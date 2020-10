Ole rehellinen: muistatko vaihtaa salasanojasi ja käyttää eri salasanaa joka paikassa? Se todella kannattaa, sanoo tietoturvan asiantuntija Anu Laitila.

Psykoterapiakeskus Vastaamoon tehdyn tietomurron uhreiksi on joutunut peräti 40 000 suomalaista. Verkkorikollisilla on hallussaan potilaiden arkaluontoisten, henkilökohtaisia keskusteluja sisältävien potilastietojen lisäksi terapiakeskuksen asiakkaiden nimiä, osoitteita, puhelinnumeroita ja henkilötunnuksia. Rikolliset ovat kiristäneet tiedoilla Vastaamoa ja uhreja ottamalla heihin suoraan yhteyttä.

Tietomurto on maailmanlaajuisestikin poikkeuksellisen törkeä ja vakava. Samalla kyberturvallisuus on noussut tämän hetken suurimmaksi puheenaiheeksi. Moni on tapauksen myötä havahtunut miettimään, mistä kaikkialta omat henkilötiedot löytyvät ja mihin niitä on itse antanut netissä liikkuessaan.

Voiko kuka tahansa joutua yllättäen tietomurron uhriksi?

Periaatteessa kyllä, kertoo Me Naisten haastattelema asiantuntija Anu Laitila. Laitila työskentelee kyberturvallisuuskoulutusten ja -harjoitusten liiketoimintavastaavana Nixu Oyj:ssä, joka tarjoaa kyberturvapalveluita yritysasiakkaille.

– Ajattelen yleisellä tasolla niin, että kenenkään yksityishenkilön ei pitäisi joutua miettimään palvelua ostaessaan sitä, onko kyseinen taho hoitanut tietoturva-asiansa kuntoon, oli kyse sitten lääkäri- tai pankkipalveluista. Tämän tason toimijoilla pitäisi olla asiat sillä mallilla, että asiakkaat voivat luottaa heihin, Laitila toteaa.

– Samalla on hyvä tiedostaa, että omat henkilötiedot voivat levitä myös suoraan henkilöön kohdistuvan identiteettivarkauden myötä, eivät pelkästään johonkin palveluun kohdistuvan tietomurron vuoksi. Esimerkiksi joku voi säilyttää passin kopiota pilvipalvelussa, johon rikollinen pääsee käsiksi.

Pyysimme Anu Laitilalta konkreettiset vinkit toimenpiteistä, jotka jokainen netissä liikkuva voi tehdä minimoidakseen tietomurron uhriksi joutumisen riskit.

1. Hoida salasanat kuntoon

Mitä pidempi salasana, sen parempi, minimimäärä on 16 merkkiä. Lisäksi samaa salasanaa ei saisi käyttää useaan eri paikkaan. Hyviä salasanavinkkejä löytyy Kyberturvallisuuskeskuksen salasanaoppaasta.

– Minulla on käytössäni melkein 400 salasanaa. Minulla ei tietenkään ole mitään mahdollisuutta muistaa niitä ulkoa, joten käytän sanasanojen hallintaohjelmaa, joka muistaa ne puolestani, Laitila vinkkaa.

Salasanojen hallintaohjelma on erillinen työkalu, joka luo uuden salasanan jokaiseen käytettyyn palveluun, tallentaa ja muistaa ne käyttäjän puolesta. Tunnettuja ovat esimerkiksi F-Securen KEY sekä LastPass.

Entä miksi uniikit salasanat ovat niin tärkeitä?

– Kun rikolliset käyvät kaivelemassa tietomurroissa vuotaneita tietoja netin syövereistä, he saattavat löytää esimerkiksi uhrin sähköpostiosoitteen ja johonkin palveluun käytetyn salasanan. Silloin he voivat käydä kokeilemassa, toimivatko samat tunnukset vaikkapa Gmailiin, ja päästä käsiksi uhrin sähköpostitietoihin, Laitila sanoo.

2. Käytä kaksivaiheista tunnistautumista

Viestintävirasto suosittelee kaksivaiheista tunnistautumista.

Kaksivaiheinen tunnistautuminen varmentaa henkilöllisyytesi kahta eri tunnistautumismenetelmää hyödyntäen. Voit tarkistaa palvelut, joissa kaksivaiheinen tunnistautuminen on mahdollista Two Factor Auth -verkkosivustolta . Käytä mieluiten erillistä tunnistautumissovellusta, kuten esimerkiksi Google Authenticatoria (Android, iOS) tai Microsoft Authenticatoria, mutta sähköpostivarmistuskin käy.

