Kybertontun terveiset

Veikko Henriksson

Sanotaan, että joulu on lasten ja kauppiaiden juhlaa. Pidetään huoli, ettei se ole myös kyberrikollisten juhlaa! Loppuvuoden pakettiralli on vauhdissa, on sinkkujen ostospäivää, mustaa perjantaita, mustaa viikkoa, mustaa kuukautta, joulun ostoshysteriaa ja sitten alkaa alennusmyynnit.

Verkkokaupoista ostetaan nykyisin enenemässä määrin tavaraa sekä palveluita ja vauhti sen kuin kiihtyy. Pakettihuijauksia on ollut jo pidemmän aikaa, mutta kyllä ne vieläkin saattavat yllättää käyttäjät uusilla vedätyksillään. Kyberrikolliset käyttävät kyllä kaikki keinonsa, jotta bisnes pyörii ja kukoistaa. Tekoälyä käytetään sumeilematta ja laittomasti uusien vedätyksien tekemiseen ja joka päivä tulee uutta, joten kissahiiri-leikki jatkuu.

Kyberrikolliset käyttävät vuosittaisin toistuvia juhlia ja sesonkeja hyväkseen kiihdyttämällä tällöin ko. teemaan liittyvien huijauksien levittämistä. Ajankohtaiset tapahtumat kuten esim. veronpalautukset tai muu vastaava aktivoi huijausviestien kohdentamisen maakohtaisesti jopa täysin virheettömällä ko. kohdemaan natiivilla kielellä. Emme siis ole enää ns. kielimuurin takana, sillä laajat kielimallit eli generatiivinen tekoäly kirjoittaa (ja puhuu) virheetöntä suomen kieltä tai mitä tahansa muuta haluttua kieltä. Tekoälyn avulla voidaan automatisoida huijauksia tehokkaasti ja tekoäly oppii ajan saatossa ihmismäisen käyttäytymismallin, jota se hyödyntää huijauksissa.

Tietoturvan tilannekatsaus viime viikoilta

Kybertonttu on hyvin huolissaan maailman menosta, etenkin digimaailmanmenosta tällä hetkellä. Digihyvinvointikin tuppaa repsottamaan, kun teknologia ja algoritmit ovat ottaneet pihtiotteen monista käyttäjistään. Digihyvinvoinnista ja pahoinvoinnista löytyy lisää havaintoja mm. Niemikotisäätiön blogista ja internetin syövereistä. Tsekkaa tarvitseeko oma digihyvinvointisi kohentamista ja pyri kohtuuteen jatkossa.

Digihyvinvointia vai -pahoinvointia? Osa 4. Keinot hyvinvointiin

Kybertonttu tutustui viimeaikaisiin tietoturvapoikkeamiin mm. kyberturvallisuuskeskuksen kybersäiden ja viikkokatsauksien avulla, tässä lyhyt lista joistakin huomioista:

