Tapahtumat‎ > ‎

Urpo Kotipalo: Tietoturvailta 18.11.2020

Kirjaston ystävien Tietoturvaillta 18.11.2020 toteutettiin koronatilanteen vaatimia rajoituksia noudattaen. Urpo Kotipalo kertoi internetin riskeistä ja turvallisesta käytöstä. Kuulimme, mitä ovat selaimessa käytettävät keksit eli evästeet ja miten niitä voi hallita. Saimme myös ohjeita, miten tietoturvasta pitää huolehtia verkkoa selatessa. Salasanoja ei jaella, ohjelmia ei ladata epämääräisistä osoitteista eikä arkaluonteisia tietoja kerrota sosiaalisessa mediassa. 

Palveluntarjoajat haluavat tuntea käyttäjänsä

Verkossa kerätään tietoa käyttäjien toiminnasta. Tämä on hinta siitä, että palvelut ovat ilmaisia. Google ja muut toimijat haluavat tunnistaa käyttäjät ja seurata heidän liikkeitään verkossa. Tämän tiedon avulla mainonta kohdistetaan sopiville käyttäjäryhmille otollisimmalla hetkellä.

Mitä tapahtuu, kun avataan selain ja siirrytään uutena käyttäjänä jollekin verkkosivulle? Sivulla pyydetään lupaa kerätä selailutietoja evästeiden (keksit, cookies) avulla. Sääntöjen mukaan käyttäjiltä pitää kysyä hyväksyntä evästeiden käyttöön. Evästeitä hyväksyessä voi hyväksyä kaikki tai valita, mitä tietoja tallennetaan. Välttämättömät evästeet ovat aina aktiivisia ja tarpeellisia sivuston toiminnallisuuden kannalta. Evästeet tallentuvat laitteen muistiin, ja niiden tietoja käytetään muillakin sivustoilla mainosten kohdistamiseen. Evästeet auttavat tunnistamaan käyttäjän ja parantamaan sivustojen käyttökokemusta. Nykyisin käyttötietoja käytetään myös vaalikampanjoissa kohderyhmien rajaamiseen.

Google kerää uskomattoman määrän tietoa verkon käyttäjistä. Jokaisen on mahdollista saada nähdäkseen Googlen ja muiden toimijoiden itsestä keräämät tiedot ja myös vaatia tietojen poistamista. Tämä ei kuitenkaan takaa, että tiedot tulee poistettua kaikista järjestelmistä. 

Sosiaalisen median sovellukset seuraavat tarkasti käyttäjien toimintaa. Niissä annetaan myös laajat oikeudet käyttäjän tuottamaan teksti- ja kuvatietoon. On hyvä muistaa, että verkossa ei ole kirjesalaisuutta.

Huijarit ovat aktiivisia

Identiteettivarkaus ovat merkittävä uhka verkossa. Henkilötunnusten, osoite- ja muiden henkilötietojen jakamisessa ja henkilökohtaisten asiakirjojen käsittelyssä kannattaa olla tarkkana. Eri lähteistä kerättyjen tietojen avulla on mahdollista tehdä verkko-ostoksia ja muita toimia toisen henkilön nimissä. Vuoden vaihteessa verkkomaksamisen tietoturvavaatimukset kiristyivät siten, että toisen nimissä ostaminen ja luoton ottaminen tulivat vaikeammaksi.

Mainontaa voi torjua mm. käyttämällä eri selaimia eri tarkoituksiin, kuten sosiaaliseen mediaan ja uutissivustojen lukemiseen. Tämä vaikeuttaa kerättyjen tietojen yhdistämistä mainontatarkoituksiin.

Kuten viime syksynä ilmi tulleessa Psykoterapiakeskus Vastaamon tapauksessa tuli selväksi, käyttäjä ei itse usein pääse hallitsemaan tietojen yksityisyyttä. Jos palvelun tarjoaja ei ole suojannut tietoja, niihin saattaa päästä käsiksi julkisesta verkosta ja aiheuttaa todella suurta vahinkoa. Useisiin verkkopalveluihin on vuosien mittaan tehty tietomurtoja, joiden seurauksena käyttäjien tietoja on joutunut vääriin käsiin. Have I Been Pwned -palvelussa, https://haveibeenpwned.com, voi tarkistaa, onko oma sähköpostiosoite vuotanut jossain tunnetussa verkkohyökkäyksessä. 

