Tietoturvallinen Suomi

Onko Suomi tietoturvallisuuden kärkimaa? - Mikko Hyppönen (F-secure)

Mikko Hyppönen F-securelta kertoo Suomen tilasta kansainvälisessä vertailussa tietoturvatietoisuuden ja osaamisen saralla.


Tietoturvallisuus ja sen hallinta yrityksissä - Mikko Hyppönen (F-secure)

Mikko Hyppönen F-securelta kertoo tietoturvallisuudesta ja sen hallinnasta yrityksissä.


Verkkorikollisuus ja siihen varautuminen - Mikko Hyppönen (F-secure)

Mikko Hyppönen F-securelta kertoo verkkorikollisuuden kehityksestä ja siltä suojautumisesta.


EU:n tietosuoja-asetus (GDPR) ja sen vaikutukset - Mikko Hyppönen (F-secure)

Mikko Hyppönen F-securelta kertoo 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta (GDPR) ja sen vaikutuksesta yrityksiin.


3 käytännön tietoturvavinkkiä - Mikko Hyppönen (F-secure)

F-securen tutkimusjohtaja Mikko Hyppönen kertoo 3 konkreettista tietoturvavinkkiä, jolla parannat henkilökohtaista tietoturvaasi merkittävästi. Nämä perusasiat kannattaa olla kunnossa!


Yksityisyydensuoja ja siihen liittyvät uhat - Mikko Hyppönen (F-secure)

Mikko Hyppönen F-securelta kertoo yksityisyydensuojasta verkossa ja internetin käyttäjiä vaanivista vaaroista verkossa liittyen tietosuojaan ja yksityisyyteen.


Suomi on kyberturvallisuuden kärkimaa Euroopassa

Suomi on maaliskuun 20. julkistetun onnellisuustutkimuksen mukaan maailman 5. onnellisin maa. Tässä onnellisuuden mittaamisessa ovat vapaus, turvallisuus sekä luottamus tärkeitä kriteereitä. Nämä ovat myös arvossa pidettyjä asioita Suomen 100v historiassa. Kansallinen itsenäisyys on Suomen historian aikana ollut pääosin fyysisten rajojen turvaamista taloudellisesti, hyvinvoinnillisesti sekä sotilaallisesti. Maailma on kuitenkin muuttumassa. Kahden supervallan Neuvostoliiton ja Yhdysvaltojen polarisoituneen maailman murruttua 1990-luvun alkupuolella, kaikki vaikutti olevan raiteillaan. Rauha vallitsi ja maailman fokus oli taloudellisen hyvinvoinnin kasvattamisessa. Tämä oli kuitenkin maailman historiassa lyhyt jakso joka alkaa olla siirtymässä jälleen uuteen vaiheeseen. Valtioiden kova kilpavarustelu sekä kansallistunne ovat vahvassa kasvussa. Ei ole päivääkään ilman ”Trump” uutisia mitkä eivät nousisi kaikkialla otsikoihin. Yhdysvalloissa ollaan lisäämässä puolustusbudjettia jopa 53 Mrd dollarilla ja länsinaapurimme Ruotsi ottaa jälleen käyttöön yleisen asevelvollisuuden.

Maailma käy osin informaatiosotaa, jossa vaikutetaan vahvasti eri maiden toimintaan sekä niiden demokraattiseen päätöksen tekoon. Uusi suurvaltapolitiikan aikakausi on herännyt ja valtataistelu alkanut. Ennen tätä maailman kansainvälistyminen on kuitenkin toteutunut niin laajasti, ettei kaikkea voi enää muuttaa. Digitalisuus on rikkonut kaikki fyysiset rajat ja kansallinen itsenäisyys on paljon muuta kuin pelkät maan fyysiset rajat. Tämä tulee näkymään myös yhä voimakkaammin kyberturvallisuudessa. Kansallinen omavaraisuus kyberturvallisuudessa on yksi tulevaisuuden kilpailuvalteista. Jos Suomi on ollut 100 vuotta itsenäinen pitäen fyysisen maamme koskemattomana, on tulevaisuus digitaalinen ja siinä maailmassa suvereenisuus ja itsenäisyys ovat seuraavan sadan vuoden aikana jopa tärkeämpiä asioita kuin fyysiset kyvykkyydet. Tämän takeena on vain vahva kyberosaaminen sekä korkea kyberomavaraisuusaste. Tulevaisuudessa jokainen maa joutuu palaamaan juurilleen ja ottamaan yhä suuremman vastuun omasta turvallisuudestaan sekä maan omista kyvyistä sekä osaamisesta.

