News kohteet joissa tunniste: "kyberturvallisuus"

Syyskuun kybersäässä taas runsasta kalastelua ja merkittäviä palvelunestohyökkäyksiä

Tunnisteet: tietoturva, huijaus, palvelunestohyökkäys, kyberturvallisuus, esineiden internet iot, tietojen kalastelu (phishing), kohdistettu hyökkäys (apt), kybersää

Syyskuussa nähtiin niin tietojenkalastelua kuin palvelunestohyökkäyksiä. Kybersäätä synkensivät myös muun muassa kotireitittimien kasvavat haittaohjelmahavainnot ja asiakas- ja luottokorttitietojen varastaminen kansainvälisistä verkkokaupoista.

Uudelleen kiihtynyt tietojenkalastelu toi myrskypilviä syyskuun kybertaivaalle. Viestintäviraston Kyberturvallisuuskeskuksen tietoon tuli lukuisia kalastelukampanjoita, joiden seurauksena käyttäjät erehtyivät antamaan huijareille käyttäjätunnuksensa ja salasanansa. Kalastelun runsastumisen vuoksi aiemmin vakavaksi (keltainen) laskettu varoitus korotettiin jälleen kriittiseksi (punainen).

Tietojenkalastelussa nähtiin uusia kehityskulkuja

Kuun aikana yleistyivät esimerkiksi turvapostiviestiltä näyttävät kalasteluviestit. Organisaatiot käyttävät turvapostiratkaisuja salattujen sähköpostiviestien lähettämiseen. Lisäksi hyökkääjät ovat onnistuneet joissain tapauksissa välttämään monivaiheisen todentamisen, jos palvelu on asennettu siten, että se tukee myös vanhempia päätelaitteita ja sovelluksia.

Myös luottokorttitietojen saamiseksi tehtyjä huijausviestejä nähtiin runsaasti. Luottokorttitietojen kalastelua nähtiin esimeriksi OmaVero-teemalla.

Palvelunestohyökkäys häiritsi jälleen tunnistuspalvelua

Suomi.fi-verkkopalvelua vastaan tehtiin syyskuussa palvelunestohyökkäys, joka aiheutti katkoksia ja hitautta palvelun toiminnassa. Hyökkäys vaikutti myös sivustoihin, jotka hyödyntävät suomi.fi-tunnistautumista. Esimerkiksi Poliisin ja Verohallinnon palveluihin kirjautumisessa oli ongelmia hyökkäyksen aikana. Edellisen kerran palvelunestohyökkäykset häiritsivät suomi.fi-palvelun toimintaa elokuussa.

Syyskuussa nähtiin myös suuruusluokaltaan Suomen olosuhteissa huomattava palvelunestohyökkäys (89 Gbit/s ja 8 Mpps). Kyseinen hyökkäys oli toteutettu DNS- ja memcached-amplifikaatiotekniikoilla.


Kerran kuussa julkaistava Kybersää on katsaus edellisen kuukauden merkittävimpiin tietoturvapoikkeamiin ja -ilmiöihin. Kyberturvallisuusnäkymiä tarkastellaan kuudesta näkökulmasta, joita ovat palvelunestot, haittaohjelmat ja haavoittuvuudet, huijaukset ja kalastelut, vakoilu, verkkojen toimivuus ja esineiden internet eli IoT.

Tutustu tarkemmin syyskuun 2018 kybersäähän!

Päivityshistoria

  • 10.10.2018 klo 10:32
    Julkaistu
Lue lisää

Europol kampanjoi: Suojaa itsesi ja rahasi nettihuijareilta

Tunnisteet: tietoturva, huijaus, kyberturvallisuus, riskienhallinta, tietojen kalastelu (phishing), kyberrikollisuus

Osallistu, suojaudu ja opi tunnistamaan nettihuijareiden tavat! Euroopan kyberturvallisuuskuukauden viimeiset viikot vietetään nettihuijauksiin keskittyvän, Europolin Cyber Scams -kampanjan parissa. Eurooppalainen yhteiskampanja alkaa 17.10. Kotimaasta mukana ovat Finanssiala ry, Suomen poliisi ja Viestintäviraston kyberturvallisuuskeskus.

