Virkamiehenä verkossa: Miten huolehdin turvallisuudestani sosiaalisessa mediassa?

Virkamiehenä verkossa: Miten huolehdin turvallisuudestani sosiaalisessa mediassa? TerveSOS 2011 19.5.2011

Agenda Johdatus sosiaaliseen mediaan Merkittävimmät riskit Sosiaalisen median tietoturvallinen käyttö organisaatiossa 10 yleistä periaatetta jokaiselle

Sosiaalisen median palveluita Sosiaalinen media on tietoverkkoja ja tietotekniikkaa hyödyntävä viestinnän muoto, jossa käsitellään vuorovaikutteisesti ja käyttäjälähtöisesti tuotettua sisältöä ja luodaan ja ylläpidetään ihmisten välisiä suhteita. (SanastokeskusTSK, Sosiaalisen median sanasto) Sosiaalisen median palveluita Wikit, joissa käyttäjät vuorovaikutteisesti tuottavat ja muokkaavat sisältöä. Tunnetuin wikipalvelu lienee Wikipedia, joka on Internetissä toimiva avoin tietosanakirja. Blogit, johon yksi tai useampi kirjoittaja julkaisee sisältöä, joita lukijat voivat halutessaan kommentoida. Mikroblogit, jotka voidaan rinnastaa Internetissä toimiviin tekstiviesteihin. Niiden kautta voi esimerkiksi tiedottaa seuraajiaan ajankohtaisista asioista. Esim. Twitter. Mediapalvelut, joissa jaetaan materiaalia, esim. kuvia tai videopätkiä. Esim. YouTube, Flickr Verkkoyhteisöt, joissa ihmiset voivat muodostaa verkostoja, keskustella, seurata keskustelua ajankohtaisista aiheista, pelata, jne.. Esim. Facebook, LinkedIn, IRC-galleria Virtuaalimaailmat, joissa käyttäjät voivat luoda virtuaalisen hahmon ja kehittää virtuaalisen elämän palvelussa. Esim. SecondLife ja HabboHotel. Linkkien ja uutisten jakopalveluita, joissa vaihdetaan linkkejä ja ajankohtaisia asioita.

Tietoturvallisuus Sosiaaliseen mediaan liittyvät uhat pitkälti samoja kuin Internetissä muutenkin Käyttötapa on erilainen Käyttökulttuuri organisaatiotasolla uusi Käyttäjän toimenpiteet ja käytös entistä merkittävämmässä roolissa

Riskit Centre for the Protection of National Infrastructure (CPNI) Good Practice Guide: Online Social Networking tunnistaa kolme riskikategoriaa 1. Riskit, jotka johtuvat sosiaalisen median palveluihin tuotettuun sisältöön. 2. Riskit, jotka johtuvat verkostoitumisesta ja sosiaalisesta kanssakäymisestä sosiaalisen median palveluissa. 3. Riskit, jotka johtuvat sosiaalisen median palveluiden kautta leviävistä haittaohjelmista, kalasteluyrityksistä sekä roskapostista. Lisäksi muita haasteita Palvelusopimukset Palvelun sijainti Yksityisyyden suoja Maineen hallinta

Sisältöön liittyvät riskit Tietovuodot Henkilöstö tahallaan tai tahattomasti vuotaa organisaation tietoja Aineiston poistaminen lähes mahdotonta Tieto leviää nopeasti; poistoyritykset saattavat nopeuttaa leviämistä entisestään Vakoilu Teollisuusvakoilu, tiedustelua Yhteisöpalveluissa ongelmana se, että henkilöt hyväksyvät verkostoonsa tuntemattomia ja lörpöttelevät harkitsemattomasti asioistaan Yhdistämällä tietoja useammasta palvelusta on helppo muodostaa tietokokonaisuuksia Väärän tiedon leviäminen Tahatonta tai tahallista, harmittomat pilat, josta aiheutuu ongelmia Käyttäjätunnusvarkauksia tai väärennöksiä Epäasiallinen sisältö vaarantaa maineen hallinnan Esim. organisaation johdon tai asiakkaiden haukkuminen ei ole organisaation maineen hallinnan kannalta hyvä asia

