Tietoja varastavat haittaohjelmat

Tietoja varastavat haittaohjelmat 29.1.2010

1 YLEISTÄ...1 1.1 MUISTION TARKOITUS...1 2 TIETOVERKKORIKOKSET...2 2.1 YLEISTÄ VERKKORIKOSMARKKINOISTA...2 2.2 MARKKINOIDEN LÄHESTYMINEN ROOLINÄKÖKULMASTA...3 2.2.1 Tietojen kerääjä...3 2.2.2 Haittaohjelman kirjoittaja...4 2.2.3 Levityskanavan haltija...4 2.2.4 Tietojen hyödyntäjä...5 2.2.5 Jälkien peittäjä...5 2.3 ESIMERKKI TIETOJEN VARASTAMISESTA...6 2.4 VARASTETTAVAT TIEDOT...7 2.4.1 Kerättävät tiedot...7 2.4.2 CERT-FI:n käsittelemät tapaukset...8 3 VIRANOMAISET VASTUUALUEINEEN...10 3.1 VIESTINTÄVIRASTON CERT-FI-YKSIKKÖ...10 3.2 POLIISI...11 3.3 TIETOSUOJAVALTUUTETUN TOIMISTO...12 3.4 CERT-FI:N TIEDONSAANTIKANAVAT...12 3.4.1 Sähköisen viestinnän tietosuojalain nojalla tehdyt ilmoitukset...13 3.4.2 Sähköisen viestinnän tietosuojalain nojalla annettavat tiedot...14 3.4.3 Yhteistyöverkosto...14 3.4.4 Oma tiedonhankinta...15 3.5 CERT-FI:N TIETOJEN JAKELEMINEN...15 3.5.1 Jakelukanavat...15 3.5.2 Käytännön toiminta...16 3.6 ESIMERKKITILANTEITA...17 3.6.1 Tietojen varastaminen vakoiluohjelman avulla...18 3.6.2 Tietojen varastaminen verkkourkinnan avulla (Phishing)...19 3.6.3 Tietojen varastaminen palveluntarjoajalta...21 3.7 ONGELMATILANTEET...22 3.7.1 Tietojen hakeminen internetistä...22 4 TELEYRITYSTEN MAHDOLLISUUDET RAJOITTAA TIETOVARKAUKSIA...24 4.1 LIIKENTEEN ESTÄMINEN TIETOTURVALLE HAITTAA AIHEUTTAVIEN HÄIRIÖIDEN ESTÄMISEKSI...24 4.2 LIIKENTEEN ESTÄMINEN VERKKOURKINTASIVUSTOLLE (PHISHING)...24 4.3 TELEYRITYKSEN OIKEUS TUNNISTAA SAASTUNEET PÄÄTELAITTEET...25 5 KÄYTTÄJIEN MAHDOLLISUUDET RAJOITTAA TIETOVARKAUKSIA...26 5.1 ENNALTAEHKÄISY...26 5.1.1 Tietokoneen tietoturvasta huolehtiminen...26 5.1.2 Harkinnan käyttäminen...26 5.1.3 Riittävän vahvojen salasanojen käyttäminen...26 5.1.4 Suojautuminen verkkourkintahyökkäyksiltä...26 5.2 TIETOVARKAUDEN JÄLKEEN...27 5.2.1 Toimenpiteet tiedonsaannin jälkeen...27 5.2.2 Päätelaitteen puhdistaminen...28

1 Yleistä 1.1 Muistion tarkoitus Sähköisten viestintäpalveluiden käyttäjien luottamuksellisten tietojen varastamiseen tähtäävät tietoverkkorikokset ovat yleistyneet myös Suomessa. Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI vastaanottaa satunnaisesti ilmoituksia tapauksista, joissa suomalaisten sähköisten asiointipalveluiden käyttäjät ovat joutuneet tietoja varastavien haittaohjelmien uhreiksi. Haittaohjelmien varastamat tiedot ovat tyypillisesti sähköisten palveluiden kirjautumistietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelmat keräävät kuitenkin rutiininomaisesti myös selaimella käytettävien lomakkeiden, kuten sähköpostiviestien, verkkokauppatilausten sekä verkkopankkilomakkeiden sisältöjä. CERT-FI:n keräämien tilastojen mukaan yksikkö käsitteli 1.1.2008-31.8.2009 välisenä aikana noin 1800 yksittäiseen käyttäjään kohdistettavissa olevaa tapausta. Myös muuntyyppisiä käyttäjien tietojen varastamiseen pyrkiviä tietoverkkorikoksia tulee säännönmukaisesti CERT-FI:n tietoon. Tyypillisesti kysymyksessä on pyrkimys käyttäjien tietojen varastamiseen verkkourkinnan tai muun käyttäjän erehdyttämiseen perustuvan toimintatavan avulla. Eräässä tapauksessa tietoja varastettiin suoraan sähköisten palveluiden tarjoajilta. Muistiossa kuvataan tietoverkkorikosten toteuttamistapoja ja CERT-FI:n toimintamahdollisuuksia. Tällä pyritään helpottamaan muiden toimijoiden mahdollisuuksia hyödyntää CERT-FI:n käytettävissä olevia välineitä ja tietoaineistoja tietoverkkorikosten ja niiden aiheuttamien vahinkojen torjunnassa. Lisäksi muistiolla pyritään lisäämään yleistä tietoisuutta käyttäjien tietojen varastamiseen tähtäävistä tietoverkkorikoksista ja niiltä suojautumisessa käytettävissä olevista keinoista.

2 Tietoverkkorikokset Sähköisten palveluiden kehittyminen on pakottanut myös tietoverkkorikolliset muuttamaan toimintatapojaan. Rikosten toteuttamismallit ovat monimutkaistuneet ja rikoksen tekemiseen tarvittavan osaamisen määrä on kasvanut siinä määrin, että yksittäisen toimijan on erittäin vaikea hallita kaikkia tietoverkkorikoksen tekemisen edellyttämiä osa-alueita. Tämä kehitys on johtanut tietoverkkorikosten tekijöiden kasvavaan verkostoitumiseen ja erilaisten tietoverkkorikosten tekemiseen keskittyvien tiedonvaihtokanavien muodostumiseen. Tietoverkkorikoksia tarkasteltaessa on hyvä tunnistaa joitain rikosten ominaispiirteitä: Toiminta on kansainvälistä ja täysin riippumatonta valtioiden ja oikeusjärjestelmien rajoista. Rikoksen kannattavuus perustuu usein pikemminkin potentiaalisten uhrien suureen määrään kuin valittujen menetelmien hienovaraisuuteen. Rikosten käytännön suorittaminen on pirstoutunut usean toisistaan täysin riippumattoman toimijan tekemäksi. Osa rikosten tekijöistä on erikoistunut suorittamaan ainoastaan tietyn osa-alueen tietoverkkorikoksesta. Tietoverkkorikosten tekeminen ei ole harrastelua, vaan toiminta on muuttunut ammattimaiseksi. Tietoverkkorikosten ehkäisemisen kannalta on tärkeää huomata, että tekojen tavoitteena on tuottaa tekijöilleen taloudellista hyötyä. Jos taloudellinen hyötyminen tietoverkkorikoksista pystytään tavalla tai toisella estämään, vähentää se myös tekijöiden halukkuutta rikosten tekemiseen. Toinen tietoverkkorikosten ehkäisemiseksi keskeinen tekijä on tekijöiden kiinnijäämis- ja tuomitsemisriskin kasvattaminen. Tekijöiden saattaminen edesvastuuseen on kuitenkin tietoverkkorikosten ominaispiirteistä johtuen erittäin haastavaa. 2.1 Yleistä verkkorikosmarkkinoista Tietoverkkorikosten tekemiseen tarvittavien palveluiden hankkiminen edellyttää paikkaa, jossa rikosten tekijät voivat ostaa ja myydä tuotteitaan sekä palveluitaan. Myytävä hyödyke voi olla esimerkiksi valmis haittaohjelma tai varastetuista tiedoista muodostettu roskapostin lähettämiseen käytettävä sähköpostiosoitelista. Tarjottava palvelu voi puolestaan olla esimerkiksi varastettujen tietojen hyödyntäjälle tarjottava jälkien peittämispalvelu. Tällaista tietoverkkorikoksiin liittyvää kaupankäyntiä harjoitetaan erilaisilla verkkorikosmarkkinoilla, kuten keskustelupalstoilla ja IRC-kanavilla. Näillä tiedonvaihtopaikoilla verkkorikosten eri osa-alueisiin erikoistuneet yksittäiset toimijat ja toimijaryhmittymät voivat myydä omia hyödykkeitään niistä kiinnostuneille ostajille. Verkkorikosmarkkinat eivät yleensä ole kaikille avoimia. Erityisesti laadukkaammille kauppapaikoille pääseminen edellyttää tyypillisesti myönnettyä jäsenyyttä. Jäsenyyden saaminen voi edellyttää esimerkiksi vertaisryhmän an- 2

