Tietoturvamurrot, salasanavarkaudet ja palvelunestohyökkäykset eivät ole vähenemässä. Mitä sinä voit tehdä niiden ehkäisemiseksi? Tässä sinulle vinkkejä siihen, kuinka voit toimia yksilönä ja organisaatiossa mahdollisimman turvallisesti verkossa.
6 vinkkiä: Näin toimit turvallisesti verkossa
Vinkit on koottu yhteistyössä tietoturvatutkija Laura Kankaalan kanssa (Detectify).
1) Salasanat ovat yleisin syy tietomurroille
- Niitä hankitaan kalastelulla, varastamalla ja takaoviohjelmien avulla.
- Hyvä salasana on sellainen, jota et muista ulkoa.
- Käytä vain ainutkertaisia salasanoja tai mieluiten salasanalauseita. Älä siis käytä samaa salasanaa koskaan useassa paikassa!
- Taivuta sanoja, tai käytä murresanoja lauseissa, tai ”kirjoitusvirheitä” ja lisää väliin merkkejä korvaamaan kirjaimia. Keksi itse omat muistisääntösi. Ja käytä salasanamanageria salasanojen tallettamiseen, jolloin käytössä on yhden salasanan periaate.
- Käytä monivaiheista tunnistautumista: näin varmistat, että ulkopuoliset eivät pääse järjestelmiin, vaikka tunnukset vuotaisivat.
2) Ota käyttöön seuraavat tuotteet ja palvelut
- Salasanamanagerin toiminta-ajatus on, että luot vain yhden vahvan salasanan, jonka taakse laitetaan kaikki muut salasanat. Salasanojen hallintaohjelmat tallentavat tiedot säilötiedostoon ja salaavat sen satunnaisella salausavaimella. Sinun tarvitsee muistaa vain pääsalasana, joka toimii yleisavaimen tavoin eri ohjelmiin ja palveluihin.
- Käytä virustorjuntaohjelmia.
- Käytä VPN-palvelua, kun käytät julkisia wifi-yhteyksiä. Se suojaa rikollisilta hakkereilta. Kun laite yhdistetään internetiin, se yhdistyy VPN-palveluntarjoajan serveriin salatun yhteyden kautta. Näin tieto, joka liikkuu esimerkiksi käyttäjän tietokoneen, kännykän tai tabletin ja tämän kyseisen serverin kautta, on turvallisesti salattu.
- Käytä tarvittaessa esim. sähköpostiviestien salausta eli kryptausta. Salaus estää viestin lukemisen. Viestin tai tiedon voi lukea vain purkamalla salauksen avaimella, jonka viestin lähettäjä antaa.
- Suhtaudu epäilevästi mobiilisovelluksiin, joita tarjotaan epävirallisista lähteistä.
3) Tarkista domain
Onko domain outo?
- Tarkista typosquatting = hyökkääjä rekisteröi tahallaan toisen organisaation tunnuksen eri tavalla kuin alkuperäinen. Esim. paypal1.com, kun pitäisi olla paypal.com.
- Jos epäilyttää, älä käytä tarjottua linkkiä, vaan kirjoita tuntemasi URL suoraan selaimeen.
4) Salattu https vai salaamaton http
- https-sivuilla muut eivät näe, mitä selailet tai mitä tietoja annat. http-sivut ovat salaamattomia.
- Käytä vain https-yhteyksiä sivuilla, jotka eivät ole “staattisia” sivuja eli sivuja, joissa syötät tai muokkaat tietoa, esim. jossa syötetään salasanoja tai pankki- tai luottokortin tunnuksia.
- Selaimen osoiterivillä olevaa lukkoa klikkaamalla näkee tiedon sivuston salaamisesta. Tosin rikollinenkin onnistuu toisinaan tilaamaan sivustolleen salaussertifikaatin. Kannattaa siis aina tarkistaa domain, ks. kohta 3.
5) Tiedosta
- Ovatko tietosi vuotaneet? Voit tarkistaa sen näillä sivustoilla:
havebeenpwned.com
badrap.io
Firefox Monitor - Palvelut osaavat kertoa, löytyykö osoitteesi, käyttäjätunnuksesi tai luottokorttitietosi jostain, missä niiden ei tulisi olla.
6) Mieti aina miksi?
- “Miksi minun pitäisi kirjautua tälle sivulle?”
- ”Miksi minulle näytetään tätä sisältöä?” Silloinkin kun se on hauskaa sisältöä.
- ”Miksi minun pitäisi jakaa/julkaista tämä tieto? Mitä siitä seuraa?”
Muista siis ainakin nämä:
- virustorjunta
- salasanamanageri
- salaus
Tuotteet ja palvelut, joita on hyvä käyttää:
VPN
Varoitus:
Ylimääräiset/epäilyttävät ohjelmat, mobiilisovellutukset epävirallisista lähteistä
Toiminta organisaatiossa
Lähde: tietoturva-asiantuntija Iiro Uusitalo, Solita Oy
Vinkit tietoturvan parantamiseen organisaatiossa
1) Etsi julkisia tietoja organisaatiosta säännöllisesti.
2) Älä käytä työnantajan sähköpostia vapaa-ajan palveluihin.
3) Kouluta henkilöstöä määräajoin ja kerro uusista uhista.
4) Huolehdi että IT-osasto tietää pilvipalvelu hankinnoistasi.
5) Harjoittele tietomurtoja varten.
6) Tarjoa työntekijöille salasananhallintatyökalu.
7) Tarjoa henkilöstölle kanava, johon voidaan raportoida tietoturvapuutteet.
8) Osoita työntekijöille postilaatikko, johon voidaan tiputtaa tunnistamattomat muistitikut.
9) Päivitä koneesi ja sen sovellukset.
10) Älä klikkaa sähköpostilla tullutta linkkiä, vaan mene käyttämäsi palvelun sivuille suoraan.
11) Käytä monivaiheista kirjautumista tai tarjoa Yubikey (salausavain) työntekijöittesi käyttöön.
12) Julkisessa langattomassa verkossa käytä aina VPN:ää.
Katso lisää ohjeita Kyberturvallisuuskeskuksen sivuilta:
https://www.kyberturvallisuuskeskus.fi/fi/ohjeet”