MERI KAILANTO YHTEISÖLLISTEN VERKKOPALVELUIDEN LAADUKKUUSKRITEERIT

Transkriptio

1 MERI KAILANTO YHTEISÖLLISTEN VERKKOPALVELUIDEN LAADUKKUUSKRITEERIT Diplomityö Tarkastajat: professori Irek Defée, erikoistutkija Kirsi Silius Tarkastajat ja aihe hyväksytty Sähkö- ja tietotekniikan tiedekunnan kokouksessa

2 II TIIVISTELMÄ TAMPEREEN TEKNILLINEN YLIOPISTO Sähkötekniikan koulutusohjelma KAILANTO, MERI: Yhteisöllisten verkkopalveluiden laadukkuuskriteerit Diplomityö, 78 sivua, 2 liitesivua Maaliskuu 2009 Pääaine: Signaalinkäsittely Tarkastajat: professori Irek Defée, erikoistutkija Kirsi Silius Avainsanat: Yhteisöllinen verkkopalvelu, laadukkuus, sosiaalinen media, web 2.0, arviointi Verkkopalvelujen luonne on muuttunut paljon viime vuosien aikana. Yhteisöllisten verkkopalvelujen myötä käyttäjät voivat toimia sisällöntuottajina, vaihtaa mielipiteitä ja luoda yhteisöjä eri tarpeisiin. Tämä tuo uusia haasteita verkkopalvelujen arviointiin. Tässä työssä on tavoitteena selvittää, mitä erityispiirteitä yhteisöllisiin verkkopalveluihin liittyy ja kuinka ne tulee huomioida kyseisten verkkopalvelujen arvioinnissa. Työ koostuu kahdesta osasta. Kirjallisuuskatsauksessa käydään läpi aiheesta tehtyä tutkimusta ja pyritään määrittelemään yhteisöllisten verkkopalvelujen erityispiirteet sekä laadukkuuteen vaikuttavia tekijöitä. Teoriakartoituksessa käytetään aineistona pääasiassa tieteellisiä artikkeleita, mutta joukossa on myös muuta materiaalia. Teoriakartoituksen aihe-alueina ovat tietoturva, digitaalinen identiteetti, yksityisyys, luotettavuus, informaation luokittelu ja hallinta, saavutettavuus sekä käyttäjän motivointi. Toisessa osassa analysoidaan teoriakartoitukseen kerätty materiaali ja poimitaan sieltä aineksia arviointikysymyksiin yhteisöllisten verkkopalveluiden erityispiirteiden arvioimiseksi. Kysymykset teemoitellaan kokonaisuuksiksi, jotka kuvaavat yhteisöllisten verkkopalveluiden laadukkuutta määrittäviä kriteereitä. Kriteerit sijoitetaan vielä suurempien otsikoiden alle, jotta niiden hyödyntäminen arvioinnissa on mielekkäämpää. Tutkimuksen tuloksena on saatu aikaiseksi 16 kriteeriä kysymyksineen yhteisöllisten verkkopalvelujen arvioimisen tueksi. Kriteereitä voidaan hyödyntää suunniteltaessa ja arvioitaessa yhteisöllisiä verkkopalveluita. Kysymyksistä ja niiden perusteluista käy ilmi, mitä seikkoja tulee ottaa huomioon toteutuksessa, jotta siitä tulee laadukas. Tulosten kattavuutta ja ymmärrettävyyttä on testattu muutaman opiskelijan ja asiantuntijan toimesta. Joitakin huomioitavia kehitysideoita ja korjausehdotuksia nousi esiin testituloksista. Osana jatkotutkimusta kysymyksiä ja kriteereitä tullaan lisäksi testaamaan käytännön arviointityössä ja mahdollisesti paneudutaan joka osa-alueeseen syvällisemmin. Lisäksi, koska verkkopalvelut niiden toteutustekniikat kehittyvät koko ajan, kriteereitä kannattaa tarkastella uusien tutkimustulosten ja palvelujen valossa jatkossakin. Tässä työssä on muodostettu hyvä pohja yhteisöllisten verkkopalvelujen erityispiirteiden laadukkuuden arvioinnille ja jatkotutkimukselle.

3 III ABSTRACT TAMPERE UNIVERSITY OF TECHNOLOGY Master s Degree Programme in Electrical Engineering KAILANTO, MERI: Quality criteria in social media Master of Science Thesis, 78 pages, 2 Appendix pages March 2009 Major: Signal Processing Examiners: Professor Irek Defée, Senior Researcher Kirsi Silius Keywords: Social media, quality, evaluation, web 2.0 Characteristics of web services have changed a lot in recent years. With social media users can contribute content, change opinions and create communities for different needs. This brings new challenges for evaluating those web services. The goal for this thesis is to find out what special features there are in social media and how should they be taken into account when evaluating the quality of the social media services. This thesis consists of two parts. Literature survey goes through research done in this field. It aims at defining, what are the special features in social media and what factors need to be considered before they can be classified as high quality web services. Research material for the theory survey consists mainly of scientific publications. But also some other publications have been used. The subjects that are gone through in the survey are security, digital identity, privacy, trust, classification and control of information, accessibility and motivation of the user. In the second part the material collected for the survey is analysed and used to create questions to help evaluate the quality of social media services. The questions are then grouped into entities, which describe the quality criteria of social media. The criteria are then categorized under broader titles so that using them in an evaluation process would be more meaningful. As a result this thesis introduces 16 criteria with questions to help evaluate the social media services. The criteria can be used when planning or evaluating a social media service. The questions and their arguments go through the details that need to be taken into account in a web service to make it of high quality. The scope and intelligibility of the results were tested by few students and experts. Some ideas for developing the results rose from the test results. As part of the future research the questions and criteria will be tested in evaluating social media services in practise and probably more time will be spent with each subject presented in this work. In addition, because web services and the techniques used to create them develop all the time, it is important to examine the criteria in the light of the latest research results and newest services. This thesis forms a good basis for evaluating the special features of social media services and future research in the field.

4 IV ALKUSANAT Tämä diplomityö on tehty Tampereen teknillisen yliopiston Hypermedialaboratoriossa osana Lisäarvo(a) opetukseen hanketta. Työn myötä olen päässyt tekemään uuden aluevaltauksen laadullisen tutkimuksen parissa. Kokemus on ollut avartava ja luomisen tuskan jälkeen repusta löytyykin nyt uusia työkaluja ja monenmoista tietoa. Haluaisin kiittää työni ohjaajaa erikoistutkija Kirsi Siliusta palautteesta pitkin matkaa ja toista tarkastajaani professori Irek Deféetä joustavasta ja nopeasta tarkastusaikataulusta. Lisäksi haluan kiittää erityisesti tutkija Anne-Maritta Tervakaria sisällön kommentoinnista ja ajatuksia selventävistä keskusteluista läpi koko prosessin. Kiitokset myös muulle Hypermedialaboratorion väelle hyvän tunnelman luomisesta ja keskusteluista sekä asiasta että asian vierestä Aivan omanlaisensa kiitokset kuuluvat tietysti myös miehelleni ja tyttärelleni sekä maha-asukille, joista ensimmäinen on jaksanut kiitettävästi kuunnella hyvinä ja huonoina aikoina ja jälkimmäiset ovat tuoneet täydellistä vastapainoa tieteelliselle puurtamiselle. Myös muu suku ja ystävät ovat olleet arvokas apu kannustuksessa ja käytännön asioissa aina lastenhoidosta taloudelliseen tukeen. Tampereella Meri Kailanto