tamaa suositusta ja hyväksyntää. Vaihtoehtoisesti jäsenehdokkaalta voidaan edellyttää esimerkkejä tämän markkinoille tarjoamista hyödykkeistä. Markkinoille hyödykkeitä tarjoavat toimijat voivat olla kokonaan ilman kytköksiä toimivia yksittäisiä henkilöitä, tai vaihtoehtoisesti ne voivat olla myös suuremmasta henkilöjoukosta muodostuvia ryhmittymiä. Palveluitaan tarjoavien toimijoiden välisestä keskinäisestä organisoitumisesta verkkorikosmarkkinoilla on esitetty erilaisia arvioita jo pitkään. Pääsääntöisesti organisoitumisen on uskottu olevan varsin vähäistä. Symantecin vuonna 2008 julkaisema tutkimus antoi kuitenkin viitteitä jonkinasteisen markkinat kokonaisuudessaan kattavasta yhteistoiminnasta ja organisoitumisesta erityisesti toimintaa ohjaavalla tasolla 1. 2.2 Markkinoiden lähestyminen roolinäkökulmasta Verkkorikosmarkkinoita voidaan kuvata sinne palveluitaan tarjoavien toimijoiden roolien näkökulmasta. Jaottelulla pyritään toisaalta korostamaan tietoverkkorikosten pirstoutumista useamman toisistaan riippumattoman toimijan suorittamaksi ja toisaalta selkiyttämään tietoverkkorikosta kokonaisuutena. Roolit ovat ainoastaan toiminnallisten kokonaisuuksien hahmottamisen helpottamiseksi tehtyjä yleistyksiä. Esitettyyn rooliin kuuluvien toimenpiteiden suorittajina voi siten käytännössä olla lukuisia eri toimijoita, tai vastaavasti yksi toimija voi vastata kaikista rikoksen osa-alueista. 2.2.1 Tietojen kerääjä Esimerkki tietojen keräämiseen liittyvistä rooleista Tietojen kerääjän tavoitteena on tavalla tai toisella varastaa sähköisten palveluiden käyttäjien luottamuksellisia tietoja. Toiminnassaan tietojen kerääjä voi hyödyntää merkittävissä määrin verkkorikosmarkkinoiden muita toimijoita. Kerääjä voi esimerkiksi ostaa tietojen varastamiseen käytettävän haittaohjelman 1 Symantec Report on the Underground Economy July 07 June 08, sivu 8 3

suoraan haittaohjelman kirjoittajalta ja levittää sen käyttäjien päätelaitteille haittaohjelman levityskanavan haltijan ylläpitämää bottiverkkoa hyväksikäyttäen. Tietojen kerääjä ei välttämättä hyödynnä varastamiaan tietoja itse, vaan hän myy ne verkkorikosmarkkinoilla edelleen tietojen varsinaiselle hyödyntäjälle. Tietojen kerääjän toiminta voi kerättävistä tiedoista riippuen täyttää ainakin rikoslaissa kriminalisoidun henkilörekisteririkoksen 2 ja yritysvakoilun 3 tunnusmerkistön. 2.2.2 Haittaohjelman kirjoittaja Haittaohjelman kirjoittaja voi tarjota ostettavaksi kokonaan uutta haittaohjelmaa tai jo olemassa olevan ohjelman muokkaamista sellaiseksi, että virustorjuntaohjelmat eivät sitä tunnista. Kirjoittaja voi lisätä ohjelmaan myös kokonaan uusia toiminnallisuuksia. Rikoslaissa kriminalisoidaan tietojenkäsittelyä vaarantamaan tai vahingoittamaan suunnitellun tai muunnetun ohjelman taikka ohjelmakäskyjen sarjan maahantuonti, valmistaminen, myyminen ja muu levittäminen 4. Myös tällaisen ohjelman hallussapito on säädetty rangaistavaksi 5. 2.2.3 Levityskanavan haltija Levityskanavan haltijan verkkorikosmarkkinoille tarjoamana palveluna on tietoverkkorikoksen tekovälineen levittäminen rikoksen uhreille. Haittaohjelma voidaan levittää esimerkiksi bottiverkon avulla, murretun tai muuten hallintaan saadun www-palvelun avulla tai piilottamalla haittaohjelma vertaisverkossa jaettavaan tiedostoon. Vastaavasti verkkourkintaviesti voidaan levittää uhreille käyttäen bottiverkkoa urkintasähköpostin lähettämiseen. Tietoverkkorikoksen tekovälineen levittäminen roskapostin, www-palvelun tai vertaisverkon avulla voi täyttää rikoslaissa tarkoitetun vaaran aiheuttamisen tietojenkäsittelylle tunnusmerkistön 6. Haittaohjelman ja verkkourkintaviestin levittäminen roskapostin avulla voi täyttää lisäksi rikoslaissa tarkoitetun tietoliikenteen häirinnän tunnusmerkistön 7. Verkkourkintaviestien levittäminen voi täyttää myös maksuvälinepetosten valmistelun tunnusmerkistön 8. Haittaohjelman asentuminen käyttäjän päätelaitteelle ilman käyttäjän suostumusta tai käyttäjää erehdyttämällä voi täyttää ainakin luvattoman käytön tunnusmerkistön 9. Jos levitettävä haittaohjelma seuraa myös käyttäjän viestintää, voi asentaminen käyttäjän päätelaitteelle täyttää myös viestintäsalaisuuden loukkauksen tai sen yrityksen tunnusmerkistön 10. 2 Rikoslaki 38:9 3 Rikoslaki 30:4 4 Rikoslaki 34:9a 5 Rikoslaki 34:9b 6 Rikoslaki 34:9a 7 Rikoslaki 38:5 8 Rikoslaki 37:11 9 Rikoslaki 28:7 10 Rikoslaki 38:3 4

2.2.4 Tietojen hyödyntäjä 2.2.5 Jälkien peittäjä Jos tietojen hyödyntäjä ei ole itse kerännyt toimintansa edellyttämiä tietoaineistoja, on hyödyntäjän hankittava verkkorikosmarkkinoilta tietojen kerääjän muodostama valmis tietopaketti. Käyttäjien tietojen varastamiseen liittyvissä tietoverkkorikoksissa rikolliset eivät ole kiinnostuneita itse tiedoista, vaan rikollisten tavoitteena on ansaita tiedoilla rahaa. Siten myös eri tietoaineistojen arvo riippuu siitä, kuinka paljon ja kuinka helposti niiden avulla voidaan hankkia taloudellista hyötyä. Kerättyjen tietojen muuttaminen rahaksi voi tapahtua tietojen luonteesta riippuen lukemattomilla eri tavoilla. Esimerkiksi CVV2-numerolla varustettujen luottokorttitietojen hyödyntäminen voi tapahtua valmistamalla väärennettyjä luottokortteja eteenpäin myytäväksi tai tilaamalla puhelimitse ja verkkopalveluista erilaisia rahaksi muutettavissa olevia tuotteita. Pankkitilin kirjautumistietojen hyödyntäminen voi puolestaan tapahtua esimerkiksi siirtämällä tilillä olevia varoja suoraan eteenpäin. Rikosten tunnusmerkistöjen täyttyminen riippuu tietojen luonteesta, ja siitä, millä tavoin kerättyjä tietoja hyödynnetään. Tyypillisiä tunnusmerkistöjä voivat olla esimerkiksi petos ja luvaton käyttö. Suomessa ei muistiota laadittaessa ole kriminalisoitu identiteettivarkautta. Tietoverkkorikoksen haastavimpana osana voidaan pitää kiinnijäämisen välttämistä varastettuja tietoja hyödynnettäessä, sillä hyödyntämisestä jää tyypillisesti erilaisia seurattavissa olevia jälkiä. Jälkien avulla väärinkäytetyt tiedot voidaan yhdistää esimerkiksi varastetuilla luottokorttitiedoilla tilatun hyödykkeen vastaanottaneeseen henkilöön. Yleisin tapa jälkien peittämiseen on niin kutsuttujen muulien käyttäminen. Muulien tehtävänä on varsinaisten tekijöiden häivyttäminen toimimalla välikätenä siirrettäessä rikoksen avulla kerättyjä varoja ja tavaroita palvelusta tekijöille. Esimerkiksi rikoksen uhrin pankkitililtä siirrettyjen varojen seuraamista voidaan vaikeuttaa sopimalla muulin kanssa, että tämä lähettää uhrin tililtä muulille saapuneet varat pientä korvausta vastaan edelleen rikollisten määrittelemälle tilille. Vastaavasti muulin kanssa voidaan sopia luottokortilla muulin osoitteeseen tilattujen tuotteiden edelleen lähettämisestä. 11 Kun muuleja ketjutetaan riittävästi useiden maiden ja erilaisten oikeusjärjestelmien kautta, muodostuu rikollisten kiinnisaaminen ja rikoshyödyn palauttaminen ilman nopeaa, tehokasta ja kattavaa kansainvälistä viranomaisyhteistyötä erittäin haastavaksi. Muulin kannalta toiminnassa on ongelmallista se, että heidät on toiminnan luonteesta johtuen yleensä helppo jäljittää. Kaikki muuleina toimivat eivät välttämättä aina edes miellä osallistuvansa rikolliseen toimintaan, vaan heidät on erehdytetty kuvittelemaan toimivansa osana normaalia yritystä. Muulina toimiminen voi täyttää esimerkiksi rahanpesurikoksen tunnusmerkistön 12. 11 DotCrime Manifesto, Phillip Hallam-Baker, 2008, s. 6-10 12 Rikoslaki 32:6 5

