Internetin tietoturva: Materiaaleissa on Liikenne ja viestintäministeriön dokumentti 88/2005- Internetin tietoturvaongelmat kotikäyttäjien näkökulmasta. Peilaa omaa näkökulmaasi. Onko nyt kymmenen vuoden aikana tapahtunut muutoksia käyttäjien asenteissa ja suhtautumisessa tietoturvaan?
---

Dokumentissa mainitaan kyselyn tuloksista, joka toteutettiin vuonna 2005. Kysely paljastaa, että kymmenen vuotta sitten ihmiset eivät tienneet juuri mitään tietokoneen suojauskeinoista, sillä lähes puolella oli ollut virustartunta tietokoneellansa. Näistä puolet oli osannut saada tartunnan poistettua, joka on erittäin mielenkiintoista, vaikkakin silloin teknologia ei ollut niin edistynyttä kuin nykyään. Dokumentissa mainitaan myös, että 92 prosentilla vastaajista oli ollut virustorjuntaohjelma koneellaan. Jos 10000 vastaajasta 8 prosentilla ei ollut minkäänlaista suojaa viruksia vastaan, ei tietoturvasta tiedetty tarpeeksi, sillä kymmenestä tuhannesta 800 oli ilman suojaa.

Kymmenen vuotta sitten puolet vastaajista oli miettinyt tietoturva-asioita paljon, vastaava lukema nykyään on varmasti paljon suurempi, sillä tuoreet NSA-paljastukset ynnä muut ovat saaneet niin suurta julkisuutta, että ihmiset ovat paljon tarkempia tietoturvastaan. Ihmiset eivät halua tietojensa leviävän muille, joten virusturvaan panostetaan enemmän sekä nettikäyttäytymistä ajatellaan tarkemmin. Nykyäänkin on varmasti parannettavaa nettikäyttäytymisessä, mutta epäilyttäville sivuille mennään taatusti vähemmän sekä epäluotettavista lähteistä lataillaan tiedostoja vähemmän.

Dokumentissa mainitaan, että vuonna 2005 suomalaisten tietoturva-asioihin liittyvä osaaminen oli heikolla tasolla. Tästä on mielestäni parannettu, parannettavaa taatusti on mutta olemme menossa oikeaan suuntaan. Nuoret ovat keski-ikäisiä edellä tietoturvassa, sekä miehet edellä naisia, ja tämä on taatusti vieläkin pitää paikkansa. Erot kuitenkin pienenevät koko ajan.

Mielestäni olemme paremmassa asemassa verrattuna vuoteen 2005, mutta olemme silti liian tietämättömiä tieturvasta ja eri tavoista suojautua netin vaaroilta. Itse olen myös kehitynyt netinkäyttäjänä ajan myötä, sillä olin kymmenen vuotta sitten tietämätön monista eri internetin vaaroista. Kasvaessa tietämys karttuu, ja omasta tietoturvasta pitää paremmin huolta. Tämä pätee varmasti myös muihin. 

Mitkä ovat seitsemän suurinta turvallisuusuhkaa pilvipalveluille? Miksi?

1. Pilvipalveluiden väärinkäyttö

• Pilvipalveluita vastaan voidaan tehdä palvelunestohyökkäyksiä kiusantekona sekä taloudellista hyötyä takaa-ajaen, mitä suurempi ja menestyksekkämpi palvelu, sitä todennäköisempää joutua hyökkäyksen kohteeksi

2. Turvattomat rajapinnat

• Kahden ohjelman tai verkon rajapinta, eli niitä yhdistävä kohta tulee suojata yhtä hyvin kun muu kokonaisuus, sillä se uhkaa jäädä tietoturvaltaan heikoimmaksi lenkiksi. Rajapinnat tulee suojata sekä dokumentoida hyvin.

