Verkkouutiset

Tietoturva

Suomalaisille sataa kalasteluviestejä tiheämmin kuin koskaan

Yli 80 prosenttia suomalaisista on ollut kalasteluviestien ja huijaussoittojen kohteena ja kymmenen prosenttia on joutunut identiteetti- ja petosrikosten kohteeksi. Petos- ja identiteettirikoksen kohteeksi joutuneista suomalaisista 13 prosenttia on myös menettänyt rikoksen yhteydessä henkilötietonsa.

Tämä selviää vakuutuspalveluyritys Mysafetyn toteuttamasta identiteetti- ja petosrikoksia koskevasta kyselytutkimuksesta.

Tutkimuksen mukaan 81 prosenttia suomalaisista on jossain vaiheessa elämäänsä saanut kalasteluviestin tai huijaussoiton, ja 72 prosenttia on saanut niitä elämänsä aikana useita kertoja. Suomalaisista yli puolet (54 %) kokee huijaussoittojen ja -viestien lisääntyneen viime vuosien aikana.

Muunlaisen petos- tai identiteettirikoksen kohteena on ollut joka kymmenes suomalainen, ja heistä 13 prosenttia on menettänyt rikoksen yhteydessä henkilötietonsa. Identiteettivarkausyritysten määrä kasvoi kahdella prosenttiyksiköllä viime vuodesta. Suurin osa niistä on tutkimuksen mukaan tapahtunut joko edellisen 12 kuukauden aikana tai 1–2 vuotta sitten.

– Pidän huolestuttavana myös sitä, että 16 prosenttia varkausyritysten kohteista ei tiedä, ovatko heidän henkilötietonsa vuotaneet. Kaiken kaikkiaan petos- ja identiteettirikoskenttä on kuluttajille usein epämääräinen ja vaikea. Riskejä on luonnollisesti hankala nähdä, Mysafetyn maajohtaja Johanna Abgottspon kertoo.

Vahingot edelleen kohtuullisen pieniä

Onnistunut identiteettivarkaus saa tyypillisesti alkunsa edelleen henkilö- tai pankkitietoihin kohdistuneen tietomurron yhteydessä tai sosiaalisen median kautta.

Vaikka identiteettirikokset ovat yleisiä, niiden aiheuttamat vahingot jäävät Suomessa suhteellisen pieniksi. Tutkimukseen osallistuneista identiteettivarkauden uhreista noin joka viides (18 %) on menettänyt identiteettirikoksen yhteydessä rahaa. Tyypillisin menetetty summa osuu 5 000–10 000 euron välille.

Tavallisesti identiteettivarkaudesta seuraa palveluiden tai tavaran ostamista väärällä henkilöllisyydellä.

– Tiedämme valitettavasti tapauksia, joissa varas on ottanut jopa lainaa uhrin nimissä. Olisikin hyvä, että valvontaa voisi lisätä ja siten minimoida myös vahingot, Abgottspon toteaa.

Tutkimus osoittaa, ettei identiteettirikoksia raportoida Suomessa järjestelmällisesti. Vain 20 prosenttia vastaajista kertoi kääntyneensä poliisin, 12 prosenttia pankin ja seitsemän prosenttia muiden viranomaisten puoleen identiteettivarkauden yhteydessä.

– Rikoksesta kannattaa aina ilmoittaa, sillä lähes 80 prosenttia identiteettivarkauden uhreista saa apua käännyttyään jonkun puoleen. Yksin ei kannata jäädä.

Intoa raportoida identiteettirikoksista saattaa heikentää yleinen toivottomuus rikosmuotoa kohtaan. Identiteettirikollisen vastuuseen saattaminen on edelleen vaikeaa. Tutkimuksen mukaan vain 14 prosenttia identiteettirikoksen uhreista tietää rikoksentekijän jääneen kiinni.

Suomalaiset tietävät, miten suojautua

Mysafetyn kyselytutkimus osoittaa myös, että suomalaiset suojautuvat pääsääntöisesti hyvin identiteettivarkauksilta.

Yli puolet (54 %) vastaajista kertoo käyttävänsä kaksoistunnistetta ja 43 prosenttia sanoo vaihtavansa salasanan säännöllisesti. Samoin lähes jokainen vastaajista (97 %) suhtautuu kriittisesti sähköpostitse saamiinsa tai netissä näkemiinsä pyyntöihin ja lähes yhtä moni (96 %) on varovainen papereiden ja luottamuksellisen informaation käsittelyssä.

Suojautuminen on heikointa nuorten ja yli 65-vuotiaiden keskuudessa.

Hyvästä suojautumisesta huolimatta identiteettirikokset huolettavat suomalaisia. Eniten suomalaiset pelkäävät tutkimuksessa annetuista vaihtoehdoista sitä, että heidän läheisensä joutuvat verkkopetoksen kohteeksi, ja toiseksi eniten sitä, että itse joutuvat hakkerin hyökkäyksen kohteeksi.