2.3 Esimerkki tietojen varastamisesta Tietojen keräämisrikoksen eteneminen Punaiset nuolet kuvaavat haitallista verkkoliikennettä ja siniset nuolet rikoksen uhrin normaalia liikennettä. Rikoksen käytännön eteneminen voidaan kuvata seuraavasti: 1. Tekijä toimittaa vakoiluohjelman jaeltavaksi murretulle wwwpalvelimelle ja antaa bottiverkolle käskyn aloittaa palvelimelle linkin sisältävien roskapostiviestien lähettäminen. 2. Bottiverkko lähettää tekijän valitseman roskapostiosoitelistan määrittelemälle vastaanottajajoukolle roskapostiviestejä, jotka sisältävät linkin murretulle palvelimelle. 3. Uhri seuraa roskapostiviestin sisältämää linkkiä palvelimelle. Vakoiluohjelma asentuu käyttäjän päätelaitteelle. 4. Uhri käyttää muita verkon palveluita tietämättä, että vakoiluohjelma tarkkailee kaikkea koneen käyttöä. 5. Vakoiluohjelma lähettää käyttäjän varastamansa tiedot tekijän määrittelemälle lokipalvelimelle. Lokipalvelimella tarkoitetaan sitä palvelinta, minne haittaohjelman on käsketty lähettää varastamansa käyttäjän tiedot. Lokipalvelin sijaitsee tyypillisesti joko murretulla ulkomaisella palvelimella tai sellaisen ulkomaisen palveluntarjoajan palvelussa, josta ei ole saatavissa palvelun käyttäjätietoja. 6. Lokipalvelinta voidaan käyttää myös haittaohjelman hallintaan käytettävänä komentopalvelimena. Komentopalvelimen avulla haittaohjelman ylläpitäjä voiesimerkiksi päivittää haittaohjelmaa tai käskeä sen suorit- 6

tamaan haluamiaan toimenpiteitä. Tällainen toimenpide voi olla esimerkiksi tietojen varastaminen tai roskapostiviestien lähettäminen. 7. Tekijä hakee lokipalvelimelle kerätyt tiedot käyttöönsä. 8. Tekijä käyttää kerättyjä tietoja hyväkseen uhrin käyttämässä palvelussa. Tietojen luonteesta riippuen niitä voidaan mahdollisesti hyväksikäyttää myös muissa palveluissa. 9. Tekijä häivyttää jälkensä kierrättämällä palvelun kautta hankkimansa hyödykkeet muulien kautta. Aiemmin kuvattujen roolien mukaisista suoritteista valmisteluvaiheeseen sijoittuvat ainakin osittain tietojen kerääjän, haittaohjelman kirjoittajan ja levityskanavan haltijan toimenpiteet. Toteutusvaiheeseen sijoittuvat puolestaan tietojen kerääjän tietojen varastamiseksi suorittamat toimenpiteet. Tietojen hyödyntämisvaiheeseen liittyvät puolestaan esitellyistä rooleista tietojen hyödyntäjien ja jälkien peittäjien toimenpiteet. 2.4 Varastettavat tiedot 2.4.1 Kerättävät tiedot Tietoverkkorikosten avulla voidaan kerätä käytännössä kaikkia viestintäverkkoihin kytketyissä päätelaitteessa käsiteltäviä tai säilytettäviä tietoja. Esimerkiksi haittaohjelman avulla tietoja voidaan kerätä joko suoraan käyttäjän järjestelmästä tai vaihtoehtoisesti käyttäjän päätelaitteen lähettämistä weblomakkeista. Tiedot voivat sisältää myös viestien välittämiseen liittyviä tietoja. Tyypillisimpiä tietoverkkorikosten avulla kerättyjä tietoja: Eri palveluiden kirjautumistiedot Nimi Sähköpostiosoite Käyttäjätunnus Salasana Roskapostilistat Sähköpostiosoitteet Luottokorttitiedot Haltijan nimi Kortin numero PIN-koodi Laskutusosoite Haltijan puhelinnumero Yrityskorteissa yrityksen nimi Kortin validointikoodi (CVV2-numero) 13 Pankkitilitiedot Haltijan nimi Tilin numero Haltijan yhteystiedot Verkkopankkitunnukset ja salasanat 13 Kortin validointitiedolla tarkoitetaan kortin takana olevaa tunnistetta, jota käytetään puhelin- ja verkkomaksamisessa. Luottokorttitiedot, joiden CVV2-koodi on tiedossa, ovat yleensä helpoimmin hyödynnettävissä. Siksi ne myydään yleensä erikseen kalliimpaan hintaan. 7

Identiteettitiedot Nimi Syntymäaika Henkilötunnus Osoite Puhelinnumero Ajokortin numero Passin numero 2.4.2 CERT-FI:n käsittelemät tapaukset CERT-FI käsitteli 1.1.2008-31.8.2009 noin 1800 yksittäiseen käyttäjään kohdistuvaa varastettua tietoyksikköä. Tietojen jakautuminen teleyritysten, pankkien, julkisyhteisöjen ja muiden sähköisten palveluntarjoajien palveluiden välillä ilmenee oheisesta tietojen jakautumista kuvaavasta taulukosta. Tapausten jakautuminen palveluntarjoajittain Tyypillisesti CERT-FI:n vastaanottamat tiedot ovat haittaohjelmien avulla varastettuja suomalaisten käyttäjien kirjautumistietoja erilaisiin sähköisiin palveluihin. CERT-FI välittää vastaanottamansa tiedot tunnistamilleen sähköisten palveluiden tarjoajille, jotka voivat niiden avulla ryhtyä tarvittaviin toimenpiteisiin lisävahinkojen syntymisen estämiseksi. Merkittävä osa kaikista CERT-FI:n yllämainittuna ajanjaksona käsittelemistä tapauksista kohdistui yhden suomalaisen yrityksen tarjoamaan kansainväliseen palveluun. Valtaosan tapausten kokonaismäärästä muodostavat siten kyseisen palvelun ulkomaalaiset käyttäjät. Aineistoa tarkasteltaessa merkillepantavaa on myös se, että pankkipalveluiden kirjautumistiedot muodostavat varsin pie- 8

nen osan tiedoista. Luottokorttitiedot puuttuvat CERT-FI:n vastaanottamista tiedoista kokonaan, sillä niille on olemassa muita vakiintuneita raportointikanavia. CERT-FI:n arvion mukaan se saa käyttöönsä vain erittäin pienen osan kaikista suomalaisilta käyttäjiltä varastetuista tiedoista. Lisäksi on esitetty arvioita, että merkittävä osa käyttöön saaduista tiedoista on saatu lähteistä, jotka tiedot kerännyt rikollinen on ehtinyt jo puhdistaa rahanarvoisesta aineistosta. Tapausten ajallinen jakautuminen Käsiteltyjen tietojen ajallista jakautumista tarkastelemalla voidaan huomata, että käsiteltyjen tapausten määrä vaihtelee merkittävästi. Vaihtelu johtuu muun muassa siitä, tietoja ei saada mistään säännönmukaisesta lähteestä, vaan niitä toimitetaan CERT-FI:lle jonkin sen kansainvälisen yhteistyökumppanin saatua suomalaisia käyttäjiä koskevia tietoja käsiinsä. Yhteistyökumppanit ovat voineet saada tiedot esimerkiksi tietojen keräämiseen käytetyiltä lokipalvelimilta. Käyttöön saatavien tietojen kokonaismäärän voidaan arvioida olevan laskemassa. Määrän laskeminen ei CERT-FI:n arvion mukaan kuitenkaan johdu tehtyjen rikosten määrän vähenemisestä. Lasku johtuu pikemminkin siitä, että aikaisempaa pienempi osa varastetuista tiedoista saadaan viranomaisten käyttöön. Tämä taas johtuu muun muassa siitä, että rikolliset suojaavat lokipalvelimet esimerkiksi salasanoilla toisten rikollisten ja viranomaisten tiedonhakutoimintojen varalta. 9

3 Viranomaiset vastuualueineen Tietovarkauksien ja niihin liittyvien tietoturvaloukkausten aiheuttamien vahinkojen ennaltaehkäisy ja selvittäminen sekä vahinkojen minimointi vaatii viranomaisista ainakin CERT-FI:n, poliisin ja tietosuojavaltuutetun toimiston yhteistyötä. Näistä jokaisella on yhteisenä vastuunaan tietovarkauksien ja niihin liittyvien tietoturvaloukkausten ennaltaehkäiseminen muun muassa palveluiden käyttäjien tietoisuutta kasvattamalla. Kullakin viranomaisista on kuitenkin selvästi omat vastuualueensa. Tietoverkkorikoksen tapahtumisen jälkeen keskeisin rooli varsinaisten tietoverkkorikosten tutkinnassa on poliisilla. Rikokseen liittyvissä tietoturvaloukkauksissa päävastuu kuuluu CERT-FI:lle. Tietosuojavaltuutetun toimiston vastuut liittyvät pääasiassa henkilötietojen käsittelyn valvontaan ja erilaisten lausuntojen antamiseen. Viranomaisten välinen yhteistyö on välttämätöntä sekä tietoverkkorikosta edeltävässä että sen jälkeisessä vaiheessa. Ennen tietoverkkorikoksen tapahtumista yhteistyön painopiste on tiedottamisessa ja toimivien käytäntöjen muodostamisessa. Tietoverkkorikoksen jälkeen painopiste on tehokkaan ja tarkoituksenmukaisen tiedonvaihdon varmistamisessa. Tietoturvaloukkausten käsittelyn osalta CERT-FI:n roolia korostaa tietoturvaloukkausten kansainvälinen luonne. Vuonna 2009 voimaantullutta sähköisen viestinnän tietosuojalain muutosta valmisteltaessa otettiin tietoturvatoimenpiteet määrittelevän pykälän osalta erityisesti huomioon yhteiskunnan elintärkeiden toimintojen kiinteä riippuvuus viestintäverkoista, viestintäpalveluista ja tietojärjestelmistä. Sääntelyn lähtökohdaksi otettiin se, että tietoturvauhkien haittavaikutukset on pystyttävä minimoimaan Suomessa suoritettavilla toimenpiteillä, sillä ulkomaisiin toimijoihin ja järjestelmiin voidaan vaikuttaa vain rajallisesti. Kansallisten toimenpiteiden suorittaminen edellyttää tehokasta ja kattavaa yhteistyöverkostoa. CERT-FI on muun muassa suositellut teleyrityksille huijauspalvelimille suuntautuvan liikenteen suodattamista 14. 3.1 Viestintäviraston CERT-FI-yksikkö CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen. Sähköisen viestinnän tietosuojalain mukaan CERT-FI:n tehtävänä on kerätä tietoa verkko-, viestintä- ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista, selvittää palveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista 15. Lisäksi Viestintävirasto ja Huoltovarmuuskeskus ovat sopineet huoltovarmuuden turvaamisesta Suomeen sijoittuneiden energiayritysten, teollisuuden, pankki- ja vakuutusyhtiöiden, valtakunnallisten kauppaketjujen sekä muiden yhteiskunnan elintärkeiden toimintojen kannalta keskeisten toimijoiden eduksi. Toiminta perustuu Viestintäviraston ja Huoltovarmuuskeskuksen välille solmit- 14 http://www.ficora.fi/index/saadokset/tulkinnat/teletoiminta.html 15 SVTsL 31 10

