Tietoturva ja tietosuoja

Petteri Järvinen

Rovaniemi12.5.2010

Uutisia, joita et ole kuullut

Tietoturvan myönteistä kehitystä

• Netti ei kaatunut vuonna 2006 – eikä 2009• Matkapuhelimet eivät vieläkään levitä

viruksia• Tiedonkalastelu (phishing) ei todellinen

ongelma• ”Suomi on netin turvallisin maa”

Mutta:• Rikolliset oppivat koko ajan uusia kikkoja• Tieto vaatii jatkuvaa huolellisuutta sen

käytössä• Uusia haasteita: pilvipalvelut, omat

tietokoneet, liian osaavat käyttäjät, yhteisöpalvelut...

• Epävarmuus siitä, mitä saa tehdä ja mitä ei

• Katuvalojen ohjausta siirretään nettiin?

• Palveluita ulkoistetaan säästöjen vuoksi

• Turvallisuus maksaa

Professori uskoi saavansa jättiperinnön"Professori menetti noin 20 000 euroa tavoitellessaan yli 20 miljoonan dollarin perintöä. Tapauksen juuret juontuvat viime vuoden kevääseen, kun professoriin otettiin yhteyttä sähköpostilla. Kirjoittaja väitti olevansa afrikkalaisvaltion entisen presidentin poika, joka joutui poliittisista syistä piileskelemään. Hän halusi kuitenkin paeta maasta ja oli valmis lähettämään professorille perintönsä 27 miljoonaa USA:n dollaria. Tilanteet etenivät niin, että professorin piti mennä Sveitsiin Zürichiin hakemaan pankista rahat tietyn henkilön nimissä olevalta tililtä. Hänelle selvisi, ettei annetussa osoitteessa ollut kyseistä pankkia, mutta sen sijaan toinen pankki. Professori ei Sveitsiin mennyt, mutta lähetti vielä kolme eri kertaa rahaa. Professori teki elokuussa ilmoituksen Helsingin poliisille. Poliisi katsoi, ettei petosrikoksen tunnusmerkistö jutussa täyty ja lopetti tutkinnan. Se katsoi myös, ettei yleisen elämänkokemuksen mukaan ole tosiuskottavaa, että täysin tuntematon ulkomaan kansalainen lähettäisi nimellistä kulukorvausta vastaan toiseen maahan tuntemattomalle 27 miljoonaa dollaria." (IL 27.11.2007)

Psykologi haksahti

"Helsingin poliisille tehtiin toinenkin ilmoitus vastaavantapaisesta tapauksesta, kun psykologi menetti 10 000 euroa havitellessaan suurta lottovoittoa. Hän sai kesäkuussa 2007 kirjeen, jonka mukaan hän oli voittanut Espanjassa 615 000 euron lottovoiton. Lottovoiton lunastamiseksi hän lähetti kolmena kertana rahaa Espanjaan yhteensä noin 5 600 euroa. Osa rahoista ohjautui Etelä-Koreaan. Psykologi sai muutaman viikon kuluttua puhelun, jossa kerrottiin, että häntä oli huijattu, sillä hänen voittamansa lottopotti olikin 786 000 euroa. Tämän lunastamiseksi psykologi lähetti vielä neljä kertaa rahaa Espanjaan, yhteensä noin 4 000 euroa. Luvattuja voittorahoja ei tullut, mutta sen sijaan hän sai väärennetyn 400 000 euron shekin. Poliisi päätti tässäkin jutussa esitutkinnan." (IL 27.11.2007)

Tarvitaanko virustorjunta?Tottakai, mutta ei välttämättä

virustorjuntaohjelmaaOhjelmien ongelmia:• vuosittaiset kustannukset• vääriä hälytyksiä• yhteensopivuusongelmia

• McAfee, F-secure…

• ”mistä tiesin kun ei ohjelma varoittanut?”Kokeilemisen arvoinen vaihtoehto:• rajoitetut käyttäjäoikeudet• palomuuri (windows + laite)• päivitykset • oma varovaisuus

Torjuntaohjelmat ovat bisnestä

Tullut 4.5.2010, 130 ktSkannattu 10.5. klo 9

Tullut 10.5.2010, 139 ktSkannattu 10.5. klo 8:53

Pelotteluohjelmat (”scareware”)

• Apu-, optimointi- ja turvaohjelmia, joita mainostetaan hyvämaineisilla sivuilla (DriverScanner, RegistryBooster ym.)