Suomi on tällä hetkellä kyberturvallisuudessa vielä yksi eurooppalainen menestyjämaa. Maassa on merkittävä kyberturvateollisuus ja Euroopan mittakaavassa mitattuna olemme harvoja maita, jossa oma teollisuus on vielä siinä asemassa, että se voi toimia osin vaihtoehtona kansainvälisten jättiyritysten kybertarjonnalle. Näiden vaihtoehtojen olemassaolo on tärkeää, jotta kansallisesti on mahdollisuus luoda kyberturvallisuuteen kyvykkyyksiä jotka eivät ole täysin ulkopuolisten käsissä. Se ei tarkoita sitä, että kaikkea on kyettävä tekemään itse, vaan sitä että eriratkaisuja voidaan yhdistellä itsenäisesti ja niiden yhdistelemiseen on osaamista sekä mahdollisesti ”korkattuja” eli perusratkaisuilla toteutettuihin kokonaisuuksiin jääneet väylä ulkopuolisten tahojen vakoilulla, vaikuttamiselle sekä muille suuremmille uhille voidaan torjua, omavaraisilla kyvyillä, osin omavaraisilla ratkaisuilla sekä erityisesti ylivertaisella kyberturvaosaamisella.

Tämä vaatii myös merkittävää osaamista kyberturvallisuusasioissa, joita tulisi kehittää kaikilla tasoilla jo peruskoulussa, lukiossa ja ammatillisessa koulutuksessa mukaan lukien myös aikuistäydennyskoulutuksen. Suomen kansallinen menestys riippuu meistä jokaisesta. Maassa on satsattava osaamiseen, teollisuuteen sekä julkisen sektorin on panostettava ehkä Suomen tulevaisuuden kannalta tulevaan kansallisesti arvokkaimpaan omaisuuteen kyberomavaraisuuteen huomattavasti enemmän kuin nyt teemme. Muutoin olemme vuonna 2117 osana jotakin muuta kuin vapaata, turvallista – maailman onnellista maata, Suomea!

Tätä arvokasta työtä tekevät kaikki FISC ry:n jäsenet, olemme yhdessä turvaamassa Suomen suvereenisuutta seuraavaksi 100 vuoden aikakaudeksi. Tässä työssä Alertum toimii yhtenä suomalaisena edelläkävijä.

Juha Remes

Cyberlab Oy, Toimitusjohtaja sekä FISC ry, toiminnanjohtaja


Etäluettavien maksukorttien sähköiset taskuvarkaudet ovat kasvava riski - mutta siltä voi onneksi suojautua

Lähimaksuominaisuudella varustetut maksukortit ovat viime aikoina olleet näyttävästi uutisissa, eikä syyttä. Maailma kehittyy ja uusien ominaisuuksien mukana tulee usein ennalta arvaamattomia ongelmia. Lähimaksu, vaikkakin kätevä ja nopea tapa maksaa, vaatii käyttäjältään omanlaista valveutuneisuutta, sillä varkaat pystyvät lukemaan lähimaksukorttia kuin avointa kirjaa.

Uuden ominaisuuden lisääntyminen on antanut varkaille uusia mahdollisuuksia hyödyntää lähimaksukorttien tietoturva-aukkoa. Maksujärjestelmien turvallisuutta tutkinut tietoturvayhtiö Nixu on testeissään todennut, että mm. etäluettavien Visa- ja Mastercard -korttien tiedot ovat helposti luettavissa jopa taskussa olevasta lompakosta. Lokakuussa 2016 Tilastokeskuksen julkaisema tilasto kertoo, että maksuvälinepetoksia tuli tammi-syyskuussa 2016 ilmi jopa13 300 kpl, mikä on 6 100 kpl (84,8 prosenttia) edellisvuotta enemmän.

