Tietoturva ja tietosuoja Tiina Jokiniemi

Tämä teos, jonka tekijä on Tiina Jokiniemi, on lisensoitu Creative Commons Nimeä-EiKaupallinen-JaaSamoin 4.0 Kansainvälinen -lisenssillä.

Tietoturvalla viitataan turvallisuuteen tietokoneympäristössä.

Tietoturvalla tarkoitetaan erilaisten tietojen, järjestelmien, palveluiden sekä tietoliikenteen asianmukaista suojaamista erilaisia uhkia vastaan. Tietoturvauhkia ovat esimerkiksi tietojen kalastelu, identiteettivarkaudet, huijausyritykset ja tietokonevirukset. Tietoturva koskee kaikkia käsiteltiinpä tietoja sitten suullisesti, paperilla tai tietokoneella. Tietotekniikan käyttäjän vastuulla on huolehtia muun muassa siitä, ettei tärkeät tiedot pääse tuhoutumaan. Koska tietoturvaa uhkaavat monet eri tekijät, uhkatekijöiden tunnistaminen auttaa niiden torjumisessa.

Tietosuojalla viitataan kaikille kuuluvaan lainsäädännölliseen oikeuteen, joka turvaa omien henkilötietojen salassapidon ja luotettavan käsittelyn

Tässä osiossa tavoitteena on vastata kysymyksiin:

  • Mitä on tietoturva ja miksi se on tärkeä asia?
  • Mitä on tietosuoja ja miten voit vaikuttaa itseäsi koskevaan tietosuojaan?
  • Mitä ovat tietoturvaan vaikuttavat inhimilliset ja tekniset uhkatekijät?

Tietoturvan periaatteet:

Tietoturvassa on kyse tiedon luottamuksellisuudesta, eheydestä, käytettävyydestä sekä todentamisesta.

Luottamuksellisuus (Confidentiality)

Luottamuksellisuus tarkoittaa tiedon salassa pitämistä. Luottamuksellisuuden periaatteella tarkoitetaan sitä, että erilaiset tiedot (mm. salasana) ja järjestelmät (mm. sähköposti) ovat vain sellaisten henkilöiden käytettävissä, joilla on oikeus niiden käyttöön. Luottamuksellisuus tarkoittaa, että sivullisille ei saa antaa mahdollisuutta muuttaa tai tuhota tietoja eikä muutoin käsitellä niitä.

Eheys (Integrity)

Eheydellä pyritään estämään tiedon muuttaminen. Eheys tarkoittaa sitä, että tietojen ja järjestelmien tulee olla luotettavia, oikeita ja ajantasaisia, eivätkä ne muutu tai ole muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena. Eheyteen voidaan vaikuttaa esim. tietojen päivittämisellä ja ajantasaisella varmuuskopioinnilla.

Saatavuus (käytettävyys, Availability)

Saavutettavuudella edistetään yhdenvertaisuutta, siten että kaikilla on mahdollisuus käyttää tietoa ja verkkopalveluita. Käytettävyydellä tarkoitetaan sitä, että järjestelmien tiedot ja palvelut ovat niihin oikeutettujen henkilöiden käytettävissä etukäteen määritellyssä vasteajassa.

Todentaminen (Authentication)

Todentaminen tarkoittaa osapuolten (henkilö tai järjestelmä) luotettavaa tunnistettavuutta. Todentamisessa käytetään esim. muuttuvia avaintunnuksia, salasanoja ja sertifikaatteja.

Peruskäsitteitä

  • Tunnistaminen (identification): Tiedetään henkilön identiteetti:
  • Todentaminen (authentication): Varmennutaan henkilön tai olion identiteetistä.
  • Tapahtumien kirjaaminen (accounting): Voidaan itse seurata mitä on tapahtunut.
  • Kiistämättömyys (non-repudiation): Tapahtuma pystytään todistamaan myöhemmin muille.
  • Valtuutus (authorization): Annetaan oikeutus suorittaa toimenpide.
  • Tietosuoja (privacy): Henkilökohtaisen datan suojaaminen väärinkäytöksiltä.