Kyselytutkimus on toteutettu Iro Research Oy:n Tuhat suomalaista -paneelissa. Vastaajia koskeva tuhannnen suomalaisen otos on painotettu iän, sukupuolen, asuinpaikkakunnan tyypin sekä maakunnan mukaan vastaamaan suomalaista väestöä valtakunnallisesti. Tutkimus toteutettiin 15.–28.3.2023, ja sen tilastollinen virhemarginaali on maksimissaan 3,2 prosenttiyksikköä suuntaansa.

Teollisuuskonserni joutui tietomurron kohteeksi

Teollisuuskonserni ABB kertoo joutuneensa tietomurron kohteeksi.

Konsernin tiedotteen mukaan luvaton kolmas osapuoli on saanut käyttöönsä joitain ABB:n järjestelmiä sekä ottanut käyttöönsä kiristysohjelmia.

ABB kertoo olleensa asiasta yhteydessä laillisuusviranomaisiin, ja tilanne on saatu hallintaan. Yhtiö pyrkii selvittämään tietomurron laajuutta.

Koska asian tutkinta on kesken, ABB ei tarkemmin kerro tietomurron yksityiskohdista.

Tiettävästi tietomurrossa varastettujen tietojen joukossa on myös yhtiön asiakkaiden henkilötietoja. ABB kertoo olevansa suoraan yhteydessä kaikkiin tahoihin, joita asia koskee.

Kaikki konsernin keskeiset palvelut ja järjestelmät ovat toiminnassa eikä murrolla ole vaikutusta tehtaiden toimintaan.

ABB on kansainvälinen teollisuuskonserni, jonka pääpaikka sijaitsee Sveitsissä. Yhtiöllä on toimintaa myös Suomessa.

Sometilejä kaapataan huijausviestien avulla

Facebook-tilimurtojen ja murtojen yritysten ilmoitusten määrä Kyberturvallisuuskeskukselle on ollut nousussa.

Facebookin-tilin kaappaus alkaa usein niin, että saat Facebook-ystävältäsi Messenger-pikaviestimessä viestin, jossa hän kysyy puhelunnumeroasi. Jos vastaat ystävällesi puhelinnumerosi, pian saat samalta kaverilta ilmoituksen kuvitteellisesta arpajaisvoitosta. Voiton lunastamiseen hän väittää tarvitsevansa puhelimeesi tulevan Facebookin numerokoodin.

Todellisuudessa kyseinen koodi liittyy tilille kirjautumiseen ja sen avulla tilin hallinnan siirtämiseen rikollisten haltuun. Jos lähetät hänelle koodin, rikollinen kaappaa todennäköisesti Facebook-tilisi.

Tilin haltuunoton jälkeen rikollinen vaihtaa tilitietojasi, kuten tilin nimen sekä yhteystiedot. Tämän jälkeen et todennäköisesti saa tiliäsi haltuun ilman Facebookin apua.

Jos saat ystävältäsi Facebook Messenger- pikaviestimen kautta poikkeuksellisen tai epäilyttävän viestin, kuten yllättävän puhelinnumeron kyselyn, kerro hänelle toisella viestintävälineellä asiasta. Ystäväsi voi kertoa, onko hän oikeasti lähettänyt kyseinen viestin ja tarkistaa oman Facebook-tilinsä tilan.

Ainoastaan Facebook voi palauttaa menetetyn Facebook-tilin. Internetissä liikkuu myös rikollisia, jotka vaanivat jo kertaalleen tilimurron uhriksi joutuneita. Vaikka he väittävät auttavansa menetetyn tilin palauttamisessa, todellisuudessa heidän tavoitteenaan on rahallinen hyötyminen huijauksen uhriksi joutuneen kustannuksella.

Ole siis varovainen, jos haet ongelmaasi apua muualta internetistä. Ainoa rehellinen keino sosiaalisen median tilien palauttamiseen on kyseisen palvelun viralliset kanavat.

Facebook-tilin kaappauksella rikolliset saavat haltuunsa henkilötietoja, tunnuksia ja salasanoja. He käyttävät kaapattua Facebook-tiliä edelleen uusien Facebook-tilien kaappaukseen.

Haltuun saadun tilin kavereille lähetetään Messenger-pikaviestimestä huijausviesti, jossa kysytään puhelinnumeroa. Facebook-tilisi tietoja käytetään myös muihin palveluihin kirjautumiseen, joten kaappaajalla voi olla pääsy useampaan palveluun tunnuksellasi. Tämän vuoksi eri palveluissa tulisi käyttää aina eri salasanaa, Traficom opastaa.

Microsoft varoittaa: Kiinan hakkerit hyökkäävät USA:n kriittisiin toimialoihin

Kiinan valtion tukemat hakkerit ovat vaarantaneet Yhdysvaltojen ”kriittistä kyberinfrastruktuuria” tekemällä hyökkäyksiä useille eri toimialoille, ohjelmistoyhtiö Microsoft varoittaa. Asiasta kertoo yhdysvaltalainen CNBC.