– Kaksivaiheinen tunnistautuminen on pakollista jo pankkipalveluissa, mutta se pitäisi ottaa käyttöön kaikissa mahdollisissa paikoissa sosiaalisesta mediasta muihin nettipalveluihin.

Ylen Digitreenit on koostanut ohjeet, joita noudattamalla kaksivaiheiden tunnistautumisen voi ottaa käyttöön Facebookissa ja Whatsapissa, Google-tilillä sekä Apple-tilillä.

3. Pidä laitteiden ohjelmistot ajan tasalla

Taas se älypuhelin ilmoittaa, että pitäisi tehdä ohjelmistopäivitys. Nyt ei ehdi, teenpä sen joskus myöhemmin.

Oletko syyllistynyt joskus tällaiseen ajatteluun? Tee toisin jatkossa.

Salasanoista huolehtimisen lisäksi on ehdottoman tärkeää pitää omien laitteiden, kuten puhelimen, tabletin ja tietokoneen ohjelmistot ajan tasalla.

– Ohjelmistoihin saattaa tulla erilaisia päivityksiä, jotka liittyvät tietoturvaan. On löydetty vaikkapa jokin tietoturvaan liittyvä haavoittuvaisuus, se on korjattu, ja siksi käyttäjän täytyy päivittää ohjelmisto, Laitila selittää.

4. Käytä maalaisjärkeä

– Ilmaisia lounaita ei netissäkään jaella. Se tarkoittaa sitä, että omia tietoja ei pitäisi olla aina ensimmäisenä antamassa jokaiseen kilpailuun ja arvontaan ennen kuin on tutkinut, että kyseessä on taho, johon voi luottaa, Laitila sanoo.

Laitila kuvailee nykypäivän faktaksi sitä, että ihmiset ovat aktiivisia netissä, päivittävät somea ja julkaisevat päivityksiä kuvien kera.

– On hyvä miettiä aina ennen somepostauksen julkaisemista, onko tekstissä tai kuvassa jotain sellaista, mitä siinä ei pitäisi olla. Se voi olla esimerkiksi auton rekisterinumero. Sen avulla voi selvittää ihmisen osoitteen.

– Sellaistakin näkee, että ihminen vaihtaa työpaikkaa tai on aloittanut uudessa työssä, ja postaa kuvan työpaikan identiteettikortistaan someen sen kunniaksi. Rikollinen voi kopioida ne tiedot ja yrittää sisään yritykseen.

Myös lokaatioon eli sijaintitietoihin liittyvien tietojen kanssa on hyvä olla tarkkana. Esimerkiksi liikuntasovellus MyFitnessPalin laaja tietomurto koitui ongelmaksi suomalaiselle sykemittarivalmistaja Polarille vuonna 2018.

– Silloin kävi niin, että tietovuodon kohteina oli muun muassa Yhdysvaltojen NSA:n, Britannian GCHQ:n ja MI6:n sekä Venäjän GRU:n työntekijöitä. Työntekijöiden salaisia osoitetietoja paljastui, koska he olivat käyttäneet näitä gps:ää hyödyntäviä älyrannekkeita.

5. Tarkista digitaalinen jalanjälkesi

Laitila neuvoo jokaista myös googlettamaan itsensä eli tarkistamaan, millainen oma digitaalinen jalanjälki on.

– Mitä tietoja minusta itsestäni löytyy, jos googletan nimeni? Millaista kuvaa, tekstiä tai videota sieltä paljastuu? Se voi olla aika silmiäavaaavaa. Mikä verkkoon joutuu, se yleensä siellä myös pysyy, Laitila muistuttaa.

Haku kannattaa tehdä selaimen yksityistä selaamista hyödyntäen, jolloin vahva personointi ei vaikuta hakutuloksiin. Lisätietoa saa esimerkiksi Googlen ohjeistuksesta.

Laitila on itse työskennellyt ennen markkinoinnin parissa ja oli sen vuoksi näkyvästi esillä sosiaalisessa mediassa. Työnkuvan muututtua hän on häivyttänyt omaa digitaalista jalanjälkeään. Työn vuoksi Laitilan Twitter-tili on kaikille avoin, mutta esimerkiksi Facebookinsa hän on sulkenut muilta kuin ystäviltään, eivätkä hänen Facebookin kaverilistansa ole julkisia.