  • Runsaasti tekstiviestikalastelua eri organisaatioiden ja tahojen nimissä mm. Omavero, Omakanta, Postnordin, Fortumin, Terveystalon, Mehiläisen, Traficomin, Suomi.fi, PRH ja tietenkin lähes kaikkien pankkien nimissä tehtäviä huijauksia. Viime viikolla kyberrikolliset lupasivat mm. hyvityksiä veden ja sähkön kuluihin valtion nimissä.
  • Microsoftin M365-tilejä murretaan jälleen salasanan vanhenemisviesteillä. Olkaa siis tarkkana!
  • Palvelunestohyökkäykset lisääntyvät esim. Nordeaan kohdistui melko isokin sellainen.
  • Turvatilihuijaukset, puhelut huijareilta. Osuu ja uppoaa usein iäkkäisiin ihmisiin valitettavasti.
  • Pankkipalveluissa ja Omaverossa suunniteltuja katkoksia eli järjestelmäpäivityksiä, jotka olivat kovin pitkäkestoisia ja välillä pankkitilien tiedotkin katosivat hetkeksi käyttäjiltä ja palautuivat päivityksen jälkeen onneksemme. Tässä kohtaa on hyvä tarkistaa pankkitilisi ja korttiesi turvarajat. Säädä ne tarvittaessa turvallisemmiksi.
  • Katkokset maailman laajuisissa pilvipalveluissa, kuten Microsoftilla äskettäin. Tällaisia tulee aika ajoin ja ne ovat etenkin organisaatioille hyvinkin haitallisia.
  • Seksikiristyshuijaukset eli sextortion-huijaukset. Kaava sama kuin ennen, mutta ryyditetty netistä löytyvillä tiedoilla kohdeuhrista, esim. nimi, osoite, kuva asuintalosta tms.
  • Runsaasti tietoturvattomia kodin IOT-laitteita, kuten reititin, joita käytetään kyberturvallisuushyökkäyksiin. Tarkista oma kotireititin ja sen kytkennät! Älä osta kuitenkaan kiinalaista verkkolaitetta!
  • Teollisuusautomaatiojärjestelmien haavoittuvuudet ja VPN-yhteydet haavoittuvia.
  • Kiristyshaittaohjelmat ovat merkittävä uhka yrityksille. Varmistukset kuntoon siis.
  • Tekoälyn tuomat haasteet. Mielikuvitus on rajana.
  • Vakavia haavoittuvuuksia hyödynnetään yhä nopeammin. Muista päivitykset, myös selaimien päivitykset!
  • Hybridisodankäynti ja informaatiovaikuttaminen.
  • Internet-liikenteeseen liittyvät terrori-iskut esim. merikaapeleiden katkominen. Periaatteessa jos katkotaan useampi merikaapeli yhtä aikaa, niin syntyy erittäin vakava häiriötilanne. Miten voimme varautua?
  • NIS2-direktiivi etenee, mutta myöhästyy Suomen osalta (1). Direktiivi koskee yhteiskunnallisesti kriittisiä organisaatioita.
  • Välimuistin tyhjennys kaikissa laitteissa (myös älypuhelimet) on edelleen hyvä tapa, sillä esim. kaksi vaiheinen tunnistautuminen voidaan ohittaa välimuistista napatuilla istuntotiedoilla, jotka ovat jääneet esim. edellisestä sähköpostisessiosta tms.

(1) NIS2-direktiivi yhdenmukaistaa eräiden yhteiskunnan kriittisten sektoreiden vähimmäistason kyberturvallisuutta koskevia riskienhallinta- ja raportointivelvoitteita. Velvoitteet vastaavat muuttuneeseen kybertoimintaympäristöön. Direktiivin soveltamisala laajenee ja velvoitteet tarkentuvat NIS 1 -direktiivistä. 

https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis2-euroopan-unionin-kyberturvallisuusdirektiivi

Huijaukset muuttuvat ja monimutkaistuvat alati ja jokainen meistä tulee melko varmasti retkahtamaan niihin jossain vaiheessa elämää, kun aika ja paikka on sille suotuisa. Tietoturvan tilannekuvan seuraaminen auttaa paljon, mutta hyvänä periaatteena jatkossa suosittelisin seuraavaa toimintatapaa: 

Älä koskaan naputtele/luovuta mitään luottamuksellista tietoa, kuten pankkitunnuksia tai henkilötietoja minkään viestin tai linkin ohjaamana mihinkään. Käytä aina omaehtoisesti ja omasta aloitteestasi sähköisten palveluiden virallisia ja salattuja kanavia asioiden hoitoon. On hyvä muistaa, että huijauksia tulee myös puhelumuodossa.

Varautuminen

Hyvä käytäntö on myös hiukan varautua etukäteen mahdollisiin digiturvapoikkeamiin. Mitä teet, jos älypuhelimesi varastetaan tai rikkoontuu? 

Harri hoitaa pitkälti firman älyluurit etähallinnalla, mutta kaikki päätelaitteet vaativat aika ajoin pientä huomiota ja kutittelua käyttäjien toimesta, jotta päivitykset hoituvat mahdollisimman nopeasti. Muista siis tarkistella vaikkapa ihan päivittäin myös työpuhelimesi järjestelmäpäivitykset sekä käytössä olevien sovelluksien päivitykset.

Netistä löytyy paljon ohjeita älypuhelimien varkauksien estoon liittyen esim. eri operaattoreilta, mutta ainakin kaikki yleiset perussuojaukset ja menetelmät älypuhelimessa tulee olla hyvässä kunnossa ja käytössä. Käyttäjän tietoisuus riskeistä ja ennakkoon varautuminen helpottaa, jos ja kun jotain odottamatonta tapahtuu:

  • Vahva suojauskoodi tai biometrinen tunnistautuminen käytössä.
  • Oletus PIN-koodi vaihdettuna SIM-korttiin.
  • Kaksivaiheiset tunnistautumiset tärkeisiin palveluihin käytössä.
  • Kaikki päivitykset tehtynä ja älypuhelin ajantasainen eli tukipäivitykset saatavilla valmistajalta.
  • Riittävän nopea ja automaattinen lukitus älypuhelimessa.
  • Varmuuskopiointi käytössä.
  • Paikannuspalvelu ja etähallinta käytössä. Etähallinnan avulla voi tyhjentää puhelimen tai yrittää metsästää älypuhelimensa, jos se on ikään kuin kadonnut, eikä selkeästi varastettu. 
  • Käytä tarvittaessa suojattuja kansiota (holvi tms.) tärkeille tiedoille ja tiedostoille.
  • Käytä älypuhelimen tarjoamia mahdollisia varkauden estoon liittyviä asetuksia ja toimintoja.
  • Voit myös ottaa älypuhelimen automaattisen tyhjennyksen käyttöön, mikäli riittävän monta väärää lukituskoodia lyödään älypuhelimeen.
  • Pidä hyvää huolta älypuhelimestasi, se on kuitenkin yksi ihmisen tärkeimmistä työkaluistasi tällä hetkellä!

Ota myös puhelimen IMEI-numero talteen, sillä voidaan estää puhelimen käyttö operaattorin toimesta. Tee rikosilmoitus tarvittaessa poliisille. Varautua voi myös siten, että hankkii varapuhelimen tai säilyttää vanhan toimivan ja päivittyvän älypuhelimen varalla hätätapauksia varten.

Lisää vaihtoehtoinen tunnistautuminen esim. pankkipalveluihin toiseen laitteiseen (varapuhelin) primäärisen mobiilitunnistautumisen lisäksi, jotta voit hoitaa pankkiasioinnit hätätapauksessa toisella laitteella. Osalla pankeista on tunnuslukulaite tarjolla tunnistautumista varten ja sen voi tilata varmuuden vuoksi pöytälaatikkoon.

Voit halutessasi hankkia vakuutuksen älypuhelimillesi tai tarkista kattaako kotivakuutuksesi älypuhelimeesi mahdollisesti kohdistuvat riskit (omavastuu). Kalliimpiin älypuhelimiin voisi harkita erillisen lisävakuutuksen ottamista, jos sellaisia on saatavilla.

Älypuhelinta kannattaa säilyttää huolellisesti ja käsitellä varoen. Käytä suojakuorta ja näytön suojaa. Pidä puhelin kuivana ja vältä äärimmäisiä lämpötiloja. Käytä tarvittaessa suojalaukkua ja varo pudottamasta älypuhelinta. Lataa älypuhelin aina valvonnan alla, äläkä jätä sitä laturiin kiinni yöksi.

Turvaa tietosi: Vinkkejä puhelimen tietoturvalliseen käyttöön | Kyberturvallisuuskeskus

Kybertonttu ja Paloaseman palosotilaat toivottavat kaikille turvallista jouluun varautumista!

Varautuminen poikkeamiin kannattaa. Sähkökatkoihin varautuminen on yksi tärkeimmistä. On hyvä palauttaa mieliin mitä kuuluu ns. kansalaisen ”kotivaraan” ja onko oma varautuminen sen osalta kunnossa. Häiriötilanteisiin tulisi jokaisen kansalaisen varautua, yleensä puhutaan 72 tunnin eli kolmen vuorokauden hätävarasta. Alla olevien linkkien kautta voi tutustua mm. häiriö- ja kriisitilanteisiin varautumiseen: https://www.suomi.fi/oppaat/varautuminen

72 tuntia on viranomaisten ja järjestöjen varautumissuositus kotitalouksille: https://72tuntia.fi

  • Pullovettä (vähintään 5 litraa/henkilö)
  • Helposti valmistettavaa ja kaikille perheenjäsenille sopivaa ruokaa
  • Ruokaa ja vettä lemmikkieläimille
  • Paristoilla toimiva radio
  • Paristoilla toimiva taskulamppu
  • Paristoja
  • Ladattu varavirtalähde esimerkiksi puhelinta varten
  • Retkikeitin, polttoainetta ja tulitikut
  • Vähän käteistä rahaa
  • Välttämättömät lääkkeet
  • Joditabletteja
  • Muovipusseja ja vessapaperia
  • Hygieniatarvikkeet (esimerkiksi kosteuspyyhkeitä ja käsidesiä)
  • Ensiaputarvikkeet
  • Polttopuita, jos on takka tai puu-uuni
  • Palovaroitin
  • Käsisammutin/sammutuspeite
  • Ilmastointiteippi

https://72tuntia.fi/kotivara

Terveisin
Veikko Henriksson
Mieli Töihin -valmennusyksikkö

Yksi kommentti

Vastaa