3. Palveluntarjoajan työntekijät

• Työntekijät/käyttäjät ovat heikon lenkki, sillä ihmiset tekevät inhimillisiä virheitä. Asioita unohdetaan tehdä ja joskus virheitä tehdään tahallaan rikollisissa merkeissä. Yritysten vastuulla on huolehtia myös sisäisiltä uhkilta sekä vahingoilta.

4. Jaetun infrastruktuurin ongelmat

• Kaikki palvelun käyttäjien tiedot ovat yksityisiä eivätkä saa sekoittua keskenään. Toisen käyttäjän tietoja ei saa päätyä vahingossa toisille, sekä palveluntarjoajan on varmistettava palvelun luotettavuus, ettei yhden käyttäjän virhe kaada koko palvelua.

5. Tietojen häviäminen tai vuotaminen

• Kun käyttäjä rekisteröityy palvelun käyttäjäksi, antaa hän tietonsa yritykselle. Nämä tiedot on suojattava asianmukaisesti niin, ettei muut pääse niihin käsiksi. Suojauksen on kestettävä suuriakin hyökkäyksiä, sekä sisäisiä ongelmia. Kun tietoja ei enää tarvita, on ne pystyttävä tuhoamaan luotettavasti.

6. Asiakastilin tai asiakkaan palvelun kaappaaminen

• Asiakastilit ovat koskemattomia, sekä asiakkaan että yrityksen on huolehdittava, ettei tiliä kaapata tai muuten väärinkäytetä. Yrityksen tehtävä on huolehtia palvelunsa suojauksesta, ja käyttäjän vastuulla on huolehtia myös turvllisuudesta omalta puoleltaan.

7. Palveluntarjoajan epäselvä riskiprofiili

• Palveluntarjoajan on pidettävä työtilansa, palvelunsa ja muut salaiset tiedot turvallisena sekä suojassa väärinkäytöltä. Yrityksen on huolehdittava turvatoimiensa luotettavuudesta. Näin käyttäjän on hyvä luottaa palveluntarjoajaan, kun nämä asiat ovat kunnossa.

Lähde: Immo Salo: Cloud Computing, palvelut verkossa, Docendo 2010 s. 103-111 

Mitä on organisaation tietoturva?

Mielestäni organisaation tietoturva on vaikkapa yrityksen tapa suojata ja säilyttää tietonsa ja tietoliikenteensä. Organisaation on huolehtittava, ettei ulkopuoliset pääse organisaation sisäisiin tietoihin käsiksi, jotta mm. luottamukselliset asiakastiedot ovat turvassa. Ilman hyvää tietoturvaa ei ole edellytyksiä menestyä. Tietoturva jaetaan fyysiseen sekä järjestelmien tietoturvaan.

Luettuani dokumentin "Mitä on organisaation tietoturva?", asia laajeni ja monimutkaistui paljon.
Tietoturva jaetaan johtamiseen, fyysiseen tietoturvaan, järjestelmien tietoturvaan sekä henkilöstön tietoturvaan. Nämä kaikki osa-alueet ovat tärkeitä osia kokonaisuudessa. Riskienhallinta on myös suuressa osassa tätä kokonaisuutta.

Henkilöstön tietoturvaa on se, että henkilöstö ei vuoda tietoja tai vahingoita yritystä toimillaan vahingossa tai tahallisesti. Helpoiten nämä voidaan välttää antamalla henkilöstölle vain tarvittavat kulkuluvat toimitiloissa sekä tietokannoissa. Henkilöstöä tulee myös valvoa mahdollisilta väärinkäytöiltä. Henkilöstö onkin suuri riski yrityksille, ja niiden kanssa pitää olla tarkkana työsuhteen aikana ja myös sen jälkeenkin. Irtisanottaessa työntekijöitä täytyy huolehtia, että heiltä kerätään kaikki kulkuluvat ja muut yritykselle tai sen toimintaan kuuluva kerätään pois, mm. kännykkä ja luottokortti. Olisi myös hyvä huolehtia, ettei irtisanottu menisi kilpailijoiden piiriin, sillä näin tietovuoto on varmaa. Työntekijöiden koulutus tietoturvaan on välttämätöntä, sillä suureen vahinkoon riittää, että yksi työntekijä tunaroi. Yrityksen koneet pysyvät työpaikalla ja tärkeät paperit hävitetään asianmukaisesti.