Varkailla on nykyään käytössä lukulaitteita, joilla lähimaksuominaisuudella varustettujen luotto- ja debit-korttien tiedot voi lukea huomaamattomasti pitkänkin etäisyyden päästä. Tiedoilla pystyy “höyläämään” kortilta rahaa, mutta yleisimmin tiedot myydään eteenpäin netissä, toisella puolella maailmaa oleville rikollisille tai käytetään tietoja ulkomaalaisissa verkkokaupoissa. Verkossa ostoraja on käytännössä kortin käyttöraja tai tilillä käytössä oleva varallisuus, jolloin 25 euron kertaraja ei ole esteenä.

Ongelma on siinä, että moni nettikauppias ei vaadi vahvaa tunnistautumista tai kortin takana olevaa turvaakoodia, vaan laittaa helpon ostamisen turvallisuuden edelle, tietoturvakonsultti Niki Klaus Nixusta kertoo.

Tämän lisäksi Englantilainen yliopisto, Newcastle University, julkaisi joulukuussa 2016 tiedotteen jonka mukaan turvakoodi, eli cvv-koodi on usein selvitettävissä noin kuudessa sekunnissa.

UUSI TEKNOLOGIA ESTÄÄ TEHOKKAASTI SÄHKÖISET TASKUVARKAUDET

Riski joutua maksukorttirikoksen uhriksi on selvästi kasvamassa, mutta onneksi sitä vastaan voi suojautua kätevästi. Markkinoilla on jo vuosia ollut erilaisia turvalompakoita, suojataskuja sekä suojalevyjä joiden toimintaperiaate perustuu signaaleja läpäisemättömän materiaalin käyttöön.

Nyt Suomen markkinoille on tullut myös uusinta teknologiaa edustavia CardProtect.fi suojakortteja. Suojakortin sisältämä mikropiiri piilottaa automaattisesti lähimaksukortin tiedot vilpilliseltä etälukuyritykseltä. Kortti ei vaadi paristoja, lataamista tai minkäänlaista ylläpitoa, vaan se saa käyttövirtansa lukuyrityksen yhteydessä lukijan magneettikentästä. Tämä vajaan parinkympin hintainen suojakortti yksinkertaisesti asetetaan lompakkoon maksukorttien lähelle, jonka jälkeen kortit ovat suojassa. CardProtect.fi suojaa maksukorttien lisäksi myös kulkulupia, hotelliavaimia, passeja ym. etäluettavia kortteja.

Aiheesta on maailmalla puhuttu jo vuosia, mutta Suomessa vasta herätään ongelman olemassaoloon.

Pankkien asiakkaat saavat lähimaksuominaisuuden automaattisesti aina vuosiuusintojen yhteydessä ja kasvua on edessä vielä paljon, sillä maailmalla laajasti toimiva lähimaksaminen perustuu Master Cardin sekä Visan kaltaisiin kansainvälisiin maksustandardeihin.

Kent Åkerberg

CardProtect.fi

 


Tietoturvan perustukset - miten aloitan tietoturvakulttuurin rakentamisen?

Tämä teksti on julkaistu alunperin Graniten Asiaa riskienhallinnasta -blogissa osoitteessa www.granite.fi/ajankohtaista.

Tietoturvallisuus on hyvin monisyinen aihepiiri. Hyvän tietoturvallisuustason saavuttaminen vaatii sekä ennaltaehkäiseviä teknisiä toimenpiteitä ja toimintatapoja että henkilöstön osaamista ja tietoisuutta tietoturvaan liittyvistä asioista. Liian usein tietoturvallisuutta pyritään parantamaan kuitenkin vain kertarysäyksenä toteutettavilla yksittäisillä toimenpiteillä. Parhaimmatkaan tekniset toimenpiteet tai yksittäiset perehdytyskoulutukset eivät kuitenkaan toimi, jos henkilöstön osaaminen ja tietoisuus ei ole riittävällä tasolla, ja sitä ei ylläpidetä systemaattisesti. Tietoturvan selkokielinen, säännöllinen ja systemaattinen koulutus on kuin talon perustukset, jonka päälle rakennetaan muut riskienhallinnalliset menettelyt. Mikäli talon perustukset ovat mädät, ei kannata lähteä ensimmäisenä korjaamaan räystäitä.

