sunnuntai 4. lokakuuta 2020

Tietoturvauhkien torjunta

Tietoturvauhkien torjunta

Joskus oli tietokoneiden ja internetin suhteen aika, jolloin tietoturvauhat olivat vielä melko kömpelöitä ja piti tunaroida kunnolla, että jotakin pahempaa tapahtuisi tietokoneille ja omille tiedoille. Mutta toista se on nykyään ja on ollut jo monta vuotta. Haittaohjelmat (malware) ja tietojen kalastelu (phishing) ovat kyberrikollisten ja huijarien käsissä aina vain jalostuneempia, hienostuneempia, taitavampia ja aidommanoloisia - myös jo monesti hyvällä suomenkielellä. Tekstiviestien ja puheluiden muodossa tulevia tietoturvauhkia / huijauksia unohtamatta.

Vaikka joku olisi ICT- ja tietoturvaan liittyviltä tiedoiltaan edistynyt, voi hänkin langeta haittaohjelmiin ja tietojenkalasteluun, esim. kiireessä ja stressattuna. Myös minä olen tehnyt tietoturvan ja yksityisyydensuojan kannalta eräitä typeriä virheitä, joita minun ei olisi pitänyt tehdä. Mutta olen koettanut ottaa opikseni ja korjata virheitäni.

ICT-asioissa on käynnissä jatkuva kilpajuoksu ja taukoamaton kamppailu, jossa kyberrikolliset ovat aina askeleen edellä ja jälkijunassa ovat sitten tietoturva-asiantuntijat ja tietoturvaohjelmistojen valmistajat.

Eikä erinäisiä moderneja uhkia edes voi estää antivirusohjelmistoilla. Sellaisia uhkia ovat niin sanotut tiedostottomat hyökkäykset, joissa kohdelaitteeseen ei edes asenneta sen tiedostojärjestelmään mitään suoritettavaa tiedostoa tms. Toinen ryhmä noita tietoturvauhkia ovat pilvipalveluissa kuten Microsoftin Azuressa tapahtuvat hyökkäykset, joita tietoturvaratkaisut eivät huomaa eivätkä estä, koska hyökkäys käyttää ihan laillisia, virallisia pilvipalvelun sovelluksia ja toimintoja.

Mutta tilanne ei kuitenkaan ole ihan toivoton. Pitämällä laitteiden käyttöjärjestelmä ja kaikki sovellukset päivitettyinä viivyttelemättä ja käyttämällä kriittistä tervettä järkeä ja harkintaa netissä sekä huolehtimalla siitä, että joka sivustoon sekä palveluun on oma, erilainen ja vahva salasana (ainakin 15 merkkiä, mutta esim. Google tukee 100 merkkiä pitkiä salasanoja) pääsee jo aika pitkälle.

Ja kaikkiin palveluihin kuten PayPaliin on kirjauduttava vain niiden omalla virallisella etusivulla, eikä koskaan jonkun epämääräisen ja odottamattoman sähköposti- tai tekstiviestin kautta tulleen linkin avulla. Kyseessä voi olla huijausviesti ja tietojenkalasteluyritys.

Samoin auttaa jos käyttää sivustoissa ja palveluissa kaksitekijäistä tunnistautumista (2FA), jos sellainen on saatavilla. Eli käyttäjätunnuksen ja salasanan antamisen jälkeen annetaan lisäksi puhelimeen asennetun todentajasovelluksen generoima, 30 sekunnin välein vaihtuva numerokoodi. Myös tekstiviestissä tulevaa numerokoodia voi käyttää ainakin eräissä palveluissa (kuten Instagramissa). Tekstiviesti on kuitenkin turvattomampi keino, joten on parempi käyttää todentajasovellusta älypuhelimessa.

2 kommenttia:

  1. Kaksitekijäinen tunnistautuminen on kyllä ollut toimiva käytäntö, eikä vaadi paljon opettelua. Olen opettanut digitaitoja mummolleni, joka on vielä työelämässä ja joutuu nyt korona-aikaan opettelemaan paljon uutta sähköisesti. Viime viikon oppitunnin aiheena oli PDF-tiedostojen muokkaus.

    https://mmpro.fi/tuotetiedot

    VastaaPoista
  2. 2-tekijäinen tunnistautuminen on hyödyllinen lisäkerros tietoturvassa omien palveluiden ja tilien suojelemisessa. Käytän todentajasovellusta. Ja Windows 10-tietokoneessa Microsoft-tilille kirjautumisessani on HELLO käytössä, PIN-koodin muodossa.

    VastaaPoista

Asialliset kommentit hyväksytään. Ei kuitenkaan mitään riidanhaastamista, käännyttämistä tai väittelyä väittelyn vuoksi. Ei tämä blogi ole mikään väittelyfoorumi.

Huomaa: vain tämän blogin jäsen voi lisätä kommentin.