Tietoturva ja tietosuoja
Tavoite ja sisältö Tavoite Ymmärtää tietoturvan ja tietosuojan merkitys osana työtapaa. Sisältö Tietoturvan ja tietosuojan käsitteet Tietoturvaa edistävät toimenpiteet Virukset ja muut haittaohjelmat Roskaposti ja huijarisivustot Käyttäjätunnukset ja oikeudet Varmuuskopiointi
Mitä tietoturva ja tietosuoja ovat? Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys sekä järjestelmien käytettävyys. Tietosuojalla tarkoitetaan henkilön yksityisyyden suojaamista henkilötietojen käsittelyssä. Tätä tarkoitusta varten henkilötiedot on suojattava oikeudettomalta tai henkilöä vahingoittavalta käytöltä. Määritelmät: Liikenne- ja viestintäministeriö. http://www.mintc.fi/scripts/cgiip.exe/wservice%253dlvm/cm/pub/showdoc.p?docid=1922&menuid=179 [18.8.2005]
Tietoturvan tekijät 1. Luottamuksellisuus Tietoa pääsevät käsittelemään ainoastaan henkilöt, joilla on siihen oikeus. 2. Eheys Tiedon käsittelymekanismit takaavat tiedon virheettömän käsittelyn. Tieto ei voi huomaamatta muuttua käsittelyprosessin aikana. 3. Käytettävyys Tieto ja sen käsittelymekanismit ovat aina oikeutettujen käyttäjien saatavilla. Lähde: Viestintävirasto. http://www.ficora.fi/suomi/tietoturva/ ttperusteet.htm [24.8.2005]
Tietoturvaa edistäviä toimenpiteitä Tekninen suojautuminen viruksilta ja madoilta Järjestelmän päivittäminen tietoturva-aukkoja vastaan Skeptisyys sähköpostin liitetiedostoja kohtaan Varovaisuus ohjelmia suoritettaessa ja asennettaessa Palomuurin käyttö Varmuuskopiointi Hyvä salasanakäytäntö Salauksen käyttö Roskapostin torjunta ja käsittely Huijausten varominen Tietoturvan mieltäminen organisaation yhteiseksi asiaksi
Virukset Virus on ohjelmakoodi, joka sijaitsee toisen ohjelman osana ja tuottaa itsestään kopioita toisiin ohjelmiin tai tiedostoihin Usein toimii muulla tarkoituksellisen haitallisella tavalla. Viruksella on itämisaika, joka sallii leviämisen ennen paljastumista. Mato on itsenäinen ohjelma, joka leviää käyttäjän tietämättä ja toimii tarkoituksellisen haitallisella tavalla. Makrovirus on datatiedoston mukana kulkeva virus, joka on kirjoitettu ohjelmiston (esim. Microsoftin VBA-) makrokielellä. Voi suorittaa operaatioita sovelluksella. Leviää toisiin datatiedostoihin. Virushuijaus eli sosiaalinen virus on sähköpostitse tai muutoin leviävä virusvaroitus tms. tiedosto, jonka tarkoituksena on levitä mahdollisimman laajalle.
Muut haittaohjelmat Mainosohjelmat (Adware) näyttävät ja hakevat käyttäjälle mainoksia ilman tämän erityistä suostumusta. Vakoiluohjelmat (Spyware) keräävät lisäksi tietoa käyttäjän toiminnoista (verkkoselailusta tms.) tämän tietämättä ja lähettävät sen kaupallisiin tai selkeästi rikollisiin muihin tarkoituksiin. Troijalaisella tarkoitetaan näennäisen hyödyllistä ohjelmaa, joka toimii käyttäjän tietämättä tälle vahingollisella tavalla Esim. peli voi sisältää ohjelmakoodin, joka lataa koneelle vihamielisen palvelinohjelmiston, joka käynnistetään aina koneen käynnistyksen yhteydessä.