5 V SISÄLLYS Tiivistelmä... II Abstract...III Alkusanat...IV Lyhenteet... VII 1. Johdanto Työn taustaa Yhteisöllisen verkkopalvelun määrittelyä Taustalla oleva projekti ja työryhmä Käytetyt tutkimusmenetelmät Yhteisöllisten verkkopalvelujen laadukkuuden erityispiirteet Tietoturva Verkkopalveluiden käyttöön liittyvät tietoturvauhat Keinoja suojautua tietoturvahyökkäyksiltä Digitaalinen identiteetti Käyttäjän identiteetti verkossa Identiteetin luominen yhteisöllisissä verkkopalveluissa Identiteetti tunnistemielessä Yksityisyys Selailutietojen seuraaminen ja hyödyntäminen Käyttäjän rooli yksityisyyden suojaamisessa Yksityisyyden hallintaa tukevat ominaisuudet verkkopalvelussa Tekniikoita, apuvälineitä ja ohjelmia yksityisyyden hallintaan Luotettavuus Käyttäjän todentaminen ja luotettavuus Käyttäjien tuottaman sisällön luotettavuus Informaation luokittelu ja hallinta Folksonomiat luokittelujärjestelmänä Tagien käyttö ja sen tukeminen Sosiaalinen selailu ja navigointi Syötteet Saavutettavuus Saavutettavuuden uudet haasteet Saavutettavan sisällön lisääminen Käyttäjien motivointi Uudet käyttäjät ja erilaiset käyttötarpeet Käyttäjän huomioiminen ja mielenkiinnon ylläpitäminen Personointi ja seuraamisen helpottaminen Laadukkuuskriteerit Yksityisyys ja tietoturva Käyttäjän tietoturvasta huolehtiminen...43

6 Evästeiden järkevä käyttö Käyttäjän opastaminen tietoturvaan ja yksityisyyteen Erilaisten yksityisyystasojen mahdollistaminen Digitaalisen identiteetin luominen ja hallinta Informaation luotettavuus Käyttäjien luotettavuus Käyttäjien tuottaman sisällön luotettavuus Navigoinnin tukeminen Luokittelujärjestelmän valinta Tagien käytön hallinta Sosiaalisen selailun ja navigoinnin tukeminen Syötteiden hyödyntäminen Saavutettavuus Vanhojen kriteerien lisäyksiä Sisällön lisääminen ja lisätty sisältö Käyttäjän motivointi Käyttäjän palkitseminen ja motivointi Eri käyttäjäryhmien huomioiminen Personointi ja mielenkiinnon ylläpitäminen Palvelun seuraamisen helpottaminen Kriteerien kattavuuden testaus Käytetyt testausmenetelmät Testauksen toteutus Testauksen tulokset Yhteenveto ja päätelmät Kriteerit laadukkuuden määrittäjänä Kehitysajatuksia...71 Lähteet...73 Liite 1: Testauksessa käytetyt kysymykset...79 VI

7 VII LYHENTEET AJAX Asynchronous Javascript and XML ARIA Accessible Rich Internet Applications ARVO Työkalu verkkopalvelujen arviointiin Atom XML:ään pohjautuva kieli verkkosyötteille CAPTCHA Completely Automated Public Turing test to tell Computers and Humans Apart CSRF Cross-site Request Forgery DNS Domain Name Server(vai System), nimipalvelin EU Euroopan unioni HetiL Henkilötietolaki HTML HyperText Markup Language HTTP HyperText Transfer Protocol P3P Platform for Privacy Preferences RSS Really Simple Syndication, verkkosyötteiden toteutukseen SNS Social Network(ing) Site SSL Secure Sockets Layer SVTSL Sähköisen viestinnän tietosuojalaki W3C The World Wide Web Consortium WCAG Web Content Accessibility Guidelines WeSQu Työkalu verkkopalvelujen arviointiin, akronyymi sanoista Web Service Quality WOT Web Of Trust WSDL Web Service Definition Language XML Extensible Markup Language XSRF Cross-site Request Forgery XSS Cross-site Scripting, pharming-tietoturvahyökkäyksen muoto OWASP Open Web Application Security Project

8 1 1. JOHDANTO Yhteisölliset verkkopalvelut kuten Facebook ( ja YouTube ( ovat viime vuosina nousseet suosituiksi. Yhteisöllisissä verkkopalveluissa käyttäjät voivat olla vahvasti mukana verkkopalveluiden toiminnassa tuottamassa ja jakamassa sisältöä, vaihtamassa mielipiteitä ja muodostamassa erikaltaisia yhteisöjä eri tarpeisiin. Uudet ominaisuudet haastavat vanhat verkkopalveluiden laadukkuuden arvioimiseen laaditut kriteerit ja työkalut. Esimerkiksi verkkopalvelun tarjoaman sisällön luotettavuus ja luokittelu saa uusia ulottuvuuksia, kun koko verkkopalvelun sisältö saattaa olla verkkopalvelun käyttäjien tuottamaa ilman palveluntarjoajan erityistä valvontaa. Aiemmassa tutkimuksessa on käsitelty yhteisöllisiä verkkopalveluita eri näkökulmista. Tosin englanninkielisessä tutkimuksessa on käytetty paljon termiä social media (esim. Lietsala & Sirkkunen, 2008) sekä social network site (SNS) (esim. boyd & Ellison, 2007). Verkkoyhteisön toiminnasta ja ylipäätään yhteisön muuttuneesta määritelmästä on tehty erilaisia tutkimuksia. Esimerkiksi Preece (2000) on tehnyt tutkimusta verkkoyhteisöjen toimivuuteen liittyen ja samalla määritellyt käsitettä. Suoranaisesti siitä, mitä on laadukkuus yhteisöllisissä verkkopalveluissa, ei löytynyt yksittäistä aiempaa tutkimusta. Tästä syystä iso osa tätä työtä on ollut kerätä yhteen aiempaa tutkimusta eri aiheista ja näkökulmista. Tässä tutkimuksessa pyritään luomaan konkreettisia kriteereitä ja arviointikysymyksiä yhteisöllisten verkkopalvelujen arvioijien avuksi. Tulosten avulla pyritään lisäämään ihmisten tietoisuutta aiheesta ja luomaan apuväline suunnittelu- ja arviointityön tueksi. Aluksi tehdään teoriakartoitus tieteellisen tutkimuksen pohjalta yhteisöllisten verkkopalvelujen erityispiirteistä. Tämän materiaalin pohjalta luodaan kysymyksiä, joissa nostetaan esiin arvioitavia piirteitä yhteisöllisistä verkkopalveluista. Kysymykset edelleen sijoitetaan teemojen alle. Nämä teemat vastaavat kriteereitä, joista voidaan nähdä, mitkä aiheet nousevat esiin yhteisöllisten verkkopalvelujen arvioinnissa. Luodut yhteisöllisten verkkopalvelujen kriteerit kysymyksineen sijoitetaan työn taustalla olevassa projektissa tehtävään www-pohjaiseen verkkopalvelujen arviointityökaluun WeSQu:un. WeSQu pitää sisällään aiemmin luotuja kriteereitä kysymyksineen sekä tämän työn ohessa päivitettyjä vanhojen kriteerien kysymyksiä verkkopalvelujen arviointiin liittyen. Luvussa kaksi käsitellään tarkemmin yhteisöllisen verkkopalvelun käsitettä, tutkimuksessa käytettyjä menetelmiä ja projektia sen taustalla. Luku kolme pitää sisällään kirjallisuuskatsauksen yhteisöllisten verkkopalvelujen erityispiirteisiin liittyen. Kyseisessä teoriakartoituksessa käydään läpi tietoturva, digitaalinen identiteetti,

9 yksityisyys, luotettavuus, informaation luokittelu ja hallinta, saavutettavuus ja käyttäjän motivointi yhteisöllisten verkkopalvelujen näkökulmasta. Luvussa neljä esitellään teoriakartoituksen materiaalin pohjalta luodut uudet osa-alueet, kysymykset ja kriteerit. Luvussa viisi esitellään tulosten testausprosessi ja sen luotujen kriteerien ja kysymysten kattavuudesta sekä ymmärrettävyydestä. Lukuun kuusi on koottu päätelmiä työn tuloksista ja ehdotetaan toimenpiteitä tutkimuksen jatkamiseksi sekä tulosten testaamiseksi. 2