Tietoturvan osa-alueet

  • Hallinnollinen tietoturva: Tietoturvan johtaminen ja hallinnointi
  • Henkilöstön tietoturva: Henkilöstön vastuut, roolit ja ohjeistus
  • Toimitilojen tietoturva: Toimitilojen ja laitteiden fyysinen suojaaminen.
  • Laitteiden tietoturva: Käytettävien laitteiden yleinen suojaaminen.
  • Ohjelmistojen tietoturva: Käytettävien ohjelmistojen tietoturva
  • Tietoliikenteen turvallisuus: Tiedon siirtoon liittyvä turvallisuus
  • Tietoaineiston turvallisuus: Tietoa sisältävien dokumenttien käsittely

Inhimilliset ja fyysiset uhat

Valtaosa tietoturvaongelmista johtuu käyttäjän toiminnasta, ja vain pieni osa ohjelmistoista ja laitteistoihin liittyvistä fyysisistä tekijöistä. Ihmiset tekevät virheitä, niin suunnittelussa kuin päivittäisessä toiminnassa. Tahalliset hyökkääjät voivat lukea, muuttaa ja tuhota tietoa, huviksi tai hyödyksi. Tekijät voivat olla ulkopuolisia, yrityksen omaa väkeä tai rikollisia, jotka ovat rahanperässä. Oma henkilökunta on usein suurin ongelmalähde.

Inhimilliset tekijät

Inhimilliset uhat voivat johtua ajattelutavasta:

  • ”Minun tietokoneeseeni ei ole kukaan murtautunut, joten miksi suojaisin sitä?”
  • ”Kuka nyt olisi kiinnostunut minun tiedostoistani?”
  • ”Tuskinpa tuossa tiedostossa on virusta”.
  • ”Enpä taida jaksaa ottaa varmuuskopioita tärkeistä tiedostoistani”
  • ”Enpä kyllä jaksa lukita salissa käyttämääni tietokonetta vessareissuni ajaksi”

Tai toimintatavoista:

  • unohdetaan kirjautua ulos poistuttaessa tietokoneelta.
  • salasana kirjoitetaan paperille ja säilytetään esimerkiksi näppäimistön alla.
  • salasana ja maksutiedot tallennetaan puhelimeen, eikä puhelinta suojata edes näytön lukituskoodilla paremmasta suojauksesta puhumattakaan
  • eri verkkopalveluihin valitaan yksinkertainen ja helposti muistettava salasana.
  • oma salasana luovutetaan toisen henkilön käyttöön
  • tietokoneohjelmia ladataan epämääräisistä palveluista
  • USB-muisti unohdetaan kiinni yhteiskäyttökoneeseen

Fyysiset tekijät

Fyysiset vahingot hävittävät paljon tietoa. Tietokonetta ja sen tallennusasemia, muisteja, puhelimia ym. laitteita uhkaavat erilaiset fyysiset tekijät. Tallennusvälineeseen voi tulla vika, joka voi aiheuttaa tiedoston lukemiseen liittyviä ongelmia tai pahimmassa tapauksessa jopa tiedoston tuhoutumisen.

Tietoturvaa aiheuttavia fyysisiä tekijöitä ovat:

  • Mobiililaitteen varkaus tai katoaminen: Tietokonetta tai puhelinta ei kannata jättää valvomattomana esimerkiksi kirjaston lukusalin pöydälle. On myös oltava tarkka siitä, mitä tietoja laitteessa säilytetään ja miten tiedot on suojattu. Salasanojen tallentamisessa on omat riskinsä. Puhelimen sisällön salausta, etätyhjennysmahdollisuutta ja kadonneen laitteen paikallistamista kannattaa harkita. Myös kannettavan tietokoneen kiintolevy voi olla hyvä salata ja estää koneen käynnistys muistitikulta.
  • Laitteiden kaltoinkohtelu: Laitteet ja tallennusvälineet on suositeltavaa säilyttää kuivassa ja huoneenlämmössä. On hyvä varmistaa, että tietokoneen tuuletusaukot eivät tukkeudu. Tietokone, hiiri ja näppäimistö tulee puhdistaa aika ajoin pölystä. Laitteiden kolhimista ja pudottamista on tärkeä varoa.
  • Tulipalo tms. katastrofi: Tärkeiden tiedostojen varmuuskopioita ei kannata säilyttää samassa rakennuksessa kuin alkuperäisiä tiedostoja. Varmuuskopiointi säilyttää kopion tallennetuista tiedostoista esim. verkossa tai pilvipalvelussa.

