sunnuntai, 2. syyskuu 2018

Tietoturva Internetissä ja varmuuskopiointi

3.

s%C3%A4hk%C3%B6posti1.jpg

Sähköposti1 –kuvassa ”Osuuspankki Kriittinen Turvallisuus Päivitys” on esillä tyypillinen Phishing- eli urkintahuijaus yritys, jossa pyritään kalastelemaan tietokoneen käyttäjän henkilökohtaisia tietoja väärennetyllä verkkosivulla. Kuvan esimerkin mukaan väärennetyllä pankin sähköpostilla yritetään tietokoneen käyttäjän saada luovuttamaan pankkitunnuksensa sillä tekosyyllä, että pankki pyytää asiakastaan juuri tehdyn tietoturvapäityksen perusteella ottamaan vastaan päivityksen kirjautumalla annetun linkin kautta omilla tunnuksilla pankin sivuille.

 

Kyseessä on huijaus, koska normaalisti pankki ei missään tapauksessa lähetä asiakkailleen sähköpostiviestiä, vaan päivitykset tehdään automaattisesti ja viestit jaetaan asiakkaille pankkisivujen sisällä kirjautumisen jälkeen omassa viestit-osiossa. Tuossa viestissä on kirjoitusvirheitä mm. ”Hyvä asiakaamme”, eikä pankki yleensä tee kirjoitusvirheitä lauseisiinsa, eikä kehu omia tekemisiään esim. ”.. on meille ylpeyden aihe”. Tässä huijausyrityksessä yritetään vain kalastella tietokoneen käyttäjän pankkitunnuksia, eli käyttäjätunnusta ja siihen liittyviä salasanoja.

 

Normaalisti pankit ei pyydä tunnuksia sähköpostitse tai pyydä kirjautumaan sivuillensa oudon linkin kautta. Jos tuon ”Klikkaa tästä” –linkin päällä pitää hiiren osoitinta klikkaamatta kuitenkaan linkkiä, saa tietoon väärennetyn linkin oikean osoitteen. Linkin aitoutta on syytä epäillä, jos linkki osoittaa muualle kuin sivun sisältö lupaa. Verkkohuijarit yrittävät kaikin keinoin saada käyttäjät kirjautumaan lähettämiensä linkkien kautta, joten pitää olla valppaana kaikkien kirjautumista edellyttävien viestien kanssa.

 

s%C3%A4hk%C3%B6posti2.jpg

Toinen kuva (Sähköposti 2), näyttää ”Nordean Verkkopankin Päivittää” –sähköpostihuijauksen, jossa pyydetään tietokoneen käyttäjään vahvistamaan ja tarkistamaan Nordea -pankkitilinsä klikkaamalla sivulla olevaa vahvistuslinkkiä. Tässäkin sähköpostiviestissä on todella monia kielioppi virheitä kirjoituksessa. Myös tätä sähköpostia voi epäillä huijaukseksi, eli tyypilliseksi Phisking- eli urkintahuijaukseksi.

 

Myös tämän sähköpostin linkin voi tarkistaa pitämällä hiiren osoitinta epäilyttävän linkin päällä kuitenkaan klikkaamatta sitä. Se näyttää takuulla jonkin oudon ja pitkän sähköpostilinkin. Tässäkin huijausyrityksessä luotetaan ihmisten laiskuuteen, koska ihmiset harvoin tarkistavat selkokielisen osoitteen. Myös Nordea –pankki ei pyydä vahvistamaan tai tarkistamaan asiakkaidensa tiliä sähköpostiviestin kautta, joten kyseessä on selvästi huijaus, jonka avulla yritetään varastaa pankkien käyttäjätunnuksia ja niihin liittyviä salasanoja. 

 

4. Suunnittelin oman tietokoneeni tietojen varmuuskopiontia. Otin huomioon, mitä pitäisi kopioida, miksi ja minne ja kuinka usein. Varmuuskopioinnilla tarkoitetaan tärkeän tiedon kopiointia alkuperäisen tallennuspaikan lisäksi yhteen tai useampaan paikkaan. Onnettomuuden sattuessa kannattaa ottaa tärkeät tiedostot käyttöön varmuuskopiosta.

slide_2.jpg

Esimerkiksi jokin onnettomuus mm. virus, varkaus, tallennuslaitteen fyysinen hajoaminen, tallennustilan salasanojen kaappaus, tallennuslaitteen katoaminen tai tulipalo voi ikävästi yllättää. Siksi varmuuskopionti kannattaa. Mitä enemmän tekee muutoksia tärkeään tiedostoon, sitä useammin tiedosto tarvitsee varmuuskopionnin.