10 TYÖN TAUSTAA Yhteisölliset verkkopalvelut tuovat käyttäjille uusia mahdollisuuksia toteuttaa itseään ja luoda yhteyksiä muihin käyttäjiin verkon välityksellä. Samalla käyttäjät jättävät jälkeensä tietoa itsestään palveluihin. Uusien mahdollisuuksien hurmiossa käyttäjät saattavat unohtaa huolehtia yksityisyytensä varjelemisesta. Samaten palveluntarjoajilla ei välttämättä ole kokemusta käyttäjien yksityisyyden suojaamisesta. Toisessa ääripäässä käyttäjät jättävät käyttämättä erilaisia verkkopalveluita siinä pelossa, että koko elämä on kohta mennyttä, kun henkilökohtaiset tiedot varastetaan ja niitä käytetään hyväksi. Yhteisöllisiä verkkopalveluja on jo vuosia ollut olemassa. Niiden pohjalta on tehty erilaisia tutkimuksia ihmisten käyttäytymisestä tällaisissa verkkopalveluissa ja erilaisia ominaisuuksia on kehitetty eteenpäin. Nyt kun ilmiöllä alkaa olla jo suhteellisen vankka pohja on aika kerätä kasaan perustukset, jonka päällä kaikki tämä lepää. Englanniksi on olemassa monenlaista tietoa ja erilaisia tutkimuksia yhteisöllisistä verkkopalveluista, mutta suomen kielellä perusteita kattavaa tutkimusta on vaikea löytää. Tämä tutkimus pyrkii luomaan konkreettisia kriteereitä ja arviointikysymyksiä yhteisöllisistä verkkopalveluista niiden käyttäjille ja arvioijille. Pyrkimyksenä on lisätä ihmisten, erityisesti TTY:n opiskelijoiden ja henkilökunnan, tietoisuutta aiheeseen liittyen ja auttaa heitä jäsentämään uudet ominaisuudet osaksi verkkokokemuksiaan. Myös opetustarkoituksessa verkkopalveluiden yhteisöllisiä ominaisuuksia voidaan hyödyntää osana oppimisprosessia. Kysymysten ja kriteerien avulla oppimateriaalien tuottajat osaavat huomioida eri asioita, joita yhteisöllisiä ominaisuuksia hyödyntäessä kannattaa ottaa huomioon Yhteisöllisen verkkopalvelun määrittelyä Yhteisön määritelmä on internetin myötä löyhentynyt. Aiemmin yhteisö oli vahvasti sidottu sen jäsenten kasvokkaiseen ja maantieteelliseen yhteyteen. Internetin (jatkossa käytetään nimitystä verkko) myötä yhteisön voidaan ajatella muodostuvan pelkästään sen ajatuksen pohjalta, että ihmiset päättävät samaistua siihen ja se voi olla olemassa vain hetkellisestikin (Bauman, 1996; Matikainen, 2006). Kuten de Souza & Preece (2004) toteavat, termi verkkoyhteisö voidaan määritellä eri näkökulmista eritavoin. Sosiologit painottavat sosiaalisten suhteiden verkostoa, etnografian tutkijat keskittyvät pienten ryhmien rooleihin ja teknologiaorientoituneet ovat kiinnostuneita yhteisön taustalla olevan ohjelmiston teknisestä toteutuksesta (de Souza & Preece, 2004). Preece (2000) on määritellyt

11 2. TYÖN TAUSTAA 4 verkkoyhteisön tiivistetysti laajemmasta näkökulmasta siten, että se tarkoittaa ryhmää ihmisiä, jotka kerääntyvät yhteen verkossa, jotain tarkoitusta varten ja joita ohjaavat normit (norms) ja menettelytavat (policies) (Preece, 2000). Yhteisölliselle verkkopalvelulle ei löydy valmista määritelmää, mutta tässä tutkimuksessa sillä tarkoitetaan sellaista verkkopalvelua, jossa Preecen (2000) edellä määrittelemä verkkoyhteisö tulee esille muodossa tai toisessa. Yhteisölliseksi määriteltävän verkkopalvelun ensisijainen tarkoitus voi olla yhteyksien muodostaminen muihin ihmisiin tai yhteisöjen muodostuminen voi olla tuomassa lisäarvoa palveluun. Yhteisöllisten verkkopalvelujen voidaan ajatella tarkoittavan samoja palveluita kuin sosiaalisen median verkkopalvelut, vaikka käsitteiden näkökulmat eroavat toisistaan. Esimerkiksi Lietsala & Sirkkusen (2008) mukaan sosiaalisessa mediassa määrittelyn painotus on siinä, että käyttäjä tuottaa palveluun sisältöä tai sisältö koostetaan muilta sivustoilta syötteinä. Sivustot rakentuvat sosiaalisten verkostojen ja yhteisöjen jäsenten luovuuden ympärille (Lietsala & Sirkkunen, 2008). Sosiaalisen median palveluissa on kuitenkin mukana myös yhteisö, joka muodostuu, kun useat käyttäjät tuottavat sisältöä samaan palveluun ja tarkastelevat muiden luomia sisältöjä. Sosiaalisesta mediasta löytyy enemmän kirjoitettua materiaalia, koska sille on olemassa suora englanninkielinen vastine, social media. Tästä syystä sitä käytetään tässä apuna yhteisöllisen verkkopalvelun määrittämiseksi. Lietsala & Sirkkunen (2008) jaottelevat sosiaalisen median palvelut kuuteen kategoriaan: sisällön luominen ja julkaiseminen, sisällön jakaminen, verkostoitumispalvelut, yhteistuotanto, virtuaaliset maailmat ja lisäosat. Sivustot eivät välttämättä kuulu pelkästään yhteen edellä mainituista kategorioista vaan saattavat sisältää ominaisuuksia useastakin osa-alueesta. Lietsala & Sirkkunen (2008) jättää luokittelun ulkopuolelle perinteiset keskustelufoorumit ja IRC:in (Internet Related Chat), joita voidaan pitää sosiaalisen median varhaisempina esiintymismuotoina. (Lietsala & Sirkkunen, 2008.) boyd & Ellison (2007) puolestaan määrittelevät samaa asiaa verkostoitumisen ja yhteyksien luomisen näkökulmasta. He määrittelevät peruspohjaksi verkostoitumispalvelut eli SNS:t (Social Network Site), jotka koostuvat julkisesta tai osittain julkisesta profiilista rajatun systeemin sisällä, listasta muista käyttäjistä, joihin käyttäjä on luonut yhteyden ja mahdollisuudesta tarkastella eri käyttäjien listauksia. Myöhemmin verkkopalvelut alkoivat keskittyä sosiaaliseen mediaan ja käyttäjän tuottamaan sisältöön ja nämä verkkosivut omaksuivat SNS:ien ominaisuuksia. Sitä myötä myös niistä tuli verkostoitumispalveluita. Tyypillisiä piirteitä verkostoitumispalveluissa ovat profiilit, yhteydet muihin käyttäjiin, kommentit ja yksityiset viestit. Näiden lisäksi voi niissä voi olla monenlaisia ominaisuuksia (esimerkiksi sisällönjakaminen, bloggaus ja pikaviestit), jotka erottavat ne toisistaan. (boyd & Ellison, 2007.) Yhteisöllisillä verkkopalveluilla tarkoitetaan tässä työssä näitä samoja sosiaalisen median verkkopalveluja, mutta ei painoteta media näkökulmaa vaan yhteisön muodostumista palvelun avulla tai sen taustalla palvelua parantamassa ja