Fyysinen turva on toimitilojen vartiointia ja suojaamista. Tämä hoituu parhaiten toimitilan jakamisella osiin, ja osien välistä liikkuvuutta rajoitetaan sekä seurataan. Työntekijät pidetään vain niille työntekekimsen kannalta tärkeisiin tiloihin, eikä mihinkään muualle. Näin vain valitut henkilöt pääsevät käsiksi tärkeisiin tiloihin ja turvallisuus on hyvää. Toimitilat on suojattava myös muilta uhilta, kuten tulipaloilta tai sähkökatkoilta. Ylimääräisiä henkilöitä ei saa päästää työskentelytiloihin, vaan heidät täytyy sijoittaa omiin eristettyihin tiloihin. Näin vältytään mahdollisilta vakoiluilta ja muulta vastaavalta toiminnalta.Työntekijöitä tulee opastaa ja ohjeistaa tilojen ja avainkorttien turvalliseen käyttöön.

Järjestelmien turvaa on, että niiden jatkuva käyttö turvataan toimivalla virransaannilla sekä huollolla. Myös niiden turvaaminen varkauksilta tai vahingoittumisilta on tätä turvaa. Jatkuva virransaanti on tärkeää poikkeustilanteiden kannalta, sillä sähkökatkoksen aikana tietoja voi helposti kadota ilman varavirtaa. Laitteiden huoltamisessa on taas paljon riskejä, kun tämä yleensä ulkoistetaan. Onkin syytä tarkistaa, kenelle laitteiden huoltaminen suodaan ja kuinka laitteet suojataan huollon aikana. Laitteiden käytöstäpoistamiseen tulee kiinnittää huomiota, ettei niihin jää tärkeitä tietoja. Järjestelmien on oltava ajantasalla ja niiden suojaukset on oltava toiminnassa. Järjestelmien on kestettävä hakkerien hyökkäykset, ja tämä onnistuu parhaiten laadukkailla salasanoilla. Salasanat on oltava pitkiä, monimutkaisia eikä saisi sisältää oikeita sanoja. Pituus kuitenkin ratkaisee eniten Brute Force-hyökkäyksissä, joissa pitkiä salasanoja on edes supertietokoneiden vaikea murtaa. Salasanoja ei myöskään saa kierrättää monissa eri palveluissa, sillä jos heikoiten suojattu palvelu murtuu ja salasana on kaikkialla sama, ei suojauksista ole hyötyä.

Johtamisessa tärkeää on tiedostaa toiminnan riskit ja toimia niiden mukaan. Johdon on syytä tietää ja panostaa tietoturvaan. Tietoturva lähtee johtoportaasta, ja sen sitoutuminen siihen on tärkeä osa organisaation tietoturvaa. Johdon on satsattava tietoturvaan panostamalla koulutukseen sekä turvaominaisuuksien rahoittamiseen. Riskianalyysi on tärkeää, sillä tuntemattomiin tekijöihin ei voida puuttua. Riskienhallintaa on niiden tiedostaminen, niiden analysointi, niiden puuttuminen  sekä seuranta. Johdon on oltava perillä yrityksen toiminnasta ja hallittava tietourvaelementtejä, sekä tiedottaa henkilöstöä.

Mitä siis organisaation tietoturva on? Se on tämän suuren kokonaisuuden hallintaa yrityksen kohdalla, jossa henkilöstö, laitteet sekä tilat ovat turvallisia sekä turvassa vahingoilta.


http://yle.fi/uutiset/tyontekijat_ovat_suurin_tietoturvauhka_yrityksille__henkiloston_ohjeistusta_aiotaan_tiukentaa/6941588

Tämä Ylen uutinen kertoo, että yrityksien mielestä työntekijät ovat suurin tietoturvauhka. Tämä on totta, ja henkilöstön kouluttaminen sekä ohjeistaminen turvalliseen netinkäyttöön on tärkeää.

