Tim Ranta-Ojala Tämän tietturvamnisteen phjana n Kimm Ruskun kirja Kyberturvapas (Talentum 2014) Kaiken timinnan taustalla n sujattava tiet Käyttäjän tekemät timenpiteet mudstavat merkittävän san kknaistietturvasta Pari videta rientintia varten https://www.yutube.cm/watch?v=7pvwchboqzm (Pandan mains) https://www.yutube.cm/watch?v=sdpxdddzxfe (Nvalabs mains) Mitä ajatuksia videt herättivät? Onk makhtaisia kkemuksia? Mitä tietturvallisuus n? Timitk itse tietturvallisesti verkssa? Entä js kaikesta hulimatta tietturva pettää. Miten n timittava eri tilanteissa?
Perussanast Tietturvallisuus 1) Luttamuksellisuus: Lukiteltuun ja salattuun tietn n pääsy vain niillä jilla n tiednsaanti- ja käyttöikeus (pe ikeudet Wilmassa) 2) Eheys: Tieta saa muuttaa vain se, jlla n ikeudet tiedn muuttamiseen. (jku muuttaa Facebk - prfiilisi tietja) 3) Saatavuus: Sähköisten palveluiden n timittava kaikissa lsuhteissa (Ds hyökkäykset) Tietsuja - Ihmisen yksityisyyden suja ja muut sitä turvaavat ikeudet henkilötietja käsiteltäessä Tietjen valtuudettman saannin estäminen ja tietjen luttamuksellisuuden säilyttäminen Henkilötietjen sujaaminen valtuudettmalta tai henkilöä vahingittavalta käytöltä. Haavittuvuus - Teknisessä järjestelmässä leva vika jka mahdllistaa järjestelmän väärinkäyttämisen, esimerkiksi tietmurrn, jllin tieta varastetaan, hävitetään tai sitä muutetaan. Tunnetut haavittuvuudet (Ohjelmistn päivittäminen) Nllapäivähaavittuvuudet (Ohjelmistn käytön välttäminen esim. Java) Tuntemattmat haavittuvuudet! Kyberturvallisuus - Sähköisessä mudssa levan tietjenkäsittely-ympäristön turvaaminen - Lunnnilmiöiden tai inhimillisten erehdysten aiheuttamiin uhkiin varautuminen ja riskien kartittaminen. Pääpain n niissä ympäristöissä, jtka vat yhteydessä tietverkkihin ja ennen kaikkea internetverkkihin. Tietmurt - Tietjärjestelmään tunkeutuminen tisen käyttäjätunnuksella tai turvajärjestelyn murtamalla. Kkeileminen n j rangaistavaa! Yksityisyyden suja - Jkaisen yksityiselämä, kunnia ja ktirauha n turvattu. Tietvut - On seuraus em. tietmurrsta - Ylläpitäjillä ei vielä le ilmitusvelvllisuutta Jatkuvuudenhallintasuunnitelma - karavaanin n kuljettava myös häiriötilanteissa Riskienhallinta - On tiedstettava uhat ja varauduttava niihin parhaalla mahdllisella tavalla. - Investinnit n suunnattava ikein
Tietverkkja tarkkaillaan jatkuvasti ja isjen timijiden tahlta! NSA PRISM https://fi.wikipedia.rg/wiki/prism_(hjelma) Xkeyscre -> metadatan analysinti (NSA, Australia, Uusi-Seelanti ja Saksa) Miksi tietturva n tärkeää? - Nrmiarki vs. tietkneet/älylaitteet (tuntuisik kivalta js ikkunan takana jku kurkkisi iltaisin...) - Laki velvittaa rganisaatiita sujaamaan arkaluntisen tietnsa. Yksityisyyden suja ja merkitys Tietturvallisuus vs. yksilönsuja - Jkaisella n ikeus mien tietjensa tarkastamiseen eri rekistereistä ja vääriä tietja saa ilmaiseksi 1krt/rekisteri/v muuttaa - rekrytinnissa ei saa gglettaa ellei työnhakija anna siihen lupaa! - vaikka työnantajalla n ikeus määrätä, mitä ja miten hänen henkilöstölle antamiaan työvälineitä saa ja pitää käyttää, työnantaja ei vi valva määräyksiään muuten kuin erikistilantaissa (esim. epäillään että jku kne rskapstittaa) - spstiviestejä ei työnantaja vi avata
