14.10.2015
Salla I, Jyri H, Hanna J, Jonna H
Teimme ryhmätehtävänä ohjeita viestinnän suojaamiseen- tehtävän. Tutustuimme sisältöön ja kirjoitimme blogimerkinnän organisaation tietoturvan näkökulmasta: mitä pitäisi huomioida?
Palveluiden turvallinen käyttö
Organisaation tietoturvan näkökulmasta erilaisten palveluiden ja laitteiden turvallinen käyttö on erittäin tärkeää. Jokaisella Suomen kansalaisella on oikeus luottamukselliseen sähköiseen viestintään ja sen takia jokaisen Internetiä käyttävän kannattaa miettiä, mitä viestintäpalveluja käyttää ja minkälaisia suojaustoimia niissä käytetään. Sähköisen viestinnän luottamuksellisuus tarkoittaa sitä, ettei kukaan saa ilman laissa säädettyä oikeutta tai viestinnän osapuolen suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä tunnistamistietoja.
Viestintäpalvelujen kuten esimerkiksi sähköpostipalvelujen
tarjoajien on huolehdittava palvelujensa tietoturvasta ja
luottamuksellisuudesta. Ja muun muassa suomalaisten teleyritysten tarjoamien
viestintäpalvelujen täytyy taata luottamuksellisuus Suomessa.
Luottamuksellisen viestinnän suoja on perusoikeus, jonka loukkaaminen on rangaistava teko. Ilman lupaa kukaan ei saa käsitellä toisen viestejä tai viestintään liittyviä tunnistamistietoja ja esimerkiksi organisaatiossa ei kukaan saa koskea tai tutkia työntekijöiden henkilökohtaisia viestejä tai tunnistamistietoja. Työntekijällä on myös vastuu yrityksen sisäisten viestien salassapidosta, mutta omia tunnistamistietoja saa käsitellä haluamallaan tavalla. Julkiseen viestintään liittyvät tunnistamistiedot ovat myös luottamuksellisia ja esimerkiksi teleyritykset ja yhteisötilaajat saavat käsitellä tunnistamistietoja ainoastaan laissa säädettyihin tarkoituksiin.
Luottamuksellisen viestinnän suoja on perusoikeus, jonka loukkaaminen on rangaistava teko. Ilman lupaa kukaan ei saa käsitellä toisen viestejä tai viestintään liittyviä tunnistamistietoja ja esimerkiksi organisaatiossa ei kukaan saa koskea tai tutkia työntekijöiden henkilökohtaisia viestejä tai tunnistamistietoja. Työntekijällä on myös vastuu yrityksen sisäisten viestien salassapidosta, mutta omia tunnistamistietoja saa käsitellä haluamallaan tavalla. Julkiseen viestintään liittyvät tunnistamistiedot ovat myös luottamuksellisia ja esimerkiksi teleyritykset ja yhteisötilaajat saavat käsitellä tunnistamistietoja ainoastaan laissa säädettyihin tarkoituksiin.
Organisaatiossa sähköpostipalveluiden käyttö täytyy olla
turvallista ja sen takia henkilökunnalle annetaan ohjeistuksia kuinka käyttää
sähköpostia turvallisesti. Yleensä organisaatioissa sähköpostipalvelut ovat
hyvin turvattuja. Luottamukselliset sähköpostiviestit on syytä salata
erillisillä salausmenetelmillä. Myös digitaalinen allekirjoitus varmistaa
viestin muuttumattomuuden sekä viestin allekirjoittajan henkilöllisyyden.
Kolme turvallisuussääntöä: Selitä- Arvioi - Suojaa
- Suomen viestintäpalveluja koskeva lainsäädäntö suojaa ainoastaan suomalaisissa viestintäpalveluissa ja tietoverkoissa välitettävien viestien luottamuksellisuuden.
– Selvitä mitä palveluja käytät ja mihin antamiasi tietoja
käytetään.
– Arvioi mitkä viestisi vaativat suojaa ja suojaa ne
tarvittaessa.
– Muista suojata mahdollinen langaton verkkosi.
Laitteiden turvallinen käyttö
Tietokoneiden lisäksi organisaation täytyy pitää huolta internettiin liitettävien laitteiden tietoturvasta. Tärkeintä on tarkastaa laitteen asetuksen käyttöönoton yhteydessä. Monissa laitteissa on nykyisin verkkoliitäntä, jonka kautta voi käyttää verkon viihdepalveluja tai päivittää laitteen ohjelmistot. Suojaamattomassa verkossa salaamaton viestintä on helposti muiden käyttäjien katseltavissa ja kuunneltavissa. Suojaamatonta verkkoa voivat sivulliset käyttää luvatta. Tietoturvallisesti järkevää onkin tarkistaa sellaiset laitteet, joita käytetään internet-yhteyden muodostamiseen ja jotka ovat kiinni suoraan internetissä.