Kyseinen hakkeriryhmä on nimetty Volt Typhooniksi, joka on toiminut vuodesta 2021 lähtien.

Hyökkäysten kerrotaan jatkuvan edelleen. Hakkerit eivät tiettävästi ole pyrkineet tekemään kohteilleen suoraa vahinkoa, vaan keräämään kohteista tietoa ja vakoilemaan niitä. Tämän arvioidaan johtuvan siitä, että hakkerit haluavat ennen vahinkojen aiheuttamista kerätä kohteistaan mahdollisimman paljon tietoa.

Microsoftin mukaan Volt Typhoon on esimerkiksi onnistunut soluttautumaan yritysten suljettuihin tietojärjestelmiin ja varastamaan niistä tietoja.

Turvallisuusvirasto NSA ja Microsoft ovat varoittaneet hakkeroinnin kohteita ja antaneet näille toimintaohjeita. Microsoftin mukaan lähes kaikki kriittiset sektorit, mukaan lukien viestintä, kuljetus ja merenkulkuala, ovat vakoilun piirissä.

Kiina on kiistänyt olevansa vakoilun takana. Kiinan valtion tukema China Daily on kiistänyt Microsoftin epäilykset, ja kuitannut niiden olevan ”poliittista propagandaa”.

S-Pankki ei tiedottanut tietoturva-aukosta asiakkaille riittävän suoraan

S-Pankin tietoturva-aukon seurauksena rahalliset menetykset olivat poliisin alustavan arvion mukaan 1,2 miljoonaa euroa. Tietoihin pääsy altisti noin 200 tilinhaltijaa riskeille ja 70 tapaukseen liittyi taloudellisia väärinkäytöksiä.

Viestinnän eettinen neuvottelukunta VEN arvioi, että S-pankin toiminnassa liittyen havaittuun tietoturvan aukkoon on ollut ristiriitaa viestinnän eettisten ohjeiden kanssa.

Ohjeet korostavat sitä, että viestinnän ammattilainen tuo aktiivisesti ja ennakoivasti saataville sidosryhmille tarpeellisen tiedon. Viestinnän tulee olla saavutettavaa ja ymmärrettävää.
Ymmärrettävyys edellyttää, että viestinnän kärjet pohditaan huolella.

Osa pankin asiakkailleen suuntaamista kirjallisista viesteistä saattoi jäädä lukematta verhoilluista muotoiluista johtuen. Esimerkiksi otsikko ”Tärkeää tietoa asiakastiedoistasi S-Pankin verkkopankissa” hämärsi tilanteen vakavuuden. Sama tyyli jatkui 13.9.2022 pankin tiedotteessa: ”S-Pankin tunnistautumisessa järjestelmähäiriö kesällä”.

S-Pankki päätti olla kertomatta julkisuuteen tietoturva-aukosta, kun se havaittiin 5. elokuuta 2022. Pankki kertoi vasta reilun kuukauden päästä julkisesti tietoturva-aukon aiheuttamista ongelmista, koska halusi välttää ”laajaa sekaannusta”.

Pankki keskittyi tunnistamaan ja suoraan kontaktoimaan tietomurron uhreja. Näin linjatessaan S-Pankki kuitenkin otti riskin, että vaikeneminen julkisuudessa näyttää viivyttelyltä ja asian peittelyltä, VEN arvioi tiedotteessa.

S-Pankin tapaus on VENin mukaan erityisen kiinnostava, koska tietoturvaan ja tietosuojaan liittyvät riskit ovat nousussa.

Aina ei ole helppoa arvioida, millaisissa tilanteissa tietomurroista kannattaa viestiä julkisuudessa ja milloin tukeutua ainoastaan henkilökohtaiseen täsmäviestintään.

– Tästä toivommekin keskustelua viestinnän ammattilaisten piirissä, sanoo neuvottelukunnan puheenjohtaja Päivi Sihvola tiedotteessa.

Nopea tilannekuvan muodostaminen tietoturvaloukkauksissa ei yleensä ole ensisijaisesti viestinnän ammattilaisista kiinni, vaan edellyttää valppautta liiketoiminnan keskeisissä prosesseissa.

Organisaatioiden viestintäyksiköt voivat osaltaan edistää kulttuuria, jossa heikotkin signaalit tulevat asianmukaisesti arvioitaviksi, VEN korostaa. Avoin ja sidosryhmiä, kuten asiakkaita kuunteleva viestintäkulttuuri on koko organisaation ominaisuus ja tässä korostuu johdon vastuu.

IS: Vastaamon tietomurron uhreille 90 euron korvaus

Konkurssiin ajautuneen psykoterapiakeskus Vastaamon tietomurron uhrit tulevat saamaan konkurssipesältä 90,14 euron suuruisen korvauksen uhria kohden. Asiasta kertoo Ilta-Sanomat.

