattomana koneen liikkuessa verkossa. Nimeämiskäytäntöä on sovellettu väitöskirjassa uudella tavalla liikkuvuuden eri osa-alueilla, esimerkiksi liikuttaessa yhden tai useamman operaattorin alueella ja viestiessä yhtä aikaa usean operaattorin kautta.

Tulokset osoittavat, että ratkaisut lisäävät peruskäyttäjien tietoturvaa mutta vaativat muutoksia kaikkiin keskenään kommunikoiviin laitteisiin. 

Jukka Ylitalon väitöstutkimus Secure Mobility at Multiple Granularity Levels over Heterogeneous Datacom Networks (Useiden liikkuvuudenhallinnan asteiden turvallinen toteuttaminen heterogeenisissä tietoliikenneverkoissa) tarkastettiin Teknillisessä korkeakoulussa viime marraskuussa.

Lue myös

Lyhyesti tietosuojasta 1/2009 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.