Successfully reported this slideshow.
Your SlideShare is downloading. ×

Arjen tietoturvan ABC

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 44 Ad
Advertisement

More Related Content

Slideshows for you (20)

Similar to Arjen tietoturvan ABC (20)

Advertisement

More from Harto Pönkä (20)

Arjen tietoturvan ABC

  1. 1. Arjen tietoturvan ABC 2.2.2021 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  2. 2. Onko tietokoneesi turvallinen? Kuva: Alkuperäinen IBM PC 5150, Wikimedia Commons, https://commons.wikimedia.org/wiki/File:IBM_PC_5150.jpg (CC-BY-SA) Pakollinen kirjautuminen Virusten ja haitta- ohjelmien torjunta Ajanmukainen nettiselain Verkkoyhteys ja palomuuri Varmuuskopiot Käyttäjä 2 Ohjelmat
  3. 3. 1. Hyökkääjä etsii verkkopalveluita ja -sivustoja, joissa on tietoturva-aukkoja. 2. Hyökkääjä saastuttaa haavoittuvan palvelun tai sivuston. 3. Haittaohjelma etsii saastuneen palvelun käyttäjiltä tietoturva-aukkoja: a) nettiselaimesta b) selaimen laajennuksista/lisätoiminnoista c) käyttöjärjestelmästä 4. Jos tietoturva-aukko löytyy, käyttäjän laitteelle voidaan asentaa viruksia ja haittaohjelmia. Miksi päivitykset ovat tärkeitä? Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf 3
  4. 4. Kännyköiden tietoturva • Päivittämätön laite tai sovellus on aina riski. • Käytä PIN-koodia, salasanaa, sormenjälkeä tms. • Asenna vain turvallisiksi tietämiäsi sovelluksia. • App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. • Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja. • Käytä laitteen paikantamista häviämisen varalta. • Käytä sovelluksissa kaksivaiheista kirjautumista, jos sellainen on tarjolla. • Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa tallennustila/muistikortti. • Tyhjennä vanha kännykkä.
  5. 5. 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet kännykän asetuksista. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita kännyköiden käytöstä työssä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. 5 neuvoa mobiilisovellusten arviointiin Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html 5
  6. 6. ”Nämä haavoittuvuudet antavat hakkereiden katkaista helposti viestinnän vpn-palveluntarjoajan sekä käyttäjän välillä, jolloin hakkerit näkevät kaiken, mitä käyttäjä tekee. -- 85 prosenttia ilmaisista vpn-ohjelmistoista halusi käyttäjältä tarpeettoman paljon tietoa, kuten pääsyn lukea, muokata tai poistaa puhelimessa olevaa dataa, urkkia käyttäjän tai tämän ystävien puhelinnumerot sekä saada selville kännykän sijainnin” Suositut ilmaiset VPN-sovellukset sisälsivät haavoittuvuuksia Lähde: Tivi, 27.2.2020, https://www.tivi.fi/uutiset/nama-10-vaarallista-android-sovellusta-tulisi-poistaa-heti/d730cffb-50bd-4753-897b-0bf77236822a 6
  7. 7. Milloin on syytä epäillä haittaohjelmaa?  Laite hidastuu ilman selvää syytä.  Laitteelle ilmestyy yllättäen uusia ohjelmia.  Laite alkaa näyttää mainoksia, nettiselaimen aloitussivu vaihtuu tai muuta yllättävää.  Tuttavasi saavat sinulta roskapostia.  Verkkoyhteys siirtää dataa, vaikka et käytä nettiä ja päivityksiä ei ole latautumassa.  Windows 10: Asetukset  Verkko & internet  Datan käyttö  Applen tietokoneissa: Ohjelmat  Lisäohjelmat  Järjestelmän valvonta ja  Iphone ja iPad: Asetukset  Mobiiliverkko  Muut kännykät: Asetukset  Datan käyttö 7 Lisätietoa: https://yle.fi/aihe/artikkeli/2019/06/02/digitreenit-kirotut-haittaohjelmat-kuinka-tunnistaa-onko-kone-saastunut
  8. 8. Mitä tehdä, jos epäilet haittaohjelmaa tai virusta? 1. Etukäteen: varmuuskopioi tärkeät tiedostot esim. ulkoiselle kovalevylle tai luotettavaan pilvipalveluun. 2. Kun tilanne on päällä: ota laite pois netistä. 3. Tarvittaessa kysy apua ammattilaiselta/tekniseltä tuelta 4. Aja virustorjuntaohjelman tarkistus 5. Poista nettiselaimen väliaikaistiedostot ja evästeet 6. Tarkista selaimen aloitussivu ja asennetut laajennukset (plugins) 7. Tarkista viimeksi asennetut ohjelmat ja poista epämääräiset 8. Tarvittaessa palauta laite aiempaan palautuspisteeseen tai asenna käyttöjärjestelmä / alusta laite uudestaan. 8