Konkurssipesää hoitavan asianajaja Nina Aganimovin mukaan summassa on kyse niin sanotusta ennakkojako-osuudesta, joka perustuu aiemmin määriteltyyn 2 500 euron enimmäiskorvaukseen uhria kohden.

Uhrit, jotka ovat hyväksyneet tämän 2 500 euroa, saavat tässä vaiheessa siitä noin 3,6 prosentin osuuden. Summa maksetaan yli tuhannelle uhrille toukokuun loppuun mennessä.

Agaminov ei pysty vielä arvioimaan, jääkö nyt maksettava 90,14 euroa jopa uhrien lopulliseksi korvaukseksi.

– Me emme tiedä sitä vielä tässä vaiheessa. Se riippuu konkurssipesän keskeneräisistä prosesseista ja perintätoimista. Siellä on kuitenkin vielä jonkin verran saamisia perimättä, Aganimov vastaa IS:lle.

IS:n haastattelema tietomurron uhri ei ole tyytyväinen korvaukseen. Hänen mukaansa summa on ”röyhkeyden huippu”, joka ei kata edes vahingosta syntyneitä kustannuksia.

– Tässä unohdetaan ne oikeat ihmiset, jotka ovat eniten kärsineet ja kärsivät vieläkin, uhri sanoo IS:lle.

Vastaamo-rikosvyyhti sai alkunsa vuonna 2020, kun Vastaamo teki poliisille tutkintapyynnön epäillystä tietomurrosta. Tietomurrolla päästiin käsiksi arkaluonteisiin potilastietoihin ja yhtiötä kiristettiin tietojen julkaisemisella. Myöhemmin samana vuonna potilastietoja julkaistiin pimeässä Tor-verkossa. Tietomurron taustalla on todettu olleen puutteet yrityksen tietoturvassa.

Haavoittuvuuden löytävälle hakkerille luvataan 100000 euroa

Vakuutusyhtiö LähiTapiola on päättänyt tuplata Bug Bounty -ohjelmansa kautta valkohattuhakkereille tarjoamansa maksimipalkkion. Aiemmin tietoturvahaavoittuvuuksien löytämiseen tähtäävän ohjelman enimmäispalkkiona oli 50 000 euroa.

– Tuplaamalla enimmäiskorvauksen 100 000 euroon tavoittelemme maailmanluokan hakkereita palveluidemme kimppuun. Palveluitamme kolkutellaan, skannataan ja tutkitaan vuorokauden ympäri aktiivisesti ympäri maailman. Hyvishakkerit auttavat meitä pysymään askeleen edellä kyberrikollisista, kertoo LähiTapiolan tietoturvajohtaja Leo Niemelä tiedotteessa.

Palkkion suuruuteen vaikuttaa esimerkiksi haavoittuvuuden vakavuus ja vaikuttavuus. Palkkio on sitä suurempi, mitä vakavammasta haavoittuvuudesta on kyse.

Tyypillisesti valkohattuhakkerit työskentelevät bug bounty -palkkio-ohjelmien kautta. LähiTapiolan Bug Bounty -ohjelma on ollut käynnissä vuodesta 2015 lähtien. Siinä palkitaan hakkereita, jotka löytävät LähiTapiolan verkkopalveluista haavoittuvuuksia ja ilmoittavat niistä yhtiölle.

Hakkerien avustuksella on korjattu järjestelmistä satoja haavoittuvuuksia. Suurin tähän mennessä maksettu yksittäinen palkkio on ollut 18 000 euroa.

– Kyberrikollisuus aiheuttaa maailmanlaajuisesti yksityisille ja julkisille toimijoille satojen miljardien eurojen menetyksiä joka vuosi. Finanssialalla kyberturvallisuus otetaan vakavasti. Digitalisoituvassa maailmassa myös LähiTapiola on haavoittuvainen erilaisille häiriöille. Esimerkiksi tekoäly avaa rikollisille yhä kehittyneempiä keinoja kyberhyökkäyksiin, mutta tarjoaa samalla yhtiöllemme työkaluja ja toimintatapoja niiden estämiseksi, Niemelä summaa.

Bug Bounty -ohjelman kautta LähiTapiola haluaa myös kannustaa uusia osaajia tietoturva-alalle.

– Yhteistyö hakkereiden kanssa auttaa tuomaan tietoturvaa esiin positiivisuuden kautta. Tietoturvan varmistaminen on jatkuvaa työtä ja uuden oppimista. Siksi toivotan tervetulleeksi kaikki nuoret hakkerinalut kanavoimaan osaamistaan ohjelmamme pariin, ja kiitän niitä hyvishakkereita, jotka ovat tähän mennessä auttaneet meitä asiantuntemuksellaan, Niemelä sanoo.