3.2 Poliisi tuun sopimukseen tietoturvapalveluiden tarjoamisesta. Sopimuksen perusteella CERT-FI tarjoaa yhteiskunnan elintärkeiden toimintojen kannalta keskeisille toimijoille tietoturvauhkien analysointipalveluita, tietoturvaloukkausten havainnointi- ja ratkaisupalveluita sekä koulutus- ja koordinointipalveluita. CERT-FI ottaa vastaan ilmoituksia tietoturvaloukkauksista tai niiden uhkasta sekä avustaa asiakkaitaan suojautumaan tietoturvaongelmien haitallisilta vaikutuksilta. Keskeisille asiakasorganisaatioille, kuten ilmoitusvelvollisille teleyrityksille sekä valikoiduille yhteistyökumppaneille tarjotaan ympärivuorokautista päivystyspalvelua. CERT-FI avustaa ja neuvoo erityisesti seuraavissa asioissa: Tietoturvaloukkausepäilyn tai tietoturvauhan todentaminen Tietoturvaongelman laajuuden ja vakavuuden selvittäminen Tapahtuman alkuperäisen syyn tai mahdollistajan selvittäminen Yhteydenotto muihin tapahtumaan osallisiin Yhteydenotto muihin tapauksen selvittämisessä välttämättömiin tahoihin Avustaminen muiden viranomaisten kanssa asioinnissa Tiedotteiden laatiminen Tietoturvaongelman vaikutuksen rajaamiseen tähtäävien toimenpiteiden ohjaaminen Tietojärjestelmän turvaaminen tunnetuilta tietoturvauhilta Jatkotoimenpidesuunnitelman laatiminen CERT-FI:n toiminta tähtää ensisijaisesti yleisten viestintäverkkojen ja - palvelujen turvallisen ja häiriöttömän toiminnan varmistamiseen sekä yhteiskunnan elintärkeiden toimintojen turvaamiseen. CERT-FI:n toiminnan päätavoitteena on tiedonkeruulla ja tiedottamisella ennaltaehkäistä viestintäverkkojen kautta viestintä- tai lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja selvittää niitä, jotta loukkauksia pystytään jatkossa estämään ja niistä toipumaan. Tämän pidemmälle menevä rikosten esitutkinta kuuluu poliisille. CERT-FI ylläpitää myös kansallista tietoturvallisuuden tilannekuvaa. Tilannekuvan tuottamiseksi CERT-FI vastaanottaa ja kerää tietoa tietoturvatilanteeseen vaikuttavista tapahtumista ja ilmiöistä. Tietojen pohjalta synnytetään arvio Suomeen ja suomalaisiin kohdistuvasta uhkasta. Mikäli aihetta ilmenee, tietoa jaetaan julkisina tiedotteina ja varoituksina tai kohdennetusti niille, joita asia koskee. Jakelun laajuuteen vaikuttaa paitsi vaatimukset tietojen salassapidolle myös arvio jakelun vaikuttavuudesta. Poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen. Poliisin on suoritettava myös muut sille erikseen säädetyt tehtävät ja annettava jokaiselle tehtäväpiiriinsä kuuluvaa apua. Poliisin toimivaltuudet ja toiminnassa noudatettavat keskeiset periaatteet on määritelty pääasiassa poliisi-, pakkokeino- ja esitutkintalaeissa. Poliisin toimivaltuuksia säädettäessä on otettu huomioon perus- ja ihmisoikeudet sekä Suomen poliisin mahdollisuudet tehdä tehokasta kansainvälistä rikostorjuntayhteistyötä. Lainsäädäntöä täydennetään asetuksin sekä sisäasiainministeriön määräyksin. 11

Keskusrikospoliisi on poliisin valtakunnallinen yksikkö, jonka tehtävänä on torjua kansainvälistä, järjestäytynyttä, ammattimaista, taloudellista ja muuta vakavaa rikollisuutta, suorittaa tutkintaa sekä kehittää rikostorjuntaa ja rikostutkintamenetelmiä. Keskusrikospoliisin tehtävänä tietotekniikkarikoksissa on muun muassa tutkia vakavimpia rikoksia, kouluttaa muuta poliisikuntaa selvittämään tietotekniikkaympäristössä toteutettuja rikoksia, seurata kehitystä ja tunnistaa uusia rikosilmiöitä sekä avustaa tarvittaessa viranomaisia digitaalisen todistusaineiston hankinnassa ja käsittelyssä. 3.3 Tietosuojavaltuutetun toimisto Tietosuojavaltuutetun keskeisenä tehtävänä on valvoa, että henkilötietoja käsitellään lainmukaisesti 16. Lisäksi tietosuojavaltuutetun tehtävänä on käsitellä ja ratkaista henkilötietojen ja luottotietojen käsittelyä koskevat asiat, seurata henkilötietojen ja luottotietojen käsittelyn yleistä kehitystä ja tehdä tarpeelliseksi katsomiaan aloitteita, huolehtia toimialaansa kuuluvasta tiedotustoiminnasta sekä henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä. Viranomaisen on varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä. Virallisen syyttäjän on ennen henkilötietolain vastaista menettelyä koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 17 Lisäksi virallisen syyttäjän on rikoslain nojalla ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa tai henkilörekisteririkosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 18 3.4 CERT-FI:n tiedonsaantikanavat Aikaisemmin kuvatulla tavalla CERT-FI:n lakisääteisenä tehtävänä on kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista 19. CERT-FI:n toiminnan erityispiirteistä sekä sen kansainvälisen yhteistyöverkoston tehokkuudesta ja kattavuudesta johtuen CERT-FI on usein ensimmäinen viranomainen Suomessa, joka saa tiedon käynnissä olevasta tieturvaloukkauksesta tai tietoverkkorikoksesta. Tästä johtuen CERT-FI:n saamien tietojen nopea ja tarkoituksenmukainen edelleen jakeleminen on ensiarvoisen tärkeää tekojen haitallisten seuraamusten minimoimiseksi. 16 Henkilötietolaki 38.1 17 Henkilötietolaki 41 18 Rikoslaki 38:10.3 19 SVTsL 31.1,2 12

CERT-FI:n tiedonsaantikanavat 3.4.1 Sähköisen viestinnän tietosuojalain nojalla tehdyt ilmoitukset Teleyritykset ovat velvollisia ilmoittamaan Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen 20. CERT-FI kannustaa myös muita kuin lakisääteisen ilmoitusvelvollisuuden piiriin kuuluvia tietoturvaloukkauksen uhreiksi joutuneita toimijoita ilmoittamaan asiasta CERT-FI:lle. Vapaaehtoisesti ilmoituksen tekeviä toimijoita voivat olla esimerkiksi viestintäverkkoja toiminnassaan hyödyntävät yritykset ja erilaisten internetpalveluiden ylläpitäjät, jotka haluavat esimerkiksi apua tietoturvaloukkauksesta toipumiseen. Ilmoitukset sisältävät tyypillisesti muun muassa seuraavia tietoja: Mikä taho loukkauksen tai uhan on aiheuttanut Miten tietoturvaloukkaus on aiheutettu Kuinka laajat tietoturvaloukkauksen vaikutukset ovat Toimenpiteet, joihin teleyritys on ryhtynyt tai aikoo ryhtyä vastaavien loukkausten, uhkien tai niiden vahingollisten seurausten ehkäisemiseksi. CERT-FI käsittelee vastaanottamansa ilmoitukset aina luottamuksellisesti. Kaikki CERT-FI:lle luovutetut tiedot ovat julkisuuslain nojalla salassa pidettäviä 21. Tietoturvaloukkauksen käytännön selvittämismahdollisuuksien turvaamiseksi on kuitenkin usein perusteltua, että CERT-FI:lle annetaan oikeus luovuttaa tietoja edelleen luotetuille yhteistyökumppaneilleen. Viestintäviraston vastaanottamista ilmoituksista voidaan luovuttaa edelleen yleisluontoisia muiden tahojen toimintaa edistäviä tietoja, joista ilmoituksen tekijää ei voida tunnistaa. Lisäksi CERT-FI kehottaa tietoverkkorikosten uhreja rutiininomaisesti tekemään asiasta rikosilmoituksen poliisille. 20 SVTsL 21 21 Julkisuuslaki 24 :n 7 ja 20 kohdat 13