12 2. TYÖN TAUSTAA 5 tukemassa. Kuitenkin Lietsala & Sirkkusen (2008) määritelmä on lähempänä tässä työssä olevaa määritelmää siinä mielessä, että ei painoteta yhtä ominaisuutta ylitse muiden vaan mikä tahansa ominaisuus voi olla pääosassa ja muut toimivat lisänä sille. Yhteisöllisten verkkopalvelujen ja sosiaalisen median ympärillä pyörii myös web 2.0 -käsite. Web 2.0 on lähtöisin O Reilly Median ja MediaLive Internationalin välisestä konferenssin aivoriihestä, jossa pyrittiin määrittelemään www:n (World Wide Web) nykytilaa suhteessa siihen, mitä se oli aikaisemmin. Osa ihmisistä suhtautuu sanayhdistelmään pelkkänä merkityksettömänä markkinointi-ilmauksena, toisille se taas on tapa kuvata olemassa olevaa ilmiötä. (O'Reilly, 2005.) Yhtä kaikki web 2.0 on sen verran yleisesti käytetty käsite, että sitä ei ole järkevää täysin sivuuttaa. Lietsala & Sirkkunen (2008) on esimerkiksi määritellyt web 2.0:n löyhemmäksi käsitteeksi kuin sosiaalinen media pitäen sisällään verkkopalveluita ja tekniikoita, jotka eivät välttämättä kata medianäkökulmaa tai vaadi edes sosiaalista aktiviteettia. Esimerkiksi jotkut mashup-sivustot, joihin sisältöä kootaan automaattisesti muilta sivustoilta, voidaan ajatella olevan web 2.0:aa, mutta käyttäjillä ei välttämättä ole mitään tekemistä sen kanssa miten sivusto rakentuu tai mitä sisältöä sinne tulee. Samankaltaisesti yhteisöllisten verkkopalveluiden määritelmästä jää pois ne palvelut, jotka eivät yhdistä verkkoyhteisöä siihen jollain tapaa. Erityyppisiä yhteisöllisiä verkkopalveluita ovat esimerkiksi Facebook, Wikipedia, keskustelupalstat, blogit, SecondLife ja del.ici.ous. Facebook ( täsmää hyvin boyd & Ellisonin (2007) määritelmään SNS:stä. Se on verkostoitumispalvelu, jossa käyttäjä yhdistää itsensä jo muutenkin tuntemiensa henkilöiden kanssa ja he vaihtavat kuulumisiaan ja jakelevat toisilleen erilaisia sisältöjä. Wikipedian ( tarkoitus on puolestaan toimia avoimena tietosanakirjana. Sinne kirjoittavien on kuitenkin rekisteröidyttävä ja tätä myötä samasta aiheesta kiinnostuneiden ympärille muodostuu jonkin asteinen yhteisö, kun yhdessä keskustellaan, miten mikäkin asia tulisi määritellä. Keskustelupalstoilla saattaa myös jonkun tietyn aiheen ympärille muodostua omia yhteisöjään, jonka jäsenet keskustelevat heille yhteisistä aiheista. Keskustelupalstojen yhteisönmuodostusta on nykyisin alettu tukemaan profiilien kautta, jolloin käyttäjien on helpompi muodostaa keskustelijan identiteetti kyseisessä yhteisössä. Blogeissa käyttäjät tai yhteisöt luovat niihin sisältöä ja toiset käyttäjät voivat lukemisen lisäksi muun muassa kommentoida toisten tuotantoa. SecondLife ( puolestaan muodostaa kokonaan uuden virtuaalisen maailman, jossa käyttäjä voi kuulua erilaisiin virtuaalisiin yhteisöihin irtonaisena kasvokkaisesta maailmasta. Del.icio.us ( on esimerkki verkkosivujen yhteisöllisestä kirjanmerkkipalvelusta. Kukin käyttäjä voi selainpohjaisesti määritellä kiinnostaville sivuille tunnisteita eli tageja, joiden avulla sinne on myöhemmin helppo palata ja uusia sivuja lisättäessä palvelu esimerkiksi ehdottaa muiden vastaavasta sivusta käyttämiä tunnisteita. Lisäksi muiden merkkaamia sivuja voi selailla ja sitä kautta löytää jotain itseäänkin kiinnostavaa. Palvelut ovat hyvin erilaisia, mutta yhteistä niille on jonkinlainen yhteisöllisyys ja yhteys käyttäjien välillä.

13 2. TYÖN TAUSTAA Taustalla oleva projekti ja työryhmä Tampereen teknillisen yliopiston (TTY) Hypermedialaboratoriossa on tehty vuonna 2008 Virtuaaliyliopiston (VY) Lisäarvo(a) opetukseen -hankkeena WeSQu-työkalua ( TTY:n opiskelijoiden ja henkilökunnan käyttöön. WeSQu tulee sanoista Web Service Quality. WeSQun avulla voi arvioida verkkopalvelun laadukkuutta muun muassa luotettavuuden, saavutettavuuden, visuaalisen suunnittelun ja yhteisöllisten ominaisuuksien näkökulmasta. Sen avulla on mahdollista arvioida verkkopalvelun laadukkuutta palvelun tyypistä riippumatta. WeSQu toteutetaan jo olemassa olevan arviontityökalu ARVOn pohjalta. ARVO ( on TTY:n Hypermedialaboratoriossa vuosina tehty työkalu verkkototeutuksen arviointiin. Kyseinen työkalu ei ota huomioon yhteisöllisten verkkopalveluiden laadukkuuteen vaikuttavia ominaisuuksia. Rakenne WeSQu-työkalussa tulee olemaan ARVO:n kaltainen. Kysymykset jaotellaan laajempiin osa-alueisiin, jotka pitävät sisällään useampia kriteerejä. Kriteerit puolestaan koostuvat muutamista kysymyksistä. Arvioija suorittaa arvioinnin kokonaisuudessaan tai hän voi valita, mitkä osa-alueet haluaa arvioitavasta verkkopalvelusta arvioida. WeSQussa kuhunkin kysymykseen vastataan sen paikkaansa pitävyydestä riippuen asteikolla 1-5. Arviointiasteikot on esitetty käyttäjälle sanallisessa muodossa. Osaan kysymyksistä vastataan kyllä tai ei, jolloin pisteytys on 1 tai 5. Käyttäjä voi kysymyksen kohdalla valita myös vaihtoehdon ei sovi tähän, jolloin kysymys jätetään huomiotta arvostelussa. Pisteytysten avulla lasketaan kullekin kriteerille yleisarvosana asteikolla kuvaa sitä, että arvioitava verkkopalvelu täyttää kriteerin vaatimukset erinomaisesti kun taas 1 kertoo, että kyseisen aiheen tiimoilta palvelussa olisi paljonkin kehitettävää. WeSQu-työkalun toteutuksessa päivitetään ARVO:n kysymykset vastaamaan nykypäivää, luodaan uusi ulkoasu ja muokataan teknisiä ominaisuuksia muun muassa mahdollistamaan käyttäjän kirjautuminen ja tätä myötä arviointitulosten tallentaminen. Lisäksi tarvitaan uudet yhteisöllisten verkkopalveluiden laadukkuuteen liittyvät kriteerit täydentämään kysymyspatteristoa. Tähän tarvittava teoriakartoitus sekä kriteeristön ja kysymysten laadinta muodostavat tämän diplomityön. WeSQu otetaan käyttöön vuonna 2009 muun muassa osana Hypermedian aineopetusta TTY:llä. Lisäksi sitä tullaan hyödyntämään verkkopalvelujen arvioinnissa muutenkin. WeSQu-arviointityökalun tekemisessä on mukana joukko TTY:n Hypermedialaboratorion väkeä. Layoutin tekemisestä vastaa Riku Mäkinen, muista teknisistä muutoksista vastaa Pasi Häkkinen. Sisällöntuotannon tukena on (muun työryhmän lisäksi) Anne-Maritta Tervakari. Koko hanketta koordinoi Kirsi Silius. Yhteisöllisten verkkopalveluiden laadukkuuden tekijöiden mietinnöissä mukana on ollut myös Sosiaalisen median KanDI-seminaari, jonka jäseniä ovat itseni lisäksi Teppo Kekäläinen, Maria Leppänen, Liisa Lähteinen, Kirsi Silius ja Anne-Maritta Tervakari.