Monet ovat saaneet puhelun Microsoftin tukipalvelusta, jossa usein englannin kielellä väitetään, että tietokoneen kanssa on ongelmia. Käyttäjältä pyydetään etäyhteyttä, jonka kautta kerätään tietoa koneelta rikollisiin tarkoituksiin. Tällaisiin ehdotuksiin ei pidä tarttua, vaan tukea tarvitessaan pitää itse ottaa yhteyttä luotettavaan palveluntarjoajaan. 

Älä usko kaikkia viestejä

Verkossa toimivat huijarit pyrkivät luomaan luottamuksellisen suhteen uhriinsa ja siirtyvät vähitellen vaiheeseen, jossa jonkin keksityn syyn perusteella yritetään saada rahansiirtoja ilmoittamaansa kohteeseen. Tämä jatkuu ja summat kasvavat vähitellen niin pitkään kuin uhri uskoo selityksiä ja rahat riittävät.
 
Pankkien nimissä lähetetään huijausviestejä, jotka ovat ulkoasultaan oikean näköisiä. Viesteissä voidaan pyytää kirjautumaan pankkitunnuksilla tietojen päivittämiseksi. On hyvä muistaa, että pankit eivät koskaan lähetä viestejä, joissa olevan linkin kautta siirrytään palveluun. Huijauksen tarkoituksena on saada käyttöön pankkitunnukset, joiden avulla voidaan tehdä luvattomia verkko-ostoksia tai rahansiirtoja. Myös luottokorttien tietoja kerätään vastaavien huijausten avulla. Kaksivaiheinen tunnistautuminen parantaa palvelujen käytön turvallisuutta.

Mainoksia voi estää näkymästä

Ilmaisohjelmissa tulee usein lisätoimintoja, joilla ohjelman kehittäminen rahoitetaan. Nämä voivat olla mainoksia, ylimääräisiä ohjelmia tai pahimmillaan haittaohjelmia.

Selaimen lisäohjelmat täydentävät selaimen toimintaa tekemällä esimerkiksi sivustojen tarkistuksia, torjua mainoksia. Selaimiin on saatavilla lisäosia, jolla voi estää Javascript-sovellusten toiminta ja siten parantaa käytön turvallisuutta. Adblock oli ensimmäinen mainosten esto-ohjelma. Hyväksi todettu mainosten estäjä on uBlock-ohjelma.

Salasanan pitää olla vaikeasti murrettava ja sitä pitää käyttää harkiten

Millainen on hyvä salasana? Nykyisin on todettu, että hyvän salasanan voi muodostaa esimerkiksi muutamasta sanasta, jotka on helppo muistaa, ja näiden väliin laitetaan ylimääräisiä merkkejä. Sanan voi kirjoittaa jostain kohdasta väärin, jolloin salasanojen murto-ohjelma ei löydä sitä sanakirjastaan. Salasanan pituus vaikuttaa ratkaisevasti salasanan turvallisuuteen.

Huijaussivusto voi asentaa koneelle keylogger-ohjelman, joka lukee näppäimistön painallukset ja lähettää tiedot eteenpäin. Näin on mahdollista kerätä eri palvelujen kirjautumistietoja, joiden avulla voidaan kirjautua käyttäjän nimissä näihin palveluihin. Ajantasaisen virustorjuntaohjelman käyttö ehkäisee näitä hyökkäyksiä. Windowsin palomuuri ja virustorjunta ovat yleensä riittäviä. Myös testeissä hyvin pärjänneet F-secure ja Avast ovat turvallisia käyttää.

Sähköpostiosoitteita voidaan kalastella oikeita verkko-osoitteita muistuttavissa verkko-osoitteissa. Näitä osoitteita myydään roskapostien lähettäjille. Osoitetta ja jotain kautta haltuun saatua salasanaa voidaan testata eri palveluihin ja pyrkiä siten pääsemään käsiksi käyttäjän tietoihin. Onkin erittäin tärkeää, että eri palveluihin käytetään eri salasanoja varsinkin, jos niissä käsitellään raha-asioita. Kirjautuminen Google-tunnusta kirjautumislinkin kautta käyttäen on turvallista.