Omien laitteiden suojaaminen

Tietoturvasta huolehtiminen kannattaa aloittaa omien laitteiden suojaamisesta: jos joku muu pääsee käyttämään laitettasi, hän pääsee myös tiedostoihisi sekä käyttämiisi verkkopalveluihin, mikäli olet antanut niiden tallentaa käyttäjätietosi. Pidä siis omat ja esimerkiksi yhdistyksesi laitteet turvallisessa lukitussa paikassa, jossa muut eivät pääse niihin käsiksi. Itse laitteet kannattaa suojata salasanalla, pin-koodilla tai esimerkiksi sormenjälkitunnistuksella.

Älä kytke löytämääsi vierasta muistitikkua koneeseesi, sillä se saattaa sisältää haittaohjelmia.

Haittaohjelmat ja niiltä suojautuminen

Tietokonevirus on pieni ohjelma, joka haittaa tietokoneen toimintaa. Tietokonevirus voi tulla tietokoneelle esimerkiksi epäilyttävän ohjelman tai sähköpostin liitetiedoston lataamisen seurauksena.

Tietokoneellasi saattaa olla virus, jos:

  • Laitteesi hidastuu yhtäkkiä merkittävästi
  • Mobiililaitteesi datan kulutus lisääntyy
  • Laitteellesi ilmestyy ohjelmia tai pikakuvakkeita, joita et ole itse ladannut
  • Näytöllesi ilmestyy kesken tietokoneen käytön ikkunoita, jotka mainostavat jotakin, kertovat palkinnoista tai varoittavat jostakin uhasta ja kehottavat nopeaan reagointiin
  • Tuttusi valittavat, että ovat saaneet sähköpostisi kautta lähetettyjä outoja roskapostiviestejä

Älä klikkaa sähköpostiisi saapuvia epäilyttäviä linkkejä tai lataa epäilyttävien sähköpostien liitetiedostoja. Jos tietokoneellesi ilmestyy epäilyttäviä ikkunoita, älä klikkaa mitään niiden painikkeita. Jos saat tutuiltasi outoja viestejä sähköpostissa tai sosiaalisessa mediassa, tästä on hyvä ilmoittaa heille, sillä heidän koneellaan saattaa olla tietokonevirus.

Tärkeimmät ohjelmistot tietokoneen suojaamiseen ovat virustorjuntaohjelma ja palomuuri. Molemmista on saatavilla useita sekä ilmaisia että maksullisia versioita. Windowsilla on yleensä valmiina oma virustorjuntaohjelmisto, joka riittää tavallisiin tarpeisiin. Jos epäilet, että laitteellasi on virus, tee tarkistus virustorjuntaohjelmalla.

Toinen tärkeä tietoturvaohjelma on palomuuri. Palomuurilla rajoitetaan tietokoneelta lähtevää tai verkosta tietokoneeseen kohdistuvaa liikennettä. Palomuurin tehtävänä on estää luvattomien vierailijoiden pääsy tietokoneellesi.

Tietojen kalastelu ja huijausviestit

Tietojen kalastelulla (phishing) tarkoitetaan kirjautumistietojen huijaamista tai varastamista verkkopalveluiden käyttäjiltä. Kalasteluun voidaan käyttää sähköpostiviestiä, jossa pyydetään kirjautumaan siinä lähetetyn linkin avulla esim. pankin sivuille ja antamaan tätä kautta oman käyttäjätilin tiedot. Huijausviestien lähettäjät voivat esiintyä esim. työnantajanasi. Joskus huijauksia tehdään myös puhelimitse.

Mikään viranomainen, pankki tai muu taho ei kysy esimerkiksi pankkitunnuksia puhelimitse tai sähköpostitse. Jos et ole varma, onko sähköpostitse sinua lähestyvä henkilö todella se, joka väittääkin olevansa, kannattaa asia varmistaa henkilöltä muuta kautta.

Vinkki: Kameroiden suojaaminen

Nykyään kannattaa huolehtia myös siitä, että kukaan ulkopuolinen ei pysty hyödyntämään asiattomasti kannettavan tietokoneen tai mobiililaitteen kameraa. Kannettavassa tietokoneessa näytön yläpuolella sijaitseva kamera voidaan peittää helposti esimerkiksi linssin päälle teipattavalla paperinpalalla. Tähän tarkoitukseen on olemassa myös erillisiä sulkimia.