– Käytännössä olen katsonut läpi omia sometilejäni ja tutkinut, mitä siellä on. Olen entistä tarkempi julkaisujen kanssa.

Laitila huolehtii myös siitä, ettei hänen lähipiirinsä tägää häntä valokuviin tai tiettyihin lokaatioihin omissa somepostauksissaan.

– Olen sellaisessa tosi tarkka. Lähipiirini on oppinut kysymään luvan, että saako minusta laittaa kuvan someen. Toivon aina, että kukaan ei laittaisi tietämättäni tietojani minnekään, oli kyse sitten paikasta, jossa olen käynyt, tai kuvasta jossa esiinnyn.

Pienten lasten vanhempia Laitila kehottaa miettimään, mitä lapsesta postaa someen.

– Haluaako luoda lapselleen digitaalisen jalanjäljen pienestä pitäen vai annetaanko heidän tehdä omansa, kun he kasvavat ja voivat päättää siitä itse?

Entä, jos tiedot vuotavat silti?

Jos saa tietää, että omat henkilötiedot ovat kuitenkin päässeet vuotamaan, miten tapahtuneeseen pitäisi reagoida?

Anu Laitila toimii vapaaehtoisena hakkerikollektiivi KyberVPK:ssa, joka on perustettu auttamaan terveydenhuollon toimijoita ja muiden kriittisten toimintojen tuottajia kyberuhkien ratkaisemisessa ja ennaltaehkäisemisessä. KyberVPK on julkaissut erityisesti Vastaamon tietomurron uhreille kattavan muistilistan toimenpiteistä ja apua tarjoavista toimijoista.

Laitila vinkkaa, että kyseisestä postauksesta löytyvät tärkeimmät askeleet muillekin mahdollisten tietomurtojen uhreille.

Kun tietomurto tapahtuu, hyökkääjä on usein saattanut olla järjestelmissä pitkään. Tietomurron tapahtuessa vuotaneet tiedot eivät siis välttämättä tule heti julki, vaan rikollinen on ehtinyt pöyhiä tietoja useita kuukausia. Kun murto sitten tulee julkiseksi, Laitila kannustaa mahdollisia murron kohteita pysymään mahdollisimman rauhallisena.

– Tietomurroissa ja identiteettivarkauksissa on kyse todella tärkeistä ja vakavista asioista, eikä niitä pidä vähätellä. Silti on hyvä tiedostaa, että kyse ei ole elämästä ja kuolemasta. Siksi ensimmäinen askel on yrittää hengittää ja saada omat ajatukset kasaan.

Seuraavaksi voi miettiä, onko omassa lähipiirissä asiantuntijaa, jolta voisi kysyä apua. Omasta verkostosta löytyvä tietoturva-asiantuntija, lakimies tai muu tukihenkilö voi auttaa selventämään, mitä seuraavaksi pitäisi tehdä.

Sen jälkeen Laitila neuvoo aloittamaan päiväkirjan pidon. Päiväkirjaan merkitään ylös jokainen tapahtuma, jonka on tehnyt sen jälkeen, kun on saanut tietää olleensa tietomurron kohteena, oli se sitten rikosilmoitus tai luottokielto.

– Kriisissä ihminen ei muista tapahtuneita asioita eikä osaa aina toimia järkevästi. Jos poliisille pitää selittää asioita tai tehdä vahingonkorvausilmoitus, päiväkirjasta on hyötyä muistin pettäessä.

Vertaistuki on myös tärkeää. Esimerkiksi Vastaamon tapauksen jälkeen on syntynyt Facebook-ryhmä, jossa tietomurron kohteet saavat toisiltaan tukea. Laitila on ollut itse ryhmässä auttamassa.

– Haluan vielä muistuttaa, että panikointia kannattaa yrittää välttää. Nyt, kun poliisin palvelut jumittavat, ei ole hätää jos rikosilmoitusta ei saa tehtyä saman tien. Sen voi tehdä huomenna tai ylihuomenna, kunhan sen tekee. Tämä on varmasti henkisesti rankkaa monelle, ja tärkeää on, ettei asian kanssa jäisi yksin.