Yli 2000 suomalaisen maksukortin tiedot on vuodettu pimeään verkkoon

Yli 2 300 suomalaisen maksukorttitietoja kaupitellaan rikollisten suosiman pimeän verkon kauppapaikoilla. Asia ilmenee VPN-ohjelmistoja tarjoavan NordVPN:n tutkimuksesta.

Tyypillisesti maksukorttitiedot on saatu varastettua huijaussivuston tai tietoja kalastelevan haittaohjelman avulla. Korttitietoja on voitu varastaa myös esimerkiksi pankkiautomaattiin asennetun skimmauslaitteen avulla tai fyysisen kortin varastamisella.

Yli puolet varastetuista maksukorteista oli Visoja. Yli joka kolmas varastetuista maksukorteista oli Mastercardeja.

Yleisimmät maksukorttivarkauksien avulla varastetut tiedot olivat ihmisten kotiosoitteet ja puhelinnumerot. Tyypillisesti näitä tietoja kaupitellaan kortin tietojen kanssa samanaikaisesti.

Keskimääräinen ostohinta suomalaisen maksukorttitiedoille on pimeän verkon kauppapaikoilla 3,40 euroa. Alhainen hinta viittaa siihen, etteivät suomalaisten korttitiedot vaikuta olevan kovin kiinnostavia rikollisten silmissä.

Vertailun vuoksi esimerkiksi tanskalaisten maksukorttitiedoista maksetaan keskimäärin 10,73 euroa ja slovakialaisen pankkikorttitiedoista 9,48  euroa.

Kansainvälisen selvityksen mukaan suomalaiset kortit eivät ole kovin alttiita petoksille. Niin sanotun korttipetosriski-indeksin (0-1) mukaan suomalaiset kortit saavat luvun 0,34. Vastaavasti esimerkiksi Yhdysvalloissa indeksiluku on 0,79.

Tutkimuksessaan NordVPN oli analysoinut maailmanlaajuisesti varastettujen maksukorttien tietokannan, jossa oli kaikkiaan yli kuusi miljoonaa maksukorttia. Maailmanlaajuisesti suurin osa (58,1 prosenttia) varastetuista luottokorttitiedoista kuului yhdysvaltalaisille. NordVPN:n mukaan tämä johtuu osittain maan suuresta väkiluvusta ja luottokorttien yleisyydestä maassa.

Tutkimuksesta kertoi Suomessa ensin Ilta-Sanomat.

Vladimir Putinin verkkosivut hakkeroinut määrättiin vuosiksi vankileirille

Kremlin verkkosivujen hakkeroinnista syytetty venäläinen IT-alan työntekijä on määrätty kolmeksi vuodeksi vankileirille sekä maksamaan Venäjän federaatiolle vahingonkorvauksia 800 000 ruplaa eli noin 9 300 euroa.

Asiasta kertoo The Register.

Syytteen mukaan tuomittu oli osallistunut Ukrainaa tukeviin palvelunestohyökkäyksiin, jotka kohdistuivat Venäjän valtionhallinnon ylläpitämiin verkkosivustoihin. Hyökkäykset kohdistuivat muun muassa Venäjän diktaattori Vladimir Putinin ja puolustusministeri Sergei Shoigun verkkosivuille.

Palvelunestohyökkäyksiä on käytetty Venäjän aloittaman hyökkäyssodan aikana laajalti sekä Ukrainan että Venäjän toimesta. Niiden tarkoituksena on pyritty lamauttamaan yhteiskunnan kannalta kriittisiä verkkosivustoja aiheuttamalla sivustoille niin paljon liikennettä, että sivut lakkaavat toimimasta.

Tyypillisesti palvelunestohyökkäysten aiheuttamat vahingot jäävät vain tilapäisiksi.

Palvelunestohyökkäyksiä on käytetty sodan aikana laajalti puolin ja toisin häirintäkeinona. Niiden avulla pyritään lamauttamaan yhteiskunnan kannalta kriittisiä verkkosivuja aiheuttamalla sivustoille niin paljon liikennettä, että sivut lakkaavat toimimasta.

Ilmatieteen laitokselle huomautus henkilötietojen siirtämisestä Googlelle

Apulaistietosuojavaltuutettu on antanut Ilmatieteen laitokselle huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Lisäksi Ilmatieteen laitos oli jättänyt tekemättä tietosuojaa koskevan vaikutustenarvioinnin kansainvälisistä tiedonsiirroista.

Asia ilmenee apulaistietosuojavaltuutetun antamasta päätöksestä. Tiedot oli siirretty Google-yhtiölle, jonka palvelimet sijaitsevat Yhdysvalloissa.

Ilmatieteen laitos ilmoitti tietosuojavaltuutetun toimistolle, että sillä oli verkkosivuillaan käytössä Googlen reCAPTCHA ja Google Analytics -palvelut, joiden käyttöön liittyy verkkosivukävijöiden henkilötietojen käsittelyä.