Vinkki: Linkin kohdesivun tarkistaminen

Huijausviesteissä on usein linkkejä, joita sinua pyydetään klikkaamaan. Linkki voi todellisuudessa viedä aivan muualle kuin mihin sen väitetään vievän. Älä klikkaa epäilyttävien viestien linkkejä. Voit tarkistaa linkin todellisen kohdesivun viemällä hiiren linkkitekstin päälle, jolloin linkin osoite näkyy laatikossa tai ruudun alanauhassa. Tämän osoitteen pohjalta voit myös arvioida, onko linkki luotettava

Vinkki: Muista päivittää sovelluksia!

Ohjelmistoja kehitetään jatkuvasti ja samalla niiden tietoturvaankin tehdään parannuksia, joten on tärkeää muistaa asentaa päivitykset. Tietomurrot kohdistuvat usein sovellusten vanhempien versioiden tietoturva-aukkoihin. Yksinkertaisin tapa päivitysten tekemiseen on sallia laitteesi hakea ja asentaa päivitykset automaattisesti. Yleensä ohjelmat kysyvät niitä asennettaessa, voivatko ne hakea itse päivitykset. Jos et ole antanut silloin lupaa, voit sallia tämän myöhemmin ohjelman asetuksista. Mobiililaitteiden asetuksissa on yleensä erillinen näkymä ohjelmistojen päivitykselle. Jos käynnistät laitteesi pitkästä aikaa, voi päivityksien asentamisessa kestää hetki.

Vinkki: Selaimen yksityistila

Jos et halua, että selaimesi tallentaa sivuhistoriaasi, tekemiäsi hakuja tai evästeitä, voit käyttää selaimen yksityistilaa. Yksityistilan käyttäminen on järkevä tapa varmistua siitä, että tietojasi ei jää esimerkiksi yhteiskäytössä olevalle tietokoneelle. Vaikka käyttäisitkin yksityistilaa, sivustot ja esimerkiksi internet-palveluntarjoajasi voivat silti seurata toimintaasi verkossa.

Kolme kysymystä auttavat verkkokalastelun ja huijausyritysten tunnistamisessa

Suojattu verkkoliikenne

Verkkopalveluita, kuten verkkopankkia, käyttäessäsi vaihdat palvelun kanssa paljon luottamuksellista tietoa: kerrot palvelulle esimerkiksi salasanasi, ja palvelu näyttää sinulle vastaavasti tilitietosi. Verkossa on hyvä varmistua siitä, että yhteys on suojattu salauksella, eivätkä ulkopuoliset pääse käsiksi sinun ja palvelun välillä vaihdettaviin tietoihin. Eräs yksinkertainen keino varmistua yhteyden luotettavuudesta on tarkistaa, että selaimen osoiteriviltä verkkosivuston osoitteen alusta löytyy https-merkintä.

https-lyhenne viittaa sanoihin ”Hypertext Transfer Protocol Secure” ja kertoo siitä, että yhteys käyttäjän ja sivuston välillä on suojattu. Joissain selaimissa https-merkinnän ohessa tai tilalla näkyy lukkosymboli

Yksittäisen sivustojen lisäksi myös verkkoyhteydet voivat olla suojaamattomia tai suojattuja. Verkkoa, johon kuka tahansa pääsee liittymään ilman erillistä salasanaa, sanotaan avoimeksi tai suojaamattomaksi langattomaksi verkoksi. Suojattuun langattomaan verkkoon liittyminen puolestaan vaatii verkon omistajan määrittelemän salasanan syöttämisen. Avoimet ja suojaamattomat langattomat verkot ovat erityisen epäturvallisia, koska rikollisen on mahdollista tarkkailla samassa langattomassa verkossa olevien verkkoliikennettä. Esimerkiksi puhelimen oma verkkoyhteys on avointa verkkoa turvallisempi vaihtoehto. Puhelimen yhteysasetuksien kautta on mahdollista jakaa salasanalla suojattu verkkoyhteys myös tietokoneesi käyttöön.

Selaimeen tallentuvat tiedot

Kun käytät internetiä, tietojasi tallentuu sekä käyttämääsi internet-selaimeen että sivustoille, joissa vierailet. Selaimeesi tallentuu eri palveluiden käyttäjätunnuksesi ja salasanat, jos annat siihen erikseen luvan. Lupaa kysytään yleensä silloin, kun syötät käyttäjätunnuksesi ja salasanan sivustolle ensimmäistä kertaa. Älä tallenna kirjautumistietoja, jos joku muu käyttää kanssasi samaa tietokonetta. Sivuhistoria (lista sivustoista, joilla olet käynyt), tallennetaan selaimen muistiin yleensä automaattisesti. Jos et halua, että sivustot jäävät selaimen muistiin, voit tyhjentää sivuhistorian tai kytkeä automaattitallennuksen pois päältä selaimen asetuksista.