14 2. TYÖN TAUSTAA Käytetyt tutkimusmenetelmät Kyseessä on kvalitatiivinen tutkimus siitä, miten on mahdollista konkreettisesti määrittää yhteisöllisen verkkopalvelun laadukkuustekijät. Tutkimuksessa tehdään kirjallisuuskatsauksena teoriakartoitus yhteisöllisten verkkopalveluiden laadukkuuteen liittyviin ominaisuuksiin. Kartoituksen pohjalta laaditaan konkreettiset kriteerit ja kysymykset yhteisöllisten verkkopalvelujen erityispiirteiden arvioimiseksi WeSQuverkkotyökaluun. Kvalitatiivisten eli laadullisten tutkimusmenetelmien käyttö teknisillä aloilla on harvinaisempaa kuin kvantitatiivisten menetelmien käyttö. Monesti laadullisten menetelmien pätevyys jakaa mielipiteitä kvantitatiivisten menetelmien tutkijoiden keskuudessa. Laadullisilla menetelmillä voidaan kuitenkin saada vastauksia erilaisiin tutkimusongelmiin myös teknisten aihealueiden ympäriltä ja menetelmiä voidaan myös yhdistää määrälliseen tutkimukseen esimerkiksi tulosten tulkitsemiseksi. Laadullisen tutkimuksen tekeminen ja menetelmien valitseminen ei ole yksiselitteistä, mutta aiheesta kirjoitetusta kirjallisuudesta saa tietoa, minkä tyyppisiä menetelmiä erilaisiin tilanteisiin voi soveltaa (Saaranen-Kauppinen & Puusniekka, 2006a). Tutkijan vaikutus tutkittavaan kohteeseen tulee aina huomioida tuloksissa, mutta perustelut valinnoille ja aiempaan tieteellisesti hyväksyttyyn tutkimukseen tukeutuminen lisäävät tutkimustulosten kattavuutta ja pätevyyttä. (vrt. Saaranen-Kauppinen & Puusniekka, 2006a; Tuomi & Sarajärvi, 2004; Metsämuuronen, 2006.) Tämän työn tavoitteisiin päästään paremmin käsiksi laadullisen tutkimuksen keinoin ja tulokset pohjautuvat nimenomaan aiempaan tutkimukseen aiheesta. Työssä pyritään kokoamaan yhteen aiemman tutkimuksen anti ja jalostamaan niistä saatua tietoa arvioinnissa hyödynnettävään muotoon. Seuraavissa kappaleissa on esitelty työn toteutukseen valitut menetelmät tarkemmin. Metsämuuronen (2006) määrittelee kirjallisuuskatsaukselle kaksi toteutustapaa. Perinteisessä kirjallisuuskatsauksessa pyritään hankkimaan aiheesta mahdollisimman paljon tietoa, jonka pohjalta katsaus kirjoitetaan. Systemoidun kirjallisuuskatsauksen vaiheet on tarkemmin määritelty ja tällä pyritään estämään olennaisen tiedon jääminen tutkimuksen ulkopuolelle. (Metsämuuronen, 2006.) Systemoitu kirjallisuuskatsaus sellaisenaan on kuitenkin turhan raskas menetelmä suhteessa työn laajuuteen, koska teoriakartoitusta tehdään osana tutkimusta ja lisäksi moneen yhteisöllisten verkkopalvelujen laadukkuuden osa-alueeseen. Tuomi & Sarajärvi (2004) mainitseekin systemoitua kirjallisuuskatsausta käytettävän silloin, kun koko tutkimuksen tarkoitus on tehdä kirjallisuuskatsaus jostakin aiheesta. Tämän tutkimuksen kirjallisuuskatsauksessa on käytössä Metsämuurosen (2006) esittelemän systemoidun kirjallisuuskatsauksen kolme vaihetta: aiheenrajaus, hyväksymis- ja poissulkukriteerien määritys ja kirjallisuushaku (Metsämuuronen, 2006). Kirjallisuushakua on kuitenkin hieman kevennetty tutkimuksen laajuuteen paremmin soveltuvaksi. Tarkoituksena ei ole luoda kaikenkattavaa selvitystä aiheesta, vaan pyrkiä kartoittamaan yhteisöllisten verkkopalvelujen laadukkuutta mahdollisimman laaja-alaisesti. Kirjallisuushaun

15 2. TYÖN TAUSTAA 8 pohjana on käytetty tietokantahakua ja viitehakua. Systemoidussa kirjallisuuskatsauksessa käytäisiin läpi vielä käsinhaku (alan julkaisusarjojen läpikäynti) ja harmaa kirjallisuus (julkaisemattomat negatiivistuloksiset lähteet) (Metsämuuronen, 2006). Aiheen rajauksena toimivat yhteisölliset verkkopalvelut ja niiden ominaisuudet laadukkuuden näkökulmasta. Pääasiassa painotetaan sellaisia asioita, joita palveluissa oikeasti on käytössä, mutta myös joitakin tulevaisuuden visioita tai toivottavia, mutta ei vielä toteutettuja ominaisuuksia, voidaan poimia aineistosta. Tietokannoista pyritään löytämään vuotta 2004 uudempia tieteellisesti hyväksyttyjä artikkeleita ja kirjoja, koska yhteisölliset verkkopalvelut eivät ole olleet samassa mittakaavassa olemassa aikaisemmin. Taustatiedon kartoituksessa joudutaan turvautumaan kuitenkin myös vanhempiin lähteisiin vuosituhannen taitteesta, koska siltä ajalta on suuri osa aiheeseen liittyvästä perustutkimuksesta. Varsinaisten artikkeleiden lisäksi hyödynnetään myös tavalliselle kuluttajalle suunnattua kirjallisuutta tulosten riittävän konkreettisuuden ja yksinkertaisuuden varmistamiseksi. Kirjallisuushaussa hyödynnetään Tampereen teknillisen yliopiston ja Tampereen yliopiston kirjastojen tietokantoja ja lisäksi erilaisia verkkotietokantoja (ACM Portal, IEEE Explore ja Scirus). Myös Googlen hakukonetta hyödynnetään tiedon etsinnässä tieteellisten artikkelitietokantojen lisäksi. Tämän lisäksi tarkastellaan vastaan tulleita yhteisöllisiä verkkopalveluita ja niissä esiintyviä ominaisuuksia. Aineistosta käydään läpi myös niiden lähdeluettelot ja poimitaan sieltä mahdollisesti lisätietoa tai syventävää tietoa tuovat lähteet. Hakuvaiheessa hakutuloksia tarkastellaan hyväksymis- ja poissulkukriteerien valossa (Metsämuuronen, 2006) otsikoiden ja tiivistelmien pohjalta, karsien joukosta pois aiheen ulkopuolelle jäävää materiaalia. Materiaalin läpikäynnissä sovelletaan strukturoitua teorialähtöistä sisällönanalyysiä ja teemoittelua. Tuomi & Sarajärven (2004) mukaan sisällönanalyysissä kuvaillaan dokumenttien sisältöä sanallisesti ja pyritään luomaan aineistosta selkeä ja yhtenäinen kokonaisuus. Tuloksena on systemaattisesti ja objektiivisesti tuotettu analyysi. Jos taustalla käytetään jonkin teorian tai käsitemallin mukaista luokittelua, jonka mukaan aineistosta poimitaan sisältöä lopputulokseen, sanotaan, että analyysirunko on strukturoitu (Tuomi & Sarajärvi, 2004). Vaikka tässä tutkimuksessa taustalla ei ole virallista teoriaa, aineiston teemoitteluun käytetään teorian kaltaisesti TTY:n Hypermedialaboratorion Sosiaalisen median tutkimusryhmän luomaa luokittelua mahdollisista yhteisöllisen verkkopalvelun laadukkuuteen liittyvistä asioista. Aineisto siis teemoitellaan teorialähtöisesti eli kunkin teeman alle kootaan aineistosta ne kohdat, joissa puhutaan kyseisestä osa-alueesta (Saaranen-Kauppinen & Puusniekka, 2006b). Alkuperäisen rungon luokittelulle ovat laatineet TTY:n Hypermedialaboratorion erikoistutkija Kirsi Silius ja tutkija Anne-Maritta Tervakari ja sitä on muokattu tutkimusryhmän toimesta. Tähän tutkimukseen teemoiksi on poimittu tärkeimmät osa-alueet: tietoturva, digitaalinen identiteetti, yksityisyys, informaation luotettavuus, informaation hallinta ja luokittelu, saavutettavuus sekä käyttäjän motivointi. Näihin osa-alueisiin on tarkoitus pureutua yhteisöllisten verkkopalvelujen

16 2. TYÖN TAUSTAA 9 näkökulmasta, eikä niinkään yleisten verkkopalvelujen ominaisuuksien kannalta. Strukturoidusta analyysistä poiketen, jos artikkeleista löytyy valikoituihin osa-alueisiin sopimatonta muuta potentiaalista aineistoa yhteisöllisten verkkopalveluiden laadukkuutta ajatellen, poimitaan ne myös talteen ja pohditaan lopuksi, tulisiko uusia yläkategorioita lisätä. Tätä ei kuitenkaan toteuteta systemaattisesti eli kaikkea analyysirungon ulkopuolelle jäävää tietoa ei kerätä talteen. Tästä syystä strukturoitu analyysi on lähempänä tätä tutkimusta. Kun kullekin osa-alueelle on saatu teoriakartoitus tehtyä, jatketaan sisällönanalyysiä vahvemmin siitä näkökulmasta, mitä ominaisuuksia palvelun käyttäjä tai muu ulkopuolinen arvioija voi yhteisöllisestä verkkopalvelusta arvioida. Tältä pohjalta luodaan arvioijille suunnattuja kysymyksiä ja kirjoitetaan niihin liittyvät vinkki- ja perusteluosiot. Laaditut kysymykset luokitellaan muutaman kysymyksen kokonaisuuksiksi, jotka muodostavat oman kriteerinsä. Kriteerien muodostuksessa käytetään siis puolestaan aineistolähtöistä teemoittelua, jossa etsimällä aineistoa (tässä tapauksessa kysymyksiä) yhdistäviä seikkoja luodaan kriteereinä toimivat teemat niiden pohjalta (Saaranen-Kauppinen & Puusniekka, 2006b). Kriteerit puolestaan sijoitetaan, joko jo olemassa oleviin ARVO:sta periytyneisiin osa-alueisiin tai uusiin osa-alueisiin, jotka luodaan uusista kriteereistä kumpuavan tarpeen mukaan.