Verkostoitumiseen liittyvät riskit Erityisesti yhteisöpalveluiden ongelma Tietojen kalastelu Esimerkiksi keväällä 2010 Facebookissa yritettiin huijata käyttäjiä paljastamaan tietoja itsestään. 20 000 ensimmäiselle luvattiin tuhannen euron lahjakorttia Ikeaan. Kyseessä oli huijaus, joka osoittaa sen, että tarkkaavaisuus, skeptisyys ja terve järki ovat välttämättömiä ominaisuuksia sosiaalisten medioiden turvallisessa käytössä. Henkilöstön uhkailu, häirintä ja pelottelu Kontaktien hallintaa Erään turvallisuustutkijan onnistui soluttautua Yhdysvaltojen sotilas- ja tiedusteluorganisaatioihin luomalla valeprofiilin Facebookiin, LinkedIn:iin ja Twitteriin sekä liittämällä siihen kuvan naisesta nimeltä Robin Sage. Viikkojen sisään hänellä oli satoja ystäviä ja seuraajia Yhdysvaltain puolustushallinnosta, kansallisesta turvallisuusjärjestöstä NSA:sta, puolustusteollisuudesta sekä Iso-Britannian asevoimista. Hän onnistui verkostonsa kautta saamaan käsiinsä arkaluontoista tietoa, nimiä, osoitteita, pankkitilejä ja sähköposteja. Tämän lisäksi hän sai lukuisia esiintymiskutsuja. Valeprofiili sai myös kaveripyyntöjä senkin jälkeen, kun hänet oli paljastettu valheeksi.

Tekniset riskit Haittaohjelmat Luottamus verkostoon altistaa klikkaamaan auki viestejä Lyhennetyt URL:it (käyttäjä ei näe, mihin häntä johdatetaan) Roskapostit Nopeatempoinen sovelluskehitys Haavoittuvuuksien määrä korkea Lisäohjelmat Pyörivät kolmansien osapuolien palvelimilla, tietoturvallisuudesta epäselvyyttä Pyytävät usein luovuttamaan tietoa, jota ei tarvita ohjelman toiminnan kannalta

Muut riskit - sopimusehdot Epäselvät ja muuttuvat sopimusehdot Millaiset oikeudet palvelua ylläpitävä toimittaja saa asiakkaan palveluun tallentamaan tietoon? Pahimmillaan toimittaja pidättää itsellään kaikki oikeudet, mikä mahdollistaa tietojen levittämisen ja edelleen välittämisen tai myymisen myös kolmansille osapuolille. Ote erään suositun sosiaalisen median palvelun palvelusopimuksesta: License and warrant your submissions: You do not have to submit anything to us, but if you choose to submit something (including any User generated content, ideas, concepts, techniques and data), you must grant, and you actually grant by concluding this Agreement, a nonexclusive, irrevocable, worldwide, perpetual, unlimited, assignable, sublicenseable, fully paid up and royaltyfree right to us to copy, prepare derivative works of, improve, distribute, publish, remove, retain, add, and use and commercialize, in any way now known or in the future discovered, anything that you submit to us, without any further consent, notice and/or compensation to you or to any third parties.

Muut riskit palvelun sijainti Missä palvelu sijaitsee? Sosiaalisen median palveluun siirretty tieto saattaa sijaita maassa, jonka lainsäädäntö tietoturvaan tai tietosuojaan liittyvissä asioissa poikkeaa merkittävästi Suomen lainsäädännöstä. Joissain tapauksissa (esimerkiksi henkilötiedot) Suomen lainsäädäntö rajoittaa tietoaineiston siirtoa maahan, jossa tietosuoja- tai tietoturvasäännökset ovat Suomen tasoa heikompia. Mahdolliset ristiriitatilanteet ratkotaan useimmiten palvelun tarjoajan toimintamaan oikeudessa ja kyseessä olevan maan lainsäädännön mukaisesti. Mikäli palvelu sijaitsee kokonaisuudessaan Suomen ulkopuolella, se ei ole käytettävissä kansainvälisten tietoliikenneyhteyksien ollessa poikki. Ei välttämättä ongelma, ellei sosiaalisen median palvelu ole organisaation toiminnan kannalta kriittinen. Tällöin tulisi tosin harkita muita toteutusvaihtoehtoja, esim. oman palvelualustan tuottaminen Ulkomailla sijaitsevan palveluntarjoajan tietoturvallisuutta on yleensä mahdotonta tarkistaa (auditoida). Sosiaalisen median palvelun käyttöön ottaminen on tällöin aina riski.