3.4.2 Sähköisen viestinnän tietosuojalain nojalla annettavat tiedot Sähköisen viestinnän tietosuojalain nojalla Viestintävirastolla on oikeus saada tehtäviensä hoitamiseksi välttämättömät tiedot muun muassa teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta sekä tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta. 22 Tiedonsaantioikeus ei koske luottamuksellisia viestejä, tunnistamis- tai paikkatietoja. Lisäksi Viestintävirastolle on säädetty oikeus saada tarpeelliset tunnistamis- ja paikkatiedot verkko-, viestintä- ja lisäarvopalvelun vika- tai häiriötilanteiden tai laskutukseen liittyvien epäselvyyksien selvittämiseksi. Viestintävirastolla on oikeus saada tehtävien hoitamiseksi tunnistamistiedot ja laissa tarkemmin yksilöidyt viestit, jos tietojen saaminen on tarpeen tunnistamistietojen käsittelyn valvomiseksi tai merkittävien tietoturvaloukkausten ja - uhkien selvittämiseksi. Tietojen saaminen edellyttää kuitenkin, että Viestintäviraston arvion mukaan on syytä epäillä, että jokin laissa yksilöidyistä rikosten tunnusmerkistöistä täyttyy. 23 Säännöksen mukaan tietojen saantiin oikeuttavia rikoksia ovat sähköisen viestinnän tietosuojarikkomus 24, luvaton käyttö 25, vaaran aiheuttaminen tietojenkäsittelylle 26, vahingonteko 27, salassapitorikos 28, viestintäsalaisuuden loukkaus 29, tietoliikenteen häirintä 30, tietomurto 31, suojauksen purkujärjestelmärikos 32 sekä henkilörekisteririkos 33. Viestintävirastolla on oikeus käsitellä saamiaan tietoja ainoastaan sähköisen viestinnän tietosuojalaissa säädettyjen tehtäviensä hoitamiseksi 34. Viestintävirasto ei luovuta saatuja tietoja edelleen ilman osapuolen suostumusta laissa nimenomaisesti yksilöityjä tilanteita lukuun ottamatta. 3.4.3 Yhteistyöverkosto Merkittävä osa CERT-FI:n käytettävissä olevista tiedoista saadaan vastavuoroisuuden periaatteella sen kansallisen ja kansainvälisen yhteistyöverkoston kautta. Tiedot voivat sisältää käytännössä kaikkia tietoverkkorikosten yhteydessä kertyviä tietoaineistoja. Kansainvälinen tiedonvaihto ei pääsääntöisesti perustu sopimuksiin, vaan se tapahtuu toimijoiden keskinäisen yhteistyön ja luottamuksen perusteella. Tiedonvaihto perustuu jossain määrin myös CERT-FI:n virkamiesten kansainvälisiin toimijoihin muodostamiin henkilökohtaisiin suhteisiin. Kansainvälinen yhteistyöverkosto muodostuu kattavasta joukosta erilaisia tietoturvatoimijoita. CERT-FI vastaanottaa kansainvälisten tiedonsaantikanaviensa kautta muun muassa seuraavia tietoja: 22 SVTsL 33.1 23 SVTsL 33.1-2 24 SVTsL 42.2 25 Rikoslaki 28:7 26 Rikoslaki 34:9 27 Rikoslaki 35:1,2 28 Rikoslaki 38:1 29 Rikoslaki 38:3 30 Rikoslaki 38:5 31 Rikoslaki 38:8 32 Rikoslaki 38:8 a 33 Rikoslaki 38:9 34 SVTsL 33.4 14

Suomalaisissa verkoissa olevat saastuneet päätelaitteet Haittaohjelmien avulla kerätyt tiedot o Käyttäjätunnus o Salasana o Käytetty palvelu Haittaohjelmien käyttämien lokipalvelinten sijainti Käynnissä olevat tietoturvaloukkaukset tai niiden uhat Tietoturvaloukkausten trendit Kansainvälisten kanavien kautta saadut tiedot voivat olla jo varsin pitkälle muokattuja ainoastaan suomalaisia verkkoja ja käyttäjiä koskevia yksityiskohtaisia tietoja tai ne voivat olla myös tarkempaa analysointia vaativaa raakadataa. Kansallinen yhteistyöverkosto muodostuu pääasiassa muista suomalaisista tietoturvatoimijoista ja teleyrityksistä. Kansallisten kanavien kautta CERT-FI saa muun muassa seuraavia tietoja: Tietoturvaloukkausten trendit erityisesti Suomessa Suomalaisissa verkoissa tapahtuneet tietoturvaloukkaukset ja niiden uhat Yhteistyöverkostolta saatujen tietojen edelleen luovuttamisedellytykset riippuvat tietojen luonteesta. Tiedot ovat tyypillisesti salassa pidettäviä sähköisen viestinnän tietosuojalain tai julkisuuslain nojalla. Lähtökohtana voidaan pitää sitä, että tällaiset tiedot voidaan luovuttaa edelleen ainoastaan tiedot luovuttaneen tahon antamalla suostumuksella. Osa tiedoista voidaan kuitenkin luovuttaa myös salassapito-olettaman sallimissa rajoissa ja osa voi olla jo lähtökohtaisesti julkisia. 3.4.4 Oma tiedonhankinta CERT-FI:n omaa tiedonhankintaa tapahtuu muun muassa julkisia lähteitä seuraamalla ja haittaohjelmia analysoimalla. Julkisista lähteistä hankitut tiedot eivät pääsääntöisesti ole salassa pidettäviä. Julkisuusaste määräytyy kuitenkin viime kädessä tietojen luonteen perusteella. Siten osa tiedoista, kuten haittaohjelman käyttämältä lokipalvelimelta haettavat tiedot, voivat olla salassa pidettävä esimerkiksi julkisuuslain perusteella. 3.5 CERT-FI:n tietojen jakeleminen 3.5.1 Jakelukanavat CERT-FI:n lakisääteisenä tehtävänä on selvittää verkko-, viestintä- ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista 35. CERT-FI pyrkii jakamaan lainsäädännön sallimissa rajoissa käytettävissään olevan tiedon sitä tarvitseville toimijoille. Pakottava lainsäädäntö asettaa kuitenkin reunaehtoja CERT-FI:n käytettävissä olevien tietojen luovuttamiselle. 35 SVTsL 31.1,3-4 15

Tietojen luovuttamismahdollisuudet riippuvat muun muassa tietojen luonteesta sekä tiedot vastaanottavan tahon laissa säädetyistä erityisistä tiedonsaantioikeuksista ja lakisääteisistä tehtävistä. CERT-FI:n käytettävissä olevien tietojen käsittelyä ja luovuttamista säännellään sähköisen viestinnän tietosuojalaissa ja julkisuuslaissa. Sähköisen viestinnän tietosuojalaki sisältää CERT-FI:n saamia viestejä ja tunnistamistietoja koskevan nimenomaisen salassapitosäännöksen 36. Lisäksi laissa annetaan CERT- FI:lle oikeus luovuttaa tietoja muun muassa tietoturvaloukkausten kohteiksi joutuneille teleyrityksille ja muussa valtiossa toimiville viranomaisille tai muille tahoille, joiden tehtävänä on ennalta ehkäistä tai selvittää viestintäverkkoihin ja -palveluihin kohdistuvia tietoturvaloukkauksia. Muilta osin CERT-FI:n tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa 37. CERT-FI:n käytössä olevat jakelukanavat kuvataan alla olevassa kuvassa. 3.5.2 Käytännön toiminta CERT-FI:n tiedonjakelukanavat CERT-FI:n käytännön toimenpiteiden eteneminen sen saatua tiedon tietovarkaudesta on esitetty seuraavassa taulukossa. 36 SVTsL 34.1 37 SVTsL 34.2 16

CERT-FI:n toimenpiteiden vaiheittainen eteneminen tietoverkkorikoksen jälkeen Tieto varastetuista tiedoista CERT- FI:lle Uhrien tiedottaminen Yhteistyökumppaneiden kontaktointi Tiedottaminen Jälkitoimet CERT-FI saa tiedot käyttöönsä (PoC tai oma tiedon hankinta) CERT-FI toimittaa tiedon varastetuista tiedoista tunnistamilleen palveluntarjoajille ja uhreille CERT-FI tiedottaa hvk-toimijoita ja viranomaisia tapahtuneesta jakaen tarvittavat tiedot edelleen CERT-FI tiedottaa asiasta yleisesti Tuki uhreille, palveluntarjoajille, viranomaisille ja muille tarvitsijoille CERT-FI:n toimenpiteiden eteneminen 1. Ensimmäisessä vaiheessa CERT-FI saa joko suoraan käyttöönsä varastetut tiedot tai vaihtoehtoisesti tiedon siitä, että tiedot ovat saatavilla jostain. Jos CERT-FI saa ainoastaan ilmoituksen tietojen saatavilla olosta, pyrkii se hankkimaan ne lainsäädännön sallimissa rajoissa käyttöönsä. 2. Toisessa vaiheessa CERT-FI pyrkii selvittämään tietojen varastamiseen liittyvät tietoturvaloukkaukset ottamalla yhteyttä niihin palveluntarjoajiin, joiden palvelua varastetut tiedot koskevat. Yhteydenoton sisältö riippuu tavasta, jolla käyttäjien tiedot on varastettu. Tyypillisessä yhteydenotossaan CERT-FI pyytää palveluntarjoajia tiedottamaan tietovarkauden kohteeksi joutuneita käyttäjiään tietovarkaudesta. Samalla palveluntarjoajia pyydetään tiedottamaan käyttäjiä näiden käyttämässä päätelaitteessa mahdollisesti olevasta haittaohjelmasta näin vähentäen saastuneiden päätelaitteiden suomalaisille verkoille muodostamaa tietoturvauhkaa. 3. Kolmannessa vaiheessa CERT-FI toimittaa tiedon tapahtuneesta sellaisille viranomaisille, joiden toimintaan kyseinen tietoverkkorikos liittyy. Tieto käyttäjien tietoja varastavien haittaohjelmista toimitetaan ainakin merkittävissä tapauksissa poliisille. Samalla poliisille pyritään luovuttamaan mahdollisuuksien mukaan näiden rikoksen selvittämiseksi tarvitsemia tietoja. Lisäksi CERT-FI tiedottaa asiasta niitä huoltovarmuuskriittisiä toimijoita, joiden toimintaa tapahtunut rikos sivuaa. 4. Neljännessä vaiheessa CERT-FI tiedottaa tapahtuneesta harkintansa mukaan yleisemmin. Harkintaan vaikuttavat muun muassa tietoturvaloukkauksen vaikuttavuus ja se, onko loukkauksen ratkaisemiseksi olemassa tiedottamishetkellä tarkoituksenmukaisia välineitä. 5. Viidennessä vaiheessa CERT-FI tukee tietoturvaloukkauksen uhreja ja muita viranomaisia näiden loukkaukseen liittyvissä toimenpiteissä. 3.6 Esimerkkitilanteita CERT-FI:n toimintaa tietovarkaustilanteissa kuvataan kolmen käytännön esimerkkitapauksen avulla. 17

