5.2 Tietoturva ja digiturvallisuus

Tietoturva

Osaammeko toimia verkossa niin, että omat tietomme pysyvät turvassa? Tunnistammeko varmasti, millä sivustolla olemme, vai luotammeko sivuston tuttuun ulkoasuun? Onko salasanamme riittävän vahva? Millainen virusturvaohjelmisto on tarpeen, jotta olen turvassa?
Tietoturvan tärkein tekijä on oma toiminta. Kun ymmärrämme perusasioita, kuten salasanojen vahvuuden, verkkosivujen luotettavuuden ja laitteiden suojaamisen, pystymme tekemään parempia päätöksiä ja ehkäisemään riskejä ennen kuin ne muuttuvat ongelmiksi.

Tietoturvalla suojaamme omat laitteemme ja tiedot.

Mitä tietoturva tarkoittaa käytännössä?

Tietoturva ei ole vain ohjelmia tai monimutkaisia salasanoja, vaan ennen kaikkea omaa tietoista toimintaa ja asennetta. Teknologia tarjoaa suojan, mutta inhimillinen tekijä on usein heikoin lenkki. Kiireessä tehty ajattelematon klikkaus, liian houkutteleva ”voita-nyt”-tarjous tai varomaton selaaminen mobiililaitteella julkisessa Wi-Fi-verkossa – kaikki nämä voivat olla esimerkkejä tilanteista, joissa tietoturva helposti pettää. Jokainen hetki, jossa teemme päätöksiä verkossa tai digitaalisissa ympäristöissä, on myös hetki, jossa voimme vahvistaa tai heikentää omaa ja organisaation tietoturvaa.

Tietoturva kuvituskuva.

Miksi tietoturva on tärkeää?

Tietoturvan tärkeys nousee esiin erityisesti, kun tarkastelemme niitä yleisimpiä uhkia ja haasteita, joita digitaalinen maailma tuo mukanaan.
Näitä keskeisiä haasteita ovat muun muassa:

  • Tietovuodot: Tiedot joutuvat vääriin käsiin, usein tahallisen hyökkäyksen tai inhimillisen virheen seurauksena. Tämä johtaa maineen menetykseen ja taloudellisiin tappioihin, kun esimerkiksi asiakkaiden luottokorttinumerot paljastuvat.
  • Hakkerointi: Luvaton murtautuminen järjestelmiin heikkouksia hyödyntäen tietojen varastamiseksi tai järjestelmien kaappaamiseksi. Esimerkiksi kiristyshaittaohjelman (ransomware) käyttö tiedostojen lukitsemiseen lunnaita vastaan.
  • Tietojen manipulointi: Tietojen tahallinen muokkaaminen, väärentäminen tai tuhoaminen järjestelmässä vahingon aiheuttamiseksi. Tämä voi johtaa vääriin päätöksiin tai petoksiin, kuten lääketutkimuksen tulosten muuttamiseen.
  • Identiteettivarkaudet: Henkilötietojen luvaton käyttö petosten tekemiseen tai uuden identiteetin luomiseen uhrin nimissä. Usein toteutetaan tietojenkalastelulla (phishing), jotta voidaan nostaa lainoja tai hakea luottokortteja uhrin tiedoilla.
  • Haittaohjelmat ja virukset: Ohjelmistot, jotka on suunniteltu vahingoittamaan tai tunkeutumaan tietokonejärjestelmiin. Esimerkiksi Troijan hevonen voi naamioitua hyödylliseksi ohjelmaksi, mutta todellisuudessa asentaa takaoven järjestelmään.
  • Palvelunestohyökkäykset: Tarkoituksena on lamauttaa verkkosivusto tai palvelu lähettämällä siihen ylisuuri määrä liikennettä. Tämä estää oikeita käyttäjiä pääsemästä palveluun ja aiheuttaa taloudellisia menetyksiä (esim. verkkokaupan kaatuminen).