  9. 9. 9  Onko päivitykset tehty ja varmuuskopiot ajantasalla? Tarkistettavaa
  10. 10. Langattoman verkon turvallisuus Kuva: Viestintävirasto, 2011, lisätietoa: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Langattomasti_mutta_turvallisesti._Langattomien_lahiverkkojen_tietoturvallisuudesta.pdf 10 WPA2 WPA2 SSL SSL
  11. 11. WLAN-tukiasemien turvallisuus 1. Käytä WPA2-salausta ja pitkää salasanaa.  Päivitä tarvittaessa verkkokorttisi ajuri WPA2-yhteensopivaksi.  Älä käytä vanhaa WEP- tai WPS-suojausta.  Tukiaseman nimen piilottaminen ei paranna sen tietoturvaa. 2. Muuta WLAN-tukiasemasi hallintapaneelin asetuksia vain kaapeliyhteyden kautta. Voit estää sen käytön langattoman verkon kautta. 3. Vaihda WLAN-tukiaseman hallintapaneelin käyttäjätunnus ja salasana. Hyökkääjä voi saada tietoonsa tehdasasetuksena olevan tunnuksen ja siihen liitetyn salasanan. 4. Tee tukiaseman ohjelmiston päivitykset viipymättä. 5. Seuraa verkon käyttöä tuntemattomien käyttäjien (laitteiden) varalta. 11
  12. 12. Selaimen yksityinen tila ei tee netin käytöstä ”turvallista” Microsoft Edge Google Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja ja kirjautumisia • Evästeitä (cookies) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät kuitenkin toimintasi normaalisti. Mozilla Firefox 12
  13. 13. VPN-yhteys salaa nettiliikenteen  VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta.  VPN estää oikean IP-osoitteen ja sijainnin näkymisen verkkopalveluille.  Käytä työasioissa vain työnantajan VPN-yhteyttä ja hyväksyttyjä sovelluksia.  Kuluttajille sopivia VPN-palveluita:  ProtonVPN, https://protonvpn.com/  Opera-nettiselain sisältää VPN:n, http://www.opera.com/fi  F-Secure Freedome, https://www.f- secure.com/en/web/home_global/freedome Lisätietoa ja kuva: https://www.cloudflare.com/learning/access-management/what-is-a-vpn/ 13
  14. 14. Verkkopalveluihin kirjautuminen 14
  15. 15. Lähde: Tom Evans, Maailman suurimmat tietomurrot, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  16. 16. Tarkista, onko tietojasi vuotanut verkkopalveluista: https://haveibeenpwned.com 1. Syötä tarkistettava sähköpostiosoite 2. Jos tietojasi on vuotanut: a) vaihda salasana ko. palveluissa b) pidä huolta, ettet käytä samoja salasanoja muissa palveluissa 16
  17. 17. Yleisimmät salasanat 2020 1. 123456 2. 123456789 3. picture1 4. password 5. 12345678 6. 111111 7. 123123 8. 12345 9. 1234567890 10. senha 11. 1234567 12. qwerty 13. abc123 14. Million2 15. 000000 16. 1234 17. iloveyou 18. aaron431 19. password1 20. qqww1122 Lähde: Pcmag, 18.11.2021, https://uk.pcmag.com/security/130034/2020s-most-common-passwords-are-laughably-insecure 17
  18. 18. 18
  19. 19. Hyvä salasana  Mieluummin salalause kuin -sana!  Vähintään 8, mielellään 15 merkkiä  Sisältää kirjaimia, numeroita ja erikoismerkkejä  Ei ole nimi, sana tai päivämäärä  Ei ole arvattavissa  Ei ole käytössä muualla 19
  20. 20. 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse valikosta ”Tietoturva” Lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus” Googlen kaksivaiheinen tunnistautuminen 20
  21. 21. Facebookin kirjautumisen asetukset 21 Facebook-tunnuksen asetukset  Turvallisuus ja sisäänkirjautuminen https://www.facebook.com/settings?tab=security
  22. 22. 22  Käytätkö jo kaksivaiheista tunnistautumista?  Onko sähköpostisi salasana käytössä myös jossain muualla?  Ovatko salasanojen palautukseen käytettävät puhelinnumerot ja sähköpostiosoitteet yhä voimassa? Tarkistettavaa
  23. 23. Varo rikollisten huijausviestejä! 23
  24. 24. Huijari houkuttelee avaamaan liitetiedoston Kuvakaappaus: Saapunut roskaposti 24 ”Lähettäisitkö oikean tilinumerosi, ohjeet liitetiedostossa.”
  25. 25. Miksi WhatsApp lähettäisi ääniviestin sähköpostiin? Kuvakaappaus: Saapunut roskaposti 25 ”Kuuntele saamasi ääniviesti.”
  26. 26. Tunnetuksi yritykseksi naamioituminen Gigantin nimissä lähetettyjä huijausviestejä, lähde: https://www.gigantti.fi/cms/20160216_111847/huijausviestit/ 26 ”Ystäväsi on lähettänyt sinulle yllätyksen…” ”Pakettisi odottaa…”