3.6.1 Tietojen varastaminen vakoiluohjelman avulla 3.6.1.1 Tapauksen kuvaus Käyttäjän tietokoneelle asentunut vakoiluohjelma on yksi yleisimmistä tavoista kerätä luottamuksellisia tietoja käyttäjästä. Vakoiluohjelmalla tarkoitetaan tietokoneelle käyttäjän tietämättä asentunutta haittaohjelmaa. CERT-FI on julkaissut Tietoturva nyt! -artikkelin erilaisista tietovarkaista ja sovellusistuntojen kaappaajista 38. Tyypillisesti vakoiluohjelma kerää käyttäjän tietokoneelta haittaohjelman ylläpitäjän määrittelemät tiedot. Tiedot voidaan kerätä esimerkiksi järjestelmään tallennetuista tai siinä käsiteltävistä tiedoista. Lisäksi tietoja voidaan kerätä järjestelmästä eri palveluihin lähtevästä tai niistä saapuvasta viestiliikenteestä. Haittaohjelmaa voidaan kuitenkin käyttää myös esimerkiksi käyttäjälle näytettävien sisältöjen manipuloimiseen tai istuntojen kaappaamiseen. Tietojen varastaminen haittaohjelman avulla Viestiliikenteestä kerättäviä tietoja ei tyypillisesti kerätä viestintäverkosta, vaan ne kerätään käyttäjän tietokoneen käsitellessä niitä. Esimerkiksi BZubhaittaohjelman eri variantit kaappaavat kaikki saastuneen tietojärjestelmän lähettämät http post -viestit, jotka sisältävät usein luottamuksellisia tietoja käyttäjästä. Vakoiluohjelma ei aina varasta pelkkiä tekstitiedostoja, vaan se voi esimerkiksi varastaa näytöllä käsiteltäviä tietoja kuvaruutukaappausten avulla. Varastamansa tiedot vakoiluohjelma lähettää ohjelman ylläpitäjän määrittelemälle lokipalvelimelle, josta tietojen varastaja voi ne hakea. 38 http://www.cert.fi/tietoturvanyt/2010/01/ttn201001281726.html 18

3.6.1.2 CERT-FI:n toimintaperuste ja lakisääteiset tehtävät CERT-FI:n toiminta tietoja kerääviin vakoiluohjelmiin liittyvissä toimenpiteissä perustuu niiden viestintäverkoille ja -palveluille muodostamasta tietoturvaloukkauksen uhasta. Koska käyttäjän tietokoneelle on voitu asentaa haittaohjelma, voidaan sitä haittaohjelman ylläpitäjän niin halutessa käyttää usein myös esimerkiksi roskapostin lähettämiseen bottiverkon osana. CERT-FI:n ensisijainen tehtävä onkin pyrkiä selvittämään ne suomalaisissa verkoissa olevat päätelaitteet, joissa on haittaohjelma tai sen asentumisen mahdollistava haavoittuvuus. Päätelaitteiden käyttäjien kontaktointi tapahtuu kerätyistä tiedoista riippuen joko teleyrityksen tai käytetyn palvelun tarjoajan toimesta. CERT-FI kerää myös yleisellä tasolla tietoja kyseessä olevasta tietoturvaloukkauksesta tai sen uhasta. Kerätyistä tiedoista muodostetun kokonaiskuvan avulla CERT-FI tiedottaa eri toimijoita itse uhasta ja näiden käytettävissä olevista suojautumiskeinoista. 3.6.1.3 Vahinkojen minimointi CERT-FI voi minimoida tietoja keräävän haittaohjelman rikoksen uhreille aiheuttamia haittoja lukuisilla eri tavoilla. CERT-FI voi esimerkiksi: 1. Pyytää loki- ja komentopalvelimen sijaintimaiden yhteistyökumppaneitaan poistamaan palvelimet tietoverkosta. 2. Kehottaa teleyrityksiä olemaan yhteydessä tietoturvaloukkauksen uhriksi joutuneeseen asiakkaaseensa. 3. Tiedottaa saastuneella päätelaitteella käytettyjen palveluiden tarjoajia murrettujen päätelaitteiden löytämiseksi. Samalla palveluntarjoaja saa tiedon siitä, keiden sen käyttäjien tilien toimintaa on syytä erityisesti seurata ja tarvittaessa myös rajoittaa. 4. Hankkia lainsäädännön sallimissa rajoissa käyttöönsä haittaohjelmien varastamat tiedot suojaamattomalta lokipalvelimelta. 5. Ilmoittaa teleyrityksille lokipalvelimen ylläpitämiseen käytetyt verkkoosoitteet niihin suuntautuvan liikenteen estämiseksi ja yhteysyrityksiä tekevien päätelaitteiden tunnistamiseksi. 6. Toimittaa kerätyt ulkomaalaisia toimijoita koskevat tiedot edelleen ulkomaalaisille yhteistyökumppaneilleen. 7. Tiedottaa asiasta yleisesti käytössään olevien kanavien välityksellä. 3.6.2 Tietojen varastaminen verkkourkinnan avulla (Phishing) 3.6.2.1 Tapauksen kuvaus Verkkourkinnalla tarkoitetaan käyttäjän manipuloinnin muotoa, jossa käyttäjältä pyritään sähköpostin tai www-sivun välityksellä saamaan luottamuksellista tietoa 39. Haluttuja ovat erityisesti kirjautumistiedot pankkipalveluihin ja luottokorttitiedot. Niiden avulla hyökkääjä voi päästä huomattaviin taloudellisiin voittoihin, sillä jo muutama uhri voi tehdä urkinnasta kannattavaa. Urkinta tapahtuu yleensä pika- tai sähköpostiviestien avulla. Viestit pyritään muokkaamaan mahdollisimman aidoiksi ja luotettavan tahon lähettämiksi. 39 Tietotekniikan sanastokeskuksen termipankki 19

Tietojen varastaminen verkkourkinnan avulla Käyttäjälle voidaan lähettää esimerkiksi sähköpostiviesti, jossa kerrotaan käyttäjän yleisesti käyttämän palvelun tarkastavan käyttäjiensä kirjautumistietoja. Käyttäjää kehotetaan kirjautumaan palveluun viestissä olevan linkin avulla ja varmentamaan omien kirjautumistietojensa oikeellisuus. Viestissä oleva linkki ei kuitenkaan ohjaa käyttäjää palveluntarjoajan omalle sivustolle, vaan verkkorikollisen luomalle palveluntarjoajan sivustoa muistuttavalle sivustolle. Tälle sivustolle päästyään käyttäjää pyydetään syöttämään rikollisen haluamat tiedot palveluun. 3.6.2.2 CERT-FI:n toimintaperuste ja lakisääteiset tehtävät CERT-FI:n toiminta verkkourkintatapauksissa perustuu urkintaviestien viestintäverkoille ja -palveluille aiheuttamasta tietoturvauhasta. CERT-FI:n ensisijainen tehtävä on pyrkiä rajoittamaan urkintaviestien viestintäverkoille ja - palveluille aiheuttamaa kuormitusta. Lisäksi CERT-FI pyrkii selvittämään verkkourkintasivuston sijainnin, sillä verkkourkintaan käytetään käytännössä aina murrettuja palvelimia. CERT-FI kerää myös yleisellä tasolla tietoja kyseessä olevasta tietoturvaloukkauksesta. Kerätyistä tiedoista muodostetun kokonaiskuvan avulla CERT-FI tiedottaa eri toimijoita itse uhasta ja näiden käytettävissä olevista suojautumiskeinoista. 3.6.2.3 Vahinkojen minimointi CERT-FI voi minimoida verkkourkinnan rikoksen uhreille aiheuttamia haittoja lukuisilla eri tavoilla. Valittavat keinot ja toimintamahdollisuudet riippuvat käytettävissä olevien tietojen luonteesta. CERT-FI voi: 20