Salasanat ja käyttäjätunnukset – ensimmäinen suojauslinja

Vahva salasana on yksinkertaisin ja tehokkain tapa suojata tietoja. Liian lyhyt tai helposti arvattava salasana on kuin avonainen ovi omiin tietoihin. Turvallinen salasana on vähintään 15 merkkiä (mielellään 20 merkkiä) pitkä, sisältää seuraavia merkkejä:

  1. Pienien kirjaimien lisäksi suuraakkosia tai -aakkosen
  2. Numeroita (vähintään kaksi)
  3. Erikoismerkin tai -merkkejä (Tavallisimmin käytettyjä erikoismerkkejä ovat @._!-()+$#*, pyri välttämään näitä ja keksi jotain omaperäisempää)
  4. Salasana voi sisältää myös selkeitä sanoja. Turvallisimpia ovat murresanat, joita ei löydy sanakirjoista.

Eri palveluiden salasanat on hyvä hallita turvallisesti esimerkiksi salasananhallintaohjelman avulla. Lisäksi kaksivaiheinen tunnistautuminen lisää merkittävästi suojaa, sillä pelkkä salasana ei silloin enää riitä luvattomaan kirjautumiseen.

Salasanalause – muista helpommin, suojaa tehokkaammin

Perinteinen salasana koostuu usein satunnaisista merkeistä, kuten Xf9!kL2@, ja vaikka se voi olla teknisesti vahva, sen muistaminen on monelle hankalaa. Siksi yhä useammin suositellaan salasanalauseen käyttöä – se on pidempi, helpommin muistettava ja usein myös turvallisempi.

Salasanalause on luonnollinen lause tai sanayhdistelmä, johon lisätään numeroita ja erikoismerkkejä. Esimerkiksi:

Lomailija[1990]laiturilla

Tällainen lause on:

  • Pitkä: Pituus on tärkein yksittäinen tekijä salasanan vahvuudessa
  • Muistettava: Perustuu omaan mielikuvaan tai tarinaan
  • Monipuolinen: Sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.

Salasanalause voi perustua vaikka omaan muistoosi, sanaleikkiin tai mielikuvitukselliseen tapahtumaan. Kun siihen yhdistetään pieni määrä teknisiä elementtejä (esim. @, !, #, vuosiluku), se täyttää useimpien järjestelmien vaatimukset.

Vinkki: Valitse lause, joka ei ole suoraan lainattu mistään julkisesta lähteestä (esim. laulunsanoista tai sananlaskuista), vaan tee siitä oma. Näin vältät sanakirjahyökkäykset. Erinomainen idea on käyttää sanoja, jotka eivät suoraan ole oman äidinkielesi perussanastoa vaan jokin erityissana, kuten ”slangisana”.

Salasanojen turvallinen tallentaminen ei tarkoita, että ne täytyy muistaa ulkoa. Tärkeintä on, että ne ovat vahvoja ja tallennettu tavalla, joka ei vaaranna tietoturvaa.

Salasanan muistaminen… hmmm?

Salasanojen unohtaminen on yleinen ongelma, joka voi keskeyttää asioiden hoitamisen tai estää pääsyn palveluihin. Yleisesti tunnettu perussääntö on, että kirjautumistunnuksia ei pitäisi kirjoittaa mihinkään muistiin. Silti salasanan tallentaminen jollain tapaa on tarpeen, sillä kuten tiedetään kaikkiin palveluihin suositellaan käytettävän eri salasanaa. Hyvin harva ihminen pystyy muistamaan esim. 40 eri salasanaa ulkoa.

Nykyään miltei kaikki ihmiset käyttävät automaattista kirjautumista tai ”Pysy kirjautuneena”-ominaisuutta. Kun evästeet poistetaan selaimen välimuistia tyhjennettäessä selain kuitenkin kirjautuu ulos palveluista (poislukien Google+). Jos salasana ei ole muistissa, kirjautuminen ”kasvattaa tukon harmaita hiuksia” joskus hyvinkin teknisen salasanan resetoimisen ansiosta.

Tarkastellaan seuraavassa suositelluimpia tapoja ”turvalliseen” kirjautumistietojen hallintaan:

1. Salasananhallintaohjelmat

Suositeltavin tapa tallentaa salasanoja on käyttää salasananhallintaohjelmaa. Ne tallentavat tunnukset salattuun muotoon ja vaativat vain yhden pääsalasanan muistamista.