 

Monet unohtavat varmuuskopioda tietokoneensa (ja myöskin älykännykkänsä) tiedot, vaikka sen pitäisi olla perusrutiini aika ajoin. Itselläni on tapana siirtää koneen tietoja usein, koska haluan välttyä siltä, että koneen kiintolevy menee täyteen, ja myös siltä, että tiedot tai tiedostot katoavat, eli menettäisin siinä tapauksessa ne. Tiedoston tallentaminen esim. koulun verkkoon päivittäin estää tietojen häviämisen. Varmuuskopion kannattaa tehdä eri paikkaan kuin alkuperäinen on, koska levy voi hajota ja molempien menetys on silloin mahdollista.  

varmuuskopiointi_small.jpg

Varmuuskopiota tehdessä on muistettavia monia asioita. Esimerkiksi töitä ei kannata jättää yhden tallennusmedian varaan. Eli kannattaa sijoitella varmuuskopiota moneen paikkaan. Toiseksi suositellaan, että tiedostoista tehdään versioita eri nimillä ja tallennetaan eri tallennusvälineille tai vaikkapa verkkoon. Silloin versiot kannattaa nimetä selkeillä nimillä esim. Gradu versio1 ja Gradu versio 2 tms. Mitä useammin varmuuskopiointia tekee, sitä vähemmän tiedostoja voi menettää. Varmuuskopiot pitää nimetä loogisesti ja selkeästi ja merkitä mediaan varmuuskopion luontiajankohta. Aina on syytä varmistaa, että otettu varmuuskopio toimii virheettömästi. Sen voi testata avaamalla jonkin tiedoston varmuuskopiosta.

 

Itse olen joskus tallentanut tiedostoja sekä tietokoneen työpöydälle että eri asemille, joten viimeisimmän tiedoston löytyminen on ollut todella vaikeaa. Opiskeluaikana olen huomannut, että verkko on lähes aina paras paikka varmuuskopioille. Käytän OSAO:n tallennuspaikkaa. Käytössäni on siis OSAO:n tallennuspaikka, ja siellä oleva kotihakemisto varmuuskopiodaan automaattisesti säännöllisesti. Lisäksi minulla on käytössä opiskelijoille suunnattu Office 365 OneDrive-pilvitallennustila. Sen avulla voin jakamisen ja yhteistyön lisäksi varmuuskopioida tietojani verkkoon, laitteeni ulkopuolelle.

 

5. Käytän opintojeni aikana paljon Office365-pilvipalvelua mm. tehtävien tallentamiseen. Mitä tapahtuu pilveen tallennetuille tiedostoille kun valmistun? Miten toimin sen varalta?

kuva.jpg

Opiskelijat ja opettajat saavat maksutta Office 365 for Educationin, johon sisältyy Word, Excel, PowerPoint, OneNote ja nyt myös Microsoft Teams sekä muita koulutyöhön sopivia työkaluja. Opiskelijan resursseina ovat mm. harjoitukset ja opetusohjelmat. Office 365 –opiskelijakäyttäjänä saan säännöllisesti uudet ja parannetut ominaisuudet, joiden avulla voin tehostaa työskentelyäni.

 

Office 365 A1 sisältää yhden teratavun (1 TT) verran käyttäjäkohtaista OneDrive for Business -tallennustilaa opiskeluun liittyviä tiedostoja, Office Onlinea, SharePoint Onlinea ja Yammeria varten. Kun valmistun, nuo henkilökohtaiset pilvipalveluun tallentamani tiedot poistuvat. Siksi minun on otettava kopiot niistä esim. yhden teratavun tai sitä pienemmälle kannettavalle muistilaitteelle. Minun ei tarvitse itse peruuttaa tai poistaa käytöstä palvelua. Sen hoitaa järjestelmänvalvoja.

 

6. Pohdin vielä mitkä muut seikat voivat olla tietoturvariskejä esim. työpaikalla. Mikä on suurin uhka tiedoillemme ja tiedostoillemme? Ja miten näiltä suojaudutaan.

 

Tietoturvauhalla- tai riskillä tarkoitetaan uhkaa, joka vaarantaa tietoturvan (jonkun tai useamman osa-alueen). Haavoittuvuus puolestaan tarkoittaa alttiutta tietoturvauhille. Tietoturvariskillä viitataan todennäköisyyteen, jolla tietoturvauhka toteutuu.