1. Pyytää urkintapalvelimen sijaintimaan yhteistyökumppaniaan poistamaan palvelimen tietoverkosta. Jos murrettu palvelin on poikkeuksellisesti Suomessa, kohdistetaan pyyntö suomalaiselle teleyritykselle. 2. Tiedottaa asiasta urkinnan kohteena olevan palveluntarjoajaa. 3. Suositella teleyrityksille liikenteen estämistoimenpiteiden aloittamista maksuvälinepetoksen ehkäisemiseksi. 4. Toimittaa kerätyt ulkomaisia toimijoita koskevat tiedot edelleen ulkomaisille yhteistyökumppaneilleen. 5. Tiedottaa asiasta yleisesti käytössään olevien kanavien välityksellä. 3.6.3 Tietojen varastaminen palveluntarjoajalta 3.6.3.1 Tapauksen kuvaus Esimerkkeinä käytetyistä tietojenhankkimistavoista ehkä harvinaisin on tietojen varastaminen suoraan luottamuksellisia tietoja säilyttävästä palveluntarjoajan järjestelmästä. Tavan harvinaisuus johtunee ainakin siitä, että sen käyttäminen on usein varsin vaivalloista. Suoraan palveluntarjoajaan kohdistuville tietoverkkorikoksille on tyypillistä se, että teolla saadaan hankittua suuri määrä samaan palveluun kohdistuvia tietoja. Tietojen varastaminen tietomurron avulla Tietojen varastaminen suoraan palveluntarjoajalta voi tapahtua esimerkiksi murtamalla järjestelmän suojaus. Tekijät voivat käyttää murrettuja päätelaitteita viestiliikenteen välittämiseen omien jälkiensä peittämiseksi. 3.6.3.2 CERT-FI:n toimintaperuste ja lakisääteiset tehtävät CERT-FI:n toiminta tietoyhteiskunnan palveluihin kohdistuvien tietomurtojen selvittämisessä perustuu ensisijaisesti murrettavissa olevien palvelimien viestintäverkoille ja -palveluille muodostamaan tietoturvaloukkauksen uhkaan. Koska palvelimelle pystytään murtautumaan tai niitä pystytään niissä olevan haavoittuvuuden avulla hyväksikäyttämään, voidaan sitä käyttää usein myös viestintäverkkoja ja -palveluita vaarantavasti. 21

Tietoyhteiskunnan palveluiden tarjoamiseen käytettävät palvelimet muodostavat kotiliittymiä suuremman uhan tietoturvalle, sillä palvelimet on liitetty viestintäverkkoon usein kotipäätelaitteita nopeammalla tietoliikenneyhteydellä. Lisäksi tällaisilta palvelimilta tarjottavaan materiaaliin luotetaan yleensä muista lähteistä tarjottavaa sisältöä enemmän. Siten ne tarjoavat verkkorikollisille muita lähteitä paremman haittaohjelmien jakelukanavan. CERT-FI:n ensisijainen tehtävä on pyrkiä selvittämään ne suomalaisissa verkoissa olevat palvelimet, joissa on tietomurron mahdollistava haavoittuvuus. Lisäksi CERT-FI kerää yleisellä tasolla tietoja kyseessä olevasta tietoturvaloukkauksesta. Kerätyistä tiedoista muodostetun kokonaiskuvan avulla CERT-FI tiedottaa eri toimijoita itse uhasta ja näiden käytettävissä olevista suojautumiskeinoista. 3.6.3.3 Vahinkojen minimointi CERT-FI voi minimoida tietoyhteiskunnan palveluntarjoajilta tietoverkkorikoksen avulla hankittujen tietojen rikoksen uhreille aiheuttamia haittoja lukuisilla eri tavoilla. CERT-FI voi: 1. Tiedottaa tietomurron kohteeksi joutuneita toimijoita tapahtuneesta. 2. Auttaa haavoittuvan järjestelmän ylläpitäjää toipumaan tietomurrosta ja ehkäisemään sen uusiutuminen. 3. Tiedottaa tietoturvaloukkauksen uhriksi joutuneita palveluntarjoajia. Samalla palveluntarjoaja saa tiedon siitä, keiden sen käyttäjien tilien toimintaa on syytä erityisesti seurata ja tarvittaessa myös rajoittaa. 4. Toimittaa tietomurron avulla kerätyt tiedot edelleen ulkomaille yhteistyöverkostonsa välityksellä. Yhteistyöverkosto voi kontaktoida omissa maissaan relevantteja toimijoita rikoksen seuraamusten minimoimiseksi. 5. Tiedottaa asiasta yleisesti käytössään olevien kanavien välityksellä. 3.7 Ongelmatilanteet 3.7.1 Tietojen hakeminen internetistä CERT-FI saa tietoturvaloukkauksia ja niiden uhkia koskevan tiedonkeruun yhteydessä satunnaisesti tietoonsa tietovarkauksiin käytettävien lokipalvelinten sijaintitietoja. Varastettujen tietojen hakeminen tällaisilta palvelimilta suomalaisten viranomaisten käyttöön on erittäin hyödyllistä tietovarkaudesta aiheutuneiden vahinkojen minimoimiseksi. Tietojen avulla voidaan muun muassa ennalta ehkäistä niiden käyttämistä rikollisiin tai tietoturvallisuutta vaarantaviin tarkoituksiin ja tiedottaa uhasta palveluntarjoajia ja saastuneiden päätelaitteiden haltijoita. Ensimmäinen väline pyrittäessä hankkimaan tietoverkkorikosten avulla kerättyjä tietoja viranomaisten käyttöön on aina virka-apupyyntö. Jos lokipalvelin sijaitsee Suomessa tai muussa virka-apupyyntöihin myönteisesti suhtautuvassa valtiossa, tiedot voidaan joissain tilanteissa saada takavarikoitua paikallisten viranomaisten toimesta. Käytännössä on kuitenkin havaittu, että tietoja saadaan virka-apupyynnön avulla vain harvoin. Tietoverkkorikoksen yhteydessä kerätyt tiedot voivat olla saatavilla joko suojatulla palvelimella tai kokonaan suojaamattomassa lähteessä. 22

Jos tiedot ovat saatavissa ainoastaan suojatusta lähteestä, voi niiden hakeminen edellyttää rikoslaissa kriminalisoidun tietomurron tunnusmerkistön 40 täyttävien toimenpiteiden suorittamista. Tästä johtuen CERT-FI ei hae koskaan suojattuihin lähteisiin tallennettuja tietoja. Jos tiedot ovat saatavissa suojaamattomasta lähteestä, voi tietojen hakemisessa täyttyä lähinnä luvattoman käytön tunnusmerkistö. Rikoslain mukaan se, joka luvattomasti käyttää toisen irtainta omaisuutta tai kiinteää konetta tai laitetta, on tuomittava luvattomasta käytöstä sakkoon tai vankeuteen enintään yhdeksi vuodeksi. 41 Luvatonta käyttöä koskevien säännösten soveltuminen tietojen hakemiseen on jossain määrin epäselvää. Jos luvatonta käyttöä koskevien säännösten voitaisiin katsoa soveltuvan tietojen hakemiseen, voitaisiin näissäkin tilanteissa mahdollisesti soveltaa pakkotilaa koskevia säännöksiä. Pakkotilan olemassa oleminen punnitaan viime kädessä oikeudessa. 40 Rikoslaki 38:8 41 Rikoslaki 28:7 23

4 Teleyritysten mahdollisuudet rajoittaa tietovarkauksia Teleyrityksillä on käytettävissä keinoja tietovarkauksien ehkäisemiseen ja niistä aiheutuvien vahinkojen minimoimiseen. 4.1 Liikenteen estäminen tietoturvalle haittaa aiheuttavien häiriöiden estämiseksi Sähköisen viestinnän tietosuojalain mukaan teleyritys saa estää tai rajoittaa viestien välittämisen ja vastaanottamisen viestintäverkkojen tai niihin liitettyjen palvelujen tietoturvalle haittaa aiheuttavien häiriöiden havaitsemiseksi, estämiseksi ja selvittämiseksi. Lisäksi teleyritykset voivat poistaa tietoturvaa vaarantavat haitalliset tietokoneohjelmat viesteistä 42. Haitallisia tietokoneohjelmia ovat varsinaisten ohjelmien lisäksi myös sellaiset käskyt, jotka tarkoituksellisesti aiheuttavat ei-toivottuja tapahtumia tietokoneessa tai tietojärjestelmässä 43. Tällaisina käskyinä voidaan pitää esimerkiksi haittaohjelman lähettämää ja vastaanottamaa komentoliikennettä. Käyttäjän päätelaitteelle asentunut pelkkä vakoiluohjelma ei välttämättä itsessään vaaranna teleyrityksen palveluiden tietoturvaa. Haittaohjelmille on kuitenkin tyypillistä, että niiden toimintatarkoitusta voidaan muuttaa ohjelman ylläpitäjän haittaohjelmalle lähettämällä käskyllä. Esimerkiksi vakoiluohjelmana aikaisemmin toiminutta haittaohjelmaa voidaan käyttää myös roskapostiviestien lähettämiseen. Haittaohjelman komentopalvelimia käytetään tai ainakin voidaan käyttää usein myös haittaohjelman varastamien tietojen lokipalvelimina. Viestintäviraston tulkinnan mukaan käyttäjän tietoja keräävän haittaohjelman päivittymisen estämiseksi teleyrityksillä on oikeus estää kaikki haittaohjelmien ylläpitämiseen käytettäville palvelimille lähetettävä ja niistä saapuva viestiliikenne. 4.2 Liikenteen estäminen verkkourkintasivustolle (Phishing) Sähköisen viestinnän tietosuojalain mukaan teleyritykset voivat estää tai rajoittaa viestien välittämisen ja vastaanottamisen, jos se tapahtuu viestintäpalvelujen kautta laajamittaisesti toteutettavien maksuvälinepetosten valmistelun ehkäisemiseksi 44. Teleyritykset voivat estää kaiken käyttäjien päätelaitteilta verkkourkintasivustolle suuntautuvan liikenteen. On tärkeää huomata, että estäminen koskee ainoastaan maksuvälinepetoksen valmistelua. Jos kerättävä tieto on muuta henkilötietoa, kyseessä ei ole maksuvälinepetoksen valmistelu, vaan tietoa voidaan käyttää esimerkiksi laittoman maahantulon järjestämiseen. Tällöin liikenteen estäminen ei ole mahdollista. 42 SVTsL 20 43 HE 48/2008 44 SVTsL 20 24

Viestintävirasto on vuoden 2009 marraskuussa suositellut teleyrityksille huijauspalvelimille suuntautuvan liikenteen suodattamista. Suositus on luettavissa Viestintäviraston verkkosivuilta 45. 4.3 Teleyrityksen oikeus tunnistaa saastuneet päätelaitteet Teleyritykset voivat estää liikenteen tiettyyn verkko-osoitteeseen sillä perusteella, että se vaarantaa viestintäverkkojen tai -palveluiden tietoturvaa. Pelkkä haittaohjelmaliikenteen estäminen ei kuitenkaan poista varsinaista tietoturvauhkaa teleyrityksen verkosta. Tämä johtuu siitä, että saastunut päätelaite, jossa voi edelleen olla myös saastumisen alun perin mahdollistanut haavoittuvuus, on suurella todennäköisyydellä edelleen kytkettynä teleyrityksen verkkoon. Viestintäviraston tulkinnan mukaan teleyrityksen verkossa olevat saastuneet päätelaitteet vaarantavat teleyrityksen palveluiden tietoturvaa. Siten haittaohjelmatartunnan saaneiden päätelaitteiden selvittämistä voidaan pitää välttämättömänä palvelun tietoturvasta huolehtimiseksi. Tästä johtuen on erittäin suositeltavaa, että haitallisen liikenteen estämisen lisäksi teleyritykset tunnistavat verkossaan olevat saastuneet päätelaitteet. Saastuneet päätelaitteet voidaan tunnistaa esimerkiksi keräämällä sellaisten päätelaitteiden IP-osoitteet, jotka yrittävät muodostaa yhteyden haittaohjelman päivittämiseen käytettävään verkko-osoitteeseen. Osoitteet voidaan kerätä joko suoraan teleyrityksen verkosta lähtevästä liikenteestä tai vaihtoehtoisesti ne voidaan kerätä liikenteen estämisen yhteydessä. Sähköisen viestinnän tietosuojalain nojalla teleyritys saa käsitellä tunnistamistietoja huolehtiessaan tietoturvasta lain 20 :ssä tarkoitetulla tavalla. Teleyritys saa siten käsitellä tarvittaessa tunnistamistietoja sekä 20 :n 1 momentissa määritellyissä tilanteissa että käyttäessään pykälän 2 momentissa tarkoitettuja keinoja. Viestintäviraston tulkinnan mukaan teleyritys saa käsitellä tunnistamistietoja varsinaisen 20 :ssä tarkoitetun toimenpiteen suorittamisen lisäksi myös toimenpiteen suorittamiseksi välttämättömien valmistelevien toimenpiteiden suorittamiseksi. Edellisessä kappaleessa tarkoitettu valmisteleva toimenpide voi olla esimerkiksi haittaohjelman ylläpitoon käytettyihin verkko-osoitteisiin verkkoliikennettä lähettävien päätelaitteiden IP-osoitteiden ja aikaleimojen tallentaminen päätelaitteiden tunnistamiseksi ja jatkotoimenpiteiden kohdentamiseksi. Osoitetta käyttäneen tilaajan selvittämiseksi teleyritys saa tarvittaessa käsitellä myös esimerkiksi DHCP-lokiin tallentuneita tunnistamistietoja. 45 http://www.ficora.fi/index/saadokset/tulkinnat/teletoiminta.html 25

5 Käyttäjien mahdollisuudet rajoittaa tietovarkauksia Käyttäjillä on lukuisia keinoja tietovarkauksien ehkäisemiseen ja niistä aiheutuvien vahinkojen minimoimiseen. 5.1 Ennaltaehkäisy 5.1.1 Tietokoneen tietoturvasta huolehtiminen Käyttäjän kannattaa huolehtia käyttämänsä laitteen riittävästä suojaamisesta hankkimalla tarvittavat suojaavat ohjelmistot ja päivittämällä niitä säännöllisesti. 5.1.2 Harkinnan käyttäminen Käyttäjän kannattaa käyttää harkintaa aina verkossa toimiessaan. Erityisen tarkkana kannattaa olla käsiteltäessä liitteen tai linkin sisältäviä sähköpostiviestejä ja asennettaessa päätelaitteelle arveluttavien verkkosivujen suosittelemia ohjelmistoja. 5.1.3 Riittävän vahvojen salasanojen käyttäminen Salasanaa valittaessa ja käytettäessä kannattaa kiinnittää huomiota ainakin seuraaviin seikkoihin: Käytä salasanoja, jotka ovat riittävän pitkiä ja toisille hankalasti arvattavia. Yhden sanan sijasta voit käyttää vaikkapa lyhyitä lauseita eli salalauseita Käytä salasanassa/salalauseessa kaikkia seuraavia arvaamista hankaloittavia tekijöitä: o isoja sekä pieniä kirjaimia o numeroita o väli- ja erikoismerkkejä Käytä eri salasanaa työpaikan tietojärjestelmissä, vapaa-aikaan liittyvissä verkkopalveluissa ja sähköpostipalveluissa. Vaihda ainakin tärkeimpien palveluiden salasanat vähintään kerran kuukaudessa tai parissa. 5.1.4 Suojautuminen verkkourkintahyökkäyksiltä Verkkourkintahyökkäyksissä on syytä muistaa seuraavat yleiset periaatteet: Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse kysyäkseen verkkopankkitunnuksia, luottokorttinumeroita tai muuta luottamuksellista tietoa. Älä luota sähköpostissa olevaan lähettäjätietokentän (FROM-kentän) sisältöön. Sähköpostin lähettäjätietokenttä voidaan helposti väärentää vaikkapa muotoon asiakaspalvelu@omapankkisi.fi. Älä luota, että sähköpostissa tai www-sivustolla olevat linkit johtavat sinne, mitä linkeissä lukee. 26

Käyttäjä voi suojautua verkkourkintahyökkäykseltä esimerkiksi seuraavilla toimenpiteillä: Älä avaa epäilyttäviä sähköpostiviestejä. Usein viestin tunnistaa epäilyttäväksi jo viestin otsikkotiedoista. Älä koskaan siirry verkkopankin tms. sähköisen asiointipalvelun sivustolle sähköpostin linkkiä seuraamalla. Suhtaudu suurella varauksella myös www-sivuilla oleviin linkkeihin. Turvallisin tapa siirtyä sähköisen asiointipalvelun sivustolle on kirjoittaa itse asiointipalvelun www-sivun osoite selainohjelman osoiteriville tai käyttämällä selaimeen itse määrittelemää pikalinkkiä (esim. bookmark). Tarkista aina ennen luottamuksellisten tietojen syöttämistä, että olet oikean organisaation sivustoilla, ja että sivustolla käytettään SSLsuojausta. Osoiterivillä olevan osoitteen pitää muodostua pankin domain-nimestä. Sivustolla käytetään SSL-suojausta, jos selaimen alareunassa oleva lukko on kiinni ja osoiterivillä oleva osoite alkaa httpstekstillä. Suhtaudu aina riittävällä vakavuudella tilanteisiin, joissa selainohjelmasi antaa varoituksen, ettei palvelimen varmenne täsmää sivuston osoitteen kanssa. Selvitä ennen palvelun käyttöä, mistä selaimen varoitus johtuu. Ota epäilyttävissä tapauksissa yhteyttä organisaatioon, jonka sähköisestä palvelusta on kyse. Lisää ohjeita voi löytää esimerkiksi tietoturvaopas.fi sivustolta 46. 5.2 Tietovarkauden jälkeen 5.2.1 Toimenpiteet tiedonsaannin jälkeen Käyttäjän kannattaa käydä läpi seuraava tarkistuslista, jos luottamukselliset tiedot ovat joutuneet vääriin käsiin: Estä lisävahingot o Ilmoita sellaisille palveluntarjoajille tietovarkaudesta, joita asia koskee o Vaihda kirjautumistiedot varkauden kohteiksi joutuneisiin palveluihin o Jos käytät samaa salasanaa useissa eri verkkopalveluissa, kaikkien palvelujen salasanat on vaihdettava o Jos tiedot on varastettu haittaohjelman avulla, vaihda kaikkien kyseisellä tietokoneella käyttämiesi palveluiden salasanat o Jos et voi itse vaihtaa kirjautumistietoja, pyydä palveluntarjoajaasi tekemään se Selvitä aiheutuneet vahingot o Selvitä, onko palveluitasi käytetty väärin o Tiedustele poliisilta lisäohjeita tilanteissa, joissa olet menettänyt henkilötietojasi Tee rikosilmoitus Kirjautumistietoja ei kannata vaihtaa omalta koneelta, jos sen edes epäilee olevan saastunut. 46 http://www.tietoturvaopas.fi/ 27

Jos tiedot on varastettu tietoja varastavan haittaohjelman avulla, kannattaa myös muita laitteen käyttäjiä tiedottaa tietoturvauhkasta ja kehottaa heitä vaihtamaan käyttämänsä salasanat. 5.2.2 Päätelaitteen puhdistaminen Varmin keino päätelaitteen puhdistamiseen haittaohjelmatartunnasta on käyttöjärjestelmän uudelleen asentaminen. CERT-FI on julkaissut vuonna 2007 ohjeen haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan 47. Jos tietovarkauden uhri epäilee, että hänen tietonsa on varastettu jonkin muun tahon ylläpitämästä laitteesta, kannatta myös tällaisen laitteen ylläpitäjää tiedottaa mahdollisesta saastumisesta. Samalla ylläpitäjää voi kehottaa varoittamaan myös muita laitteen mahdollisia käyttäjiä tietoturvauhkasta. 47 http://www.cert.fi/ohjeet/2007/p.html 28