2. Paperimuistiinpanot

Jos digitaaliset keinot eivät sovi, salasanoja voi tallentaa paperille, kunhan se tehdään huolellisesti:

  • Älä kirjoita suoraan “Facebook: salasana = …” vaan käytä vihjeitä tai koodattua muotoa
  • Käsittele ja suojele salasanojen paperia kuin omaa rahapussiasi.
  • Säilytä paperi lukitussa paikassa, ei mukana tai näkyvillä

5. Turvallinen tekstitiedosto

Jos salasanoja halutaan tallentaa omalle koneelle tekstitiedostoon, se tulee tehdä turvallisesti ja muistaa seuraavat asiat:

  • Tiedosto tallennetaan vain paikallisesti, ei koskaan pilveen
  • Tietokoneella, jolla salasanat ovat on oltava salasanasuojaus ja levyn salaus (esim. BitLocker)
  • Tiedosto nimetään neutraalisti viittaamatta tiedoston salaisiin tietoihin
  • Salasanat on kirjoitettava koodattuna: esim.(ylimääräinen merkkijono)Salasana(ylimääräinen merkkijono) tai kirjoitetaan salasana jotenkin muuten salattuna
  • Salasanatiedosto voi olla pakattuna salasanasuojattuun .zip-tiedostoon, jotta siihen ei suoraan pääse käsiksi.

Kirjautumiskäytännöt – tunnistautumisen tavat ja tietoturva

Verkkopalveluihin kirjautuminen on arkipäivää, ja käyttäjätilejä luodaan jatkuvasti eri sivustoille. Tavallisin tapa kirjautua on käyttäjätunnuksen ja salasanan yhdistelmä, mutta nykyaikaiset palvelut hyödyntävät myös vahvempia tunnistautumismenetelmiä, jotka parantavat tietoturvaa ja suojaavat käyttäjän identiteettiä.

Perinteinen tunnistautuminen

Perinteinen kirjautuminen perustuu käyttäjätunnukseen ja salasanaan. Rekisteröitymisen yhteydessä käyttäjä täyttää lomakkeen, saa sähköpostiinsa vahvistusviestin ja aktivoi tilinsä. Tämän jälkeen kirjautuminen tapahtuu tunnuksen ja salasanan avulla.

Vaikka tämä menetelmä on yleinen, se on myös haavoittuvainen. Salasanan heikkous, tietojenkalastelu tai salasanojen vuotaminen voivat johtaa tilin väärinkäyttöön. Siksi on tärkeää:

  1. Käyttää vahvaa ja pitkää salasanaa tai salasanalauseita (15-20 merkkiä tai enemmän)
  2. Välttää samoja salasanoja eri palveluissa
  3. Vaihtaa salasana säännöllisesti

Kaksivaiheinen tunnistautuminen (2FA)

Kaksivaiheinen tunnistautuminen lisää kirjautumiseen toisen kerroksen. Sen avulla varmistetaan, että kirjautuja on todella tilin omistaja.

Yleisiä menetelmiä ovat:

  • Tekstiviestikoodi: käyttäjä syöttää salasanan ja saa puhelimeensa kertakäyttöisen koodin
  • Sovelluspohjainen tunnistus: esim. Google Authenticator tai Microsoft Authenticator
  • Fyysinen laite: kuten USB-turva-avain (esim. YubiKey)

Tämä menetelmä suojaa erityisesti tilanteissa, joissa salasana on joutunut vääriin käsiin.

Huomio: Pankkikortin CVC-koodi toimii samankaltaisena lisävahvistuksena verkko-ostoksissa. Siksi CVC-koodia ei koskaan tule jakaa yhdessä kortin numeron kanssa.

Pankkitunnistautuminen

Pankkitunnistautuminen on yksi vahvimmista tunnistautumismenetelmistä. Se perustuu käyttäjän pankin tarjoamaan tunnistuspalveluun, joka hyödyntää pankkitunnuksia ja vahvaa salausmenetelmää. Suomen laki vaatii vahvaa tunnistautumista järjestelmissä, jossa käsitellään henkilötietoja.

Tätä käytetään erityisesti viranomaispalveluissa ja terveydenhuollon järjestelmissä, kuten:

  • Kela
  • Vero
  • OmaKanta
  • TE-palvelut
  • Pankkien omat palvelut

Pankkitunnistautuminen täyttää vahvan sähköisen tunnistamisen vaatimukset ja suojaa arkaluontoisia henkilötietoja tehokkaasti.

Viestintäviraston kyberturvallisuuskeskuksen ohjeistus salasanoihin.