17 10 3. YHTEISÖLLISTEN VERKKOPALVELUJEN LAADUKKUUDEN ERITYISPIIRTEET Tässä kappaleessa esitellään työssä tehty kirjallisuuskatsaus yhteisöllisten verkkopalveluiden erityispiirteisiin osa-alueittain. Osa-alueina teoriakartoituksessa ovat tietoturva, digitaalinen identiteetti, yksityisyys, luotettavuus, informaation hallinta ja luokittelu, saavutettavuus sekä käyttäjän motivointi. Näihin osa-alueisiin pureudutaan yhteisöllisten verkkopalvelujen näkökulmasta, eikä niinkään perinteisten verkkopalvelujen kannalta. Materiaali selvityksen taustalla koostuu pääasiassa tieteellisistä artikkeleista, mutta joukossa on mukana muutama epävirallisempi tavalliselle käyttäjälle suunnattu opas sekä blogikirjoitus. Kaikki kirjoittajat ovat kuitenkin alansa asiantuntijoita Tietoturva Korpela (2005) määrittelee tietoturvan tavalliselle käyttäjälle suuntaamassaan oppaassa seuraavasti: Tietoturva on tietojen, tietokoneiden, tietojenkäsittelyn ja tietoliikenteen suojaamista erilaisia uhkia vastaan. Uhkia aiheuttavat esimerkiksi laiteviat, ohjelmiston virheet ja tietovälineiden turmeltuminen, mutta myös ilkivalta ja rikollisuus. Tietoturvalle voidaan asettaa erilaisia vaatimuksia käyttötarkoituksesta ja tarpeista riippuen. Tietoturvaan kohdistuvat uhat voivat aiheutua yhteiskäyttöisistä koneista tai laitteiden osien hajoamisesta aina ulkoisiin hyökkäyksiin. (Korpela, 2005.) Tietoturvan ja yksityisyyden käsitteiden välinen rajan veto tuntuu hieman häilyvältä. Karat et al. (2007) erottaa tietoturvan käsitteen yksityisyysasioista sillä, että tietoturvasysteemeissä pyritään nimenomaan tekniikan avulla takaamaan tiedon riittävä suojaus. Yksityisyysasioissa käyttäjän oma kontrolli on avainasemassa. Tietoturvan voidaan ajatella olevan tärkeä edellytys käyttäjien yksityisyyden turvaamiseksi. Jotta käyttäjät osaisivat huolehtia tietoturvastaan, on tärkeää, että heille tarjotaan siihen välineitä ja mahdollisuuksia, jotka he todella ymmärtävät ja joita he pystyvät kontrolloimaan. (C. Karat, J. Karat, & Brodie, 2007.) Tässä työssä tietoturvan osalta keskitytään ainoastaan ulkoisiin, verkosta käsin tapahtuviin hyökkäyksiin. Näistä esitellään pääasiassa käyttäjän kontrolloitavissa olevia ja käyttäjiin kohdistuvia uhkia. Lisäksi käydään läpi keinoja, joita käyttäjillä ja palveluntarjoajilla on kyseisten uhkien torjumiseksi. Painotus pidetään yhteisöllisissä verkkopalveluissa ja niihin liittyvissä uhissa. Web 2.0:n myötä tietoturvahyökkäykset kohdistuvat useammin loppukäyttäjiin palvelinten asemesta (Iliyev, Kyong Ho Choi, & Kim, 2008). Lähteenä käytetyissä artikkeleissa käsitellään web 2.0:aan liittyviä

18 11 tietoturvauhkia. Vaikka web 2.0 on käsitteenä yhteisöllisiä verkkopalveluja laajempi, esitellyt tietoturvauhat kohdistuvat yhtälailla myös yhteisöllisiin verkkopalveluihin Verkkopalveluiden käyttöön liittyvät tietoturvauhat Perinteisten tietoturvaongelmien lisäksi yhteisöllisissä verkkopalveluissa altistutaan identiteettivarkauksiin liittyviin hyökkäyksiin. Digitaalista identiteettiä ja identiteettivarkautta kuvataan tarkemmin luvussa 3.2. Palveluissa on saatavissa käyttäjistä monenlaista tietoa, joita ulkopuolinen taho voi hyödyntää, jos hän esimerkiksi saa tietoonsa käyttäjän palveluun liittyvän käyttäjätunnuksen ja salasanan. Päästäkseen käyttäjän tietoihin käsiksi tai aiheuttaakseen muuta vahinkoa hyökkääjä voi hyödyntää haittaohjelmia ja käyttää eri huijauskeinoja tavoitteensa saavuttamiseksi. Näitä mahdollisuuksia on kuvattu tarkemmin tässä alaluvussa. Haittaohjelmat Virus on tietokoneohjelma tai ohjelman osa, joka on lähetetty levitykseen tarkoituksena tuhota tai muuttaa tietokoneissa olevia tietoja tai muuten haitata toimintaa. (Korpela, 2005, 63.) Virukset eli haittaohjelmat saattavat tehdä koneella erilaisia asioita. Esimerkkejä viruksen toimista ovat pienet suhteellisen harmittomat muutokset (esimerkiksi oudon viestin tulostaminen ruudulle), käyttäjän näppäilyjen tallentaminen, tiedostojen hävittäminen tietokoneelta, luottamuksellisten tietojen eteenpäin lähettäminen ja toisen tietokoneen hyödyntäminen muihin koneisiin murtautumisessa. Usein yksi virus tekee monia asioita, joskus jotain hyödyllistäkin vahingon ohessa, jolloin sitä on vaikea heti aluksi havaita haittaohjelmaksi. Viruksen voi saada sähköpostin kautta tai pelkästä nettisivujen selailusta. Esimerkiksi kuvatiedostoon voidaan piilottaa näkymättömiä käskyjä. (Korpela, 2005.) Mainosohjelmat (adware) esittävät käyttäjille mainoksia selailun ohessa. Mainosohjelmien ja virusten raja on häilyvä. Mainosohjelmia ei esimerkiksi lasketa viruksiksi, jos käyttäjille on ilmoitettu niiden liittyvän verkkopalveluun. Näin on usein esimerkiksi ilmaisohjelmissa, jotka on rahoitettu mainostuloin. Mainoksista pääsee monesti eroon ottamalla käyttöön verkkopalvelun maksullisen version. Virustentorjuntaohjelmat tunnistavat yleensä vain selkeät virukset, joten mainosohjelmat jäävät monesti torjumatta. Mainosohjelmia vastaan on omia niitä tunnistavia ohjelmia. Ne saattavat kuitenkin antaa myös vääriä hälytyksiä esimerkiksi tulkitsemalla virustentorjuntaohjelman taustaohjelman mainosohjelmaksi ja näin haitata ohjelman toimintaa. (Korpela, 2005.) Huijauskeinoja Kalastelulla (phishing) tarkoitetaan huijausyritystä, jossa sähköpostin ja webin välityksellä pyritään selvittämään käyttäjän identiteettitietoja, esimerkiksi jonkun palvelun käyttäjätunnus ja salasana tai luottokortin numero. Käytännössä tämä tapahtuu pyytämällä käyttäjää syöttämään käyttäjätunnus ja salasana luotettavan tahon