– jopa selvällä suomella

• Tyrkyttävät itseään aktiivisesti• Pyrkivät pelottelemaan ja rahastamaan• Osa voi jopa lisätä viruksia järjestelmään ja vaatia rahaa

niiden poistamisesta

Yhteisöpalvelut• Henkilökohtaisen hölmöilyn vaara

– Obama varoitti koululaisia yhteisöpalveluista (9/2009)– "Minulla ei ole mitään salattavaa” -- eikö tosiaan??

• Tiedot voivat paljastua bugien ym. vuoksi– "Facebook paljasti käyttäjän piilottamia tietoja" (HS 22.3.2009)– haittaohjelmat, "hauskat" sovellukset

• Keitä ovat ystäväsi?– pitääkö pomo hyväksyä ystäväksi?– tarvitaanko SoMe-pelisääntöjä, vai riittääkö maalaisjärki?

• Millä Facebook ja muut nettipalvelut elävät?– "Facebookin rahoitus on herättänyt myös Suomen

suojelupoliisin kiinnostuksen. Tietoa ei ole, mistä rahoitusta varsinaisesti tulee, suojelupoliisista kommentoidaan." (Kauppalehti 12.7.2009)

Mitä yritys saa valvoa/estää?

Tiedostojen tulostuksen• jokainen tulostus näkyy lokeista; lomakuvien tulostukset

voivat tulla kalliiksi

Tiedostojen kopioinnin• määritellään tiedostojen ja hakemistojen käyttöoikeudet

Usb-porttien käytön• ulospäin kopiointi voidaan estää rekisteriasetuksella (XP sp2

lähtien)

Tekniset estot• surffaus osoitteen tai sivulla esiintyvien sanojen perusteella• palvelujen rajoittaminen palomuurin porttien kautta• sähköpostin lähetyksen kielto esim. kilpailijalle

MUTTA:Estojen toimivuutta ei saa valvoa

• loki syntyy yleensä automaattisesti, ei saa katsoa

Webmail-posteja vaikea kieltää• ja mahdoton valvoa, salattu ssl-yhteys estää sisällön näkemisen

Kännykälläkin pääsee nettiin ja sähköpostiin• 3g-dataa ei voi valvoa, menee suoraan operaattorille

Viestintä (lähes) kaiken valvonnan ulkopuolella• vain hieman raotettavissa tunnistetietojen osalta

Organisaation kokonaisetu ratkaisee• onko estoyrityksistä lopulta enemmän haittaa kuin hyötyä?

Työpaikan tietosuojaTyöpaikan tietosuoja

• ”Lex Sokia” (2009) antaa poikkeuksellisen suojan suomalaisille

• Työntekijän työsähköposteja ei voi mitenkään lukea ilman suostumusta

• 3G-datasiirto kiertää kaikki rajoitukset

• LYST- ja Lex Nokia –menettelyitä ei ole vielä mikään yritys käyttänyt

• … mutta noudattavatko yritykset lakia, jos sen rikkominen on helppoa eikä siitä jää kiinni?

Kohti pilveä

• PC:stä tullut liian monimutkainen ylläpitää • pilviajattelu: ohjelmat ja tietovarastot siirtyvät

verkkoon, käyttäjällä yksinkertainen pääte, tietotekniikka muuttuu ostettavaksi palveluksi

• Windowsin aika alkaa olla ohi - pilvimalli tulee olemaan samanlainen murros kuin oli mikrotietokone 25 vuotta sitten

Pilven edut ja haitat• Toimivat kaikilla koneilla, missä tahansa

– ei asennuksia, ei päivityksiä, ei huolta– tiedot eivät unohdu kotiin tai työpaikalle

• Tietoturvan kannalta ongelmallisia– säilyvätkö tiedot luottamuksellisina? – onko palveluilla jatkuvuutta?– harvassa salattu https-yhteys: wlan-yhteyttä voi vakoilla– tiedot vain salasanan suojaamina– kuka urkkii tiedostoja? Verottaja? FRA?