Organisaation on syytä panostaa tietokoneiden suojaukseen. Suojauksen kannalta tärkeää on pitää siihen asennetut ohjelmistot ajan tasalla. Helpoiten se onnistuu käyttämällä automaattisia päivitystoimintoja. Tavallisimmin haittaohjelma tarttuukin tietokoneeseen päivittämättömän selainlaajennuksen kautta. Virustorjunta ja palomuuri olisi hyvä pitää toiminnassa, jottei organisaation tietokoneisiin pääse pöpöjä leviämään.
Langattoman lähiverkon tietoturvan kannalta olennaisinta on
määritellä wlan-verkkoon tunnistautuminen. Ilman käyttäjien tunnistautumista
kuka tahansa pääsee langattoman tukiaseman kuuluvuusalueella liittymään
langattomaan lähiverkkoon. On myös tärkeää salata wlan-verkon kautta välitetty
liikenne.
Laitteiden oletussalasanat on syytä vaihtaa ja laitteiden
pääsy hallintakäyttöliittymään internetistä on syytä estää. Salasanan
turvallisuuteen vaikuttaa eniten käytetyn salasanan pituus. Hyvässä salasanassa
yhdistyy sekä pituus että monimutkaisuus.
Teleyritysten oikeudet ja velvollisuudet
Teleyrityksillä ja lisäarvopalvelujen tarjoajilla on velvollisuus huolehtia verkko- ja viestintäpalvelujensa tietoturvasta. Velvollisuuksien suorittamiseksi tehtävät toimenpiteet suhteutetaan uhkien vakavuuteen, teknisen kehityksen tasoon sekä kustannuksiin sopiviksi. Viestintävirastolla on oikeus antaa teleyritykselle tarkempia määräyksiä verkko- ja viestintäpalvelun ja tietojen säilyttämisen tietoturvasta. Velvollisuuksiin kuuluu muun muassa verkko- ja viestintäpalvelujen toiminnan tietoturvallisuudesta, tietoliikenneturvallisuudesta, laitteisto- ja ohjelmistoturvallisuudesta ja tietoaineistoturvallisuudesta huolehtiminen.
Teleyrityksillä ja lisäarvopalvelujen tarjoajilla on velvollisuus huolehtia verkko- ja viestintäpalvelujensa tietoturvasta. Velvollisuuksien suorittamiseksi tehtävät toimenpiteet suhteutetaan uhkien vakavuuteen, teknisen kehityksen tasoon sekä kustannuksiin sopiviksi. Viestintävirastolla on oikeus antaa teleyritykselle tarkempia määräyksiä verkko- ja viestintäpalvelun ja tietojen säilyttämisen tietoturvasta. Velvollisuuksiin kuuluu muun muassa verkko- ja viestintäpalvelujen toiminnan tietoturvallisuudesta, tietoliikenneturvallisuudesta, laitteisto- ja ohjelmistoturvallisuudesta ja tietoaineistoturvallisuudesta huolehtiminen.
Teleyrityksellä on oikeus tietoturvaloukkausten
torjumiseksi ja tietoturvan varmistamiseksi muun muassa estää viestien
välittäminen ja vastaanottaminen, poistaa tietoturvaa vaarantavat
haittaohjelmat viesteistä ja toteuttaa muita vastaavia teknisluonteisia
toimenpiteitä viestintäverkossaan. Oikeus näihin toimenpiteisiin on vain, jos
ne ovat välttämättömiä verkko- tai viestintäpalvelun tai viestin vastaanottajan
viestintämahdollisuuksien turvaamiseksi. Sananvapautta tai yksityisyyden suojaa
ei saa kuitenkaan rajoittaa enempää kuin välttämätöntä.
Teleyrityksen
täytyy ilmoittaa viipymättä Viestintävirastolle ja asiakkaille, jos palveluun
kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus tai muu tapahtuma.
Häiriön tai uhan arvioitu kesto ja vaikutukset ja niistä aiheutuvat
korjaustoimenpiteet ja seuraavien häiriöiden estämiseksi tehtävät toimenpiteet pitää
ilmoittaa viestintäviranomaiselle.
