Kuluttajille suunnatut pilvitallennuspalvelut ovat kasvattaneet suosiotaan. On kuitenkin hyvä harkita, mitä tietoja pilveen tallentaa, koska tietovuodon riski on aina olemassa.

Pilvipalvelut ja pilveen tiedostoja tallentavat palvelut

Pilvipalvelulla tarkoitetaan palvelumallia, jossa usean käyttäjän kesken jaettuja tietoteknisiä resursseja tarjotaan tietoverkkojen yli. Ominaista pilvipalveluille on, että ne mukautuvat nopeasti ja joustavasti kysynnän ja tarpeiden muuttuessa. Kuluttajien näkökulmasta pilvipalveluilla tarkoitetaan yleensä pilvessä sijaitsevia tiedostojen tallennuspalveluita, joista tunnetuimpia lienevät Dropbox, Microsoft OneDrive, Google Drive, Box ja Apple iCloud Drive.

Pilvitallennuspalvelut toimivat yleensä siten, että ne luovat käyttäjän kotikansioon oman kansion, jonka sisältö siirtyy automaattisesti verkkoon palveluntarjoajan palvelimelle. Pilvitallennuspalvelusta ne siirtyvät edelleen myös muille tietokoneille ja palveluun kytketyille laitteille, joihin palvelun ohjelmisto on asennettu ja joissa synkronointi on kytketty päälle. Pilvitallennuspalveluiden avulla on helppoa ja kätevää jakaa tiedostoja useiden tietokoneiden kesken ja varmistaa pääsy tiedostoihin verkon ylitse myös silloin, kun omalle tietokoneelle ei pääse.

Valtaosalla pilvitallennuspalveluista on myös älypuhelinsovellus, jonka avulla omiin tiedostoihinsa pääsee käsiksi esimerkiksi tabletilla tai matkapuhelimella. Monet älypuhelinsovellukset osaavat myös automaattisesti siirtää matkapuhelimella tai tabletilla otetut valokuvat pilveen. Pilvitallennuspalveluun taltioituihin kuviin voi myös luoda julkisia linkkejä, jolloin niiden jakaminen on helppoa.

Mitä pilveen kannattaa tallentaa?

Pilvitallennuspalveluita käytettäessä on hyvä muistaa, että tiedot siirtyvät aina kolmannen osapuolen ylläpitämille palvelimille. Kolmannen osapuolen tarjoaman tallennuspalvelun ongelmana on, että palvelun tietoturva on palvelun toteuttajan käsissä. Tällöin käyttäjän mahdollisuudet vaikuttaa palveluun tallennettujen tietojen yksityisyyteen ovat rajalliset.

Pilvitallennuspalvelu on hyvä paikka sellaisille tiedostoille, joiden vuotamisesta ei ole merkittävää haittaa käyttäjälle. Esimerkiksi perheen lomakuvat, omat kirjoitukset, koulutyöt ja muut ei-arkaluontoiset dokumentit voi hyvin tallentaa pilvitallennuspalveluun.

Sen sijaan selkokielistä salasanalistaa tai pankkitietoja sinne ei kannata laittaa. Myös yksityiset, arkaluontoiset kuvat on parempi tallentaa jonnekin, jossa pääsyä voidaan rajoittaa fyysisin keinoin. Tällaisille tiedoille turvallisin vaihtoehto on kotona säilytetty, salakirjoitettu varmuuskopiolevy.

Varmuuskopiolevylle murtautuminen edellyttää pääsyä tilaan, jossa sitä säilytetään. Verkkopalveluun murtautumiseen riittää käyttäjätunnuksen ja salasanan hankkiminen esimerkiksi tietojenkalastelun avulla.

Pilvitallennuspalvelu ei voi olla ainoa varmuuskopiointiväline

Tietokoneen kiintolevyn rikkoutuessa pilvitallennuspalvelu saattaa auttaa tärkeiden tiedostojen palauttamisessa, mutta sitä ei kuitenkaan tule mieltää varmuuskopiointivälineeksi.

Esimerkiksi tiedostojärjestelmän ongelmat, tiedostojen poistaminen vahingossa tai tiedostoja salakirjoittavat haittaohjelmat iskevät pilvitallennuspalvelun kansioon siinä missä muihinkin paikallisiin kansioihin. Koska pilvitallennuspalvelu synkronoi paikallisen ja pilvessä sijaitsevan kansion keskenään, paikalliset virheelliset muutokset tiedostoihin synkronoituvat pilvipalveluun ja pahimmassa tapauksessa käyttäjän kaikille koneille.

Joissakin tallennuspalveluissa on olemassa toiminnallisuus, jonka avulla poistettuja tiedostoja voidaan palauttaa tai tiedostoista ottaa käyttöön vanhempia versioita. Tämä saattaa pelastaa yksittäisiä tiedostoja, mutta esimerkiksi levyrikon tai haittaohjelman seurauksena menetettyä käyttöjärjestelmää niillä ei voi sellaisenaan palauttaa.

Pilvitallennuspalvelu on sellaisenaan hyvä varmuuskopioinnin lisäapu esimerkiksi tulipalon varalta. Silti ajantasaisten varmuuskopioiden ottaminen koko tietokoneen kiintolevystä on tarpeen. Lisäksi pilvipalveluina tarjotaan erityisiä varmuuskopiointipalveluita, joita voi toki hyödyntää.