Nettihuijaukset ovat osa verkon arkea kaikkialla Euroopassa. Europolin kyberrikoskeskuksen, Europol’s European Cybercrime Centren, koordinoimassa Cyber Scams -kampanjassa on mukana muun muassa 28 EU:n jäsenmaata ja 24 kansallista finanssiliittoa.

Viikon kestävän kampanjan aikana nettihuijauksista jaetaan tietoa 27:llä eri kielellä pääasiassa sosiaalisessa mediassa. Kampanja keskittyy 7 yleisimpään nettihuijaukseen, niiden tunnistamiseen ja niiltä suojautumiseen.

Kuka tahansa voi olla nettihuijarin uhri, mutta jo tietous ilmiöstä auttaa. Osallistu kampanjaan Kyberturvallisuuskeskuksen, Suomen poliisin ja Finanssiala ry:n somekanavilla. Kutsu mukaan vaikka koko suku! Kun jaat tietoa nettihuijauksista omissa verkostoissasi, moni voi välttyä nettirikollisten juonilta.

Seuraa kampanjaa Twitterissä ja Facebookissa muun muassa aihetunnisteilla #cyberscams ja #nettihuijaus. Finanssiala ry:llä ja Suomen poliisilla on jaossa myös omaa kampanjamateriaalia. Kampanjaviikon aikana on mahdollista syventyä erilaisiin nettihuijaustyyppeihin.
 

Suojaa itsesi ja rahasi!

Ota selvää nettihuijauksista ja suojaa itsesi sekä omaisuutesi. Avaa alla olevat lyhyet ja ytimekkäät infolehtiset, jotka kertovat mistä tietyssä huijauksessa on kyse, mistä sen tunnistaa ja kuinka siltä voi suojautua.

  • Tietojenkalasteluviestit [pdf, 246 KB] Sähköposteja, joilla pyritään saamaan vastaanottajalta käyttäjätunnuksia, pankkitietoja tai muita henkilökohtaisia tietoja.
     
  • Toimitusjohtajahuijaus - BEC-huijaus [pdf, 210 KB] Tunnetaan myös englanninkielisellä nimellä business email compromise. Yrityksen rahaliikenteestä huolehtiva työntekijä huijataan maksamaan valelasku tai tekemään muu siirto yrityksen varoista.
     
  • Huijaussivustot [pdf, 236 KB] Kalasteluviestit sisältävät usein linkin väärennetylle, pankin sivun näköiselle nettisivulle, jossa käyttäjältä pyritään saamaan pankkitietoja ja henkilökohtaisia tietoja.
     
  • Huijauslaskut [pdf, 256 KB] Yritykseen tulee yhteydenotto esimerkiksi puhelimitse, sähköpostitse tai kirjeitse. Huijari pyytää muutosta esimerkiksi maksunsaajaan, kuitenkin jonkin toistuvan maksun tietoihin. Uusi tili on huijarin hallitsema.
     
  • Nettikauppahuijaus [pdf, 582 KB] Netistä saa usein hyviä tarjouksia, mutta varo huijauksia.
     
  • Romanssihuijaus - Deittihuijaus [pdf, 195 KB] Huijarit etsivät uhreja yleensä seuranhakupalveluista, mutta voivat ottaa yhteyttä myös somessa tai sähköpostitse.
     
  • Sijoitushuijaus [pdf, 219 KB] Houkutteleva sijoitustarjous esimerkiksi osakkeisiin, joukkolainoihin, kryptovaluuttaan, metalleihin tai vaihtoehtoisiin energiamuotoihin.

 

Lisätietoa nettihuijauksista

  • Tietoturva-asiantuntija Juha Tretjakov, puh. +358 2953 390 432, etunimi.sukunimi@ficora.fi
  • Keskusrikospoliisi: Twitter
  • Poliisihallitus: Twitter; Facebook
  • Finanssiala ry: Twitter, Facebook
  • Europolin tiedote nettihuijauskampanjasta

Päivityshistoria

  • 17.10.2018 klo 07:44
    Julkaistu
Lue lisää

Näistä aineksista syntyy toimivaa IoT:tä

Tunnisteet: tietoturva, kyberturvallisuus, esineiden internet iot, tietosuoja, yksityisyydensuoja

Muistathan älypesukoneen, -lämpöpumpun ja turvakameran varmaan? Ja sykemittarin, roskasäiliön harmaan? Mutta laite tää sulta ehkäpä hankkimatta jää. Toimivia ja turvallisia IoT-laitteita on toistaiseksi tarjolla vähän. Nyt esittelemme ominaisuuksia, jotka voisivat tehdä Iot-ratkaisusta menestyvän.