Viestinnän
tunnistamistiedolla tarkoitetaan tietoa, jonka perusteella verkko- ja
viestintäpalvelun käyttäjään voidaan yhdistää tietoa tai käyttäjä voidaan
tunnistaa, tunnistamistietoja ovat mm tiedot puhelun soittajasta ja
vastaanottajasta, sähköposti- tai tekstiviestin lähettäjä ja vastaanottaja yms.
Teleyrityksellä on oikeus käsitellä näitä tietoja verkko- ja viestintäpalvelun
käyttämiseksi, laskuttamiseksi, tietoturvan varmistamiseksi, teknisen vian
havaitsemiseksi, kehittämistä varten ja väärinkäyttötilanteissa, jolloin
lisäarvopalvelun maksullista palvelua käytetään maksutta.
Yhteisötilaajan oikeudet ja velvollisuudet
Yhteisöpalveluiksi kutsutaan esim.
yritysten tai oppilaitosten tarjoamia sähköposti- ja
tietoliikenneyhteyspalveluita työntekijöidensä tai oppilaittensa käyttöön.
Yhteisötilaajilla on velvollisuus huolehtia käyttäjiensä tunnistamistietojen
käsittelyn tietoturvasta. Heillä on myös oikeus käsitellä tunnistamistietoja
muissa laissa yksilöidyissä tilanteissa.
Yhteisötilaajan oikeudet ja
velvollisuudet vastaavat pääosin samoja asioita kuin teleyritysten oikeudet ja
velvollisuudet.
Tunnistaumiskeinot
Organisaation
tietoturvan näkökannalta tunnistautumiskeinojen täytyy olla varmoja. Organisaatio
voi käyttää esimerkiksi sähköisiä tunnistautumisia ja allekirjoituksia. Vahva
sähköinen tunnistautuminen, sähköinen allekirjoitus ja varmenne auttavat
henkilöllisyyden todentamisessa ja tunnistamisessa sekä tietojen salauksessa
sähköisissä tietoverkoissa. Vahvasta sähköisestä tunnistamisesta ja sähköisistä
allekirjoituksista säädetään laissa.
Vahvalla
sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista
sähköisesti. Vahvan sähköisen tunnistamisen avulla kuluttajat voivat
turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa.
Esimerkiksi pankkien käyttämät verkkopankkitunnukset, väestörekisterikeskuksen
kansalaisvarmenne ja mobiilivarmenteet käyttävät vahvaa sähköistä
tunnistautumista.
Sähköistä allekirjoitusta käytetään allekirjoittajan henkilöllisyyden todentamiseen. Yksinkertaisimmillaan se voi olla esim. sähköpostien allekirjoittaminen henkilön nimellä. Kehittyneemmässä sähköisessä allekirjoituksessa allekirjoittaja voidaan yksilöidä ja allekirjoitus liittää muuhun sähköiseen tietoon, esim. sähköpostiviestiin.
Sähköistä allekirjoitusta käytetään allekirjoittajan henkilöllisyyden todentamiseen. Yksinkertaisimmillaan se voi olla esim. sähköpostien allekirjoittaminen henkilön nimellä. Kehittyneemmässä sähköisessä allekirjoituksessa allekirjoittaja voidaan yksilöidä ja allekirjoitus liittää muuhun sähköiseen tietoon, esim. sähköpostiviestiin.
Varmenne
on luotettavan organisaation sähköisesti allekirjoittama todistus, joka
todentaa varmenteen omistajan henkilöllisyyden. Niitä tarvitaan tietoverkkojen
kautta tapahtuvassa tunnistamisessa, salauksessa ja sähköisen allekirjoituksen
tekemisessä. Varmenne sisältää julkisen avaimen, jolla varmenteen omistajan voi
tunnistaa. Julkisen avaimen lisäksi varmenne sisältää muita tietoja, kuten
henkilön tai organisaation nimen, varmenteen myöntämispäivän, viimeisen
voimassaolopäivän tai yksilöllisen sarjanumeron.
Vahvaa sähköistä tunnistamista tarjoavien palveluntarjoajien ja laatuvarmenteita tarjoavien varmentajien on tehtävä Viestintävirastolle ilmoitus ennen toiminnan aloittamista. Viestinnänvirasto ylläpitää julkista rekisteriä tunnistuspalvelun tarjoajista sekä laatuvarmenteita tarjoavista varmentajista. Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain tavoitteena on luoda yhteiset pelisäännöt vahvan sähköisen tunnistamisen palvelujen tarjontaan, edistää tunnistuspalveluiden tarjontaa ja sähköisten allekirjoitusten käyttöä.