  27. 27. Aina ei todellakaan voi tietää… Lisätietoa: Postin huijausviestitiedote, https://www.posti.fi/fi/asiakastuki/tiedotteet/20201008_huijausviestitiedote 27 Aito Huijaus
  28. 28. Kuvat: Saapuneita WhatsApp- ja tekstiviestihuijauksia 28 Älä avaa epäilyttävää linkkiä, olipa se somepalvelussa, tekstiviestissä tai sähköpostissa.
  29. 29. 29  Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon.  Älä koskaan avaa yllätyksenä tullutta liitetiedostoa.  Tarkista linkki esim. viemällä hiiri sen päälle.  Anna tietojasi vain varmasti luotettaville tahoille.  Jos epäilet huijausta, tarkista aitous muuta kautta! Tarkistettavaa
  30. 30. Tietojenkalastelusivustot 30
  31. 31. Varo: Office 365 -huijaukset ovat nyt yleisiä!  Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.  Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 31
  32. 32. 1. Viestillä houkutellaan huijaussivulle, jolla pyritään saamaan käyttäjän tunnus ja salasana. 2. Käyttäjän Facebook-tunnuksella lähetetään huijausviestiä edelleen tämän kavereille. Poisto: Asetukset ja yksityisyys  Asetukset  Turvallisuus ja sisäänkirjautuminen  Missä olet sisäänkirjautuneena?  Näytä lisää  Kirjaudu ulos kaikista istunnoista Facebook Messengerin virusviestit Ohjeita: https://harto.wordpress.com/2020/04/23/facebook-messenger-virus-ja-sen-poistaminen/ 32
  33. 33. Onko tämä aito Googlen kirjautumissivu? Kuva: Google Chromen tietosuojailmoitus, 2020, https://www.google.fi/chrome/privacy/whitepaper.html 33
  34. 34. Verkkopankilta näyttävä huijaussivusto Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf 34  Tietojenkalastelusivu voi näyttää täsmälleen oikealta kirjautumissivulta  Huijaus paljastuu osoitteesta
  35. 35. Veronpalautus -huijaussivusto Lähteet: Viestintävirasto, 7.9.2017, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2017/09/ttn201709071144.html Yle uutiset, 24.6.2014, https://yle.fi/uutiset/3-7316236 35 Lähes vuosittain ”päivittyvä” huijaussivusto
  36. 36. Nettiselaimet pyrkivät tunnistamaan huijaussivustot  Yleisimmät nettiselaimet pyrkivät tunnistamaan huijaussivustot ja varoittamaan epäilyttävistä tiedostoista  Virustorjuntaohjelmat parantavat yleensä nettiselailun turvallisuutta Kuvat: Google Chromen tietosuojailmoitus, 2017, https://www.google.fi/chrome/privacy/whitepaper.html 36
  37. 37. 37  Tarkista, että kirjautumissivun osoite on oikea (tai kirjoita se itse) Tarkistettavaa
  38. 38. Huijarit ovat loputtoman kekseliäitä 38
  39. 39. Huijauspuhelut  Käyttäjätunnusten urkintaa, esim. huijari esiintyy IT-tukihenkilönä  Nigerilaishuijaus: saat rahaa, mutta ensin joudut maksamaan siitä aiheutuvia kuluja  Pankkitunnusten ja luottokorttitietojen urkintaa pankkien ja viranomaisten nimissä  Maksulliset numerot takaisin soitettaessa  Harhaanjohtavat yritykset ja yhdistykset  Hakemistopalvelut: ”jatketaanko aiemmalla näkyvyydellä?”  Yrityksille suunnatut ylihintaiset verkkomainonta- ja domain-huijauspalvelut  Muut tilausansat 39 Lisätietoa esim. Mikrobitti, 23.5.2020, https://www.mikrobitti.fi/uutiset/mb/455d0762-783c-4f14-8cdc-3d1b1eb96346
  40. 40. YouTube-videohuijaus Lähde: Mari Männistö, 2016, http://statiivi.fi/blogi/2016/9/23/varo-youtube-mainosta-jaljittelevaa-huijausta (”ohita mainos” linkkinä)
  41. 41. Kuvakaappaus: Sittemmin poistunut Facebook-sivu, 26.9.2019 Facebookin huijausarvonnat Mitä arvonnan tekijä kertoo itsestään? Miten osallistujien tietoja käytetään? Onko arvonnalla sääntöjä? Tämä huijaus olisi paljastunut tekemällä matkailuauton kuvalla käänteisen kuvahaun.  Googlen kuvahaku: https://images.google.com/  TinEye-kuvahaku: https://tineye.com/ 41
  42. 42. Huijaussivuston linkki Twitter-mainoksessa Kuvakaappaus: Twitter-mainos, 9.1.2019 42
  43. 43. Lähde: HS, 3.1.2020, https://www.hs.fi/kotimaa/art-2000006361932.html 43 ” Fani oli yllättynyt rahan tarpeesta, mutta hän oli kuitenkin valmis siirtämään rahaa” ”Julkkisten” lähettämät someviestit
  44. 44. 44 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

×