Biometrinen tunnistautuminen

Yhä useammat laitteet ja palvelut tukevat biometrisiä menetelmiä, kuten:

  • Sormenjälkitunnistus
  • Kasvontunnistus
  • Äänentunnistus

Biometrinen tunnistus on nopea ja käyttäjäystävällinen, mutta sen tietoturva riippuu laitteiston laadusta ja siitä, miten biometrinen data on tallennettu ja suojattu.

Sosiaalinen kirjautuminen

Monet palvelut tarjoavat mahdollisuuden kirjautua esimerkiksi Google-, Facebook- tai Apple-tunnuksilla. Tämä voi olla kätevää, mutta siihen liittyy myös riskejä:

  • Palvelu saa pääsyn osaan käyttäjän profiilitiedoista
  • Jos päätili vaarantuu, kaikki siihen liitetyt palvelut voivat olla vaarassa

Yhteenveto

Kirjautumiskäytännöt kehittyvät jatkuvasti. Tärkeintä on ymmärtää, että pelkkä salasana ei enää riitä suojaamaan käyttäjätilejä. Vahvemmat menetelmät, kuten kaksivaiheinen tunnistautuminen ja pankkitunnistautuminen, tarjoavat merkittävästi parempaa suojaa.

Muista ainakin nämä asiat tunnistautumisessa:

  1. Suosi vahvoja ja pitkiä salasanoja
  2. Ota käyttöön kaksivaiheinen tunnistautuminen aina kun mahdollista
  3. Älä jaa kirjautumistietoja kenellekään
  4. Tarkista, mitä tietoja ja oikeuksia sosiaalinen kirjautuminen antaa palvelulle

Varmista SSL-salaus

Verkossa liikumme usein nopeasti. Kriittisissä tilanteissa pysähdy hetkeksi ja voit säästyä isoilta ongelmilta. Erityisesti, jos käytät sivustolla pankkitunnuksia tai luottokortin numeroa (ostat verkosta). Sivuston osoiteriviltä kannattaa tarkistaa, että osoite alkaa https://. Jos sivusto on https:// sivuston palvelimen ja sinun tietokoneesi välinen liikenne kulkee salattuna (SSL) ja mahdollinen ulkopuolinen ei pysty lukemaan näpyttelemääsi luottokortin numeroa datavirrasta.

Varmista sivun aitous

Kaikilla internetin sivustoilla URL-osoite on uniikki, eikä sitä voi olla kenelläkään muulla maailmassa. Yhdenkin merkin ero URL-osoittessa verattuna sivustoon, jolla oletat olevasi, herättää epäilyksen oletko olettamallasi sivustolla. Myös osoitteen domainpääte (.fi, .com, .net) kannattaa huomioida. Domain voidaan varata sadoilla erilaisille domainpäätteillä, joten silläkin on merkitystä.

Voit tarkastella aihetta tarkemmin, hakemalla vapaata domainia (esim. S-pankki) vaikka domainhotellin domainhaun avulla. Siirry sivulle ja kirjoita hakukenttään (Hae domainia..) s-pankki ja katso mitä domaineja on vapaana vai onko mitään. Jos domain ei ole vapaana ne eivät ole millään tapaa varattavissa, joten mikään muu kuin S-pankin sivusto ei voi käyttää osoitetta.

Tarkistamalla domain, tiedät olevasi oikealla sivustolla.

Varmista domainin aitous. Oletko aidolla sivulla?
Varmista domainin aitous. Oletko aidolla sivulla?

Sähköposti ja viestisovellukset

Huijaussähköpostit ja tekeytyminen tutuksi henkilöksi viestisovelluksessa ovat yleinen tapa pyrkiä harhauttamaan vastaanottaja välittämään henkilökohtaisia tietoja verkossa. Tavallisin ominaisuus huijausviesteissä on kiireen tuntu. Viestin lähettäjällä saattaa olla jokin ongelma, jonka johdosta huijausviestin vastaanottajan on luovutettava henkilökohtaisia tunnuksia tai rahaa. Viesteissä on kuitenkin usein pieniä vihjeitä: outoja osoitteita, kirjoitusvirheitä tai kiireen tuntua herättävä tuntu. Tietoisuus näistä merkeistä auttaa tunnistamaan riskit ajoissa ja et mene lankaan 😉

Esimerkkejä huijausyrityksistä viestipalveluissa ja sähköpostissa.
Esimerkkejä huijausyrityksistä viestipalveluissa ja sähköpostissa.

