Digitaalisten palveluiden käyttäjä kohtaa kaiken aikaa erilaisia tietojenkalastelu- ja tietomurtoyrityksiä.

Olipa kyse pankkipalveluista, sähköpostista, sosiaalisen median palveluista tai jostain muusta internetissä käytettävästä palvelusta, olet niiden käyttäjänä luultavasti jo törmännyt monta kertaa kalasteluyrityksiin ja epäilyttäviin viesteihin.

Uhkiin varautuakseen on tärkeää tietää miten palveluntarjoajat yleensä toimivat, sillä tunnuksia kalastelevat toimijat toimivat yleensä päinvastoin. Lähtökohtaisesti palveluntarjoaja ei pyydä koskaan käyttäjää luovuttamaan henkilökohtaisia tunnuksiaan itselleen, ei etenkään sähköpostilla. Näin ollen joka kerta, kun omia tunnuksia pyydetään kertomaan, tulisi lähtökohtaisesti aina olettaa kyseessä olevan asiaton kalasteluyritys. Omiin tunnuksiinsa kannattaa suhtautua samankaltaisella varovaisuusperiaatteella kuin suurin osa meistä suhtautuu vaikkapa omaan rahapussiinsa.

Tietojenkalasteluyritykset ovat tänä päivänä tehty todella ammattimaisesti ja vaikka viesti sähköpostissa, internetsivustolla tai jossain muualla näyttäisi aidolta, olisi kirjoitettu selvällä suomen kielellä ja viesti näyttäisi tulevan aivan oikealta lähettäjältä (esimerkiksi palveluntarjoajan sähköpostiosoitteesta tai internetsivuston osoite näyttäisi viittavan palveluntarjoajan aitoon domain-nimeen), kaiken takana on todennäköisesti ammattimainen rikollinen, joka pyrkii vakuuttamaan käyttäjän tietojen luovuttamisen välttämättömyydestä.

Viime vuosien aikana kiristyshaittaohjelmat ovat lisääntyneet räjähdysmäisesti. Kyseessä on haittaohjelmisto, joka salaa kaiken tiedon käyttäjän ulottumattomiin. Kun käyttäjän pääsy tietoon on estynyt, rikollinen tarjoaa rahaa vastaan tietojen salauksen purkamista. Mikäli kaikki tärkeät tiedostomme ovat ulottumattomissamme, tiedoista ei ole asianmukaisia varmistuksia olemassa, niin kiusaus lunnaiden maksamiseen on varmasti suuri.

Meidän tulisikin omassa toiminnassamme pyrkiä varautumaan näihin tilanteisiin niin, että emme tähän tilanteeseen milloinkaan joutuisi.

Näin suojaudut tietojenkalasteluyrityksiltä

• Huolehdi tietokoneen, puhelimen ja muiden internetiin kytkettyjen laitteiden tietoturvapäivityksien ajantasaisuudesta. Mikäli laitteiden tietoturvapäivitykset ovat tekemättä, kyseiseen laitteeseen kohdistuu tietoturvauhka silloinkin, kun laitetta ei käytetä aktiivisesti.
• Varmista, että laitteissa on ajantasainen tietoturvaohjelmisto.
• Käytä harkintaa siitä, millaisia sähköposteja avaat ja millaisilla nettisivuilla vierailet.

Mielestäni järjestys menee nimenomaan edellä mainitsemassani järjestyksessä: ensimmäiseksi on huolehdittava tietoturvapäivityksien ajantasaisuudesta, seuraavaksi tietoturvaohjelmiston on oltava asianmukainen ja ajan tasalla. Vasta kun nämä kaksi asiaa on hoidettu kuntoon, käyttäjän oman valveutuneisuuden roolilla on aidosti merkitystä pyrkimään paikkaamaan niitä tilanteita, jotka eivät ole vielä ratkenneet ajantasaisilla päivityksillä ja tietoturvaohjelmistolla.

Yhtenä tietoturvaa parantavana teknisenä toimenpiteenä kannattaa lisäksi harkita monivaiheisen kirjautumisen käyttöönottamista. Monivaiheinen kirjautuminen on monille tuttua pankkipalveluiden käytöstä, jossa perinteisen salasanan ja käyttäjätunnuksen lisäksi palveluun kirjautuminen edellyttää tunnuslukulistan (tai vastaavan sähköisen toteutuksen) mukaisen lisätunnistuksen käyttämistä. Monivaiheisen tunnistuksen ollessa käytössä esimerkiksi sähköpostipalvelussa pelkällä käyttäjätunnuksella ja salasanalla palvelun käyttäminen ei vielä onnistu, mikä lisää palvelun tietoturvaa.

Aikoinaan historiassa kauppalaivat pyrkivät varautumaan mahdollisimman hyvin merirosvojen hyökkäyksiin, sillä tiedettiin, että merirosvojen kynsiin joutuminen voisi olla hyvinkin kohtalokasta. Nykyiset kyberrikokset ovat monelta osin entisaikaiseen merirosvouteen verrattavia toimia, joissa kaiken tekemisen keskiössä on varautuminen olemassa oleviin uhkiin. Meistä jokainen voi kuitenkin torjua näitä kyberrikoksia olemalla valppaana, suojelemalla tunnuksiaan ja salasanojaan.