Useissa yrityksissä työhöntuloperehdytyksen yhteydessä tiedotetaan kertaluontoisesti tietoturvallisuuteen liittyvät yleisimmät toimintatavat. Systemaattista koulutusta ja tietoisuuden ylläpitoa ei kuitenkaan tehdä ollenkaan. Räikeimmissä tapauksissa tietoturvallisiin työtapoihin ei anneta minkäänlaista perehdytystä, vaan tietoturvaan liittyvät asiat kuitataan sillä että ”kyllä meidän IT-kaverit hoitaa ne tietoturvajutut!”. Usein myös kuulee väitteitä, että ”tietoturva ei ole meidän toimialalla olennaista” tai ”ei meillä ole mitään niin tärkeää tietoa, että sitä pitäisi suojata”. Tämä kertonee jotain vaarallisesta kulttuurista,  joka valitettavasti vieläkin on varsin hyvin elossa monessa yrityksessä. Vasta-argumenttina tälläisille väitteille voisi esittää esimerkiksi seuraavaa: entä jos yrityksesi työntekijä lataa tietämättömyyttään sähköpostista yrityksesi palvelimelle haittaohjelman, joka salakirjoittaa kaikki yrityksesi tiedot lukukelvottomiksi? Tietojen saatavuus ja oikeellisuus kuuluvat myös olennaisena osana tietoturvallisuuteen, ja nämä ovat äärimmäisen olennaisia joka ikiselle toimialalle, vaikka tiedon luottamuksellisuus ei olisikaan niin tärkeässä roolissa.

Yrityksissä, joissa tietoturvallisuuteen suhtaudutaan kokonaisvaltaisesti, on kulttuuri hyvin erilaista. Sen lisäksi, että tekninen suojautuminen ja käytännön toimintatavat ovat IT-osaston puolesta mallikkaasti hoidettu, on myös tietoisuuden ja osaamisen jatkuva kehittäminen otettu osaksi yrityksen normaaleja toimintatapoja ja siitä huolehtiminen kuuluu yrityksen jokaiselle työntekijälle, ei vain IT-osastolle. Työhöntuloperehdytyksen lisäksi koko henkilöstö käy vuosittain (tai jopa pari kolme kertaa vuodessa) jokapäiväiseen toimintaan liittyviä tietoturvallisia toimintatapoja opettavia ja kertaavia kursseja, säännöllisesti keskustelee esimerkiksi tiimi- tai osastokohtaisesti tietoturvaan liittyvistä havainnoista ja yleisesti ottaen pitää tietoturvallista toimintaa ja kulttuuria pakollisen pahan sijaan keskeisenä asiana koko liiketoiminnan jatkuvuudelle. Tietoturvallisuutta koskevat koulutukset ja ohjeistukset ovat esitetty selkokielisesti, tekninen jargon loistaa poissaolollaan ja asia koskettaa mahdollisimman tehokkaasti kohderyhmäänsä. Koulutuksien tärkeys ja suuri rooli yrityksen jatkuvuuden varmistamiseksi viestitään koko henkilöstölle, jolloin tietoturvaosaamisen ylläpitäminen nähdään enemmän yhteen hiileen puhaltamisena, kuin pakollisena pahana, joka ylhäältä käsin määrätään käytäväksi.

Monissa yrityksissä asian tärkeys kyllä tiedostetaan, mutta tietoturvallista toimintakulttuuria ei ole saatu rakennettua ja tietoturva-asioiden systemaattisen koulutuksen osalta ei ole tehty käytännön toimenpiteitä. Mistä siis kannattaisi lähteä liikkeelle?