Sivustojen ja palveluiden tallentamat tiedot

Sivustot tallentavat tietokoneellesi pieniä tekstitiedostoja, joita kutsutaan evästeiksi (cookies). Evästeisiin saatetaan tallentaa esimerkiksi vierailusi ajankohta ja IP-osoitteesi. Yleensä evästeet ovat täysin vaarattomia, ja niiden tavoitteena on varmistaa sivuston tekninen toimivuus. Evästeiden käyttö vaatii nykyään käyttäjän suostumuksen, ja tätä lupaa kysytäänkin monesti silloin, kun vierailet sivustolla ensimmäistä kertaa.

Verkkopalvelut tallentavat evästeiden lisäksi käyttäjätietojasi ja räätälöivät sinulle sisältöä niiden mukaan. Esimerkiksi Facebookin tarjoamat mainokset vaihtelevat käyttäjän sukupuolen, iän ja tykkäysten mukaan.

Monet palvelut (kuten Google ja Facebook) tallentavat tietojasi hyvin laajasti myös selkeän palvelun käyttämisen ulkopuolella. Esimerkiksi Google luo sinusta jatkuvasti profiilia mm. tekemiesi Google-hakujen pohjalta.

Periaatteessa tietoja kerätään siksi, että sinulle voitaisiin tarjota yksilöllisempiä mainoksia ja hakutuloksia, mutta toisaalta tiedonkeruuseen liittyy riskejä arkaluonteisten tietojen väärinkäytöstä, vuotamisesta, identiteettivarkaudesta tai muista tietomurroista.

Tietosuoja

Jokaisella on oikeus perustuslain turvaamaan henkilötietojensa suojaan. Tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojalainsäädäntöön kuuluu mm. erilaisten henkilörekistereiden ylläpitäjiä koskeva henkilötietojen salassapitovelvollisuus. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä.

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella

Rekisteröity on henkilö, jota henkilötieto koskee.

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Vaikka lainsäädäntö velvoittaakin palveluntarjoajia suojaamaan käyttäjiensä henkilötiedot, kannattaa omien tietojensa jakamiseen kiinnittää huomiota myös itse. Uusiin palveluihin rekisteröidyttäessä kannattaa tutustua siihen, miten palvelulle luovutettuja tietoja käytetään. Tämä tieto löytyy rekisteröitymisen yhteydessä joko palvelun käyttöehdoista (englanniksi terms of service tms.) tai erillisestä tietosuojaselosteesta (englanniksi privacy policy tms.).

Älä luovuta henkilötietojasi, jos epäilet niiden väärinkäyttöä. Pohdi myös, mitä henkilötietoja kaupalliset palveluntarjoajat todella tarvitsevat. Esimerkiksi kotiosoitteesi tai varsinkaan henkilötunnuksesi ei yleensä ole tarpeellinen tieto palvelun toimivuuden kannalta.

Mikä GDPR?

Keväällä 2018 voimaan tuli EU:n uusi tietosuoja-asetus GDPR (General Data Protection Regulation), jolla on tarkoitus turvata yksityishenkilön oikeudet henkilötietoja käsiteltäessä. Jokaisella EU-kansalaisella on GDPR-asetuksen mukaan oikeus tarkistaa hänestä tallennetut tiedot sekä saada tieto siitä, miten henkilötiedot on kerätty, miten niitä käsitellään ja kenelle niitä jaetaan.

Lisätietoja GDPR-asetuksesta:

Tämä materiaali on tuotettu Toimistotyön digitaitaja-koulutuksessa. Koulutus on Jatkuvan oppimisen ja työllisyyden palvelukeskuksen rahoittama. Palvelukeskus edistää työikäisten osaamisen kehittämistä ja osaavan työvoiman saatavuutta. Palvelukeskuksen toimintaa ohjaavat opetus- ja kulttuuriministeriö sekä työ- ja elinkeinoministeriö.

Lähteet

  • https://tietosuoja.fi/
  • https://yle.fi/aihe/digitreenit