Tunnistat IoT-laitteen esimerkiksi verkkoliittimistä, SIM-korteista tai siitä, että laite pyytää syöttämään WLANin salasanan. Laite kytkeytyy internetiin pääsääntöisesti langattoman lähiverkon, mobiiliverkon tai kiinteän sisäverkon avulla. Laitetta voi säätää puhelimella, tabletilla tai sen tietoja voi tarkastella selaimella verkkopalvelusta. Paljon näppäriä ominaisuuksia, jotka voivat tehdä arjesta ketterämpää.

Kotimainen ratkaisu, joka parantaa kaikenikäisten elämänlaatua globaalisti

Jotta IoT-laite voisi menestyä, sen pitäisi voida parantaa elämänlaatua tai esimerkiksi helpottaa työntekoa. Toimiva IoT ei kuulu vain digiin kasvaneille sukupolville, vaan myös senioreille on tarjottava helppokäyttöisiä mutta turvallisia ratkaisuja.

Otetaan esimerkiksi kokkolalaisen yrityksen ikäihmisille tarkoitetut älykuntosalit. Näiden Iot-laitteiden tarpeellisuus on huomattu ulkomailla asti. Laitteet on suunniteltu ensisijaisesti senioreille muun muassa tasapainoharjoittelua varten. Ne tunnistavat treenaajan ja osaavat säätää asetukset ja vastuksen hänelle sopiviksi. Kunto-ohjaaja voi puolestaan tietokoneensa näytöltä seurata harjoittelun edistymistä ja antaa tarvittaessa palautetta. Harjoittelun avulla ikäihmisten pitäisi pysyä paremmin pystyssä ja poissa leikkauspöydiltä. Samankaltaisiin tavoitteisiin tähdätään myös muun muassa älykkäillä valaistusratkaisuilla.

Entäpä älykäs IoT-lehmä? Ainakin useiden karjankasvattajien elämää on helpottunut lehmän kaulaan ripustettavan älypanta, joka tarkkailee lehmän liikehdintää ja siten kiima-aikaa. Kun h-hetki koittaa, panta lähettää hälytyksen navetan valvomoon, jolloin keinosiementäjän voi kutsua paikalle juuri oikeaan aikaan. Ennen älypantaa lehmän kiiman määrittely oli hankalampaa, ja karjankasvattaja hoiti työn itse - todennäköisesti monen yrityksen ja erehdyksen kautta. IoT:n edut myös maidontuotannossa ovat selvät, sillä älylehmien avulla voidaan jakaa tietoa navetan valvomoon myös lypsykoneiden toiminnasta ja maidon laadusta.

On helppo kannattaa älylaitteita, jotka ovat maailmalla menestyviä ja kotimaisia innovaatioita. Myös kansantaloudellisesta näkökulmasta terveyttä ja työntekoa tukevat IoT-ratkaisut ovat tervetulleita.

Tarpeellinen ja älykäs on rakenteiltaan tietoturvallinen

Jos älylaitteen haluaa osaksi arkeaan, todellisten hyötyjen lisäksi sen on oltava turvallinen ja näppäräkäyttöinen. Hienoa olisi, jos tietoturvallisuus olisi IoT-tuotteissa lähes itsestään selvyys - ominaisuus, jonka perusteella kuluttaja voisi tehdä lopullisen ostopäätöksen. Myös kauppiaan pitäisi osata kertoa asiakkaalleen älylaitteen turvallisuusominaisuuksista.

Koska älylaite on kuin tietokone, siihen täytyy olla tarjolla päivityksiä ja haavoittuvuuksien paikkauksia, jotka ovat vaivattomasti käyttäjän saatavilla. Parhaassa tapauksessa laitevalmistaja pitäisi huolta laitteen turvallisuudesta ajantasaisin ja automaattisin päivityksin. Sama pätee myös oletussalasanojen vaihtoon niin, että se kävisi mahdollisimman yksinkertaisesti ja oikea paikka löytyisi käyttöjärjestelmästä helposti. Ylipäänsä IoT-laitteen oletusasetusten pitää olla tietoturvallisia.

