Kyberturvallisuus on nykypäivän kansalaistaito. Sen heikoin lenkki on usein käyttäjä, sanoo Huawein kyberturva- ja tietosuojajohtaja Marja Dunderfelt.
Hän toteaa, että annamme paljon tietoa erilaisille sovelluksille ja palveluille.
– Tietosuoja-asetukset ja käyttöoikeudet pitää lukea huolella läpi, että mihin antaa luvan. Jos painaa "kyllä" lukematta läpi, mihin sitoutuu, ottaa kyllä riskin.
Samaa sanoo tutkimusyhteistyöstä ja kuluttajaturvallisuudesta vastaava johtaja Mika Lehtinen F-Securelta.
– Suosittelen, mutta samalla sanon, että se on ehkä aika epärealistista. Tähän auttavat sovelluskauppojen mekanismit, joissa sovelluksen julkaisija joutuu kertomaan asioita eikä saa tehdä ihan kaikkea.
Johtava asiantuntija Juhani Eronen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta kertoo, että kyberrikollisten kohteena ovatkin nykyisin enemmän käyttäjän kuin laitteiden heikkoudet.
– Tämä on viite siitä, että laitteiden turvallisuus on mennyt eteenpäin. 10–20 vuotta sitten oli haittaohjelmia, jotka levisivät internetissä itsekseen laitteesta toiseen käyttäen hyväkseen ohjelmistojen haavoittuvuuksia. Näitä ei ole enää niin paljon, vaan nykyään on enemmän sitä, että saat viestin, jolla sinua pyritään saamaan tekemään jotain omien etujesi vastaista.
Vaikka uhkien painopiste on muuttunut, hyvä uutinen kuluttajan kannalta on Erosen mukaan se, että perusohjeet ovat pysyneet samoina – pienin tarkennuksin.
Tietojamme kalastellaan jatkuvasti monin nokkelinkin tavoin. Huijarit ovat onnistuneet esimerkiksi rakentamaan hyvin uskottavia pankkien valesivuja, Marja Dunderfelt toteaa.
Juhani Eronen sanoo, että huijauksissa usein yritetään saada asia vaikuttamaan kiireelliseltä tai vedotaan auktoriteettiasemaan. Viesti voidaan vaikkapa naamioida tulemaan ylläpidolta ja siinä voidaan kertoa, että salasana on vanhentumassa tai muuta sellaista, mihin on reagoitava heti.
Ideana on saada käyttäjä reagoimaan niin nopeasti, että hän ei ehdi miettiä asiaa.
– Tässä on aika paljon psykologiaa, jota huijarit yrittävät käyttää.
Erosen mukaan internetissä saamiinsa viesteihin kannattaakin suhtautua kuin maasta löytämiinsä paperilappuihin.
– Miksi sain viestin? Kuka sen minulle lähetti? Erityisesti jos viestissä sanotaan, että tosi on kyseessä ja nopeasti pitää tehdä jotain, pitää miettiä viisi kertaa.
Aina rikollisen ei tarvitse edes huijata saadakseen kallisarvoista tietoa, sillä käyttäjät jakavat sitä itsekin.
– Nykypäivänä on paljon identiteettivarkauksia, joissa hyödynnetään somessa olevaa tietoa. Moni jakaa tietoa jopa esimerkiksi siitä, että on mökillä ja koti on tyhjänä, tai että on lentokoneessa matkalla Pariisiin. Nämä huolestuttavat minua, Marja Dunderfelt sanoo.
Dunderfeltin mukaan verkossa ei kannata jakaa mitään sellaista henkilökohtaista tietoa, jota identiteettivarkaat voivat hyödyntää. Näitä ovat esimerkiksi syntymäaika, osoite ja puhelinnumero sekä erityisesti sosiaaliturvatunnus. Dunderfelt huomauttaa, että sotua ei kannata myöskään antaa kenellekään luettelemalla sitä ääneen paikalla, jossa muut voivat sen kuulla.
– Kun henkilöllisyys varastetaan, saadaan luotua esimerkiksi lainoja. Aiemmin urallani, muun muassa väärinkäytöksistä vastaavana johtajana, olen hoitanut useita väärinkäytötapauksia ja identiteettivarkauksia. Se on pitkä tie oikeuskäsittelyineen eikä varasta aina saada kiinni.
Tiedon jakamista pitää harkita etukäteen, sillä kerran verkkoon ladattua tietoa ei sieltä enää saa pois.
Olennainen osa tietoturvaa ovat edelleen myös salasanat. Hyvä nyrkkisääntö on, että salasanan pitäisi olla itselle helppo muistaa, muille vaikea arvata.
– Enää en puhu siitä, että salasanassa pitäisi olla 8 merkkiä ja eri kirjaimia sekä numeroita. Nyt kirjautumisen pitää olla monivaiheinen, Marja Dunderfelt sanoo.
Kaksivaiheinen tunnistautuminen tarkoittaa, että salasanan lisäksi palvelu kysyy kirjautuessa sovelluksen tai tekstiviestin kautta saatavaa kertakäyttökoodia. Juhani Eronen kehottaa ottamaan sen käyttöön vähintäänkin tärkeissä palveluissa. Näitä ovat esimerkiksi sähköposti ja palvelut, joiden tunnuksilla kirjautuu muihin palveluihin.
Edelleen pätee neuvo, että salasanan on oltava joka palveluun erilainen. Jos yksi palvelu hakkeroidaan, rikollinen kokeilee, mihin muualle samoilla tunnuksilla pääsee.
Palveluiden lisäksi pitäisi muistaa myös laitteiden, kuten reitittimen, salasanat, Dunderfelt sanoo. Niiden oletussalasanat pitäisi heti vaihtaa omiin yksilöllisiin salasanoihin.
Laitteiden turvallisuus puolestaan ratkeaa pitkälti ostohetkellä, Juhani Eronen sanoo. Hän neuvoo valitsemaan valmistajan, joka suhtautuu tietoturvaan vakavasti ja huolehtii päivityksistä.
Verkossa kannattaa ylipäätään käyttää ainoastaan laitteita, joihin saa yhä ohjelmistopäivityksiä.
– Jos yksi (tietoturva)neuvo pitäisi antaa niin se olisi "päivitä vehkeesi", Eronen tiivistää.