19 kirjautumisikkunalta näyttävään ruutuun tai käytetään JavaScriptiä tallentamaan tietoja käyttäjän istunnosta. Haavoittuvia verkkolomakkeita voidaan käyttää sähköpostiharhautusten ( spoofing) lähettämiseen. Tällöin kalastelija harhauttaa käyttäjän luulemaan, että sähköpostin lähettäjä on joku tuttu ja sen avulla kalastelee haluamiaan tietoja. (Iliyev et al., 2008.) Kalasteluyritykset ovat tulleet jo suhteellisen tutuksi käyttäjien keskuudessa ja näin ollen huijarit ovat kehitelleet uusia keinoja identiteettitietojen selvittämiseksi. Pharming on kalastelua kehittyneempi muoto käyttäjän identiteetin varastamiseksi. Siinä missä kalastelu luottaa, että käyttäjä napsauttaa hiirellään jotain linkkiä, pharmingissa valesivulle siirtyminen tai identiteettitietojen varastaminen tapahtuu ilman erityistä houkuttelua käyttäjän normaalitoiminnan ohella. Pharming-hyökkäyksen voi toteuttaa DNS (Domain Name Server)-välimuistia muokkaamalla, aitojen sivustojen ohjelmakoodia muokkaamalla tai vakoilemalla käyttäjän toimintoja tietokoneella haittaohjelman avulla. (Symantec Corporation, 2006; Tietosuojavaltuutetun toimisto, 2006.) DNS-tietojen myrkytys on yksi suosituimmista pharmingin keinoista. Jotta palvelun osoite saadaan muunnettua tekstimuotoisesta IP-osoitteeksi, tarvitaan nimipalvelinta (DNS), jonka ohjelmisto osaa tämän muunnoksen suorittaa. Jotta muunnosta ei tarvitsisi joka kerta tehdä verkon yli, sekä paikallinen tietokone että palvelimet tallentavat DNStietoja DNS-välimuistiin. Näin ne osaavat nopeammin yhdistää jo entuudestaan tutun palvelun DNS-tiedot ja IP-osoitteen toisiinsa ja välttävät turhaa liikennettä vanhaan palveluun palattaessa. DNS-tietojen myrkytyksessä välimuistissa oleva palvelun IPosoite muunnetaan haittaohjelman avulla vastaamaan valesivun IP-osoitetta. Käyttäjän luullessa siirtyvänsä haluamaansa palveluun hänet ohjataankin aidon sivun näköiselle valesivustolle, jonne hän syöttää esimerkiksi palvelutunnuksensa ja salasanansa. Näin tunnukset päätyvät huijarin käsiin. Käyttäjän osoitekentässä näkyy oikea osoite, joten siitä on vaikea päätellä mitään huijauksesta. Myös internetpalveluntarjoajat tallentavat DNS-tietoja palvelimilleen. Nämä palvelimet ovat yleensä hyvin suojattuja, joten tietojen myrkyttäminen on hankalampaa, mutta onnistuessaan hyökkäyksen tekijä saa kerättyä useita käyttäjätunnuksia samalla kertaa. Uhka on suurempi pienten yritysten palvelimilla, joissa suojaus on keskimäärin heikompi. (Symantec Corporation, 2006; Tietosuojavaltuutetun toimisto, 2006.) DNS-välimuistin lisäksi pharming-hyökkäyksen voi toteuttaa muokkaamalla aidon sivuston ohjelmakoodia. Tätä kutsutaan myös XSS-hyökkäykseksi (Cross-site scripting). Yleensä koodiin pyritään lisäämään komentosarja, joka esimerkiksi ohjaa linkkiä klikanneen käyttäjän valesivustolle tai avaa itsestään aidon sivun päälle valeikkunan. (Symantec Corporation, 2006.) Pelkästä osoiterivin osoitteesta ei voi päätellä onko kyseinen sivusto aito. Valesivu saattaa olla loogisen tuntuinen, mutta olla silti eri kuin aidon sivuston osoite tai se voi sijaita verkko-osoitteessa, joka vaikuttaa aidolta, mutta onkin hieman erilainen. Osoitteessa saattaa esimerkiksi olla jokin kirjain vaihdettu numerolla (kuten paypal ja paypa1), jotka joillain selaimilla näyttävät samalta (Korpela, 2005). XSS-hyökkäyksellä tarkoitetaan ylipäätään palvelun koodia 12

20 13 muokkaamalla tehtyä hyökkäystä. Kyseessä ei siis ole pelkästään käyttäjän identiteettitietoihin kohdistuva hyökkäys. Hyökkääjä saattaa esimerkiksi käyttäjälle suunnatun input-kentän (kuten blogin kommenttikenttä) avulla lähettää haittakoodia, joka pääsee läpi, jos palveluntarjoaja ei tarkasta lähetetyn kentän sisältöä. Selain ei osaa varoa haittakoodia, koska sen näkökulmasta sisältö näyttää tulevan luotettavasta lähteestä. Koodilla voi päästä käsiksi käyttäjän evästeisiin (lisätietoa luvussa 3.3.1) ja muihin selaimen tallentamiin tietoihin, ohjata käyttäjän muulle sivulle tai muokata sivuston sisältämää tietoa. (Iliyev et al., 2008.) XSRF eli CSRF (Cross-site Request Forgery) hyödyntää hyökkäyksissä verkkosivuston luottamusta käyttäjään. Hyökkäys suoritetaan ottamalla haltuun käyttäjän tietokone ja hyödyntämällä avoimia yhteyksiä verkkopalveluihin. Toinen mahdollisuus on kaapata selaimesta käyttäjän evästeet ja niiden avulla esiintyä käyttäjänä verkkopalvelulle päin ja suorittaa esimerkiksi ostoja verkkokaupassa uhrin nimissä. XSRF hyökkäykset hyödyntävät GET ja POST metodeja käyttäviä sovelluksia. Hyökkäys onnistuu, mikäli palvelu ei käytä evästeiden lisäksi muita tietoja käyttäjän tunnistamiseen. (Iliyev et al., 2008; Lawton, 2007.) Syötteiden avulla käyttäjän on helppo pysyä ajan tasalla usean sivuston taajaan päivittyvistä tiedoista. Syötteitä eri sivustoilta voi tilata omaan syötteiden lukijaan eri sivustoilta. Syötteiden yleisimmät tiedostomuodot ovat RSS (Really Simple Syndication) ja Atom. Iliyev et al. (2008) mainitsee, että myös syötesovellukset voivat olla uhka tietoturvalle. Syötteisiin voidaan liittää JavaScriptejä, joiden avulla päästään käsiksi sen lataajan selaimen tietoihin. Palvelinpuolen suodatuksella tämä voidaan estää, mutta sellaista ei aina ole toteutettu (Iliyev et al., 2008). Muita mahdollisia tietoturvahyökkäyksiä ovat esimerkiksi HTTP-pyynnön (HyperText Transfer Protocol) jakaminen ja WSDL-skannaus. HTTP-pyynnön jakamisessa koodia muokataan siten, että se lähettää yhden pyynnön sijaan kaksi pyyntöä. Ensimmäinen pyyntö palauttaa normaalisti sen mitä pitikin ja toinen vastaus jää odottamaan selaimen jonoon. Toisen pyynnön vastaus hyödynnetään seuraavan pyynnön yhteydessä, jolloin latautuu hyökkääjän haitallista koodia sisältävä sivusto. Web Service Definition Language (WSDL) on käyttöliittymä verkkopalvelun toimintoihin. WSDL-dokumentti pitää sisällään kaikki käyttäjälle mahdolliset toiminnot ja niiden sijainnin. Jos dokumenttia ei ole suojattu hyvin tai pääsyä sinne rajoitettu, hakkerilla on mahdollista skannata eli käydä läpi kaikki operaatiot eri viestinkyselytapojen avulla. Joku tapa yleensä tuottaa tulosta. WDSL-dokumentti sisältää tietoa, jota voi hyödyntää suunniteltaessa palvelun väärinkäyttöä. Turhaan avoimina pidetyt funktiot ja metodit voivat koitua verkkopalvelulle kohtalokkaiksi. (Iliyev et al., 2008.) Keinoja suojautua tietoturvahyökkäyksiltä Käyttäjän perustehtäviä tietoturva-asioissa on huolehtia, että perusohjelmistojen ja käyttöjärjestelmien turvapäivitykset hoidetaan säännöllisesti. Näin ilmitulleet tietoturvaaukot saadaan paikatuksi. Lisäksi erilaisia tietoturvaohjelmistoja voi ostaa internetistä