Haittaohjelmilta suojautuminen Virustorjuntaohjelmiston on oltava käytössä ja ajan tasalla Tarkastettavan ohjelman koodia verrataan virustietokannan virusten koodeista johdettuihin merkkijonoihin (signature) Heuristiset tarkastukset etsivät ohjelmista tarkastettavista ohjelmista viruksille tyypillisiä piirteitä. Heuristinen lähestymistapa pyrkii löytämään uusimpia viruksia muttei ole luotettava. Polymorfiset virukset muuttavat omaa koodiaan ja pyrkivät näin hämäämään virustorjuntaohjelmia. Ulkopuoliset tiedostot on testattava virusten varalta ennen suoritusta. Makrojen automaattisen suorituksen on oltava kytkettynä pois päältä. Liitetiedostoihin on suhtauduttava varoen eikä niitä saa avata automaattisesti. Käyttöjärjestelmäpäivitykset on pidettävä ajan tasalla. Ilmaisohjelmia ladattaessa on oltava varovainen. Mainos- ja vakoiluohjelmia voi etsiä ja poistaa tarkoitukseen tehdyllä ohjelmalla (esim. AdAware). Haittaohjelma voi naamioitua haittaohjelmien poisto-ohjelmaksi. Verkkoon kytketyssä koneessa on käytettävä palomuuria. Tekee koneen näkymättömäksi troijalaisten ja tietoturva-aukkojen etsijöille. Estää palvelinohjelmien toiminnan omalla koneella käyttäjän huomaamatta. Ohjelmisto- (esim. ZoneAlarm) ja laitteistototeutuksia.
Roskaposti Roskapostilla tarkoitetaan massapostituksena pyytämättä lähetettyä, ei-toivottua sähköpostia, joka on usein lähetetty kaupallisessa tai huijaustarkoituksessa. Myös ketjukirjeet ovat roskapostia. Roskapostin vastaanottaminen heikentää työn tuottavuutta. Roskapostin lähettäminen on Suomessa laitonta. Sähköisen viestinnän tietosuojalaki (516/2004) 26 1 mom.: Automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.
Roskapostilta suojautuminen Roskapostisuodattimen käyttö. Kehittyneet suodattimet laskevat lukuisista tekijöistä pistemäärän, joka ennustaa, onko viesti roskapostia. Ns. bayeslaiset suodattimet mukautuvat oppivat tunnistamaan roskapostin ajan myötä entistä paremmin ja reagoivat muutoksiin (esim. SpamAssassin). Internet-osoitteen julkaisemisen välttäminen. Kotisivut, keskustelupalstat, kirjautumista edellyttävät palvelut Robotit keräävät sähköpostiosoitteita automaattisesti internet-sivuilta. Roskapostiin vastaamatta jättäminen. Roskapostiin vastaaminen osoittaa, että osoite on käytössä ja toimiva. Saapunut roskaposti kannattaa tuhota sitä avaamatta.
Huijarisivustot Luovat mielikuvan laillisesta verkkopalvelusta. Usein pankkeja Keräävät henkilö- ja luottokorttitietoja väärinkäyttötarkoituksiin Käytetään apuvälineinä ns. nigerialaiskirjehuijauksissa.
Käyttäjätunnukset ja oikeudet Käyttäjätunnus on henkilökohtainen, ja salasanaa ei saa luovuttaa kenellekään. Salasanan kysyminen puhelimitse ylläpitäjäksi naamioituneena on klassinen tapa hankkia luvaton pääsy tietojärjestelmään. Salasanan on oltava riittävän pitkä ja vaikeasti arvattavissa, Metropoliassa vähintään 8 merkkiä ja sen on sisällettävä numeroita tai erikoismerkkejä. Tiedostot kannattaa suojata antamalla vain minimaaliset oikeudet Esim. Linux-koneessa toimitaan pääkäyttäjänä vain silloin, kun se on välttämätöntä. Tämä suojaa myös omilta virheiltä. Linuxissa oikeudet voidaan määrittää tiedostokohtaisesti: -rw-rw-r-- 1 olliv olliv 4 elo 18 12:30 koe.txt Itselle luku- ja kirjoitusoikeus Ryhmälle luku- ja kirjoitusoikeus Maailmalle vain lukuoikeus
Varmuuskopiointi Tärkeät tiedot on syytä varmuuskopioida niin usein, että yksittäisen tiedoston tuhoutuminen ei aiheuta liian suurta vahinkoa. Ylläpito varmuuskopioi Metropolian kotihakemistot (Z:- asemien sisällön) kerran vuorokaudessa. Työskenneltäessä tärkeät tiedostot kannattaa tallentaa usein, määräajoin eri nimisinä. Varmuuskopioiden säilytys on järjestettävä turvallisesti. Kestettävä kiintolevyn hajoaminen, kiinteistön tuhoutuminen jne.