Asiantuntija oppijana – ajatuksia tietoturvasta maallikon näkökulmasta (osa 2/2)

Elina Hirvonen

Maailmanlaajuisestikin vuosi 2022 on ollut mielenkiintoista aikaa perehtyä tietoturvallisuuteen, sillä jo keväällä uutisissa vilahtelivat usein pelottavat termit kuten ”kyberhyökkäys” ja ”kybersodankäynti”. Aiemmin en ole kovin konkreettisesti edes ajatellut tietoturvaa tai perehtynyt siihen työpaikkojen pakollisia tietoiskuja enempää. SecuLab-tutkimusryhmässä työskentely onkin antanut mahdollisuuden perehtyä digitalisaation ja tietoturvan teemoihin uusista näkökulmista.

Olen muutamaa vuotta aikaisemmin nähnyt esimerkin siitä, miten pienyrityksen toiminnot seisahtuivat, kun verkkorikollinen pääsi käsiksi yhden työntekijän sähköpostiin. Minuuteissa tämä huijari oli vähintäänkin onnistunut tahraamaan yrityksen mainetta yhteistyökumppaneiden ja asiakkaiden silmissä lähettämällä perättömiä laskuja yrityksen sähköpostitililtä, vaikka tietääkseni kukaan ei näihin perättömiin laskuihin onneksi ehtinyt reagoimaan ennen kuin tietoturvauhasta varoitettiin kaikkia, joille viestejä oli lähtenyt. Tämä ei ole edes poikkeus sääntöön, sillä kansainvälisestikin jopa neljännes yrityksistä on joutunut tietomurron kohteeksi viimeisen kolmen vuoden aikana (Degerman 2022).

Arkiset teot ja tottumukset ovat avainasemassa myös tietoturvassa, joten niiden kautta monimutkaisista asioista tehdään itselle suoraviivaisia. Yksityishenkilön tai edes yritysten ei tulisi olla liian huolissaan kybersodankäynnin kaltaisista asioista, vaan riittää että tiedostaa ”oman tonttinsa”: mitä laitteita on käytössä, onko laitteita ja ohjelmistoja muistettu päivittää, ketkä laitteita käyttävät, millaisia tietoja on tarpeen luovuttaa ja kenelle? Yksinkertaisimmillaan tietoturvasta huolehtiminen on tervettä varovaisuutta ja arkirutiineja, eikä siitä tule tehdä itselle mörköä.

Mitä tietojen turvallisuudella saavutetaan?

Tietoturva, kyberturvallisuus, ja monet muut termit kuulostavat usein teknisiltä ja valitettavan usein ”jonkun muun vastuulta”. Toisaalta taas tietokoneiden kanssa päivittäin työskentelevä saattaa ajatella, että helppoahan se on toteamalla esimerkiksi: ”Onhan minulla/yritykselläni se virustentorjunta”, mikä osaltaan voi antaa jopa valheellisen turvallisuudentunteen. Tietoturva pitäisikin omaksua jokaisen yksilölliseksi sekä yhteisölliseksi vastuuksi, sillä siitä huolehtimalla suojellaan sekä itseä että muita.

Olen henkilökohtaisesti oppinut pitämään termistä tietoturva, sillä siinä konkretisoituu asian ydin: tietojen turvallisuus. Oli kyse sitten verkkopankin kirjautumistiedoista, yrityssalaisuuksista tai henkilökohtaisista viesteistä – tietojen turvallisuuden takaaminen on ensiarvoisen tärkeää. Oletko kenties joskus ajatellut, että eihän juuri minun tai sinun sähköposteissa ole mitään salaista tai arvokasta? Minä ainakin olen. Jos se onkin totta, ei sama välttämättä päde lähipiiriisi ja yhteystietoihisi: sinun sähköpostisi kautta verkkorikollinen voi saada kanavan päästä käsiksi yhteyshenkilöidesi tietoihin ja esimerkiksi levittää nimissäsi haitallisia tiedostoja tai linkkejä.