Vastuullinen IoT-laitevalmistaja käyttäisi esimerkiksi Bug bounty -ohjelmaa, jolloin laitteiden turvallisuusominaisuuksia testattaisiin aktiivisesti, mutta vastuullisesti. Näin tietoturvapuutteet ehdittäisiin paikata ja estää esimerkiksi verkkorikollisten suunnitelmat laitteen kaappaamisesta osaksi bot-verkkoa.

Tarvitsemme toimivia ja turvallisia viestintäverkkoja. Näitä ominaisuuksia myös verkkoon kytkettävien IoT-laitteiden pitäisi tukea. Ne eivät saa olla materiaalia bot-verkoille, massiivisille palvelunestohyökkäyksille, tietovuodoille tai kiristyshaittaohjelmatartunnoille.

Suunniteltu ja koottu käyttäjän yksityisyyttä arvostaen, standardien mukaisesti

Käyttäjälle olisi kerrottava, mitä tietoja hänestä kerätään ja mihin tarkoitukseen. Myydäänkö käyttäjätietoja eteenpäin? Käyttäjälle pitäisi myös antaa mahdollisuus estää tietojensa kerääminen, tallentaminen ja jakaminen, jos hän niin haluaisi. Tämän ei pitäisi estää laitteen käyttöä siinä tarkoituksessa, johon se on hankittu.

Arvostettavaa olisi, että yksityisiä tietoja kerättäisiin vain tarpeen mukaan. Tavoitteena voisi olla esimerkiksi kunnan tai kaupungin terveyspalvelujen turvaaminen ja kehittäminen. Tietojen kerääminen vain varmuuden vuoksi tai jälleenmyyntitarkoituksessa ei auta laitteen käyttäjää. Kun tietoja kerätään, tallennetaan ja säilytetään fiksusti, samalla pienenee identiteettivarkauden riski, jos älylaitteen sisältämät yksityiset tiedot päätyisivät rikollisten käsiin.

Erityisesti lapsille suunnatuissa älylaitteissa, joiden avulla vanhemmat voivat esimerkiksi paikantaa jälkikasvunsa, turvallisuus ja yksityisyydensuoja on oltava testauksin todistettua. Tällaisen laitteen välittämän tiedon on pysyttävä eheänä. Laite ja sen käyttö ei missään nimessä saa luoda turhaa turvallisuuden tunnetta ominaisuuksilla, joita ei ole perusteellisesti testattu.

Mahdollisimman monipuolisen testausprosessin läpikäyneen IoT-laitteen voisi tunnistaa vaikkapa sertifiointitarrasta. Ideaalitilanteessa kauppoihin asti pääsisivat vain laitteet, jotka täyttävät tietyt pakolliset turvallisuusstandardit ja noudattavat ainakin EU-lainsäädäntöä.

Onko tarpeellista, toimivaa ja turvallista IoT:tä olemassa?

Ainekset ovat olemassa ja mielenkiintoisia kehitys- ja tutkimusprojekteja on menossa. Joka tapauksessa, ainakin toistaiseksi, tunnemme liian vähän IoT-laitteita tai -ratkaisuja, jotka ovat turvallisuuden näkökulmasta toimivia.

Läpilyöneitä Iot-ratkaisuja toki on. Muun muassa HSL-alueen joukkoliikenneverkko on valtava IoT-järjestelmä, jossa osaa liikennevälineistä voi seurata reaaliaikaisesti verkkoselaimen kautta. Esimerkiksi bussissa pysäkin nimen näyttävät laitteet ovat IoT:tä. Oulussa, Tampereella ja monissa Itä-Suomen kaupungeissa käytetään IoT-järjestelmää, joka jakaa hälytysajossa oleville paloautoille vihreitä liikennevaloaaltoja. Etäluettavat talojen älysähkömittaritkin alkavat olla valtavirtaa.

Hyvin toimivaa IoT:tä emme välttämättä edes huomaa. Taustalle jäävien älyratkaisujen turvallisuutta ei kuitenkaan pidä unohtaa. Älykäs on myös turvallista.


Artikkeli aloittaa marraskuun IoT-teemakuukauden. Luvassa on asiantuntijablogi ja videoklippejä, joissa keskustellaan ajankohtaisista IoT-kysymyksistä.

Lähteitä ja lisälukemista

Päivityshistoria

  • 09.11.2017 klo 13:26
    Julkaistu
Lue lisää

 

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.