Netin käyttäjän riskit - Maineen menetys (tekaistut prfiilit) - WWW-palvelimena timiminen rikllisen piikkiin (nettikauppapalvelin, rskapstipalvelin, lapsiprnpalvelin, laittmien hjelmien palvelin) - Virtuaalimaisuus (Micrsft pisteiden menetys, lisenssien varkaus, Bitcin) - Sähköpsti (pstilistjen varastaminen) - Käyttäjätunnukset peruspalveluihin (nettikaupat, Skype, sme-palveluiden tunnukset) - Kiristys ja muut hyökkäykset (valkuvakiristys, kneen tiedstjen lukitseminen ja salaus, huijaukset) - Henkilö- tai muiden tietjen menetys (hakemuksesi, lmakkeesi, terveyteesi liittyvät tiedt) - Timiminen bt-verkssa (Bitcin luhinta, palvelunesthyökkäykset) - Käyttäjätunnukset palveluihin, jissa taludellista merkitystä (Pankkitunnukset, PayPal, luttkrtin tiedt) Esimerkkejä tteutuneista tietturvauhkista Henkilötiet- tai vastaava varkaus (tietmurt ja tietvut) (spstisitteen) salasanan varkaus, stu, luttkrtti http://www.mbnet.fi/artikkeli/ajankhtaiset/ajassa/160_miljnan_luttkrtin_ti edt_viety Identiteettivarkaus esim. tekaistu Facebk prfiili (aitja ja tekaistuja tietja) vakavampi kuin henkilötietvarkaus tuli Sumessa rangaistavaksi 4.9.2015 http://yle.fi/uutiset/identiteettivarkaus_ei_enaa_pelkkaa_petkuhuiputusta_vaan_ ikea_riks/8255013 Kiinan hakkerit varastivat 5,6 Yhdysvaltain liittvaltin työntekijän srmenjäljet http://www.nytimes.cm/2015/09/24/wrld/asia/hackers-tk-fingerprints-f-5-6-millin-us-wrkers-gvernment-says.html?_r=0 Näin pienennät riskiä jutumasta identiteettivarkauden uhriksi: Mieti tarkkaan, mitä palveluja tat käyttöön ja mitä tietja palveluun tallennat. Hulehdi, että palveluiden salasanat vat ajan tasalla ja riittävän laadukkaita käytä eri salasanja eri tasn palveluissa. Timi heti, js epäilet tai humaat, että käyttäjätunnustasi tai muita tietjasi yritetään väärinkäyttää. Tee riksilmitus.
Kiristyshaittahjelmat ( kneen tiedstt salataan ja pyydetään rahaa niiden salauksen pistamiseksi) Cryptwall Nettihuijaus myydään tyhjää http://www.vaihtari.fi/blgi/huijarimyyjat-lytavat-aina-uudenvedatettavan/ nigerialaiskirjeet (tsunamikatastrfi, rmanssihuijaus, lttvitt ) Rahaa tarvitaan matkustus- ja timistkuluihin. Pankkitrijalaiset (maksuliikenteen hjailu) Sumessa v. 2012 miljna eura, jsta pulet saatiin takaisin http://www.mtv.fi/uutiset/riks/artikkeli/nain-rahat-vidaan-viedä-sumalaistenpankkitileilta-taysin-humaamatta/2416430
Teriasta käytäntöön Tiet- ja kyberturvallisuuden tteuttaminen Tietjen lukittelu - Ohjeistus ja kulutus - Työpaikalla muistettavaa Tiedn käsittelyssä humin tettavia asiita. - jattelu/lukittelu/erttelu Js et tiedä mitkä tiedt vat arvkkaita, et vi välttyä tietvudlta - tietjen luvutus, hävitys - USB-hjelmat - Win + L - Nettikahvila ulkmaanmatkalla: kannattaak mennä kneella työsähköpstiin? Entä js jku n asentanut kneeseen näppäimistönlukijan? - Wilman kautta viestittely n turvallisempaa kuin spstilla - hyvä salasana - Smessa vain julkista tieta - pilvipalvelut eivät takaa 100% turvallisuutta. Turvaa vi lisätä salaamalla tiedn ennen tiedn lataamista pilveen. Miten timit, js haittahjelmailmitus tulee työnantajan laitteilla 1) Älä sammuta knetta! 2) Ota kne irti netistä 3) Ota kameralla kuva näytöllä levasta tekstistä tai kirjita teksti ylös 4) Pyydä it-tuki paikalle jka kpii kneen tärkeät tiedt usb-tikulle Js ngelma tapahtuu ktna/malla laitteella timi samalla tavalla. Suritat nelskhdan vain itse. Js epäilet että sähköpstisitteesi tms. käyttämäsi palvelu n kaapattu, ta yhteys palveluntarjajaan puhelimitse.