Kun tietosi ovat turvassa, ovat myös rahasi ja yksityisyytesi turvassa. Harva meistä on varmastikaan hakkerien ykköskohde, ja mielikuva yksinäisestä hakkerista pimeässä huoneessa onkin jo vanhentunutta kuvastoa. Nykyään huijauksia ja hyökkäyksiä tehtaillaan järjestäytyneiden kyberrikollisten voimin, aseena ammattimaiset verkostot (ks. esim. Kailio 2021). Meistä jokainen on potentiaalinen uhri, sillä huijauksia ja verkkorikoksia pystytään tehtailemaan niin laajassa mittakaavassa, että riittää jos edes yksi tuhannesta onnistuu. Harmittomalta vaikuttavat yhteydenotot sosiaalisessa mediassa voivat johtaa tietojen kalasteluun, ja huijarit ovatkin nykyään ovelampia eivätkä heti paljasta haluavansa rahaa tai tietojasi. Sähköpostit, tekstiviestit ja sosiaalisen median yhteydenotot ovat tyypillisiä keinoja houkutella uhreja klikkaamaan linkkejä ja avaamaan tiedostoja, jotka voivat olla haitallisia.

Tietoturvallisuudesta huolehtiminen

Vaikka tietoturvaa on paketoitu erilaisiksi tuotteiksi, ei sitä voi kokonaan ulkoistaa. Jokaisella yksilöllä on vastuunsa, oli kyse sitten vapaa-ajasta tai työelämästä. Tärkeää onkin pitää mielessä muutamia perusasioita, joista muutaman listaan vielä lopuksi muistutukseksi meille kaikille:

  1. Kuulostaako joku liian hyvältä ollakseen totta? Se todennäköisesti onkin. Suomalaisetkin haksahtavat yllättävän usein esimerkiksi rakkaus- ja sijoitushuijauksiin (Kärkkäinen 2020), joten on hyvä pitää terveellinen määrä skeptisyyttä ja lähdekriittisyyttä menossa mukana. Vaikka uskomattoman hyvältä kuulostava sijoitusmahdollisuus tulisi tuttavasi some-tililtä, älä klikkaa linkkejä äläkä lähetä rahaa. Tuttavasi tili voi olla kaapattu, tai hän on saattanut joutua itse huijauksen uhriksi sitä vielä ymmärtämättään. Ota asia rohkeasti puheeksi, äläkä avaa linkkejä tai tiedostoja, jotka herättävät pieniäkin epäilyksiä.
  2. Jos käytät hakukonetta päästäksesi pankin nettisivuille tai muihin vastaaviin palveluihin, jotka voivat pyytää tärkeitä tietojasi, älä käytä ensimmäiseksi hakutuloksissa näkyviä mainospaikalla olevia linkkejä. Kuka vain voi ostaa hakukoneen mainospaikan, ja sivu voi olla alkuperäistä imitoiva huijaussivusto (ks. varoittava esimerkki: Hämäläinen 2022). Varmista osoitekentästä, että osoite on varmasti oikein, ja pidä mahdollisuuksien mukaan tärkeät linkit (kuten verkkopankin sivusto) tallennettuna selaimen kirjanmerkkeihin.
  3. Saitko viestin, jossa sinua pyydetään kiireellisesti esimerkiksi kirjautumaan annetun linkin kautta verkkopankkiin? Pysähdy. Kiireellä pelottelu ja painostaminen ovat usein merkkejä huijauksesta. Huijarit vetoavat kiireeseen, jotta saisivat hyödynnettyä uhrien hetkellisen huolimattomuuden. Mikäli esimerkiksi pankilla todella on sinulle tärkeää asiaa, löytyisi viesti myös verkkopankista tai mobiilisovelluksesta, joihin pääset kirjautumaan ilman että käytät kiireeseen vetoavassa viestissä annettua linkkiä.
  4. Avasitko kuitenkin linkin tai tiedoston, ja nyt tiedät tai epäilet, että kyse oli jonkinlaisesta huijauksesta? Kerro siitä eteenpäin! Näin muut osaavat olla varuillaan, mikäli tiliäsi käytetään haitallisten linkkien levittämiseen, ja voivat vähintäänkin saada tarpeellisen muistutuksen varovaisuudesta. Ei hätää – me kaikki mokataan joskus! Sinun tietoturvatekosi voi olla se, että kerrot tietoturvamokasi. Mikäli olet antanut esimerkiksi pankin kirjautumistietosi huijaussivustolle, ota myös yhteyttä pankkiisi ja tee tarvittaessa rikosilmoitus.
  5. Kysy neuvoa ja kouluttaudu. Tietoturva on samaan aikaan monimutkaista ja yksinkertaista, ja on hyvä tiedostaa, ettei itse voikaan tietää ja osata kaikkea. Neuvojen ja avun pyytäminen on viisas teko, oli se ennaltaehkäisevä toimenpide tai vasta ongelmien ilmaannuttua mieleen juolahtanut asia. Mikäli yrityksessäsi, organisaatiossasi tai lähipiirissäsi ei ole tahoa, jolta kysyä, voit ottaa yhteyttä Centrian tietoturvatiimiin seculab@centria.fi, niin asiantuntijamme auttavat. Asiantuntijamme myös järjestävät sekä yleisiä että yritysten tarpeisiin räätälöityjä koulutuksia tietoturvateemoista, kysy lisää ja tule mukaan!