21 14 tai internetliittymän tarjoajaltaan, mutta kaikkiin osa-alueisiin on saatavilla myös hyviä ilmaisversioita verkosta. (Korpela, 2005.) Palveluntarjoajan tehtäviin kuuluu huolehtia siitä, että palvelu on toteutettu teknisesti siten, että tietoturvahyökkäysten mahdollisuus minimoituu. Tästä hyötyvät niin käyttäjä kuin palveluntarjoajakin. Tietoturva-asioista huolehtiville on tarjolla erilaisia listauksia, joita voi hyödyntää verkkosivujen laillisuuden ja hyvyyden arvioimisessa. Tietoturvapalvelujen tukena voi käyttää staattisesti luotua listaa esimerkiksi huonoista URL:eista. Verkon nopeasti muuttuvasta luonteesta johtuen staattisen listan lisäksi tarvitaan myös dynaamisia tapoja arvioida domainien taustoja. Domainin rekisteröitymistietojen perusteella pystytään jonkin verran arvioimaan sen luotettavuutta. Esimerkiksi taaja IPosoitteen muutos voi olla viesti rikollisesta toiminnasta ja uusi sivusto, jolla on korkea kävijämäärä, kielii yleensä siitä, että jokin virus haalii liikennettä sivuston suuntaan. Lisäksi voidaan tarkastella yhdyskäytävälle (gateway) saapuvia tiedostoja haitallisten tiedostojen listan valossa. Näin saadaan kiinni myös sellaisia tiedostoja, jotka on siirretty sivustolta toiselle. Samat tarkastelut kannattaa tehdä vielä itse tietoturvaohjelmien avulla ennen kuin palveluun siirrytään tai tiedosto oikeasti avataan. (Iliyev et al., 2008.) Haittaohjelmilta suojautuminen Käyttäjä voi suojautua viruksilta suhtautumalla kriittisesti ohjelmiin, joita aikoo ladata verkosta ja mitä linkkejä sähköposteistaan seuraa. Lisäksi tarvitaan ajantasainen, säännöllisesti päivitetty virustentorjuntaohjelmisto. Torjuntaohjelmistot tunnistavat viruksia tunnettujen ominaisuuksien pohjalta. Tästä syystä ohjelma on muistettava päivittää säännöllisesti, jotta siitä saatava hyöty maksimoituu. Automaattisen virustentorjunnan lisäksi käyttäjä voi suorittaa torjuntaohjelmistolla manuaalisen tarkistuksen koneelleen. Näin on mahdollista löytää viruksia, jotka eivät ohjelmiston aiemmassa päivityksessä ole vielä olleet listalla, mutta tarkastusvaiheessa on jo sinne lisätty. (Korpela, 2005.) Palomuuri on laite tai ohjelma, joka vahtii koneen verkkoliikennettä. Se pyrkii estämään luvattomien ulkopuolisten tahojen pääsyn koneelle. Tilanteissa, jossa näin on jo päässyt tapahtumaan, palomuurin tehtävänä on estää kyseistä tahoa ottamasta yhteyttä enää ulospäin. Verkossa on ohjelmia, jotka kokeilevat satunnaisesti eri portteja. Avoimen portin löytyessä haittaohjelma todennäköisesti yrittää tehdä jotain haitallista ja laitonta kyseisen portin takaa löytyville koneille. Palomuuri ja virustentorjunta täydentävät toisiaan ja molemmista on saatavilla sekä ilmaisia että maksullisia versioita. (Korpela, 2005.) Järkevä verkkoasiointi Käyttäjä voi omalla nettikäyttäytymisellään suojata tietojaan ja konettaan haittaohjelmilta ja asiattomilta tahoilta. Käyttäjätunnus ja salasana tulisi pitää ainoastaan omana tietona ja salasanan on, varsinkin arkaluontoista tietoa käsittelevissä palveluissa,

22 15 oltava vaikeasti arvattavissa. Lisäksi omia tietojaan ei kannata antaa mihinkään, ellei tiedä mihin niitä aiotaan käyttää. (Korpela, 2005.) Verkkopalveluista kannatta muistaa kirjautua ulos. Jotkin verkkopalvelut (esimerkiksi delicious.com ja gmail.com) eivät automaattisesti vaadi käyttäjätunnusta ja salasanaa uudestaan, jos palvelusta on poistuttu vain sulkemalla selain ja unohtamalla uloskirjautuminen. Korpela (2005) suosittelee kirjautumaan verkkopalveluista ulos heti, kun ei enää asioi siellä. Näin välttää mahdolliset hyökkäykset kyseiseen palveluun. Jos palvelu käyttää jatkuvia evästeitä, jotka jäävät voimaan jonkin toiminnan suorittamisen jälkeenkin, kannattaa tyhjentää evästeet selaimen ja koneen muistista. Evästeiden käytön voi myös estää muuttamalla selaimen asetuksia, mutta joissain palveluissa niitä vaaditaan tiettyihin toimintoihin. Selainhistoria ja muut tallentuvat tiedot kannattaa tyhjentää selaimen muistista säännöllisesti. (Korpela, 2005.) Tällöin mahdollisissa hyökkäystilanteissa ei ole niin paljoa saalista tarjolla. Vaikka osoiterivistä ei aina voi päätellä, onko sivuston sisältö aito, se kannattaa kuitenkin muistaa tarkastaa. Tällä tavoin voi estää karkeimmat ja helpoimmat huijausyritykset. Paras tapa toimia olisi kirjoittaa osoite itse osoitekenttään tai ainakin kopioida osoite sinne linkin klikkaamisen sijaan. Osoitelinkki ei välttämättä siirry siihen sivustoon, joka sen näkyvässä nimessä lukee. (Korpela, 2005.) Perusasennoituminen kaikkeen verkossa olevaan (sisällöt, ladattavat ohjelmistot, sähköpostilinkit) kannattaa säilyttää terveen epäilevänä. Käyttäjä voi laatia itselleen oman tietoturvasuunnitelman. Tällöin muistaa säännöllisesti päivittää ohjelmistot ja järkevät toimintamallit pysyvät mielessä. (esim. Korpela, 2005.) Jos tiedon salassa pysyminen on erityisen tärkeää, kannattaa varmistaa, että verkkopalvelu käyttää tietojen siirtämiseen salattua yhteyttä, esimerkiksi SSL-suojausta (Secure Sockets Layer). Tästä tunnuksena on osoitteen alussa https tavallisen sijaan ja lisäksi selaimen oikeassa alakulmassa on lukon kuva. Nämä merkit eivät kuitenkaan takaa salauksen aitoutta. Sivun HTML-koodista voi tarkastaa formelementin action-attribuutin sisällöstä osoitteen. Jos se on https-alkuinen, lähetys tapahtuu suojattua yhteyttä pitkin. Lukon kuvaa kaksoisnapsauttamalla pääsee tarkastelemaan sivun sertifikaattia. Sertifikaatista kannattaa tarkistaa ainakin, onko sen myöntäjä joku tunnettu yleisesti hyväksytty taho (esim. VeriSign, Thawte tai VRK Gov Root CA) ja täsmääkö sivuston sekä sertifikaatin osoitteet toisiinsa. SSL-suojauksen lisäksi verkkomaksamisessa maksutapahtuman varmentavat myös luottokorteilla maksettaessa käytettävät Verified by Visa ja MasterCard Secure Code. (Korpela, 2005.) Palveluntarjoajan vastuita Käyttäjällä ei ole käsissään kaikkia tietoturvan tehostamiseen liittyviä keinoja vaan palveluntarjoajalla on suuri vastuu tarjoamansa palvelun tietoturva-asioissa. XSShyökkäysten välttämiseksi käyttäjälle suunnatut input-kentät tulee tarkastaa ennen niiden hyväksymistä ja eteenpäin vientiä. Ylipäätään palvelun koodin muokkaamista ja käyttäjän selaintietojen joutumista ulkopuolisten käsiin voidaan välttää, kun kaikki ulkopuolelta tulevat tiedot tarkastetaan palvelinpäässä. XSRF-hyökkäyksiltä puolestaan