Osaavat käyttäjät• "Kaikki, mikä oikeasti toimii, on työpaikalla

kiellettyä"• Käyttäjät pakotetaan huonoihin

tietojärjestelmiin– Windows käynnistyy ja sulkeutuu viisi minuuttia– tieto ei siirry ohjelmasta toiseen– tiedostojen työstäminen yhdessä liki mahdotonta– etäkäyttöä kotoa tai toisesta toimipisteestä ei sallita

• Käyttäjät rakastavat helppoa ja toimivaa– iPhone, Google Docs, Gmail– ovat helppoja juuri keskitetyn hallinnan ja tietoturvan

puuttumisen vuoksi– työn vaatimukset nyt ristiriidassa välineiden kanssa

• Mikä ratkaisuksi– kontrollin kiristäminen? vai omien järjestelmien kilpailukyvyn

parantaminen?– oma miniläppäri 3G-datayhteydellä työpöydälle surffausta varten?

Kansalaisen todentaminen

• TUPAS-menetelmä ei enää riitä• HST-kortista tullut kallis floppi• Varmenteiden myöntäminen on vapaa

elinkeino• Uusittu laki (617/2009) voimaan 1.9.2009

– korvasi vuonna 2003 annetun lain sähköisistä allekirjoituksista (14/2003)

• Varmenne sim-kortilla, käyttö kännykällä• Pankki tai operaattori tarkistaa

henkilöllisyyden ennen varmenteen myöntämistä (“ensitunnistaminen”)

• Operaattori perii maksun jokaisesta käytöstä– www.valimo.com/demo/mobilebank

Vahingossa toisen tunnuksella KELAn palveluihin”Kela laittoi käyttökieltoon viikko sitten avatun sairauskorvaustietojen kyselyn, kun laitoksen sähköinen asiointipalvelu oli vuotanut lauantaina Kelan asiakkaalle väärän henkilön luottamukselliset tiedot. Tapaus sattui, kun helsinkiläinen Lea Ulmanen oli kirjautumassa Kelan sähköiseen asiointipalveluun. Ulmanen tyrmistyi, kun verkkopalvelu avasi hänen omien etuustietojensa sijasta selailtavaksi tuntemattoman suomalaismiehen tiedot. Näkyvissä oli muun muassa, kuinka paljon ventovieras mies oli toissa vuonna hankkinut korvattavia lääkkeitä. Kelassa tapausta pidetään hyvin vakavana. Helmikuussa 2004 avattua sähköistä asiointipalvelua käyttävät sadattuhannet suomalaiset. Viime vuonna palvelussa käytiin 1,5 miljoonaa kertaa. Omien tietojen selaamisen lisäksi sähköisesti voi esimerkiksi hakea sairauspäivärahaa tai vanhuuseläkettä ja palauttaa, perua tai lakkauttaa opintotuen. "Kyseessä on vakava tietoturvaongelma. Koko sähköisen asioinnin uskottavuus on vaakalaudalla, koska sen täytyy olla virheetöntä", sanoo tietohallintopäällikkö Markku Kiiski Kelasta. "Se oli hämmästyttävä juttu. Menin tekemään työttömyysilmoitusta netissä omilla Sammon verkkotunnuksilla ja olin yhtäkkiä jonkun toisen ihmisen nettisivulla", kertoo Ulmanen. "Hölmistyin täysin. Näkyvissä oli kaikki, mitä vieras mies oli Kelan kanssa asioinut, esimerkiksi tietoja sairauspäivärahoista. Aluksi en ymmärtänyt ollenkaan, mitä tapahtui, koska eihän muiden tietoihin pitäisi päästä käsiksi." (HS 21.5.2008)

Yksityisyys on tulevaisuuden Yksityisyys on tulevaisuuden trenditrendi

• Yhtään järjestelmää ei ole lopetettu– uusia luodaan koko ajan– jokainen askel on sinällään perusteltu, mutta mihin ne

johtavat?