Tietoturvallisuuden arviointilaitokset ja
arviointimenettely
Viestintävirasto
ohjaa ja valvoo tietoturvallisuuden arviointilaitoksia, jotka tarjoavat
viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden
arviointipalvelua. Arviointilaitokset ovat apuna yritysturvallisuuden
edistämisessä. Arviointilaitoksen suorittaman arvion mukaan organisaatiot ja
yritykset voivat todistaa, että heidän toimintansa täyttää
tietoturvallisuusvaatimukset. Arviointilaitoksen suorittamassa tietoturvatarkastuksessa
selvitetään onko toiminnassa toteutettu tietoturvallisuutta koskevat
vaatimukset ja tarkastetaan arvioitavan kohteen toimitilat. Arviointi perustuu
arvioinnin kohteen toimeksiantoon, jossa määritellään käytettävä
tietoturvallisuuden arviointikriteeristö ja tavoitettava tietoturvataso.
Hyökkäysohjelmistot
Organisaation tietoturvaa ajatellen on tietokoneiden ohjelmistot ja päivitykset syytä pitää ajan tasalla. Hyökkäysohjelmistoista Angler Exploit Kit tartuttaa monia Windows-tietokoneita. Selainliitännäisistä Flash kannattaa pitää ajan tasalla, sillä päivittämättömän version käyttäjät joka päivä haittaohjelmia koneelleen. Nettisivuilla näytettävistä mainoksista voi levitä haittaohjelmia ilman, että sivustoa olisi välttämättä murrettu. Kohdistetuista hyökkäyksistä joita kohdistetaan erilaisiin organisaatioihin, käytetään termiä APT. Kohdistettuaan hyökkäyksen hyökkääjällä on kohdeorganisaatioista yleensä sellaisia tietoja, joita hyväksi käyttäen se voi mahdollistaa pääsyn organisaation järjestelmiin. Tällaisia keinoja on esimerkiksi sähköpostiin lähetetty dokumentti, joka ei herätä vastapuolessa epäilyksiä, mutta joka on todellisuudessa saastutettu. Hyökkääjä voi myös houkutella organisaation käyttäjiä vierailemaan haitallisella verkkosivulla, joka jakaa haittaohjelman vain tietystä organisaatiosta saapuvalle käyttäjälle. Hyökkäävällä taholla on yleensä tarkoituksena onkia organisaation kriittistä tietoa ja saada sitä haltuunsa. Tieto pyritään niellä organisaatiosta huomaamattomasti ja operaation onnistuttua jäljet pyritään poistamaan, jotta hyökkäyksen alkuperän selvittäminen vaikeutuisi.
Organisaation tietoturvaa ajatellen on tietokoneiden ohjelmistot ja päivitykset syytä pitää ajan tasalla. Hyökkäysohjelmistoista Angler Exploit Kit tartuttaa monia Windows-tietokoneita. Selainliitännäisistä Flash kannattaa pitää ajan tasalla, sillä päivittämättömän version käyttäjät joka päivä haittaohjelmia koneelleen. Nettisivuilla näytettävistä mainoksista voi levitä haittaohjelmia ilman, että sivustoa olisi välttämättä murrettu. Kohdistetuista hyökkäyksistä joita kohdistetaan erilaisiin organisaatioihin, käytetään termiä APT. Kohdistettuaan hyökkäyksen hyökkääjällä on kohdeorganisaatioista yleensä sellaisia tietoja, joita hyväksi käyttäen se voi mahdollistaa pääsyn organisaation järjestelmiin. Tällaisia keinoja on esimerkiksi sähköpostiin lähetetty dokumentti, joka ei herätä vastapuolessa epäilyksiä, mutta joka on todellisuudessa saastutettu. Hyökkääjä voi myös houkutella organisaation käyttäjiä vierailemaan haitallisella verkkosivulla, joka jakaa haittaohjelman vain tietystä organisaatiosta saapuvalle käyttäjälle. Hyökkäävällä taholla on yleensä tarkoituksena onkia organisaation kriittistä tietoa ja saada sitä haltuunsa. Tieto pyritään niellä organisaatiosta huomaamattomasti ja operaation onnistuttua jäljet pyritään poistamaan, jotta hyökkäyksen alkuperän selvittäminen vaikeutuisi.
Ohjelmat kannattaa
pitää ajan tasalla, sillä päivitykset korjaavat kriittisiä haavoittuvuuksia –
ne voivat esimerkiksi johtaa salaisen tiedon vuotamiseen väärin käsiin sekä
hyökkääjän koodin suorittamiseen kohdejärjestelmässä. Esimerkkejä päivittämisen
arvoisista ohjelmista on esim. Adobe Acrobat ja Reader.