ReCAPTCHA-tunnistuksella erotetaan tietokoneohjelmat (niin sanotut botit) ihmisistä, ja sitä käytettiin verkkosivujen palautelomakkeen yhteydessä. Google Analytics -palvelua käytettiin verkkosivujen kävijätilastojen seurantaan.

Apulaistietosuojavaltuutettu toteaa, että Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä. Se ei myöskään ollut keskeyttänyt tiedonsiirtoja viipymättä EU-tuomioistuimen Schrems II-ratkaisun (C-311/18) jälkeen, vaikka sillä ei ollut tietojen siirtämiselle enää pätevää siirtoperustetta. EU-tuomioistuimen ratkaisussa kumottiin EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka perusteella tietoja voitiin aiemmin siirtää.

Päätöksessään apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.

Ilmatieteen laitos ei myöskään ollut tehnyt tietosuoja-asetuksen edellyttämää vaikutustenarviointia. Tietosuojan vaikutustenarviointi olisi pitänyt tehdä seurantateknologioiden käyttöön liittyvästä kansainvälisestä henkilötietojen siirrosta.

Ilmatieteen laitos on ilmoittanut ryhtyneensä toimenpiteisiin reCAPTCHA- ja Google Analytics -palveluiden poistamiseksi verkkosivuiltaan. Apulaistietosuojavaltuutettu määräsi Ilmatieteen laitoksen poistamaan henkilötiedot, jotka oli siirretty Yhdysvaltoihin ilman asianmukaista siirtoperustetta.

Päätös ei ole vielä lainvoimainen, joten siihen voi hakea muutosta valittamalla hallinto-oikeuteen.

Uusi huijaus leviää Facebookissa, voi johtaa tilin kaappaukseen

Facebookissa on liikkeellä käyttäjätilien kaappaamiseen tähtäävä kampanja. Asiasta varoittaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.

Huijauskampanjassa rikolliset käyttävät hyväkseen hallussaan olevia tilejä, jotta huijausviestit vaikuttavat luotettavimmilta. Käytännössä huijaus ilmenee siten, että vastaanottaja saa viestin Facebook-kaveriltaan.

Tutulta tililtä lähetetyissä viesteissä pyydetään kohteen puhelinnumeroa. Kun rikolliset ovat saaneet puhelinnumeron tietoonsa, voidaan sitä kautta urkkia käyttäjälle tullut kirjautumisen vahvistuskoodi.

Kyberturvallisuuskeskus kehottaa miettimään kahdesti, ennen kuin luovuttaa puhelinnumeronsa.

– Jos saat tavallisesta poikkeavia viestejä tutuilta tileiltä, kannattaa niiden todenperäisyys varmistaa jotain muuta kautta. Voit esimerkiksi soittaa viestin lähettäneelle henkilölle, ja varmistaa, onko hän varmasti lähettänyt kyseisen viestin.

Asiantuntijat: Kvanttitietokoneista uusi uhka kaikille tietojärjestelmille

VTT:n asiantuntijat Petri Puhakainen ja Visa Vallivaara varoittavat kvanttitietokoneiden vaaroista Talouselämän kirjoituksessa ja vaativat ripeää toimintaa suojautumisen varmistamiseksi. Erityisesti julkiselta sektorilta odotetaan toimia uusien uhkien torjumiseksi.

– Kvanttitietokone on avain tulevaisuuteen, mutta väärissä käsissä se on myös avain kaikkiin tietojärjestelmiimme, Puhakainen ja Vallivaara kirjoittavat.

Puhakainen ja Vallivaara katsovat, että kvanttietokoneilla voidaan ratkaista valtavia haasteita ja jopa parantaa sairauksia, mutta niiden riskit ovat samalla valtava väärissä käsissä.

– Kvanttitietokoneiden avulla voidaan murtaa nykyiset suojausjärjestelmät, jotka pitävät turvassa informaatiota terveystiedoista aina valtiosalaisuuksiin. Arvioiden mukaan tällaiset tietomurrot ovat mahdollisia vielä tällä vuosikymmenellä.

Julkisella sektorilla tulisi asiantuntijoiden mukaan varautua vakoiluyrityksiin. Lisäksi Suomen tulisi itse jakaa tietoa vain sellaisille liittolaisille, joiden salausjärjestelmät ovat kunnossa. Yksityisellä sektorilla haavoittuvaisia ovat esimerkiksi pankki- ja tietoliikennepalvelut.

Asiantuntijat korostavat valtion roolia varautumisessa uhkiin ja sillä on keskeinen rooli varsinkin varautumisen tukemisessa.

– Kannusteita voivat olla taloudellinen tuki, kvanttisuojaaminen julkisten hankintojen hankintakriteereissä sekä lainsäädäntö, joka vaatii kvanttiturvallista suojaamista. Yhdysvalloissa tällaista lainsäädäntöä on jo olemassa.