  1. Kommunikoi tietoturvan tärkeys koko henkilöstölle
    • Yhdistä tietoturva tärkeisiin teemoihin esim. pyytämällä asiantuntija puhumaan ja motivoimaan koko henkilöstöä jonkin sopivan tapahtuman yhteyteen. Kuvaa lisäksi vaikkapa video, jossa esimerkiksi toimitusjohtaja ja turvallisuuspäällikkö kertovat asian tärkeydestä ja yrityksen yhteisistä tavoitteista tietoturvallisen kulttuurin rakentamisessa. Upota video intraan etusivulle.
  2. Tee koulutuksesta ja tietoisuuden lisäämisestä säännöllinen toimintatapa
    • Verkkokoulutukset ovat hyvä tapa kouluttaa ja kerrata tietoturvallisia toimintatapoja koko henkilöstölle kustannustehokkaasti. Tämän lisäksi kriittisissä työtehtävissä olevia henkilöitä voi jatkokouluttaa myös lähikoulutuksena. Ota tietoturvatietoisuuden lisääminen kuukausittaiseksi agendaksi; käy esimerkiksi viikko- tai kuukausipalaverissa uusimmat tietoturvauhat ja vinkit läpi kaikkien kanssa.
  3. Seuraa koulutusten etenemistä ja tuloksia säännöllisesti ja sovita toimintatapoja sen mukaisesti
    • Verkkokoulutukset mahdollistavat helpon tavan henkilöstön osaamisen kehittymisen ja puutteiden seurantaan. Verkkokoulutuksien käyttöönotto ei lopu siihen, että kurssit laitetaan pyörimään, vaan niiden suorittamista on seurattava ja jatkokoulutustarpeita tunnistettava tuloksien perusteella. Verkkokurssien itsenäiseen ja syvälliseen käymiseen tulee myös motivoida ja kannustaa.
  4. Kehitä kannustimia tietoturvakulttuurin kehittämiselle
    • Voit rakentaa esimerkiksi leikkimielisen osastokohtaisen kisan: se osasto, joka suorittaa verkkokurssin korkeimmalla keskiarvolla tai vaikkapa ilmoittaa eniten tietoturvahavaintoja, saa jonkin palkinnon. Keskinäinen leikkimielinen kisailu voi parantaa henkilöstön motivaatiota osallistua jokapäiväiseen tietoturvatyöhön. Voit myös vaikka palkita henkilöstöä arjen tietoturvateoista säännöllisesti. Puutu ongelmakohtiin niitä huomatessasi, mutta pyri korjaamaan toimintaa kertomalla miksi jokin toimintatapa ei ole turvallinen, ja kannustamaan oikeaan toimintaan positiivisessa mielessä rangaistuksilla pelottelun tai negatiivisen palautteen sijaan.

Tietoturvallisuutta rakennetaan jokapäiväisillä teoilla. Henkilöstön osaamisella ja tietoisuudella on hyvin suuri merkitys siinä, miten tietoturvallisuus käytännössä toteutuu. Koulutuksen ja henkilöstöön panostuksen tulee toimia kaiken muun toiminnan vakaana perustana. Oikotietä onneen ei ole, kulttuurin ja osaamisen parantamiseen tulee sitoutua pitkällä tähtäimellä – kannattaa siis aloittaa jo tänään.

Kirjoittanut:

Olli Pirttilä (Markkinointi ja asiakkuuspäällikkö)

Teppo Kattilakoski (Toimitusjohtaja)

www.granite.fi

 


Tietoturva ja yksityisyydensuoja ovat oppilaitoksessa suuria haasteita

Tietoturvallisuuden haasteet oppilaitoksessa

Lisääntynyt tietotekniikan käyttö ja digitalisaatio, asettavat oppilaitoksen tietoturvallisuudelle uusia haasteita. Laitteet ovat monipuolistuneet ja ne tarjoavat kokonaan uusia mahdollisuuksia oppimiseen ja opetukseen. Aikaisemmin tietoturvan haasteena oli käyttäjien oikeudet ja velvollisuudet, eri käyttäjätasojen vastuut ja käyttöoikeudet, laitteiden ja verkkojen tietoturva. Nykyiset haasteet ovat hyvin pitkälle samat, mutta lisänä on tullut omien laitteiden ja palveluiden käyttö. Käyttäjät haluavat käsitellä älypuhelimilla ja tableteilla luottamuksellisia asioita.

Kustannustehokkaiden pilvipalveluiden käyttö säästöpaineiden alla olevien oppilaitosten tiedonhallinnassa on lisääntynyt viime vuosina. Isot pilvipalveluiden tarjoajat tarjoavat oppilaitoksille edullisia tiedonhallintaan erinomaisesti soveltuvia ratkaisuja. Näiden palveluiden käyttö lisää huolia tietoturvasta. Säilytetäänkö tieto missä? On tieto varmasti turvassa? Mitä tietoa pilveen voidaan tallentaa? Kuka tiedon omistaa? Mitkä lait ja niiden tulkinnat palveluiden käyttöä määrittelee? Suoria vastauksia on vaikea saada ja moni oppilaitos joutuu tulkitsemaan itse lakia ja muita määräyksiä. Myös käyttäjien omat pilvitallennukset huolettavat tietoturvan kannalta. Käytetäänkö omia henkilökohtaisia pilvipalveluita luottamuksellisen tiedon säilytykseen?