Kännykkäpaikannus, missä ja miten?

Kun käytät älypuhelinta, tietää operaattori sijaintisi koko ajan. Tämä tehdään sen takia, että voidaan ylläpitää yhteyttä puhelun aikana, jos vaikka vaihdat tukiaseman kantamalta toiselle. Paikannustietoja käytetään kuitenkin paljon muuhunkin.

Älypuhelimissa monet sovellukset käyttävät sijaintitietoja palvelun tuottamiseksi. Jotkut sovellukset tarvitsevat sijaintiasi, esim karttasovellukset, kun taas toiset käyttävät tätä mainontaan. Sovellukset tarvitsevat kuitenkin luvat sijantitetojen keräämiseen. Käyttäjällä on oikeus kieltää paikannus.

Käyttäjältä ei kuitenkaan kysytä lupaa paikannukseen, jos kyseessä on hätätilanne. Poliisi ja muut pelastusviranomaiset paikantavat sijaintisi tarvittaessa kun soitat hätänumeroon, vaikka olisit kieltänyt paikannuksen.

Isoveli valvoo, mutta hallitusti

Kameravalvonta on jo suhteellisen vanha juttu, mutta sen säännöt ovat yllättävän monimutkaiset. Nyrkkisääntönä on, että kuvaaminen on kiellettyä paikoissa, joihin sinulla ei ole asiaa (Esim toisten kotona). Kuvaamisesta on myös ilmoitettava muille esimerkiksi kyltein, kyltissä on myös oltava kuvaavan tahon yhteystiedot.

Tiesitkö, että sinulla on oikeus nähdä sinua koskeva kuvattu materiaali? Tämän voi tehdä ottamalla yhteyttä kuvaavaan tahoon. Heillä on tosin myös oikeus olla näyttämättä materiaalia jos heillä on painava syy siihen.

Kameran siajinnista vielä hieman. Kamerathan eivät saa olla yksityisissä tiloissa, kuten esimerkiksi saniteettitiloissa tai yrityksen taukotiloissa, tai juuri sovituskopissa. Työpaikalla kameroita ei saa suunnata yksittäiseen työpisteeseen, ja jos tähän päädytään, on asianomaisille ilmoitettava erikseen. Muuten tämä täyttää salakuvaamisen perusteet ja toiminta on rikollista. Myös yksityiseen työhuoneeseen ei saa asentaa kameroita.

Kuvatun materiaalin säilyttämiseenkin on omat lakinsa. Materiaali on tuhottava heti kun sen säilyttäminen ei ole tarpeellista, kuitenkin vuoden sisällä kuvaamisesta. Materiaalia on myös suojattava niin, ettei ulkopuoliset pääse siihen käsiksi. Ne, jotka käsittelevät materiaalia, joissa on henkilötietoja, vaaditaan vaitiolovelvollisuutta.

Salakuvaamisen lisäksi voi esiintyä salakuuntelua. Salakuunteluksi lasketaan keskustelun nauhoittamista, joka tapahtuu kotirauhan suojaamassa paikassa, ja yksityskeskustelua, jota ei ole tarkoitettu kuuntelijan tietoon. Kotirauhan suojaaman paikan ulkopuolella salakuunteluksi lasketaan keskustelua tai puhetta, jota ei ole tarkoitettu kuuntelijan tai muunkaan tietoon sekä tilanteessa, jossa puhujalla ei ole syytä olettaa jonkun muun ulkopuolisen kuuntelevan keskusteluaan.

Salakuuntelusta ja -kuvaamisesta sekä niiden yrityksestä voidaan määrätä sakkoja sekä maksimissaan vuoden ehdollista vankeutta. Ei kuitenkaan stalkata muita, eihän?