Puhakainen ja Vallivaara näkevät, että Suomesta voisi tulla kvanttiturvallisuuden edelläkävijä. Suomalaiset tutkijat ovat osallistuneet kvanttiturvallisen suojaamisen standartoinnin kehittämiseen, joka valmistuu ensi vuonna.

– Suomi on kvanttitietokoneiden kehityksen edelläkävijämaa, ja meillä on mahdollisuus olla sitä myös kvanttisuojauksen osalta.

Vanha reititin voi olla tietoturvariski

DNA:n palvelukehitysjohtaja Ville Partasen mukaan ulkoisista merkeistä on harvoin mahdollista nähdä, että oman kodin reititin on käynyt vanhaksi.

Hänen mukaansa yleisimmät merkit heikosti toimivasta reitittimestä näkyvätkin silloin, kun verkkoon lisätään uusia laitteita. Tällöin pätkimistä alkaa yleensä huomata esimerkiksi suoratoistopalveluiden toiminnassa tai etäpalaverin videoyhteydessä.

– Jos kodin netti tökkii jatkuvasti ja reititintä pitää toistuvasti käynnistellä uudestaan, niin silloin on kyllä selkeä aika vaihtaa reititin. Nyrkkisääntönä sanoisin, että peruskäyttäjälle neljä vuotta vanha reititin on jo ikääntynyt. Edistynyt käyttäjä saattaa vaihtaa jo kahdenkin vuoden välein, sanoo Partanen.

Hän muistuttaa, että tökkivä netti on kuitenkin pientä sen rinnalla, mitä vanhentunut reititin voi pahimmillaan aiheuttaa.

– Jos laite on riittävän vanha, siihen ei välttämättä ole saatavilla tietoturvapäivityksiä tai niiden tekeminen on niin hankalaa, että käyttäjä vain antaa asian olla. Pahimmillaan hakkeri saattaa kaapata tällaisen laitteen ja käyttää sitä laittomaan toimintaan. Olemme myös huomanneet, että asiakkaat ovat maailmanpoliittisen tilanteen takia aiempaa selkeästi kiinnostuneempia laitteiden tietoturvasta. Erityisesti näinä aikoina jokaisen onkin tärkeä huolehtia omasta tietoturvastaan, muistuttaa Partanen.

Huomiota myös hintaan

Partanen kehottaa reititintä vaihtavan pohtimaan ensiksi hintaa.

– Edullisessa laitteessa on säästetty kaikessa, kuten esimerkiksi WiFin kantavuudessa, ohjelmiston laadussa ja laitteen tehossa. Halvalta laitteelta ei voi odottaa kaikkein korkeinta suorituskykyä. Monessa suomalaiskodissa olevan elektroniikan hinta on helposti useita satoja, joskus jopa tuhansia euroja. Näiden laitteiden käyttökokemusta ei kannata pilata hankkimalla halvin mahdollinen reititin.

Myös asunnon koko kannattaa ottaa huomioon.

– Reitittimellä kattaa noin 70-neliöisen asunnon, jos se on asennettu fiksulle paikalle. Esimerkiksi kerrostalokaksiossa laite kannattaa laittaa huoneiden väliin vaikkapa senkin tai kaapin päälle. Pahin paikka on metallikaapin sisällä, koska kaappi estää WiFin kuulumisen ja laite lämpenee turhan paljon suljetussa tilassa. Omakotitalossa tai asunnon koon ollessa yli 70 neliötä reitittimen verkkoa kannattaa laajentaa mesh-järjestelmällä, opastaa Partanen.

Partasen mukaan reitittimen kannattaa ehdottomasti olla WiFi 6 -yhteensopivia.

– Tällä varmistaa luotettavan ja nopean yhteyden koko asuntoon. Tämän lisäksi neuvon hankkimaan reitittimen omalta operaattorilta, sillä operaattori pitää huolen laitteen tietoturvasta, eikä asiakkaan tarvitse seurata laitevalmistajan sivuja tai osata päivittää laitetta.

Näin asiointi nettipankissa muuttuu

Liikenne- ja viestintäviraston määräys koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu täysimääräisinä voimaan kesäkuussa 2023.

Uudessa määräyksessä on kaksi tärkeää kohtaa, jotka tekevät sähköisestä asioinnista entistä turvallisempaa.

Suomessa asiointipalvelut ostavat pääsääntöisesti vahvan sähköisen tunnistuksen palveluja välityspalveluilta, jotka puolestaan muodostavat yhteydet Suomen 13 yksityissektorin tunnistusvälineen tarjoajaan. Käyttäjälle tämä rakenne ei kovin usein tule esille. Joskus välityspalvelun mukanaolo sekoittaa loppukäyttäjän. Käyttäjän on ollut vaikeaa varmistaa mihin palveluun hän on oikeasti ollut kirjautumassa.

Jatkossa asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Käyttäjän tulee pystyä helposti tarkistamaan palvelun nimi, mihin hän on kirjautumassa.