• Onko yksityisyys tulevaisuuden vihreyttä?– aluksi luonnonsuojelu oli vain aktivistien asia, sitten tuli

puolue ja nykyään kaikki on yhtä vihreää– onko yksityisyyden suojelu seuraava iso trendi?

• "Minulla ei ole mitään salattavaa?"– eikö todellakaan?

• Onko vainoharhaisuus tervettä?– missä kulkee sairauden raja?

KaupatKaupat

• Kaupoissa kaksihinta-järjestelmä: ostostiedot käytännössä pakko luovuttaa

• Ymmärtävätkö ihmiset mihin antavat luvan?

• Suomi maailman edelläkävijä bonus-ohjelmissa, siksi Euroopan kallein ruoka?

• Käteinen on epäilyttävää, siksi maksajan pitää todistaa henkilöllisyytensä

• Kokeile rahalla maksamista ja suosita sitä myös nuorille

AutoiluAutoilu

• Liikennevalvonnan huomio nopeuksiin, koska niitä on helpoin mitata

• GPS-ruuhkamaksun tulo vain ajan kysymys

• Kuka vielä muistaa maanteiden vapaat nopeudet?www.liikenteeseen.fi

• Maanteillä käytössä rekisterikilpien tunnistus

Nettisurffailu

• Mainostajat, viranomaiset, työnantaja, tiedustelu– surffauksesta kertovat tunnistetiedot luottamuksellisia vain

Suomessa

• Mainosten kohdistaminen todellista tiedettä– suosituilla saiteilla suuri määrä koodia tutkimassa käyttäjän

tietoja– mainokset välitetään suurilta brokereilta– miten paljon tätä käytetään Suomessa?

• Jäljet helppo peittää– anonyymiproxyt, Tor-verkko, avoimet wlan-yhteydet...– mutta kävijä voidaan silti tunnistaa?

PaikannuspalvelutPaikannuspalvelut

• Matkapuhelimen pitää olla aina päällä; sen sammuttaminen on epäilyttävää

• Uusinta uutta: nettikäyttäjä voidaan paikantaa jopa talon tarkkuudella

Google ja FacebookGoogle ja Facebook

• Ilmainen tuntuu hyvältä

• Google tietää kaiken… myös sinusta

• Mahtava kansallinen etu amerikkalaisille!

• 3 mrd hakua päivässä, 85,7 % markkinaosuus

• Facebook ja tietosuoja eivät mahdu samaan lauseeseen– oletko homo vai

hetero?

• Tietojen jälkeen tiedostot

"Facebookin rahoitus on herättänyt myös Suomen suojelupoliisin kiinnostuksen. Tietoa ei ole, mistä rahoitusta varsinaisesti tulee, suojelupoliisista kommentoidaan." (Kauppalehti 12.7.2009)

Kansainvälinen tiedusteluKansainvälinen tiedustelu• USA:n tiedustelubudjetti

Suomen valtion budjetin suuruinen– NSA:lla 35 000 työntekijää– kuuntelu siirtynyt verkkoon

• Ruotsin signaalitiedustelu (FRA) valvoo Suomen ja etenkin Venäjän liikennettä– samoin tekevät lähes

kaikki maat, mutta ilman lakeja

• Taloudellinen hyvinvointi osa kansallista turvallisuutta – teollisuusvakoilusta yhä enemmän valtion tehtävä

LopuksiLopuksi

• Yksityisyydestä huolehtiminen vaatii työtä– ja se maksaa: käteinen on kallista, samoin bonukseton elämä

• Sosiaalinen paine vaikuttaa meihin kaikkiin– ”jos et ole Facebookissa, et seuraa aikaasi”, ”miksei puhelimesi

ole päällä?”– jos aikoo pysyä mukana yhteiskunnassa, vaihtoehtoja ei juuri ole

• Suomen rajojen ulkopuolella on tietoliikenteen villi länsi, jokainen vastaa itsestään– viestinnän salauksesta pitää huolehtia oma-aloitteisesti– Suomi on televiestinnän lintukoto - muista se kun liikut tai asioit

ulkomailla– miten paljon valtioihin voi luottaa? Vrt. Mossad

• Mitä tiedoillemme tapahtuu jatkossa?– entä jos venäläiset tai kiinalaiset ostavat yrityksemme?