Muut riskit yksityisyyden suoja Sosiaalisen median palveluita kehitettäessä ei käyttäjien yksityisyyden suoja ole ollut pääasia. Päinvastoin, monen sosiaalisen median palvelun liiketoimintamalli perustuu siihen, että käyttäjien tiedot ovat mahdollisimman julkisia. Käyttäjät eivät aina huolehdi yksityisyyden suojastaan Esimerkkinä mainittakoon kuuluisaksi muodostunut tapaus, josta uutisoitiin laajasti kesällä 2009 Iso-Britanniassa. Tapaus koski Facebookissa olevaa sivustoa, joka aiheutti kansallisen turvallisuusriskin. Maan tiedustelupalvelun (MI6) johtajan vaimo kertoi avoimesti Facebook sivustollaan hyvinkin henkilökohtaisia asioita perheestään, julkaisi valokuvia sekä paljasti kotiosoitteensa. Viattomalta vaikuttava sivusto oli kuitenkin kaikkien lontoolaisten verkostoon kuuluville avoin. Tilanne aiheutti riskin niin valtiotasolla kuin perheellekin. Kevennys: Täysin turvallisia sosiaaliset mediat eivät onneksi ole rikollisillekaan. Keväällä 2010 Italian poliisi sai kiinni henkilön, jota syytetään useista murhista, huumerikoksista ja yhteydestä mafiaan. Henkilön piilopaikka jäljitettiin hänen Facebookin selaamiseen käyttämän 3G-mokkulayhteyden avulla. Puutteellinen mahdollisuus kontrolloida, mitä verkosto julkaisee (esim. valokuvia) Fyysinen turvallisuus Murtovarkaat oppineet hyödyntämään sosiaalista mediaa; ihmiset kertovat heille usein, milloin ovat poissa kotoa, eli milloin olisi hyvä aika käydä tyhjentämässä asunto arvoesineistä

Mitä tämä tarkoittaa? Uskaltaako sosiaalisen median palveluita enää käyttää? Kyllä uskaltaa, ja kannattaakin, jos se tukee organisaation ydintoimintaa Miten riskejä hallitaan? Käyttöpolitiikalla linjataan käytön periaatteet ja reunaehdot Asianmukainen resurssointi Tietoturvallisuuskoulutuksella ja ohjeistuksella valistetaan henkilökuntaa; maalaisjärjellä pärjää pitkään Tietoturvaratkaisut kuntoon pitäisi muutenkin olla asianmukaisesti hoidettu Sopimusehtoja kannattaa lukea ja niiden muutoksia seurata ja arvioida organisaation käytön kannalta

Käyttöpolitiikka Käyttöpolitiikassa tulee ottaa kantaa yleisiin sosiaaliseen mediaan liittyviin menettelyihin sekä organisaation että henkilöstön osalta. On suositeltavaa, että sosiaalisen median tietoturvallisuuteen liittyvät linjaukset liitetään osaksi organisaation sosiaalisen median käyttöpolitiikkaa. Sosiaalisen median palveluiden käyttö tulee arvioida niiden kautta saatujen hyötyjen perusteella tasapainotettuna mahdollisiin riskeihin. Lähtökohta on, että organisaatiolla on selkeä tavoite sosiaalisen median hyödyntämisessä sekä riittävästi resursseja tavoitteen saavuttamiseksi.

Käyttöpolitiikan sisältö (1/2) 1. Mitä organisaation ydintoimintaa liittyvää tehtävää sosiaaliseen mediaan osallistuminen tukee? 2. Mikä on sosiaalisen median käytön tavoite? 3. Mitä sosiaalisen median palveluita otetaan käyttöön? Kuka päättää käyttöönotosta? Kuka vastaa osallistumisesta ja palveluiden ylläpidosta? Kuka seuraa palvelusopimusten muutoksia ja arvioi organisaation käytön jatkuvuuden? Miten käyttö tai läsnäolo resursoidaan? Millä tavoin henkilöstö osallistuu palvelun toimintaan? 4. Osallistumisen periaatteet ja verkkoidentiteetin hallinta Käytettävät verkkoidentiteetit Yleiset periaatteet; mitä organisaatiosta saa/ei saa puhua jne. (sananvapautta loukkaamatta) 5. Sosiaalisen median käyttö työpaikalta On/ei ole suositeltavaa? On mahdollistettu/rajoitettu/estetty työpaikalta 6. Sosiaalisen median käytön koulutus Sisällöntuottajille Ylläpitäjille Henkilöstölle

Käyttöpolitiikan sisältö (2/2) 7. Miten sosiaalista mediaa seurataan? Kuka seuraa ja millä välineillä ja mitä palveluita? Kuka vastaa ja kommentoi sosiaalisessa mediassa käytävää, organisaatiota koskevaa keskustelua? 8. Tietoturvallisuus 9. Riskien hallinta Kuka vastaa riskien arvioimisesta, toimenpiteiden suunnittelusta ja tietoturvallisuuden seurannasta? Kuinka usein riskejä arvioidaan? 10. Tietoaineistojen suojaaminen Miten varmistetaan, että salassa pidettävä tieto/yrityssalaisuudet eivät vuoda sosiaaliseen mediaan? 11. Tietojenkäsittely-ympäristöjen suojaaminen Jos sosiaalisen median palvelua käytetään työpaikalta, mitä saa ja ei saa tehdä? Miten estetään haittaohjelmien leviäminen organisaation tietojenkäsittely-ympäristöön? Millaisia teknisiä ratkaisuja löytyy sosiaalisen median palveluiden tietoturvallisen käytön parantamiseksi? 12. Maineen hallinta Mikä on asiallista käytöstä sosiaalisessa mediassa? Miten reagoidaan valeprofiileihin ja tunnuksiin tai jos organisaation tunnuksia kaapataan? 13. Henkilöturvallisuus Miten reagoidaan häirintään ja uhkailuun? Henkilöstön yksityisyyden suoja Työ- ja vapaa-ajan verkkoidentiteettien eriyttäminen 14. Yleiset asiat Käyttäjätunnukset ja salasanat Palveluiden käyttöehdot Oikeudet palveluun tallennettaviin tietoaineistoihin

10 yleisperiaatetta jokaiselle 1. Selvitä ja noudata organisaatiosi sosiaalisten medioiden käyttöpolitiikkaa. Osallistu organisaation järjestämään tietoturvakoulutukseen. 2. Jos mainitset sosiaalisen median palvelun henkilöprofiilissasi työnantajasi, esiinnyt tällöin organisaatiosi (epävirallisena) edustajana. Muista käyttäytyä sen mukaisesti! 3. Tutustu huolellisesti sosiaalisten medioiden sopimusehtoihin. Huomaa, että palvelun tarjoaja voi hyödyntää profiiliisi syöttämiäsi tietoja laajasti. Varo syöttämästä liian henkilökohtaista tai yksityiskohtaista tietoa, valokuvia tai muuta materiaalia itsestäsi. 4. Kunnioita perheesi ja ystäviesi suhtautumista sosiaalisiin medioihin. Vaikka olisit itse niistä innostunut, eivät kaikki sitä kuitenkaan ole. Jos kanssaihmisesi eivät halua sinun laittavan kuvia tai tietoa heistä sosiaaliseen mediaan, noudata heidän toiveitaan. 5. Huolehdi siitä, että tietokoneesi käyttöjärjestelmäpäivitykset ja työvälineohjelmistot on päivitetty ajan tasalle ja että siinä on tarvittavat palomuuri- ja haittaohjelmien torjuntaohjelmistot käytössä ja että ne päivittyvät automaattisesti. 6. Älä hyväksy tuntemattomia yhteydenottoyrityksiä verkostoosi äläkä napsauta vieraita, hämäräperäisiä linkkejä. 7. Älä keskustele työasioista muissa kuin työtehtäviin hyväksytyissä sosiaalisissa medioissa. Ole erityisen huolellinen salassa pidettävän tiedon suhteen. 8. Jos epäilet, että olet joutunut huijatuksi tai muun hyökkäyksen kohteeksi, älä epäröi pyytää apua. Älä jätä tekemättä asiasta rikosilmoitusta, vaikka taloudellinen menetys saattaa osaltasi jäädä vaatimattomaksi. 9. Älä käytä samaa salasanaa eri palveluissa. Älä käytä samoja käyttäjätunnuksia ja salasanoja työ- ja vapaa-ajan palveluissa. Huolehdi salasanasi laadusta käyttämällä vain vahvoja salasanoja. 10. Tarkista käyttäjäprofiilin yksityisyyden suojaa koskevat asetukset ja muuta niitä tarvittaessa siten, että tietosi eivät leviä laajemmalle kuin haluamallesi käyttäjäjoukolle.

1. Noudata ohjeita Selvitä ja noudata organisaatiosi sosiaalisten medioiden käyttöpolitiikkaa. Osallistu organisaation järjestämään tietoturvakoulutukseen. Edellyttää tietenkin, että organisaatiolla on sosiaalisen median käyttöpolitiikka määritelty sekä, että organisaatio on ohjeistanut ja kouluttanut henkilöstönsä tietoturvallisuusasioissa.

2. Pyydä apua Jos epäilet, että olet joutunut huijatuksi tai muun hyökkäyksen kohteeksi, älä epäröi pyytää apua. Älä jätä tekemättä asiasta rikosilmoitusta, vaikka taloudellinen menetys saattaa osaltasi jäädä vaatimattomaksi. Jotkut huijaukset ovat niin taitavasti tehtyjä, että tietoturvaasiantuntijakin saattaa mennä halpaan: älä häpeä tapahtunutta, vaan pyydä apua ja raportoi asiasta! Voit epäillä huijausyritystä, jos luvataan jotain, mikä kuulostaa liian hyvältä tai jos kysytään runsaasti/tarpeettomasti esim. henkilötietoja

3. Muista käytössäännöt Jos mainitset sosiaalisen median palvelun henkilöprofiilissasi työnantajasi, esiinnyt tällöin organisaatiosi (epävirallisena) edustajana. Muista käyttäytyä sen mukaisesti! Ulkopuolisille voi olla vaikea hahmottaa, mikä on organisaation kanta ja mikä virkamiehen henkilökohtainen mielipide Muista myös, että kaikki mikä kerran on laitettu nettiin ei välttämättä koskaan saa pois Erityisesti humalassa tehdyt avaukset voivat koitua kohtalokkaiksi myöhemmin Esimiestä ei kannata haukkua idiootiksi, edes vaikka se olisi totta Jos on aivan pakko irrotella, kannattaa huolehtia jakelusta kaikki asiat eivät varmasti ole tarkoitettu kaikille

4. Salasanat Älä käytä samaa salasanaa eri palveluissa. Älä käytä samoja käyttäjätunnuksia ja salasanoja työ- ja vapaa-ajan palveluissa. Huolehdi salasanasi laadusta käyttämällä vain vahvoja salasanoja. Monet sosiaalisen median palvelut tarjoavat yhteisiä kirjautumismahdollisuuksia Vaikka ovatkin käytännöllisiä, on riski, että jos yksi tunnus murretaan, niin kaikki on murrettu

5. Älä kerro kaikkea Varo syöttämästä liian henkilökohtaista tai yksityiskohtaista tietoa, valokuvia tai muuta materiaalia itsestäsi. Huomaa, että palvelun tarjoaja voi hyödyntää profiiliisi syöttämiäsi tietoja laajasti. Tutustu huolellisesti käyttämiesi palveluiden sopimusehtoihin. Kaikki eivät ole ketä väittävät Mieti, mitä julkaiset Internetissä pyöri jonkin aikaan verkkosivu PleaseRobMe, joka keräsi Twitteriin ilmoitetut lomailmoitukset ja julkaisi ne keskitetysti. Kerro missä olet ollut, älä mihin olet menossa! Kannattaa miettiä myös omaa ja perheensä turvallisuutta Erään tietoturvayrityksen johtaja kertoi, että ei käytä vapaa-

6. Huolehdi yksityisyydensuojastasi Tarkista käyttäjäprofiilin yksityisyyden suojaa koskevat asetukset ja muuta niitä tarvittaessa siten, että tietosi eivät leviä laajemmalle kuin haluamallesi käyttäjäjoukolle. Sosiaalisen median liiketoimintamalli perustuu usein siihen, että ihmiset paljastavat itsestään mahdollisimman paljon palvelut eivät siis ole luotu huolehtimaan käyttäjiensä yksityisyydensuojasta

7. Ota muut huomioon Kunnioita perheesi ja ystäviesi suhtautumista sosiaalisiin medioihin. Vaikka olisit itse niistä innostunut, eivät kaikki sitä kuitenkaan ole. Jos kanssaihmisesi eivät halua sinun laittavan kuvia tai tietoa heistä sosiaaliseen mediaan, noudata heidän toiveitaan. Muista sama myös omien lastesi suhteen!

8. Ole pikkasen vainoharhainen Älä hyväksy tuntemattomia yhteydenottoyrityksiä verkostoosi äläkä napsauta vieraita, hämäräperäisiä linkkejä. Sosiaalisen median palvelut tarjoavat esimerkiksi satunnaista roskapostitusta tehokkaamman ja nopeamman tavan yrittää huijata rahaa. Syksyllä 2010 Facebookverkkopalvelussa levisi viesti, josta pitämällä (like) huijausviesti pääsee käsiksi käyttäjän profiilitietoihin ja mm. saa selville käyttäjän mahdollisen matkapuhelinnumeron. Huijauksen seurauksena käyttäjän matkapuhelinlaskuun saattaa tulla 19 lisämaksu ylimääräisestä palvelusta.

9. Työasioista puhuminen Älä keskustele työasioista muissa kuin työtehtäviin hyväksytyissä sosiaalisissa medioissa. Ole erityisen huolellinen salassa pidettävän tiedon suhteen. Muista, että palvelun ylläpitäjät pääsevät teknisesti käsiksi kaikkeen palveluun talletettuun ja myös vain keskustelun osapuolten väliseksi tarkoitettuun tietoon. Useat sotilasorganisaatiot ovat ilmoittaneet ongelmaksi sen, että omat joukot kirjoittaessaan blogeja kriisialueelta paljastavat tietoja operaatiosta ja sen suunnitelmista, näin vaarantaen sekä operaation, henkilöstön että paikallisen väestön turvallisuuden. Lisäongelma muodostaa se, jos blogiin liitetään kuva, jonka metatietoihin kuuluu paikkatieto. Tällöin Tkt Catharina kirjoittajan Candolin tarkka sijainti (mahdollisesti myös hänen joukkonsa sijainti) saattaa epähuomiossa paljastua.

10. Päivitä tietokoneesi Huolehdi siitä, että tietokoneesi käyttöjärjestelmäpäivitykset ja työvälineohjelmistot on päivitetty ajan tasalle ja että siinä on tarvittavat palomuuri- ja haittaohjelmien torjuntaohjelmistot käytössä ja että ne päivittyvät automaattisesti.

Yhteenveto Sosiaalisessa mediassa voi ja kannattaa olla mukana Turvallisuus lähtee hyvästä suunnittelusta Organisaatiot Käyttöpolitiikka Henkilöstön ohjeistaminen Ihmiset Maalaisjärki, oikea asenne