Artikkeli on osa Kyberturvallisuuskeskuksen marraskuun pilvipalveluiden tietoturvaa käsittelevää teemakuukautta. Teemakuukauden aikana tullaan käsittelemään pilvipalveluiden tietoturvaa yksityishenkilöiden ja organisaatioiden näkökulmasta.

Drupal on julkaissut varoituksen (Public Service Announcement) liittyen kriittiseen korjauspäivitykseen DRUPAL-SA-CORE-2014-005. Päivityksen korjaamaa haavoittuvuutta on pyritty käyttämään aktiivisesti hyväksi. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa verkkosivuston haltuunoton. Kyberturvallisuuskeskus julkaisi 15.10.2014 asiasta haavoittuvuustiedotteen 113/2014.

Julkaisemassaan varoituksessa Drupal painottaa korjauspäivityksen asentamisen tärkeyttä ja mahdollisen tietomurron selvittämistä. Drupalin mukaan korjattua haavoittuvuutta on pyritty aktiivisesti käyttämään hyväksi 15.10.2014 lähtien. Drupal on myös julkaissut ohjeen "Your Drupal site got hacked. Now what?" tietomurrosta toipumisen varalle. Tämä haavoittuvuustiedote päivittää haavoittuvuustiedotetta 113/2014 muun muassa Drupalin esille tuomien haavoittuvuuden hyväksikäyttöyritysten osalta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

Drupal 7 ennen versiota 7.32

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto korjattuun versioon.

Lisätietoa:

• https://www.drupal.org/PSA-2014-003
• https://www.drupal.org/SA-CORE-2014-005
• https://www.drupal.org/node/2365547
• CVE-2014-3704

Internet on pullollaan erilaisia palveluita, joista useampia voi käyttää ilman sopimuksia melko vapaasti. On kuitenkin tavallista, että internetpalveluun sisältyy sopimus tai käyttöehdot, jotka on hyväksyttävä päästäkseen palvelun käyttäjäksi.

Palveluissa jaetaan paljon yksityisyyteen liittyviä tietoja, ja siksi omien tietojen jakamiseen tulee kiinnittää huomiota. Koska internetpalvelujen käyttämisestä on tullut kiinteä osa ihmisten arkea, riskit jotka liittyvät yksityisyyden loukkaamiseen, ovat lisääntyneet.

Yksityisyydensuoja muodostuu niin yksilön oikeuksista tietää kuin myös hänen mahdollisuuksistaan vaikuttaa omien tietojensa käsittelyyn. Kotiosoitetta tai puhelinnumeroa ei ole välttämätöntä kaikille palveluntarjoajille ilmoittaa, vaikka niitä rekisteröitymisen yhteydessä kysyttäisiinkin.

Miten suostumus tietojenkäsittelyyn annetaan

Yleensä käyttäjän tietojen käsittely internetin palveluissa perustuu suostumukseen. Suostumus voidaan antaa myös vakioehtoisella sopimuksella. Käytännössä sopimukset syntyvät siten, että käyttäjä rekisteröityy palveluun, hyväksyy ehdot napsauttamalla hyväksymispainiketta tai vain käyttää palveluita.

Olennaista on, että palvelun käyttäjä on tietoinen siitä, kuinka ja mihin tarkoituksiin hänen tietojaan käytetään.

Selvitä sopimuksen ehdot

Mitä? Missä? Miksi? Milloin? Ainakin näihin kysymyksiin käyttäjän on hyvä saada vastaus ennen kuin hyväksyy internetpalvelun sopimusehdot ja ottaa palvelun käyttöönsä. On paikallaan myös ottaa selvää, mistä erilaisista yksityisyydensuojaan liittyvistä asioista internetpalvelusopimuksessa voidaan ylipäänsä sopia.

Tarkista, onko sopimuksessa kerrottu esimerkiksi, mitä tietoja kerätään ja kenelle tietoon liittyvät oikeudet kuuluvat eli missä määrin palveluntarjoaja voi mahdollisesti käsitellä jakamiasi tietoja. Internetin palvelut ovat usein kansainvälisiä ja siksi olisi hyvä tietää myös, minkä maan lainsäädäntöä sopimukseen sovelletaan. Sovellettava lainsäädäntö asettaa osaltaan rajat sille, missä määrin palveluntarjoaja voi hyödyntää tietoja.

Muista yksityisyydensuojaan vaikuttavista sopimusehdoista internetpalveluissa voit lukea lisää "Mitä tulikaan sovittua?" -ohjeesta [pdf, 356 KB], jonka Viestintäviraston Kyberturvallisuuskeskus on julkaissut.

Vaikuta itse oman yksityisyytesi sähköisiin rajoihin

On useita tapoja vaikuttaa yksityisyytensä säilymiseen sähköisessä maailmassa. Karkeasti jako voidaan tehdä ennakoiviin ja jälkikäteisiin vaikutusmahdollisuuksiin.

Ennen palvelun käyttöönottamista on hyvä harkita, tarvitseeko todella kyseistä palvelua, millaista hyötyä tai haittaa palvelun käyttämisestä voi olla. Kun päätös palvelun käytöstä on tehty, tämän jälkeen kannattaa miettiä, mitä ja millaista tietoa itsestään jakaa, mihin palveluihin ja kenelle.

Monissa internetpalveluissa yksityisyysasetusten avulla on mahdollista hallita yksityisyydensuojaansa ja määrittää, kuka tai ketkä voivat nähdä käyttäjän tietoja. Kaikkea ei tarvitse paljastaa.

Lisätietoja

• "Mitä tulikaan sovittua?" -ohje [pdf, 356 KB]