 

Tietoturva%20Keinoja%20fyysiseen%20tieto

 

Seuraavassa on listattu tyypillisimpiä tietoturvauhkia:

  • haittaohjelmat, virukset ja madot; ohjelmia, ohjelman osia tai muita käskyjoukkoja, jotka tarkoituksellisesti aiheuttavat ei-toivottuja tapahtumia tietojärjestelmässä tai sen osassa; tulee tietokoneelle sähköpostista, Internetistä ja erilaisten tiedostojen mukana; uusia levitystapoja keksitään lisää jatkuvasti
  • tietomurrot ja varkaudet; murtautuminen suojaamattomalle tai suojatulle tietokoneelle ja sen käyttäminen luvatta, sekä tiedostojen tai henkilökohtaisten tietojen varastaminen (esimerkiksi salasanoja tai luottokorttinumero) ja käyttäminen vääriin tarkoituksiin
  • huijaukset ja ketjukirjeet; henkilötietojen käyttäminen huijausyrityksiin tai ketjukirjeissä
  • huijausvaroitukset; tekaistu varoitus haittaohjelmista, jossa joko pyydetään lähettämän viesti mahdollisimman monelle (haittaohjelman levittäminen) tai myydään haittaohjelmia sisältävä "torjuntaohjelma"
  • roskaposti; ei-toivottu, suurina massoina lähetetty ja ei kenellekään erityisesti kohdistettu sähköpostiviestintä, josta on tullut kasvava ongelma
  • tietosuojarikkomukset; sähköpostiosoitteita ym. henkilötietoja kerätään esimerkiksi web-sivustoista tai keskusteluryhmistä, mutta usein on epäselvää, mihin ja miten tietoja käytetään ja luovutetaanko niitä edelleen (rekisteriseloste)
  • tunkeutuminen ja hyökkäys; tahallinen tietojärjestelmään heikkojen kohtien etsiminen ja pyrkimys joko vahingoittaa järjestelmää tai käyttää sitä oikeudettomasti
  • tietoturva-aukko; tietojärjestelmän osassa tai sen suojauksessa oleva heikkous, joka mahdollistaa helpon tunkeutumisen järjestelmään
  • varmuuskopiointi; miten varmistetaan, ettei tietoja häviä tai tuhoudu esim. laitteisto- tai ohjelmistovian tai väärinkäytösten takia
  • Käyttäjä; suurin tietoturvariski on itse käyttäjä ja hänen tekemät inhimilliset virheet, kuten salasanan säilyttäminen lompakossa tai luovuttaminen sähköpostilla tuntemattomalle.

 

tt_osa_alueet2.jpg

 

Tietoturvaan liittyvät suojautumismenetelmät voidaan luokitella seuraavasti:

 

  • tekniset menetelmät perustuvat laitteistojen ja ohjelmistojen tietoturvaratkaisuihin; tavoitteena on, ettei käytetyissä laitteistoissa ja ohjelmistoissa ole tietoturvapuutteita; keinoina ovat mm. erilaiset tunnistamis- ja autentikointimenetelmät, automaattiset virustarkistukset, palomuurit, salatut tiedonsiirtoyhteydet ja kryptografiset menetelmät.
  • fyysisten menetelmien tarkoituksena on estää mahdollisten tunkeutujien pääsy fyysisesti käytettäville tietokoneille tai esim. lähiverkkoon; keinoina ovat mm. tilojen lukitseminen, kulunvalvonta, laitteiden ja verkon kaapeleiden sijoittaminen turvalliseen ja eristettyyn tilaan, varmuuskopioiden ottaminen tarvittavista tiedoista ja ohjelmistoista, tilojen suunnittelu niin, että (suur)onnettomuuksien riski on pieni.
  • hallinnollisilla menetelmillä tarkoitetaan sekä tavallisten käyttäjien toimintatapoja ja heille myönnettyjä oikeuksia että tietojärjestelmiä hallinnoivien henkilöiden tietoturvaratkaisujen toteuttamisesta oikein, huolellisesti ja sovitun mukaisesti; keinoina ovat mm. käyttäjien tietoturvaosaamisen lisääminen, salasanojen ja käyttäjätunnusten asianmukainen säilyttäminen, sovittujen tietoturvaratkaisujen noudattaminen (mm. palomuurit), tietojen erilaiset tietoturvaluokitukset (mitä tietoja saa luovuttaa mihinkin), tietoturvauhkien tiedostaminen, jatkuva järjestelmien ja verkkojen tarkkailu, poikkeaviin tilanteisiin reagointi ja tietoturvapolitiikan parantaminen kokemusten pohjalta.
Kommentoi Lähettänyt: Kevinaluokassa - 2.9.2018 klo 11.35

sunnuntai, 2. syyskuu 2018

Moikka maailma!

Onnittelut uudesta blogistasi!

Tämä on esimerkkiartikkeli. Uutta sisältöä voit luoda blogin hallinnan kautta. Voit poistaa tämän artikkelin artikkeliarkiston kautta.

Kommentoi Lähettänyt: Kevinaluokassa - 2.9.2018 klo 11.34
Tunnisteet: