Tietoturva ry:n torstaina 23.11.2023 järjestämän webinaarin moderaattorina toimi yhdistyksen varapuheenjohtaja Kimmo Rousku, toisena moderaattorina yhdistyksen hallituksen jäsen Oona Matinpalo sekä panelisteina tietokirjailija Petteri Järvinen, viestintäkonsultti Christina Forsgård, senior associate Teemu Vaskiluoto ja etäyhteyden takaa tietokirjailija ja kriisiviestinnän kouluttaja Katleena Kortesuo.

Suojelupoliisi uutisoi alkusyksystä, että kybervakoilu hyödyntää suojaamattomia kuluttajalaitteita, ennen kaikkea kotireitittimiä. Kun kotona hyödynnetään laajasti erilaisia digilaitteita, asia nousi paneelikeskustelun ensimmäiseksi aiheeksi. Rouskun mukaan tärkeitä ovat tunnukset ja salasanat, laitteiden ja ohjelmistojen päivitykset, niiden turvalliset asetukset ja tietojen varmuuskopiointi. Lukko kodin ovessa ei riitä, eli sipulimallin mukaisesti päällekkäisiä kerroksia turvallisuuteen tarvitaan.

Salasanat ovat tyypillisesti heikkoja tai erittäin heikkoja. Kirosanat ja sen tyyppiset salasanat, kuten ”kakka123” ovat yleisiä tai ainakin useimmin murrettuja. Tosin nykyään järjestelmät vaativat vahvempia salasanoja. Varmuuskopioinnin 123-malli on myös osin mennyttä aikaa, sillä pilvipalveluihin luotetaan siinä määrin, että nykytilannetta voidaan kutsua 12-malliksi.

Tietoturva ry on suomen suurin tietoturva-ammattilaisten verkosto asiantuntijoille, opiskelijoille ja muille kiinnostuneille.

Tietoturva ry on TIVIAn jäsenyhdistys.

Lue lisää

QR-koodeihin kohdistunut epäluulo on osin perusteetonta, sillä QR sinänsä ei ole ongelma, vaan sen sisältämä koodi. Julkisissa tiloissa QR-koodeja käytetään luottaen juuri tilan haltijan luotettavuuteen, mutta myös QR-koodi sinänsä aiheuttaa luottamusta, eikä koodin skannaaja välttämättä kyseenalaista sitä, minne koodi vie.

Järvinen nosti esiin kodin tietoturvassa myös laitteiden valinnan ja asentamisen. Internetyhteyden sisältävä ”tökkeli” saatetaan tökätä laitteessa väärään reikään johtuen mm. laitteiden epäselvistä merkinnöistä, jolloin oma sisäverkko on auki Internetiin. Laitteiden valinta on myös vaikeaa, kun virallisia sertifiointeja laitteille ei vielä ole. Kannattaa kuitenkin suosia tunnettujen suurten valmistajien tuotteita. Forsgård oli siirtämässä vastuuta operaattoreille, joiden tuetuista laitteista pitäisi löytyä vain luotettavia tuotteita, joille tulee ajallaan myös muun muassa päivitykset. Käytännössä kuitenkin esimerkiksi valokuituyhteyksien yhteydessä on hyväksyttävä operaattorin toimittamat laitteet, olivat ne mitä hyvänsä. Tosin suomalaiset operaattorit ovat hyvin hoitaneet osuuttaan, Järvinen totesi.

Kortesuo painotti, ettei minkään laitteen kuuluisi olla wifi-yhteydessä, ellei se ole välttämätöntä. ”Turha avata hyökkäyspinta-alaa lisää, jos ominaisuuksia ei tarvitse”, Vaskiluoto totesi tarkoittaen älytelevision älyominaisuuksia sekä esimerkiksi mikrofonia ja kameraa. ”Kun tätä älyä nyt tulee joka laitteeseen, alkaa jo vähän huolestumaan, mitä laitteet ja niiden ylläpitäjät alkavat tietää meistä”, Forsgård totesi. ”Data, jota ne kerää meistä, on arjen dataa, joiden kohdalla emme aina edes tunnista, mitä olemme tekemässä.” Varsinaisesti huolestuttava asia on se, mitä eri laitteet yhdessä tietävät meistä, ja mihin kerättyä tietoa käytetään.

Kortesuo painotti, ettei minkään laitteen kuuluisi olla wifi-yhteydessä, ellei se ole välttämätöntä. 

Myös rikollisuus tullee muuttamaan muotoaan. Varakkaiden kotien laitteista voi kaivaa tiedon, milloin he ovat kotona ja milloin poissa, jolloin murtautumisen kotiin voisi kohdistaa rikollisen kannalta turvalliseen hetkeen. Myös sosiaalisesta mediasta saa usein tietoa, joka auttaa rikollisia. Tulevista tekemisistään ei kannattaisi kertoa.

Ennakkokyselyssä vastaajien kotoa löytyi kaikentyyppisiä älylaitteita, joskin erityisesti reitittimien pieni yleisyys ihmetytti. Sen sijaan laitteiden päivitysten ja oletussalasanojen vaihtamisen osalta kyselyn vastaajat olivat valveutuneita. Järvinen muistutti, että kyselyn tulokset antavat väärän kuvan todellisuudesta, sillä vastaajat ovat todennäköisesti alan ammattilaisia, joiden kuuluukin olla valveutuneita. Kysymys heräsikin, mikä on keskivertosuomalaisen tilanne? Myyjät eivät ainakaan tunnu tietävän mitään myymiensä laitteiden tietoturvasta.

Kortesuo nosti esiin tavallisen kansalaisen ajatuksen siitä, että miksi hänen tietonsa olisivat rikollisille kiinnostavia? Eikä ymmärretä kyseessä olevan ”valtavan haravoinnin” tietoturva-aukkojen löytämiseksi, jotta löytyisi avoimia laitteita rikoksentekotyökaluiksi. Harvemmin tulee ajatelleeksi, että näin rikollinen saattaa päästä käsiksi henkilön koko verkostoon. Forsgård kertoikin pyrkivänsä koulutuksessa ajatukseen, että ellei koulutettava ole omasta turvallisuudestaan kiinnostunut, kannattaisi kiinnostua verkostonsa puolesta.

Kuuntelijakysymys siitä, että onko kaikkea pakko koko ajan muuttaa – koskien erityisesti käyttöliittymiä – oli Järvisellä selkeä mielipide: Kaikkea ei pitäisi koko ajan muuttaa, sillä muutokset rasittavat ihmisiä ja altistavat heidät virheille ja epätietoisuudelle. Järvinen rajoittaisi käyttöliittymämuutokset kahteen vuodessa. Brändin ylläpitäminen ja tuotteiden pitäminen tuoreen näköisenä saattaa kuitenkin, erityisesti nuorempien osalta, tuntua välttämättömältä. Samaan aikaan kuitenkin saavutettavuusasiat saattavat olla edelleen pielessä. Toisaalta harva valmistaja kertoo, kuinka pitkään päivityksiä on saatavissa. ”Tällaiselle ennustettavuudelle on tilausta”, Vaskiluoto totesi. Matinpalo peräänkuulutti palveluntarjoajien vastuuta ja Kortesuo muistutti, että reitittimien asetusten käyttöliittymä merkkipohjaisuuksineen vaikuttaa 1990-lukulaiselta, mikä saattaa hämmentää nykyaikaisiin käyttöliittymiin tottuneita. Youtuben ohjeviedot ovat tarpeen.

Ihmiset saattavat kokea käyttävänsä vain palveluja, kuten Youtubea ja Netflixiä, jolloin perusasiat, kuten internet ja internetyhteyden reitittimen asiat jäävät vähemmän kiinnostaviksi, vaikka ovat tietoturvan perusasioita.

Teksti: Reino Myllymäki