Tietoturva on niin vahva kuin on sen heikoin lenkki

Liian tiukka tietoturva aiheuttaa useimmat tietovuodot. Mikäli organisaation tai oppilaitoksen tietoturvapolitiikka koetaan työntekoa ja opiskelua haittaavaksi ja hidastavaksi, sitä pyritään kiertämään. Käyttäjien kouluttaminen ja sitouttaminen tietoturvaan on erittäin tärkeää. Mikään tekninen ratkaisu ei anna täyttä tietoturvaa, jos käyttäjää ei kouluteta tai mikäli käyttäjä ei noudata annettuja ohjeita. Hyvin hoidetun ympäristön heikoin lenkki on kuitenkin aina käyttäjä!

Tietoa käsittelevien päätelaitteiden; tietokoneen, puhelimen ja tablettien tietoturvan on oltava monikerroksista, vain yksi tietoturvaratkaisu on harvoin riittävä. On huolehdittava laitteen ja ohjelmien tietoturvasta ja pidettävä huoli, että keskeisiä ja tärkeitä järjestelmiä käytetään laitteilla, joissa on salasana tai muu tunnistauminen. Tulee myös varmistaa, että laitteen kiintolevy on salattu tai muuten suojattu, laitteiden käyttöjärjestelmiä ja ohjelmistoja päivitetään säännöllisesti ja laitteen liikennöinti verkkoon on turvallista ja ainakin julkisissa verkoissa salattua.

Oppilaitoksen tietoturvallisuuden riskit pitää kartoittaa

Oppilaitoksessa käsitellään paljon yksityisyyden ja henkilötietolain alaisia dokumentteja mm. terveystietoja.

Yksityisyydensuojan alaisten tietojen tulee olla salattuja ja tietojen käyttöä pitää seurata. Suojaaminen ja salaaminen kannattaa aloittaa jo pelkästään opiskelijoiden nimitiedoista. Sähköisessä viestinnässä tulee huomioida lait ja asetukset. Oppilaitoksen tietoturvallisuuden riskejä kartoitettaessa on vastattava mm. seuraaviin kysymyksiin. Mitä tietoa voi lähettää sähköpostissa? Mitä tietoa voidaan säilyttää erilaisissa pilvipalveluissa? Onko osoitetietojen ja sosiaaliturvatunnusten säilyttäminen luvallista eri järjestelmissä ja onko se edes tarpeellista? Miten varmistetaan, että oppilaitoksen tietoturvaosaaminen on riittävällä tasolla? Milloin tietoturva on viimeksi auditoitu ja onko auditoinnissa huomatut puutteet korjattu?

Toimiva tietoturva edellyttää toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua ja riittävää resursointia erilaisten uhkatilanteiden varalta. Tietoturvan toteuttaminen vaatii sovittujen ohjeiden ja toimintatapojen noudattamista, koulutusta ja viestintää.

Tietoja kirjoittajasta:

ICT-asiantuntija Petteri Kauranen vastaa Ahlmanin koulun Säätiön tietoturvasta ja ICT-palveluista. Petteri on työskennellyt Ahlmanilla 14 vuoden ajan kehittäen organisaation teknisiä toimintoja. Keuruulta Tampereelle muuttaneen 38-vuotiaan Petterin intohimona on kaikenlainen urheilu.

Tietoa Ahlmanista

Tampereella ja Orivedellä sijaitsevat Ahlmanin ammatti- ja aikuisopiston toimipisteet tarjoavat toisen asteen ammatillista ja aikuiskoulutusta sekä kansanopisto opintoja. Ahlmanilla yhdistyvät ainutlaatuisella tavalla pitkät perinteet ja uuden kehittäminen. Oppimisen, kasvun ja kehityksen rinnalla Ahlman liputtaa suomalaisten alkuperäisrotujen säilyttämisen, lähiruoan, aitojen makujen, kestävän kehityksen ja paikallisen pienyrittäjyyden puolesta. Lisätietoja: www.ahlman.fi