Esimerkiksi niin, että käyttäjä menee selaimellaan ”Verkkokauppa Verho”:n verkkokauppaan. Tunnistuksen eri vaiheissa käyttäjän tulisi nähdä tämä sama tieto ”Olet tunnistautumassa: Verkkokauppa Verho”. Tämä nimitieto kulkee mukana kaikissa niissä tunnistustapahtuman askelissa, missä se on mahdollista näyttää.

Mobiilitunnistuksessa tämä tieto kulkee aina tunnistusvälineeseen asti. Tiedon avulla on tarkoitus helpottaa käyttäjää tunnistamaan ne tilanteet, joissa hänet on mahdollisesti väärin perustein houkuteltu tunnistautumaan täysin eri palveluun.

Toinen käyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään. Jos istuntotunnisteet eivät täsmää, voi olla kyseessä oikeudeton tunnistuspyyntö, jolloin tunnistustapahtuma tulee katkaista.

Istuntotunniste ei kuitenkaan estä kalasteluyrityksiä, joissa kalastelija pystyy näyttämään käyttäjälle selaimessa väärennettyä tietoa.

Molemmat käyttäjälle näkyvät parannukset pyrkivät vähentämään vahvaan sähköiseen tunnistukseen kohdistuvia uhkia. Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.

Kyberturvallisuuskeskus muistuttaa, että kaikkia uhkia ja väärinkäytöksiä ei kuitenkaan koskaan voida sulkea pois. Sähköisessä asioinnissa on aina muistettava huolellisuus. Vahva sähköinen tunnistusväline on henkilöllisyystodistuksesi verkossa.

Vahvaa sähköistä tunnistusta ei tule myöskään tehdä kiireisessä tilanteessa. On myös muistettava lukea kaikki tunnistustapahtuman aikana saapuvat viestit tarkkaan. Asiointipalveluihin ei myöskään ole hyvä kirjautua hakukoneiden linkkien kautta, sähköpostilinkkien kautta tai SMS-viestien tai muun pikaviestimien linkkien kautta.

– Ei, vaikka viesti näyttäisi tulevan omalta pankiltasi. Kirjoita aina palvelun nimi selaimen osoitekenttään itse, tai käytä itse tallentamaasi kirjainmerkkiä, Kyberturvallisuuskeskus muistuttaa.

Jokaisen tulisi osata ainakin nämä digitaidot

Jokaisen suomalaisen pitäisi osata ainakin sähköpostin käyttö, omien asioiden hoitaminen digitaalisissa palveluissa sekä salasanojen käyttö ja palveluihin tunnistautuminen. Tämä käy ilmi Digi- ja väestötietoviraston julkaisemista digitaitosuosituksista.

Suositukset pohjautuvat Digi- ja väestötietoviraston (DVV) syksyn ja talven 2022–2023 aikana tekemään selvitykseen siitä, mitkä ovat kaikenikäisille ihmisille välttämättömät digitaidot. Keskeisimpiä taitoja ovat sähköpostin käyttö, omien asioiden hoitaminen digitaalisissa palveluissa sekä salasanojen ja palveluihin tunnistautumisen hallinta.

Lisäksi kaikki ikäryhmät kokivat olennaiseksi, että he ymmärtävät oman osaamistasonsa ja luottavat kykyihinsä kehittää omaa digiosaamistaan. Iäkkäämmät vastaajat korostivat ymmärrystä siitä, ettei digiosaaminen ole koskaan valmis.

Nuoremmat puolestaan tunnistivat, että olennaisia taitoja on määrällisesti paljon ja niiden tarve määrittyy elämäntilanteen mukaan. Nuoret korostivat erityisesti hyvinvointitaitojen ja medialukutaidon merkitystä.

Eri ikäisten kansalaisten tuntoja digitaalisesta tulevaisuudesta kuvaa suositusaineistoon liitetty sitaatti työpajasta: ”Kansalaisilta ei voi edellyttää itsenäistä asiointia palveluissa ennen kuin palveluntuottajilta edellytetään aidosti käyttäjäystävällisten ja saavutettavien palveluitten tuottamista”.

Digitaitosuosituksia käsitellään Digi- ja väestötietoviraston järjestämällä valtakunnallisella Digitaitoviikolla 8.–12. toukokuuta 2023. Teemaviikko järjestetään nyt neljännen kerran. Viikon pääaihe on digirohkeus, joka syntyy organisaatioiden ja ihmisten yhteistyöllä.

– Virastomme on esittänyt, että tulevalla hallituskaudella digitaalisesta asioinnista tehtäisiin lakisääteisesti ensisijainen asiointitapa heille, joille digipalveluiden käyttö on mahdollista. Tähän tarvitaan digirohkeutta. Sekä tarjottavien palveluiden että digiosaamisen tasoa on nostettava, sillä emmehän me voi edellyttää ihmisten käyttävän palveluita, jotka eivät toimi, sanoo johtava asiantuntija Minna Piirainen Digi- ja väestötietovirastosta tiedotteessa.