Sosiaalinen manipulointi ja huijaukset

Tietojenkalastelu ja sosiaalinen manipulointi perustuvat siihen, että ihminen saadaan toimimaan nopeasti ja luottamaan väärään tahoon. Sähköpostit, tekstiviestit ja puhelut voivat näyttää virallisilta, mutta niissä saatetaan pyytää tietoja, joita oikea taho ei koskaan kysyisi.

Paras suoja on pysähtyminen ja harkinta: jos viesti herättää epäilyksen, sitä ei tule avata tai linkkejä klikata. Huijausten tunnistamista voi harjoitella – ja kokemuksen myötä niistä oppii erottamaan yhä enemmän varoitusmerkkejä.

Selkeästi huijausviesti sähköpostissa.
Selkeästi huijausviesti sähköpostissa.

Laitteen ja verkon suojaaminen

Tietokoneen, puhelimen ja muiden laitteiden suojaaminen on tärkeä osa tietoturvaa. Virustorjunta ja palomuuri estävät haittaohjelmia pääsemästä järjestelmään, ja ohjelmistopäivitykset korjaavat tietoturva-aukkoja, joita rikolliset voisivat muuten hyödyntää.

Myös verkon käyttöympäristö vaikuttaa: julkiset WiFi-verkot voivat olla suojaamattomia, joten niiden yhteydessä ei tulisi kirjautua palveluihin, jotka sisältävät arkaluonteista tietoa.

Esimerkki: Seutu Wireless ja roam.fi -verkko Pirkanmaalla

Monilla Pirkanmaan julkisilla paikoilla, kuten kirjastoissa ja virastotaloissa, on käytössä Seutu Wireless -niminen julkinen langaton verkko. Ennen yhteyden avautumista käyttäjä vahvistaa verkon selaimessa ja tunnistautuu esimerkiksi sähköpostin tai puhelinnumeron avulla.

Seutu Wireless on esimerkki niin sanotusta portaalilla varmennettavasta verkosta. Se on avoin verkko, joka vaatii käyttäjältä tunnistautumisen, mutta yhteys ei silti ole salattu samalla tavalla kuin kotiverkossa, jossa käytetään WPA2- tai WPA3-suojausta ja salasanalla suojattua yhteyttä.

Seutu Wireless on luotettavampi kuin täysin avoin WiFi, koska sen taustalla on julkinen ja valvottu toimija. Siitä huolimatta sen käyttöön liittyy samoja perusperiaatteita kuin muihinkin julkisiin verkkoihin:

  • Käytä verkkoa mieluiten kevyeen selailuun ja asiointiin.
  • Vältä kirjautumista palveluihin, joissa käsitellään arkaluonteisia tietoja, kuten pankkipalvelut tai viranomaisportaalit. Kirjautuminen saattaa olla turvallista mutta riski on olemassa, joten parempana vaihtoehtona on vaihtaa yhteys salasanalla suojattuun puhelimen verkkoyhteyteen.

Näin toimien myös julkiset verkot voivat palvella turvallisesti, kun käyttäjä ymmärtää niiden rajoitukset ja käyttää niitä harkiten.

Esimerkki 2: Salasanalla suojattu mobiiliverkko

Verkko, joka vaatii kirjautumisen salasanalla ennen yhdistämistä, hyödyntää yleensä WPA2– tai WPA3-salausta. Tämä tarkoittaa, että liikenne laitteen ja tukiaseman välillä on salattua, eikä ulkopuolinen voi helposti tarkkailla tai siepata tietoja.

Tällaiset verkot ovat turvallisempia kuin avoimet WiFi-verkot, koska:

  • Yhteys on salattu, joten tiedot kuten sähköposti, pankkitunnukset tai salasana eivät kulje avoimena.
  • Salasanan avulla hallitaan verkon käyttöä ja estetään tuntemattomia liittymästä siihen ilman lupaa.
  • Verkkojen ylläpitäjä voi valvoa käyttöä paremmin ja estää haitallisen toiminnan verkossa.

Ohje käyttäjälle:

  • Varmista, että verkko käyttää WPA2– tai WPA3-salausta ja että salasana on riittävän vahva.
  • Vältä jakamasta salasanaa tuntemattomille.
  • Vaikka verkko on suojattu, kannattaa silti kiinnittää huomio HTTPS-sivustoihin (SSL).