Lisää turvallisuusvinkkejä ja -ohjeita niin yksityishenkilön kuin myös yritysten näkökulmasta löydät esimerkiksi Kyberturvallisuuskeskuksen sivuilta: https://www.kyberturvallisuuskeskus.fi/fi/ohjeet

Yhdeksän kuukautta SecuLab-tutkimusryhmässä on tietenkin opettanut paljon enemmän kuin artikkeliin (tai useampaankaan) pystyy mahduttamaan. Lisää ajatuksia ja kokemuksia tältä oppimispolulta voit kuitenkin lukea aiemmasta artikkelistani, jossa pureudun tarkemmin siihen, mitä olen näiden kuukausien aikana oppinut yhteistyön merkityksestä hanketyössä. Artikkelit on kirjoitettu osana Euroopan aluekehitysrahaston ja Pohjanmaan liiton rahoittamaa OboDigI4.0 -hanketta, joka toteutettiin Centria-ammattikorkeakoulun, Vaasan ammattikorkeakoulun ja Novia-ammattikorkeakoulun yhteistyönä. Hanke on päättynyt 31.10.2022, mutta sen aikana tuotettuihin materiaaleihin pääset tutustumaan hankkeen verkkosivuilla: https://obodigi.fi/

Lähteet

Degerman, R. 2022. Kyberrikolliset pyörittävät miljardien rikostoimintaa moderneilla organisaatioilla – yrityksissä ei aina tunnisteta omia haavoittuvuuksia. Saatavissa: https://yle.fi/uutiset/3-12663861. Viitattu: 31.10.2022.

Hämäläinen, V-P. 2022. Pankki syytti uhreja, kun pariskunta menetti huijarille 45 000 euroa – ”Ei voi sanoin kuvata, miltä se tuntuu”. Saatavissa: https://yle.fi/uutiset/74-20000848?origin=rss. Viitattu: 20.10.2022.

Kailio, A. 2021. Mikko Hyppönen: ”Ennen pitkää Suomessakin rysähtää” – näin järjestäytynyt verkkorikollisuus tehtailee kyberhyökkäyksiä. Saatavissa: https://www.tivi.fi/uutiset/mikko-hypponen-ennen-pitkaa-suomessakin-rysahtaa-nain-jarjestaytynyt-verkkorikollisuus-tehtailee-kyberhyokkayksia/aacc69d6-a01c-4bde-97ab-24f5459595c5. Viitattu: 24.10.2022.

Kärkkäinen, H. 2022. Suomalaisilta huijattu miljoonia – Poliisi: ”On kolme asiaa, joita kaikkien tulisi suojella. Saatavissa: https://www.is.fi/digitoday/tietoturva/art-2000009130050.html. Viitattu: 21.10.2022.

Elina Hirvonen
TKI-asiantuntija
Centria-ammattikorkeakoulu
p. 050 439 4572

Facebooktwitterlinkedinmail